Блог компании Антифишинг

как поведение людей влияет на безопасность

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 29 ноября по 5 декабря 2019 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Злоумышленники научились перехватывать СМС-коды с подтверждением входа в учётную запись с нового устройства, не производя замену сим-карт.

В результате успешной атаки преступники получили доступ к учётным записям нескольких бизнесменов в Телеграм. Примечательно, что к атаке оказались уязвимы все мобильные операторы.

  1. Атака начиналась с того, что в мессенджер Телеграм пользователю приходило сообщение от официального сервисного канала Telegram с кодом подтверждения, который пользователь не запрашивал.
  2. После этого на смартфон жертвы падало СМС с кодом активации — и практически сразу же в сервисный канал Telegram приходило уведомление о том, что в аккаунт был произведен вход с нового устройства.
  3. Во всех случаях злоумышленники заходили в чужой аккаунт через мобильный интернет, а их IP-адрес почти всегда находился в Самаре.

На данный момент не установлено, какая именно схема использовалась для обхода СМС-аутентификации. В разное время исследователи приводили примеры перехвата сообщений с помощью атак на протоколы SS7 или Diameter, используемые в мобильных сетях. Теоретически, подобные атаки могут быть реализованы с нелегальным использованием специальных технических средств или инсайда в операторах сотовой связи.

Чтобы защититься, включите в Телеграме двухфакторную аутентификацию. В этом случае помимо СМС-кода при входе с нового устройства будет запрошен пароль.

Вредоносная кампания RevengeHotels направлена на хищение данных банковских карт из информационных систем отелей.

Атакованы не менее 20 брендов отелей в Бразилии, Аргентине, Боливии, Чили, Коста-Рике, Франции, Италии, Мексике, Португалии, Испании, Таиланде и Турции.

Обычно атака начинается с электронного письма, к которому приложен документ с вредоносным OLE-объектом. В письме содержится заказ на резервирование большого количества номеров для реально существующей организации. Чтобы обмануть жертву, киберпреступники прикладывают к посланию выписку из государственного реестра легитимной компании, а само письмо отправляют с домена, очень похожего на официальный.

Если жертва открывает вредоносный файл, он загружает небольшой PowerShell-скрипт, который, в свою очередь, доставляет на устройство основную полезную нагрузку, которая перехватывает номеров клиентских кредитных карт и делает снимки экрана при посещении страницы с платежной информацией на онлайн-платформах и вызове диалога для отправки данных на принтер.

Таким образом, заражение компьютер менеджера отеля или рабочей станции на ресепшн приводят к тому, что личные и платежные данные постояльцев отправляются не только в архив гостиницы, но и злоумышленникам в режиме реального времени.

Мошенники воруют учётные записи пользователей Steam с помощью фишингового сайта.

Вредоносный сайт рекламируется в самом Steam с помощью комментариев к профилям пользователей:

«Дорогой пользователь! Ваш SteamID был выбран в качестве победителя еженедельной бесплатной раздачи. Вы можете забрать свой приз на giveavvay[.]com»

Если пользователь перейдёт на мошеннический ресурс, ему предложат 26 бесплатных дней для получения скинов.

Чтобы получить один из них, нужно ввести учётные данные Steam в фишинговую форму:

Мошенники не полагаются на случай, проверяя аутентификацию в оригинальном сервисе. Поэтому после указания логина и пароля жертва получит запрос от Steam Guard:

Далее мошенники используют учётную запись по своему усмотрению.

Инциденты

Один из крупнейших в США провайдеров дата-центров CyrusOne стал жертвой вымогательского ПО REvil/Sodinokibi.

Судя по уведомлению с требованием выкупа, атака на сети CyrusOne была целенаправленной. Точка входа, с которой началась атака, пока не установлена.

В настоящее время CyrusOne проводит расследование случившегося при участии правоохранительных органов и криминалистов, а также помогает своим клиентам восстанавливать потерянные в результате атаки данные из резервных копий.

Неизвестный злоумышленник взломал online-сервис потоковой музыки Mixcloud и выставил на продажу данные 21 миллиона его пользователей за 2 тысячи долларов США.

Информация о пользователях Mixcloud включает логины, адреса электронной почты, зашифрованные пароли, сведения о стране проживания, дату регистрации, дату и IP-адрес последнего входа в систему.

Компания Mixcloud подтвердила утечку данных в официальном в блоге и сообщили, что большинство пользователей зарегистрировались через Facebook и не имеют пароля, связанного с учетной записью Mixcloud.

