9 июня 2017, 1:13

Антифишинг-дайджест №19 cо 2 по 8 июня 2017 года

Представляем новости об актуальных технологиях фишинга и других атаках на человека cо 2 по 8 июня 2017 года.


Андрей Жаркевич
редактор, руководитель службы ИТ

Новые версии банковского трояна Tiny Banker распространяются через письма с вредоносными вложениями в формате MS PowerPoint:

  • Примеры тем письма: RE:Purchase orders #69812 или Fwd:Confirmation.
  • Внутри письма содержатся PowerPoint-вложения order&prsn.ppsx, order.ppsx и invoice.ppsx. Иногда файлы бывают запакованы в ZIP-архивы.
  • Вредоносная презентация содержит всего один слайд. Надпись, которая также является ссылкой, гласит: «Загрузка… Пожалуйста, подождите».
  • Никакой загрузки не происходит, но если пользователь наведёт курсор мыши на надпись, вредоносный код попытается запустить скрипт PowerShell, который загрузит на компьютер исполняемый модуль трояна:

В большинстве версий Office по-умолчанию включена функция Protected View, и если пользователь её не отключил, система предупредит об опасности и остановит атаку.

Сайты, мессенджеры и почта

Мошенники использовали рекламу в поисковой выдаче Google для перенаправления жертв на фальшивый сайт технической поддержки:

Как видно на скриншоте, при наведении на такую ссылку браузер показывал настоящий домен. Для этого мошенники использовали функцию Google AdWords, которая позволяет показывать в рекламной ссылке и перенаправлять пользователя на разные адреса.

После перехода по ссылке пользователи попадали на страницу мошенников, где им сообщали, что их компьютер заражён несуществующим вирусом и предлагали срочно позвонить по телефону, чтобы избавиться от него:

Немецкие исследователи провели исследование, в ходе которого разослали студентам по электронной почте и в Facebook сообщения со снимками от незнакомых людей:

Hey!
The New Year’s Eve party was awesome! Here are the pictures:
http:///photocloud/page.php?h=
But please don’t share them with people who have not been there!
See you next time!

Оказалось, что по ссылке в письмах перешло лишь 20% получателей, в то время как ссылки, полученые через Facebook открыли уже 46% адресатов.

Исследователи отмечают, что любопытство — наиболее популярный «психологический вектор», обеспечивший 34% всех переходов.

Исследователи обнаружили, что сайт Стэнфордского университета был взломан,
и на нем размещались фишинговые страницы Office 365, Gmail и LinkedIn.

Также были обнаружены инструмент для фишинга и страница для похищения платежных данных клиентов американской холдинговой компании SunTrust Bank.

Кроме того, взломанный сайт использовался для рассылки спама.

Обнаружена масштабная мошенническая кампания c участием 95 фальшивых сайтов и 19 известных брендов, в числе которых Аэрофлот, Emirates, Lufthansa, El Al Israel Airlines, SPAR, Virgin America, Delta Air Lines, Air-France, Rolex.

  1. В социальных сетях публиковался пост о розыгрыше двух авиабилетов со ссылкой, кликнув по которой, жертва попадала на один из фальшивых сайтов с названием, похожим на настоящее: эмираты-бесплатно-2-билета-ком-абракадабра-точка-ком.

  2. На фальшивом сайте жертве предлагали ответить на несколько несложных вопросов: «Вы действительно хотите получить 2 бесплатных билета от Emirates?» и «Подтвердите, что вы совершеннолетний(ая)». Это прием, известный как «цыганский гипноз»: положительные ответы на вопросы создают доверие.
  3. После ответов на вопросы «для получения бесплатных билетов» нужно было лайкнуть страницу и расшарить пост среди своих друзей, вовлекая их в мошенническую схему.

    Источник: Тинькофф-журнал
  4. Затем на странице появляются ссылки для перехода на рекламные страницы. При переходе пользователю предлагается подписаться на платные услуги. В ряде случаев его просят оставить свои данные: имя, электронную почту, телефон, дату рождения и адрес.

Смартфоны, банкоматы и «умные» устройства

Светодиоды роутеров могут использоваться для хищения данных. Малварь xLED заражает роутер, перехватывает данные, проходящие через устройство, преобразует их в двоичный код и передаёт злоумышленникам с помощью светодиодных индикаторов. Включенный диод означает единицу, а выключенный — ноль. Для осуществления роутер должен находиться в зоне видимости.

Видео с демонстрацией атаки:

Применение камер с оптическими сенсорами позволяет создать высокоскоростной канал передачи информации — до 1000 бит в секунду для одного диода. Большинство роутеров и других сетевых устройств комплектуются более чем одним светодиодным индикатором, поэтому передачу данных можно ускорить, задействовав сразу несколько диодов.

Баллистические ракеты Trident, размещенные на подводных лодках, уязвимы к кибератакам. Как сообщается в исследовании «Hacking UK Trident, A Growing Threat», подобные атаки могут повлечь за собой «катастрофические» последствия, в том числе человеческие жертвы.

Во время нахождения подлодки в море при обычных обстоятельствах ракеты недоступны для вредоносного ПО, однако оно может попасть в системы при прохождении техобслуживания на военно-морской базе.

На подлодках используется та же ОС Windows, что и в Министерстве внутренней безопасности США, пострадавшем от недавних атак с использованием вымогательского ПО WannaCry. Авторы отчета описывают несколько векторов атак на Trident, способных сорвать операции и поставить под угрозу человеческие жизни.

Вредоносные программы

Хабаровский колледж стал жертвой вымогателей. Злоумышленники заблокировали сервер учебного заведения и потребовали 20 тыс. руб. за его разблокировку. Руководство обратилось в правоохранительные органы, но все равно заплатило киберпреступникам требуемую сумму. Получив выкуп, хакеры предоставили колледжу ключ для дешифровки, работа систем была возобновлена.

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и самые актуальные примеры мошенничества.

Чтобы проверить своих сотрудников, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Поделиться
Запинить