אינך יכול להבטיח שקובץ הוא באמת תמונה, וידאו, קובץ PDF או טקסט על ידי הסתכלות על סיומות קבצים. ב-Windows, תוקפים יכולים לבצע קובץ PDF כאילו היה EXE.
זה די מסוכן, מכיוון שקובץ שאתה מוריד מהאינטרנט, בטעות שהוא קובץ PDF, עשוי להכיל וירוס מאוד מזיק. האם תהיתם פעם איך תוקפים עושים זאת?
הסבר על וירוסים טרויאניים
וירוסים טרויאניים שואבים את שמם מהתקפת האכאים (היוונים) במיתולוגיה היוונית על העיר טרויה באנטוליה. טרויה ממוקמת בגבולות העיר צ'אנקלה של היום. על פי הנרטיבים, היה דגם סוס עץ שבנה אודיסאוס, אחד ממלכי יוון, כדי להתגבר על חומות העיר טרויה. חיילים התחבאו בתוך הדגם הזה ונכנסו בחשאי לעיר. אם אתה תוהה, עותק של דגם הסוס הזה עדיין נמצא בצ'אנקלה, טורקיה.
הסוס הטרויאני ייצג פעם הונאה חכמה והישג גאוני של הנדסה. היום, לעומת זאת, היא נתפסת כתוכנה זדונית דיגיטלית זדונית שמטרתה היחידה היא לפגוע במחשבי יעד שלא זוהו. זֶה וירוס נקרא טרויאני בגלל הרעיון של לא מזוהה ולגרום נזק.
סוסים טרויאניים יכולים לקרוא סיסמאות, להקליט את המקשים שאתה לוחץ על המקלדת שלך, או לקחת את כל המחשב שלך כבן ערובה. הם די קטנים למטרה זו ועלולים לגרום לנזק חמור.
מהי שיטת RLO?
ניתן לכתוב שפות רבות מימין לשמאל, כמו ערבית, אורדו ופרסית. תוקפים רבים משתמשים בטבע זה של שפה כדי לבצע התקפות שונות. טקסט שהוא משמעותי ובטוח עבורך כאשר אתה קורא אותו החל משמאל עשוי להיכתב מימין ולהתייחס לקובץ אחר לגמרי. ניתן להשתמש בשיטת RLO שקיימת במערכת ההפעלה Windows כדי להתמודד עם שפות מימין לשמאל.
יש תו RLO עבור זה ב-Windows. ברגע שאתה משתמש בתו זה, המחשב שלך יתחיל לקרוא את הטקסט מימין לשמאל. תוקפים המשתמשים בזה מקבלים הזדמנות טובה להסתיר שמות קבצים ותוספות הניתנות להפעלה.
לדוגמה, נניח שאתה מקליד מילה באנגלית משמאל לימין, והמילה הזו היא תוכנה. אם תוסיף את התו RLO של Windows אחרי האות T, כל מה שתקליד לאחר מכן ייקרא מימין לשמאל. כתוצאה מכך, המילה החדשה שלך תהיה Softeraw.
כדי להבין זאת טוב יותר, עיין בתרשים שלהלן.
האם ניתן לשים טרויאני ב-PDF?
בחלק מהתקפות PDF זדוניות, אפשר לשים ניצולים או סקריפטים זדוניים בתוך ה-PDF. כלים ותוכניות רבות ושונות יכולים לעשות זאת. יתרה מכך, ניתן לעשות זאת על ידי שינוי הקודים הקיימים של ה-PDF ללא שימוש בתוכנית כלשהי.
עם זאת, שיטת RLO שונה. בשיטת RLO, התוקפים מציגים EXE קיים כאילו הוא PDF כדי להערים על משתמש היעד. אז רק התמונה של ה-EXE משתנה. משתמש היעד, לעומת זאת, פותח את הקובץ הזה מתוך אמונה שזהו PDF תמים.
כיצד להשתמש בשיטת RLO
לפני שמסבירים כיצד להציג EXE כקובץ PDF בשיטת RLO, עיין בתמונה למטה. איזה מהקבצים האלה הוא PDF?
אתה לא יכול לקבוע זאת במבט חטוף. במקום זאת, Y=עליך להסתכל על תוכן הקובץ. אבל למקרה שתהיתם, הקובץ משמאל הוא ה-PDF האמיתי.
הטריק הזה די קל לביצוע. תוקפים כותבים תחילה קוד זדוני ומקמפלים אותו. הקוד המהודר נותן פלט בפורמט exe. תוקפים משנים את השם והסמל של EXE זה והופכים את המראה שלו ל-PDF. אז איך עובד תהליך השמות?
כאן נכנס לתמונה RLO. לדוגמה, נניח שיש לך EXE בשם iamsafefdp.exe. בשלב זה, התוקף ישים בין דמות RLO אני בטוח ו fdp.exe ל לשנות את שם הקובץ. זה די קל לעשות זאת ב-Windows. פשוט לחץ לחיצה ימנית בזמן שינוי השם.
כל מה שצריך להבין כאן הוא שאחרי ש-Windows רואה את התו RLO, הוא קורא מימין לשמאל. הקובץ עדיין EXE. שום דבר לא השתנה. זה פשוט נראה כמו PDF במראה.
לאחר שלב זה, התוקף יחליף כעת את הסמל של ה-EXE בסמל PDF וישלח את הקובץ הזה לאיש היעד.
התמונה למטה היא התשובה לשאלה הקודמת שלנו. ה-EXE שאתה רואה בצד ימין נוצר בשיטת RLO. במראה, שני הקבצים זהים, אבל התוכן שלהם שונה לחלוטין.
איך אתה יכול להתגונן מפני סוג זה של התקפה?
כמו בבעיות אבטחה רבות, ישנם מספר אמצעי זהירות שאתה יכול לנקוט בבעיית אבטחה זו. הראשון הוא להשתמש באפשרות שינוי שם כדי לבדוק את הקובץ שברצונך לפתוח. אם תבחר באפשרות שינוי שם, מערכת ההפעלה Windows תבחר אוטומטית את האזור שמחוץ לסיומת הקובץ. אז החלק שלא נבחר יהיה הסיומת בפועל של הקובץ. אם אתה רואה את פורמט EXE בחלק שלא נבחר, אסור לפתוח את הקובץ הזה.
אתה יכול גם לבדוק אם תו מוסתר הוכנס באמצעות שורת הפקודה. בשביל זה, פשוט להשתמש ב דיר פקודה כדלהלן.
כפי שניתן לראות בצילום המסך למעלה, יש משהו מוזר בשם הקובץ ששמו util. זה מצביע על כך שיש משהו שאתה צריך לחשוד בו.
נקוט באמצעי זהירות לפני הורדת קובץ
כפי שאתה יכול לראות, אפילו קובץ PDF פשוט יכול לגרום למכשיר שלך ליפול בשליטת התוקפים. לכן לא כדאי להוריד כל קובץ שאתה רואה באינטרנט. לא משנה כמה אתה חושב שהם בטוחים, תמיד תחשוב פעמיים.
לפני הורדת קובץ, יש כמה אמצעי זהירות שאתה יכול לנקוט. קודם כל, כדאי לוודא שהאתר שממנו אתה מוריד אמין. אתה יכול לבדוק את הקובץ שתוריד מאוחר יותר באינטרנט. אם אתה בטוח בהכל, זה לגמרי תלוי בך לקבל את ההחלטה הזו.