Как можно проверить вложение электронного письма
Как самостоятельно проанализировать подозрительное письмо
Если вы получили письмо, подлинность отправителя которого вызывает у вас сомнения, проверьте его самостоятельно. Рассказываем, как.
Мы часто пишем о достаточно очевидных признаках фишинга — несоответствии почтового адреса отправителя заявленной им компании, логических нестыковках в письмах, имитации нотификаций онлайновых сервисов. Но заметить фальшивку может быть не так просто — видимое получателю поле с почтовым адресом отправителя можно подделать. Да, в массовых фишинговых рассылках такое встречается нечасто, но в целевом фишинге это, к сожалению, не редкость. Если письмо выглядит настоящим, но по каким-то причинам подлинность его отправителя вызывает у вас сомнения, имеет смысл копнуть чуть глубже и проверить технический заголовок Received. В этом посте мы расскажем, как это сделать.
Поводы для сомнений
В первую очередь вас должна насторожить необычность запроса. Любое письмо, которое требует от вас каких-то нестандартных или нехарактерных для вашей рабочей роли действий — повод присмотреться к нему внимательнее. Особенно если отправитель аргументирует свой запрос неимоверной важностью (это личный запрос генерального директора!) или же срочностью (в течение двух часов надо оплатить счет!). Это распространенные психологические приемы фишеров. Кроме того, насторожиться следует, если вас просят:
Как найти технические заголовки письма
Как уже говорилось выше, видимое получателю поле «От»; («From») легко подделать. А вот технический заголовок Received должен показывать настоящий домен отправителя. Найти его можно в любом почтовом клиенте. Для примера приведем Microsoft Outlook как самую распространенную программу для чтения почты в современном бизнесе. Если вдруг вы используете какой-то другой клиент, попробуйте изучить его инструкцию или поискать технические заголовки самостоятельно.
Прежде чем дойти до адресата, письмо может пройти через несколько промежуточных узлов, поэтому полей Received может быть несколько. Вам нужно самое нижнее — именно в нем содержится информация об оригинальном отправителе. Выглядеть оно должно вот так:
Технический заголовок Received.
Как проверить содержимое заголовка Received
Проще всего сделать это при помощи нашего сервиса Kaspersky Threat Intelligence Portal. Часть предоставляемых им функций бесплатна, так что если вы столкнулись с подозрительным письмом, можете воспользоваться им без какой-либо регистрации.
Для того чтобы проверить адрес в поле Received, скопируйте его, перейдите на Kaspersky Threat Intelligence Portal и вставьте в поисковую строку на закладке «Поиск». Портал выдаст вам всю доступную информацию о домене и его репутации, а также информацию сервиса Whois. Вот как должна выглядеть его выдача:
Информация от Kaspersky Threat Intelligence Portal
Скорее всего, в самой первой строке будет вердикт «Безопасный объект» или сообщение «Категория не определена». Но это всего лишь значит, что наши системы раньше не замечали использования этого домена в преступных целях. При организации целевой атаки злоумышленники могут зарегистрировать свежий домен или использовать незаконный доступ к чужому домену с хорошей репутацией. Поэтому вам нужно внимательно посмотреть, на какую организацию зарегистрирован домен, и проверить, совпадает ли она с организацией, которую якобы представляет отправитель. Сотрудник компании-партнера из Швейцарии вряд ли будет посылать письмо через неизвестный домен, зарегистрированный где-то в Малайзии.
Кстати, через тот же портал имеет смысл проверить и ссылку из письма, если она кажется подозрительной. Кроме того, через закладку «Анализ файлов» можно проверить и приложенный к письму файл. Вообще-то у Kaspersky Threat Intelligence Portal гораздо больше полезных функций, но большинство их доступно зарегистрированным пользователям. Узнать больше о портале можно, перейдя в закладку About the Portal.
Защита от фишинга и вредоносных рассылок
Проверка подозрительных посланий — дело нужное и полезное, однако чем меньше фишинговых писем доходит до конечного пользователя, тем лучше. Поэтому мы всегда рекомендуем устанавливать защитные решения с антифишинговыми технологиями на уровне почтового сервера компании.
