Блог компании Антифишинг

как поведение людей влияет на безопасность

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 10 по 16 января 2020 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Приглашаем всех желающих в следующий четверг 23 января на бесплатный обучающий семинар Антифишинга и Тайгер Оптикс

На семинаре

  • Обсудим проблему человеческого фактора в безопасности.
  • Рассмотрим цифровые атаки на сотрудников, их классификацию, психологические вектора и причины успеха атак.
  • Обсудим обучение и тренировку навыков как системные процессы для решения проблемы.
  • Рассмотрим платформу Антифишинг для реализации процессов, познакомим с кейсами реальных заказчиков, ответим на вопросы.

Спикеры:

  • Евгений Малов, Антифишинг,
  • Илья Осадчий, Тайгер Оптикс

Начало семинара в 11:00 МСК.
Продолжительность — 30 минут.
Ссылка для регистрации 

Сайты, почта и мессенджеры

Мошенники предлагают купить временный номер социального страхования, чтобы получить компенсацию за утечки персональных данных.

Через рекламные баннеры жертва попадает на сайт «Фонда защиты персональных данных», который предлагает получить компенсацию за утечки персональных данных:

Чтобы проверить, не стал ли посетитель жертвой утечки, нужно ввести данные в форму:

Сведения не проверяются, поэтому можно ввести любой текст. После отправки данных сайт демонстрирует процесс проведения «верификации».

Затем выдаётся уведомление о том, что кто-то использовал фото, видео и контактную информацию посетителя, и за это жертве полагается более 2,5 тыс. долларов США:

Чтобы получить деньги, необходимо указать номер социального страхования гражданина США (SSN, Social Security Number):

Если номера нет, сайт предлагает решение: арендовать временный SSN за 9 долларов США — ничтожная сумма по сравнению с компенсацией:

Жителям России можно оплатить временный SSN рублями:

Остальным демонстрируется форма с оплатой в долларах:

Разумеется, никакого Фонда защиты персональных данных не существует, поэтому никакой компенсации жертвы не получат.

Киберпреступная группировка Fancy Bear организовала фишинговую кампанию, направленную на сотрудников украинской нефтегазовой компании Burisma Holdings.

Злоумышленники использовали похожие домены, чтобы обманом заставить сотрудников компаний ввести свои пароли электронной почты.

Сайт компании подвергался многочисленным попыткам взлома в течение полугода, однако остается неизвестным, какие данные пытались украсть преступники. Однако направленная на сотрудников Burisma фишинговая кампания была успешной, и злоумышленникам удалось взломать один из почтовых серверов компании.

В WhatsApp обнаружена мошенническая рассылка с использованием бренда Adidas, направленная на получение персональных данных пользователей мессенджера.

  • В сообщении говорилось, что компания Adidas якобы празднует юбилей и дарит футболки и обувь.
  • Для получения подарков необхожимо перейти по ссылке.
  • Cсылка в сообщении поддельная и не ведет на официальный сайт компании Adidas, несмотря на то, что содержит наименование бренда
  • В объявлении используется старый логотип Adidas.
  • После того, как пользователь переходит по ссылке, он попадает на страницу с опросом, пройдя который он получает уведомление об обработке ответов.
  • Для получения подарков пользователю предлагается разослать сообщение о конкурсе 20 контактам.

Мобильная безопасность

В каталоге Google Play обнаружены 25 приложений, которые продолжали собирать деньги с пользователей после окончания пробного периода.

По умолчанию пользователи должны отменять пробные периоды приложений вручную, чтобы избежать последующей оплаты. Однако большинство пользователей просто удаляют приложения, если они им не нравятся. Разработчики расценивают это как отмену пробного периода и не взимают плату.

Однако появились приложения, которые злоупотребляли данной функциональностью, игнорировали удаление и окончание пробного периода, и продолжали брать с пользователей от 100 до 240 долларов США в год за самые простые инструменты.

В Google Play было обнаружено 17 приложений, которые показывали рекламные объявления, быстро разряжая аккумулятор смартфона.

