البريد المزعج اللذيذ: الفدية يختبئ وراء السير الذاتية

لا يبدو أن كل الهجمات المستندة إلى البريد الإلكتروني تأتي من عائلات الطغاة المخلوعين أو البائعين الذين يروجون للمخدرات المعجزة أو شركات الشحن التي تذكرك بالتسليم. يبدو البعض وكأنه أفراد تعساء يبحثون عن عمل. وفي هذا الاقتصاد ، نعرف جميعًا شخصًا واحدًا على الأقل يرسل السير الذاتية إلى كل شخص يعرفه على أمل الهبوط في مقابلة.

ولكن كما قال كلاودمارك في تقديمه اللذيذ الذي قدمه Tasty Spam ، "لا تُغري بالاستئنافات غير المتوقعة". يمكن أن يعضك ، بجد.

وقال الباحث أندرو كونواي إن شركة Cloudmark شهدت مؤخرًا حملة للفدية تم تسليمها في شكل سيرة ذاتية مزيفة. الهجوم نفسه ليس سهلاً ويجب على الوصفة فتح الملف الضار عدة مرات ، لكنه لا يزال فعالًا بدرجة كافية لدرجة أن العديد من الضحايا قد تأثروا.

وصف كونواي الخطوات المختلفة للحملة:

البريد الإلكتروني للهجوم يأتي من Yahoo! حساب بريد ولديه ملف يزعم أنه سيرة ذاتية مرفقة. أشار كونواي إلى علامات التحذير الأربعة في الرسالة: لقد كانت رسالة غير مطلوبة ؛ لم يقدم المرسل اسم العائلة ؛ تم إرسال السيرة الذاتية كملف.zip ؛ وهناك أخطاء في الأخطاء في قواعد اللغة أو علامات الترقيم أو الإملاء.

وقال كونواي "شخص ما يقدم سيرة ذاتية بصدق سيثبت عملهم."

عندما يفتح المستلم ملف.zip ، سيجد هو أو هي ملف html يحمل اسمًا مثل استئناف 7360.html . حقيقة أن السيرة الذاتية بتنسيق.html هي علامة حمراء أخرى ، بالنظر إلى أن معظم السير الذاتية يتم إرسالها كمستندات نصية أو PDF أو Word. وقال كونواي "بالطبع ، من الجيد فتح ملفات PDF و Word غير المرغوب فيها أيضًا".

عينة من ملف HTML الهجوم تبدو كما يلي:

عندما يحاول المستلم فتح الملف ، سيحاول المستعرض تحميل عنوان url في علامة IFRAME. وقال كونواي "إنه نفس إجبار المستخدم على النقر على الرابط" ، مشيرا إلى أنه في هذه الحالة ، يشير الرابط إلى خادم ويب مخترق. يقوم عنوان URL بتحميل ملف HTML آخر ، يحتوي على رابط إعادة توجيه يشير إلى رابط مستندات Google.

يستخدم إعادة التوجيه علامة تحديث التعريف ، والتي تُستخدم عادةً لتحديث محتوى صفحة الويب في الوقت الفعلي. عادةً ما يكون تحديث التعريف إلى صفحة ويب في مجال مختلف ضارًا. قد يستخدم معظم الأشخاص إعادة توجيه HTTP أو JavaScript لإنجاز هذا ، وليس تحديث التعريف. لمعلوماتك فقط ، يبدو HTML من الصفحة المقصودة للخطر على النحو التالي:

يقوم رابط محرّر مستندات Google بتنزيل ملف مضغوط آخر يسمى my_resume.zip ، ويحتوي على ملف باسم مثل my_resume_pdf_id_8412-7311.scr . "ملف تم تنزيله عشوائيًا على الإنترنت. خطر ، هل روبنسون!" قال كونواي.

تكون لاحقة.scr لبرامج شاشات Windows ، لكنها أساسًا ملفات قابلة للتنفيذ خاصة التنسيق لنظام Windows. يتم استخدام ملحق.scr بشكل متكرر لتقديم برامج ضارة للمستخدمين المطمئنين. عندما يفتح الضحية ملف.scr ، يقوم بتشغيل الفدية. يتم تشفير جميع ملفاتهم ويتم تقديمها مع فاتورة بمئات الدولارات لاستعادتها مرة أخرى.

أثار كونواي نقطة مثيرة للاهتمام حول هذه الحملة الفدية. كان على المهاجم اتخاذ الكثير من الخطوات المعقدة لأن أدوات مكافحة الفيروسات ورسائل البريد العشوائي الحديثة فعالة بما فيه الكفاية بحيث تكون الطريقة الوحيدة لتحقيق النجاح هي تجميع عدة خطوات لتجاوز الدفاعات. إذا كنت تشعر أن عليك القفز على القفزات المتعددة لمجرد مشاهدة السيرة الذاتية ، يجب أن يكون هذا تحذيرًا بأن هناك شيئًا ما غير صحيح. ربما هذا الشخص الذي يقف وراء البريد الإلكتروني غير مهتم حقًا بالعمل.