Rose debug info
---------------

Блог компании Антифишинг

как поведение людей влияет на безопасность

Наши продуктыДайджестыСтатьиСписок постов

Безопасность в соцсетях для подростков


Андрей Жаркевич
редактор

Большинство подростков уверены, что рассказы родителей и учителей о безопасности в интернете  — попытка защитить их от несуществующих угроз. На самом деле это не так.

В этом посте расскажем, чем могут быть опасны соцсети, как правильно себя вести в соцсетях и как настроить ВК и Инстаграм для максимальной защиты своего аккаунта.

Содержание

  1. Соцсети: что может пойти не так
  2. Общие правила
  3. Конфиденциальность в Instagram
  4. Безопасность Instagram
  5. Конфиденциальность ВК
  6. Безопасность ВК

Соцсети: что может пойти не так

  • кража учётной записи и использование её в преступных целях;
  • вовлечение в секты, политические и экстремистские группировки;
  • предложения нелегального заработка (кладмены, курьеры и т. п.);
  • троллинг/кибербуллинг;
  • компрометация и шантаж;
  • деанон — публикация полной информации о вас и ваших родителях;
  • атаки на родителей, друзей и знакомых.

Общие правила

  1. Не публикуйте в соцсетях личные данные — номер телефона, адрес, номер школы и даже настоящую фамилию. Имея эту информацию, любой недоброжелатель может испортить вам жизнь, например, позвонить в школу и сказать, что вы занимаетесь чем-то незаконным или непристойным. Даже если это полный бред, администрация школы будет вынуждена отреагировать — вызвать родителей, провести беседу с вами.
  2. Не ставьте геометки на фото, чтобы посторонние не могли отследить, где вы находитесь.
  3. Во время общения в личной переписке, в комментариях или беседах оставайтесь вежливыми, не ведитесь на провокации троллей, которые пытаются вывести на эмоции.
  4. Не публикуйте, не лайкайте, не сохраняйте и не репостите запрещённый законом контент — мемы с матом и обнажёнкой, фразы, которые могут быть расценены как призыв к суициду («убейся» и т. п.), оправдание терроризма или  создать другие подобные проблемы.
  5. Не вступайте в споры, конфликты или агрессивные дискуссии.
  6. Если собеседник угрожает или требует чего-то странного, обязательно сообщите родителям или другим взрослым.
  7. Не добавляйте родителей и родственников в друзья, чтобы ваши недоброжелатели не смогли навредить им (смс-бомбинг, ложные звонки в полицию или сообщения о несуществующих угрозах).
  8. Не ведитесь на «заманчивые» предложения заработать большие деньги без усилий.

Настройка конфиденциальности в Instagram

1. Сделайте ваш аккаунт закрытым.

Настройки →Конфиденциальность → Конфиденциальность аккаунта

После этого подписаться на вас смогут лишь те, кого вы сами одобрите.
Все остальные не получат доступа к вашему профилю и вашим фото.

2. Отключите показ сетевого статуса.

По умолчанию ваши подписчики и люди, на которых подписаны вы, а также все, кому вы отправляете сообщения в Instagram, могут видеть, когда вы заходили
в приложение последний раз. Отключив показ статуса, вы не сможете
увидеть статус других аккаунтов

3. Запретите посторонним писать вам и добавлять вас в группы.

Настройки → Конфиденциальность → Сообщения

4. Запретите комментировать ваши посты всем кроме подписчиков и тех, на кого вы подписаны.

Настройки → Конфиденциальность → Комментарии

5. Сделайте ваши истории приватными.

Настройки → Конфиденциальность → Истории

  • Выберите из списка подписчиков тех, кто не должен видеть ваши истории.
  • Задайте список близких друзей, чтобы делать некоторые истории доступными только для них.
  • Разрешите комментировать истории только подписчикам.
  • Отключите сохранение историй в архиве Instagram и на телефоне, чтобы не возникало неловких ситуаций.
  • Запретите репостить ваши истории, делиться ими в сообщениях и публиковать их на Facebook.

6. Запретите отмечать вас на фото без вашего одобрения.

