De afgelopen weken hebben we veel meldingen gekregen van een nieuwe vorm van malware. Deze aanval passeerde initieel bij veel spamfilters de macro-detectie. De malware is een pre-2007 Office document (.doc extensie) met een automatisch startende macro en wordt door de meeste virusscanners ondertussen herkend als een ‘Trojan-Dropper’. Hetgeen zo veel betekent als een Trojan die extra malware van het internet downloadt en op je PC installeert.
Wat zit er in deze e-mails? Het bevat een programma die je hele (of delen van je) mailbox naar het Internet uploadt. Al je e-mails worden als het ware opgepakt en doorgestuurd naar de malware verspreider. Dit is de eerste aanval.
Vertrouwen gewekt door herkenning
De tweede aanval is dat men (of vaak een collega of andere relatie) een bericht krijgt uit die mailbox met een valse afzender. Je moet wel heel goed kijken wil die valse afzender opvallen. De e-mail bevat namelijk hetzelfde onderwerp en afzender in de e-mail. Mensen herkennen het onderwerp en/of de afzender en zijn snel geneigd het bericht klakkeloos te openen. Kijk je heel goed, dan zie misschien een letter extra of minder of valt je een dubbele afzender op waarvan de eerste een vervalsing is. Subtiele veranderingen die niet meteen opvallen. Daarom gaan veel mensen ervan uit dat de e-mail te vertrouwen is.
Wat doet Onlinespamfilter.nl ?
Bij Onlinespamfilter.nl houden we deze e-mails tegen. Het “verboden bijlagen”-filter blokkeert de malware en de gebruiker krijgt hiervan bericht. De ervaring leert ons dat vanwege het karakter van deze aanval men deze e-mails toch vaak opent en als betrouwbaar ziet. Je wordt op het verkeerde been gezet door bekende afzenders en onderwerpregels. Het gevolg van het openen van het .doc bestand is het downloaden van een nieuwe ‘payload’ die je PC gaat misbruiken. Je bent in ieder geval [deels] de controle kwijt over je PC. Zo’n aanval kan ongemerkt lange tijd doorgaan en zet zoals gezegd gebruikers op het verkeerde spoor. Om de gebruiker iets alerter te maken komen we binnenkort met een pop-up die waarschuwt bij het doorlaten van verdachte bestanden uit het spamfilter door gebruikers.
Tips:
- Mensen vergeten vaak dat wanneer je eenmaal slachtoffer van malware of een virus bent geweest, dat het dan geen zin om enkel de malware te verwijderen. Je weet namelijk helemaal niet wat er nog op je device is gebeurd. We raden daarom ook een volledige herinstallatie aan en vervolgens de virusscanner een check te laten doen voordat je bestanden terug zet. Je weet namelijk niet wat het virus of de malware heeft uitgespookt. Vergelijk het met de volgende situatie: Wanneer je weet dat een onbekende met jouw huissleutel in huis is geweest, ben je er ook niet helemaal gerust op. Je kunt de sleutel afpakken, maar waarschijnlijk check je jouw hele huis goed en vervang je minimaal de sloten. Met PC’s is het net zo: er kan van alles onderwater geïnstalleerd zijn nadat de malware op je PC is gekomen.
- Gebruik een volledige blokkade op macro’s. Macro’s zijn onveilig en eigenlijk niet meer van deze tijd. Stuur zelf geen macro’s via e-mail meer en vraag dit ook aan anderen. Ook al weet jij dat je een betrouwbaar bestand stuurt met een macro, een ander weet dit niet. Je kunt deze ruis weghalen, door geen macro’s meer te gebruiken.
- In MS Office kun je instellen dat macro´s niet gebruikt kunnen worden. Dan kun je als gebruiker geen enkele macro´s meer draaien.
- Onlinespamfilter heeft een instelling om alle Office documenten van voor 2007 te blokkeren. Draconisch, maar veel van de gevaarlijkste macro’s zitten in deze verouderde documenten.
Nieuw
Sinds kort hebben we ook een nieuwe functie beschikbaar. Men kan gebruikers verbieden zogenaamde “verboden bijlagen” uit het spamfilter los te laten. Ingrijpen door de systeembeheerder is dan voor deze berichten noodzakelijk. Dan blijft de schade waarschijnlijk beperkt, omdat de systeembeheerder het geval beter kan inschatten. Tenzij de aanval zo goed in elkaar zit als die we nu even uitlichten. Zelfs systeembeheerders kunnen dan toch op het verkeerde been gezet worden. Hopelijk is dit bericht een reminder om heel goed op te letten.
Vragen of aanvullingen hierover? Bel of mail: 076 8200203 | info@onlinespamfilter.nl