Блог компании Антифишинг

как поведение людей влияет на безопасность

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 19 по 25 апреля 2019 года.


Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

В атаках против госслужащих злоумышленники рассылали вредоносные документы Excel и TeamViewer с вредоносной библиотекой.

Основным вектором атак являются классические фишинговые письма, якобы содержащие во вложениях секретные документы США.

  1. Во вложении был вредоносный XLSM-документ.
  2. Если при открытии файла пользователь разрешал работу макросов, из таблицы выгружался зашифрованный код для скачивания остальных компонентов — легитимной программы AutoHotkeyU32 и рабочего скрипта к ней.
  3. Сценарий обращался к удаленному серверу за дополнительными модулями, которые исполнялись через ту же программу.
  4. Дополнительные модули позволяли операторам получать с зараженных машин скриншоты и системную информацию, загружать и устанавливать на компьютер TeamViewer вместе с вредоносной DLL-библиотекой, которая скрывает программу от жертвы и позволяет запускать полученные извне файлы EXE и DLL.

Мобильная безопасность

Злоумышленники угнали 100 автомобилей Mercedes-Benz, используя каршеринговое приложение Car2Go.

  1. Сервис Car2Go запустила в 2008 году немецкая компания Daimler, производитель автомобилей Mercedes-Benz и Smart.
  2. Клиенты сервиса могут арендовать автомобиль обоих брендов в странах Европы, Китае, Канаде и США. Чтобы арендовать машину, необходимо установить мобильное приложение.
  3. Злоумышленники воспользовались уязвимостями в нём, получили доступ к автомобилям и угнали их.

Android-приложение для поиска точек беспроводного доступа WiFi Finder раскрывало собранные данные о двух миллионов сетей, включая имена сетей, пароли и информацию о местоположении.

  1. Приложение позволяет пользователям обмениваться паролям к беспроводным сетям, чтобы быстро подключаться к ближайшим точкам доступа.
  2. Для этого WiFi Finder запрашивает разрешение на сбор сведений о подключении и собирает информацию в свою базу.
  3. База хранилась на серверах Digital Ocean в открытом виде, и скачать её мог любой желающий.
  4. Приложение собирало информацию не только о публичных, но и о домашних сетях. Самое неприятное, что владельцы точек доступа не могли ни отследить работу WiFi Finder, ни запретить сбор информации.

Если бы эта информация попала к злоумышленникам, они бы смогли менять настройки целевой сети, перенаправлять пользователей на поддельные сайты, заражать их устройства вредоносным ПО и перехватывать трафик.

В Google Play Store обнаружено 50 вредоносных рекламных приложений, замаскированных под приложения для здоровья.

В списке вредоносов: Pro Piczoo, Photo Blur Studio, Mov-tracker, Magic Cut Out, Pro Photo Eraser и другие. В общей сложности пользователи загрузили эти приложения более 30 млн раз:

Все вредоносы связаны между собой через сторонние библиотеки, которые обходят реализованные в последних версиях Android ограничения для фоновых сервисов. Они отображают рекламу на весь экран и в некоторых случаях обманом заставляют пользователей установить дополнительное рекламное ПО.

После загрузки приложения выглядят вполне легитимными, но отображают на домашнем экране рекламу и ссылки на мошеннические сайты. Некоторые приложения также добавляют ссылку на Game Center, ведущую на страницу с предложениями различных игр, и иногда даже загружают на устройство дополнительные ненужные программы.

Биометрия и искусственный интеллект

Систему биометрической идентификации ноутбуков HP можно разблокировать с помощью фотографии владельца.

Этот факт обнаружил Мэтт Карти, ирландский политик и депутат Европарламента. Сын депутата использовал для разблокировки журнал, на обложке которого была напечатана фотография отца.

Проблема систем биометрической идентификации в том, что ваше лицо или отпечатки пальцев используются в качестве ключа доступа, но при этом не являются настолько уж секретными. Если ваш смартфон или ноутбук не в состоянии отличить ваше фото от вас или ваш отпечаток пальца от напечатанной на 3D-принтере копии, ваша конфиденциальность под угрозой.

Мэтт Карти

Системы видеонаблюдения, которые используют машинное обучение для распознавания объектов, можно обмануть, сделав человека невидимым для камеры.

Чтобы добиться такого результата, человеку достаточно взять в руки картинку размером 40х40 см и постоянно оставаться в поле зрения камеры. Лучше всего в качестве такой картинки подходят фотографии случайных объектов, прошедшие различную обработку.

Авторы исследования пытались создать универсальное изображение, которое скроет человека от нейросети, выявляющей объекты на видео. В дальнейшем ученые планируют доработать алгоритм и улучшить изображение, чтобы его можно было напечатать на одежде, позволяя людям оставаться невидимками для камер видеонаблюдения.

«Идея заключается в том, чтобы обмануть системы видеонаблюдения, использующие датчики для оповещения в момент, когда человек входит в поле зрения камеры. Мы хотели создать окклюзию, которая скрывала бы человека от детектирующего датчика».

Вибе ван Ранст (Wiebe Van Ranst).

Видео: демонстрация обмана камер

Смартфоны Nokia 9 PureView с дактилоскопическим сенсором можно разблокировать не только любым отпечатком пальца, но и посторонними предметами.

Проблема заключается во встроенном в экран смартфона сканере отпечатков. После установки новой версии прошивки чувствительность сенсора повысилась, но вместе с этим увеличилось количество ложно-позитивных срабатываний. По данным экспертов, некорректная разблокировка происходит в 80% случаев.

Из-за ошибки компании Kube Data, выполняющей кодирование биометрических данных, в паспортах граждан Дании оказались перепутаны отпечатки пальцев правой и левой руки.

Система, используемая для встраивания данных, ошибочно сохранила отпечатки пальцев левой руки владельцев паспортов как отпечатки правой и наоборот. Проблема затронула примерно 228 тыс. паспортов, выданных в период с 2014 по 2017 годы.

С 2011 года во все датские паспорта встраивается чип для хранения биометрических данных: фотографии, отпечатков пальцев и подписи. Компании Kube Data не считают ситуацию критичной, поскольку возможность расшифровки данных в паспортах есть только у Национальной полиции Дании.

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Представляем новости об актуальных технологиях фишинга и других атаках на человека c 12 по 18 апреля 2019 года.


Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

Вредоносная рекламная кампания против пользователей iOS использует уязвимость в браузере Chrome.

С помощью ошибки в браузере злоумышленники перенаправляют владельцев iPhone и iPad на вредоносные ресурсы (в основном на доменах .world) и перехватывают сессию на легитимных ресурсах, где авторизован пользователь.

Специалисты объясняют, что уязвимость позволяет вредоносному коду выйти из iframe в песочнице и направить жертву на другой сайт или показать всплывающее сообщение прямо на легитимном ресурсе.

Проблема касается только Chrome для iOS, но не распространяется на Safari и другие версии Chrome.

Сайты, почта и мессенджеры

Злоумышленники используют продолжение старой переписки для создания доверия и рассылки вредоносных файлов по электронной почте.

  1. Один из участников переписки получает письмо якобы от своего прежнего собеседника. На самом деле аккаунт отправителя уже скомпрометирован ранее.
  2. В начало сообщения добавляется ссылка на вредоносный файл, либо вредоносный документ прикрепляется к одному из писем в ветке. Сама переписка при этом остается нетронутой.
  3. При открытии документа пользователю предлагается разрешить выполнение макросов:

Если пользователь соглашается, выполняется вредоносный макрос, который запускает PowerShell-скрипт, загружающий вредоносную нагрузку в виде исполняемого файла:

Мошенники похищают учётные записи Instagram с помощью фишинговой рассылки «Гадкий список».

  1. Со взломанного аккаунта пользователю приходит сообщение о том, что он попал в некий список под названием The Nasty List ( «гадкий/скверный список»).
  2. В сообщении приводится номер жертвы в этом списке, а также ссылка на профиль злоумышленников.
  3. По ссылке пользователь попадает на страницу, в описании которой снова говорится о том, что он оказался в «гадком списке».
  4. Под этим заявлением мошенники приводят ссылку на сторонний ресурс. Если пользователь откроет сайт в надежде узнать, что это за список и за что его туда включили, он попадет на фальшивую страницу авторизации Instagram с адресом nastylist-instatop50[.]me:

Если жертва введет свои учетные данные в форму на мошенническом сайте, они окажутся в руках злоумышленников, а пользователь лишится своего аккаунта. Взломанные профили используются для продолжения рассылки: фишинговые сообщения получают все читатели страницы.

