Блог компании Антифишинг

как поведение людей влияет на безопасность

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 14 по 20 февраля 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Участники палестинского исламистского движения ХАМАС пытались взломать мобильные телефоны израильских солдат, флиртуя с ними в соцсетях и мессенджерах.

  1. Под видом молодых девушек они знакомились с солдатами в Facebook, Instagram, WhatsApp и Telegram. Фотографии и персональные данные женщин были взяты с реальных аккаунтов.
  2. «Девушки» отправляли солдатам текстовые и голосовые сообщения и предлагали загрузить по ссылке приложение для обмена фотографиями по типу Snapchat.
  3. На самом деле ссылки вели на три вредоносных приложения — Catch & See, ZatuApp и GrixyApp
  4. Данное вредоносное ПО было связано с серверами ХАМАСа, и по крайней мере один из профилей злоумышленников в социальных сетях уже использовался в предыдущих вредоносных кампаниях.
  5. После установки приложения ХАМАС получал доступ к хранящейся на смартфоне информации, а само устройство начинало использоваться для прослушки.

Обнаружена масштабная фишинговая кампания в Instagram, авторы которой заманивают своих жертв обещанием единовременной выплаты всем российским гражданам.

  1. Злоумышленники ссылаются на несуществующий указ Президента РФ № 1122В от 11 февраля 2020 года о социальных контрактах, якобы предполагающих единовременную выплату на начало собственного дело каждому россиянину.
  2. Фото и видеоролики распространяются с помощью таргетированной рекламы через поддельные аккаунты федеральных телеканалов: Первый канал, телеканал Россия-1 и Россия-24.
  3. Все записи сопровождаются поддельными комментариями от пользователей, якобы получивших указанную выплату.
  4. Для получения выплаты нужно перейти на сайт мошенников, ввести ФИО и дату рождения.
  5. Сайт покажет случайную сумму, как правило, превышающую 100 тыс. рублей.
  6. Чтобы получить деньги, нужно оплатить пошлину за регистрацию заявления, размер которой не превышает 300 рублей.
  7. Страница оплаты содержит поля для ввода номера телефона, ФИО и данных банковской карты, включая CVC-код.
  8. После оплаты пользователь теряет перечисленную сумму, а все данные карты передаются злоумышленникам.

Разработана технология, позволяющая определять номера посетителей, зашедших на сайт с мобильных устройств. Вскоре после визита на такие сайты людей начинают атаковать звонками с предложениями о покупке.

Узнать номер тех, кто заходит с мобильных устройств, технически несложно. На сайте устанавливается специальный код, который позволяет определить номер телефона и воздействовать на потребителя не через контекстную рекламу, а через непосредственное общение. Ведь если вы заходите на сайт, например, застройщика, это значит, что вы интересуетесь покупкой недвижимости, и обращение будет целевым и более эффективным.

Владимир Ульянов, руководитель аналитического центра Zecurion

Атаки и уязвимости

В компьютерных системах морских судов и нефтяных платформ обнаружены критические уязвимости.

Некоторые из уязвимостей позволяют получить контроль над установками для глубоководного бурения. Другие позволяют управлять кораблями, давая возможность остановить двигатель, запустить систему динамического позиционирования, изменить положение руля, испортить навигацию и просто вывести из строя компьютерные системы.

В зонах без Wi-Fi на кораблях обнаружены тайные точки доступа Wi-Fi и компьютеры с двойными подключением к сети. Многие из устройств имели пароли по умолчанию типа admin/admin или blank/blank. На компьютерах были прикреплены листочки с паролями для критически важных элементов, в том числе для бортового спутникового блока. В результате
любой пассажир корабля мог авторизоваться системе и бесплатно воспользоваться платным интернетом или вовсе отключить его.

Новый метод атаки IMP4GT эксплуатирует уязвимость в 4G LTE и позволяет выдать себя за легитимного пользователя мобильной сети.

В момент подключения к мобильной сети запускается процедура аутентификации абонента. В LTE-сетях взаимная аутентификация выполняется в плоскости контроля, однако на уровне пользователя проверка целостности данных не производится. Этим и может воспользоваться злоумышленник для манипуляции и перенаправления IP-пакетов.

