Представляем новости об актуальных технологиях фишинга и других атаках на человека c 28 февраля по 5 марта 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Атаки и уязвимости

В протоколе авторизации OAuth социальной сети Facebook обнаружена уязвимость, эксплуатация которой позволяет злоумышленникам взломать любую учетную запись.

Проблема содержится в функции «Войти через Facebook» («Login with Facebook»), использующей протокол авторизации OAuth 2.0 для обмена токенами между соцсетью и другими сайтами.

Используя уязвимость, киберпреступник может создать вредоносный сайт для перехвата трафика OAuth и похитить токены авторизации, предоставляющие доступ к учетным записям целевых пользователей Facebook.

Видео: эксплуатация уязвимости

Получив токены, злоумышленник получит возможность отправлять сообщения, делать публикации в ленте, изменять параметры учётной записи, удалять сообщения и выполнять другие действия от имени жертвы. Кроме того он может перехватить контроль над другими учетными записями, включая Instagram, Oculus, Netflix, Tinder и Spotify.

SurfingAttack позволяет удалённо контролировать Google Assistant и Apple Siri при помощи неразличимых человеческим ухом ультразвуковых команд.

Атака использует тот факт, что голосовые ассистенты слышат более широкий диапазон частот, чем способен воспроизводить человеческий голос. Из-за этого они могут реагировать на ультразвуковые колебания и распознавать их как голосовые команды. В итоге злоумышленник получает возможность незаметно взаимодействовать с устройствами при помощи голосовых помощников, в том числе перехватывать коды двухфакторной аутентификации и совершать звонки.

Чтобы атаковать смартфон, голосовая команда преобразуется в неразличимую для человечества для слуха полосу частот и передается с использованием пьезоэлектрического преобразователя через столы различных типов, изготовленные из твердых материалов.

В теории такие атаки могут работать на расстоянии до 9 метров, а вместо стола вполне можно воспользоваться, например, алюминиевой пластиной.

Задержан преступник, совершивший серию мошеннических действий с системами онлайн-банкинга:

• Злоумышленник подсаживался к компаниям в заведениях для отдыха, знакомился и втирался в доверие.
• Затем он обращался к одному из членов компании с просьбой дать ему телефон якобы для того, чтобы позвонить.
• Получив мобильное устройство, он с помощью функции восстановления пароля менял в настройках системы онлайн-банкинга номер потерпевшего на свой, после чего SMS от банка приходили уже на его номер.
• Получив конфиденциальные данные жертвы, преступник оформлял кредиты и переводил средства себе.

Сайты

Киберпреступники используют забытые домены Microsoft для фишинга и распространения вредоносов.

Например, домен mybrowser.microsoft.com перенаправляет посетителя на адрес webserver9000.azurewebsites.net, где ему под видом обновления для Edge предлагается скачать шифровальщик-вымогатель.

Причина состоит в том, что у Microsoft остаётся значительное количество забытых поддоменов, управление которыми могут перехватить злоумышленники. Среди них такие узнаваемые ресурсы как microsoft.com, skype.com, visualstudio.com и windows.com. Исследователи выявили более 670 потенциально проблемных адресов.

Вредоносное ПО

Вымогатели семейства Mailto/NetWalker обходят антивирусы, внедряясь в Проводник Windows.

Mailto атакует не только обычных пользователей, но и пытается проникнуть в корпоративные сети, чтобы зашифровать все подключённые устройства. Для внедрения в процесс Проводника вредонос запускает его в режиме отладки, после чего использует специальные отладочные функции (WaitForDebugEvent и т. п.) для внедрения вредоносного кода.

Инциденты

Киберпреступники на протяжении нескольких месяцев похищали информацию из компьютерной сети канцелярии президента Чехии Милоша Земана.

Данные из компьютерной сети передавались на зарубежные IP-адреса. Характер похищенной информации не раскрывается. В настоящее время эксперты Управления по охране частных сведений проводят расследование. Пресс-секретарь президента Чешской Республики Йиржи Овчачек отказался комментировать сложившуюся ситуацию.

