Блог компании Антифишинг

как поведение людей влияет на безопасность

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 11 по 17 января 2019 года.


Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Злоумышленники распространяют вымогателя GandCrab с помощью «любовных» фишинговых писем.

  1. Письмо содержит тройную вредоносную нагрузку: содержащийся во вложении скрипт загружает на устройство спамбот Phorpiex, шифровальщик GandCrab и криптомайнер XMRing.
  2. Имена вложенных файлов начинаются со слов Love_You_.
  3. При запуске вредонос копируется на внешние USB-носители, подключенные к компьютеру.

Вредоносное письмо и вложенный в него обфусцированный скрипт

Рабочий стол компьютера, зашифрованного GandCrab

Злоумышленники используют пробелы нулевой ширины для обхода антиспам-фильтров Microsoft Office 365.

В Office 365 имеется два защитных механизма для проверки интернет-ссылок: Domain Reputation checks и Safe Links. Когда пользователь нажимает на ссылку, механизмы перехватывают это нажатие и направляют его на служебный домен, где и производится проверка ссылки на вредоносность.

Добавление невидимого пробела в URL позволяет обмануть защитную систему — она перестает воспринимать эту последовательность символов как интернет-ссылку, в результате пользователь переходит на сайт напрямую.

По словам экспертов, преступники уже применили эту технику в реальных атаках, чтобы похитить учетные данные пользователей:

хакерская группировка TA505 атакует финансовые учреждения и ретейл с помощью вредоносных писем с вложенными документами MS Word, Publisher и PDF.

  • В случае вложений MS Word и Publisher от пользователя требовалось активировать макросы.
  • Вложения PDF содержали ссылки на поддельный “Adobe PDF Plugin” и текст, который убеждал пользователя обновить программу:

В результате на компьютер жертвы загружался вредонос ServHelper, который умеет создавать SSH-тоннели и открывает удалённый доступ к рабочему столу по протоколу RDP.

В некоторых случаях удалённый доступ к компьютеру обеспечивался вредоносом FlawedGrace.

Злоумышленники атакуют пользователей через торренты с вредоносными .LNK-файлами, замаскированными под видеофайлы.

  1. .LNK-файл представляет собой ярлык Windows.
  2. При запуске ярлыка выполняются команда PowerShell, запускающая цепочку других команд, после завершения работы которых в папку AppData загружается вредонос.
  3. Результатом работы вредоноса становится внедрение рекламы в результаты поиска Google и на ряд других сайтов с помощью вредоносных расширений Firefox Protection и Chrome Media Router:

Также вредоносная программа следит за содержимым страниц сайтов и подменяет любые обнаруженные адреса кошельков Bitcoin и Ethereum на кошельки злоумышленников.

В системе онлайн-бронирования авиабилетов Amadeus обнаружена уязвимость, через которую злоумышленники могут узнать персональные данные пассажира и от его имени зарегистрироваться на рейс, перевести бонусные мили в другую учётную запись или даже отменить бронь.

Уникальный номер бронирования (PNR), который присваивается каждому зарегистрированному пассажиру, передаётся на сайт прямо в адресной строке, причём если номер действительный, то выводится страница с именем пассажира:

PNR можно подобрать или даже найти в социальных сетях.

Используя PNR и фамилию пассажира, преступники могут от имени пассажира авторизоваться на портале авиаперевозчика и отредактировать все личные данные.

Атаки, уязвимости и утечки

Злоумышленники взламывали DNS-серверы по всему миру и перехватывали DNS-запросы, чтобы проанализировать трафик жертвы и похитить учётные данные сотрудников государственных и коммерческих организаций.

Преступники использовали следующие тактики:

После взлома DNS-сервера изменяли DNS-запись, содержащую IP-адрес почтового сервера компании-жертвы, чтобы перенаправить обращения к почтовому серверу на собственные ресурсы. После перехвата учётных данных запрос пользователя переадресуется легитимному почтовому серверу, и он продолжает работать с почтой, ничего не замечая. Для обхода файрволлов и систем безопасности используются бесплатные сертификаты Let's Encrypt.

Весь трафик жертвы перехватывался путём модификации записи NS, указывающей IP-адрес DNS-сервера домена. Аналогично первому варианту после получения учётных данных запросы перенаправлялись на легитимный сервер.

Использовалась отдельная служба DNS-переадресации, которая обрабатывала все запросы сервера жертвы, взломанного одним из двух предыдущих методов.

В открытом доступе обнаружена незащищённая база данных MongoDB, содержащая резюме 202 миллионов китайских пользователей.

