Представляем новости об актуальных технологиях фишинга и других атаках на человека c 21 по 27 декабря 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Умные устройства

Тысячи джакузи оказались уязвимыми для удалённых атак.

Исследователь Ken Munro демонстрирует BBC взлом джакузи

Без аутентификации пользователя мобильного приложения для управления устройством посторонний человек может обнаружить джакузи с помощью вардрайвинга, а затем удалённо захватить контроль над гидромассажной ванной: регулировать температуру воды, управлять насосами и подсветкой.

Атаки, уязвимости и утечки

Новый метод атаки позволяет определить нажатия клавиш, следя за тем, как процессор обрабатывает код, полученный от графических библиотек.

Базой для атаки служит тот факт, что из кода, выводящего текст на экран, можно получить некий набор сведений об обрабатываемой информации. С помощью таких «утечек» удаётся с высокой точностью определить, какой символы ввёл пользователь.

В сравнении с классическими кейлоггерами новый метод более перспективен, поскольку позволяет определять нажатия клавиш на экранной клавиатуре, а не только на физической. Кроме того, он работает на любой ОС, включая мобильные.

В Twitter обнаружена новая уязвимость, которая позволяет злоумышленникам отправлять твиты, личные сообщения, публиковать картинки и видео от имени любого пользователя.

Кроме того, атакующий может отключить двухфакторную аутентификацию в настройках безопасности аккаунта.

Демонстрируя уязвимость, эксперт опубликовал твит от имени журнала ComputerWeekly

По словам эксперта, для использования уязвимости не нужно никакого процесса взлома: из-за логической ошибки в коде соцсети любая запись, к которой привязан номер телефона, уязвима. Зная номер телефона, атакующий может твитить и ретвитить, отправлять сообщения и публиковать медиаматериалы.

Уязвимость в модемах Orange позволяет злоумышленникам получить доступ к сетям Wi-Fi и узнать их пароль.

Обычный HTTP GET-запрос по адресу /get-getnetworkconfig.cgi возвращает SSID и пароль на Wi-Fi

Атакующие эксплуатируют уязвимость CVE-2018-20377: она позволяет удалённо получить доступ к паролю Wi-Fi и SSID устройства.

Это даёт возможность злоумышленникам вычислить географические координаты сети и проникнуть в неё. Если модемы Orange расположены в корпоративных сетях, злоумышленники могут похитить конфиденциальную информацию.

Сайты, почта и мессенджеры

Злоумышленники используют код JavaScript, заставляющий Google Chrome расходовать все ресурсы центрального процессора и «зависать».

После перехода по вредоносной ссылке пользователь попадает на страницу фальшивой «техподдержки». Страница замаскирована под уведомление Windows об ошибке «Internet Security Alert! Code: 055BCCAC9FEC» и предлагает позвонить для решения проблемы.

Страница содержит код JavaScript, заставляющий браузер в бесконечном цикле обращаться к URL и переходить назад:

Петля заставляет браузер расходовать все ресурсы центрального процессора, в результате чего он «зависает» и пользоваться компьютером становится невозможно:

Если завершить процесс, а потом снова открыть браузер, Chrome автоматически восстановит открытые вкладки. Вредоносная страница откроется снова, и JavaScript снова запустит петлю:

Facebook-спамеры используют кликджекинг в мобильном приложении для размещения своих публикаций в хронике.

Пользователю приходила ссылка на сайт с комиксами:

По ссылке он попадал на страницу с просьбой подтвердить возраст:

Страница содержала iframe с цепочкой ссылок, которые переадресовывали пользователя до команды на новую публикацию в Facebook, причём сценарий срабатывал только в мобильном приложении:

В результате, если пользователь кликал на кнопку подтверждения возраста, в его хронике появлялась спамерская публикация.

Причина ошибки в том, что мобильный клиент Facebook игнорировал ограничение на работу iframe. Функция в настройках приложения отключала блокировку всплывающих невидимых окон, позволяя загрузить дополнительные элементы поверх страницы и опубликовать пост без согласия пользователя.

Пользуясь праздничным настроением в канун Нового года, мошенники собирают личные данные через спам с сообщением о выигрыше BMW.

1. Жертве приходит письмо с сообщением о том, что компания BMW проводит лотерею, и пользователь выиграл автомобиль BMW серии 2 M240i.
2. В письме указывается код, который пользователь должен представить, чтобы затребовать свой выигрыш.
3. Помимо кода требуется сообщить полное имя, домашний адрес и номер телефона.
4. Следующим этапом, предположительно, мошенники запросят другие конфиденциальные данные, получив которые, смогут перехватить контроль над платёжными сервисами жертвы и похитить деньги с её счетов.