Кроме того, защита с антифишинговым движком на рабочих станциях позволит предотвратить переход по фишинговой ссылке, даже если авторам письма удастся обмануть получателя.
Используйте правила потока почты для проверки вложений сообщений в Exchange Online
В Exchange Online организациях или автономных организациях Exchange Online Protection (EOP) без Exchange Online почтовых ящиков можно проверить вложения электронной почты, установив правила потока почты (также известные как правила транспорта). Правила потока почты позволяют изучить вложения электронной почты как часть ваших потребностей в обеспечении безопасности и соответствия требованиям. При проверке вложений можно принять меры к сообщениям, основанным на содержимом или характеристиках вложений. Ниже перечислены некоторые задачи, связанные с вложениями, которые можно выполнять при помощи правил транспорта.
Все эти условия будут проверять сжатые архивные вложения.
Exchange Online admins can create mail flow rules in the Exchange admin center (EAC) at Mail flow > Rules. Для этой процедуры необходимы разрешения. Приступив к созданию правила, вы можете увидеть полный список условий, связанных с вложениями, щелкнув Дополнительные параметры > Любое вложение в списке Применить это правило, если. Параметры, связанные с вложениями, показаны на следующем рисунке.
Проверка содержимого вложений
Вы можете использовать условия правила потока почты в следующей таблице, чтобы изучить содержимое вложений сообщений. Для этих условий проверяется только первый 1 мегабайт (МБ) текста, извлеченного из вложения. Ограничение в 1 МБ относится к извлеченным текстам, а не к размеру файла вложения. Например, файл размером 2 МБ может содержать меньше 1 МБ текста, поэтому будет проверен весь текст.
Чтобы начать использовать эти условия при проверке сообщений, необходимо добавить их в правило потока почты. Узнайте о создании или изменении правил в управлении правилами потока почты в Exchange Online.
| Имя условия в Центре администрирования Exchange | Имя условия в Exchange Online PowerShell | Описание |
|---|---|---|
| Содержимое любого вложения включает Любое вложение > Имеет содержимое, которое включает любое из этих слов | AttachmentContainsWords | Это условие сопоставляет сообщения с файлами поддерживаемых типов вложений, содержащими заданную строку или группу символов. |
| Содержимое любого вложения совпадает с Любое вложение > Имеет содержимое, которое соответствует этим текстовым шаблонам | AttachmentMatchesPatterns | Это условие сопоставляет сообщения с вложениями поддерживаемых типов, которые содержат текстовый шаблон, соответствующий заданному регулярному выражению. |
| Невозможно проверить содержимое каких-либо вложений Любое вложение > Имеет содержимое, которое невозможно просмотреть | AttachmentIsUnsupported | Правила потока обработки почты могут проверять только содержимое поддерживаемых типов. Если правило потока почты находит вложение, которое не поддерживается, запускается условие AttachmentIsUnsupported. Поддерживаемые типы файлов описаны в следующем разделе. |
Имена условий в Exchange Online PowerShell — это имена параметров в cmdlets New-TransportRule и Set-TransportRule. Дополнительные сведения см. в new-TransportRule.
Дополнительные данные о типах свойств для этих условий см. в правилах и исключениях (предикатах)в Exchange Online.
Сведения о том, как с помощью Windows PowerShell подключаться к Exchange Online, см. в статье Подключение к Exchange Online PowerShell.
Поддерживаемые типы файлов для проверки содержимого с помощью правил транспорта
В следующей таблице перечислены типы файлов, поддерживаемые правилами потока почты. Система автоматически обнаруживает типы файлов, проверяя свойства файлов, а не фактическое расширение имени файла, тем самым помогая злоумышленникам избежать фильтрации правил потока почты путем переименования расширения файла. Список типов файлов с исполняемым кодом, который можно проверить в контексте правил потока почты, далее в этой статье.
