Ctrl + ↑ Позднее

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 1 по 7 мая 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Кампании

Microsoft предупреждает о брендированной под COVID-19 вредоносной кампании, которая использует в качестве вредоносной нагрузки файлы образов дисков ISO и IMG.

В образах дисков содержится троян удалённого доступа Remcos, который даёт атакующему полный контроль над устройством жертвы.

Вредоносный файл замаскирован под документ в формате PDF, в названии которого содержится название смертельной инфекции. Сотрудник организации, пытаясь открыть такой «документ», установит в систему троян и предоставит преступникам полный доступ к своему компьютеру.

Умные устройства

Систему предупреждения столкновения самолетов в воздухе (Traffic Collision Avoidance System, TCAS) можно обмануть с помощью USB-ключа для цифрового видеовещания стоимостью 10 долларов США и транспондера для связи с самолетом.

Система TCAS может работать в двух режимах:

  • Режим S, в котором в эфир передаётся уникальный 24-битный адрес воздушного судна вместе с высотой и данными о местоположении, полученными с GPS,
  • Режим C, в котором передается только 4-значный код транспондера и информация о высоте, а дальность и направление рассчитывает устройство TCAS на основе показаний.

Пакеты данных отправляются на частоте 1090 МГц в манчестерском кодировании, которое легко декодировать и создать систему, имитирующую настоящие самолёты. Передавая в эфир фальшивые данные в режиме C, злоумышленник может заставить самолет под управлением автопилота менять высоту в заданном направлении.

Модернизация бортовых компьютеров автомобилей Tesla создаёт риск компрометации конфиденциальных данных их бывших владельцев.

Выяснилось, что автопроизводитель распродаёт старые компьютеры, не очищая сохранённую на них информацию, среди которой присутствуют

  • учетные данные сервисов Google и Spotify
  • домашний и рабочий адрес владельца,
  • все сохраненные пароли Wi-Fi,
  • записи календаря с телефона,
  • списки вызовов и адресные книги с сопряженных телефонов,
  • сохраненные cookie-файлы сеансов Netflix и других сервисов

Серьёзной проблемой является то, что пароли учётных записей хранятся в памяти бортового компьютера в открытом виде, поэтому преступник может воспользоваться этими сведениями для получения контроля над всей цифровой жизнью жертвы.

Атаки и уязвимости

Атака POWER-SUPPLaY позволяет похитить данные с физически изолированной системы через блок питания.

Управляя электрическим током в конденсаторах блока питания, атакующий может заставить их генерировать звуковые волны. Управляя частотой переменного тока, можно изменять звук, издаваемый «поющим» конденсатором, и таким образом закодировать информацию для передачи.

Видео: демонстрация атаки

Для приёма звуковых сигналов конденсатора можно использовать расположенный неподалёку смартфон, который декодирует сигнал и передаст перехваченные данные злоумышленнику.

Особенность атаки POWER-SUPPLaY состоит в том, что вредоносное ПО не требует никаких особых привилегий. Атака работает на ПК, серверах, встроенных системах и IoT-устройствах без радиоэлементов. Недостатки метода — небольшая скорость передачи, ограничение по расстоянию (максимум 6 м), а также зависимость от уровня фонового шума.

Во фреймворке SaltStack Salt обнаружены две уязвимости, позволяющие злоумышленникам выполнять произвольный код на удалённых серверах в дата-центрах и облачных средах.

  • CVE-2020-11651 представляет собой уязвимость обхода аутентификации, связанную с непреднамеренным раскрытием функционала неавторизованным сетевым клиентам
  • CVE-2020-11652 — уязвимость обхода каталога из-за недостаточной проверки недоверенных входных данных, которая позволяет получить доступ ко всей файловой системе сервера.

Обе уязвимости получили максимальные 10 баллов по системе CVSS и уже эксплуатируются киберпреступниками для проведения реальных атак. В частности, с их использованием были взломаны

  1. Сервера инфраструктуры LineageOS, мобильной операционной системы на базе Android, используемой для смартфонов, планшетов и телевизионных приставок.
  2. Удостоверяющий центр Digicert.
  3. Блог-платформа Ghost, на которой после взлома был установлен майнер криптовалюты.
  4. Поисковый сервис Algolia, на серверах которого преступники также установили криптовалютный майнер.

Инциденты

Доменный регистратор и хостер GoDaddy сообщил об утечке данных, которая затронула 28 тыс. клиентов компании.

Согласно уведомлению, опубликованному GoDaddy, неавторизованный злоумышленник получил доступ к учётным данным некоторых клиентов и использовал из для доступа к серверам по SSH. Представители компании заявляют, что не обнаружили доказательств того, что в результате инцидента были изменены или удалены файлы клиентов, однако о просмотрах и скачиваниях файлов ­никакой информации не приводится.