Настройки → Конфиденциальность → Отметки

Чек-лист по конфиденциальности Инстаграм

  • ✔ Статус аккаунта изменён на закрытый;
  • ✔ Отключён показ сетевого статуса;
  • ✔ Для посторонних отключена возможность писать вам письма и добавлять в группы;
  • ✔ Комментировать ваши посты могут только ваши подписчики и те, на кого подписаны вы;
  • ✔ Ваши истории видят только те, кому вы хотите их показать;
  • ✔ Ваши истории нигде не сохраняются;
  • ✔ Ваши истории нельзя репостнуть или поделиться ими в Facebook;
  • ✔ Вас нельзя отметить на фото без вашего одобрения.

Настройки безопасности Instagram

1. Установите надёжный пароль

Настройки → Безопасность → Пароль

Базовые критерии надёжного пароля:

  • длина более 8 знаков,
  • состоит из букв в верхнем и нижнем регистре,
  • содержит цифры,
  • содержит спецсимволы

2. Настройте двухфакторную аутентификацию

Настройки → Безопасность → Двухфакторная аутентификация

Когда двухфакторная аутентификация включена, для входа с нового устройства потребуется ввести не только пароль, но и код, который можно получить:

  • через SMS на привязанный к учётной записи телефон;
  • в приложении-аутентификаторе Яндекс.Ключ, Google Authenticator или Microsoft Authenticator

После включения двухфакторной аутентификации Instagram выдаст пять резервных кодов для входа в учётную запись в случаях, когда телефон недоступен.

Распечатайте эти коды и сохраните в надёжном месте, чтобы иметь возможность восстановить доступ к учётной записи.

3. Проверьте подлинность писем, которые направлял вам Instagram

Настройки → Безопасность → Электронные письма от Instagram

Каждый раз, когда на почту приходит письмо от Instagram, воспользуйтесь этой функцией, чтобы убедиться в подлинности письма и не стать жертвой мошенников, которые пытаются похитить ваши учётные данные.

4. Проверьте, где и с каких устройств входили в вашу учётную запись

Настройки → Безопасность → Входы в аккаунт

Здесь же можно подтвердить, что вход произвёден вами или отключить активные сеансы.

5. Проверьте, какие приложения и сайты имеют доступ к вашей учётной записи

Настройки → Безопасность → Приложения и сайты

Удалите лишние приложения и сайты из списка.

Проверьте безопасность Instagram

  • ✔ Установлен надёжный пароль;
  • ✔ Включена двухфакторная аутентификация через телефон;
  • ✔ Включена двухфакторная аутентификация через приложение;
  • ✔ Сохранены резервные коды для входа в учётную запись;
  • ✔ Вы не получали писем от Instagram, не перечисленных в учётной записи;
  • ✔ Вы проверили все входы в учётную запись и завершили подозрительные сеансы;
  • ✔ Вы отключили доступ к учётной записи для приложений и сайтов, которыми не пользуетесь.

Конфиденциальность ВКонтакте

1. Сделайте свой профиль закрытым

Настройки → Приватность → Закрытый профиль

В этом случае информация на вашей странице будет доступна только друзьям. Подписчики и остальные участники соцсети не смогут увидеть ваши публикации и какие-либо сведения о вас.

2. Ограничьте видимость информации на своей странице

  • отметки на фотографиях и ваша музыка —только для друзей;
  • список ваших групп, подарков и сохранённых фотографий — только для вас;

3. Ограничьте возможность связаться с вами

  • запретите звонить вам, вызывать в приложениях, приглашать в сообщества и приложения;
  • запретите находить вас при импорте контактов по номеру телефона.
  • запретите поисковым системам индексировать вашу страницу;
  • запретите сообществам отправлять вам сообщения по номеру
    телефона.

Это позволит избавиться от приглашений и вызовов в приложениях, а также от спама и фишинга в личных сообщениях. Личные сообщения и заявки в друзья можно оставить доступными для всех, при необходимости блокируя чрезмерно навязчивых персонажей.