Проверка свойств файла вложения
В правилах потока почты можно использовать следующие условия для проверки различных свойств файлов, присоединенных к сообщениям. Чтобы начать использовать эти условия при проверке сообщений, необходимо добавить их в правило потока почты. Дополнительные сведения о создании или изменении правил см. в списке Управление правилами потока почты.
| Имя условия в Центре администрирования Exchange | Имя условия в Exchange Online PowerShell | Описание |
|---|---|---|
| Любое имя вложенного файла, соответствующее Любое вложение > Содержит файл, имя которого соответствует этим текстовым шаблонам | AttachmentNameMatchesPatterns | Это условие сопоставляет сообщения с вложениями, имя файла которых содержит указанные символы. |
| Расширение файла любого вложения соответствует Любое вложение > Содержит файл, расширение которого включает эти слова | AttachmentExtensionMatchesWords | Это условие сопоставляет сообщения с вложениями, расширение имени файла которых соответствует указанному расширению. |
| Любое вложение размером не менее Любое вложение > имеет размер не меньше | AttachmentSizeOver | Это условие сопоставляет сообщения с вложениями, размер которых больше или равен заданному. Примечание: Это условие относится к размерам отдельных вложений, а не к совокупным размерам. Например, если установлено правило отклонить любое вложение размером 10 МБ или больше, одно вложение размером 15 МБ будет отклонено, но будет разрешено сообщение с тремя 5 МБ-вложениями. |
| Сообщение не завершило сканирование Любое вложение > Не прошло сканирование | AttachmentProcessingLimitExceeded | Это условие сопоставляет сообщения с вложениями, которые не проверяются агентом правил транспорта. |
| Любое вложение содержит исполняемое содержимое Любое вложение > Содержит исполняемое содержимое | AttachmentHasExecutableContent | Это условие сопоставляет сообщения, которые содержат исполняемые файлы в виде вложений. Поддерживаемые типы файлов перечислены здесь. |
| Любое вложение защищено паролем Любое вложение > Имеет следующие свойства, включая любое из этих слов | AttachmentPropertyContainsWords | Это условие сопоставляет сообщения, для которых заданное свойство вложенного документа Office содержит указанные слова. Свойство и его возможные значения разделяются двоеточием. Несколько значений разделяются запятыми. Несколько пар свойств и значений также разделяются запятыми. |
Имена условий в Exchange Online PowerShell — это имена параметров в cmdlets New-TransportRule и Set-TransportRule. Дополнительные сведения см. в new-TransportRule.
Дополнительные данные о типах свойств для этих условий см. в правилах и исключениях (предикатах)в Exchange Online.
Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.
Поддерживаемые типы исполняемых файлов для проверки правилами транспорта
Правила потока обработки почты используют обнаружение подлинных типов, изучая свойства, а не только расширения файлов. Это не позволяет злоумышленникам обойти данное правило, переименовав расширение. В таблице ниже перечислены типы исполняемых файлов, которые поддерживают эти условия. Если файл найден, который не указан здесь, AttachmentIsUnsupported условие запускается.
| Тип файла | Собственное расширение |
|---|---|
| 32-разрядный исполняемый файл Windows с расширением библиотеки динамической компоновки. | .dll |
| Самораспаковывающийся исполняемый файл. | .exe |
| Исполняемый файл для удаления. | .exe |
| Файл ярлыка программы. | .exe |
| 32-разрядный исполняемый файл Windows. | .exe |
| Файл документа Microsoft Visio в формате XML. | .vxd |
| Файл операционной системы OS/2. | .os2 |
| 16-разрядный исполняемый файл Windows. | W16 |
| Файл дисковой операционной системы. | .dos |
| Стандартный файл антивирусной проверки Европейского Института исследования Антивирусных Программ. | .com |
| Файл сведений о программе Windows. | .pif |
| Исполняемый файл Windows. | .exe |
.rar (самостоятельно извлекаемые архивные файлы, созданные с помощью архива WinRAR), .jar (файлы архива Java) и .obj (скомпилируемый исходный код, 3D-объект или файлы последовательности) не считаются исполняемыми типами файлов. Чтобы заблокировать эти файлы, можно использовать правила потока почты, которые будут искать файлы с этими расширениями, как описано выше в этой статье, или настроить политику противомалярийных программ, которая блокирует эти типы файлов (фильтр типов общих вложений). Дополнительные сведения см. в программе Configure anti-malware policies in EOP.
Политики защиты от потери данных и правила потока обработки почты для вложений
Этот раздел не применяется к автономным организациям EOP.