Атака IMP4GT (IMPersonation Attacks in 4G NeTworks) использует недостающую защиту целостности и расширяют с её помощью механизм атаки на третьем уровне, что позволяет выдавать себя за любого пользователя сети.

Описаны два сценария атаки — с использованием входящего и исходящего каналов. В первом случае атакующий притворяется легитимным устройством в сети и может использовать любой сайт под видом жертвы. При этом весь генерируемый злоумышленником трафик будет связан с IP-адресом жертвы.
Во втором случае атакующий может установить TCP/IP соединение с телефоном и обойти любой механизм межсетевого экрана LTE-сети.

Периферийные устройства с неподписанной прошивкой позволяют использовать отсутствие проверки легитимности прошивки для установки вредоносных версий ПО.

Отсутствие проверки подписи прошивки позволяет злоумышленник внедрить в устройство вредоносный или уязвимый образ, и он будет принят как доверенный. Подобный принцип использовали в своих атаках киберпреступники Equation Group — они компрометировали прошивки на жёстких дисках. Таким образом, входной точкой для атаки могут стать веб-камеры, точки доступа или принтеры.

Тысячи поддоменов, доменов Microsoft могут быть взломаны и использованы для атак на пользователей, сотрудников самой компании или распространения спама.

Проблема заключается в том, что многие поддомены Microsoft имеют ошибки в конфигурации записей DNS. Самая распространенная проблема: забытая запись DNS, указывающая на несуществующий ресурс.

Прежде эти ошибки не создавали сложностей, хотя в теории злоумышленник мог захватить один из таких поддоменов и разместить на нем фишинговые страницы для сбора учетных данных сотрудников Microsoft, деловых партнеров компании или даже конечных пользователей. Однако недавно на четырех легитимных поддоменах Microsoft, включая portal.ds.microsoft.com, perfect10.microsoft.com, ies.global.microsoft.com и blog-ambassadors.microsoft.com появилась реклама индонезийских казино.

Инциденты

Преступники используют изменения в правилах Google AdSense для шантажа владельцев сайтов, использующих рекламный сервис поискового гиганта.

Неизвестные присылают владельцам письмо, в котором угрожают с помощью ботов сгенерировать фальшивые просмотры баннеров и спровоцировать блокировку сайта в рекламном сервисе. Но они готовы оставить адресата в покое за выкуп, размер которого в некоторых случаях может составлять до 5 тыс. долларов США в биткоинах.

В результате фишинговой атаки инфраструктура американского оператора газопровода оказалась заражена шифровальщиком-вымогателем. Произошел сбой в работе компрессорной установки, и работа компании оказалась парализована на два дня.

Злоумышленники использовали целевой фишинг для получения первоначального доступа к сети организации, а затем и доступа к её оперативной сети, в том числе к рабочим станциям для управления критически важным заводским оборудованием и другими производственными процессами.

Проникнув в оперативную сеть, преступники запустили вымогательское ПО, которое зашифровало данные компании, и потребовали выкуп. Была нарушена работа человеко-машинных интерфейсов и хранилищ архивных данных. Операторы лишись возможности нормально взаимодействовать с оборудованием, включая упомянутую компрессорную установку.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






Представляем новости об актуальных технологиях фишинга и других атаках на человека c 7 по 13 февраля 2020 года и приглашаем принять участие в Антифишинг-тренингах для инженеров и специалистов по продажам. Информация о мероприятиях — в  конце выпуска.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Банковский троян Anubis атакует пользователей Android-устройств и распространяется с помощью фишинговых писем.

Письма содержат ссылку, при нажатии на которую на устройство загружается APK-файл, замаскированный под счёт-фактуру.

Если пользователь запустит загруженный файл, ему будет предложено включить «Google Play Protect», но фактически вместо этого пользователь отключит сервис защиты и выдаст вредоносному приложению все необходимые разрешения.

