A pandémia alatt már több alkalommal is volt alkalmunk támadásokról, újabb és újabb hacker próbálkozásokról, vírusokról beszámolni. Az alábbi is sajnos egy gyakorlati tapasztalat útján szerzett új információ, egy újabb módjával találkoztunk az átveréseknek, ami nagyon ijesztő, mert a hozzáértőbb felhasználók is bedőlhetnek neki.
Tavaly már többször is találkoztunk olyan spam levelekkel, amiket egy sikeres adathalászat után megtámadott felhasználó e-mail fiókjából küldtek. Ilyenkor a megjelenített név a szokványos, a megjelenő küldő e-mail cím teljesen normális, hiszen fizikailag is az a felhasználó küldi, akinek az e-mail-jét olvassuk. Emiatt pedig könnyedén átcsúszik a spamszűrőkön (mindaddig, amíg a rengeteg kiküldött spam miatt feketelistára nem kerül valamelyik szolgáltatónál az IP cím), ráadásul ha valakinél az adott partner fehérlistás, akkor jó eséllyel több védelmi vonal is át fogja engedni, mire a lánc végén a kliensoldali vírusvédelem szerencsés esetben megfogja.
Ezt a módszert most továbbfejlesztették és a megtámadott felhasználó fiókjából nem szimplán egy sokszor magyartalan vagy alapból gyanús levelet küldenek ki, hanem a korábban az adott partnertől kapott levélre válaszolnak valami rövid semmitmondó tartalommal és csatolmányban küldik mellé a vírust. Miután a fejléc, a küldő e-mail cím stimmel, a gyanútlan áldozat pedig a korábbi levelét látja alul így könnyen át tudják verni a címzettet.
A támadók folyamatosan fejlődnek, újabb és újabb technikákkal próbálnak meg átverni minket, így nekünk is fejlődnünk kell a védelem terén. Nem elég hangsúlyozni, hogy a tudatos felhasználó a legfontosabb védelmi vonal, és persze nem árt ha van egy naprakész, jó vírusirtó is, ami kisegít akkor is, ha hibáztunk és megnyitottuk a csatolmányt.
Gyakori téma ügyfeleink körében és sokszor kapjuk meg kérdésként, hogy melyik vírusvédelemre érdemes előfizetni. Abban az egyben mindenki egyet ért, hogy a semmilyennél a bármilyen védelem is jobb, szerencsére ma már a Windows 10-ben alapértelmezésben megtalálható az a Windows Defender, ami így már a frissen telepített gépünket is védi a támadásoktól és nem fordulhat elő az a gyalázat, mint annak idején, hogy a számítástechnikában kevésbé jártas felhasználók gépe védtelen maradjon. A Defender időközben szerencsére sokat is fejlődött az elődjéhez, a Security Essentials-höz képest, így a védelem hatékonysága is javult, de azért még nagyon messze van az igazán jó, fizetős védelmektől.
Manapság már elmondható az is, hogy az igazán profi vírusirtók nem feltétlen minta alapján ismernek fel vírusokat, azt szinte 100% körüli hatásfokkal hozza mindegyik. Az igazán jó védelmek azonban nem ebben alkotnak nagyot, hanem a kiegészítő technológiák alkalmazásában, azon belül is leginkább a viselkedés elemzés az, ami nagyon fontos. A friss vírus megjelenik az interneten és böngészés közben összeszedjük, vagy megkapjuk a támadótól egy csatolmány részeként e-mail-ben, és ha mindez még azelőtt történik, hogy az adott vírus mintája bekerült a víruslaborba elemzésre, elkészül hozzá a minta a felismeréshez, majd vírusdefiníciós fájl formájában a védelmünk felkészül rá, akkor baj van. Egy gyenge vírusirtóval ha nem vagyunk figyelmesek már kész is a baj. Ha a viselkedés elemzést követően nem kerül blokkolásra, akkor megfertőzi a gépünket. Egy jobb védelem esetében ezen felül is vannak még további védelmi vonalak, pl. a G Data esetében ha a leveleink letöltését egy beépülő modullal figyeltetjük akár már a letöltés pillanatában elkaphatjuk a betolakodót, ha mégis sikerül lementeni vagy nem használunk, esetleg nincs elérhető modul a kliens programhoz, akkor következő körben a fájlrendszert felügyelő védelem kaphatja el, ha nincs hozzá minta, akkor jön a viselkedés alapú védelem. Ha netán túljutna rajta és a kártékony program egy zsarolóvírus, akkor a G Data-nak például van kifejezetten zsarolóvírusokra fejlesztett AntiRansomware modulja is, még ezen a ponton is fennakadhat a rostán.
Ezúttal belefutottunk egy olyan esetbe, ahol levelező beépülő nem lévén (nem Outlook-ot használ a felhasználó) a következő kört a minta alapú védelem futotta egy nagyon friss vírussal, ami minta hiányában még átengedte, de a nemrég fejlesztett, BEAST névre keresztelt viselkedés alapú védelem elkapta. Hiába próbálta a felhasználó még 3 alkalommal elindítani, ez nem jött össze neki.
Az események időpontjából az is jól látható, hogy míg délelőtt még csak a BEAST védelem viselkedés elemzése volt sikeres, addig a délutáni ellenőrzés során már név szerint azonosította a védelem minta alapján a vírust, tehát a laborból is gyorsan megjött a minta hozzá, egyes fórumok és weboldalakon talált információk alapján egy aznapi kiadású vírus variánst sikerült összeszedni.
A fájl szerveren futó védelem később megtalálta a gép asztalán lévő, és így a fájlszerverre is felszinkronizált lomtárban az eredeti .7z fájlban becsomagolva, és a felhasználó által kicsomagolt exe példányt is. A letöltés és kicsomagolás alkalmával pedig a felhasználó temp mappájába is bekerült 1-1 példány, amiket már a gépen futó havi ellenőrzés dobott ki. Ezzel együtt megtalálta a Thunderbird levelei közt is, ahonnan szintén törölte, mire a jelentést megkaptuk róla már rég le is kezelte magától az egész incidenst.
A fenti példa is bizonyítja, hogy egy jó vírusvédelem nem csak két motorból áll, nem csak 100% körüli hatékonysággal detektálja minta alapján a vírusokat, de több ponton, többféle módszerrel, köztük egy rendkívül hatékony viselkedés elemzési technológiával is képes megvédeni minket akár a friss fenyegetésektől is. Ha az ominózus eset egy ócska, vagy csak fél funkcionalitással rendelkező, ingyenes vírusirtó mellett történik és ez egy zsarolóvírus (ez esetben nem az volt), akkor most nagy valószínűséggel a felhasználó éppen azon matekozna, hogy megér-e neki milliókat fizetni az adataiért a zsarolóknak. Esetleg a cége tönkre is mehetett volna miatta, hacsak nincs óriási szerencséje vagy egy jó offline mentése. Egy jó vírusvédelem manapság elengedhetetlen adataink védelméhez, és abból is mindig igyekezni kell a legjobbat, hozzáértők tapasztalatai és a független tesztek szerint is a lehető legjobbat választani. Ezért ajánljuk mi a G Data védelmeit!
A sztoriban pedig a tanulság, hogy SOHA, de SOHA ne nyissunk meg és futtassunk idegen forrásból jövő exe fájlokat!
A weboldalunkon sütiket használunk a felhasználói élmény fokozása céljából, hogy megjegyezzük a beállításokat és az ismételt megtekintéseket. Az elfogadásra kattintva minden ilyen süti használatát elfogadod.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.