  • скройте от всех местоположение ваших фотографий;
  • запретите показывать скрытых друзей;
  • отключите видимость чужих записей на вашей странице;
  • отключите для всех возможность оставлять записи на своей странице.

4. Скройте свои действия в соцсети от друзей и подписчиков

Ссылка для изменения настроек: https://vk.com/settings?act=privacy

Эта настройка имеется только в веб-версии соцсети, в мобильном приложении настройка видимости обновлений отсутствует.

По умолчанию все ваши комментарии, отметки «Нравится» и другие действия попадают в ленту новостей ваших друзей и подписчиков. Обязательно отключите все обновления, чтобы не оказаться в ситуации, когда комментарий или
отметка «Нравится» стали причиной конфликта.

Безопасность ВКонтакте

1. Установите надёжный пароль

Базовые критерии надёжного пароля:

  • длина более 8 знаков,
  • состоит из букв в верхнем и нижнем регистре,
  • содержит цифры,
  • содержит спецсимволы. 

2. Включите двухфакторную аутентификацию

В этом случае для входа в соцсеть с нового устройства потребуется ввести код, получить который можно:

  • по SMS на привязанный к учётной записи номер телефон;
  • в приложении-аутентификаторе Яндекс.Ключ, Google Authenticator или Microsoft Authenticator;
  • из списка резервных кодов — запишите их и храните в надёжном месте.

Здесь же можно сбросить подтверждение входа на всех остальных устройствах, если имеются подозрения в компрометации учётной записи.

3. Проверьте историю активности — кто, когда и с каких устройств заходил в ваш аккаунт.

Если есть подозрение на компрометацию — завершите все сеансы.

Проверьте конфиденциальность и безопасность ВКонтакте

  • ✔ Профиль сделан закрытым;
  • ✔ Ограничена видимость информации на странице;
  • ✔ Вы запретили приглашать вас в сообщества и приложения, а также находить вас по номеру телефона;
  • ✔ Вы отключили индексацию страницы в поисковых системах;
  • ✔ Никто не может делать публикации на вашей странице;
  • ✔ Ваши скрытые друзья скрыты от всех;
  • ✔ Никто не видит информацию о месте, где сделаны ваши фотографии;
  • ✔ Ваши друзья и подписчики не оповещаются о том, что вы поставили отметку «Нравится» или оставили комментарий;
  • ✔ Установлен надёжный пароль;
  • ✔ Включена двухфакторная аутентификация через телефон;
  • ✔ Включена двухфакторная аутентификация через приложение;
  • ✔ Сохранены резервные коды для входа в учётную запись;
  • ✔ Вы проверили все входы в учётную запись и завершили подозрительные сеансы;
  • ✔ Вы отключили авторизацию для устройств, которыми не пользуетесь.

Заключение

Приложения соцсетей постоянно обновляются и дополняются. Если что-то из приведённых здесь рекомендаций уже неактуально или нуждается в уточнении — напишите нам об этом.

 465   15 ч   гайды   статьи

Антифишинг-дайджест № 244 с 15 по 21 октября 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена международная кибермошенническая схему с помощью которой злоумышленники похитили у жертв криптовалюту на сумму 1,4 млн долларов США.

Мошенническая схема, получившая название CryptoRom, впечатляет высоким уровнем профессионализма с точки зрения как программирования, так и психологии.

Описание схемы:

1. Все жертвы CryptoRom являются владельцами iPhone. Злоумышленники взламывали их устройства через предназначенную для разработчиков систему Enterprise SignatureEssentially. Эта система обеспечивает разработчикам возможность проводить тестирования новых приложений для iPhone до их внесения в магазин App Store.

2. Сначала злоумышленники создавали поддельные приложения для продажи биткойнов, отправляющие все средства в один-единственный кошелек.

3. Далее регистрируются поддельные профили в сервисе знакомств (Tinder, Bumble и т. п.).

4. Познакомившись с потенциальной жертвой, мошенники завязывают с ней романтические отношения и убеждают ее в том, будто они зарабатывают большие деньги на трейдинге биткойнов.