Приложения отличаются продуманной стратегией маскировки, которая затрудняет обнаружение их вредоносной деятельности:

  • они ждут двое суток, после чего пытаются скрыть своё присутствие на устройстве;
  • реклама начинает выводиться через 4 часа, появляясь затем через случайные интервалы;
  • код разбит по разным файлам;
  • они содержат полезную функциональность, поэтому с первого взгляда сложно понять, что с ними что-то не так.

Список вредоносных приложений: Car Racing 2019, 4K Wallpaper (Background 4K Full HD), Backgrounds 4K HD, QR Code Reader & Barcode Scanner Pro, File Manager Pro — Manager SD Card/Explorer, VMOWO City: Speed Racing 3D, Barcode Scanner, Screen Stream Mirroring, QR Code — Scan & Read a Barcode, Period Tracker — Cycle Ovulation Women's, QR & Barcode Scan Reader, Wallpapers 4K, Backgrounds HD, Transfer Data Smart, Explorer File Manager, Today Weather Radar, Mobnet.io: Big Fish Frenzy, Clock LED.

Android-троян Shopper распространяет рекламные объявления, скрытно устанавливает на устройство приложения и оставляет фальшивые отзывы в Google Play.

Для взаимодействия с интерфейсом системы и приложениями Shopper использует службу поддержки специальных возможностей Google Accessibility Service. Благодаря этому он может перехватывать данные, появляющиеся на экране, нажимать кнопки и имитировать жесты пользователя.

Троян попадает на устройство через мошеннические рекламные объявления или из сторонних магазинов приложений, когда пользователь пытается скачать якобы легитимную программу. После установки Shopper притворяется системным ПО, например, сервисами для очистки и ускорения работы смартфона, и маскируется под приложение с названием ConfigAPKs. Во время работы он собирает информацию об устройстве, отправляет её на серверы злоумышленников, а в ответ получает команды для:

  • регистрации в приложениях для шопинга или развлечений через Google- или Facebook-аккаунты владельца устройства ;
  • публикации фальшивых отзывов на приложения;
  • выключения функции Google Play Protect, которая проверяет на безопасность приложения из магазина Google Play до начала загрузки;
  • открытия в невидимом окне ссылок, полученные от управляющего сервера;
  • показа рекламы и создания ярлыков для рекламных приложений в меню приложений;
  • загрузки и установки приложений со стороннего маркета;
  • замены ярлыков установленных приложений на ярлыки рекламных страниц.

Атаки и уязвимости

Мошенники используют аутентификацию через QR-код для перехвата контроля над учётными записями пользователей Discord.

В декабре 2019 года разработчики Discord добавили возможность войти в приложение по QR-коду. При этом логин и пароль не запрашиваются, двухфакторная аутентификация не применяется.

В результате злоумышленнику достаточно направить жертве сообщение с QR-кодом и текстом, обещающим вознаграждение за сканирование QR-кода. Если жертва выполнит инструкции преступника, он получит полный контроль над её учётной записью.

Зафиксирована волна целевых атак на крупные банки нескольких стран Тропической Африки.

  1. Атака начинается с рассылки фишинговых писем с вредоносными вложениями.
  2. Злоумышленники используют инфраструктуру уже заражённых организаций и отправляют сообщения от имени настоящих сотрудников.
  3. Если получатель откроет вложение, его компьютер подвергается попытке заражения сразу несколькими модулями трояна, конечная цель которых — собрать информацию об устройстве и отправить ее управляющему серверу. Один из основных модулей делает снимки экрана зараженного компьютера.
  4. Атакующие используют легитимные администраторские инструменты, чтобы долго оставаться незамеченными.
  5. Проникнув в корпоративную сеть, злоумышленники изучают инфраструктуру и внутренние процессы, после этого крадут деньги, например, через банкоматы.

В среднем из каждой организации злоумышленники пытаются вывести около 1 млн долларов США.

В платёжной системе PayPal обнаружена серьёзная уязвимость, используя которую, атакующий мог получить пароль пользователя.

Ошибка была связана с реализацией проверки пользователя через Captcha. Сценарий на странице PayPal раскрывал уникальные токены аутентификации через POST-запрос при попытке решить задачу CAPTCHA. Для успешной атаки достаточно было заставить жертву перейти по ссылке на вредоносном сайте, ведущей на страницу входа в платёжный сервис.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






Представляем новости об актуальных технологиях фишинга и других атаках на человека c 27 декабря 2019 по 9 января 2020 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Вымогатели используют письма на иностранном языке, чтобы обходить спам-фильтры и защитные шлюзы.

Sextortion — онлайн-вымогательство, в процессе которого мошенники убеждают жертву, что в их распоряжении есть видео того, как жертва посещала порнографические сайты. Чтобы запись никуда не попала, нужно заплатить выкуп. Защитные email-шлюзы и спам-фильтры научились быстро вычислять и перехватывать такие письма, и перевод на иностранный язык решает эту проблему.

Для чтения послания жертве предлагают воспользоваться онлайн-переводчиком, а адреса кошельков для перевода делят на две части.

Организаторы мошеннической кампании против граждан Казахстана использовали YouTube-видео, чтобы похитить персональные данные.

Ролик содержал подробные инструкции по получению возврата НДС за все покупки. Чтобы вернуть НДС, нужно было перейти на фишинговый ресурс, адрес которого указан в комментариях к видео. Далее пользователям предлагалось заполнить анкету и внести свои персональные данные и сведения о банковской карте.

Уязвимости

В приложении TikTok обнаружены уязвимости, эксплуатация которых позволяет управлять аккаунтами жертвы и получить доступ к его персональным данным.

Приложение позволяет пользователю отправить самому себе текстовое сообщение со ссылкой на загрузку приложения. Но из-за ошибки злоумышленник, знающий телефонный номер жертвы, может отредактировать ссылку в сообщении, заменив её вредоносным URL. Получив такое SMS, жертва пройдёт по ссылке, так как не подозревает об атаке, после чего на устройство будет установлена вредоносная программа.

Вредоносное ПО

Расширение для Google Chrome —Shitcoin Wallet, — внедряет в веб-страницы специальный JavaScript-код, предназначенный для кражи паролей и закрытых ключей от криптовалютных кошельков и сервисов.

Разработчики Shitcoin Wallet утверждают, что расширение позволяет пользователям управлять цифровой валютой Ether (ETH), а также токенами Ethereum ERC20 прямо из браузера. Как выяснилось, расширение содержит вредоносный код и опасно для пользователей браузера Chrome по двум причинам:

  • все доверенные расширению средства могут быть легко украдены,
  • в некоторые посещаемые веб-страницы внедряется вредоносный JavaScript-код.

Закрытые ключи всех кошельков расширение отправляет на ресурс мошенников — erc20wallet[.]tk, а, когда пользователь заходит на сайты сервисов для управления криптовалютой, крадёт учётные данные и закрытые ключи.

Инциденты

Злоумышленники взломали Twitter певицы Мэрайи Кэри и опубликовали от её имени несколько расистских твитов и оскорбления в адрес рэпера Эминема.

Компания Wyze, производящая умные устройства, сообщила об утечке данных 2,4 млн пользователей.

Источником утечки стала внутренняя БД Elasticsearch, которая оказалась доступна извне. В ней содержались email-адреса, которые клиенты использовали для создания учетных записей Wyze, имена камер Wyze, идентификаторы SSID, и токены 24 000 пользователей, использующиеся для подключения устройств Wyze к устройствам Alexa.

Французский предприниматель в отместку за увольнение похитил у бывших партнеров криптовалюту на сумму 1,1 млн евро.

В 2013 году несколько друзей запустили IT-стартап, но по мере его роста и развития между партнерами стали появляться разногласия. Спустя три года один из руководителей был со скандалом уволен и уехал за границу.