Индийская технологическая компания Jio раскрыла конфиденциальные данные людей, проходивших тестирование на наличие у них коронавирусной инфекции.

В марте 2020 года Jio выпустила сервис, используя который, пользователи могли самостоятельно выявлять у себя симптомы COVID-19. Однако в начале мая база данных с результатами тестирования была обнаружена в открытом доступе.

Данные содержали сведения о пользователе, его местоположение, информацию о его устройстве и контактах, а также ответы на вопросы о самочувствии.

По утверждению компании база была предназначена для мониторинга производительности сервиса и попала в общий доступ случайно.

Неизвестный хакер заявил о похищении 500 Гб данных из закрытого GitHub-репозитория Microsoft.

Сначала хакер планировал продать информацию, но затем передумал и решил опубликовать её бесплатно. В качестве подтверждения факта взлома он предлагает 1 Гб данных на одном из хакерских форумов для зарегистрированных пользователей. Представленные хакером файлы, каталоги и образцы репозиториев содержат в основном образцы кода, тестовые проекты, eBook и другие общие данные.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






Представляем новости об актуальных технологиях фишинга и других атаках на человека c 24 по 30 апреля 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты

Мошенническая схема с использованием Facebook и Paypal приносила злоумышленникам около 2 млн долларов США в месяц.

В операции может участвовать две или три жертвы. Для проведения хищения злоумышленникам требуются:

  • взломанные учетные записи пользователей Facebook;
  • PayPal-кошелек (свой или взломанный);
  • «одноразовый» банковский счет.

Схема с двумя жертвами

  1. Злоумышленник со взломанного аккаунта просит у 5-6 друзей помощи с переводом денег. Он предлагает перевести им деньги на их счёт PayPal, чтобы после зачисления суммы они отправили их ему на счёт банковским переводом. В качестве объяснения обычно сообщают о проблемах с выводом денег с PayPal.
  2. Злоумышленник переводит жертве на PayPal согласованную сумму денег.
  3. Жертва получает перевод и отправляет злоумышленнику банковский перевод.
  4. Через один-два дня преступник отменяет перевод, в результате чего жертва лишается своих денег. При этом претензии она предъявляет владельцу взломанной учётной записи.
  5. Деньги со счёта выводятся в криптовалюту или обналичиваются
  6. Жертва лишается денег и обвиняет в этом владельца взломанной учётной записи в Facebook.

Схема с тремя жертвами

Выглядит аналогично, но вместо PayPal-счёта злоумышленника используется взломанный счёт реального человека. Когда владелец счёта узнаёт о несанкционированном переводе средств, он отменяет его и получает обвинение в мошенничестве вместе с владельцем взломанного Facebook-аккаунта.

Киберпреступники атакуют сотрудников на «удалёнке» с помощью фишинговых писем.

В письмах, брендированных под уведомления от Skype, содержится напоминание о непрочитанных сообщениях, ожидающих действий пользователя.

Чтобы прочитать сообщения, нужно перейти по ссылке и ввести логин и пароль. Вместо настоящей страницы жертва попадает на мошенническую, и если он вводит свои учётные данные, они попадают к преступникам.

Киберпреступники используют фишинг для хищения учётных данных пользователей сервиса Zoom.

  1. Жертва получает письмо с уведомлением о видеоконференции с руководством HR-департамента, которая начнётся через несколько минут.
  2. В письме имеется кнопка, которую нужно нажать, чтобы присоединиться к встрече.
  3. Если жертва нажмёт на кнопку, её перенаправят на фишинговый сайт, где нужно ввести свои учётные данные Zoom или залогиниться через Google.

Сайт мошенников полностью повторяет оригинальную страницу логина Zoom, но если ввести данные, они попадут к преступникам.

Мошенники атакуют владельцев доменов, срок действия которых недавно закончился, чтобы выманить у них деньги на «продление».

Ссылка на оплату ведёт не на сайт reg.ru, а на мошеннический ресурс:

После перехода по ссылке открывается сайт, имитирующий интерфейс reg.ru, но работает там только форма для ввода и логина и пароля, все остальные элементы — просто картинка.

Если ввести любой логин и пароль, открывается форма оплаты за «продление домена». В отличие от предыдущего сайта форма — настоящая. Платёж в 400 рублей получат мошенники.

Атаки и уязвимости

Уязвимость платформы Microsoft Teams позволяла скомпрометировать учетную запись пользователя с помощью картинки в формате GIF.

