28 заметок с тегом

дайджест

Ctrl + ↑ Позднее

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 14 по 20 июля 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты и почта

Опубликована подборка наиболее действенных тем фишинговых писем, получив которые, люди чаще всего переходили по ссылкам:



Антифишинг рекомендует использовать эту, и другую подобную статистику для выбора приоритетов при имитированных фишинговых проверках ваших сотрудников.

Рейтинг составлен компанией, специализирующейся на обучении в области безопасности, на основе действий более чем 20 тысяч сотрудников различных организаций.

Исследователи обнаружили автоматизированную платформу Hackshit, которая действует по бизнес-модели Phishing-as-a-Service («фишинг как услуга») и обещает бесплатные пробные учетные записи для доступа к учебным пособиям по взлому и фишингу.

  • Фишинговые страницы зашифрованы с помощью алгоритма base64;
  • обслуживаются с сайтов с защищенным подключением (HTTPS), платформа использует цифровой сертификат Let’s Encrypt;
  • находятся на доменах верхнего уровня .moe;
  • учетные данные жертв передаются по протоколу WebSocket.

Hackshit как платформа предлагает несколько сервисов для фишинга, а также черный рынок для покупки и продажи аналогичных сервисов. Злоумышленник может сгенерировать фишинговую страницу с помощью ссылки page/generator, авторизоваться в электронной почте жертвы, просматривать все контакты и отправлять им письма с фишинговой ссылкой или вложенным PDF-файлом, который сервис также помогает сгенерировать:

Мошенники могут расплачиваться за взломанные учетные данные биткойнами или Perfect Money. Стоимость подписки составляет от $40 до $250 за 2 месяца.

Специалисты Антифишинга сообщают о новом примере фишинга против русскоязычных пользователей.

  1. Начинается атака вполне традиционно — во вложенном в письмо документе MS Word содержится вредоносный исполняемый файл.
  2. Особенностью атаки является предлог, под которым пользователь должен открыть вредоносный файл: якобы, в документе используется некая (несуществующая) технология Adobe Data Profile (c):

См. также технический анализ вредоносной активности.

Подписчики Антифишинг-дайджеста сообщают об атаке против пользователей
MS Office 365.

Мошенники пишут пользователю о попытке восстановить пароль от его аккаунта на посторонний адрес почты, и рекомендуют «прервать процесс восстановления», перейдя по ссылке на фишинговый сайт:

Хакеры атаковали электронную почту МИД России. С помощью массовой рассылки злоумышленники получили доступ к различным информационным ресурсам МИД. Около 140 поддельных писем пришло на адреса пользователей домена mid.ru. Они содержали веб-ссылку на скачивание информационного бюллетеня, а отправителем значился электронный адрес пресс-службы. При этом использовалась ранее скомпрометированная учетная запись посольства РФ в Иране, а источником был IP-адрес, зарегистрированный в Венгрии.

«Умные» устройства

Исследователю удалось получить удаленный контроль над гироскутером Segway Ninebot miniPRO через уязвимости в приложении для смартфона и используемых протоколах коммуникации.

Социальные сети и мессенджеры

Исследователь случайно обнаружил, что может получить доступ к чужому аккаунту в Фейсбуке через номер своего мобильного телефона, который когда-то был привязан к этому аккаунту:

Рекомендуем проверить актуальные номера телефонов в настройках вашего Фейсбука.

Фейсбук позволяет добавить к аккаунту новый телефонный номер, при этом многие пользователи даже не догадываются о том, что старый номер вообще нужно удалять.

Еще легче оказалось получить доступ к чужой учетной записи в социальной сети MySpace.

Форма восстановления аккаунта позволяла указать только полное имя, юзернейм и дату рождения. Этого было достаточно для восстановления или перехвата доступа к любой учетной записи. Никаких подтверждений по телефону или почте, никакой дополнительной информации не требовалось.

Мобильная безопасность

Популярный мессенджер WhatsApp теперь поддерживает передачу файлов любых форматов:

Кроме очевидного удобства для пользователей, эта же функция может принести новые риски безопасности. Например, теперь через мессенджер можно будет передать вредоносный .APK-файл прямо на устройство жертвы.