Anubis способе похитить финансовую информацию более чем из 250 банковских и шопинг-приложений. Для этого он сканирует устройство и подменяет окно авторизации в легитимных программах на фишинговое, через которое и похищает платёжные данные жертвы.

Кроме хищения информации вредонос умеет:

  • делать скриншоты;
  • отключать и менять административные настройки;
  • отключать защиту Google Play Protect;
  • записывать звук;
  • звонить и отправлять SMS;
  • считывать контакты из адресной книги;
  • получать команды от операторов через Telegram и Twitter;
  • предоставлять удалённый доступ к устройству через VNC;
  • записывать нажатия клавиш и многое другое.

Мошенники похищают учётные данные пользователей, используя фишинговые письма с «информацией о коронавирусе».

Кампания начинается с получения письма от имени Центра по контролю и профилактике заболеваний. В адресе отправителя содержится домен, похожий на настоящий (cdc-gov.org вместо cdc.gov). В тексте письма пользователю предлагается перейти на страницу, где якобы содержится информация о недавних случаях заболевания в регионе проживания адресата. Ссылка на первый взгляд ведет на официальный сайт CDC — cdc.gov.

Перейдя по ссылке, пользователь попадает на мошеннический сайт, имитирующий интерфейс Microsoft Outlook. Сайт запрашивает адрес электронной почты и пароль. Если пользователь введёт эти данные, они попадут к злоумышленникам.

Атаки и уязвимости

В предустановленной на компьютерах Dell утилите SupportAssist обнаружена уязвимость CVE-2020-5316, эксплуатация которой позволяет выполнять произвольный код с привилегиями администратора.

Обнаруженная проблема состоит в том, что утилита загружала DLL из папки, разместить файлы в которую мог пользователь без прав администратора. Таким образом, злоумышленник мог подменить легитимную библиотеку SupportAssist на вредоносную, а приложение выполняло вредоносный код с правами NT AUTHORITY\System.

Разработана система TextFooler, которая может обманывать модели искусственного интеллекта, использующие технологии распознавания речи. В будущем такие системы помогут бороться со спамом и отвечать на нецензурную речь.

TextFooler — это состязательная система, созданная для атак на модели ИИ с использованием технологий распознавания речи. Для этого система заменяет некоторые слова в предложениях, сохраняя смысл и грамматику, а затем с их помощью атакует модель ИИ, чтобы определить, как она обрабатывает измененный текст. Для этого TextFooler ищет важные слова, имеющие максимальную смысловую нагрузку для конкретной модели ИИ, а затем подбирает для них оптимальные синонимы.

На сегодняшний день TextFooler успешно обманывает три ИИ-модели распознавания речи, среди которых языковая модель BERT от Google. Для обмана оказалось достаточно изменить всего 10% текста в предложении.

Мобильная безопасность

В Android обнаружена критическая уязвимость CVE-2020-0022, которая позволяет злоумышленнику незаметно выполнить произвольный код с привилегиями демона Bluetooth.

Для атаки нужно знать Bluetooth MAC-адрес целевого устройства, который в ряде случаев можно определить через MAC-адрес Wi-Fi. В случае успешной атаки злоумышленник сможет похитить личные данные жертвы, а также потенциально проэксплуатировать ошибку для распространения через Bluetooth вредоносного ПО.

Умные устройства

Драйвера графических планшетов Wacom собирают информацию об используемых приложениях, установленных на компьютерах под управлением macOS или Windows.

Если пользователь соглашается с политикой приватности, которая отображается при установке, драйвер при помощи Google Analytics начнет отслеживать все приложения, которые пользователь открывает на своем устройстве.

Чтобы отключить сбор данных, нужно в настройках конфиденциальности Wacom Desktop Center выключить опцию «Участвовать в программе Wacom Experience».

Инциденты

В открытом доступе обнаружена база данных косметической компании Estee Lauder, содержащая более 440 млн записей.

Данные в базе были связанны с промежуточным программным обеспечением, которое использует компания Estee Lauder, в том числе управление данными, сервисы приложений, обмен сообщениями, аутентификация и управление API. Информация о платежах или сведения о сотрудниках в базе не хранились.