Международная юридическая компания Epiq Global стала жертвой вымогательского ПО.

Заражены оказались компьютеры в 80 офисах компании по всему миру. Распоряжением администрации сотрудникам компании запрещено посещать офисы без одобрения руководства. В офисах рекомендуется не подключать устройства к сети и отключать Wi-Fi на своих ноутбуках, не доезжая до парковки возле офисного здания.

Walgreens, одна из крупнейших аптечных сетей в США, допустила утечку личных данных пользователей из-за уязвимости в официальном мобильном приложении. Android-приложение Walgreens насчитывает более 10 млн загрузок в Google Play, а приложение для iOS имеет более 2,5 млн оценок.

По данным компании проблема представляет собой ошибку в функции защищенной передачи сообщений. Из-за уязвимости некоторые пользователи могли получить доступ к личным данным других людей, включая имя и фамилию, данным рецептов на лекарства, номерам магазинов и адресам доставки. Финансовые данные пользователей не пострадали.

Киберпреступники рассылали фишинговые письма о коронавирусе со ссылками на загрузку вредоносного ПО от имени РНПЦ пульмонологии и фтизиатрии Минздрава Беларуси.

• Для рассылки использовались скомпрометированные электронные почтовые ящики, зарегистрированные на хостинге tut.by.
• Сообщения были подготовлены с применением приемов социальной инженерии — в них содержалась не соответствующая действительности информация, касающаяся распространения коронавируса в Беларуси.
• После открытия вредоносных ссылок на компьютер пользователя под видом pdf-файла скачивался скрипт, запускающий вредоносный файл.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 21 по 27 февраля 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Атаки и уязвимости

В Wi-Fi чипах Broadcom и Cypress обнаружена опасная уязвимость CVE-2019-15126, эксплуатация которой позволяет находящимся поблизости злоумышленникам перехватывать и дешифровать некоторые беспроводные сетевые пакеты, передаваемые уязвимым устройством.

Уязвимость получила название Kr00k. Для проведения атаки с её использованием не нужно даже подключаться к атакуемой беспроводной сети. Уязвимость присутствует в устройствах, использующих протоколы WPA2-Personal и WPA2-Enterprise с шифрованием AES-CCMP и состоит в следующем:

• Когда устройство отключается от беспроводной сети, Wi-Fi-чип очищает сессионный ключ в памяти, обнуляя его значение.
• Несмотря на отключение от сети чип продолжает передавать оставшиеся в буфере данные в открытом виде.
• Если злоумышленник, находящийся рядом с устройством будет многократно отправлять пакеты деаутентификации, он сможет перехватить передаваемые в открытом виде данные, среди которых могут быть DNS, ARP, ICMP, HTTP, TCP и TLS-пакеты.

Таким образом, с помощью Kr00k можно провести атаку «человек посередине» или узнать пароль от беспроводной сети.

Среди уязвимых устройств — Amazon Echo и Kindle, Apple iPhone, iPad и MacBook, Google Nexus, Samsung Galaxy, Raspberry Pi 3, Xiaomi RedMi.

Киберпреступники массово эксплуатируют уязвимость в системе интеграции платёжной системы PayPal с Google Pay для кражи денежных средств.

Точный характер уязвимости на сегодняшний день неизвестен, однако по мнению ИБ-экспертов преступники нашли способ несанкционированно получать данные виртуальных карт, которые PayPal выпускает, когда учётную запись в этой платёжной системе связывают с учётной записью Google Pay.

I think we can disclose it by now.

Issue: PayPal allows contactless payments via Google Pay. If you have set it up, you can read the card details of a virtual credit card from the mobile, if the mobiles device is enabled. No auth.