Новая фишиговая атака направлена на пользователей WhatsApp.

Мошенники присылают письмо, в котором сообщают о том, что пользование мессенджером становится платным, и предлагают перейти по ссылке для оплаты подписки:

Аналогичные ссылки ранее приходили в СМС:

Мошенники собирают данные банковских карт и другую личную информацию пользователей Apple, рассылая письма о несуществующей покупке в iTunes Store:

  1. Если пользователь не обратит внимание на грамматические ошибки в письме и тот факт, что адрес отправителя не имеет отношения к Apple, он может поверить мошенникам и перейти на фишинговый сайт.
  2. На фишинговом сайте пользователю предлагается ввести Apple ID и пароль, далее — заполнить анкету «для подтверждения личности».
  3. Мошенники запрашивают исчерпывающие данные: имя, фамилию, почтовый адрес, телефон, дату рождения и данные банковских карт. «Принимаются» карты всех распространенных платежных систем, включая Visa, MasterCard, American Express и др.

После ввода данных на странице появится сообщение о том, что учетная запись успешно прошла проверку. Пользователь будет перенаправлен на главную страницу настоящего iTunes Store, а его персональные данные окажутся у злоумышленников.

Google будет предлагать всем, кто уже пользуется двухэтапной верификацей через СМС, перейти на использование уведомлений на смартфоне. Для использования уведомлений пользователям Android не придется совершать каких-либо дополнительных действий, пользователям iOS, которые пожелают воспользоваться новой функцией, придется установить приложение Google Search.

ИБ-специалисты уже доказали, что для обхода двухфакторной аутентификации может использоваться и набор сигнальных телефонных протоколов SS7 (или ОКС-7, Система сигнализации №7), разработанный в далеком 1975 году. Примеры таких атак уже были зафиксированы в реальности.

Пользователям Apple рекомендуется обновить iOS до версии 10.3.3, чтобы избежать возможной компрометации устройства через уязвимость в беспроводном чипе Broadcom Wi-Fi.

Исследователи обещают рассказать подробности об этой уязвимости и способах ее эксплуатации на ближайшем BlackHat USA 2017.

Браузерные расширения

Специалисты Яндекса опубликовали расследование инцидента, в результате которого на сайте Госуслуг оказались фрагменты с iframe, подгружающие данные с 15 сомнительных доменов.

По версии Яндекса, появление данного кода на страницах gosuslugi.ru не связано со взломом, целенаправленной атакой. Более вероятно, что у администратора, который редактировал содержимое этих страниц, было установлено браузерное расширение, которое внедрило посторонний код в документ, когда он загружался на сторону клиента, а на сервере он появился уже после того, как сотрудник сохранил свои изменения.

Устранена критическая уязвимость в составе расширений Cisco WebEx для Chrome и Firefox. Cisco WebEx — популярное решение для проведения вебинаров, конференций и других «удаленных мероприятий», которым пользуются более 20 млн человек.

Для эксплуатации уязвимости пользователю достаточно было перейти по вредоносной ссылке.

Браузерное расширение Particle для Chrome сменило владельца и стало вредоносным.

11 июля 2017 года в Chrome Web Store появилась обновленная версия Particle, которая запрашивает новые, крайне подозрительные права: чтение и изменение информации на любых сайтах, а также управление другими приложениями, расширениями и темами.

Как выяснилось, в новой версии Particle появилась директория algoad, и расширение «научилось» осуществлять рекламные инжекты в код таких сайтов, как Google, Yahoo, Bing, Amazon, eBay, Booking.com и других.

Человеческий фактор

Согласно результатам исследования «Лаборатории Касперского», сотрудники 39% российских компаний утаивают от руководства информацию о проблемах в области компьютерной безопасности. При этом 67% киберинцидентов вызваны в том числе действиями плохо информированных или невнимательных сотрудников.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

дайджестфишинг

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 7 по 13 июля 2017 года.


