CyberLabs #7 – Jak Przeanalizować Podejrzaną Wiadomość E-mail? Mini Poradnik dla Każdego

To, że z roku na rok kampanii phishingowych jest coraz więcej i że ten trend będzie tylko rósł, raczej nikogo nie zdziwi. Wkrótce, może stać się to najpoważniejszym problemem w kwestii cyberbezpieczeństwa. Jest to poniekąd spowodowane tym, że w dzisiejszych czasach większość naszych spraw możemy załatwić przez internet, np. robiąc zakupy online.

Finalnie zostawiamy na różnych portalach wiele naszych danych osobowych czy informacji na temat życia prywatnego. Przeglądając darknet możemy natrafić na wiele źródeł, w których sprzedawane są bądź nawet “rozdawane” za darmo zdjęcia dowodów osobistych czy innych dokumentów, które przechowujemy na naszych skrzynkach pocztowych.

 

 

Nic więc dziwnego że cyberprzestępcy podszywając się np. pod wzbudzających zaufanie potencjalnych partnerów biznesowych, wysyłają wiele wiadomości które próbują dostać się do naszych poufnych informacji czy zainfekować nasze komputery oraz telefony złośliwym oprogramowaniem.

O ile większe firmy mogą sobie pozwolić na bardziej zaawansowane systemy bezpieczeństwa na masową skalę czy zespoły SOC (Security Operations Center czyli zespół odpowiedzialny za monitorowanie i analizę bezpieczeństwa organizacji) to już mniejsze firmy czy firmy, które dopiero powstają, nie mogą sobie pozwolić na takie “ułatwienia”.

Po części z tego powodu powstał ten artykuł mający na celu przedstawienie podstawowych zagadnień oraz metod, pozwalających każdemu na podstawową analizę wiadomości e-mail oraz załączników pod kątem ich złośliwości. Wiedza ta może uchronić nie jedną organizację przed nieautoryzowanym dostępem do jej systemów.

UWAGA: Przypadkowe uruchomienie złośliwych plików podczas analizy może nieść za sobą poważne konsekwencje. Poniższe porady jednak będą tak dobrane, aby jak najbardziej zminimalizować ryzyko infekcji.

Ochrona przed phishingiem i złośliwymi wiadomościami e-mail

W jednym z pierwszych artykułów w ramach serii CyberLabs opowiadałem szerzej o phishingu czyli o metodzie oszustwa, która polega na podszyciu pod zaufaną instytucję, urząd bądź osobę (np. bank, firmę kurierską czy osobę publiczną) w celu nakłonienia ofiary do wykonania czynności na korzyść atakującego np. podanie danych do logowania.

CyberLabs #1: Phishing – co to takiego i dlaczego jest to jedno z najbardziej popularnych cyberzagrożeń?

Sam mail phishingowy wykorzystując socjotechnikę czyli hackowanie ludzkich umysłów, może próbować wzbudzić w nas np. strach, a wszystko po to abyśmy pobrali i uruchomili oprogramowanie, które ukryte jest np. pod postacią “faktury”.

 

 

Samych rodzajów phishingu jest kilka, może to być np. smishing czyli phishing poprzez SMS czy vishing, w którym to przestępca kontaktuje się ze swoją ofiarą telefonicznie i próbuje wyłudzić pewne dane.

Wspominając o vishingu warto wspomnieć, że w ostatnich tygodniach mogliśmy przeczytać wiele artykułów na temat ChatGPT czy ogólnopojętego AI, które są w stanie na podstawie próbki głosu podszyć się pod każdego rozmówcę. Można więc przedstawić tu sytuacje, w której ktoś podszywa się pod numer telefonu naszego szefa, a do tego brzmi całkiem jak on.

Jeśli się nad tym zastanowimy, dojdziemy do wniosku że za pomocą sztucznej inteligencji cyberataki, które są w nas ukierunkowane mogą wejść na nowy, bardziej niebezpieczny poziom…

AI w służbie cyberprzestępcy

Na pewno wielu z nas uważa ChatGPT od OpenAI za cudowne rozwiązanie, które może zrewolucjonizować niejeden rynek, między innymi dlatego, że posiada on swoje “zabezpieczenia”, które nie pozwalają sztucznej inteligencji na pisanie odpowiedzi na pytania, które proszą o coś niemoralnego czy nieetycznego.