Чтобы лучше управлять важной бизнес-информацией в электронной почте, вы можете включить любые условия, связанные с вложениями, а также правила защиты от потери данных.
Политики DLP и условия, связанные с вложениями, помогут вам обеспечить выполнение бизнес-потребностей, определив эти потребности в качестве условий правил потока почты, исключений и действий. При вложении проверки конфиденциальной информации в политику DLP любые вложения в сообщения сканируют только для этой информации. Однако условия, связанные с вложением, такие как размер или тип файла, не включаются до добавления условий, перечисленных в этой статье. DLP доступен не для всех версий Exchange; дополнительные сведения о предотвращении потери данных.
Дополнительные сведения
Сведения о широкой блокировке электронной почты с вложениями, независимо от состояния вредоносных программ, см. в общих сценариях блокировки вложений для правил потока почты в Exchange Online.
Как сканировать вложения электронной почты онлайн на наличие вирусов
Обычно на всех наших компьютерах установлено антивирусное программное обеспечение для защиты наших файлов данных от вредоносных программ.
Нас учили не открывать вложения с неизвестных адресов электронной почты.
Но что, если вы хотите получить второе мнение о подозрительном вложении электронной почты?
Можете ли вы сканировать вложение электронной почты онлайн на наличие вирусов?
Это руководство покажет вам, что делать, если вам нужен третий взгляд, чтобы проверить ваши вложения электронной почты.
Как сканировать вложения электронной почты на наличие вирусов в Интернете
Если вы получили письмо от кого-то, и оно выглядит подозрительно, свяжитесь с Virus Total для проверки вложения.
Virus Total Virus Checking – это попытка VT (Virus Total) улучшить Интернет.
Сканирование вложений электронной почты с помощью VirusTotal
Вы можете отправить вложение электронной почты в Virus Total по этому идентификатору: scan@virustotal.com
Virus Total получит вложение, проверит различными антивирусными программами, и отправит вам информацию в ответ на ваше письмо.
Информация, которую они отправят, будет включать результаты, которые приложение получает от различных (и многих) антивирусных программ.
Отправка вложений в VirusTotal
Вот пошаговое руководство по сканированию вложений электронной почты на наличие вирусов.
Вам нужно будет создать сообщение с scan@virustotal.com в качестве адреса назначения.
Выберите, где вы хотите хранить электронную почту
Вы также можете переслать электронное письмо, которое вы, возможно, получили с подозрительным вложением, на scan@virustotal.com и написать SCAN в строке темы.
Ответ от Virus Total покажет вам результаты в формате, который вы просили;
Ответ может занять некоторое время, если нагрузка на их сервер высока.
Нет необходимости повторно отправлять письмо.
Вы можете увидеть детали в электронном письме.
Если вы выбрали SCAN + XML, вы получите текстовое сообщение и страницу в кодировке XML.
Если вы выберете XML, для обработки может потребоваться несколько более длительных моментов.
Возможно, вам придется немного подождать.
Эта статья объясняет, как сканировать вложения электронной почты онлайн на наличие вирусов и других вредоносных программ.
Если у вас возникли проблемы при выполнении вышеуказанных шагов, пожалуйста, оставьте комментарий ниже.
Если вам известен какой-либо другой объект, который облегчает онлайн-сканирование вложений электронной почты, пожалуйста, поделитесь им, используя раздел комментариев.
Электронная почта: сервисы для отслеживания открытия писем
Каждый день мы получаем и отправляем десятки писем. Это стало обыденной процедурой и, казалось бы, за столько лет, что может измениться? Но прогресс не стоит на месте – появляются компании, которые пытаются открыть для себя «голубой океан» предложив новые сервисы. Если идея оказывается удачной, то вскоре подтягиваются конкуренты, а пользователи получают возможность выбрать наиболее подходящее предложение.
Говоря о дополнительном функционале электронной почты, в первую очередь приходит мысль об отслеживании открытия писем. Стандартные почтовые клиенты предлагают вставить в письмо запрос, чтобы получатель сам решил, информировать об открытии письма отправителя или нет. И обычно это сильно раздражает, поэтому я крайне редко отвечаю на него положительно.