5. На определенном этапе жертве предлагают вложить определенную сумму через поддельное приложение.

6. Попавшаяся на удочку жертва переводит средства, и они оправляются прямиком в кошелек злоумышленников.

7. Помимо денег жертва также лишается своего iPhone: фальшивые трейдинговые приложения позволяют мошенникам удаленно контролировать устройство жертвы.

Атаки и уязвимости

Атака Gummy Browsers позволяет создать «клонированный» цифровой отпечаток пользователя путем копирования характеристик его браузера.

Для проведения атаки злоумышленнику нужно заманить жертву на подконтрольный ему сайт и создать ее цифровой отпечаток. После этого его можно использовать для подмены личности на разных платформах, нелегальной деятельности, обхода двухфакторной аутентификации.

В рамках исследования специалисты разработали следующие методы подмены личности на различных сайтах:

  • Внедрение скрипта — подмена цифрового отпечатка пользователя путем выполнения скриптов (с помощью инструмента Selenium), добавляющих значения, извлеченные из вызовов JavaScript API.
  • Инструменты настройки и отладки браузера — оба инструмента могут использоваться для изменения атрибутов браузера на любое значение, что затронет JavaScript API и соответствующее значение в заголовке HTTP.
  • Модификация скрипта — изменение свойств браузера с помощью модификации скриптов, внедренных в web-сайт, до их отправки web-серверу.

Используя метод Gummy Browsers, специалисты смогли обмануть системы отслеживания цифровых отпечатков FPStalker и Panopliclick.

Новая атака SmashEx на процессоры Intel позволяет злоумышленникам получать доступ к чувствительной информации внутри защищенных анклавов и даже запускать произвольный код на уязвимых системах.

Атака возможна благодаря уязвимости CVE-2021-0186 в Intel SGX, которая в настоящее время уже исправлена в версиях SGX SDK 2.13 и 2.14 для Windows и Linux соответственно.

Расширения SGX (Software Guard eXtensions) позволяют разработчикам запускать выбранные модули приложений в полностью изолированной защищенной области памяти под названием Trusted Execution Environment (TEE). TEE защищает эти модули от процессов, запущенных с более высокими привилегиями (например, с привилегиями ОС). SGX обеспечивает безопасность данных даже в случае, если ОС компьютера была взломана хакерами.

Как пояснили исследователи, расширения SGX созданы таким образом, чтобы позволять ОС в любое время прерывать выполнение в защищенном анклаве с помощью настраиваемых исключений аппаратного обеспечения.

Эта функция позволяет средам выполнения анклава, например, Intel SGX SDK и Microsoft Open Enclave, поддерживать исключение внутри анклава и обработку сигналов, но также открывает анклавы для повторного входа.
SmashEx эксплуатирует SDK анклава, которые не обрабатывают повторный вход в своей исключительной безопасности

Инциденты

Преступники похитили 35 млн долларов США из банка в ОАЭ, подделав голос с помощью искусственного интеллекта.

Используя дипфейк-голос, злоумышленники обманули сотрудника банка, убедив его отправить им деньги. Сам сотрудник был уверен, что переводит средства в рамках легитимной бизнес-транзакции.

Инцидент произошел в январе 2020 года. Руководитель одного из отделений банка ответил на обычный телефонный звонок. Звонивший назвался директором крупной компании, с которым руководитель отделения банка разговаривал раньше. Мужчина ничего не заподозрил, поскольку голос «директора» ничем не отличался от настоящего. Для большей убедительности злоумышленники отправили ему электронные письма от лица компании и её юриста.

Мошенники убедили сотрудника в том, что компания вот-вот заключит крупную сделку на 35 млн долларов США, поэтому им требуется финансирование. В результате сотрудник перевёл деньги на «новые» счета мнимой компании.

В мошеннической схеме участвовали 17 человек, а похищенные деньги были переведены на множество банковских счетов по всему миру.

Компания Gigabyte во второй раз за три месяца стала жертвой вымогательского ПО.