— iblue (@iblueconnection) February 24, 2020

«PayPal разрешает бесконтактные платежи через Google Pay. Когда они настроены, данные виртуальной кредитной карты можно считать с телефона без аутентификации. Это значит, что любой человек, находящийся рядом с вашим телефоном, имеет доступ к виртуальной кредитной карте, привязанной к вашему счету PayPal. И нет никаких ограничений по количеству или правомочности платежей.»

Маркус Фенске, ИБ-эксперт

Мобильная безопасность

Стандартная функциональность буфера обмена iOS может быть использована вредоносными приложениями для несанкционированного сбора конфиденциальной информации.

Доступ к буферу обмена iOS могут получить любые приложения, для этого не требуется специальных разрешений. В результате пользователь может выдать программам свое точное местоположение, просто скопировав фото в буфер обмена. Любое приложение, которым он воспользуется после этой операции, сможет получить информацию о местоположении, сохраненную в свойствах фотографии незаметно и без согласия пользователя.

Умные устройства

В умных пылесосах Trifo Ironpie M6 обнаружены уязвимости, позволяющие получить удалённый доступ к устройствам и следить за их владельцами.

Пылесосы Ironpie M6 подключаются к интернету через Wi-Fi. Пользователи могут управлять ими удаленно с помощью Android-приложения и через встроенную камеру следить за процессом уборки. Однако ошибка в механизме обновления позволяет злоумышленнику отследить и подменить запрос таким образом, чтобы приложение получило вредоносное обновление.

Ironpie M6 подключается к серверам с помощью незашифрованного соединения, которое становится зашифрованным только при установлении соединения. Это позволяет злоумышленникам вычислить идентификатор любого клиента и получить контроль над пылесосом. При этом злоумышленнику становится доступна камера пылесоса, через которую он может следить за происходящим в доме жертвы.

Вредоносное ПО

Инфостилер Raccoon умеет похищать данные из 60 приложений, включая браузеры, почтовые клиенты и криповалютные кошельки и проникает на компьютеры жертв с помощью фишинговых писем или при помощи другого вредоносного ПО, уже проникшего в систему.

Для каждого целевого приложения Raccoon использует одну и ту же схему:

1. Файлы приложения, содержащие конфиденциальные данные, копируются во временную папку:

2. Из них извлекается и расшифровывается информация

3. Полученный результат записывается в отдельный файл и отправляется на управляющий сервер.

4. Для извлечения и расшифровки учетных данных Raccoon использует специальные библиотеки DLL, которые загружается с сервера, указанного в конфигурационном JSON-файле.

Инциденты

Программный инженер Microsoft похищал цифровые подарочные карты компании и перепродавал их в интернете.

Для мошенничества он использовал рабочую учетную запись и похищал небольшие суммы. Когда сумма перевалила за несколько миллионов долларов, мошенник стал использовать тестовые учетные записи других сотрудников.
Чтобы скрыть преступления, инженер использовал биткоин-миксеры — сервисы анонимизации, затрудняющие отслеживание транзакций. За семь месяцев незаконной деятельности мошенник перевел на свой банковский счет 2,8 млн долларов США.

Неизвестные злоумышленники рассылают письма в банки и финансовые организации Австралии, угрожая устроить DDoS-атаки, если те не заплатят им выкуп в криптовалюте.

Кампания против австралийских организаций стала частью глобальной вымогательской акции, в рамках которой сообщения с угрозами получали банки в Сингапуре и Южной Африке, телекоммуникационные компании в Турции, поставщики интернет-услуг в Южной Африке, а также игорные сайты в Юго-Восточной Азии. В большинстве случаев угрозы атакующих выполнены не были, однако, зафиксировано несколько инцидентов, в ходи которых цели злоумышленников действительно подвергались DDoS-атакам.

Компания Clearview AI, занимающаяся разработкой системы распознавания лиц, стала жертвой утечки данных.

Приложение Clearview AI собирает изображения с веб-сайтов и социальных сетей и пытается идентифицировать человека по фотографиям в базе данных, содержащей три миллиарда образцов. По утверждению руководства Clearview AI точность идентификации составляет 99,6%.