После этого с декабря 2018-го по январь 2019-го года было проведено несколько подозрительных переводов криптовалюты с кошельков компании на общую сумму 182 биткоина. Поскольку размер каждого перевода был ниже установленного порога, автоматические системы тревоги не срабатывали. Это позволило сделать вывод, что злоумышленник знаком с организацией процессов компании.

Неизвестный выложил в публичный доступ файл с данными более 28 тысяч пользователей сайта Госуслуг одного из российских регионов.

В базе присутствуют ФИО, дата рождения, СНИЛС и ИНН, номер телефона, электронная почта, информация о детях и другие сведения.

Утечка произошла из-за ошибочной настройки программного обеспечения одного
из серверов портала, в результате чего данные оказались доступными для свободного скачивания. В Минкомсвязи сообщили, что в настоящий момент системы работают
в штатном режиме. По факту возможного инцидента начата проверка.

Шифровальщик Ryuk заразил неназванный морской объект в США и нарушил работу систем наблюдения, контроля физического доступа, а также критических систем контроля и управления процессом.

Источником заражения стало вредоносное письмо, полученное одним из сотрудников пострадавшего предприятия.

«Когда сотрудник кликнул по встроенной в письмо вредоносной ссылке, вымогатель смог получить доступ к большому количеству корпоративных файлов и зашифровать их, не давая предприятию получить доступ к этим критически важным файлам».

представители Береговой охраны США

Вредоносная программа сумела распространиться на промышленные системы управления, которые отслеживают и контролируют передачу грузов. Пострадала вся ИТ-сеть предприятия, в том числе за пределами изначально зараженного морского объекта. Работа порта остановилась более чем на 30 часов.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






Представляем новости об актуальных технологиях фишинга и других атаках на человека c 20 по 26 декабря 2019 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Мошенники в течение двух лет атаковали клиентов четырнадцати канадских банков с помощью фишинговых писем.

Атака начиналась с электронных писем, содержащих вложение в формате PDF с использованием официального логотипа банка и кода авторизации. Жертвам предлагалось как можно быстрее обновить свой цифровой сертификат, чтобы сохранить доступ к online-банкингу.

Нажав на любой из URL-адресов во вложенном документе, жертвы попадали на фишинговую страницу с просьбой ввести свои банковские учетные данные:


Злоумышленники просто сделали снимок экрана официального сайта и добавили невидимые текстовые поля поверх полей ввода, чтобы собрать учетные данные жертвы.

Попытавшись войти в систему, жертва попадала на страницу регистрации, где её просили ввести код авторизации, полученный в фишинговом письме:

После указания кода жертве предлагали подождать, пока идёт регистрация сертификата:

Используя введённые жертвами реквизиты для доступа к онлайн-банкингу, киберпреступники опустошали их счета.

Мошенники воруют данные банковских карт любителей «Звёздных войн» с помощью фишинга.
Скачать бесплатно новый эпизод фильма под названием «Звёздные войны: Скайуокер. Восход» предлагают более 30 мошеннических сайтов.

  1. Такие сайты обычно используют официальное название фильма и подробное описание, чтобы заставить пользователей поверить в легальность источника. Это позволяет злоумышленникам выводить разработанные ими ресурсы в топ поисковой выдачи: они появляются первыми в результате поиска, если набирать название фильма и добавлять к нему «посмотреть бесплатно».
  2. Для продвижения мошеннических сайтов злоумышленники создают также аккаунты в социальных сетях.
  3. Помимо фишинга мошенники под видом фильма распространяют вредоносные программы, рекламное ПО и загрузчики, которые закрепляются в системе и показывают рекламу или предлагают установить дополнительные нежелательные программы.

Уязвимости и атаки

В Windows-клиенте Dropbox обнаружена уязвимость нулевого дня, которая позволяет получить максимальные привилегии на машине и открывает доступ к командной строке.

