What is a double extension attack and why does it work?

A double extension attack names a file something like "Invoice_Final.pdf.exe" so it appears to be a PDF when it is actually an executable program. This works because Windows hides known file extensions by default. With that setting active, the file displays as "Invoice_Final.pdf" with a PDF-like icon, and nothing visually indicates it will run code when opened.The technique is effective because people make trust decisions based on the visible file name and icon. When you expect a PDF from a client, a file that looks like a PDF passes the quick mental check most people perform before double-clicking. Attackers pair this with spoofed file-sharing notifications from platforms like Google Drive, Dropbox, or SharePoint to add another layer of legitimacy.To protect yourself, enable "Show file extensions" in your operating system settings. On Windows, open File Explorer, click View, and check "File name extensions." This reveals the true extension. Also, right-click any downloaded file and check Properties to see the actual file type. If a file shows "Application" as its type but claims to be a document, do not open it.

Should I always trust my antivirus when it says a file is safe?

Antivirus tools are essential but not infallible. Detection rates for new malware variants can lag behind attackers by hours or days. According to AV-TEST Institute, approximately 450,000 new malware samples are registered daily. Signature-based detection catches known threats reliably, but zero-day or freshly compiled variants may pass through initial scans.However, the far more common and dangerous mistake is ignoring antivirus warnings when they do trigger. In this exercise, the antivirus correctly flags the disguised executable, but the user dismisses the alert. Research from Google's Safe Browsing team found that up to 30% of users bypass browser and antivirus warnings, often because they trust the source of the file more than the security tool.The correct approach is layered verification. If your antivirus flags a file, quarantine it immediately and do not override the warning. If it does not flag a file but you have any doubt, verify with the sender through a separate communication channel. Check file properties to confirm the type matches expectations. And never open files from unexpected sources, even if they arrive through trusted platforms, without confirming the sender actually sent them.

Обізнаність про розширення файлів

It looks like a PDF. It runs like malware.

Що таке Обізнаність про розширення файлів?

Клієнт надсилає файли проєкту через знайоме посилання для обміну. Серед легітимних документів знаходиться файл з назвою Invoice_Final.pdf.exe. Іконка PDF виглядає нормально. Windows приховує розширення .exe за замовчуванням. Через двадцять п'ять хвилин після відкриття Ваші облікові дані вкрадені та ексфільтровані. Ця симуляція проводить Вас через атаку на основі файлів від початку до кінця. Ви отримуєте підроблене сповіщення про обмін файлами, переходите на переконливу, але шахрайську сторінку обміну та зустрічаєте замаскований виконуваний файл серед легітимно виглядаючих файлів. Вправа висвітлює попереджувальні ознаки на кожному етапі, які більшість людей пропускають у реальних сценаріях. Звіт Verizon Data Breach Investigations Report 2024 показав, що 94% шкідливого ПЗ доставляється через електронну пошту та завантаження файлів. Зловмисники послідовно використовують дві стандартні налаштування Windows: приховані розширення файлів та схильність довіряти файлам, надісланим через знайомі платформи. Подвійні розширення на кшталт .pdf.exe, .docx.scr та .xlsx.bat є одними з найстаріших трюків, але вони залишаються ефективними, тому що більшість користувачів ніколи не бачать справжнє розширення. Ви дізнаєтесь, які розширення файлів можуть виконувати код на Вашій системі, включаючи менш очевидні, такі як .scr, .cmd, .vbs, .js, .wsf та .ps1. Вправа охоплює, як розкрити справжні типи файлів, чому відхилення попереджень антивірусу є одним з найнебезпечніших кліків, та як перевірити легітимність файлу перед відкриттям. Ви також практикуватимете процес звітування про інцидент після підтвердженої компрометації, включаючи ізоляцію машини та повідомлення команди безпеки.

Що ви дізнаєтесь у Обізнаність про розширення файлів

Визначати атаки подвійного розширення та інші техніки маніпулювання назвами файлів, що використовуються для маскування шкідливих файлів
Налаштовувати параметри операційної системи для відображення повних розширень файлів та деталей типів файлів
Знати повний список небезпечних виконуваних розширень, включаючи .exe, .scr, .bat, .cmd, .vbs, .js, .wsf та .ps1
Правильно реагувати на сповіщення антивірусу, поміщаючи позначені файли на карантин та повідомляючи команди безпеки
Перевіряти автентичність файлу через підтвердження від відправника та перевірку властивостей файлу перед відкриттям спільних документів

Обізнаність про розширення файлів — Кроки навчання

Напружений четвер

Сьогодні ранок четверга, а завтра відбудеться квартальна оглядова зустріч із Sentinel Analytics, одним із найважливіших облікових записів компанії. Ви все ще чекаєте на кілька результатів від команди клієнта, щоб завершити свою презентацію.
Файли від клієнта

Приходить електронний лист від, здається, Девіда Парка, вашої основної контактної особи в Sentinel Analytics. Він ділиться посиланням для завантаження результатів проекту Q4, на які ви так довго чекали.
Відкриття посилання для обміну файлами

Аліса натискає посилання CloudDocs, щоб отримати доступ до спільних файлів. Сторінка завантажує чистий інтерфейс обміну файлами з чотирма файлами проекту, готовими для завантаження.
Завантаження файлів

Сторінка CloudDocs показує чотири файли, якими поділився 'David Park'. Усе виглядає нормально – електронні таблиці, документи та те, що виглядає як рахунок у форматі PDF. Аліса натискає кнопку завантаження, щоб отримати їх усі.
Перегляд завантажень

Завантаження завершується, і Аліса розпаковує файли. Вона відкриває диспетчер файлів, щоб переглянути результати. Першим пріоритетом є звіт про доходи за четвертий квартал — це дані, які їй найбільше потрібні для завтрашньої презентації.
Підозрілий файл

Дані про доходи перевіряються. Аліса переходить до решти файлів. Вона бачить те, що, як їй здається, 'Invoice_Final.pdf' і двічі клацає, щоб відкрити його. Але коли вона запускає файл, її антивірусне програмне забезпечення запускає термінове сповіщення.
Знайома помилка

Аліса вагається. Завтрашній квартальний огляд є критичним, і попереду у неї ще години підготовки. Цілий тиждень антивірус відмічав помилкові спрацьовування з інсталяцією нового програмного забезпечення. Вона вирішує відкинути попередження та розібратися з ним пізніше.
Порушення

Через двадцять п’ять хвилин у папці «Вхідні» Аліси з’являється автоматичне сповіщення безпеки. Хтось увійшов до її облікового запису Ridgeline із незнайомого місця. Троян із подвійним розширенням видобув її облікові дані до того, як антивірус зміг їх повністю локалізувати.
Відстеження атаки

Тепер Аліса розуміє, що «PDF» насправді був виконуваною програмою, замаскованою подвійним розширенням. Файл отримав назву Invoice_Final.pdf.exe — «.pdf» був лише частиною назви файлу, щоб він виглядав як документ, тоді як справжнє розширення «.exe» робило його виконуваним файлом. Озираючись на оригінальний електронний лист, вона помічає щось, що пропустила під час поспіху.
Підроблена сторінка обміну файлами

Електронний лист надійшов не від справжнього Девіда Пака. І на сторінці обміну файлами CloudDocs також були попереджувальні знаки.

Що таке Обізнаність про розширення файлів?

Що ви дізнаєтесь у Обізнаність про розширення файлів

Обізнаність про розширення файлів — Кроки навчання

Напружений четвер

Файли від клієнта

Відкриття посилання для обміну файлами

Завантаження файлів

Перегляд завантажень

Підозрілий файл

Знайома помилка

Порушення

Відстеження атаки

Підроблена сторінка обміну файлами