24 listopada 2017
1 ZASADY OGÓLNE
- Poniższe zasady ogólne stosuje się w przypadku otrzymania wiadomości email, bądź otrzymania zgłoszenia dotyczącego podejrzanej wiadomości email.
- Celem zaproponowanych kroków jest ochrona przed szkodliwymi wiadomościami email.
1.1 Otrzymanie zgłoszenia dotyczącego podejrzanej wiadomości email
- W przypadku otrzymania zgłoszenia dotyczącego podejrzanej wiadomości email upewnij się, że zgłoszenie zawiera:
- Treść podejrzanej wiadomości email
- Załączniki podejrzanej wiadomości email (jeżeli znajdowały się w wiadomości oryginalnej)
- Nagłówki podejrzanej wiadomości email
- W przypadku, gdy zgłoszenie nie zawiera co najmniej jednego z elementów, o których mowa powyżej w pkt 1, należy:
- Dostarczyć brakujące elementy.
- Przesłać, w formie załącznika całą wiadomość email.
- Przeprowadź podstawową analizę wiadomości email.
- W przypadku braku jednoznacznego wyniku analizy podstawowej – przekaż wiadomość email do analizy rozszerzonej.
- Przekaż zwrotnie osobie zgłaszającej wyniki przeprowadzonej analizy wiadomości email.
1.2 Podstawowa analiza wiadomości email
W ramach podstawowej analizy wiadomości email sprawdź:
- Czy wiadomość:
- jest oczekiwaną przez Ciebie odpowiedzią na wysłany przez Ciebie email/prośbę
- pochodzi od nadawcy, który jest Ci znany
- nie zawiera nieoczekiwanych załączników (np. plik *.exe, lub *.msi – gdy załączników nie oczekujesz, bądź oczekujesz pliku tekstowego).
- Jeżeli wynik weryfikacji wszystkich elementów z pkt 1 powyżej jest pozytywny – przyjmij, że weryfikowana wiadomość jest zaufana i bezpieczna i zakończ analizę wiadomości.
- Jeżeli wiadomość jest oczekiwana i pochodzi od znanego Ci nadawcy, ale zawiera nieoczekiwany załącznik – skontaktuj się z nadawcą i upewnij się, że wysłał wiadomość z prawidłowym załącznikiem.
- Jeżeli nadawca potwierdzi oryginalność wiadomości i prawidłowość załącznika – przyjmij,że weryfikowana wiadomość jest zaufana i bezpieczna i zakończ analizę wiadomości.
- Jeżeli nadawca nie potwierdzi oryginalności wiadomości i stwierdzi, że jej nie wysłał, zakończ analizę wiadomości i usuń ją bez dalszego otwierania.
- Jeżeli nadawca, załącznik, bądź treść wiadomości wydają Ci się podejrzane i nie masz możliwości potwierdzić jej oryginalności u nadawcy, przeprowadź analizę samodzielnie, zgodnie z zapisami pkt 1.3 – Rozszerzona analiza podejrzanej wiadomości email.
1.3 Rozszerzona analiza podejrzanej wiadomości email
Rozszerzona analiza podejrzanej wiadomości email obejmuje analizę:
- Treści wiadomości.
- Informacji dotyczącej nadawcy wiadomości.
- Załącznika.
- Linków zawartych w wiadomości.
1.3.1 Analiza treści
- Otwierając wiadomość obserwuj, czy system prosi Cię o zgodę na uruchomienie makra, oprogramowania, pobrania dodatkowych treści, zmiany uprawnień itd. Nie wyrażaj zgody na tego rodzaju prośby do czasu, gdy nie uznasz wiadomości za zaufanej i nie będziesz mieć pewności, jakie skutki niesie za sobą wyrażona zgoda.
- Zapoznaj się z treścią podejrzanej wiadomości email. Zweryfikuj:
- Czy wiadomość brzmi sensownie i jej obsługa leży w gestii adresata?
- Czy nadawca wiadomości poprawnie, imiennie zwraca się do odbiorcy?
- Czy treść emaila nie namawia odbiorcy do wykonania potencjalnie ryzykownych czynności? Przyjmij, że ryzykowną czynnością może być otwarcie załącznika, kliknięcie w link zawarty wewnątrz emaila, wykonanie operacji finansowej, zmiana istotnych ustawień (hasła, numeru konta, adresu email itp.), przekazanie zwrotne danych osobowych, haseł, czy innych informacji chronionych.
- Jeżeli wiadomość napisana jest w języku polskim, to, czy:
- Jest napisana poprawną polszczyzną?
- Zawiera poprawne polskie znaki diakrytyczne (ąęćźżółńś)?
- Jeżeli treść wiadomości namawia do podania/wprowadzenia hasła do logowania, bądź zmiany istotnych ustawień – najprawdopodobniej masz do czynienia z wiadomością wyłudzającą informacje – tzw. phishing. Korzystając z informacji dostępnych Ci w innych systemach, na innych stronach (poza treścią wiadomości podejrzanej) skontaktuj się z nadawcą wiadomości i potwierdź jej oryginalność.