Кредитный брокер «Альфа-Кредит», который собирает заявки на кредит и оказывает помощь в получении банковских займов оставил в открытом доступе незащищенную базу данных MongoDB, содержащую персональную информацию клиентов.

Обнаруженная база состоит из двух «коллекций»:

  • alpha_config_db (42 МБ) — 35 787 записей;
  • stav_credit (9 МБ) — 8 279 записей.

Каждая запись включает дату подачи заявки, запрашиваемую сумму кредита и срок кредитования, канал привлечения, ФИО, электронную почту, номер телефона, дату рождения, город и регион.

Более 1,2 млн идентификационных номеров налогоплательщиков Дании находились в открытом доступе почти пять лет из-за ошибки в работе сервиса TastSelv Borger.

Сервис TastSelv позволяет налогоплательщикам в Дании просматривать и изменять свои налоговые декларации, годовые отчеты и платить налоги. Проблема содержалась в сервисе Tastselv Borger. Когда пользователи выбирали опцию «Исправить контактную информацию», ошибка в приложении приводила к отправке персональных идентификаторов на серверы Google и Adobe в виде части web-адреса.

Из-за уязвимости веб-приложения Elector данные почти 6,5 млн избирателей Израиля, в том числе Нетаньяху и других ведущих политиков, находились в открытом доступе.

База данных содержала имена, адреса, серии и номера документов, а также сведения о политических предпочтениях. Любой пользователь мог получить доступ к информации через web-браузер без использования каких-либо инструментов, поскольку API, предназначавшийся только для администраторов приложения, был доступен для внешних запросов, а пароли от учетных записей администратора хранились в открытом виде на сайте программы.

Вредоносное ПО

Новая версия трояна Emotet пытается распространяться через доступные сети Wi-Fi.

Для обнаружения ближайших Wi-Fi сетей вредонос использует wlanAPI на уже зараженной машине. Обнаружив доступную сеть, Emotet пытается с помощью перебора подобрать учетные данные, чтобы проникнуть в неё. В случае успеха поиск Windows-машин, доступных для заражения продолжается в новой сети.

1. Антифишинг. Тренинг по продажам продукта


Руководители «Антифишинга» познакомят участников с решениями компании, партнерской программой и расскажут о лучших практиках продаж.

Дата 27 февраля 2020 года, четверг
Время 14:00-18:00
Место Москва, ул. Правды, дом 8, корп 13, подъезд 3, этаж 5, офис 547. Офис Тайгер Оптикс
Для кого Руководители направления информационной безопасности, продуктовые менеджеры и специалисты по продажам

Количество участников ограничено. Зарегистрируйтесь сейчас. Участие в тренинге бесплатное.

2. Антифишинг. Тренинг для продуктовых менеджеров и технических специалистов


Технические специалисты и руководитель клиентского сервиса «Антифишинга» познакомят участников с решениями компании, обучат эффективной демонстрации возможностей и поделятся опытом пилотных проектов.

Дата 28 февраля 2020 года, пятница
Время 10:00-14:00
Место Москва, ул. Правды, дом 8, корп 13, подъезд 3, этаж 5, офис 547. Офис Тайгер Оптикс
Для кого Руководители направления информационной безопасности, продуктовые менеджеры и технические специалисты

Количество участников ограничено. Зарегистрируйтесь сейчас. Участие в тренинге бесплатное.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






Представляем новости об актуальных технологиях фишинга и других атаках на человека c 31 января по 6 февраля 2020 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Зафиксирована новая фишинговая атака против активистов, журналистов и политиков.

Атака начиналась с письма от имени журналиста издания The Wall Street Journal, в котором сообщалось, что «журналист» проводит серию интервью с выходцами из Ирана, добившимися успехов в других странах, и хотел бы задать несколько вопросов жертве. Вопросы к интервью будут высланы позже.

Если жертва отвечала согласием, ей отправлялась ссылка на «вопросы», размещённые на Google Sites. Чтобы загрузить вопросы, требовалось нажать кнопку «Загрузка».