Данные в базу были собраны с помощью приложения-скрапера, которое искало и агрегировало резюме с сайтов для поиска работы и записывало полученную информацию в базу данных. В числе собранных сведений — имена, домашние адреса, телефонные номера, email-адреса, семейное положение, политические взгляды, образование, прошлые места работы и желаемый размер оклада.

Мобильная безопасность

В онлайн-библиотеке GreenSock Animation Platform для создания анимированных рекламных баннеров обнаружен вредонос, который заражает Android-устройства.

  1. Если владелец сайта разместит код объявления, созданного с использованием GSAP, посетители с Android-устройствами вместе с данными сайта получат на свои устройства вредоносную нагрузку.
  2. Зловред создаёт p2p-канал для обмена с управляющим сервером с использованием механизма ICE, обмен производит по протоколу RTC и умеет обходить VPN.
  3. Текущая версия вредоноса собирает сведения об устройстве, уровне заряда батареи, ориентации устройства и данные с датчиков движения. Кроме того на управляющий сервер отправляется системная информация и IP-адрес жертвы.

Из-за очередной недоработки в WhatsApp при подключении мессенджера с новым номером телефона на новом устройстве приложение отображает архив сообщений предыдущего номера на этом устройстве.

Согласно документации WhatsApp, история сообщений удаляется полностью через 45 дней неактивности номера, однако столкнувшиеся с некорректной работой мессенджера пользователи настаивают на том, что период неактивности номера был заметно больше.

Специалисты рекомендуют всем, кто не хочет столкнуться с подобной ситуацией, при запланированной смене номера удалить аккаунт в WhatsApp самостоятельно.

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Представляем новости об актуальных технологиях фишинга и других атаках на человека c 28 декабря 2018 по 10 января 2019 года.


Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

Исследователи показали метод получения контроля над учётными записями в WhatsApp, PayPal и других сервисах через атаку на голосовую почту.

  1. Автоматизированные телефонные звонки часто используются для сброса паролей и верификации учётных записей в таких сервисах, как WhatsApp, PayPal, Linkedin и Netflix.
  2. Если в момент телефонный номер жертвы окажется недоступен, звонок может быть перенаправлен на голосовую почту.
  3. При этом PIN-код для доступа к голосовой почте состоит всего из 4 символов и может быть легко подобран:

Разработанный исследователем Мартином Виго скрипт Voicemailcracker.py использует VoIP-сервис Twilio, чтобы произвести сотни звонков для взаимодействия с голосовой почтой и подбора PIN-кода.

Далее можно перехватить контроль над учётными записями жертвы, используя взломанную голосовую почту для воспроизведения тонального сигнала и сброса пароля.

В Skype для Android обнаружена уязвимость, с помощью которой можно обойти экран блокировки, просматривать фотографии, контакты и даже открывать окно браузера:

Skype на Android позволяет ответить на звонок без разблокировки смартфона, поэтому даже совершенно посторонний человек может отвечать на звонки Skype, а затем просматривать фотографии и списки контактов из приложения, отправлять текстовые сообщения и даже открывать браузер, нажав на ссылку в сообщении. Уязвимость может быть использована ворами, недоброжелателями и ревнивыми супругами.

Проблема исправлена в версии Skype от 23 декабря 2018 года.

Социальные сети

Подписчики Антифишинга сообщают о новых атаках на администраторов групп «Вконтакте»:

Ссылка в сообщении перенаправляет администратора на внешний фишинговый сайт https:// vk.cab /login?m=1&email=, где мошенники собирают логины и пароли жертв.

Дополнительный фальшивый параметр в URL ticket9321894 помогает мошенникам скрыть реальный адрес фишингового сайта в сообщении.

Умные устройства

Через роутеры с уязвимой реализацией UPnP хакеры получили доступ к 72 тысячам аккаунтов Google Chromecasts и смарт-телевизорам.

Ответственность за атаки взяли на себя хакеры — @TheHackerGiraffe и @j3ws3r. Они запустили сайт под названием CastHack, на котором демонстрируется статистика о ходе атаки:

Хакеры заявили, что у них не было злого умысла, но рассказали, что могли бы собрать всю личную информацию пользователей, например о провайдере Wi-Fi или используемых Вluetooth-устройствах.

Также они могли бы переименовать систему и переустановить устройства.

Сайты, почта и мессенджеры

Описан новый метод фишинга с использованием Fullscreen API.

В реальной атаке, разумеется, мошенники постараются избежать возможных всплывающих предупреждений, которые покажут настоящее окно браузера.