В открытом доступе обнаружена база данных, содержащая SMS более 5 миллиардов пользователей сотовой связи со всего мира.

Владельцем базы оказалась американская компании TrueDialog, которая работает с более чем 990 операторами сотовой связи и обеспечивает предприятиям, колледжам и университетам обмен текстовыми сообщениями.

База хранила в себе отправленные и полученные текстовые сообщений клиентов TrueDialog в  незашифрованном виде. При этом сама база не была защищена паролем. Записи содержали сведения о финансовых приложениях университетов, маркетинговые сообщения от компаний с кодами скидок, оповещения о вакансиях, конфиденциальные текстовые сообщения, например, коды доступа к медицинским online-службам и коды сброса пароля и логина для сайтов, включая учетные записи в Facebook и сервисах Google.

Мобильная безопасность

В Android обнаружена уязвимость StrandHogg, которая позволяет вредоносным приложениям модифицировать легитимные и выполнять вредоносные операции от их имени.

  1. Используя уязвимость, преступник может обманом вынудить пользователя предоставить опасные привилегии вредоносному приложению во время его взаимодействия с легитимным приложением, например, доступ к SMS-сообщениям, фотографиям, микрофону и GPS, что позволит ему читать сообщения, просматривать фотографии и отслеживать перемещения жертвы.
  2. Кроме того, StrandHogg можно использовать для показа жертвам фальшивых страниц логина во время подключения к легитимным приложениям, перехватывая учётные данные банковских приложений.

Проблема связана с механизмом многозадачности Android, поэтому злоумышленникам не приходится взламывать сторонние приложения, а сами атаки проходят максимально скрытно для жертв. Преступники стараются застраховаться от подозрений, подстраивая содержание и оформление всплывающего окна под интерфейс маскировочного приложения, поэтому у жертв атаки нет шансов заметить перехват управления, и они с высокой вероятностью одобрят запрос:

В реализации стандарта Rich Communication Services (RCS) обнаружены уязвимости, которые могут использоваться для отслеживания местоположения устройства пользователя, перехвата звонков и текстовых сообщений.

Rich Communication Services  — это система передачи коротких сообщений между абонентами в сотовой связи семейства стандартов GSM. RCS основан на таких интернет-протоколах, как SIP и HTTP, для реализации групповых чатов, видеозвонков, передачи файлов.

В зависимости от конфигурации сети злоумышленники могут локально или удаленно перехватывать одноразовые SMS-пароли для авторизации банковских операций или перехватить контроль над учетными записями электронной почты, в социальных сетях и мессенджерах:

Используя одну из уязвимостей в RCS, можно удаленно загрузить файл конфигурации RCS на смартфон, чтобы повысить привилегии программы в системе и предоставить злоумышленнику доступ к голосовым вызовам и текстовым сообщениям:

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.





Представляем новости об актуальных технологиях фишинга и других атаках на человека c 22 по 28 ноября 2019 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты

Злоумышленники используют пуш-уведомления в браузерах для кражи учетных данных, распространения спама и вредоносного ПО.

Обычно мошенники принуждают своих жертв к подписке под странным предлогом, например, указывая получение уведомлений в качестве обязательного условия для воспроизведения видео или загрузки файлов.

Во многих случаях посетители считают, что подписываются не на рекламу, а на обновления сайта. В результате, когда пользователей начинают заваливать рекламными объявлениями, они не понимают, откуда те взялись.

Среди рекламы присутствует как обычный спам, так и вредоносные сообщения:

  • уведомления о мнимом выигрыше в лотерею,
  • приглашения к участию в оплачиваемых опросах,
  • всплывающие окна с именами известных интернет-ресурсов и компаний,
  • оповещения о якобы обнаруженных на компьютере вирусах.

Получив согласие пользователя на получение уведомлений, вредоносный компонент присваивает машине идентификатор и отправляет его на управляющий сервер злоумышленников, а браузер запоминает сайт, на который была оформлена подписка.

После этого сервер получает возможность отправлять клиенту контент в формате JSON. При этом злоумышленники не указывают в уведомлениях реальный адрес, на который попадает кликнувший пользователь. Пользователь видит в оповещении сайт, где он оформил подписку, однако цепочка переадресаций приводит его на другую страницу.

Злоумышленники создают фальшивые сайты с распродажами к Чёрной пятнице, чтобы выманивать ФИО, номера телефонов, адреса электронной почты, банковские реквизиты и другие данные посетителей.