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты, мессенджеры и почта

Новая атака на компании энергетического сектора использует фишинг для хищения учётных данных пользователей. Письмо, которое получают жертвы, содержит вложенный документ Word с безобидным текстом:

Сам документ не содержит никакого подозрительного кода, но при открытии загружает с SMB-сервера злоумышленников шаблон, что позволяет получить учетные данные пользователя, а из шаблона загрузить потенциально вредоносные скрипты:

Вредоносные программы

Кроссплатформенный троян Adwind атакует предприятия аэрокосмической промышленности и распространяется с помощью спам-кампании:

По ссылке из письма скачивается Program Information file (.PIF), который обычно определяет, как приложение MS-DOS может запускаться в Windows, а в данном случае используется как загрузчик основного вредоносного кода:

Троян написан на Java и предоставляет преступникам удалённый доступ к зараженной системе. Целью атаки стали предприятия аэрокосмической отрасли преимущественно в Швейцарии, Австрии, Украине и США.

Банковский троян OSX_DOK распространяется с помощью фишинговых писем, содержащих вредоносные файлы с расширениями .zip и .docx.

Файл .zip содержит вредоносное приложение для macOS, а файл .docx — троян Werdlod, который используется для атак на Windows.

Приложение Dokument.app внутри .zip-архива в интерфейсе macOS выглядит как документ MS Word:

Оказавшись в системе, оно удаляет стандартное приложение App Store и запускает поддельное окно обновления macOS, запрашивающее пароль администратора:

Получив учетные данные, троян инициирует загрузку других приложений и устанавливает в систему фальшивые сертификаты для атаки «человек посередине».

Неизвестные злоумышленники создали подделку под Tor-браузер и распространяют её среди доверчивых пользователей, якобы чтобы предоставить им доступ к подпольным торговым площадкам Даркнета:

Вредоносное приложение, копирующее Tor, носит имя Rodeo Browser и распространяется через ролики на YouTube, где неискушенных пользователей учат, как «попасть в даркнет» и приобрести там запрещенные законом товары.

Обнаружена необычная версия известного вредоносного кода Neutrino, ориентированная на платежные терминалы. Проникнув в POS-терминал, Neutrino связывается с управляющим сервером, а затем передаёт ему данные платёжных карт клиентов.

Криптовалюты

Специалисты Антифишинга сообщают о новых атаках на пользователей MyEtherWallet — инструмента с открытым исходным кодом для создания Ethereum-кошельков и выполнения транзакций.

Атаки происходят через мошенническую рекламу и фишинговые ссылки в мессенджерах:


сравните адрес настоящего сайта и дополнительную букву i в фишинговом URL

По ссылке пользователей ждет фишинговый сайт, который полностью копирует дизайн настоящего сайта и настойчиво предлагает «включить двухфакторную аутентификацию», в ходе чего украдет аккаунт пользователя:

Подделку легко узнать, если перейти на https-версию сайта: мошенники не потрудились заменить стандартный сертификат, в результате чего браузеры показывают ошибку:

Мошенники рассылают фишинговые сообщения от имени создателя Ethereum. В сообщении говорится, что Ethereum-кошелек заблокирован из-за ошибки, и чтобы его разблокировать, нужно пройти по ссылке в письме:

Мобильная безопасность

Новый Андроид-троян SpyDealer способен красть сообщения из популярных программ, в том числе Facebook, WhatsApp, Skype, Viber, Telegram и других с помощью функций доступности Андроид.

SpyDealer также собирает личную информацию, включая номер телефона, IMEI, IMSI, SMS, MMS, контакты, учетные записи, историю звонков, местоположение и связанную с Wi-Fi информацию. Троян может отвечать на звонки, записывать аудио и видео, делать снимки с камеры устройства, контролировать местоположение и делать снимки экрана. Программа может получить привилегии root и закрепиться в системе при помощи коммерческого приложения Baidu Easy Root.

Предполагаемый первичный вектор заражения — скомпрометированные беспроводные сети, а большинство жертв имеют версию Андроид от 2.2 до 4.4.

Вымогатель LeakerLocker экран Андроид-устройств и угрожает жертве разослать контактам всю личную информацию с устройства, включая снимки с камеры и историю просмотра в браузере, если жертва не заплатит выкуп в 50 долларов.

Вектор заражения — мошеннические приложения из Плей-маркета Wallpapers Blur HD и Booster & Cleaner Pro, каждое из которых было загружено несколько тысяч раз.