Среди скомпрометированных клиентов компании — правоохранительные органы и ФБР. Похищенная информация содержит сведения о количестве поданных ими запросов и зарегистрированных учетных записей. По заявлению ClearView база данных с 3 млрд изображений в результате взлома не пострадала.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 14 по 20 февраля 2020 года

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Участники палестинского исламистского движения ХАМАС пытались взломать мобильные телефоны израильских солдат, флиртуя с ними в соцсетях и мессенджерах.

1. Под видом молодых девушек они знакомились с солдатами в Facebook, Instagram, WhatsApp и Telegram. Фотографии и персональные данные женщин были взяты с реальных аккаунтов.
2. «Девушки» отправляли солдатам текстовые и голосовые сообщения и предлагали загрузить по ссылке приложение для обмена фотографиями по типу Snapchat.
3. На самом деле ссылки вели на три вредоносных приложения — Catch & See, ZatuApp и GrixyApp
4. Данное вредоносное ПО было связано с серверами ХАМАСа, и по крайней мере один из профилей злоумышленников в социальных сетях уже использовался в предыдущих вредоносных кампаниях.
5. После установки приложения ХАМАС получал доступ к хранящейся на смартфоне информации, а само устройство начинало использоваться для прослушки.

Обнаружена масштабная фишинговая кампания в Instagram, авторы которой заманивают своих жертв обещанием единовременной выплаты всем российским гражданам.

1. Злоумышленники ссылаются на несуществующий указ Президента РФ № 1122В от 11 февраля 2020 года о социальных контрактах, якобы предполагающих единовременную выплату на начало собственного дело каждому россиянину.
2. Фото и видеоролики распространяются с помощью таргетированной рекламы через поддельные аккаунты федеральных телеканалов: Первый канал, телеканал Россия-1 и Россия-24.
3. Все записи сопровождаются поддельными комментариями от пользователей, якобы получивших указанную выплату.
4. Для получения выплаты нужно перейти на сайт мошенников, ввести ФИО и дату рождения.
5. Сайт покажет случайную сумму, как правило, превышающую 100 тыс. рублей.
6. Чтобы получить деньги, нужно оплатить пошлину за регистрацию заявления, размер которой не превышает 300 рублей.
7. Страница оплаты содержит поля для ввода номера телефона, ФИО и данных банковской карты, включая CVC-код.
8. После оплаты пользователь теряет перечисленную сумму, а все данные карты передаются злоумышленникам.

Разработана технология, позволяющая определять номера посетителей, зашедших на сайт с мобильных устройств. Вскоре после визита на такие сайты людей начинают атаковать звонками с предложениями о покупке.

Узнать номер тех, кто заходит с мобильных устройств, технически несложно. На сайте устанавливается специальный код, который позволяет определить номер телефона и воздействовать на потребителя не через контекстную рекламу, а через непосредственное общение. Ведь если вы заходите на сайт, например, застройщика, это значит, что вы интересуетесь покупкой недвижимости, и обращение будет целевым и более эффективным.

Владимир Ульянов, руководитель аналитического центра Zecurion

Атаки и уязвимости

В компьютерных системах морских судов и нефтяных платформ обнаружены критические уязвимости.

Некоторые из уязвимостей позволяют получить контроль над установками для глубоководного бурения. Другие позволяют управлять кораблями, давая возможность остановить двигатель, запустить систему динамического позиционирования, изменить положение руля, испортить навигацию и просто вывести из строя компьютерные системы.

В зонах без Wi-Fi на кораблях обнаружены тайные точки доступа Wi-Fi и компьютеры с двойными подключением к сети. Многие из устройств имели пароли по умолчанию типа admin/admin или blank/blank. На компьютерах были прикреплены листочки с паролями для критически важных элементов, в том числе для бортового спутникового блока. В результате
любой пассажир корабля мог авторизоваться системе и бесплатно воспользоваться платным интернетом или вовсе отключить его.

