Bewustzijn over Bestandsextensies

Wat is Bewustzijn over Bestandsextensies?

Een klant deelt projectbestanden via een bekende link voor het delen van bestanden. Tussen de legitieme documenten zit een bestand genaamd Factuur_Definitief.pdf.exe. Het PDF-pictogram ziet er normaal uit. Windows verbergt de .exe-extensie standaard. Vijfentwintig minuten na het openen zijn uw inloggegevens gestolen en geëxfiltreerd. Deze simulatie doorloopt een bestandsgebaseerde aanval van begin tot eind. U ontvangt een vervalste melding voor het delen van bestanden, navigeert naar een overtuigende maar frauduleuze deelpagina en treft het vermomde uitvoerbare bestand aan tussen legitiem ogende bestanden. De oefening benadrukt waarschuwingssignalen in elke fase die de meeste mensen in echte scenario's missen. Verizon's Data Breach Investigations Report 2024 toonde aan dat 94% van alle malware wordt afgeleverd via e-mail en bestandsdownloads. Aanvallers misbruiken consequent twee Windows-standaardinstellingen: verborgen bestandsextensies en de neiging om bestanden te vertrouwen die via bekende platforms worden gedeeld. Dubbele extensies zoals .pdf.exe, .docx.scr en .xlsx.bat behoren tot de oudste trucs, maar ze blijven effectief omdat de meeste gebruikers de werkelijke extensie nooit zien. U leert welke bestandsextensies code kunnen uitvoeren op uw systeem, inclusief minder voor de hand liggende zoals .scr, .cmd, .vbs, .js, .wsf en .ps1. De oefening behandelt hoe u echte bestandstypen zichtbaar maakt, waarom het wegklikken van antiviruswaarschuwingen een van de gevaarlijkste klikken is die u kunt maken en hoe u de legitimiteit van bestanden verifieert voordat u iets opent. U oefent ook het incidentmeldingsproces na een bevestigde compromittering, inclusief het isoleren van uw machine en het informeren van het beveiligingsteam.

Wat je leert in Bewustzijn over Bestandsextensies

• Identificeer dubbele-extensie-aanvallen en andere bestandsnaam-manipulatietechnieken die worden gebruikt om schadelijke bestanden te vermommen
• Configureer instellingen van het besturingssysteem om volledige bestandsextensies en bestandstypedetails weer te geven
• Herken de volledige lijst van gevaarlijke uitvoerbare extensies, waaronder .exe, .scr, .bat, .cmd, .vbs, .js, .wsf en .ps1
• Reageer gepast op antivirusmeldingen door gemarkeerde bestanden in quarantaine te plaatsen en te melden bij beveiligingsteams
• Verifieer de authenticiteit van bestanden via bevestiging door de afzender en inspectie van bestandseigenschappen voordat u gedeelde documenten opent

Bewustzijn over Bestandsextensies — Trainingsstappen

1. Een drukke donderdag

   Het is donderdagochtend en morgen is de driemaandelijkse evaluatievergadering met Sentinel Analytics, een van de belangrijkste accounts van het bedrijf. U wacht nog steeds op verschillende resultaten van het klantteam om uw presentatie af te ronden.

2. Bestanden van de Klant

   Er komt een e-mail binnen van wat David Park lijkt te zijn, uw primaire contactpersoon bij Sentinel Analytics. Hij deelt een downloadlink voor de projectresultaten van het vierde kwartaal waar u op hebt gewacht.

3. De koppeling voor het delen van bestanden openen

   Alice klikt op de CloudDocs-link om toegang te krijgen tot de gedeelde bestanden. De pagina laadt een overzichtelijke interface voor het delen van bestanden met vier projectbestanden die klaar zijn om te downloaden.

4. Het downloaden van de bestanden

   De CloudDocs-pagina toont vier bestanden die zijn gedeeld door 'David Park'. Alles ziet er normaal uit: spreadsheets, documenten en wat lijkt op een pdf-factuur. Alice klikt op de downloadknop om ze allemaal te pakken.

5. Bladeren door de downloads

   De download is voltooid en Alice extraheert de bestanden. Ze opent Bestandsbeheer om de resultaten te bekijken. De eerste prioriteit is het omzetoverzicht van het vierde kwartaal. Dit zijn de gegevens die ze het meest dringend nodig heeft voor de presentatie van morgen.

6. Het verdachte dossier

   De omzetgegevens kloppen. Alice gaat verder met de resterende bestanden. Ze ziet wat ze denkt dat 'Invoice_Final.pdf' is en dubbelklikt om het te openen. Maar zodra ze het bestand uitvoert, activeert haar antivirussoftware een dringende waarschuwing.

7. Een bekende fout

   Alice aarzelt. De driemaandelijkse evaluatie van morgen is van cruciaal belang en ze heeft nog uren voorbereiding te wachten. De antivirus signaleert de hele week valse positieven bij nieuwe software-installaties. Ze besluit de waarschuwing terzijde te schuiven en deze later af te handelen.

8. De inbreuk

   Vijfentwintig minuten later verschijnt er een automatische beveiligingswaarschuwing in de inbox van Alice. Iemand heeft vanaf een onbekende locatie ingelogd op haar Ridgeline-account. De Trojan met dubbele extensie haalde haar inloggegevens eruit voordat de antivirus deze volledig kon bevatten.

9. Het traceren van de aanval

   Alice realiseert zich nu dat de 'PDF' eigenlijk een uitvoerbaar programma was, vermomd met een dubbele extensie. Het bestand heette Invoice_Final.pdf.exe - de '.pdf' was slechts een deel van de bestandsnaam om het op een document te laten lijken, terwijl de echte extensie '.exe' het een uitvoerbaar bestand maakte. Als ze terugkijkt op de oorspronkelijke e-mail, valt haar iets op dat ze in haar haast heeft gemist.

10. De valse pagina voor het delen van bestanden

    De e-mail was niet van de echte David Park. En de CloudDocs-pagina voor het delen van bestanden had ook waarschuwingssignalen.