..egy apró, akár jelentéktelennek is tulajdonítható dolog, lehetséges, hogy olyan egyre növekvő hatást vált ki, mely lavinaként változtatja meg a világ folyását..
„Nemzeti Kibervédelmi Intézet Kormányzati Eseménykezelő Központ
Ikt. sz.: ffdae96f8dd292374a966ec8b57d9cc680ce1d23cb7072c522efe32a1a7e34b0/2016
TLP: white, szabadon terjeszthető
Tájékoztató hírlevél zsaroló kártevő kampányról (2016.08.19)
Tisztelt Ügyfelünk!
A Kormányzati Eseménykezelő Központ tájékoztatást ad ki az elmúlt időszakban tapasztalt új Locky ransomware (zsaroló kártevő) variáns hazai terjedése miatt.
A káros kód elektronikus levél segítségével terjed, amely mellékletként tartalmaz egy tömörített állományt (zip/rar) vagy egy .docm kiterjesztésű makrókat is tartalmazó dokumentumot.."
Fenti levelet kaptam, hogy legyek óvatos, olvassam végig és tartsam be az abban leírtakat. Három helyről kaptam meg, három címre. Három információbiztonsággal foglalkozó kollégától.
Nem csak én kaptam, meg, hanem gyanús, hogy még 7oo.ooo-en. Legyünk óvatosak, olvassuk el együtt, tartsuk be közösen.
tanácsok a levélben:
- "..
- :\> A felhasználók - vagy a felhasználók tevékenysége - számára csak a számukra kijelölt
feladatok végrehajtásához szükséges hozzáféréseket engedélyezze. - :\> Szigorítsa a makró futtatási lehetőségeket az e-mail kliens biztonsági beállításaiban
(pl.: Outlook\Beállítások\Adatvédelmi központ beállításai\Makróbeállítások). - :\> Készítsen rendszeres biztonsági mentést.
- .."
Már az elején gyanús volt, a nyelvezet, a terminológiák, idegen szavak.. - talán kifinomult hazai adathalász kísérlet?
Mi lehet a gond?
Megvan, ez a levél nem nekem, nem a felhasználóknak szól!
Ezek a tanácsok a helyi informatikusnak szólnak.
Egy normális ember már a harmadik sornál elveszíti a fonalat:
„..docm kiterjesztésű makrókat..” [WTF?]
Ezzel érzéki hatást elérni, nehéz.
A GovCERT nem az információbiztonsági szakember helyett dolgozik, a partnerség, egymás kiegészítéséről szól. Az nem feltétlenül munkavégzés, hogy csupa nagybetűvel továbbküldöm. A kantin falára kinyomtatás sem jó megközelítés.
Azonban, ha ~6 órát belerak a szakember és tart egy oktatást, akkor nem csak a Locky ransomware kerülheti el a portát, hanem az összes tesója, felmenője, utóda, valamint úgy összességében a gyanútlan felhasználókra leselkedő veszélyek 75%-a, ami megtévesztő e-mailben bír csak érkezni, mert ügye támadókódot felgraffitizni vagy seggünkre tetovált ransomware blokkal besurranni valahova azért ritka incidens.
Egyszerűen körülhatárolhatóak egy szervezeten belül a beosztások alapján, hogy ki az, aki idegen nyelvű e-mailt kezel, ki az, aki külsős e-mailt kezel, bizonyos csatolmányokkal dolgozik..
Erre lehet építeni oktatásmódszertant. Ugyan olyan könnyű kimondani, hogy:
- Te, sose nyiss meg olyan levelet, ami nem magyarul van, relatív eltalált szórenddel, hejesírási szabályokat lazán szem előtt tartva,
..mint eldönteni, hogy melyik munkakörnél fontos egy kereskedelmi szoftver és melyek azok, ahol bőven elég a LibreOffice, vékonykliens, Linux..
frissítve: egy felhasználói tudatosság oktatás már szerveződött