52 заметки с тегом

фишинг

Ctrl + ↑ Позднее

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 17 по 23 ноября 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты, мессенджеры и почта

Пенсионный фонд предупреждает о мошенниках, которые выманивают СНИЛС, паспортные данные и продают фиктивные подписки к «базам данных» обещая денежные выплаты.

С помощью фишинговых рассылок жертв направляют на один из множетства сайтов-копий, где им предлагают проверить наличие полагающихся им денежных выплат со стороны частных страховых фондов. Чтобы получить доступ к «базам данных», нужно перечислить мошенникам от 100 до 250 рублей, а также ввести номер СНИЛС или паспорта.

Среди организаций, обещающих «выплаты»:

  • «Внебюджетный финансовый фонд развития»,
  • «Социальный фонд общественной поддержки»,
  • «Межрегиональный общественный фонд развития» и другие:

Обман проходит в два этапа:

  1. Жертве предлагают ввести номер СНИЛС или паспорта, чтобы узнать о сумме якобы полагающихся всем россиянам выплат. Как правило,сумма составляет от нескольких десятков до сотен тысяч рублей.
  2. Жертва нажимает кнопку «Получить деньги» и попадает на страницу «подключения к свободному оператору», где нужно оплатить комиссию для доступа к базе данных частных страховщиков. Жертва переходит на страницу сервиса приема платежей и добровольно расстается со своими деньгами.

На сайте AliExpress обнаружена уязвимость, которую можно использовать для кражи данных кредитных карт.

Ошибка даёт злоумышленникам возможность прислать пользователям фишинговое сообщение с «купонами», ссылки на которые содержат вредоносный код Javascript. Если жертва откроет ссылку, код выполнится, а защита AliExpress от XSS-атак не сработает из-за уязвимости open redirect на сайте.


Вредоносная ссылка

Переход по ней приведёт на страницу входа AliExpress, поверх которой отобразится фальшивое окно:

Демонстрация уязвимости:

Сотни популярных сайтов следят за каждым шагом своих посетителей, записывая полную сессию каждого пользователя, включая движения мыши и нажатия клавиш. В результате к владельцам сайта попадают даже те данные, которые пользователь не отправлял.

Запись действий пользователя производят специальные replay-скрипты, предоставляемые сторонними аналитическими сервисами типа Яндекс.Метрика и подобными. Изначально такие инструменты предназначались для повышения удобства использования сайта, помогая владельцам лучше подстроится под их нужды.

Мобильная безопасность

Более 75% Android-устройств уязвимы для атаки через сервис MediaProjection, который позволяет фиксировать все происходящее на экране, а также записывать системное аудио.

Атака работает в Android Lollipop, Marshmallow и Nougat, в которых для использования сервиса MediaProjection приложению даже не нужно запрашивать у пользователя права.

Подверженные проблеме версии Android не могут заметить поддельные уведомления SystemUI, что позволяет атакующему создать приложение, которое будет накладывать оверлей поверх уведомлений SystemUI. В результате это приводит к повышению привилегий приложения и позволяет захватывать изображение с экрана пользователя.

Умные устройства

Манипуляции сообщениями в системе BAPLIE EDIFACT, используемой для управления погрузкой в морских портах, может привести к дестабилизации грузового судна и даже его потоплению:

Используя уязвимость системы, злоумышленники могут удаленно изменять вес загружаемых контейнеров и размещать их не там, где требуется для обеспечения устойчивости судна.

Уязвимость содержится в системе BAPLIE EDIFACT, используемой для создания схем погрузки и планов расположения грузов внутри контейнеровоза. В ней происходит обмен кодовыми сообщениями между логистическими компаниями, портовыми службами, погрузочными терминалами и самими судами.

В Германии запретили продажу детских смарт-часов. Имеющиеся устройства рекомендуется уничтожить. Школам предписано следить за использованием гаджетов на уроках.

Распоряжение касается смарт-часов, в которые можно установить SIM-карту. Родители, используя специальное приложение, могли удаленно слушать, что происходит рядом с их детьми, не предупреждая об этом учителей, что является нарушением федерального закона.

Вредоносное ПО

Мошенники раздавали macOS-малварь Proton с фальшивого блога Symantec.
Для этого они зарегистрировали домен symantecblog[.]com, скопировали туда контент с оригинального блога Symantec и предлагали пользователям скачать Symantec Malware Detector для проверки компьютера на наличие вредоносных программ.

Если пользователь запускал скачанную программу, она запрашивала административные права и устанавливала вредоноса в систему.

Охотники за криптовалютой Monero нашли новый способ для несанкцированного использования компьютерных ресурсов пользователей.

Для внедрения майнинговых скриптов в страницы сайтов они воспользовались инструментом Google Tag Manager.

