Блог компании Антифишинг

как поведение людей влияет на безопасность

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 13 по 19 сентября 2019 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Обнаружена очередная фишинговая компания для кражи учетных записей Microsoft.

На первый взгляд фишинговая кампания исполнена в точности как десятки других:

  • жертва получает письмо, в котором содержится ссылка на сайт;
  • в письме указана причина, по которой пользователь должен срочно перейти на этот сайт и ввести свои учётные данные;
  • фишинговая страница полностью скопирована с оригинальной;
  • введённые на ней данные попадают к злоумышленникам.

Особенностью кампании стала отправка учётных данных по электронной почте прямо с фишинговой страницы с помощью сервиса SmtpJS. Причем злоумышленники были настолько беспечны, что оставили свои адреса электронной почты прямо в коде:

Чтобы избежать хищения данных в этой атаке, администраторам в организациях достаточно заблокировать пользователям доступ к сайту сервиса SmtpJS, если он не требуется для каких-то задач.

Мобильная безопасность

Android-троян FANTA атакует пользователей сайта Avito, похищая деньги с их банковских счетов.

1. После того, как продавец опубликует объявление, на его контактный номер приходит персонализированная SMS с сообщением о переводе на его счёт полной стоимости товара. Просмотреть детали платежа можно по ссылке в сообщении.

2. Если продавец кликает на ссылку, открывается фишинговая страница, имитирующая реальную страницу Avito, где продавца уведомляют о совершении покупки, причем с описанием его товара и суммы, полученной от его «продажи».

3. После нажатия на «Продолжить» на телефон загружается APK-файл, содержащий троян, который скрывает свою иконку сразу после запуска.

4. Троян показывает сообщения, после подтверждения которых он получит доступ к содержимому окон приложений и действиям, производимым в них:

а затем и права администратора:

5. Троян анализирует, какие приложения запускаются на зараженном устройстве. Если было открыто интересующее приложение, например, Avito, Aliexpress, Google Play Market, Aviasales, Pandao, Booking, Trivago и т. д. троян демонстрирует фишинговое окно с формой для ввода информации о банковской карте, c сообщением о том, что учётные данные сброшены, и предложением ввести их заново:

6. Введённые данные карт троян использует для хищения средств.

Атаки и уязвимости

Уязвимость в менеджере паролей LastPass позволяла злоумышленникам определить учетные данные, использовавшиеся при последней авторизации через плагин сервиса для Chrome и Opera.

Уязвимость была связана с некорректной обработкой команды создания всплывающего окна авторизации. Чтобы атака была успешной, жертву нужно было заманить на вредоносный сайт и заставить несколько раз кликнуть по определенным элементам на странице.

Получив уведомление об уязвимости, разработчики оперативно исправили ошибку. Обновления плагинов в Chrome и Opera установятся автоматически при очередном запуске браузеров.

«Умные» устройства

Умные телевизоры Samsung и LG отправляют конфиденциальные данные пользователей компаниям Facebook, Amazon, Google и Netflix.

72 из 81 протестированного устройства передают данные третьим лицам

Данные содержат сведения о том, какими устройствами для чего и когда пользуются люди, где они находятся, а также уникальные идентификаторы устройств и серийные номера, SSID беспроводных сетей и MAC-адреса.

Исследователи сообщают, что передача данных происходит даже в моменты бездействия устройств, причём данные могут отправляться в Netflix даже если пользователь не подписан на этот сервис.

Кроме умных телевизоров, в шпионаже уличили устройства Roku и Amazon FireTV, умные колонки и видеокамеры.

Инциденты

Из-за уязвимости в сервере оператора фискальных данных (ОФД) «Дримкас» в открытом доступе оказалась база Elasticsearch, содержащая 14 млн записей о юридических и физических лицах, данные о покупках и уплаченных налогах.

Записи в базе данных содержали ИНН, адреса, названия компании, электронные адреса 3 тыс. пользователей скидочной программы «Покупай-ка», телефоны представителей, а также информацию о заключенных сделках, ассортименте и ценах товара.

Если информация об утечке подтвердится,, «Дримкасу» грозит штраф от 500 тыс до 1 млн рублей.

Ещё один обнаруженный в открытом доступе сервер Elasticsearch содержал 20,8 млн записей с 18 Гб личных данных всех граждан Эквадора, включая детей.

Данные в базе включали в себя имена, сведения о членах семьи и родственниках, информацию о регистрации актов гражданского состояния, финансовые сведения, информацию о работе и находящихся в собственности транспортных средствах.