Во время первой атаки в августе года группировка RansomExx взломала серверы Gigabyte и похитила 112 ГБ данных, пригрозив опубликовать их в открытом доступе, если компания не заплатит требуемый выкуп.

В этот раз Gigabyte взломали вымогатели группировки AvosLocker. В качестве доказательства они разместили часть украденных файлов на своем сайте утечек. Сумма выкупа, которую они требуют от компании, пока неизвестна.

Ещё одной жертвой повторного взлома стала компания Acer. После предыдущего инцидента не прошло и недели.

Оба взлома провели хакеры, называющие себя Desorden. Они проникли на сервера Acer в Индии и похитили данные. Компания подтвердила взлом, но заявила, что инцидент представляет собой «изолированную атаку», затронувшую только системы послепродажного обслуживания в Индии.

Через несколько дней Desorden сообщили порталу BleepingComputer о повторном проникновении в инфраструктуру Acer. В этот раз они скомпрометировали серверы компании на Тайване и похитили информацию о сотрудниках и продукции. В качестве доказательства хакеры представили скриншоты внутренних порталов Acer Taiwan и CSV-файлов с учетными данными сотрудников.

По словам хакеров цель второй атаки — доказать, что компания все еще уязвима. Именно поэтому они не потребовали отдельного платежа после второго инцидента. Преступники хотели доказать, что Acer пренебрегает кибербезопасностью.

Из-за вымогательской атаки на американскую телевещательную корпорацию Sinclair Broadcast Group на всей территории США прервалась трансляция телеканалов компании.

Сначала представители корпорации сообщали, что дело в обычных технических неполадках, однако вскоре стало известно, что случившееся повлияло не только на телеэфир, но также вывело из строя внутреннюю корпоративную сеть Sinclair, почтовые серверы, телефонные службы.

Сообщается, что изначально атака могла быть изолированной, однако многие участки сети Sinclair были связаны одним и тем же доменом Active Directory, что в итоге позволило злоумышленникам расширить охват атаки.

Инцидент затронул не всю сеть Sinclair, что позволило заменить некоторые запланированные телепрограммы на пострадавших каналах другими, так что некоторые каналы смогли остаться в эфире. В настоящее время работы по восстановлению штатной работы телеканалов все еще продолжаются.

Представители корпорации в итоге подтвердили факт взлома и сообщили, что злоумышленники также похитили данные из сети компании.

Злоумышленник проник в сеть правительства Аргентины, похитил базу, удостоверений личности всей страны и выставил её на продажу на хакерском форуме.

Жертвой взлома стал RENAPER  — Registro Nacional de las Personas, Национальный реестр физических лиц. Это ключевое звено внутри Министерства внутренних дел Аргентины, которое занимается выдачей удостоверений личности и хранит информацию о них в формате цифровой БД. База доступна другим правительственным учреждениям и представляет собой фундамент для большинства правительственных запросов, касающихся личной информации о гражданах.

Как сообщили официальные лица, «база данных RENAPER не пострадала ни от каких утечек или взломов», и в настоящее время власти проводят расследование. Однако издание The Record связалось с человеком, который арендовал доступ к базе данных RENAPER на хакерском форуме, и выяснило, что у преступников есть копия данных RENAPER, что противоречит официальному заявлению правительства.

Похищенная база содержит полные имена, домашние адреса, даты рождения, информацию о поле, дате выдачи и истечения срока действия ID-карты, трудовые идентификационные коды, номера Trámite, номера граждан и правительственные удостоверения личности с фотографией.

 405   5 дн   дайджест   фишинг

Антифишинг-дайджест № 243 с 8 по 14 октября 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В очередной фишинговой кампании по сбору учётных данных пользователей Microsoft 365 преступники скорректировали логотип Verizon в поддельном послании с помощью спецсимволов.

Схема кампании:

Разосланные с Gmail сообщения мошенников имитировали уведомление о новой голосовой почте. В тело письма была встроена кнопка Play, привязанная к сайту фишеров.

Фишеры заменили заглавную «V» в логотипе Verizon символом квадратного корня. Встречались и другие варианты замены этой буквы, например, оператор Гамильтона (∇) или юникод-символ «галочка».