Источник проблемы был в том, как Teams работает с токенами доступа к изображениям, которые получает пользователь. Для аутентификации пользователя в платформе используются токены authtoken и skypetoken. Authtoken позволяет пользователю загружать изображения в доменах Teams и Skype и генерирует skypetoken, который используется для аутентификации на сервере, обрабатывающем команды от клиента, например, чтение или отправку сообщений.

Перехвативший оба токена злоумышленник может выполнять вызовы Teams API и получить полный контроль над учётной записью:

  • читать и отправлять сообщения,
  • создавать группы,
  • добавлять и удалять пользователей,
  • менять разрешения.

Для перехвата достаточно было заманить жертву на подконтрольный злоумышленнику поддомен домена teams.microsoft.com с помощью GIF-файла. Тогда браузер жертвы отправит хакеру authtoken, после получения которого он сможет создать skypetoken.

Уязвимость в iOS приводит к тому, что сообщение с некоторыми символами на языке синдхи вызывает сбой в работе устройств Apple.

Вредоносная последовательность символов может «завесить» устройство даже если пользователь получает сообщение в мессенджерах или социальных сетях. Проблема затрагивает все текущие версии iOS 13 и iPadOS 13. Защититься от подобной атаки невозможно, однако если устройство уже получило «текстовую бомбу», для прекращения постоянных перезагрузок достаточно отправить на него любое другое сообщение.

Инциденты

Уязвимость сайта GDPR.eu позволяла извлечь логин и пароль для базы данных MySQL.

Пикантность ситуации состоит в том, что GDPR.eu принадлежит компании Proton Technologies AG, создавшей защищенную почтовую службу ProtonMail, и содержит советы по соблюдению требований «Общего регламента защиты данных» (The General Data Protection Regulation, GDPR).

Обнаруженная на на сайте папка .git находилась в общем доступе и содержала копию wp-config.php — файла конфигурации WordPress, в котором помимо прочего находятся настройки подключения к серверу MySQL. Используя их, можно было переписать содержимое сайта или полностью удалить всю информацию.

На киберпреступном форуме были выставлены на продажу данные россиян, оформлявших кредиты в микрофинансовых организациях в 2017-2019 годах.

Как заявляет продавец, база содержит сведения о 12 млн человек. В бесплатном «пробнике», который предлагается для ознакомления — данные 1,8 тыс. клиентов МФО: ФИО, паспортные данные, даты рождения, номера телефонов, электронные адреса, регионы проживания, номера электронных кошельков и суммы займа.
В каждой записи также имеется реферальная ссылка на сайт, с которого пришёл пользователь. Большинство людей из «пробника» попали в базу с финансового маркетплейса «Юником24», который предлагает подобрать и оформить кредитные продукты.

Уязвимость нулевого дня в эстонском сервисе электронной почты Mail.ee привела к взлому учетных записи ряда высокопоставленных лиц страны.

Атака проводилась с помощью электронных писем с вредоносным кодом, который выполнялся, когда получатель открывал письмо на портале Mail.ee. Достаточно было, чтобы жертва открыла письмо, никаких других действий с ее стороны не требовалось, а содержащийся в нём вредоносный код настраивал автоматическую переадресацию всех писем жертвы атакующему.

Чтобы убедить жертву открыть письмо, использовались самые разные мошеннические приёмы — от блокировки учётной записи в университетской библиотеке или оповещения о подозрительной активности до писем на украинском языке.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






Представляем новости об актуальных технологиях фишинга и других атаках на человека c 17 по 23 апреля 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Атаки и уязвимости

В iOS обнаружены уязвимости, эксплуатация которых позволяет получить доступ к устройству, просто отправив жертве вредоносное письмо.

Обе уязвимости находятся в библиотеке приложения «Почта». Для проведения атаки злоумышленникам достаточно отправить жертве вредоносное письмо. Как только Apple Mail получит почту в фоновом режиме или пользователь откроет Apple Mail, вредоносный код сработает.

У пользователя нет возможности узнать, что он стал жертвой атаки, поскольку злоумышленники удаляют вредоносные письма сразу после успешной атаки и получения удаленного доступа к устройству.

Gmail и другие почтовые клиенты атаке не подвержены, поэтому пока Apple не выпустила исправление для ошибки, рекомендуется отключить Mail в настройках устройства.

Ещё одна уязвимость в iOS получившая название Insomnia, предоставляла злоумышленникам неограниченный доступ к устройству.

Для заражения достаточно было посетить вредоносный сайт, код которого эксплуатировал уязвимость в движке WebKit, который используют мобильные браузеры Apple Safari, Google Chrome и Microsoft Edge. Получив доступ к устройству, злоумышленники похищали незашифрованные сообщения из различных мессенджеров и электронной почты, фотографии, списки контактов и данные о местоположении.

