Избранное

Мы открываем регулярный информационный дайджест, в котором будем рассказывать об актуальных технологиях фишинга и других атаках на человека.

В этот выпуск включены новости c 24 по 31 января 2017 года.


Андрей Жаркевич
редактор, руководитель службы ИТ

Пароли

Компания SplashData провела исследование самых популярных паролей 2016 года. На первом месте по прежнему печально известный пароль «123456», на подбор которого уходит несколько секунд. В десятку вошли также «12345», «password», «12345678» и «qwerty».

Если человека заставляют придумывать длинный пароль, скорее всего, он составит его из нескольких словарных слов и добавит пару цифр в конце. Возможно, каждое слово будет написано с большой буквы для большей безопасности. К сожалению, атаки Combo и Hybrid легко справляются с такими паролями, поэтому даже 12 символов не спасут: пароль «securityobjectivesbulletin» на обычном компьютере был подобран за несколько секунд.

По данным «Лаборатории Касперского», каждый шестой россиянин сталкивался с компрометацией пароля, но несмотря на это 35% жителей РФ используют одинаковый логин и пароль на всех ресурсах.

Через уязвимость в форуме хакеры украли адреса почты и хеши паролей 1 миллиона поклонников игры Clash of Clans. Это плохая новость для тех, кто везде использует одинаковый пароль: похищенные данные могут использовать для взлома почты и аккаунтов в социальных сетях.

Мобильная безопасность

Новый Андроид-троян внедряется в активный процесс Плей-Маркета, крадет уникальный идентификатор мобильного гаджета и учетной записи его владельца, коды авторизации для подключения к каталогу Google Play и иную конфиденциальную информацию. Добытые сведения вместе с технической информацией об устройстве отправляются на управляющий сервер злоумышленников.

Новый вымогатель блокирует Андроид-смартфон и требует за разблокировку 545 тысяч рублей. Вымогатель говорит только по-русски и требует ввести номер кредитки прямо на заблокированном экране.

Мошенники рассылали в Вайбере сообщения о списании денежных средств с карты. Получатели перезванивали по указанному номеру телефона и сообщали фальшивым сотрудникам банка сведения, достаточные для того, чтобы мошенники действительно списали деньги с их счета.

Социальные сети и почта

Пользователи Фейсбука получают сообщение с темой «Вы на этом видео» и просьбой перейти по ссылке. Ссылка ведет на поддельную страницу авторизации, которая собирает учётные данные пользователей.

Оперативники Хамас под видом симпатичной девушки в Фейсбуке убедили израильских солдат установить на смартфоны приложение-шпион и получили полный доступ к контактам, микрофону и камере:

Новая фишинговая кампания против пользователей Gmail. Письма содержат вредоносную ссылку, которая выглядит как вложенный документ:

В результате даже продвинутые пользователи не замечают обман и могут ввести свой пароль на фишинговом аналоге Gmail. Адрес, на который ведет ссылка, начинается со следующего фрагмента кода:

data:text/html,https://accounts/google.com

что может ввести пользователя в заблуждение и заставит поверить, что он все еще находится на настоящем сайте Google:

На самом деле, для открытия фишинговой страницы в новой вкладке используется специальный скрипт, который крадет пароли и отправляет их хакерам.

Пользователям Chrome стоит опасаться сообщений «шрифт не найден». Поверх страницы, которая становится нечитаемой из-за действий скрипта, атакующие выводят всплывающее окно, которое сообщает жертве, что на ее компьютере не хватает некоего специфического шрифта, и для нормальной работы ресурса шрифт необходимо скачать и установить. Закрыть это окно, нажав на крестик в углу, не получится:

Платежные системы

Проведённое по заказу Citrix исследование выявило, что 61% крупных компаний Великобритании заплатили кибервымогателям крупные выкупы за устранение несуществующей угрозы. Злоумышленники связываются с жертвой, сообщают ей, что системы предприятия якобы заражены вымогательским ПО, и требуют выкуп за «ключ шифрования».

