23 марта 2017, 0:04

Антифишинг-дайджест №8 с 16 по 22 марта 2017 года

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 16 по 22 марта 2017 года.


Андрей Жаркевич
редактор, руководитель службы ИТ

Смартфоны, банкоматы и «умные» устройства

Специалисты компании Group-IB описали схему целевых атак на банки, лизинговые и страховые компании, в результате которых только у одного банка было украдено больше $2 млн.

Атаки начинались с рассылки фишинговых писем с эксплойтом или исполняемым файлом в архиве с паролем. Фишинговые письма чаще всего рассылались от имени Европейского центрального банка, производителя банкоматов Wincor Nixdorf или региональных банков, с указанием настоящих доменов в адресе отправителя.

Для банков СНГ преступники отправляли вложения «Договор_хранения2016.zip» и «список документов.doc». Для иностранных — «The rules for European banks.doc» и «Bitcoin ATM’s.doc»:

После открытия файла и запуска эксплойта злоумышленники закреплялись в системе, повышали привилегии в домене и получали доступ к банкоматам. На банкоматы устанавливалось специальное ПО, с помощью которого преступники дистанционно инициировали выдачу наличности:

Банк России сообщает о новом способе «беспроводной» атаки на банкоматы:

Устройство стоит рядом с банкоматом. И на банкомат ничего не вешается, это принципиальная новизна. Банкомат защищается по-разному. Ставят датчики движения, вскрытия. И когда эта штука работает дистанционно, эти датчики бесполезны. Точнее, они для такого вида атак бесполезны. Они хорошо действуют, когда банкомат вскрывают, когда дырки выпиливают.

Артем Сычев, заместитель начальника главного управления безопасности и защиты информации Банка России

Хакеры утверждают, что имеют доступ к 200 млн почтовых аккаунтов Apple, в том числе в доменах @icloud и @me. От компании Apple вымогатели требуют либо $75 000 в Bitcoin или Ethereum, либо $100 000 подарочными картами iTunes. Если Apple не заплатит до 7 апреля 2017 года, хакеры угрожают стереть все пользовательские данные, до которых сумеют «дотянуться».

Американские фермеры взламывают свою сельхозтехнику и устанавливают на нее прошивки, созданные хакерами из Восточной Европы. Deere&Company и другие производители защищаются от «неавторизованного» ремонта, лишая фермеров не только права самостоятельно чинить свои тракторы, но и ставя их жизни под угрозу в случае внезапной поломки или аварии. Новая прошивка помогает обойти эти ограничения.

Вредоносные программы (и устройства)

Исследователи показали, как с помощью штатного, встроенного в Windows инструмента пользователь может перехватить управление привилегированным приложением и получить полный контроль над системой. Показательный пример — во «вредоносное» приложение превращается установленный в системе антивирус:

Видео-демонстрация атаки:

Новая программа-вымогатель маскируется под стресс-тестер LOIC, шифрует файлы и требует выкуп в малоизвестной криптовалюте Monero:

Мошенники распространяют фальшивое приложение Event Monitor. Программа показывает уведомление о проблемах с компьютером и предлагает позвонить в техническую поддержку:

По телефону пользователю ответят мошенники, которые попытаются убедить жертву в необходимости приобретения различных ненужных приложений и услуг.

В продаже появилась новая версия USB-киллера — флешки-убийцы, сжигающей устройство, к которому её подключают. Стоимость флешки-убийцы составляет около 53 долларов США. Производители сделали «анонимные» варианты киллера, которые выглядят как обычная флешка. Обновлённая «флешка» теперь преодолевает защиту устройств Apple, в том числе Айфонов и Айпадов:

Сайты, мессенджеры и почта

В социальных сетях появились сообщения о фишинговых рассылках от имени ВТБ24, Сбербанка и Ростелекома. Получателю письма предлагается скачать новый счёт по ссылке. Ссылка ведёт в облако mail.ru, после запуска «счёта» данные на компьютере шифруются, и программа-вымогатель требует выкуп:

Компания «Сибур» предупреждает о похожих попытках мошенничества в отношении своих контрагентов:

Отдельные контрагенты компании с 25 января 2017 года стали получать по электронной почте предложения приобрести по низким ценам качественную полимерную продукцию.

В сообщениях, распространяемых с помощью спам-рассылки, как правило, указаны фамилия и имя работника Блока продаж Дирекции базовых полимеров и фиктивные контактные данные для обращения: номера телефонов +7 (495) 241-04-687, +7 499) 348-92-05 и адреса электронной почты info@sibur.info, proposal@sibur.info, kp_property@sibur.info. Также мошенники зарегистрировали сайт-двойник официального сайта ПАО «СИБУР Холдинг» (www.sibur.info), на котором размещена ложная информация в разделе «Контакты».

— ПАО «СИБУР Холдинг» (настоящий сайт: sibur.ru)

Мошенники пользуются новостями об украденных фото Эммы Уотсон и других знаменитостей: под видом архивов с фотографиями и программ для их просмотра предлагают скачать и установить вредоносные программы:

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Поделиться
Запинить