Новое вредоносное ПО для Андроид-смартфонов Xafekopy незаметно подписывает своих жертв на различные платные сервисы через клики по ссылкам (в том числе с обходом капчи) или через СМС-сообщения.

Троян распространяется в рекламных сетях под видом полезных приложений, при этом в его исполняемых файлах действительно есть какой-нибудь «полезный функционал». Таким образом, магазинам приложений и модераторам рекламных сетей становится сложнее идентифицировать программу как вредоносную.

Из-за халатности одного из сотрудников AT&T злоумышленники похитили средства с PayPal-аккаунта американского iOS-разработчика Джастина Уильямса, защищенного двухфакторной аутентификацией.

  1. Неизвестный злоумышленник несколько раз звонил в поддержку AT&T и просил операторов колл-центра переключить на него аккаунт Уильямса.
  2. Сначала сотрудники оператора связи не поверили мошеннику, который не знал даже секретного кода, и блокировали поступившие от него запросы.
  3. Однако чуть позже кто-то из сотрудников AT&T смягчился и, нарушив правила, согласился переназначить номер на новую SIM-карту, как просил злоумышленник.
  4. После этого атакующий получил возможность перехватывать текстовые сообщения и звонки, поступающие на номер Уильямса.
О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

дайджестфишинг

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 30 июня по 6 июля 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Мобильная безопасность

Активно распространяется новая вредоносная программа под Андроид. По угрозой оказались клиенты российских банков, использующие СМС-банкинг.

Заражение происходит через СМС-сообщения со ссылками, по которым предлагается скачать и установить вредоносное .apk-приложение:

  1. Попадая на устройство, вредоносная программа рассылает себя по контактам жертвы.
  2. Параллельно она делает запрос на номер СМС-банкинга жертвы, узнает баланс и переводит деньги на счета, подконтрольные злоумышленникам. При этом происходит перехват входящих СМС-сообщений, в результате чего жертва не подозревает, что у нее снимают деньги, даже если подключена функция СМС-оповещений.

Исследователи отмечают, что антивирусные программы, установленные на телефонах жертв, не детектировали приложение как вредоносное.

Исследователи сообщают о вредоносной программе CopyCat, которая умеет повышать свои привилегии до рута и уже заразила 14 миллионов Андроид-устройств:

Программа распространяется через сторонние магазины приложений и фишинговые рассылки.

Журналисты обнаружили мошеннический сервис, который предлагает своим клиентам простую услугу: автоматические телефонные звонки, которые будет выполнять «робот», притворяющийся автоматической службой банка.

Таким способом предлагается выманивать у жертв реквизиты банковских карт или другие личные данные, например девичью фамилию матери.

The Telegraph стало известно о том, что хакеры пытаются по телефону выяснить логины и пароли членов парламента Великобритании.

Сайты, мессенджеры и почта

Специалисты Антифишинга зафиксировали новую атаку на клиентов банка JPMorgan Chase & Co:

  1. Атака начинается с фишингового письма.
  2. Во вложении к письму находится html-файл, генерирующий форму для Chase Online User ID и пароля, а также пароля от электронной почты.
  3. Все данные из формы отправляются на сайт злоумышленников.

Однопиксельные трекинговые изображения размещаются на сайтах и позволяют отследить поведение и интересы пользователей. Подобную же роль выполняют кнопки социальных сетей, размещенные на сайтах, которые затем помогают показывать таргетированную рекламу. Этим пользуются, например, онлайн-магазины:

Для защиты на сайтах рекомендуется использовать, например, privacy-badger плагин. В почте рекомендуется по-умолчанию отключать загрузку изображений, а в офисных документах — оставлять включенным «защищенный режим».

Не выкупленный товар в корзине интернет-магазина приводит к навязчивой рекламе в двух популярных социальных сетях.

Исследователи предупреждают, что трекинговые изображения также могут встраиваться в письма и документы, а потенциальному злоумышленнику позволяют узнать IP-адрес компьютера, версию операционной системы и браузера, почтовой программы и офиса, а также определить и эксплуатировать уязвимости в них.