Специалисты компании ESET и их коллеги из ИБ-фирмы CYREN предупреждают о двух новых фишинговых кампаниях. Первая кампания ориентирована на пользователей PayPal. Атака начинается с фишингового письма, имитирующего официальное сообщение сервиса. Клиента предупреждают о подозрительной активности и предлагают подтвердить личность, чтобы вернуть доступ к аккаунту PayPal. Грамматические ошибки в письме указывают на то, что автор не является носителем английского языка, но неопытных пользователей это редко наводит на подозрения. По ссылке клиент попадает на фишинговый сайт, который украдет пароль от PayPal.

Вторая кампания, обнаруженная CYREN, выглядит не менее убедительно для неискушенных пользователей. Мошенники присылают жертвам письма, озаглавленные «Уведомление о безналичном банковском переводе», «Обновление платежа» или «Swift копия». Если пользователь открывает письмо, внутри он находит уведомление о банковском переводе, якобы поступившем в его адрес. При этом послание замаскировано под официальное сообщение от сингапурского банка DBS или банка Emirates NBD:

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

6 июня 2016, 1:56

Как действуют хакеры

и что делать, чтобы не стать их жертвой

Вы приезжаете в отель и подключаетесь к местной беспроводной сети. На экране появляется окно с предложением обновить флеш-плеер, вы соглашаетесь. Обновление устанавливается, но компьютер уже не совсем ваш: теперь его контролируют профессиональные хакеры. Они скопируют ваши файлы и почту, сохранят пароли и смогут управлять компьютером так, что вы этого не заметите.

Сергей Волдохин
sv@antiphish.ru


Как это произошло?

В 2014 году Лаборатория Касперского рассказала о проекте Darkhotel —
серии целевых атак на руководителей компаний и предпринимателей в Японии, Китае, России и других странах.

Статья «APT-атака Darkhotel. История необычного гостеприимства»

Для взлома компьютеров неизвестные хакеры использовали как минимум четыре метода. Мы разберем эти методы и объясним, как не стать жертвой в подобных ситуациях.

Атаки через провайдера

Провайдер контролирует все, что вы смотрите в интернете и определяет, какие данные вы получите.

Обычно провайдеры передают то, что вы просили: по ссылке blog.antiphish.ru откроется наш блог, а по ссылке www.facebook.com — сайт социальной сети. Но провайдер может показать вам все, что захочет: например, рекламный ролик, как при подключении к беспроводной сети московского метро.

Как действуют хакеры. Хакеры из группы Darkhotel взламывали провайдеров и получали полный доступ к беспроводным сетям крупных отелей и бизнес-центров. Среди тех, кто подключался к этим сетям, они выбирали жертву и показывали ей всплывающее окно с предложением обновить флеш-плеер, гугл хром или другую программу. Вместе с настоящим обновлением запускалась троянская программа, и компьютер оказывался под контролем хакеров.

Как защититься. Старайтесь не пользоваться публичными сетями: вместо этого подключайтесь через смартфон или интернет-модем. LTE-соединение, тариф без роуминга или местная SIM-карта — и пароль от вайфай можно не спрашивать.

Если работаете через публичную сеть, постарайтесь защитить все данные, которые передаете. Сразу после выхода в интернет подключайтесь к корпоративному VPN: весь трафик будет зашифрован, а провайдер не сможет перенаправить вас на произвольный сайт.

Если нет VPN, используйте шифрованное соединение на сайтах, с которыми работаете. Для этого набирайте https:// перед адресом: например, https://www.antiphish.ru вместо www.antiphish.ru. Это не защитит от переадресаций, но поможет сохранить личные данные, которые вы вводите на сайте: логины, пароли, номера платежных карт.