Проблема связана с механизмом обновления Dropbox, который работает как служба и отвечает за поддержание приложения в актуальном состоянии. Служба dropboxupdate записывает логи в папку C:\ProgramData\Dropbox\Update\Log, файлы в которой могут добавлять, удалять и перезаписывать обычные пользователи. Учетная запись SYSTEM выполняет вызов SetSecurity для расположенных там файлов, что открывает возможность эксплуатации через hard-ссылки.

Для проведения атаки необходимо с точностью до миллисекунды знать время записи очередного события. Оно указывается в имени файла, через который идет атака. Обойти это ограничение можно с помощью инструментов, созданных специалистами Google Poject Zero.

В SQLite обнаружены пять новых уязвимостей, позволяющих удалённо запустить произвольный код в браузере Chrome, а также привести к утечке памяти или сбою в работе.

Новые уязвимости CVE-2019-13734, CVE-2019-13750, CVE-2019-13751, CVE-2019-13752 и CVE-2019-13753 получили общее название Magellan 2.0. Они представляют опасность для любых приложений, использующих в работе SQLite, однако риски для пользователей Chrome выше из-за API-интерфейса WebSQL.

Проблемы Magellan 2.0 вызваны некорректной проверкой ввода в SQL-командах, которые база данных SQLite получает из сторонних источников. В результате злоумышленник может создать SQL-операцию, содержащую вредоносный код для выполнения команд.

Помимо Chrome рискам подвергаются и пользователи Opera.

В приложении Twitter для Android обнаружена опасная уязвимость, позволявшая злоумышленникам просмотреть закрытую информацию учётной записи и перехватить контроль над ней — отправлять твиты и личные сообщения.

Разработчики Twitter утверждают, что случаев эксплуатации уязвимости зафиксировано не было, а для получения доступа к личной информации пользователя злоумышленнику придется пройти «через сложный процесс, включающий вставку вредоносного кода в ограниченные области хранилища приложения Twitter».

Умные устройства

Из-за программной ошибки умная система торможения Mazda3 экстренно тормозит в самое неподходящее время.

Ошибка заставляет автомобили Mazda3 четвертого поколения во время поездки «видеть» несуществующие препятствия на пути и автоматически включать тормоза. Проблема затрагивает 35 390 автомобилей (модели 2019 и 2020 годов) в США, однако на данный момент производителю не известно о каких-либо связанных с ней несчастных случаях. Затронутые проблемой автомобили были отозваны Mazda.

На форуме Reddit сообщают, что машина может внезапно остановиться, включить сигнализацию и вывести на экран предупреждение. И хотя умную тормозную систему можно отключить, она автоматически включается каждый раз, когда водитель садится за руль.

Инциденты

В открытом доступе обнаружена незащищенная база Elasticsearch, содержащей данные 267 млн американских пользователей Facebook. В базе содержатся идентификаторы пользователей, номера телефонов и имена, причём просмотреть их может любой желающий.

Предположительно, база принадлежит вьетнамской киберпреступной группировке, а данные в ней собраны с помощью скрапинга и злоупотребления Facebook API. Информация использовалась для рассылки спама, проведения крупномасштабных фишинговых кампаний и другой вредоносной деятельности.

Сотрудник компании, обеспечивающей кибербезопасность американских военных, ежедневно приносил домой секретные документы на флешке, чтобы поработать с ними в более удобной обстановке.

О незаконных действиях стало известно, когда флешку неизвестного происхождения нашли на полу в закрытом офисе. Обнаруживший её сотрудник отнёc накопитель в отдел безопасности, в котором выяснили, что на устройстве хранились документы с пометкой «секретно», а также персональные материалы легкомысленного сотрудника, в том числе файл «популярной коммерческой видеоигры».

В итоге нарушитель признал, что копировал на флешку секретные документы, приносил домой и загружал на личный компьютер у себя в подвале. Закончив работу, он копировал файлы на внешний накопитель, стирал со своего компьютера все следы их существования, загружал на флешку готовый проект и приносил на работу.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






Ctrl + ↓ Ранее