Fullscreen API предоставляет нативный способ для браузера отобразить веб-страницу в полноэкранном режиме.

Злоумышленники могут воспользоваться этим, отобразив в полноэкранном режиме изображение фальшивого окна браузера с адресом легитимного сайта, в то время как пользователь будет оставаться и вводить данные на мошенническом сайте.

Не переходите по ссылкам на важные ресурсы, а набирайте адрес вручную, либо пользуйтесь «избранным».

Опасность атаки в том, что традиционные советы «внимательно смотреть на адресную строку» и «проверять зеленый значок HTTPS» в этом случае не будут эффективны.

Обнаружен новый способ маскировки фишинговой страницы с помощью комплекта фальшивых шрифтов.

Шаблон фишинговой страницы имитирует сайт одного из банков и предназначен для кражи учётных данных.

Для отображения информации вредоносная страница использовала модифицированные веб-шрифты, которые вместо обычной последовательности символов содержали оригинальный ряд букв для подстановки:

В результате бессмысленный набор знаков в коде шаблона превращался в читаемый текст в браузере, но не распознавался системами безопасности.

В качестве логотипа мошенники использовали векторное изображение в формате svg, которое также не поддаётся сравнению с образцами и идентификации системами безопасности:

Атаки, уязвимости и утечки

В системе видеонаблюдения Guardzilla обнаружена критическая уязвимость, из-за которой видеозаписи всех пользователей доступны для просмотра злоумышленниками.

Особенности уязвимости:

  1. Параметры учётной записи облака Amazon Web Services, в котором хранятся видеозаписи пользователей системы, содержатся прямо в коде прошивки видеокамер.
  2. Несмотря на то, что параметры учётной записи зашифрованы, для шифрования использован устаревший алгоритм DES, который легко взломать на бытовом оборудовании.
  3. Производитель системы не разграничивает права доступа в облаке, поэтому все видеозаписи владельцев системы доступны всем, кто узнал пароль.

Злоумышленники похитили у пользователей криптокошелька Electrum около 200 биткоинов — 720 тысяч долларов США по текущему курсу.

  1. Для проведения атаки преступники внедрили в сеть сервиса Electrum около 50 собственных серверов.
  2. Если при совершении операции кошелёк обращался к одному из вредоносных серверов, ему выдавалось сообщение об ошибке с предложением установить обновление для решения проблемы.
  3. Уведомление содержало ссылку на GitHub-аккаунт с фальшивой версией кошелька, которая загружалась поверх легитимного варианта.
  4. После установки вредоносной программы пользователь получал запрос на двухфакторную аутентификацию, якобы необходимую для запуска приложения.
  5. Получив от жертвы одноразовый SMS-пароль, зловред обнулял баланс аккаунта .

Систему биометрической аутентификации по рисунку сосудов обманули с помощью воскового слепка руки.


  1. Для изготовления слепка использовали снимок руки, сделанный фотокамерой, из которой удалили инфракрасный фильтр.
  2. На подбор подходящего варианта у исследователей ушёл месяц, в течение которого они сделали более двух тысяч снимков.
  3. В дальнейшем для изготовления поддельной руки понадобится значительно меньше времени, причём фотографировать можно с расстояния до 5 метров.

Новая атака по сторонним каналам эффективно работает в Windows- и Linux-системах и не зависит от аппаратной базы компьютера.

Разработанный метод использует системные вызовы QueryWorkingSetEx в Windows и mincore в Linux, которые дают разработчику или приложению возможность проверить наличие страницы в кэше.

  1. Запустив вредоносный процесс, можно вытеснить из кэша старые страницы памяти, при этом они будут записываться на диск.
  2. В процессе записи данных система страничных кэшей генерирует ошибки и загружает к кэш новые страницы.
  3. Анализирую эту активность, можно получить содержимое страничного кэша, даже если оно использовалось другими процессами.

Атака позволяет разом извлекать большой объем данных и может использоваться для обхода песочниц, модификации пользовательского интерфейса и записи нажатий клавиш.

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Представляем новости об актуальных технологиях фишинга и других атаках на человека c 21 по 27 декабря 2018 года.


Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Умные устройства

Тысячи джакузи оказались уязвимыми для удалённых атак.


Исследователь Ken Munro демонстрирует BBC взлом джакузи

Без аутентификации пользователя мобильного приложения для управления устройством посторонний человек может обнаружить джакузи с помощью вардрайвинга, а затем удалённо захватить контроль над гидромассажной ванной: регулировать температуру воды, управлять насосами и подсветкой.