Другие варианты фальшивого логотипа.

Фишинговый портал, созданный месяц назад, копировал сайт Verizon, причём с корректным логотипом компании: мошенники позаимствовали элементы HTML и CSS с оригинального сайта. Подлог выдавало только имя домена в адресной строке браузера — sd9-08[.]click.

Поддельная страница предлагала жертве прослушать сообщение, используя учетную запись Office365.

Первая попытка авторизации на поддельной странице входа Microsoft возвращала ошибку «неверный пароль», а повторная — фальшивое сообщение о невозможности получить нужные файлы.

На этом процедура «аутентификации» заканчивалась, а мошенники получали искомые данные, прошедшие двойной контроль — жертва сама подтвердила их корректность повторным вводом.

Хак-группа SnapMC в отличие от «коллег» после взлома компании ограничивается хищением данных, а выкуп требует, угрожая опубликовать украденные данные в открытом доступе или сообщить о взломе и утечке СМИ.

Схема атаки:

  1. SnapMC используют сканер уязвимостей Acunetix для поиска доступных для проникновения участков сети.
  2. Проникнув в сеть компании-жертвы, хакеры быстро переходят к сбору данных и обычно не проводят во взломанной сети более 30 минут.
  3. Для хищения файлов взломщики используют скрипты для экспорта данных из БД SQL, затем файлы CSV сжимаются с помощью 7zip, а клиент MinIO используется для передачи информации хакерам.
  4. После взлома SnapMC отправляют жертве электронные письма со списком украденных файлов в качестве доказательства атаки и дают ей 24 часа на то, чтобы ответить на письмо, и еще 72 часа на согласование выплаты выкупа.

В недавней фишинговой кампании против пользователей Coinbase, преступники придумали оригинальную технику получения одноразовых паролей (OTP), необходимых для завершения процесса входа в систему.

Переведенная Google версия уже не существующего фишингового сайта coinbase.com.password-reset[.]com

Схема кампании

1. Мошенники зарегистрировали фишинговый домен coinbase.com.password-reset[.]com и разместила там сайт, имитирующий процедуру сброса паролей на оригинальном ресурсе.

2. Каждый раз, когда новая жертва вводила учетные данные на фишинговом сайте Coinbase, административная панель с помощью звукового сигнала предупреждала преступников, что на сайт зашёл живой человек.

3. Фишеры вручную нажимали кнопку, которая заставляла фишинговый сайт запрашивать у посетителей дополнительную информацию, например, одноразовый пароль от мобильного приложения.

4. При нажатии кнопки «Отправить информацию» посетителям предлагалось предоставить дополнительную личную информацию, включая имя, дату рождения и адрес улицы.

5. Вооружившись номером мобильного телефона жертвы, преступники также могли нажать кнопку «Отправить проверочное SMS» с текстовым сообщением, предлагающим отправить одноразовый код.

Действуя таким образом, преступники получили доступ к 870 учётным данным пользователей Coinbase из Италии.

Мобильная безопасность

Android-устройства собирают и отправляют разработчикам огромное количество информации, нарушая приватность пользователей.

Журнал активности пользователя в мессенджере, который ведёт клавиатура Microsoft Swiftkey.

Эта информация была получена в результате изучения шести популярных вариантов Android, используемых в смартфонах Samsung, Xiaomi, Huawei и Realme, а также бесплатных сборок LineageOS и /e/OS.

Оказалось, что почти все ОС передают множество данных не только производителю гаджета, что ожидаемо, но также разработчикам предустановленных системных приложений — Google, Microsoft, LinkedIn, Facebook. Примечательно, что пользователь не может отключить передачу этой информации.

Единственной ОС, которая не передаёт данные, оказалась /e/OS — opensource-проект, поставивший во главу угла конфиденциальность.