Предположительно, утёкшие сведения были собраны местной консалтинговой компанией Novaestrat, предоставляющей услуги анализа данных, стратегического маркетинга и разработки ПО.

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Представляем новости об актуальных технологиях фишинга и других атаках на человека c 6 по 12 сентября 2019 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Новая версия шифровальщика Nemty распространяется через фишинговый сайт, имитирующий PayPal.

  1. Мошенники создали полную копию сайта PayPal, зарегистрировав для неё домен pаypаl.com, имя которого содержит Unicode-символы из другого языка. В кодировке Punycode это имя выглядит как „xn—ayal-f6dc.com“
  2. Сайт предлагает пользователям получить кэшбек в 3-5% от суммы покупок через PayPal.
  3. Для получения кэшбека нужно скачать и установить на компьютер файл cashback.exe.
  4. Как только пользователь запустит «программу для кэшбека», она начнёт шифровать его файлы и удалять теневые копии. В среднем на шифрование одного компьютера Nemty тратит около 6 минут.
  5. Закончив шифрование, вредонос требует выкуп в размере 1000 долларов США в биткоинах.

Авторы очередной фишинговой кампании используют CAPTCHA, чтобы скрывать поддельные страницы авторизации в сервисе Microsoft от шлюзов безопасности электронной почты.

1. Пользователь получает письмо с уведомлением о новом голосовом сообщении. Чтобы прослушать его, нужно перейти по ссылке:

2. По ссылке пользователь попадает на страницу с CAPTCHA: нужно нажать галочку в подтверждение, что являешься человеком. Эта страница не имеет вредоносного контента, поэтому помечается как безопасная.

3. Затем пользователь попадает на фишинговую страницу, имитирующую страницу авторизации Microsoft:

4. Введённые на этой странице учётные данные отправляются к злоумышленникам.

5. Поскольку защитное решение, проверяющее безопасность электронной почты, не может нажать галочку и попасть на фишинговую страницу, а страница размещается в инфраструктуре Microsoft, атака проходит успешно, и техническая защита не обнаруживает проблем.

Новая фишинговая кампания группировки COBALT направлена на кражу данных сотрудников университетов по всему миру.

Схема атаки:

Атака начинается с фишингового письма, замаскированного под письмо от университетской библиотеки:

  1. В письме сообщается, что доступ к ресурсам библиотеки приостановлен из-за неактивности пользователя. Для восстановления нужно заново активировать учётную запись: перейти по ссылке в письме ввести свои учётные данные.
  2. Когда пользователь переходит по ссылке, он попадает на поддельную страницу логина университетской библиотеки, скопированную с оригинальной.
  3. Мошеннические страницы размещаются на доменах в зонах .ml, .ga., .cf, .gq, .tk. Имена доменов совпадают с оригинальными доменами университетов.
  4. Когда пользователь вводит свои данные, скрипт на странице сохраняет их в текстовый файл, а затем перенаправляет его на оригинальный сайт библиотеки.

Инциденты

Работник японского торгового центра запомнил данные банковских карт 1300 человек и использовал их для заказа товаров из интернета.

Благодаря фотографической памяти японец запоминал номер карты, имя владельца, дату действия и код безопасности, пока покупатель расплачивался ей. Заказанные товары он сдавал в ломбард, а выручку тратил на еду и аренду жилья.

Европейская компания Toyota Boshoku Corporation лишилась 37 миллионов долларов из-за атаки с компрометацией деловой переписки (business email compromise, BEC).

Сотрудники компании получили письмо от мошенников с указаниями об оплате и, поскольку письмо не вызвало подозрений, отправили оплату.

Детали атаки не сообщается, вернуть похищенные средства пока не удалось.

Неизвестные злоумышленники взломали аккаунт актера Роберта Дауни-младшего в Instagram, чтобы собрать личные данные его поклонников.

Для привлечения внимания мошенники разместили в аккаунте несколько постов, содержащих сведения о бесплатной раздаче 2 тысяч смартфонов Apple iPhone XS, а также автомобиля Tesla, Apple Watch, MacBook Pro и подарочных сертификатов.

Для сбора данных злоумышленники добавили в биографию актёра ссылку на страницу, собирающую персональные данные, сокращённую с помощью сервиса bit.ly.

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Представляем новости об актуальных технологиях фишинга и других атаках на человека c 30 августа по 5 сентября 2019 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Для распространения банковского трояна TrickBot злоумышленники рассылают фишинговые письма через Google Docs, чтобы обойти почтовые фильтры.