W jaki sposób AI może wspomóc cyberprzestępców?

Wpływ sztucznej inteligencji na bezpieczeństwo poczty e-mail

Jeśli mowa o ChatGPT to warto wspomnieć tu o tym, że jak każdy system i ten posiada pewne “podatności”. Pozwalają one na skonstruowanie wiadomości w taki sposób, aby sztuczna inteligencja odpowiedziała nam na każde pytanie czy prośby – również te mniej etyczne. Podatności te na bieżąco są “łatane”, jednak stale powstają nowe metody na obejście wspomnianych restrykcji.

W ten oto sposób możemy poprosić ChatGPT o odzyskiwanie haseł z hashy, możemy poprosić również o wygenerowanie kodu ransomware (co prawda nie jest to wysokiej jakości kod, jednak sama możliwość wygenerowania takiego kodu powinna nas chwilę zastanowić, chociażby pod kątem tego jak to może się rozwinąć w najbliższych latach) czy stworzenia fałszywych wiadomości, a nawet stworzenie strony.

W porównaniu do większości wiadomości phishingowych wysyłanych masowo, takie wiadomości nie posiadają błędów językowych czy nietypowej składni, która już sama w sobie wygląda podejrzanie. Są one łudząco podobne do prawdziwych komunikatów.

Poniżej możesz przekonać się jak wygląda taka wiadomość:

 

 

Oczwiście sama wiadomość tekstowa to nie wszystko, co trzeba przygotować przy e-mailac  phishingowych. Jednak, aktualnie to właśnie na podstawie tekstu i jego składni określamy czy wiadomości sms czy e-mail są podejrzane czy nie.

Mam dla Ciebie dobrą wiadomość! Już zaraz poznasz nowe metody, które mogą uchronić Cię przed wieloma atakami phishingowymi.

Czym są nagłówki wiadomości e-mail?

Nagłówki wiadomości e-mail to sekcja wiadomości, które zawierają wiele informacji dotyczących e-maila takie jak: rzeczywisty adres nadawcy, adres odbiorcy czy informacje o zabezpieczeniach SPF/DKIM/DMARC.

Znajdziesz tam również pola “Return-Path” / “Reply-To” czy “X-Spam Status”, które przydadzą się nam do stwierdzenia czy e-mail jest podejrzany oraz czy został wysłany od oczekiwanego nadawcy.

Zanim jednak przejdziemy do analizowania nagłówków, musimy wiedzieć gdzie one się znajdują. Tu w zależności od klienta pocztowego, może się to nie co różnić. Zwykle sprowadza się to do otworzenia danej wiadomości, wybrania opcji “Więcej” a następnie opcji “Pokaż źródło / Pokaż orginał”.

Przykładowe nagłówki mogą wyglądać następująco:

 

 

Oczywiście poniższych kroków nie musisz wykonywać dla każdej wiadomości e-mail. Możesz je jednak wykonać, jeśli otrzymasz e-mail, który z jakiegoś powodu wydał Ci się podejrzany np. mail, który zawiera dziwny link do zresetowania hasła, którego się nie spodziewasz lub jeśli twoje wątpliwości budzą inne elementy wiadomości.

Jak analizować nagłówki e-mail?

Wiedząc, w którym miejscu znajdziemy nagłówki wiadomości, możemy zacząć ich interpretację. Przydatna w tym będzie z pewnością wiedza dotycząca tego co oznacza każdy nagłówek. Dlatego poniżej przygotowałem krótki przewodnik:

• From – nagłówek wskazuje nazwę i adres email nadawcy wiadomości. Sprawdzenie tego nagłówka pozwala nam wykluczyć sfałszowanie pola nadawcy. Możemy natknąć się na informacje wskazujące na to, że adres nadawcy nie jest poprawnym adresem osoby, od której mieliśmy rzekomo dostać e-mail.
• To – nagłówek wskazujący adresata wiadomości.
• Subject – pole oznaczające tytuł wiadomości. Często w tytule można spotkać słowa mające wzbudzić nasze emocje np. “Wezwanie do zapłaty”.
• Date – to znacznik czasu, który pokazuje, kiedy e-mail został wysłany.
• Return-Path – pole znane również jako Reply-To. Jeśli odpowiesz na e-mail, zostanie ona wysłana na adres podany w tym polu. W wiadomościach phishingowych może się zdarzyć, że pole From i Return-Path mogą się od siebie znacząco różnić. Taki zabieg można zaobserwować w wiadomościach, w których atakujący chce otrzymać odpowiedź na własną skrzynkę mailową.
• Message-ID – pole to zawiera unikalną kombinację liter i cyfr, która identyfikuje każdą wiadomość. Nie istnieją dwa e-maile o tym samym identyfikatorze wiadomości.
• MIME-Version – Multipurpose Internet Mail Extensions (MIME) jest standardem pozwalającym przesyłać wszelkie dane takie jak obrazy, filmy i inne załączniki za pomocą poczty.
• Received – nagłówek Received wskazuje na serwery z jakich wiadomość została otrzymana, ewentualnie przez jakie serwery wiadomość przeszła zanim trafiła do odbiorcy. Serwery są wymienione odwrotnie do chronologii z jakich zostały przesłane tj. na samej górze znajduje się ostatni serwer, przez który przeszła wiadomość, zaś ostatni to serwer, z którego została wysłana wiadomość.Na podstawie tego nagłówka możemy określić czy wiadomość rzeczywiście została wysłana z serwerów używanych przez prawdziwego nadawcę. Przykładem nagłowka wskazującą na często używany do podszywania się pod różne maile serwer to:
  Received: by emkei.cz
• X-Spam-Flag – informuje czy wiadomość została zakwalifikowana jako SPAM.
• X-Spam-Level – określa punktację otrzymaną w ramach sprawdzenia pod kątem SPAM.
• X-Spam Status – nagłówek ten ponownie informuje nas o tym czy wiadomość została oznaczona jako SPAM. Dodatkowo możemy w tym miejscu zobaczyć co przyczyniło się do takiego stanu rzeczy.
• X-Mailer – ten nagłówek pozwala zweryfikować za pomocą jakiego narzędzia została wysłana dana wiadomość. Zdarzyć się może, że po krótkim szukaniu w internecie możemy się dowiedzieć, że dana wiadomość została wysłana za pomocą np. znanego programu do wysyłania phishingu.
• DKIM-Signature – to nagłówek umieszczany w każdej wiadomości e-mail, zawierający informacje o nadawcy, wiadomości oraz lokalizacji klucza publicznego wymaganego do weryfikacji.

Przedstawione nagłówki to tylko mały ułamek wszystkich nagłówków, które możemy poddać analizie. Warto też wiedzieć, że niektóre skrzynki pocztowe posiadają własne nagłówki, których nie spotkamy gdzie indziej.

Przeglądanie nagłówków w “surowej” postaci może być dla niektórych lekko przytłaczające, warto więc znać narzędzia które pomagają w analizie nagłówków. Do takich narzędzi zalicza się m.in :

• Google Admin Toolbox – Messageheader
• MX Toolbox – Email Header Analyzer

Do powyższych narzędzi wystarczy skopiować wszystkie nagłówki z wiadomości, tak aby faktycznie moglibyśmy otrzymać dla użytkownika raport.

 

 

Jak mogliśmy przeczytać we wcześniejszej części artykułu nagłówek Received wskazuje nam serwer, z którego została wysłana wiadomość. Wykorzystując tę wiedzę, za pomocą narzędzia Cisco Thalos możemy sprawdzić reputację serwera, z którego została wysłany dany e-mail.

Wystarczy, że na wspomnianej stronie wkleimy adres IP bądź adres domeny serwera, z której została wysłana wiadomość. W informacji zwrotnej otrzymamy informacje na temat reputacji serwera, tego czy serwer oznaczony jest jako podejrzany oraz czy wcześniej nie wysyłał np. spamu. Dodatkowo znajdziemy tam informację dotyczącą wolumenu wysyłanych wiadomości oraz informacji na temat samej domeny.

Co zrobić kiedy zauważysz podejrzane linki?