А что если не спрашивать получателя, а просто отправлять информацию отправителю? Хорошая идея и относительно несложная реализация привели к появлению на рынке ряда компаний, которые предлагают сервис отслеживания отправленных писем, а также дополнительные опции, направленные на улучшение продаж.
Принцип работы этих сервисов, в основном, одинаковый – в письмо внедряется картинка, размером 1 пиксель, и когда письмо открывается – она дергает сервер. Поэтому отследить открытие невозможно для тех получателей, у кого отображение картинок отключено. Как это работает на практике, рассмотрим на конкретном примере.
Signals (http://www.getsignals.com/)
Мне этот сервис порекомендовал мой коллега-иностранец, которому он служит верой и правдой уже какой-то период времени. На практике оказалось, что оповещение приходит даже в том случае, когда письмо открыто адресатом, который пользуется Outlook, где по умолчанию картинки отключены. Поэтому был сделан вывод о том, что главным является не факт открытия картинок, а их наличие. То есть письма должны быть получены в HTML-формате, а не в текстовом.
Немного о самом сервисе: работает с Outlook и Gmail.com, а информация об открытии писем падает в плагин для Chrome. Все происходит очень оперативно. Также сервис позволяет отлеживать, если кто-то из контактной базы посетил ваш сайт. Вот как они о себе рассказывают (http://blog.hubspot.com/marketing/sales-tools-to-help-close-deals-list): «Представьте себе, что Вы видите оповещение о том, что один из ваших потенциальных клиентов просматривает прайс-лист на сайте. Теперь Вы точно знаете, что сейчас удачное время для звонка и завершения сделки».
Сервис имеет бесплатный тарифный план, включающий 200 оповещений в месяц.
ContactMonkey (https://contactmonkey.com/)
Signals у меня с Outlook не заработал, поэтому были рассмотрены альтернативы. В ContactMonkey меня привлекло название и отсутствие необходимости использовать Chrome. Был выбран вариант установки для Outlook 2010. Сервис создал себе отдельную закладку в главном меню, через которую можно смотреть оповещения. Такое решение получилось менее изящным, потому что информация об оповещениях не появляется сразу – нужно обновлять список вручную.
Есть и другие подобные сервисы, например, Yesware (http://www.yesware.com/), ToutApp (http://www1.toutapp.com/) со своими «изюминками».
Sfletter.com (https://sfletter.com/)
Аналогичных решений на отечественном рынке замечено не было. Однако в российском пространстве был обнаружен интересный вариант от компании StarForce. Вообще сервис sfletter.com предназначен для защиты писем и вложений от утечки, а в качестве бонуса предоставляется информация о времени открытия письма и IP-адресе получателя. Также он отслеживает неудачные попытки открытия писем (защита от пересылки третьим лицам).
Для того чтобы открыть защищенный файл получателю нужно скачать и установить специальную программу-просмотрщик. Собственно, благодаря ей отправитель и получает информацию об открытии писем. Это выглядит громоздко, но оправдано задачами сервиса. Тем более, если переписка осуществляется на постоянной основе, то один раз можно повозиться с установкой.
Для того чтобы воспользоваться сервисом требуется зарегистрировать ящик на sfletter.com. Сервис работает на бесплатной основе.
Docusign (https://www.docusign.com/)
Изучая тему почтовых сервисов, можно обнаружить огромное разнообразие различных фенечек и примочек, которые могут удовлетворить любые пожелания клиентов. Последний сервис, о котором хочется упомянуть позволяет не только отслеживать статус отправленного документа, но и собирать подписи с получателей.
Подпись документов осуществляется непосредственно через веб-интерфейс, что получается гораздо быстрее и проще чем «распечатай-подпиши-отсканируй-отправь».
К сожалению, бесплатных тарифных планов у этого сервиса нет, но дается 14 дней на тестирование.
В завершении хочется заметить, что в России в принципе появляется мало интересных сервисов «для всех». Скорее всего, это связано с тем, что очень трудно стать коммерчески успешным на масштабном рынке. Поэтому большинство компаний предпочитает заниматься заказной/корпоративной разработкой.