Все остальные передают информацию об использовании устройства:

  • Смартфоны Xiaomi отсылают в Сингапур детали работы с приложениями: что просматривал пользователь, когда и как долго. Такое поведение подобно отслеживанию интернет-активности пользователя с помощью куки.
  • Мобильные устройства Huawei передают Microsoft данные об использовании клавиатуры Swiftkey.
  • Компании Samsung, Xiaomi, Realme и Google собирают долгосрочные идентификаторы оборудования, такие как серийный номер устройства, а также рекламные идентификаторы (IDFA), которые при смене вновь привязываются к тому же гаджету.

Атаки и уязвимости

В процессорах AMD обнаружены уязвимости, которые позволяют провести атаку Meltdown, для которой эти процессоры считались неуязвимыми.

Извлечение секретной строки «SECRET» из памяти ядра Linux.

Если не углубляться в детали, Meltdown позволяет вредоносным приложениям злоупотребить спекулятивным выполнением кода и нарушить изоляцию между приложениями и ядром операционной системы.

Таким образом, успешная атака позволяет похищать из ядра чувствительную информацию — пароли, ключи шифрования и пользовательские данные, к которым при нормальных условиях у приложений не должно быть доступа.

Первая уязвимость, обнаруженная специалистами Дрезденского технического университета, получила идентификатор CVE-2020-12965.
Вторая уязвимость CVE-2021-26318 позволяет, используя инструкции x86 PREFETCH похищать данные из пространства ядра.

Компания AMD признала состоятельность исследований и подтвердила, что уязвимыми являются все процессоры AMD., однако не выпустила никаких обновлений прошивки, а вместо этого рекомендовала разработчикам ПО следовать методологии безопасного кодинга.

В LibreOffice и OpenOffice обнаружены уязвимости, которые позволяют замаскировать файлы под документы, подписанные надёжным источником.

Список обнаруженных уязвимостей выглядит следующим образом:

  • CVE-2021-41830 / CVE-2021-25633 — Манипуляция содержимым и макросами с двойной атакой на сертификат;
  • CVE-2021-41831 / CVE-2021-25634 — Манипуляция временными метками с оберткой подписи;
  • CVE-2021-41832 / CVE-2021-25635 — Манипуляция содержимым с атакой проверки сертификата.

Успешная эксплуатация уязвимостей может позволить злоумышленнику манипулировать временной меткой подписанных документов ODF, или, что еще хуже, изменить содержимое документа или самостоятельно подписать документ недоверенной подписью, а затем изменить алгоритм подписи на недопустимый или неизвестный алгоритм.

В двух последних сценариях атаки, возникающих в результате неправильной проверки сертификатов, LibreOffice неверно отображает индикатор действительной подписи, предполагающий, что документ не был изменен с момента подписания, и представляет подпись с неизвестным алгоритмом как легитимную подпись, выданную доверенной стороной.

Инциденты

Одна из крупнейших в мире сетей отелей Meliá Hotels International была вынуждена приостановить работу из-за кибератаки вымогателя.

Инцидент затронул операции в отелях Meliá в Испании. Злоумышленники вывели из строя части внутренней компьютерной сети и некоторых web-серверов, включая систему бронирования номеров и общественные web-сайты. Пока ни одна вымогательская группировка не взяла на себя ответственность за атаку.

Администрация Meliá сообщила о случившемся испанским правоохранительным органам и финансовым регуляторам. Для устранения последствий кибератаки она обратилась к киберподразделению испанской телекоммуникационной компании Telefonica. Данные были восстановлены из резервных копий в течение нескольких дней после атаки, и сейчас отель работает в обычном режиме.

Кибератака на крупнейший частный банк Эквадора Banco Pichincha нарушила работу его систем, а банкоматы и портал online-банкинга были отключены.

Чтобы не допустить распространения шифровальщика на другие системы специалистам банка пришлось отключить часть своей сети. Банковские приложения, электронная почта, цифровые каналы и самообслуживание не были доступны из-за технических проблем.

Киберинцидент не затронул финансовые ресурсы банка. Пока что руководство Banco Pichincha не раскрыло характер кибератаки. По словам источников в сфере кибербезопасности, атака связана с использованием программ-вымогателей.

 3888   12 дн   дайджест   фишинг
Ранее Ctrl + ↓