Роскомнадзор предупреждает, что основная цель сбора таких данных — для последующей рассылки спама и кражи денег с банковских карт. Для предотвращения неправомерного использования данных ведомство рекомендует следующее:

  • Проверяйте оригинальность домена интернет-магазина. Как правило, мошенники регистрируют похожие на настоящий сайт домены, чтобы ввести покупателя в заблуждение и используют логотипы известных брендов, которые участвуют в акции.
  • Проверяйте наличие SSL-сертификата. На страницах с вводом и передачей личной информации пользователей сайты используют шифрование SSL «https:». Если сайт банка или авиакомпании начинается на «http:», это повод усомниться в оригинальности страницы.
  • Проверьте структуру сайта и ссылки. Если при клике на ссылку вы переходите на страницу с ошибкой или на страницы, которые не похожи оригинальный ресурс, значит, вы попали на фишинговый сайт.
  • Проверяйте сайт на наличие пользовательского соглашения, политики конфиденциальности и контактов. Согласно российскому законодательству, при сборе и обработки личной информации сайты обязаны размещать правовую информацию, с которой может ознакомиться пользователь.

Уязвимости

Панели управления светосигнальным оборудованием Dialight в аэропортах США и Канаде были подключены к открытому интернету и доступны любому желающему.

Светосигнальное оборудование в аэропортах подсвечивает взлётно-посадочные полосы в аэропортах, обеспечивая безопасность взлёта и посадки. Доступ посторонних к управлению спецоборудованию создаёт серьёзные риски, поскольку злоумышленник сможет менять интенсивность, включать и отключать освещение.

Умные устройства

Детские умные часы SMA-WATCH-M2 стоимостью 35 долларов раскрывают личные данные и сведения о местонахождении более 5000 детей и их родителей.

Часы SMA-WATCH-M2 работают в паре с мобильным приложением. Родители регистрируют учетную запись, подключают умные часы ребенка к своему телефону и используют приложение для отслеживания его местоположения, голосовых вызовов и получения уведомлений, когда ребенок покидает определенную область.

Выяснилось, что к программному интерфейсу, который использует мобильное приложение, может подключиться любой желающий, поскольку сервер не проверяет подлинность токена аутентификации. Используя этот интерфейс, злоумышленники могут собрать данные о детях и их родителях: текущее географическое местоположение ребенка, тип устройства и IMEI SIM-карты.

Кроме того атакующий может установить приложение на собственное устройство, изменить идентификатор пользователя в файле конфигурации и связать свой смартфон с умными часами чужого ребенка, даже не вводя адрес электронной почты или пароль от родительского аккаунта. После этого приложение можно использовать, чтобы отслеживать ребенка с помощью карты, совершать звонки и общаться голосовые чаты с детьми.

И самое опасное — злоумышленник может изменить пароль от учетной записи и заблокировать приложение настоящих родителей, пока сам общается с ребенком.

Инциденты

Вымогатель Ryuk заблокировал работу ИТ-систем 100 домов престарелых в США и потребовал 14 млн долларов США в биткоинах.

Объектом атаки вредоносного ПО стал облачный провайдер Virtual Care Provider Inc (VCPI), на серверных мощностях размещалась инфраструктура и данные домов престарелых. От атаки пострадали более 80 тыс. компьютеров провайдера, в результате чего работа компании была парализована: не работали интернет-услуги и электронная почта, доступ к записям пациентов и счетам клиентов, телефонные и даже платежные системы.

В открытом доступе обнаружена база ElasticSearch, содержащая данные более чем 1,2 млрд пользователей.

Размер базы данных составляет около 4 Терабайт, и в ней содержится почти 4 млрд записей, но лишь 1,2 млрд из них уникальны. Каждая запись содержит имена, адреса электронной почты, номера телефонов и информацию профилей LinkedIn, Twitter, Facebook и т. п. Конфиденциальной информации на сервере не было.

Предположительно данные в базе собраны из различных источников и принадлежат одному из беспечных клиентов компаний-брокеров данных People Data Labs и OxyData, который приобрёл данные, но не позаботился об ограничении доступа к ним.

ИТ-компания, обслуживающая Управление полиции Нью-Йорка, на несколько часов вывела из строя базу данных отпечатков пальцев, подключив к сети полиции инфицированный мини-компьютер Intel NUC.

Инцидент произошёл в процессе установки цифрового дисплея в полицейской академии. Неизвестное вредоносное ПО распространилось на 23 компьютера, подключенных к системе отпечатков пальцев LiveScan. После того, как заражение было обнаружено, базу данных пришлось отключить до устранения опасности.