- Jeżeli nadawca wiadomości jest nieznany, bądź nie potwierdzi oryginalności wiadomości – masz do czynienia z próbą wyłudzenia. Jeżeli wiadomość nosi cechy, że wysłana była z Netii – zgłoś incydent bezpieczeństwa na adres: incydent@netia.pl i zakończ analizę wiadomości.
- Jeżeli jedna z odpowiedzi na powyższe pytania jest negatywna – zachowaj ostrożność i przejdź do analizy kolejnych elementów.
- Jeżeli wszystkie odpowiedzi są pozytywne, przyjmij, że na tym etapie analizy nic nie wskazuje na email szkodliwy. Zachowaj ostrożność i przejdź do analizy kolejnych elementów.
1.3.2 Analiza informacji dotyczących nadawcy
- Mając otwartą wiadomość kliknij w przycisk „Odpowiedz”. Zweryfikuj, czy adres odpowiedzi zwrotnej jest identyczny z adresem nadawcy. Jeżeli oba adresy są różne, najpewniej masz do czynienia z próbą wyłudzenia. Jeżeli wiadomość nosi cechy, że wysłana była z Netii – zgłoś incydent bezpieczeństwa na adres: incydent@netia.pl i zakończ analizę wiadomości.
- Otwórz nagłówki wiadomości. W przypadku korzystania z klienta MS Outlook możesz to zrobić zgodnie z pkt 2.2. - Dotarcie do nagłówków wiadomości email w kliencie MS Outlook.
- Zweryfikuj, czy domena nadawcy wiadomości (np. netia.pl) znajduje się w sekcji „Received” nagłówka wiadomości. Możesz to zrobić zgodnie z instrukcją 3.3 Weryfikacja zawartości sekcji „Received” nagłówka wiadomości.
1.3.3 Analiza załącznika
- Jeżeli załącznik jest zaszyfrowany, a hasło do jego otwarcia jest podane w treści wiadomości – przyjmij, że celem szyfrowania było ominięcie programów bezpieczeństwa, a wiadomość najpewniej zawiera treści szkodliwe. W takim wypadku, jeżeli wiadomość nosi cechy, że wysłana była z Netii – zgłoś incydent bezpieczeństwa na adres: incydent@netia.pl.
- Jeżeli załącznik jest plikiem wykonywalnym (i ma rozszerzenie „exe”, „msi”, „js”, „com”) i nie został wysłany na Twoją prośbę, przyjmij, że z dużą dozą prawdopodobieństwa jest to załącznik szkodliwy. Możesz zweryfikować jego szkodliwość poddając go podstawowej analizie z wykorzystaniem serwisu internetowego https://www.virustotal.com. Zapoznaj się dokładnie z wynikami tej analizy.
1.3.4 Analiza linków i adresów www
- Każdy link weryfikowanej wiadomości poddaj podstawowej analizie z wykorzystaniem serwisu internetowego https://www.virustotal.com. Zapoznaj się dokładnie z wynikami tej analizy.
2 Instrukcje
2.1 Przesłanie (w formie załącznika) kompletnej wiadomości email
Aby przesłać w formie załącznika całą oryginalną wiadomość email, wykonaj następujące kroki:
- Zapisz oryginalną wiadomość email na dysku (np. przeciągnij ją na pulpit).
- Stwórz nową wiadomość email.
- Dołącz oryginalną wiadomość email do nowo stworzonej wiadomości email (np. przeciągnij oryginalną wiadomość z pulpitu na okno nowej wiadomości email).
- Wypełnij w nowej wiadomości email sekcje: DO, Temat, Treść wiadomości.
- Wyślij nową wiadomość email.
- Usuń zapisaną wcześniej oryginalną wiadomość email (np. przeciągnij oryginalną wiadomość z pulpitu do kosza).
2.2 Dotarcie do nagłówków wiadomości email w kliencie MS Outlook
- Otwórz analizowaną wiadomość email.
- Kliknij w menu Plik.
- Kliknij w przycisk Właściwości.
- Kliknij w sekcję Nagłówki internetowe.
- Zaznacz całość wiadomości (Ctrl+A) oraz skopiuj wiadomość do pamięci (Ctrl+C).
- Otwórz dowolny edytor tekstów (np. aplikację Notepad, MS Word, Write itp.).
- Wklej skopiowaną wiadomość z pamięci (Ctrl+V).
2.3 Weryfikacja zawartości sekcji „Received” nagłówka wiadomości
- Sprawdź zawartość sekcji Received nagłówka wiadomości:
Czy odpowiedź była przydatna?
Dziękujemy za odpowiedź
Pomóż nam poprawić tą odpowiedź
Jakich informacji Ci zabrakło?
Dziękujemy za informację. Państwa wskazówki są dla nas bardzo cenne.
Zobacz także