Новый метод атаки IMP4GT эксплуатирует уязвимость в 4G LTE и позволяет выдать себя за легитимного пользователя мобильной сети.

В момент подключения к мобильной сети запускается процедура аутентификации абонента. В LTE-сетях взаимная аутентификация выполняется в плоскости контроля, однако на уровне пользователя проверка целостности данных не производится. Этим и может воспользоваться злоумышленник для манипуляции и перенаправления IP-пакетов.

Атака IMP4GT (IMPersonation Attacks in 4G NeTworks) использует недостающую защиту целостности и расширяют с её помощью механизм атаки на третьем уровне, что позволяет выдавать себя за любого пользователя сети.

Описаны два сценария атаки — с использованием входящего и исходящего каналов. В первом случае атакующий притворяется легитимным устройством в сети и может использовать любой сайт под видом жертвы. При этом весь генерируемый злоумышленником трафик будет связан с IP-адресом жертвы.
Во втором случае атакующий может установить TCP/IP соединение с телефоном и обойти любой механизм межсетевого экрана LTE-сети.

Периферийные устройства с неподписанной прошивкой позволяют использовать отсутствие проверки легитимности прошивки для установки вредоносных версий ПО.

Отсутствие проверки подписи прошивки позволяет злоумышленник внедрить в устройство вредоносный или уязвимый образ, и он будет принят как доверенный. Подобный принцип использовали в своих атаках киберпреступники Equation Group — они компрометировали прошивки на жёстких дисках. Таким образом, входной точкой для атаки могут стать веб-камеры, точки доступа или принтеры.

Тысячи поддоменов, доменов Microsoft могут быть взломаны и использованы для атак на пользователей, сотрудников самой компании или распространения спама.

https://t.co/XAJfbsE4ht

This kind of stuff, this is what you get by putting subdomain takeover out of scope, and don't fix critical subdomain takeover from good peoples, rarely thanks them and generally not respond to them. Great job, @msftsecresponse

— Michel Gaschet (@Michel_Gaschet) February 18, 2020

Проблема заключается в том, что многие поддомены Microsoft имеют ошибки в конфигурации записей DNS. Самая распространенная проблема: забытая запись DNS, указывающая на несуществующий ресурс.

Прежде эти ошибки не создавали сложностей, хотя в теории злоумышленник мог захватить один из таких поддоменов и разместить на нем фишинговые страницы для сбора учетных данных сотрудников Microsoft, деловых партнеров компании или даже конечных пользователей. Однако недавно на четырех легитимных поддоменах Microsoft, включая portal.ds.microsoft.com, perfect10.microsoft.com, ies.global.microsoft.com и blog-ambassadors.microsoft.com появилась реклама индонезийских казино.

Инциденты

Преступники используют изменения в правилах Google AdSense для шантажа владельцев сайтов, использующих рекламный сервис поискового гиганта.

Неизвестные присылают владельцам письмо, в котором угрожают с помощью ботов сгенерировать фальшивые просмотры баннеров и спровоцировать блокировку сайта в рекламном сервисе. Но они готовы оставить адресата в покое за выкуп, размер которого в некоторых случаях может составлять до 5 тыс. долларов США в биткоинах.

В результате фишинговой атаки инфраструктура американского оператора газопровода оказалась заражена шифровальщиком-вымогателем. Произошел сбой в работе компрессорной установки, и работа компании оказалась парализована на два дня.

Злоумышленники использовали целевой фишинг для получения первоначального доступа к сети организации, а затем и доступа к её оперативной сети, в том числе к рабочим станциям для управления критически важным заводским оборудованием и другими производственными процессами.

Проникнув в оперативную сеть, преступники запустили вымогательское ПО, которое зашифровало данные компании, и потребовали выкуп. Была нарушена работа человеко-машинных интерфейсов и хранилищ архивных данных. Операторы лишись возможности нормально взаимодействовать с оборудованием, включая упомянутую компрессорную установку.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.