Код JavaScript-майнера содержался в скрипте Google Tag Manager gtm.js?id=GTM-KCDXG2D, вызывающего cryptonight.wasm (код майнера Coinhive в виде Web Assembly). JavaScript-файл и параметр gtm.js?id=GTM-KCDXG2D ничего не говорят о предназначении вызываемого кода. Для внедрения вредоносного кода злоумышленники взламывают сайты и добавляют его в размещенные в Google теги.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

дайджестфишинг

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 10 по 16 ноября 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Главная новость

В редакторе формул, входящем в состав MS Office, обнаружены ошибки переполнения буфера, которые эксплуатируются через внедрение в документ вредоносных OLE-объектов и позволяют выполнить на машине произвольный код, в том числе скачать и запустить на компьютере пользователя любой файл с удаленного сервера:

Эксплоит работает для любых версий Microsoft Office, включая Office 365, и для всех версий Microsoft Windows, вышедших за последние 17 лет. Проблеме подвержены 32- и 64-разрядные архитектуры. Эксплойт не нарушает работы самого Microsoft Office, от пользователя требуется только открыть офисный документ.

Видео: атака в действии на примере разных версий Office и Windows

Антифишинг рекомендует пользователям:

  • Не скачивать и не открывать офисные документы от неизвестных отправителей.
  • Прочитать про защищенный режим MS Office и не отключать этот режим, если неизвестный файл все же был открыт.

Администраторам и ИТ-специалистам:

  • Отключить уязвимый компонент на уровне реестра:
reg add “HKLM\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-
0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400
  • либо
reg add “HKLM\SOFTWARE\Wow6432Node\Microsoft\Office\Common\COM Compatibility\
{0002CE02-0000-0000-C000-000000000046}” /v “Compatibility Flags” /t REG_DWORD /d 0x400

Сайты, мессенджеры и почта

Вредонос Ordinypt атакует пользователей из Германии с помощью фишинговых писем:

Письма содержат ответ на открытую вакансию и два вложенных файла — резюме в zip-архиве и фото соискательницы. На самом деле в архиве находятся два исполняемых файла EXE с двойными расширениями, замаскированные под файлы PDF:

Ordinypt переписывает случайно выбранные файлы и требует выкуп за приведение их в изначальный вид, однако как выяснилось, это не вирус-вымогатель, а вайпер, замаскированный под шифровальщик, и его главная цель — уничтожить файлы пользователей, чтобы саботировать работу ряда немецких компаний.

По данным исследования Google, фишинг является самым опасным видом атак, жертвами которого с марта 2016 по март 2017 года стали около 12,4 млн. человек:

При этом данные, похищенные в ходе фишинговых атак, успешно используются злоумышленниками почти в четверти случаев.

Кадровая информация одной из крупнейших в мире нефтегазовых компаний оказалась в открытом доступе из-за ошибки бесплатного онлайн-сервиса Translate.com. Через поисковик Google интернет-пользователи могли найти сообщения об увольнении, планы по аутсорсингу, контракты, пароли и прочие данные Statoil.

Бесплатные сервисы онлайн-перевода сохраняют загруженные данные для  обучении своих систем и не гарантируют сохранения конфиденциальности этой информации. Корпоративные пользователи, как правило, не задумываются об этом и спокойно загружают в онлайн-переводчики клиентские презентации, договоры и другие материалы, содержащие сведения ограниченного распространения.

Вредоносное ПО

Расширение Browse-Secure для Chrome рекламируется как инструмент, гарантирующий своим пользователям безопасный, зашифрованный и анонимный поиск, но на самом деле похищает данные из аккаунтов LinkedIn и Facebook и передает их на удаленный сервер:

Browse-Secure распространяется на различных сайтах по стандартной мошеннической схеме: пользователю показывают фальшивое сообщение о проблемах с безопасностью и рекомендуют срочно загрузить расширение, которое все исправит:

После установки расширение связывается с управляющим сервером, передаёт туда идентификационные данные браузера пользователя, после чего собирает сведения из его профилей в соцсетях и направляет на тот же управляющий сервер. Собранные данные могут использоваться для фишинговых атак и рассылки спама.

Вместе с безобидными скриптами, предупреждающими об использовании cookie, распространялся криптовалютный майнер.

Вредоносный код Monero-майнера Crypto-Loot был обнаружен в следующих скриптах:

После сообщения о наличии вредоносного кода майнер исчез из кода скриптов.

Обнаружена первая Android-малварь, которая на практике использует механизм Toast Overlay. Вредонос получил имя ToastAmigo и был найден в составе двух приложений в официальном каталоге Google Play. Оба вредоносных приложения назывались Smart AppLocker и позволяли задать PIN-код для запуска отдельных программ на устройстве.

После запуска приложения ToastAmigo инициировал атаку с использованием всплывающих уведомлений, отображая огромное уведомление, закрывающее весь экран и демонстрирующее фальшивый интерфейс приложения. На самом деле под этой фальшивкой скрывались запросы на получение доступа к Android Accessibility. Обманутые пользователи полагали, что нажимали на кнопки интерфейса, но на самом деле лишь выдавали новые права вредоносной программе.