Sama analiza nagłówków może nam nie wystarczyć do tego, aby stwierdzić czy wiadomość, którą otrzymaliśmy jest złośliwa czy nie. W rzeczywistości najistotniejszym problemem może być to, że cyberprzestępca się przygotował i używa specjalnie przygotowanej infrastruktury, która nie znajduje się na żadnych blacklistach i nie jest oznaczona jako złośliwa.

Konstrukcja wiadomości może również budzić zaufanie poprzez poprawnie złożone zdania bez żadnych błędów językowych. Jeśli przestępca się przyłoży to wiadomość do złudzenia może przypominać oryginał. Do takich wiadomości zwykle załączony jest jakiś plik (o złośliwych plikach powiemy sobie nie co później) albo podejrzany link który będzie nas prowadził do witryny na której będziemy mieli podać nasze dane do logowania bądź link, który będzie prowadził do zewnętrznej strony, z której ma zostać pobrane nieodpowiednie oprogramowanie.

Naszym kolejnym punktem obrony jest więc zweryfikowanie czy dany link jest złośliwy czy nie i czy prowadzi do ataku na fałszywej stronie. Przestępcy bardzo często udoskonalają swoje metody ataku, dlatego warto wiedzieć jakich sztuczek używają.

Jedną z bardzo częstych praktyk wykorzystywanych przez przestępców, która ma za zadanie uśpić naszą czujność, jest używanie wiarygodnych stron, na których osadzane są złośliwe programy. To właśnie linki prowadzące do strony phishingowej bądź złośliwego oprogramowania mogą przekreślić udany atak. Jeśli adresy URL będą składać się z przypadkowych znaków alfanumerycznych, może to wzbudzić nasze podejrzenia.

 

 

Z tego powodu do osadzania złośliwego oprogramowania czy tworzenia stron phishingowych wykorzystywane są znane nam wszystkim domeny np. Google Drive, Dropbox, Slack-Files, Discord i wiele innych. Pełną listę wykorzystywanych domen możecie znaleźć pod tym adresem.

Klikanie w link i np. pobieranie złośliwych plików może nieść za sobą poważne konsekwencje, dlatego odradzam to wszystkim, którzy nie są pewni co robią. Jednak na podstawie linku, który posiadamy (jesteśmy w stanie go poprostu skopiować) możemy wykonać podstawową analizę. Poniżej przedstawiam kilka narzędzi które mogą się nam do tego przydać:

• Virustotal – jest to chyba jedno z najbardziej popularnych narzędzi które potrafi przeanalizować adres URL, plik czy poprostu link konkretnej domeny pod kątem tego czy jest ona złośliwa czy nie. Wystarczy skopiować link, który chcemy przeanalizować, następnie przejść na stronę virustotal, wybrać zakładkę URL i wkleić adres który chcemy sprawdzić pod kątem złośliwości. Jako informację zwrotną zobaczymy wynik detekcji na podstawie kilkudziesięciu silników antywirusowych. Narzędzia tego można również wykorzystać podczas analizy plików. Należy jednak pamiętać że załączniki, które będziemy analizować będą później dostępne dla różnych badaczy.
• WhereGoes – często URL, który znajduje się w linku może być skrócony, przez co nie jesteśmy bezpośrednio w stanie stwierdzić dokąd prowadzi. Z pomocą przychodzi nam narzędzie WhereGoes, które w większości przypadków pokaże nam końcowy adres URL, na który zostaniemy przekierowani. Warto wiedzieć że istnieją skracacze wykorzystywane przez przestępców, które potrafią wykrywać i skutecznie omijać takie strony.
• CheckPhish – jest to strona, na której możemy zobaczyć czy dany adres URL nie prowadzi nas do strony phishingowej. Przy okazji ta strona jest w stanie nam pokazać jak wygląda strona do której jesteśmy kierowani (oczywiście całkowicie bezpiecznie dla nas).

 

 

Podobnych stron jest dużo więcej, jednak do podstawowej analizy na pewno wystarczą wspomiane przykłady. W kolejnej części artykułu pokrótce przedstawię narzędzia do analizy plików, które również można wykorzystać w analizie linków.

Analiza podejrzanych plików

Czasem zdarzyć się może tak, że w wiadomości email nie znajdziemy żadnego linku. Jedynie co będziemy mogli dostrzec to załącznik np. rzekoma faktura. Jeśli sama wiadomość i cały atak został dopracowany, możemy bez wahania pobrać załącznik i go otworzyć. Tu jednak powinna zapalić się nam lampka gdyż nie wszystko jest tym na co wygląda i powinniśmy to mieć zawsze z tyłu głowy.

Na przestrzeni lat postacie złośliwych plików zmieniały się. Mogliśmy usłyszeć o atakach wykorzystujących pliki z pakietu Office posiadające złośliwe makro. Tu jednak po pewnym czasie Microsoft ogłosił, że makra domyślnie są wyłączone. Przestępcy więc zaczeli rozsyłać załączniki powiązane z programem OneNote, które to posiadają np. motyw faktury z przyciskiem, który po kliknięciu zacznie wykonywać złośliwe działania.

Można się również spotkać z próbami wysyłania plików z podwójnym rozszerzeniem np. faktura.pdf.exe (gdzie fałszywe rozszerzenie .pdf to tylko część nazwy pliku). Inną metodą jest wysyłanie archiwów plików np. .zip, .iso często też zabezpieczone hasłem, które zawierają w sobie złośliwe pliki. Oczywiście o sposobach wykorzystywanych przez przestępców do ukrywania złośliwego oprogramowania i metodach jego rozsyłania można pisać całe książki.

W tej części artykułu chciałbym przedstawić kolejne programy, które pozwolą nam dodatkowo stwierdzić czy dany plik nie jest złośliwy. Oczywiście pierwszą linią obrony jest nasz antywirus, który powinien sobie poradzić z większością “masowych” ataków. Pamiętajmy więc żeby zawsze mieć uruchomione i zaktualizowane oprogramowanie antywirusowe.

Jeśli sam antywirus nic nie wykryje, możemy dodatkowo posłużyć się następującymi oprogramowaniami online:

• AnyRun – jest to webowy sandbox pozwalający na analizę złośliwego oprogramowania oraz jego uruchomienie w całkowicie bezpieczny dla nas sposób. Po przeanalizowaniu pliku będziemy w stanie zobaczyć z jakimi adresami URL próbuje się skomunikować analizowany plik, dodatkowo zobaczymy np. jakie procesy są uruchamiane.
• JoeSandbox – podobnie jak powyższe oprogramowanie, jest to tzw. sandbox, w którym bezpiecznie możemy przeanalizować plik bądź adres URL. Co ciekawe możemy tu też przeprowadzić analizę np. plików na Androida. Po skanie ujrzymy długi i zaawansowany raport który na samym początku informuje nas czy dany plik jest złośliwy, podejrzany a może całkowicie bezpieczny lub czy otrzymaliśmy w wiadomości niebezpieczny link.

 

 

Do powyższych narzędzi należy dodać wspominany wcześniej Virustotal.

Na koniec tej części chciałbym zwrócić uwagę że przedstawione działania są tylko podstawowymi i nie zastąpią one zaawansowanej analizy wykorzystywanej przez odpowiednie zespoły. Mam jednak nadzieję, że przedstawione sposoby chociaż w małym stopniu pozwolą podnieść Twoje bezpieczeństwo.

Gdzie mogę zgłosić wiadomości phishingowe?

Pamiętaj, że każdą wiadomość czy stronę internetową wyłudzającą informacje możesz zgłosić. Jeśli jesteś użytkownikiem poczty Gmail możesz to zrobić bezpośrednio ze swojej skrzynki odbiorczej. Wystarczy, że po otworzeniu podejrzanej wiadomości rozwiniesz “więcej opcji”, a następnie naciśniesz: “Zgłoś Spam” bądź “Zgłoś próbę wyłudzenia informacji”. Jeśli jednak korzystasz z innych dostawców poczty – nic straconego. Za pomocą ogólnodostępnych narzędzi, możesz zgłosić próbę oszustwa, należą do nich m.in:

• CERT Polska NASK – CERT Polska jest to zespół powołany do reagowania na incydenty bezpieczeństwa komputerowego. Za pomocą strony “Zgłoś Incydent” możemy za pomocą dedykowanych formularzy zgłosić m.in: złośliwą domenę, podejrzaną wiadomość e-mail/sms, złośliwe oprogramowanie czy podatności w aplikacjach internetowych (szczególnie w aplikacji bankowej). Na samej stronie CERTu można znaleźć listę podejrzanych domen, które możemy zaimportować do np. wtyczek typu AdBlock. Dodatkowo, możemy tam znaleźć mnóstwo publikacji oraz raportów na temat cyberbezpieczeństwa oraz informacje na co należy zwracać szczególną uwagę w sieci.
• Google Safe Browsing – projekt ten również odpowiedzialny jest za ostrzeganie użytkowników stosownym komunikatem podczas próby wejścia na podejrzaną stronę w wyszukiwarce Google, bądź podczas próby pobrania złośliwego oprogramowania. Za pomocą tego adresu możesz zgłosić właśnie taką fałszywą stronę próbującą wyłudzić dane lub przejąć nasze konto, bądź stronę, na której osadzony jest złośliwy plik.

 

 

Dzięki temu, że zgłosisz taki incydent przyczynisz się w pewnym stopniu do zwiększenia bezpieczeństwa w cyberprzestrzeni! Pamiętajmy, że hakerzy mogą zaatakować każdego i nie jest to problem tylko dużych firm. Myślenie o tym w taki sposób może nas doprowadzić do niemiłych sytuacji, dlatego jeśli nie dbasz odpowiednio o swoje bezpieczeństwo, zacznij to robić od dziś!

Garść dobrych rad

• Cyberprzestępcy coraz częściej polegają na sztucznej inteligencji podczas ataków typu phishing. Wykorzystanie takiej technologii do vishingu może sprawić że nie będziemy w stanie rozróżnić ataku od prawdziwej rozmowy. Rozwiązaniem może tu być specjalnie ustalone “hasło”, które może być wykorzystywane do potwierdzenia tożsamości. Jest to niezwykle ważne w przypadku operacji bankowych. Pamiętajmy, że np. zlecenie przelewu od szefa możemy potwierdzić innym kanałem komunikacji
• W phishingu często wykorzystywane jest socjotechnika aby zmanipulować nas tak, abyśmy podali swoje dane na stronie bądź pobrali i uruchomili złośliwe oprogramowanie. Porada przestrzegająca – zachowajmy w takiej sytuacji spokój.
• Większość wiadomości phishingowych jesteśmy w stanie rozpoznać po błędnym adresie nadawcy. Sprawdzajmy więc czy w adresie nie ma żadnego “błędu” np. literówki. Warto zwracać uwagę na adres, jeśli wygląda prawidłowo ale reszta wiadomości wydaje się podejrzana, pamiętajmy o tym, czego dowiedzieliśmy się podczas tego artykułu.
• Jeśli wiadomość zawiera hiperłącze wystarczy najechać na nie myszką aby poznać adres strony, na którą zostaniemy przekierowani. Jeśli od razu stwierdzimy że link jest podejrzany np. w adresie brakuje jednej litery, zgłośmy wiadomość po czym ją skasujmy. Jeśli link jest skrócony, możemy użyć narzędzia WhereGoes aby poznać adres docelowy.
• Pamiętajmy, że przestępcy często osadzają złośliwe pliki na stronach, które wzbudzają nasze zaufanie. Warto więc podchodzić ostrożnie do wszelakich plików. Jeśli rozszerzenie pliku do którego prowadzi link to np. .iso, .exe, możemy być pewni że wiadomość jest złośliwa, a kliknięcie w niego może prowadzić do poważnych konsekwencji.
• Do automatycznego analizowania plików jak i linków istnieje wiele narzędzi, które zrobią to w bezpieczny dla nas sposób.
• Jeśli w firmie posiadamy dział IT bądź odpowiedni zespół np. SOC, zostawmy analizę wiadomości, podejrzanych linków / plików odpowiednim osobom!
• Jeśli wysyłasz wiadomości e-mail jako organizacja, pamiętaj o ustawieniu SPF/DKIM/DMARC czy Standardu BIMI, które pozwolą odpowiednio zabezpieczyć Twoją wiadomość a przy okazji pozwolą użytkownikom na łatwe odróżnienie poprawnej wiadomości od tej złośliwej.

• Na koniec jeszcze raz przypomnę, że przypadkowe kliknięcie w złośliwy plik, podczas próby analizy może nieść za sobą poważne konsekwencje!