Владельцы нового спам-сервиса теперь берут деньги не только у своих клиентов за рассылку большого объема писем, но также у их жертв за ее прекращение.

Правительство США предупредило промышленные предприятия о киберпреступной кампании, направленной против представителей электроэнергетического и ядерного комплекса. Как сообщает Reuters со ссылкой на отчет Министерства внутренней безопасности США и ФБР, с мая текущего года с помощью фишинга злоумышленники похищают учетные данные для доступа к сетям интересующих их предприятий.

Вредоносные программы, уязвимости и эксплойты

4 июля Центральное телевидение КНДР объявило о проведении первого успешного испытательного запуска межконтинентальной баллистической ракеты. Почти сразу была обнаружена фишинговая кампания, нацеленная на тех, кто хочет узнать подробности:

Жертвам предлагается открыть вредоносный документ MS Word, который на самом деле установит в систему троянскую программу KONNI (средство удаленного доступа для злоумышленников).

Исследователи обнаружили новые модификации известного трояна PlugX, который распространяется через вредоносный документ MS Word с названием New Salary Structure 2017.doc / Новый порядок выплаты зарплат 2017.doc.

Для запуска кода злоумышленники эксплуатируют уязвимость CVE-2017-0199 в MS Office, и специалисты уже не раз фиксировали использование этого бага в ходе хакерских кампаний в Китае и Иране.

С помощью макросов MS Word эксперту удалось выполнить произвольный код с административными правами на самой защищенной версии MS Windows 10 S.

Эта версия системы ограничивает пользователя запуском приложений, установленных через официальный магазин и не предоставляет доступ к панели управления, инструментам скриптинга и PowerShell. С помощью макроса эксперту удалось выполнить DLL-инъекцию, получить административные привилегии и удаленный доступ к системе. Чтобы система воспринимала документ как доверенный и позволила запустить макрос, его пришлось загружать из сетевой папки.

В смартфонах Lenovo VIBE устранены уязвимости, через которые злоумышленник мог получить права суперпользователя на устройствах.

Криптовалюты

Специалисты Антифишинга отмечают новый вектор для фишинговых атак: в дни проведения популярных ICO либо в preICO, мошенники рассылают письма с ссылками на фишинговые страницы, где указаны адреса кошельков злоумышленников, вместо настоящих.

Пример оповещения о подобном фишинге:

Также для распространения поддельных ссылок могут использоваться боты в открытых официальных чатах:

Крупнейшая в Южной Корее криптобиржа Bithumb взломана через атаку на сотрудника.

Представители Bithumb утверждают, что атака была направлена не на внутреннюю сеть биржи, серверы и кошельки с цифровой валютой, а на компьютер одного из сотрудников биржи.

  1. После хищения пользовательских данных из компьютера сотрудника Bithumb, мошенники занялись “голосовым фишингом”.
  2. Так, один из пользователей заявил, что ему позвонили, представились работником Bithumb и попросили продиктовать одноразовый пароль, присылаемый на email.
  3. После того, как клиент корейской биржи выполнил просьбу “сотрудника”, с его аккаунта были похищены биткоины на сумму, эквивалентную $8 700.

Злоумышленники смогли получить доступ к кошелькам пользователей Classic Ether Wallet через компрометацию сайта ClassicEtherWallet.com. Наиболее вероятной техникой атаки стал телефонный звонок администраторам, ответственным за настройки ДНС, с просьбой сменить настройки и перенаправить запросы на поддельный сайт.

Культура безопасности

По данным ESET, четыре компании из пяти недооценивают риски информационной безопасности, связанные с человеческим фактором.

  • 69% респондентов никогда не проходили обучение основам кибербезопасности в своих компаниях.
  • Еще 15% участников опроса сообщили, что их работодатели ограничились минимальным объемом информации.

Безопасность и человеческий фактор

Насколько безопасно ведут себя ваши сотрудники? Что вы делаете или планируете сделать, чтобы сформировать желаемое поведение?

Мы просим вас ответить на несколько вопросов и обещаем поделиться результатами, если это будет вам интересно:

Опрос проводится совместно с Исследовательским Центром Корпоративной безопасности.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

дайджестфишинг
Ctrl + ↓ Ранее