Преступники скомпрометировали официальный сайт аудио-видеоредактора VSDC и добавили к дистрибутивам ПО банковского трояна и инфостилера.

  1. На сайт VSDC был встроен вредоносный JavaScript-код, определяющий геолокацию посетителей.
  2. Для пользователей из Великобритании, США, Канады и Австралии вместо стандартных ссылок VSDC использовались ссылки на скомпрометированный ресурс:

https://thedoctorwithin[.]com/video_editor_x64.exe
https://thedoctorwithin[.]com/video_editor_x32.exe
https://thedoctorwithin[.]com/video_converter.exe

Пользователи, загрузившие программу с этого ресурса, также скачивали банковскую троянскую программу, которая предназначена для веб-инжектов, перехвата трафика, кейлоггинга и похищения информации из систем «банк-клиент» различных кредитных организаций.

Другой вариант вредоноса похищает информацию из браузеров, аккаунта Microsoft, различных мессенджеров и других программ.

В Internet Explorer 11 обнаружена уязвимость, которая позволяет получить доступ к файлам на компьютере пользователя.

Проблема связана с тем, как Internet Explorer обрабатывает файлы формата MHT (MHTML Web Archive), в котором IE 11 сохраняет веб-страницы.

Чтобы запустить атаку, пользователю достаточно открыть вредоносный MHT-файл. Никаких дополнительных действий со стороны жертвы не требуется.

Авторы очередной мошеннической кампании предлагали жертвам пройти опросы за вознаграждение или принять участие в беспроигрышной лотерее, а для вывода средств использовали сим-карты Tele2.

  1. Жертв заманивали на сайты с опросами и лотереями с помощью спам-рассылок и вредоносной рекламы.
  2. Для получения «выигрыша» нужно было заплатить комиссию якобы за «перевод документов» и внести данные о своей банковской карте.
  3. При выводе средств использовалась платежная система Tele2: сервер, к которому подключен мошеннический сайт, эмулирует плательщика на сайте Tele2, и сумма переводится в пользу заранее купленной сим-карты оператора.
  4. После этого мошенник через личный кабинет на сайте Tele2 якобы выводит средства.

Обычно сотовые операторы устанавливают лимиты по снятию наличных в размере от 5 до 15 тысяч рублей в день и до 400 тысяч рублей в месяц. У Tele2 лимит на один перевод составляет 15 тысяч рублей, но за сутки можно выполнить до 50 переводов.

Умные устройства

В детских умных часах TicTocTrack обнаружены уязвимость, которая позволяет получить доступ к личным данным, GPS-координатам и микрофону устройства.

  1. Гаджет продается как удобное средство для контроля местонахождения ребенка и поставляется вместе с приложением от компании Nibaya, в котором и выявлена уязвимость.
  2. По замыслу разработчиков, родители с помощью приложения могут отслеживать местоположение детей, послать сигнал тревоги или услышать, что происходит вокруг ребенка.
  3. Выяснилось, что манипулируя запросами по протоколу OData, злоумышленники могут шпионить за владельцем, подменить номер для экстренной связи, а также подключиться к микрофону устройства и совершать звонки. Для этого преступнику нужно всего лишь завести аккаунт TicTocTrack.
  4. Недостаточная проверка поступающих команд позволяет получить доступ к чужим данным и изменять их от имени любого профиля.

Вредоносное ПО

Новый вымогатель NamPoHyu Virus шифрует данные на доступных сетевых дисках Samba, оставляя нетронутыми файлы на компьютере, с которого запущен.

  1. Вредонос распространяется через незащищенные конфигурации RDP, email-спам, вредоносные вложения, фальшивые загрузки и обновления, ботнеты, перепакованные и заражённые инсталляторы.
  2. После запуска он ищет Samba-сервер и пытался подобрать пароль для доступа.
  3. Если пароль подобран, начинается удаленное шифрование файлов 128-битным ключом AES.
  4. К имени зашифрованных файлов добавляется расширение .NamPoHyu
  5. В папки с зашифрованными файлами помещается файл !DECRYPT_INSTRUCTION.TXT с требование выкупа — 250 долларов США в биткойнах с физических лиц и 1000 долларов США в криптовалюте с организаций.
  6. В записке жертве предлагалось зайти на сайт в сети Tor и получить дальнейшие инструкции:

Атаки, утечки и уязвимости

В открытом доступе обнаружены персональные данные пользователей сайтов оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net и oplata-fssp.ru.