Если атака удавалась, ToastAmigo устанавливал на устройство AmigoClicker — адварь, которая устанавливает прокси и загружает рекламу, принося доход своим операторам. Кроме того AmigoClicker собирает информацию об аккаунтах Google, нажимает на кнопки в системных диалогах, скликивает рекламу в Facebook и оставлять о себе положительные отзывы в Google Play.

Умные устройства

Cистему безопасности FaceID, реализованную в iPhone X, удалось обмануть с помощью самодельной маски:

Маска состояла из распечатанных двухмерных изображений глаз, сделанного вручную силиконового носа и других частей лица, а также каркаса, распечатанного на популярном 3D-принтере. Кроме того, для обмана системы щеки и область вокруг лица подверглись «специальной обработке». В общей сложности на создание маски специалисты потратили порядка $150.

Специалисты продемонстрировали удалённый взлом самолёта Boeing 757, используя типовое оборудование, которое можно пронести на борт воздушного судна. Детали взлома засекречены, но известно, что взлом потребовалось около двух дней, в течение которых самолёт находился на земле, а для проведения атаки использовалось радиочастотное оборудование.

Приложение Lovense Remote для управления умными секс-игрушками гонконгского производителя Lovense записывает звуки происходящего во время использования интимного гаджета и сохраняет полученные аудиофайлы в формате 3gp в локальной директории смартфона или планшета.

Во время установки Lovense Remote действительно запрашивает доступ к микрофону и камере устройства, однако эти права якобы нужны приложению для работы встроенного чата и для использования голосовых команд.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

дайджестфишинг

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 3 по 9 ноября 2017 года.


Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты, мессенджеры и почта

Фальшивый WhatsApp загрузили из Google Play более миллиона раз. Внешне подделка мало отличалась от оригинальной версии мессенджера для Android и называлась Update WhatsApp Messenger.

Чтобы выдать себя за разработчиков WhatsApp Inc, злоумышленники использовали Unicode-символ невидимого пробела на конце имени разработчика приложения:

Фальшивка запрашивала только доступ к интернету и использовалась как рекламная «обертка», загружающая дополнительный APK whatsapp.apk. При этом приложение пряталось от пользователя после установки с помощью пустой иконки и отсутствия названия.

Злоумышленники используют приемы чёрной SEO-оптимизации для распространения банковского трояна Zeus Panda.

На большом количестве взломанных сайтов размещаются скрытые страницы, содержащие подобранные ключевые слова. Аналогичные ключи внедряются в существующие страницы. В результате Google присваивает этим страницам высокий рейтинг, и вредоносные сайты оказываются наверху поисковой выдачи по запросам, связанным с личными финансами и банковским обслуживанием.

Когда пользователи попадают на такие сайты из поисковика, в браузере срабатывает вредоносный JavaScript, который переадресует жертв на несколько других ресурсов. В конце их ждет зараженный документ MS Word:

Вредоносное ПО

Злоумышленники распространяют модифицированную версию Windows Movie Maker и собирают с доверчивых пользователей деньги за покупку фальшивой лицензии.

Для распространения используется сайт windows-movie-maker.org, выведенный в топ Google по поисковым запросам «Movie Maker» и «Windows Movie Maker». На руку мошенникам играет популярность приложения, поддержку которого Microsoft прекратила в начале 2017 года.

Фальшивый веб-сайт выглядит вполне убедительно:

После установки и запуска приложение выдает сообщение о триальном периоде и предлагает оплатить $29,95 за лицензию со скидкой.


Разумеется, средства просто поступают к мошенникам, поскольку оригинальный MovieMaker — бесплатное приложение.

Умные устройства

Встроенный http-сервер в некоторых моделях принтеров Brother содержит уязвимость CVE-2017-16249, которую можно использовать для DoS-атаки на устройство. Специально подготовленный запрос HTTP POST заставляет веб-сервер надолго задуматься, а пока идёт обработка запроса, ни принтер, ни веб-интерфейс не работают.

Китайские клавиатуры Mantistek GK2 Mechanical Gaming Keyboard собирают нажатия клавиш пользователя и передают их на сервер, принадлежащий Alibaba Group.

Позже выяснилось, что протоколируются не все нажатия на клавиши. Вместо этого утилита Cloud Driver из комплекта поставки клавиатур считает, сколько раз была нажата каждая клавиша.

Компания Logitech уведомила пользователей хабов Harmony Link о том, что в связи с окончанием срока одной из лицезий на технологию, использованную в устройстве, все гаджеты будут автоматически выведены из строя, поскольку продлять лицензию компания не планирует.

После массового возмущения пользователей на официальных форумах поддержки Logitech компания внесла словосочетание «групповой иск» (class action lawsuit) в фильтр бранных слов.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

дайджестфишинг
Ctrl + ↓ Ранее