Представляем новости об актуальных технологиях фишинга и других атаках на человека c 14 по 20 июля 2017 года.

Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты и почта

Опубликована подборка наиболее действенных тем фишинговых писем, получив которые, люди чаще всего переходили по ссылкам:

Антифишинг рекомендует использовать эту, и другую подобную статистику для выбора приоритетов при имитированных фишинговых проверках ваших сотрудников.

Рейтинг составлен компанией, специализирующейся на обучении в области безопасности, на основе действий более чем 20 тысяч сотрудников различных организаций.

Исследователи обнаружили автоматизированную платформу Hackshit, которая действует по бизнес-модели Phishing-as-a-Service («фишинг как услуга») и обещает бесплатные пробные учетные записи для доступа к учебным пособиям по взлому и фишингу.

• Фишинговые страницы зашифрованы с помощью алгоритма base64;
• обслуживаются с сайтов с защищенным подключением (HTTPS), платформа использует цифровой сертификат Let’s Encrypt;
• находятся на доменах верхнего уровня .moe;
• учетные данные жертв передаются по протоколу WebSocket.

Hackshit как платформа предлагает несколько сервисов для фишинга, а также черный рынок для покупки и продажи аналогичных сервисов. Злоумышленник может сгенерировать фишинговую страницу с помощью ссылки page/generator, авторизоваться в электронной почте жертвы, просматривать все контакты и отправлять им письма с фишинговой ссылкой или вложенным PDF-файлом, который сервис также помогает сгенерировать:

Мошенники могут расплачиваться за взломанные учетные данные биткойнами или Perfect Money. Стоимость подписки составляет от $40 до $250 за 2 месяца.

Специалисты Антифишинга сообщают о новом примере фишинга против русскоязычных пользователей.

1. Начинается атака вполне традиционно — во вложенном в письмо документе MS Word содержится вредоносный исполняемый файл.
2. Особенностью атаки является предлог, под которым пользователь должен открыть вредоносный файл: якобы, в документе используется некая (несуществующая) технология Adobe Data Profile (c):

См. также технический анализ вредоносной активности.

Подписчики Антифишинг-дайджеста сообщают об атаке против пользователей
MS Office 365.

Мошенники пишут пользователю о попытке восстановить пароль от его аккаунта на посторонний адрес почты, и рекомендуют «прервать процесс восстановления», перейдя по ссылке на фишинговый сайт:

Хакеры атаковали электронную почту МИД России. С помощью массовой рассылки злоумышленники получили доступ к различным информационным ресурсам МИД. Около 140 поддельных писем пришло на адреса пользователей домена mid.ru. Они содержали веб-ссылку на скачивание информационного бюллетеня, а отправителем значился электронный адрес пресс-службы. При этом использовалась ранее скомпрометированная учетная запись посольства РФ в Иране, а источником был IP-адрес, зарегистрированный в Венгрии.

«Умные» устройства

Исследователю удалось получить удаленный контроль над гироскутером Segway Ninebot miniPRO через уязвимости в приложении для смартфона и используемых протоколах коммуникации.

Социальные сети и мессенджеры

Исследователь случайно обнаружил, что может получить доступ к чужому аккаунту в Фейсбуке через номер своего мобильного телефона, который когда-то был привязан к этому аккаунту:

Рекомендуем проверить актуальные номера телефонов в настройках вашего Фейсбука.

Фейсбук позволяет добавить к аккаунту новый телефонный номер, при этом многие пользователи даже не догадываются о том, что старый номер вообще нужно удалять.

Еще легче оказалось получить доступ к чужой учетной записи в социальной сети MySpace.

Форма восстановления аккаунта позволяла указать только полное имя, юзернейм и дату рождения. Этого было достаточно для восстановления или перехвата доступа к любой учетной записи. Никаких подтверждений по телефону или почте, никакой дополнительной информации не требовалось.

Мобильная безопасность

Популярный мессенджер WhatsApp теперь поддерживает передачу файлов любых форматов:

Кроме очевидного удобства для пользователей, эта же функция может принести новые риски безопасности. Например, теперь через мессенджер можно будет передать вредоносный .APK-файл прямо на устройство жертвы.

Новая фишиговая атака направлена на пользователей WhatsApp.

Мошенники присылают письмо, в котором сообщают о том, что пользование мессенджером становится платным, и предлагают перейти по ссылке для оплаты подписки:

Аналогичные ссылки ранее приходили в СМС:

Мошенники собирают данные банковских карт и другую личную информацию пользователей Apple, рассылая письма о несуществующей покупке в iTunes Store:

1. Если пользователь не обратит внимание на грамматические ошибки в письме и тот факт, что адрес отправителя не имеет отношения к Apple, он может поверить мошенникам и перейти на фишинговый сайт.
2. На фишинговом сайте пользователю предлагается ввести Apple ID и пароль, далее — заполнить анкету «для подтверждения личности».
3. Мошенники запрашивают исчерпывающие данные: имя, фамилию, почтовый адрес, телефон, дату рождения и данные банковских карт. «Принимаются» карты всех распространенных платежных систем, включая Visa, MasterCard, American Express и др.

После ввода данных на странице появится сообщение о том, что учетная запись успешно прошла проверку. Пользователь будет перенаправлен на главную страницу настоящего iTunes Store, а его персональные данные окажутся у злоумышленников.

Google будет предлагать всем, кто уже пользуется двухэтапной верификацей через СМС, перейти на использование уведомлений на смартфоне. Для использования уведомлений пользователям Android не придется совершать каких-либо дополнительных действий, пользователям iOS, которые пожелают воспользоваться новой функцией, придется установить приложение Google Search.

ИБ-специалисты уже доказали, что для обхода двухфакторной аутентификации может использоваться и набор сигнальных телефонных протоколов SS7 (или ОКС-7, Система сигнализации №7), разработанный в далеком 1975 году. Примеры таких атак уже были зафиксированы в реальности.

Пользователям Apple рекомендуется обновить iOS до версии 10.3.3, чтобы избежать возможной компрометации устройства через уязвимость в беспроводном чипе Broadcom Wi-Fi.

Исследователи обещают рассказать подробности об этой уязвимости и способах ее эксплуатации на ближайшем BlackHat USA 2017.

Браузерные расширения

Специалисты Яндекса опубликовали расследование инцидента, в результате которого на сайте Госуслуг оказались фрагменты с iframe, подгружающие данные с 15 сомнительных доменов.

По версии Яндекса, появление данного кода на страницах gosuslugi.ru не связано со взломом, целенаправленной атакой. Более вероятно, что у администратора, который редактировал содержимое этих страниц, было установлено браузерное расширение, которое внедрило посторонний код в документ, когда он загружался на сторону клиента, а на сервере он появился уже после того, как сотрудник сохранил свои изменения.

Устранена критическая уязвимость в составе расширений Cisco WebEx для Chrome и Firefox. Cisco WebEx — популярное решение для проведения вебинаров, конференций и других «удаленных мероприятий», которым пользуются более 20 млн человек.

Для эксплуатации уязвимости пользователю достаточно было перейти по вредоносной ссылке.

Браузерное расширение Particle для Chrome сменило владельца и стало вредоносным.

11 июля 2017 года в Chrome Web Store появилась обновленная версия Particle, которая запрашивает новые, крайне подозрительные права: чтение и изменение информации на любых сайтах, а также управление другими приложениями, расширениями и темами.

Как выяснилось, в новой версии Particle появилась директория algoad, и расширение «научилось» осуществлять рекламные инжекты в код таких сайтов, как Google, Yahoo, Bing, Amazon, eBay, Booking.com и других.

Человеческий фактор

Согласно результатам исследования «Лаборатории Касперского», сотрудники 39% российских компаний утаивают от руководства информацию о проблемах в области компьютерной безопасности. При этом 67% киберинцидентов вызваны в том числе действиями плохо информированных или невнимательных сотрудников.