Блог компании Антифишинг

как поведение людей влияет на безопасность

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 27 марта по 2 апреля 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты и почта

Организаторы вредоносной кампании, эксплуатирующей тему пандемии COVID-19 рассылают фишинговые письма от имени местных медучреждений.

1. В письмах сообщается, что получатель был в контакте с больным коронавирусом и настоятельно рекомендуют получателю письма провериться самому.

2. Для проверки нужно распечатать и принести в ближайшую больницу прикреплённое к письму вложение «EmergencyContact.xlsm».

3. При открытии файла у пользователя будут запрошены разрешения на выполнение контента.

4. Если пользователь даст разрешение, в систему установится вредоносная программа, которая

  • Похищает кошельки с криптовалютой.
  • Похищает куки браузера, которые могут позволить злоумышленникам войти на сайты с учетной записью жертвы.
  • Получает список запущенных на компьютере программ.
  • Ищет доступные сетевые ресурсы с помощью команды net view /all /domain.
  • Получает информацию о локальном IP-адресе.

Авторы новой кампании используют оригинальную технику, распространяя троянскую программу LimeRAT в зашифрованных файлах MS Excel.

Чтобы скрыть от защитных решений вредоносные макросы в документе и избавиться от необходимости взаимодействия с пользователем, киберпреступники придумали следующий трюк:

  • В свойствах документа указывается, что документ предназначен только для чтения.
  • На открытие документа устанавливается пароль «VelvetSweatshop». Этот пароль Excel использует первым при открытии любого защищённого документа. Если попытка не удалась, пароль запрашивается у пользователя. Иначе документ просто открывается.

В результате при открытии вложения пароль не запрашивается, однако защитные решения ничего не обнаруживают, поскольку документ зашифрован с помощью пароля «VelvetSweatshop». А поскольку документ имеет свойство «только для чтения», у пользователя не запрашивается разрешение на выполнение макросов, однако после расшифровки они выполняются.

Обнаружена сеть мошеннических генераторов QR-кодов для адресов биткоин-кошельков.

Вместо преобразования введенного биткоин-адреса в его эквивалент QR-кода, сайт всегда генерирует один и тот же QR-код для кошелька мошенника. Если пользователь поделится таким QR-кодом с другим человеком или разместит его на сайте для сбора пожертвований, все деньги будут перечисляться на адрес преступника.

Фальшивые QR-генераторы находятся на сайтах

  • bitcoin-barcode-generator.com;
  • bitcoinaddresstoqrcode.com;
  • bitcoins-qr-code.com;
  • btc-to-qr.com;
  • create-bitcoin-qr-code.com;
  • free-bitcoin-qr-codes.com;
  • freebitcoinqrcodes.com;
  • qr-code-bitcoin.com;
  • qrcodebtc.com.

QR-мошенникам удалось похитить около 45 тыс. долларов США в биткоинах.

Серверы, на которых расположены мошеннические генераторы QR-кодов, также обслуживали фальшивые «акселераторы биткоин-транзакций». Эти сайты просят пользователей ввести идентификатор транзакции и обещают «ускорить» процесс ее утверждения в блокчейне:

  • bitcoin-transaction-accelerator.com;
  • transaction-accelerator.com;
  • bitcoin-tx-transaction-accelerator.com;
  • viabtc-transaction-accelerator.com.

За свои услуги сайты берут комиссию в размере 0,001 BTC (около 6,5 долларов США). Всего «акселераторы» получили за время работы 17,6 BTC — около 117 тыс. долларов США.

С начала пандемии COVID-19 было зарегистрировано более 1700 мошеннических доменов Zoom. Стремительно выросшая популярность сервиса видеоконференций позволяет киберпреступникам воспользоваться ситуацией для вредоносной деятельности.

Количество зарегистрированных доменов Zoom

Некоторые из сайтов, размещённых на этих доменов, под видом приложения Zoom предлагали загрузить файлы с именами «zoom-us-zoom_#####.exe» и «microsoft-teams_V#mu#D_#####.exe”.

Если пользователь запускал эти программы, на его компьютер устанавливался хакерский инструментарий InstallCore, который позволяет преступникам установить другие вредоносные утилиты.

Атаки и уязвимости

В клиенте Zoom для Windows обнаружена уязвимость, которая может привести к утечке учетных данных пользователей через UNC-ссылки.

Суть уязвимости состоит в следующем:

  • при использовании Zoom участники конференции могут отправлять друг другу текстовые сообщения через интерфейс чата;
  • переданные таким образом адреса преобразуются в гиперссылки, чтобы другие участники могли нажать на них и открыть в браузере по умолчанию;
  • Windows-клиент Zoom преобразует ссылки в UNC-пути;
  • если отправить в чат ссылку вида \\site.com\pics\cat.jpg, Windows попытается подключиться к этому сайту, используя протокол SMB, чтобы открыть файл cat.jpg. При этом удалённому сайту будет передано имя пользователя и его NTLM хэш, который можно взломать, используя утилиту Hashcat или другие инструменты.

Используя эту технику, можно запустить программу на локальном компьютере. Например, по ссылке \\127.0.0.1\C$\windows\system32\calc.exe запустится калькулятор:

Инциденты

Злоумышленники взломали более тридцати YouTube-каналов, переименовали их с использованием различных брендов Microsoft и запустили трансляцию якобы от имени Билла Гейтса с рекламой криптовалютной финансовой пирамиды.

Для трансляции преступники использовали запись выступления Гейтса в венчурной компании Village Global в июне 2019 года, посвященное теме стартапов. Во время трансляции демонстрировалась реклама с призывом принять участие в розыгрыше призов. Для участия нужно было отправить мошенникам небольшую сумму в криптовалюте. Сумму обещали удвоить, но обещание не исполнялось.

В общем доступе опубликованы личные данные 4,9 миллионов граждан Грузии.

База данных MS Access размером 1,04 Гб содержит имена, адреса, даты рождения, номера ID и номера мобильных телефонов. В базе имеется 4 934 863 записи. Среди них, вероятно, присутствуют сведения об умерших, поскольку в настоящее время население Грузии составляет 3,7 миллиона человек. Источник данных пока также не удалось установить.

Сеть отелей Marriott сообщила об утечке данных 5,2 млн своих клиентов. Источником утечки стали учётные данные двух сотрудников.

Злоумышленники похитили имена и даты рождения постояльцев, электронные и почтовые адреса, номера телефонов, номера и баланс счетов, а также информацию о предпочитаемых комнатах и языках общения. Пока нет достоверных свидетельств того, что преступники получили доступ к данным банковских карт и паспортов, паролям и PIN-кодам участников программы лояльности Marriott Bonvoy.

Вредоносное ПО

Банковский троян Zeus Sphinx появился после нескольких лет бездействия и распространяется через вложенные в фишинговые письма вредоносные файлы «COVID 19 relief».

  • В письмах сообщается, что пользователи имеют право на получение правительственной помощи.
  • Для получения средств якобы необходимо заполнить специальную форму, которая прилагается к посланию в формате .DOC или .DOCX.
  • При загрузке документа запрашивается пароль, указанный в письме.
  • После ввода пароля и открытия документ информирует жертву о необходимости включить макросы.
  • Если жертва разрешает выполнение макросов, происходит подключение к управляющему серверу, а затем запускается Zeus Sphinx.
  • Закрепившись в системе, вредонос ждёт, когда пользователь посетит страницу системы онлайн-банкинга и модифицирует код страницы, чтобы похитить учётные данные пользователя и отправить их на сервер злоумышленников.
О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






Основной продукт, который с 2016 года делает наша команда — система «Антифишинг». С её помощью службы безопасности непрерывно обучают своих сотрудников и тренируют их навыки.

Несмотря на то, что продукт используют профессионалы — менеджеры и специалисты по безопасности, — нам важно, чтобы его задачи и ценность были понятны каждому руководителю и собственнику бизнеса.

Именно для этого мы попросили Артемия Лебедева разобрать и прокомментировать наш сайт, — первое и часто единственное, на что готовы посмотреть руководители такого уровня.

В статье мы собрали главные цитаты из разбора и добавили комментарии, которые помогут лучше понять ценность «Антифишинга».


Андрей Жаркевич
редактор

«Да, на%бывают так — только в путь»

Это правда.

По статистике Банка России фишинг и другие цифровые атаки на людей стали причиной кражи денег у физических лиц в 97% случаев, а у юридических лиц, вместе с воздействием вредоносного кода — в 85% случаев:

Согласно отчету Verizon, электронная почта была и остается главным вектором распространения вредоносного кода — в 92% случаев, а также и фишинга — в 96% случаев.

ФинЦЕРТ Банка России. Обзор несанкционированных переводов денежных средств за 2018 год.

Verizon’s 2018 Data Breach Investigations Report.

«Система рассылает псевдо-фишинговое письмо, чтобы понять, в какой момент сотрудник дал слабину, нажал, и тут ему вылетает из-за угла кувалда, &$ошит по башке со словами: „Не делай так больше никогда“»

Да, Антифишинг умеет работать и так :-)

Есть детали:

  1. Мы рекомендуем начинать с обучения: через наши электронные курсы сотрудники узнают главные правила безопасности и увидят примеры самых разных ситуаций, в которых могут оказаться.
  2. Мы больше трех лет изучаем и внимательно классифицируем инциденты, связанные с поведением людей. Поэтому имитированные атаки через Антифишинг максимально полно покрывают все возможные ситуации и лучше, чем любой спам тренируют навыки людей.
  3. «Кувалда» — мгновенная и эмоциональная обратная связь, — действительно очень важна, и мы обеспечиваем ее в каждой атаке. Например, так:

Описание и демо-версии курсов Антифишинга.

Классификация цифровых атак Антифишинга.

«Мне кажется, для большой компании, особенно где много людей получают всякие входящие переписки по емейл, это прям вещь. Мне нравится такой подход»

Для больших компаний особенно полезны будут:

  1. Автоматизация Антифишинга. Система умеет отслеживать статусы каждого сотрудника, планировать обучение и тренировки навыков при отклонениях от нормального поведения или по времени. На управление процессом понадобится не более одного часа в неделю, даже если у вас больше тысячи сотрудников.
  2. Интеграция с другими системами и процессами. Антифишинг умеет работать с каталогом LDAP, корпоративными HR-системами и системами дистанционного обучения. Благодаря встроенному RESTful API Антифишинг легко интегрируется с любыми процессами и существующими системами безопасности: IDM, IRP/SOC, SIEM и другими.
  3. Контроль уязвимостей приложений. Для сотрудников, которые продемонстрировали небезопасное поведение — открывали имитированные фишинговые письма, переходили по ссылкам или открывали вложения — Антифишинг определяет версии браузеров, плагинов, офисных программ и операционных систем. Это помогает выявить и устранить самые опасные уязвимости как можно раньше, до их реальной эксплуатации злоумышленниками.

«Я бы для себя тоже такое заказал, но у нас в компании все прошаренные, не открывают левые письма, и у нас хорошая служба безопасности»

Грамотные и опытные сотрудники, а также хорошая служба безопасности — лучшая защита от таких атак. Однако наш опыт показывает, что даже «прошаренные» специалисты вполне могут стать жертвами атаки, которая хорошо подготовлена:

  • задействует эмоции — страх, жадность, любопытство или желание помочь;
  • содержит усилители — срочность или авторитет;
  • имеет корпоративную или внешнюю атрибуцию — выглядит как сообщение от руководителя или важного партнера.

Даже если в вашей компании все сотрудники — опытные специалисты, важно непрерывно обучать и регулярно тренировать их навыки в самых сложных имитированных атаках.

Это же относится к людям, которые внезапно оказались в новых для себя условиях, например, из традиционной офисной среды ушли работать удалённо, из дома, с личных устройств.

Что нужно знать о фишинге.

Как работать удалённо и оставаться в безопасности —по-русски.
How to Work From Home and Stay Safe — in English.

«Отличный проект»

Спасибо!

Для тех, кто еще не использует «Антифишинг», рекомендуем:

1. Прочитайте и перешлите коллегам актуальные статьи:

Психологическая помощь себе, близким и коллегам в условиях социальной изоляции.

Как действуют хакеры.

Как узнать фишинговое письмо.

Опасные вложения.

2. Подпишитесь на наш дайджест, телеграм-канал и группу ВК.

3. Организуйте регулярное дистанционное обучение для своих сотрудников, а также процесс тренировки практических навыков по безопасности.

О компании «Антифишинг»
Наша платформа помогает непрерывно и дистанционно обучать сотрудников на электронных курсах, измерять и тренировать их навыки с помощью имитированных атак.

Ведём собственные психологические исследования, разрабатываем методологию, создаем и обновляем реалистичные сценарии и актуальные шаблоны атак.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






In recent weeks, many of us have had to readjust our work styles to a new format: to work at home or outside the office.

While our security departments are busy preparing secure communication channels and other infrastructure, no one is helping answer simple but important questions:

1. How can we work safely in these new conditions?
2. What are the main safety rules we need to know and follow?
3. What do we need to know to work efficiently, and not to not become a scam victim of scammers?

In this article, we identify ten key recommendations that will help you, your colleagues, and loved ones work remotely, out of the office, and stay safe.


Sergey Voldohin
author


Andrey Zharkevich
editor

— It’s obvious!
Our tips may seem obvious for advanced users and security professionals.

If you are responsible for security processes, take a look at the end of the article to learn how to set up a regular security awareness process for your employees.

1. Your computer and workplace

1.1 Ideally, if you have a corporate laptop: only use this laptop. If you have to use a personal device, make sure that only you will use it for the entire period if you choose working remotely.

1.2 Lock your computer every time you leave your workplace, even if this place is your room.

1.3 Do not plug in someone else's flash drives or other USB device to your computer, even if you're really curious. Curiosity killed the cat, you know.

1.4 If you have to work in a public place, check your surroundings. This is especially important when working with confidential information or entering a password. Do not let strangers stand behind you.

2. Passwords and access

2.1 Learn to choose and set a strong password, even on your personal computer.

2.2 Use different passwords for different services/applications. To help you manage your passwords use a password manager.

2.3 Enable two-factor authentication on all services/applications that you use.

3. Secure Internet access

3.1 Do not connect to unfamiliar wireless networks: it’s better to use your mobile phone as a hotspot and connect to the internet that way Internet.

3.2 Use your corporate VPN whenever possible.

4. Software updates

4.1 Check that your antivirus, operating system, browser, and other applications are updated regularly.

4.2 Protect your browser.

4.3 Do not download or run suspicious files from the Internet, even if they look like updates.

5. Updating mobile devices

Check and enable automatic updates on your mobile devices.

6. Applications and messengers

6.1 Do not install suspicious applications.

6.2 Do not click unknown links on your smartphone.

7. Suspicious situations

7.1 Check with your security team who you can call or write to if you suspect something suspicious or an incident.

7.2 Inform your security team of everything that seems suspicious. If you see something, say something.

8. Countering fraudsters

8.1 Learn to recognize the emotions that scammers try to evoke: fear, greed, curiosity, and others.

8.2 Remember that these emotions turn off critical thinking. As a result, you can perform an action that you would not normally perform.

8.3 Report to your security department/service everything that seems suspicious.
Read the article: What you need to know about phishing.

9. Safe website browsing

9.1 The address of any website where you enter a password should begin with HTTPS.

9.2 If you see an HTTPS error or something suspicious, do not enter your username or password on such a website.

10. Safe use of email, links, and files

10.1 Fraudsters can impersonate your colleagues, partners, and managers. Feel free to call back those people from whom an email or even a message in your messenger supposedly came. When working remotely, you cannot approach a colleague in person, however, you must make sure that it is he or she who writes to you.

10.2 Learn to distinguish fraudulent emails from real ones.

10.3 Learn to check links and attached files in emails, on websites, and  messaging apps.

Read the article: How to distinguish a phishing email.

To security teams

To organize regular remote learning for your employees, as well as the process of employee security awareness training—fill out the form on the website or write to us and start the process within the next business day.

Ctrl + ↓ Ранее