Чтобы не вводить https вручную, используйте специальное расширение браузера

Мобильный интернет → VPN → HTTPS

Фальшивые обновления

Опытные пользователи знают, как важно вовремя обновлять операционную систему, браузер и другие программы. Можешеники пользуются этим и создают специальные сайты, где под видом обновлений предлагают скачать вирус или троянскую программу:


Для просмотра видео сайт требует обновить версию флеш-плеера
и даже предлагает скачать дистрибутив

Пользователи, которые знают об этой схеме, уходят с таких сайтов, а если обновление действительно нужно — скачивают дистрибутив с сайта производителя или обновляют программу встроенными средствами. Когда есть доступ в интернет, это легко сделать:


Обновление Гугл Хром встроенными средствами браузера.

Как действуют хакеры. В атаках Darkhotel у хакеров был доступ к инфраструктуре провайдера, поэтому предложение установить фальшивое обновление появлялось еще до подключения к интернету. Пойти на сайт производителя или проверить обновление встроенными средствами не получалось. Пользователи, которые соглашались на установку, запускали троянску программу и сдавали компьютер хакерам.

Как защититься. Обновляйте программы автоматически, встроенными средствами: через центр обновлений или специальный пункт меню.

Если обновляетесь вручную, не соглашайтесь на обновления из неизвестных источников: скачивайте обновления только с сайта производителя. Дождитесь момента, когда окажетесь в собственной сети, или используйте VPN: без этого вас могут отправить на поддельный сайт.

Включите автообновления → скачивайте дистрибутив
только с сайта производителя

Торренты

Загрузка вредоносных файлов через торренты может заразить даже ваш смартфон. Этот способ работает и для массового заражения компьютеров.

статья «У вас в смартфоне дыра»

Как действуют хакеры. Группа Darkhotel создавала специальные торрент-файлы с контентом, который мог заинтересовать жертв. Файлы скачивались в архиве, и для открытия предлагалось использовать специальную программу-распаковщик. Программа извлекала файлы, но при этом устанавливала и запускала троянскую программу:


Интересный контент по-азиатски: чтобы посмотреть аниме,
придется запустить троянскую программу.

Как защититься. Не ищите бесплатный контент, или хотя бы делайте это на известных вам сайтах. Проверяйте то, что загрузили: странно видеть в архиве программу, если вы скачивали фильм.

Не открывайте подозрительные файлы

Целевой фишинг

В 2015 году группа Darkhotel изменила тактику. Главным способом заражения стал целевой фишинг — рассылка специальных электронных писем тем, кого хакеры выбирали в качестве жертв.

Как действуют хакеры. Пользователи получали письмо с вложенным архивом, внутри которого была троянская программа. Хакеры пользовались техникой переименования файлов, в результате которой у файла менялось видимое расширение: вместо .exe или .scr (настоящие расширения) пользователи видели .jpg — поддельное расширение . Открыть файл с картинкой казалось безопасно.


По расширениям (.doc) и иконкам оба файла похожи на текстовые документы. На самом деле, один из них — программа.

Как защититься. Не открывайте вложения, которые пришли от неизвестных отправителей.

Если письмо важное и открыть вложение очень нужно, внимательно смотрите на содержимое. Для этого распакуйте архив в отдельную папку и выберите представление, в котором виден тип каждого файла, или посмотрите свойства файла:


Программа, похожая на текстовый документ.

Выводы

  1. Старайтесь не пользоваться публичными сетями, а если приходится —
    работайте через VPN.
  2. Заходите на все сайты через HTTPS-соединение.
  3. Включите автоматические обновления всех программ.
  4. Если обновляетесь вручную — скачивайте дистрибутивы только с сайта производителя.
  5. Проверяйте загруженные архивы. Файлы могут быть переименованы: используйте проводник, чтобы увидеть настоящий тип каждого файла.
  6. Не запускайте неизвестные программы, скринсейверы и любые файлы, в которых не уверены.
О компании «Антифишинг»

Мы обучаем сотрудников и контролируем их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии — в том числе те, которые применяет группа Darkhotel.

Напишите нам, чтобы проверить своих пользователей.

Источники изображений: