Ctrl + ↑ Позднее

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 13 по 19 декабря 2019 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Уязвимости и атаки

Системы распознавания лиц в платежных терминалах Alipay и WeChat, а также системы на пограничном пункте в Китае и в аэропорту Амстердама удалось обмануть с помощью трёхмерной маски.

Используя реалистичную маску, оказалось возможно проходить пункты контроля в аэропортах или совершать покупки под видом другого человека.

Однако не все технологии распознавания лиц оказались уязвимы. Например, обмануть системы биометрической идентификации Huawei и Apple Face ID не удалось, поскольку в них задействованы более сложные технологии.

Новая уязвимость WhatsApp позволяет вызвать сбой приложения у всех участников целевого чата путём отправки в беседу вредоносного сообщения.

Пострадавшим приходилось удалять и скачивать мессенджер заново, но это всё равно не давало возможности вернуться в чат. В итоге приходилось удалить сам чат с потерей сообщений.

Проблема — в протоколе XMPP (Extensible Messaging and Presence Protocol), который WhatsApp использует для передачи сообщений. Каждое послание в чат содержит идентификаторы отправителя — имя и номер телефона. Номер телефона — это последовательность цифр длиной от 5 до 20 символов. Если выйти за пределы этого диапазона или подставить вместо номера текстовую строку, парсер прочтет его как пустую переменную.

Не получив требуемого параметра, WhatsApp прекратит работу на всех устройствах, владельцы которых являются участниками чата. Программа будет выдавать ошибку при повторном запуске и сможет продолжить работу только после переустановки и удаления канала, содержащего вредоносное сообщение.

В механизме обмена файлами мессенджера Slack обнаружена уязвимость, которая может привести к несанкционированному раскрытию конфиденциальной информации.

Уязвимость проявляется в том, что любой участник закрытого чата имеет возможность переслать выложенные там посты и сниппеты в публичные каналы, где они станут доступны всем пользователям рабочего пространства. Данные остаются в общем чате даже если автор применил функцию unsharing, которая должна заблокировать доступ. Эксплуатация уязвимости возможна не только через графический интерфейс мессенджера, но и при использовании API приложения.

Разработчики Slack не собираются исправлять работу программы, объясняя это тем, что проблема касается лишь двух опций для расшаривания объемного контента — Posts и Snippets, в то время как большинство файлов, которыми пользователи обмениваются в Slack, к этим типам не относится.

Сайты, почта и мессенджеры

Facebook признала, что следит за местоположением пользователей даже при отключении GPS-службы.

По словам представителей компании, отслеживание местоположения пользователей используется для таргетированной рекламы.

Facebook может собирать геоданные пользователей из контекстных подсказок, таких как отмеченные места на фотографиях и даже IP-адреса мобильных устройств. Хотя эти данные не так точны, как информация с включенным «отслеживанием местоположения», они позволяют оповещать пользователей об авторизации в учетной записи из другого места и предотвращают распространение ложной информации.

Практически все объявления в Facebook ориентированы на местоположение, хотя чаще всего реклама ориентирована на людей из определенного города или более крупного региона. В противном случае люди в Вашингтоне, округ Колумбия, будут получать рекламу услуг или мероприятий в Лондоне, и наоборот.

— Представители Facebook

Инциденты

Компания LifeLabs сообщила о том, что злоумышленники взломали системы компании, извлекли данные о клиентах и потребовали выкуп за возвращение информации.

В результате атаки в руках преступников оказалась информация 15 млн клиентов LifeLabs, включая их имена, домашние адреса, адреса электронной почты, имена пользователей, пароли и номера медицинских карт. В 85 000 случаев данные клиентов также включали результаты проведенных лабораторных исследований. Вся информация была датирована 2016 годом и ранее.

Чтобы вернуть данные, компания заплатила злоумышленникам выкуп, сумма которого не разглашается.

Аналитика

Опубликованы 200 самых распространенных и наименее безопасных паролей, сформированный на основе базы данных, содержащей около 500 млн утёкших в 2019 паролей.

Тремя наиболее часто используемыми паролями оказались 12345, 123456 и 123456789, которые были выявлены в базе данных в общей сложности 6 348 704 раз. Данные пароли являются чрезвычайно ненадежными и полностью предсказуемыми, позволяя злоумышленникам легко взломать учетные записи путем простого перебора.

Топ-10 худших паролей 2019 года

Пароль Частота использования
12345 2 812 220
123456 2 485 216
123456789 1 052 268
test1 993 756
password 830 846
12345678 512 560
zinch 483 443
g_czechout 372 278
asdf 359 520
qwerty 348 762

И хотя с распространённостью паролей из тройки лидеров сложно поспорить, популярность паролей zinch и g_czechout вызывает сомнения.

«Умные» устройства

Разработан способ взлома RSA-сертификатов с использованием недостатков программной реализации криптографических методов.

RSA-сертификаты используются для защиты IoT-устройств и сайтов. В основе криптографического алгоритма RSA лежат операции умножения простых чисел. Для взлома требуется решить математическую задачу высокой сложности — выполнить факторизацию ключа. Считается, что эта задача нерешаема за приемлемое время на сегодняшнем уровне развития технологий до появления полноценных квантовых компьютеров.

Разработанный метод взлома использует особенности реализации поиска множителей для получения ключа. Получение по-настоящему случайного числа требует немалых ресурсов, которыми не располагают многие современные устройства, особенно в сфере Интернета вещей, поэтому разработчики сокращают выборку чисел, чтобы ускорить выполнение операций, сокращая энтропию при выборе чисел.

После проверки выяснилось, что в RSA-ключах достаточно часто используются повторяющиеся множители. Такая коллизия значительно упрощает взлом шифра, поскольку злоумышленнику достаточно найти наибольший общий делитель для двух известных ему ключей, чтобы получить значение первого простого числа, по которому можно будет определить и второе.

Анализ 75 млн ключей выявил общие множители у 435 тыс. сертификатов. Это позволяет взломать приватные ключи и скомпрометировать зашифрованные данные.

Подбор множителей упрощается с увеличением исходной базы сертификатов. Такие данные можно купить в Интернете или собрать бесплатно. Расходы на анализ 75 млн ключей не превысили 3 000 долларов США.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






Представляем новости об актуальных технологиях фишинга и других атаках на человека c 6 по 12 декабря 2019 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Авторы новой фишинговой кампании против пользователей Office 365 пытаются установить на устройство вредоносный плагин с широким набором разрешений.

  1. Атака начинается с электронного письма, замаскированного под сообщение службы Microsoft OneDrive со ссылкой на файл.
  2. В тексте письма и названии документа используются сведения, знакомые получателю.
  3. Реальный адрес отправителя замаскирован под данные одного из сотрудников целевой организации.
  4. Письмо не содержит прикрепленных объектов и способно успешно миновать антивирусные фильтры почтового сервера.
  5. Ссылка на файл в тексте письма на самом деле представляет собой запрос на установку дополнительной утилиты для Office 365. Такие надстройки используются для расширения функций приложений, входящих в состав офисного пакета, могут быть созданы сторонними разработчиками и загружаться с принадлежащих им ресурсов.

Если получатель письма не был аутентифицирован в Office 365, то при переходе по ссылке откроется легитимный диалог ввода логина и пароля аккаунта Microsoft.

После входа происходит запуск процесса установки, при этом вспомогательное приложение запрашивает разрешения, согласившись с которыми, пользователь предоставляет мошенникам возможность:

  • читать, изменять и удалять доступные файлы, а также создавать новые документы;
  • читать электронные письма;
  • изменять настройки электронной почты, в том числе создавать правила переадресации;
  • просматривать записные книжки OneNote, доступные в рамках аккаунта;
  • копировать список контактов.

Кибермошенники похитили у китайской венчурной компании 1 млн долларов США с помощью мошенничества с электронными письмами.

1. Злоумышленники выдавали себя за сотрудников реально существующего израильского стартапа, желающего привлечь в качестве инвесторов китайских венчурных капиталистов.

2. Специально для кампании мошенники зарегистрировали два поддельных домена. Один домен якобы принадлежал стартапу, а второй — венчурной компании. Единственное отличие от настоящих организаций — дополнительная буква «s» в названии каждой из них.

3. Каждое письмо от обеих сторон на самом деле отправлялось не настоящей организации, а на поддельный домен. Злоумышленники читали письма, решали, нужно ли их отредактировать, а затем отправляли соответствующему адресату. Таким образом они провели атаку «человек посередине», не взламывая электронную почту ни одной из сторон переговоров.

4. Когда 1 млн долларов был переведен злоумышленникам, настоящий стартап обнаружил, что деньги не получил, а инвестиционная компания поняла, что стала жертвой обмана.

Всего было отправлено 18 писем в сторону китайской компании и 14 — израильскому стартапу.

Авторы фишинговой кампании против любителей игры Elder Scrolls Online маскируют письма под сообщения от разработчиков, чтобы похитить учётные записи игроков.

  1. Преступники рассылают в случайном порядке личные сообщения, в которых предупреждают геймеров о проблеме безопасности и требуют подтвердить свои учётные данные, предоставив логин, пароль и дату рождения.
  2. Жертву убеждают, что для предоставление информации у неё есть только 15 минут, иначе учётную запись заблокируют.
  3. Стремясь придать письмам легитимный вид, фишеры используют онлайн-псевдоним ElderScrollDevs.

Уязвимости и «умные» устройства

Обнаружена уязвимость в iPhone AirDrop, эксплуатация которой позволяет многократно отправлять файлы на все ближайшие iPhone, настроенные на прием файлов от любых устройств.

При получении файла iOS блокирует экран смартфона, пока пользователь не примет или не отклонит запрос. Но поскольку iOS не ограничивает количество файловых запросов, преступник может продолжать спамить файлами, блокируя устройство пользователя.

Чтобы остановить атаку нужно выйти из зоны действия атакующего устройства либо отключить AirDrop, Wi-Fi или Bluetooth.

Уязвимость в прошивке смарт-замков KeyWe GKW-2000D позволяет проникать в жилище посторонним.

Замок открывается несколькими способами: через мобильное приложение (Wi-Fi, Bluetooth), браслет (NFC), непосредственно через тачпад (путем введения кода) или с помощью обычного ключа. Устройство также позволяет устанавливать одноразовые коды для гостей и открывать двери в зависимости от расстояния, на котором находится желающий войти.

Уязвимость в протоколе обмена ключами позволяет узнать закрытый ключ для открытия двери, используя снифер Bluetooth LE стоимостью 10 долларов США.

Главная проблема состоит в том, что в замках KeyWe не предусмотрено обновление прошивки, а потому устранить уязвимость будет очень сложно.

Обнаружена новая уязвимость процессоров Intel, получившая название Plundervolt. Проблема проявляется в том, что из-за пониженного напряжения процессора технология Secure Enclave становится уязвимой к атакам.

Используя интерфейс для настройки напряжения и частоты процессора из операционной системы, можно изменить данные внутри SGX (Software Guard Extensions), что приведёт к ошибкам. После того как данные покинут защищённую область, потенциальный атакующий сможет восстановить ключи шифрования или создать бреши в защищённом программном обеспечении.

Ошибка затрагивает десктопные, серверные и мобильные процессоры:

  • Intel Core 6, 7, 8, 9 и 10 поколения,
  • Intel Xeon Processor E3 v5 и v6,
  • Intel Xeon Processor E-2100 и E-2200.

В камерах видеонаблюдения Amazon Blink XT2 обнаружено 7 опасных уязвимостей, эксплуатация которых позволяет злоумышленникам дистанционно получить полный контроль над устройствами.

Уязвимость внедрения команд CVE-2019-3984 связана с механизмом обновления модуля синхронизации. При проверке обновлений устройство сначала получает из интернета скрипт обновления (sm_update), а затем запускает содержимое данного скрипта без какой-либо очистки. Cкрипт обновления удалённо передает информацию напрямую функции os.execute() без подтверждения. Злоумышленник может осуществить атаку «человек посередине» через отравление кэша DNS или взлома, чтобы изменить содержимое данного скрипта.

Уязвимость CVE-2019-3989 связана с некорректной проверкой входных данных в функции get_network (). Вызвав переполнение буфера, злоумышленник может удаленно выполнить код с правами суперпользователя.

Остальные обнаруженные уязвимости также связаны с отсутствием проверки пользовательских данных, передаваемых скриптам, что также позволяет использовать их для повышения привилегий и выполнения команд с правами root.

Вредоносное ПО

Авторы шифровальщика Snatch используют перезагрузку компьютеров своих жертв в безопасном режиме — Safe Mode, чтобы обойти защитные механизмы и запустить процесс шифрования файлов.

Они используют тот факт, что большинство антивирусных решений не работают в безопасном режиме Windows.

Вымогатель использует ключ реестра Windows, чтобы запланировать запуск в Safe Mode.
Шифровальщик не атакует обычных пользователей, направляя удар на крупные компании, общественные или правительственные организации.

Проникнув в сеть, операторы Snatch несколько дней или недель изучают цель, получают доступ к контроллеру домена, чтобы распространить вредоноса на максимально возможное количество компьютеров. Для этого используются известные пентестерские инструменты: Cobalt Strike, Advanced Port Scanner, Process Hacker, IObit Uninstaller, PowerTool и PsExec. Подозрения у защитных механизмов и антивирусов эти легитимные решения, как правило, не вызывают.

Инциденты

10 декабря в одной из социальных сетей были опубликованы данные 15 млн дебетовых карт, выданных банками Ирана.

Утечка затронула клиентов трех иранских банков, что в общей сложности составило пятую часть всего населения Ирана. Это крупнейшее банковское мошенничество в истории Ирана.

Министр информации и телекоммуникаций Ирана Мохаммад Джавад Азари Джахроми заявил, утечка произошла по вине недовольного подрядчика, имевшего доступ к данным и опубликовавшего их с целью вымогательства, и заверил, что банковские системы взломаны не были, однако ИБ-эксперты не согласны с ним.

В открытом доступе обнаружена база, содержащая более терабайта незащищенных пользовательских данных, хешированных паролей и корпоративных документов. Утечка коснулась нескольких крупных компаний, включая GE, Xerox, Nasdaq и Dunkin’.

Причиной инцидента стали неправильные настройки облачного хранилища Amazon. Контейнер с данными представлял собой внутреннюю базу платформы, с которой работают заказчики iPR Software. Ее содержимое включало:

  • 477 тыс. контактов СМИ,
  • более 35 тыс. хешированных паролей,
  • резервные копии баз MongoDB,
  • администраторские учётные данные,
    корпоративные документы и прочие файлы.

Кроме того в хранилище обнаружились данные для доступа к сторонним сервисам, включая учетную запись iPR Software в Twitter и некий ключ Google API.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






11 декабря, 17:10

«Это не ваш номер»

Проверьте, на кого оформлен ваш мобильный номер. Даже если пользуетесь им уже много лет.


Ольга Лимонова
автор


Андрей Жаркевич
редактор


источник

Я собралась перейти со своим номером к другому оператору сотовой связи, но получила отказ. В службе поддержки меня спросили, на кого оформлен номер. Я назвала свою фамилию, а мне ответили, что она не совпадает с фамилией владельца номера.

Такой ответ стал не просто неприятным сюрпризом. То, что мой номер оформлен на постороннего человека, означало, у меня серьёзные проблемы: ведь к этому номеру привязана вся моя жизнь.

В этой статье я расскажу, как так случилось, в чём опасность и что делать в подобной ситуации.

1. Покупка SIM-карты

Я оформляла свой номер четыре года назад в передвижном магазине в Москве. Брендированный фургон оператора стоял прямо у метро Люблино. Сотрудники в нём были в фирменной одежде, поэтому даже мысли не возникло, что я делаю что-то не так, тем более что покупка была оформлена по всем правилам: у меня попросили предъявить паспорт, оформили договор в двух экземплярах, я заплатила деньги и получила на руки SIM-карту с новым номером.

Активация прошла без малейших сложностей, как и дальнейшее использование номера: я несколько раз переключала тарифы и получала консультации на горячей линии.

2. Смена оператора

За четыре года номер прочно вошёл в мою жизнь: к нему были привязаны мессенджеры, учётные записи в соцсетях, и интернет-банках, почта и прочие милые сердцу вещи, требующие подтверждения по СМС для большей безопасности. Разумеется, переходя к другому оператору, я планировала сохранить номер, чтобы не менять разом все накопившиеся привязки.

Чтобы перенести номер к другому оператору, нужно подать заявление на сайте или в салоне связи нового оператора и получить новую сим-карту. После этого операторы уже без участия абонента сверят данные владельца номера и проверят отсутствие блокировок и задолженностей. Если всё хорошо, процесс завершится успешно. Если же какие-то данные отличаются, перевод номера останавливается до решения проблемы. Здесь возможны два варианта:

  1. Ошибка в паспортных данных. Эта проблема устраняется относительно быстро. Достаточно предъявить паспорт для корректировки сведений у операторов.
  2. Не совпадает владелец. Это значит, что SIM-карта не принадлежит вам, и вы не можете поменять оператора.

С каким типом ошибки я столкнулась, мне сообщили в службе поддержки оператора. Моя SIM-карта оказалась оформлена на другого человека. Сотрудник поддержки сказал, что для решения вопроса нужно написать заявление в ближайшем отделении оператора. Посмотреть, на которого оформлен номер, можно в мобильном приложении оператора.

Установив приложение, я выясняю, что мой номер оформлен на некую Ниязову Ферузу Очаловну. Очаровательно. Сомнений не осталось: я стала жертвой мошенников.

В чём опасность?

Я хотела сохранить свой номер, потому что к нему привязана моя социальная и финансовая жизнь, моя цифровая безопасность. Но что могут сделать мошенники?

Вариант 1. Заблокировать номер. Меньшее из бед, но очень неприятно неожиданно потерять возможность зайти в свой онлайн-банк по СМС. Дискомфорт и беготня с выяснением обстоятельств обеспечены на пару дней точно. Тем более что многие банки меняют номер телефона только при личном визите в офис.

Вариант 2. Прийти в любой салон оператора, сообщить, что потеряли SIM-карту, предъявить свой паспорт и совершенно бесплатно получить новую SIM-карту за тем же номером. Вместе с SIM-картой они получат возможность перехватить весь мой поток конфиденциальных СМС-кодов. Лакомый кусочек для любого мошенника.

В подобных ситуациях сотовые операторы не несут никакой ответственности, а значит нужно позаботиться о себе.

3. Решение проблемы

В абонентском отделе оператора сообщаю продавцу-консультанту о случившемся. Мне выдают два бланка и просят заполнить их:

  1. Заявление о рассмотрении вопроса переоформления договора на пользователя. В нём нужно указать паспортные данные и обстоятельства приобретения SIM-карты.
  2. Приложение к заявлению — опросный лист с внушительным списком данных, среди которых:
  • IMEI оборудования, в котором используется SIM карта;
  • ICC ID и PUK sim-карты. Если вы не сохранили коробку от SIM-карты или если она была поддельная, у вас проблемы;
  • дата последнего пополнения баланса;
  • последний набранный номер;
  • три номера, на которые вы звонили чаще всего за прошедший месяц. Если вы не фанат телефонных звонков, поймёте боль алгебраических подсчётов в уме;
  • выходили ли в интернет с этого номера за последние три дня;
  • если за последние полгода вы выезжали за пределы региона, совершали и принимали звонки, укажите в каком месяце это было;
  • кодовое слово;
  • три примера звонка за последние три дня с указанием времени, даты и точного места.

Радуюсь, что вся информация есть и в течение 20 минут заполняю все бланки. Продавец тем временем проверяет документы на SIM-карту и сообщает, что печать в договоре напечатана на принтере. Внимательно изучаю бумажку и убеждаюсь, что это правда.

Отдаю заполненные документы и выясняю, что будет происходить дальше:

  1. Операторы дозваниваются до «настоящего» владельца номера, и он говорит, что номер не его. Это самый простой вариант. Меня проинформируют об этом, и я смогу переоформить свой номер на себя.
  2. Операторы дозваниваются до «настоящего» владельца SIM-карты, и он говорит, что номер его. В этом случае я могу попрощаться с номером. Мне никогда его не вернут и не переоформят, а скорее всего, моментально заблокируют.
  3. Операторы не дозваниваются до «настоящего» владельца SIM-карты. По стандарту на дозвон отводится 2 месяца. Как только время истекло, меня проинформируют, что предыдущий владелец не откликнулся, и я смогу переоформить договор на владение своим номером. Вариант неплохой, но времени жалко. К сожалению, это мой вариант и чаще всего выпадает именно он.

В разговоре с продавцом я выяснила, что такие ситуации возникают у всех операторов, и это в целом довольно распространённое явление.

«Вроде бы бывают иногда SMS-рассылки с советом проверить свои паспортные данные», — виновато говорит продавец. Но я таких рассылок за четыре года ни разу не получала, либо не обращала на них внимания. И на сайтах операторов почему-то нет упоминаний о подобных ситуациях.

Три шага, чтобы защититься

1. Внимательно покупайте SIM-карту

  • Выбирайте стационарные отделения оператора. Передвижные пункты легче подделать, нежели обычные.
  • При оформлении договора на приобретение SIM-карты, убедитесь, что печать на договор ставят при вас и что это не заранее распечатанный бланк (как было в моём случае).
  • Сохраняйте все документы, сопровождающие покупку.

2. Удостоверьтесь, что SIM-карта оформлена на вас

  • Позвоните оператору и попросите проверить владельца номера.
  • Установите мобильное приложение оператора и проверьте в нём ФИО владельца.

3. Чтобы переоформить SIM-карту

  • Обратитесь в салон сотового оператора.
  • Возьмите с собой документы на SIM-карту, телефон и паспорт.
О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






Ctrl + ↓ Ранее