Мобильная безопасность

В мобильном приложении для блокировки спам-звонков Truecaller обнаружена уязвимость, эксплуатация которой позволяет раскрыть данные о пользователях, информацию о системе и местоположении.

Уязвимость позволяет злоумышленнику внедрить вредоносную ссылку в качестве URL профиля. В результате пользователь, просматривающий такой профиль, автоматически становился жертвой, при этом ничего не замечая, поскольку вредоносная активность происходит в фоновом режиме.

Вредоносное ПО

Криптовалютный майнер Dexphot заразил более 80 тыс. компьютеров по всему миру благодаря использованию сложных техник для уклонения от обнаружения.

В ходе атак операторы Dexphot используют обфускацию, шифрование и случайные имена файлов для сокрытия процесса установки. Вредонос практически не оставляет следов на жёстком диске, используя бесфайловые методы для запуска вредоносного кода непосредственно в памяти.

После запуска Dexphot перехватывает легитимные системные процессы Windows msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe и powershell.exe для избежания обнаружения. Итогом работы Dexphot становится запуск майнера криптовалюты на устройстве. В планировщик и службу мониторинга добавляются запланированные задачи, инициирующие повторное заражение при попытке удалить вредоносное ПО.

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Представляем новости об актуальных технологиях фишинга и других атаках на человека c 15 по 21 ноября 2019 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Уязвимости

В мессенджере WhatsApp обнаружена уязвимость, позволяющая удаленно скомпрометировать устройство и похитить с него информацию.

Для эксплуатации уязвимости нужен номер телефона жертвы. Зная его, можно отправить по WhatsApp специально сформированнный файл в формате MP4, после открытия которого на устройство незаметно установится бэкдор или шпионского ПО.

Причина ошибки — в некорректной реализации обработки потока метаданных MP4-файла, в результате чего специально сформированный файл может привести к переполнению буфера и вызвать сбой в работе приложения или удаленное выполнение кода.

Ошибка содержится в следующих версиях WhatsApp:

  • Android-версии до 2.19.274;
  • iOS-версии младше 2.19.100;
  • Enterprise Client до 2.25.3;
  • для Windows Phone младше и включая 2.18.368;
  • Business for Android до 2.19.104;
  • Business for iOS до 2.19.100.

В системе контроля учётных записей Windows UAC обнаружена опасная уязвимость, эксплуатация которой позволяет злоумышленнику получить административные права, а затем устанавливать и удалять программы, просматривать и модифицировать данные.

Чтобы воспользоваться уязвимостью, нужно

  1. Получить доступ к компьютеру в качестве пользователя с обычными правами
  2. Загрузить подписанный Microsoft исполняемый файл.
  3. Запустить его от имени администратора, чтобы вызвать диалоговое окно UAC с запросом разрешения на действие.

4. В окне UAC нужно нажать кнопку «Показать детали», а затем ссылку «Показать информацию о сертификате»

5. Если среди свойств сертификата присутствует OID SpcSpAgencyInfo, имеющий значение 1.3.6.1.4.1.311.2.1.10, ссылка на издателя сертификата на закладке «Общие» будет показана как гиперссылка, при щелчке на которую будет запущен браузер с правами NT AUTHORITY\SYSTEM.

6. Выбрав в открывшемся окне браузера выбрать «Файл-Сохранить как», в окне сохранения можно перейти в системный каталог и запустить cmd.exe с правами администратора.

Демонстрация эксплуатации уязвимости:

В процессорах Qualcomm обнаружены уязвимости, эксплуатация которых позволяет похищать конфиденциальные данные, хранящиеся в защищенной области устройств.

Выявленные ошибки позволяют

  • Запустить доверенное приложение в Normal World.
  • Загрузить пропатченное доверенное приложение в Secure World (QSEE).
  • Обойти «цепочку доверия» Qualcomm.
  • Адаптировать доверенное приложение для запуска на устройстве другого производителя.

Проблемы содержатся в Qualcomm Secure Execution Environment (QSEE) — безопасной среде исполнения (Trusted Execution Environment, TEE), основанной на технологии ARM TrustZone. QSEE — изолированная область в процессоре, предназначенная для аппаратной защиты персональной информации, закрытых ключей шифрования, паролей и данных платежных карт.

Разработана атака на GPS, которая заставляет ретрансляторы морских кораблей показывать ложные координаты, которые образуют кольцеобразные узоры.