1. Письмо содержит фразу «Вы уже получили документы, которые я отправлял раньше?» и ссылку на документ. Письмо легальное, сгенерировано сервисом Google Docs при выдаче доступа к документу на емейл пользователя:

2. По ссылке пользователь попадал на документ в сервисе Google Docs, в котором была нарисована страница с ошибкой 404 и предложение перейти по ещё одной ссылке для загрузки файла вручную:

3. По этой ссылке пользователь загружал файл вредоносной программы с двойным расширением PDF.EXE, иконка которого имитировала иконку обычного PDF-документа:

4. После запуска TrickBot добавлял в службу расписания задание на запуск себя каждые 11 минут и приступал к вредоносной деятельности.

Создатели трояна Astaroth использовали службу Cloudflare Workers, чтобы проникать на компьютеры жертв в обход защитных систем.

Cloudflare Workers — сервис, который позволяет выполнять код в любой точке мира без забот о сопутствующей инфраструктуре. Злоумышленники использовали случайные URL, которые возвращает сервис при обработке скриптов, чтобы доставлять полезную нагрузку через множество адресов и избегать блокировки.

1. Жертва получала фишинговое письмо с HTML-файлом во вложении.

2. В этом файле содержался обфусцированный JavaScript-сценарий, который загружал JSON-объект с удаленного сервера, упаковывал его в ZIP-файл и разворачивал полученный результат на целевой машине.

3. В каждом случае на компьютер попадал новый архив, который создавался динамически, исходя из особенностей пораженного устройства. Это позволяло преступникам использовать один управляющий узел для запуска нескольких параллельных кампаний, обойти ограничения на загрузку файлов и избежать антивирусных песочниц.

4. Внутри ZIP-архива находилась ссылка, ведущая на панель Cloudflare Workers, где и размещался вредоносный скрипт. Этот URL менялся от кампании к кампании. Организаторы атаки использовали 10 узлов Cloudflare Workers, что позволяло им создать около 900 млн уникальных ссылок.

5. После загрузки сценарий выполнялся через Windows Script Host. В результате на пользовательскую машину доставлялась финальная полезная нагрузка — вредоносная DLL-библиотека Astaroth, которая похищает системные и конфиденциальные данные.

Шифровальщик Sodinokibi распространяется через фальшивые форумы с вопросами и ответами на взломанных WordPress-сайтах.

1. В html-код взломанного сайта внедряется сценарий, который сработает только в том случае, если пользователь посещает сайт впервые или не посещал сайт в течение определенного периода времени. Код отображает поддельное сообщение форума «Вопросы и ответы» поверх содержимого web-портала:

2. Фальшивое сообщение связано с содержимым взломанной страницы, поэтому у пользователя не возникает подозрений.

3. «Ответ администратора» содержит ссылку на zip-архив.

4. В архиве содержится сценарий, загружающий с удаленного сервера большой объем данных, который после расшифровки сохраняется на компьютере в виде GIF-файла.

5. В GIF-файле находится обфусцированная команда PowerShell, используемую для загрузки вымогательского ПО Sodinokibi.

Мобильная безопасность

Атака на пользователей Android-смартфонов через служебные SMS с вредоносными настройками может привести к перенаправлению интернет-трафика.

Злоумышленники используют для атаки процедуру «настройки по воздуху» (over-the-air provisioning), которую обычно используют операторы сотовой связи для передачи настроек сети на подключившиеся впервые устройства.

Устройства Samsung, Huawei, LG и Sony (порядка половины всех Андроид-смартфонов) позволяют показать пользователю и предложить принять новые настройки, что в итоге поможет атакующему установить собственные:

  • параметры сервера MMS,
  • адрес прокси-сервера,
  • домашнюю страницу браузера и закладки,
  • почтовый сервер,
  • сервер службы каталогов для синхронизации контактов и календаря.

Для отправки фальшивых настроек атакующему достаточно иметь USB-модем или обычный смартфон, который позволяет отправлять двоичные SMS.

Инциденты

Мошенники имитировали голос генерального директора компании Eulert Hermes Group и похитили 243 тыс. долларов США.

  1. Преступники позвонили одному из руководителей британской «дочки» компании, представились генеральным директором и попросили срочно перевести деньги венгерскому поставщику. На выполнение задания «гендир» дал сотруднику 60 минут.
  2. Для точной имитации голоса мошенники использовали специальное ПО на базе искусственного интеллекта.
  3. Руководитель дочерней компании был уверен, что разговаривает с генеральным директором, поэтому немедленно выполнил его распоряжение.
О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Ctrl + ↓ Ранее