Атаки, уязвимости и утечки

Новый метод атаки позволяет определить нажатия клавиш, следя за тем, как процессор обрабатывает код, полученный от графических библиотек.

Базой для атаки служит тот факт, что из кода, выводящего текст на экран, можно получить некий набор сведений об обрабатываемой информации. С помощью таких «утечек» удаётся с высокой точностью определить, какой символы ввёл пользователь.

В сравнении с классическими кейлоггерами новый метод более перспективен, поскольку позволяет определять нажатия клавиш на экранной клавиатуре, а не только на физической. Кроме того, он работает на любой ОС, включая мобильные.

В Twitter обнаружена новая уязвимость, которая позволяет злоумышленникам отправлять твиты, личные сообщения, публиковать картинки и видео от имени любого пользователя.

Кроме того, атакующий может отключить двухфакторную аутентификацию в настройках безопасности аккаунта.


Демонстрируя уязвимость, эксперт опубликовал твит от имени журнала ComputerWeekly

По словам эксперта, для использования уязвимости не нужно никакого процесса взлома: из-за логической ошибки в коде соцсети любая запись, к которой привязан номер телефона, уязвима. Зная номер телефона, атакующий может твитить и ретвитить, отправлять сообщения и публиковать медиаматериалы.

Уязвимость в модемах Orange позволяет злоумышленникам получить доступ к сетям Wi-Fi и узнать их пароль.


Обычный HTTP GET-запрос по адресу /get-getnetworkconfig.cgi возвращает SSID и пароль на Wi-Fi

Атакующие эксплуатируют уязвимость CVE-2018-20377: она позволяет удалённо получить доступ к паролю Wi-Fi и SSID устройства.

Это даёт возможность злоумышленникам вычислить географические координаты сети и проникнуть в неё. Если модемы Orange расположены в корпоративных сетях, злоумышленники могут похитить конфиденциальную информацию.

Сайты, почта и мессенджеры

Злоумышленники используют код JavaScript, заставляющий Google Chrome расходовать все ресурсы центрального процессора и «зависать».

После перехода по вредоносной ссылке пользователь попадает на страницу фальшивой «техподдержки». Страница замаскирована под уведомление Windows об ошибке «Internet Security Alert! Code: 055BCCAC9FEC» и предлагает позвонить для решения проблемы.

Страница содержит код JavaScript, заставляющий браузер в бесконечном цикле обращаться к URL и переходить назад:

Петля заставляет браузер расходовать все ресурсы центрального процессора, в результате чего он «зависает» и пользоваться компьютером становится невозможно:

Если завершить процесс, а потом снова открыть браузер, Chrome автоматически восстановит открытые вкладки. Вредоносная страница откроется снова, и JavaScript снова запустит петлю:

Facebook-спамеры используют кликджекинг в мобильном приложении для размещения своих публикаций в хронике.

Пользователю приходила ссылка на сайт с комиксами:

По ссылке он попадал на страницу с просьбой подтвердить возраст:

Страница содержала iframe с цепочкой ссылок, которые переадресовывали пользователя до команды на новую публикацию в Facebook, причём сценарий срабатывал только в мобильном приложении:

В результате, если пользователь кликал на кнопку подтверждения возраста, в его хронике появлялась спамерская публикация.

Причина ошибки в том, что мобильный клиент Facebook игнорировал ограничение на работу iframe. Функция в настройках приложения отключала блокировку всплывающих невидимых окон, позволяя загрузить дополнительные элементы поверх страницы и опубликовать пост без согласия пользователя.

Пользуясь праздничным настроением в канун Нового года, мошенники собирают личные данные через спам с сообщением о выигрыше BMW.

  1. Жертве приходит письмо с сообщением о том, что компания BMW проводит лотерею, и пользователь выиграл автомобиль BMW серии 2 M240i.
  2. В письме указывается код, который пользователь должен представить, чтобы затребовать свой выигрыш.
  3. Помимо кода требуется сообщить полное имя, домашний адрес и номер телефона.
  4. Следующим этапом, предположительно, мошенники запросят другие конфиденциальные данные, получив которые, смогут перехватить контроль над платёжными сервисами жертвы и похитить деньги с её счетов.
Друзья!
Это был юбилейный, сотый выпуск дайджеста и последний выпуск в 2018 году.
Весь год мы работали для вас. Спасибо, что читаете и остаетесь с нами!

В новом году желаем вам новых достижений, грамотных пользователей и коллег, и пусть ваши родные и близкие всегда остаются в безопасности!

— команда Антифишинга.


О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Ctrl + ↓ Ранее