Когда жертва делала это, её перенаправляли на очередную страницу, где нужно было ввести SMS-код для двухфакторной аутентификации в учётной записи Google для подтверждения личности. После ввода кода мошенники получали доступ к учётной записи жертвы в Google.

Помимо перехвата учётных записей преступники внедряли на устройства жертвы вредоносное ПО.

В настольной версии мессенджера WhatsApp обнаружены уязвимости CVE-2019-18426, с  помощью которых злоумышленники могли похитить файлы с компьютеров под управлением Windows или macOS.

  • одна из уязвимостей позволяла провести XSS-атаку путем отправки специально сформированного сообщения. Когда жертва просматривала вредоносное сообщение, атакующий мог выполнить произвольный код в контексте домена WhatsApp.
  • другая проблема заключалась в неправильно настроенной политике безопасности контента (Content Security Policy, CSP) на домене WhatsApp, позволявшей загружать вредоносные XSS-нагрузки с помощью iframe с подконтрольного злоумышленнику сайта.

Умные устройства

Уязвимость CVE-2020-6007 в умных лампочках Philips Hue позволяет злоумышленнику проникнуть в сеть дома или офиса через беспроводное подключение и заразить ее вымогательским или шпионским ПО.

Проблема связана с реализацией протокола Zigbee и может привести к переполнению буфера в компоненте «bridge», который принимает удаленные команды, отправляемые на лампочку с других устройств.

Эксплуатация данной уязвимости Преступник может осуществлять атаку на расстоянии более 100 метров, имея при себе лишь ноутбук и антенну.

Сценарий атаки:

  1. Используя уязвимость, злоумышленник взламывает лампочку.
  2. Устройство становится недоступным в приложении для управления, заставляя его отправить команды компоненту bridge для повторного обнаружения устройства.
  3. Bridge обнаруживает взломанную лампочку, после чего пользователь заново добавляет её в свою сеть.
  4. Злоумышленник вызывает переполнение буфера в куче и устанавливает вредоносное ПО, которое затем может использовать для проникновения в сеть и удаленного взлома других устройств.

Разработана атака на автопилот автомобилей Tesla, которая заставляет его менять поведение автомобиля на дороге.

Для проведения атаки оказалось достаточно обычного проектора стоимостью около 300 долларов США и растущего у дороги дерева, на которое проецировалось изображение дорожного знака. Как только «знак» оказывался в поле зрения автопилота, автомобиль изменял скорость в соответствии с указанным ограничением.

Для второго варианта атаки на поверхность дороги перед Теслой с помощью дрона проецировалось изображение лежащего человека. При появлении очертаний человеческой фигуры автопилот принимал её за реального человека и притормаживал, но окончательно не останавливал движение, проезжая сквозь изображение.

Видео: демонстрация атак

Инциденты

В результате нескольких кибератак компания хакерам удалось похитить из компании NEC более 27 тыс. файлов, среди которых были документы, связанные с контрактами Минобороны Японии.

Взлом произошел в декабре 2016 года, но по заявлению NEC компрометацию обнаружили лишь в июне 2017 года, когда сотрудники компании заметили подозрительный зашифрованный трафик, исходящий от одной из внутренних систем. Агентство по закупкам, технологиям и логистике, работающее на министерство обороны, заявило об отсутствии критичного ущерба.

Злоумышленники использовали официальный API Twitter, чтобы сопоставить телефонные номера пользователей с их именами в Twitter.

Источником проблемы была функция программного интерфейса соцсети, позволявшая новым пользователям находить в Twitter знакомых, добавляя номера телефонов и сопоставляя их с известными учетными записями Twitter.

Для атак была создана целая сеть фейковых учётных записей, с которых выполнялись запросы. Атаки коснулись лишь пользователей, разрешивших другим пользователям находить себя по номеру телефона.

Примечательно, что в Twitter узнали о происходящем только после публикации издания TechCrunch, в которой рассказывалось, как ИБ-эксперт использовал API Twitter для сопоставления 17 млн телефонных номеров с публичными именами пользователей.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






Ctrl + ↓ Ранее