Любой желающий мог узнать все подробности платежей: номер постановления о штрафе, государственный номерной знак автомобиля, номер исполнительного производства при платеже на сайте службы судебных приставов, первые и последние цифры банковских карт, через какой платёжный сервис произведена оплата и т. п. Количество платежей только за один день составило 40 тысяч.

Виновник утечки — ООО «Простые платежи», разработчик ПО для приёма онлайн-платежей. Оказалось, что ПО регистрирует все данные пользователей, при этом журналы регистрации хранятся без ограничения доступа и доступны через поисковую машину ElasticSearch.

База ЦБ и Росфинмониторинга с данными 120 тысяч клиентов обнаружена в открытом доступе.

Большую часть базы составляют физлица и индивидуальные предприниматели (ИП), часть — юридические лица. Про физических лиц в базе содержится информация об их ФИО, дате рождения, серии и номере паспорта. Про ИП — ФИО и ИНН, про компании — наименование, ИНН, ОГРН.

Утечка могла произойти множеством способов — из ЦБ, Росфинмониторинга, любого банка. По мнению эксперта, ошибка с точки зрения информационной безопасности была допущена при проектировании системы.

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Представляем новости об актуальных технологиях фишинга и других атаках на человека c 5 по 11 апреля 2019 года.


Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

Ультразвуковой сканер отпечатка пальца Samsung Galaxy S10 удалось обмануть с помощью 3D-модели.

Пользователь Reddit Darkshark сфотографировал свой отпечаток на бокале, отредактировал снимок, улучшив насыщенность и контрастность, чтобы выделить объект на фоне. Затем с помощью программы 3ds Max он добавил отпечатку объём и распечатал модель на 3D-принтере. Через 13 минут печать закончилась, и полученный отпечаток легко разблокировал его смартфон.

Видео: разблокировка смартфона с помощью 3D-модели.

В новейшем протоколе беспроводной аутентификации WPA3 выявлены недостатки, с помощью которых можно восстановить пароль на Wi-Fi, прочитать зашифрованную информацию и украсть конфиденциальные данные.

Исследователи опубликовали документ под названием DragonBlood, в котором описали следующие виды атак:

  • Атака по побочному каналу на основе кеша CVE-2019-9494
  • Атака по побочному каналу на основе синхронизации, также имеет идентификатор CVE-2019-9494 из-за сходства реализации атаки.
  • WPA3 downgrade, принудительное включение режима совместимости с WPA2.

Сайты, почта и мессенджеры

Хакеры используют сайты известных иностранных компаний для рассылки фишинговых писем.

Письма отправлены с официальных почтовых адресов компаний Audi, Austrian Airlines и S-Bahn Berlin. Заголовки и текст написаны на английском или немецком, но в тексте выделяется фраза «ВАМ ДЕНЬГИ»:

Для отправки используются формы подписки на рассылки на официальных сайтах компаний. В графе «Имя» указывается «ВАМ ДЕНЬГИ», а вместо фамилии — ссылка на фишинговый сайт. В результате жертва получает письмо для подтверждения подписки на рассылку с официальной почты компании:

При переходе по ссылке пользователь через цепочку переадресаций попадает на фишинговый ресурс, где ему сообщают, что его электронный почтовый адрес выиграл возможность участвовать в международной акции «Счастливый e-mail». Там же предлагается пройти опрос для получения вознаграждения от 10 до 3000 €:

После ответов на несколько вопросов отображается сумма выигрыша и условия вывода средств, в числе которых требование оплатить комиссию за конвертацию € в ₽.

Для оплаты комиссии пользователя перенаправляют на специальную страницу, где помимо данных банковской карты предлагается указать и проверочный код из SMS:

Когда пользователь ввёдет все данные, с его счета списываются средства, а данные банковской карты остаются у мошенников. Разумеется, никакого выигрыша жертва не получает.