Insomnia работает против iOS версий 12.3, 12.3.1 и 12.3.2. Компания Apple исправила уязвимость в июле 2019 года в iOS 12.4.

В реализации Bluetooth-протокола в Android 8 и 9 обнаружена уязвимость BlueFrag (CVE-2020-0022). которая позволяет взломать устройство незаметно для пользователя.

Для атаки используется тот факт, что в большинстве реализаций Bluetooth устройства отвечают на Bluetooth-пинг. Но даже если устройство не даёт ответа, оно всё-таки принимает соединения, адресованные ему. Таким образом, получив адрес устройства и используя утилиту l2ping, которая устанавливает L2CAP-соединение, достаточно отправить эхо-запросы c фрагментированными пакетами большого размера, чтобы вызвать переполнение буфера и выполнить код, причём владелец устройства ничего не заметит.

Организаторы фишинговой кампании Sawfish против пользователей GitHub научились перехватывать коды двухфакторной аутентификации.

  1. В качестве цели выбираются активные пользователи из крупных технологических компаний.
  2. Атака начинается с фишингового письма с фальшивым предупреждением о подозрительной активности учётной записи или о странных изменениях в репозитории.
  3. Письма обычно приходят с легитимных доменов, которые были взломаны. В списке присутствуют: git-hub[.]co, githb[.]co, glthub[.]net, glthubs[.]com и corp-github[.]com.
  4. Чтобы разобраться с ситуацией, нужно перейти по ссылке в письме.
  5. Ссылка ведёт на фальшивую страницу входа в GitHub, которая собирает учётные данные жертвы и отправляет их злоумышленникам.
  6. Страница перехватывает коды двухфакторной аутентификации, созданные с помощью TOTP-приложения (time-based one-time password). Пользователи, использующие аппаратные ключи безопасности, для атаки неуязвимы.

Киберпреступники используют фишинговые письма на тему пандемии COVID-19 для проведения целевых атак на государственный и энергетический секторы Азербайджана.

Письма содержат вложения в формате Word, при открытии которых возникают различные сложности. Например, текст документа может быть размыт, а для того, чтобы прочитать его, необходимо разрешить макросы. Когда жертва делает это, на компьютер загружается и устанавливается программа для удалённого управления компьютером PoetRAT, которая даёт оператору полный контроль над системой, позволяя копировать конфиденциальные документы, перехватывать нажатия клавиш, пароли и снимки веб-камеры.

Хроники киберпандемии

Инфостилер Agent Tesla использует целевой фишинг для атак на нефтегазовые предприятия.

Злоумышленники отправляют жертвам электронные письма от имени логистических компаний и инженерных подрядчиков. После успешного заражения Agent Tesla собирает информацию о системе, похищает данные из буфера обмена, отключает антивирусы решения и «убивает» другие процессы, которые могут представлять для него угрозу.

В одном из случаев злоумышленники отправляли жертвам фишинговые письма от имени египетской государственной нефтяной компании ENPPI (Engineering for Petroleum and Process Industries).

В другом случае фишеры имитировали компанию-перевозчика, использовав в письме достоверную информацию о танкере и профессиональный жаргон.

Блокировщик CoronaLocker распространяется вод видом программы для взлома Wi-Fi.

После загрузки и запуска файла winhacker.exe на компьютер извлекается множество VBS-файлов, обеспечивающих целый набор раздражающих функций CoronaLocker. Например, файл speakwh.vbs использует синтез речи для постоянного повторения слова «coronavirus». После установки компьютер перезагружается и блокировщик сообщает, что «вы заражены коронавирусом»:

Инциденты

В результате целевой атаки с компрометацией деловой переписки (BEC) три британские инвестиционные компании перевели мошенникам 1,3 миллиона долларов США.

В процессе атаки преступники направляли руководителям компаний письма с доменов, имена которых похожи на домены нескольких перспективных стартапов, а затем, используя социальную инженерию, убедили их перевести деньги на свои счета.

Злоумышленники успели получить лишь 700 тыс. долларов США, перевод остальных средств был заблокирован.

На продажу в Даркнете выставлена база с данными тысяч сотрудников банка UniCredit.

Тестовый фрагмент, предлагаемый неизвестным румынским хакером «для ознакомления» за 1000 долларов США, содержит сведения о 3000 сотрудников. За все 150 тыс. записей преступник требует 10 тыс. долларов США.

Каждая запись включает имена, адреса электронной почты, номера телефонов и зашифрованные пароли.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






Ctrl + ↓ Ранее