Инцидент, обнаруживший существование атаки произошёл в 2018 году.
Согласно международному законодательству коммерческие суда должны иметь автоматическую идентификационную систему (АИС), которая раз в несколько секунд транслирует название, курс, местоположение и скорость судна, а также отображает все эти данные для других судов поблизости. Данные о местоположении АИС получает от спутников GPS.

Капитан одного из кораблей, следовавших вблизи Шанхая, увидел на экране АИС судно, следующее по одному с ним курсу. Затем судно исчезло, а через несколько минут появилось снова, но уже в доке. Затем судно исчезло и появилось в проливе, а потом снова оказалось в доке и так несколько раз. Капитан взглянул в бинокль и обнаружил, что всё это время судно находилось в доке.

«Возможность подделать координаты сразу нескольких кораблей таким образом, чтобы они образовали круги, — это экстраординарная технология. Сродни магии»

Тодд Хамфрис, глава радионавигационной лаборатории
Техасского университета

Видео: реконструкция атаки

Инциденты

Учётные записи пользователей стримингового сервиса Disney+ продаются на хакерских форумах по цене от 3 до 11 долларов США. Представители компании Disney настаивают, что инциденты не связаны с утечкой.

Некоторые из жертв признались, что использовали для доступа к Disney+ свои старые пароли, в других случаях эксперты предполагают, что злоумышленники использовали шпионские программы для хищения учётных данных.
Ещё одна причина сложившейся ситуации состоит в том, что Disney+ не поддерживает двухфакторную аутентификацию.

На данный момент всем клиентам Disney+, которые использовали слабый пароль, рекомендуется заменить его на более стойкий и проверить компьютер на предмет наличия шпионского ПО.

Мобильная безопасность

В ПО, предустановленном на Android-смартфоны Asus, Samsung, Sony и Xiaomi, обнаружено 146 уязвимостей.

  • 28,1% из них позволяют модифицировать системные настройки;
  • 23,3% допускают несанкционированную установку приложений;
  • 20,5% позволяют выполнять команды;
  • 17,8% позволяют изменить настройки беспроводной связи.

Среди уязвимых устройств Asus ZenFone, Samsung A3, A5, A7, A8+, J3, J4, J5, J6, J7, S7, S7 Edge, Sony Xperia Touch, Xiaomi Redmi 5, Redmi 6 Pro и Mi Note 6.

Рекламный вредонос Ads Blocker распространяется под видом блокировщика рекламы через неавторизованные Android-репозитории.

В процессе установки приложение запрашивает права на открытие VPN-соединения, показ сообщений поверх других окон и создание виджета на рабочем столе. Получив необходимые привилегии, приложение демонстрирует пользователю служебное сообщение, удаляет свою иконку и переходит в фоновый режим.

Ads Blocker умеет открывать свои окна во весь экран, запускать браузер с нужным сайтом, отправлять пользователю уведомления. Кроме того, приложение размещает на одном из рабочих столов прозрачный виджет, загружающий баннеры. После установки вредоноса рекламные сообщения выводятся каждые две минуты.

Программа удаляет своё название и иконку из списка установленных приложений, отображаясь в нём как пустая строка. Единственный индикатор её работы — значок VPN-соединения в панели состояния.

Вредоносное ПО

Банковский троян Mispadu использует для распространения спам и поддельную рекламу McDonald’s. В Бразилии Mispadu использует дополнительный канал, распространяясь как вредоносное расширение для Google Chrome, и кроме хищения данных банковских карт и онлайн-банкинга атакует пользователей платежной системы Boleto.

Мошенники размещали в Facebook коммерческие публикации, в которых предлагали пользователям скидочные купоны в McDonald’s. Щёлкнув по рекламе, жертва загружала файл ZIP, замаскированный под скидочный купон и содержащий установщик MSI. Запустив архив, пользователь устанавливал банковский троян Mispadu.

Вымогатель Cyborg распространяется с помощью писем, содержащих фальшивое обновление для Windows.

Письмо содержит вложение — файл с расширением .jpg размером около 28 Кб. В действительности это исполняемый файл, который при запуске загружает вредоносную нагрузку — вымогателя Cyborg.

Вредоносная нагрузка находится в файле bitcoingenerator.exe, размещенном на Github.

После запуска вымогатель шифрует файлы, добавляя к ним расширение «777».

Завершив шифрование, Cyborg выводит на экран требование выкупа, который составляет 500 долларов США в биткоинах.

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.





Ctrl + ↓ Ранее