Злоумышленники рассылают защищенные паролем ZIP-файлы и PDF-документы со ссылками на видеоролики, якобы, записанные в момент посещения получателем порносайтов.

Запароленные архивы содержат файлы Camera-Vid.avi, contacts.txt, debt.txt, Google_Chrome_Default.txt, information.txt и screenshot.jpg.

  1. Злоумышленники рассчитывают, что имена файлов и невозможность просмотреть их содержимое без пароля напугают пользователя в достаточной степени, чтобы он заплатил шантажистам деньги.
  2. Чтобы порочащие материалы не рассылались членам семьи, друзьям и знакомым, нужно заплатить выкуп в размере 660 долларов США в биткоинах.
  3. В виде отдельного одолжения жертве предлагалось за 50 долларов США купить на сайте cryptonator.com пароль от архива.
  4. Ссылки из PDF-вложений напрямую вели на форму оплаты:

Атаки, утечки и уязвимости

В открытом доступе обнаружена база данных MongoDB с информацией о вызовах скорой помощи нескольких подмосковных станций.

  1. База содержит сведения о пациентах скорой помощи из Долгопрудного, Балашихи, Королева и других подмосковных городов: даты вызовов, имена, адреса и контактные телефоны пациентов.
  2. По каждому выезду имеется заключение врачей с описанием состояния человека, обратившегося за помощью.

Вероятно, злоумышленники украли порядка 18 Гб данных из незащищенной базы MongoDB, которая отличается слабыми настройками безопасности по умолчанию. Скорее всего, ИТ-специалисты скорой помощи просто забыли защитить базу паролем.

Таиландское подразделение производителя оптического оборудования Hoya на три дня остановило работу из-за кибератаки.

  1. На первом этапе вирус похищал данные сотрудников для входа в систему, на втором должен был скачать и запустить майнер криптовалюты.
  2. Работники завода обратили внимание на резко увеличившуюся нагрузку на серверы и передали информацию об этом в ИБ-отдел, сотрудники которого устранили угрозу.
  3. Атака поразила около 100 компьютеров и в результате снизила производственные обороты предприятия на 60%.

В системе электронных заказов австралийского McDonald's обнаружена ошибка, которая позволяла бесплатно заказать еду.

  1. С помощью электронного терминала, позволяющего делать и оплачивать заказ без очереди в кассу, два друга заказали десять гамбургеров по цене 1 доллар за каждый.
  2. С помощью опции «Customize» они отказались от котлет, снизив тем самым стоимость заказа на 1,1 доллар за каждый гамбургер. В результате к оплате получилось отрицательное число, а именно —1 доллар.
  3. Когда они заказали один обычный гамбургер, больше не отказываясь от котлеты, итоговая сумма вышла 0 долларов.

Умные устройства

Исследователи разработали программу, с помощью которой можно добавлять или удалять опухоли на 3D-снимке компьютерного томографа до того, как он попадет в руки к врачу.

  1. Современные томографы взаимодействуют с системой архивации и передачи изображений (PACS), отправляя ей результаты сканирования в формате DICOM.
  2. Трехмерная томограмма представляет собой множество 2D-изображений, которые позже собираются в объемную картинку.
  3. Созданная учеными программа использует генеративно-состязательную сеть для редактирования таких данных. Эксперты изменили результаты 70 сканирований и, добавив к ним 30 реальных томограмм, передали для анализа.
  4. В рамках слепого теста врачи не смогли выявить 99% 3D-изображений с искусственно добавленной опухолью и 94% снимков, где признаки онкологического заболевания стерли исследователи.
  5. После того, как диагностам сообщили о наличии отредактированных изображений, они не нашли фальшивки в 60% и 87% случаев соответственно.

Мобильное приложение от системы удалённого управления автомобилем MyCar позволяло любому получить контроль над любым подключенным к системе автомобилем.

Разработчик мобильного приложения оставил в нём вшитые учётные данные. Любой желающий мог извлечь их из исходного кода и перехватить контроль над автомобилем: прогревать или охлаждать салон, открывать и закрывать двери, включать и отключать противоугонные системы, открывать багажник и даже находить автомобиль на переполненной стоянке.

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Ctrl + ↓ Ранее