169 заметок с тегом

фишинг

Ctrl + ↑ Позднее

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 6 по 12 марта 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты

Обнаружена новая многоступенчатая мошенническая схема, в ходе которой злоумышленники ведут своих жертв с ресурса на ресурс, похищая персональную информацию, данные банковских карт и деньги.

Получившая название «Кроличья нора» схема выглядит следующим образом:

1. На первом этапе «Кролика» мошенники в качестве приманки используют фальшивые аккаунты звёзд шоу-бизнеса, блогеров или популярных телеведущих, от имени которых объявляют конкурсы-раздачи, акции или опросы с большим призовым фондом и дорогими подарками.

2. Баннеры и контекстную рекламу с изображением знаменитостей в соцсетях таргетировали под интересы конкретного пользователя. Для перехода используется персональная мошенническая ссылка, которая генерируется под конкретного клиента на базе его местоположения, IP-адреса, модели устройства, user-агента. Эта ссылка срабатывает только один раз.

3. После перехода по ссылке на ресурс-опросник жертву просят ответить на несложные вопросы и поделиться своей удачей в мессенджерах или соцсетях.

4. На сайте с опросом у жертвы запрашивают адрес электронной почты, который в будущем используется для рассылки фишинговых писем и вредоносного ПО.

5. Всем жертвам, которые прошли первый этап, на почту или в личные сообщения в мессенджерах приходят приглашения принять участие в ещё одном грандиозном опросе или викторине с ещё более крупным вознаграждением.

6. На новых ресурсах уже нет упоминаний известных брендов или звёзд. Для получения награды после прохождения опроса нужно перечислить некоторую сумму — «пошлину» , «налог» или «тестовый платёж». Разумеется, жертва ничего не получает, зато теряет деньги и персональные данные.

Разделение атаки на две части и несколько ресурсов позволяет «Кроличьей норе» генерировать больше трафика благодаря использованию звёздных имён и брендов, но при этом усложнить поиск и блокировку ресурсов, на которых происходит кража денег.

Обнаружена мошенническая кампания по распространению инфостилера AZORult, эксплуатирующая тему эпидемии коронавируса COVID-19.

  1. Авторы кампании создали клон сайта университета Джона Хопкинса на домене Corona-Virus-Map[.]com. На клоне в реальном времени отображаются данные о заражении коронавирусом, полученные с оригинального ресурса.
  2. Для более оперативного получения обновлений посетителям предлагается загрузить приложение, не требующее установки.
  3. Если пользователь загрузит и запустит приложение, в дополнение к карте распространения опасного заболевания он заразит свой компьютер вредоносным ПО AZORult, которое используется для кражи истории просмотров, куки-файлов, логинов и паролей, криптовалютных кошельков, данных банковских карт и многого другого. Он также может загружать на заражённый компьютер дополнительные вредоносные программы.

Злоумышленники продолжают эксплуатировать тему коронавируса для проведения атак на пользователей и бизнес.

Например, ориентированный на русскоязычную аудиторию фишинговый сайт vaccinecovid-19[.]com предлагал приобрести тест на заражение коронавирусом всего за 19 тыс. рублей.

С января 2020 года было зарегистрировано более 4000 доменов, связанных с коронавирусом. Из них не менее 3% были признаны вредоносными, а ещё 5% — подозрительными. Вероятность того, что домены, связанные с коронавирусами, будут использоваться для преступной деятельности, на 50% выше, чем у других доменов, зарегистрированных за тот же период, а также выше, чем у сезонных тем, подобных Дню Святого Валентина.

Атаки и уязвимости

В процессорах Intel обнаружен новый класс уязвимостей CVE-2020-0551, получивший название LVI (Load Value Injection). LVI позволяет злоумышленнику похитить ключи шифрования и пароли из защищённой памяти, а затем перехватить контроль над системой.

В отличие от уязвимостей Meltdown, Foreshadow, ZombieLoad, RIDL и Fallout при эксплуатации LVI злоумышленник внедряет данные через скрытые буферы процессора в программу-жертву для взлома и получения конфиденциальной информации.

Видео: демонстрация атаки LVI

Перехват потока управления в ходе LVI-атаки позволяет злоумышленнику обманным путём заставить жертву выполнить определённую функцию. Это работает на всех уровнях безопасности от пользовательского режима до режима ядра, от гостевого режима до суперпользователя и, возможно, даже от пользовательского режима до анклава.

Представленные Intel исправления микрокода процессоров для новой атаки значительно замедляют работу: в некоторых случаях производительность снижалась в 19 раз.

Разработаны два новых метода атак на процессоры AMD, которые влияют на безопасность обрабатываемых данных и могут привести к хищению конфиденциальной информации.

Упрощённая схема работы предсказателя переходов процессоров AMD

  • Атака Collide+Probe позволяет атакующему контролировать доступ жертвы к памяти устройства, не зная физических адресов или разделяемой памяти, во время разделения времени в логическом ядре процессора.
  • Атака Load+Reload использует предсказатель переходов для получения высокоточных следов доступа жертвы к памяти на том же физическом ядре.

Новые методы предполагают проведение программных атак, для которых необходима возможность выполнить код с низкими привилегиями. Атака Collide+Probe также может быть исполнена удалённо через браузер без взаимодействия с пользователем.

В ходе тестирования удалось запустить вредоносный процесс, который использовал скрытый канал извлечения данных для хищения информации из другого процесса. Скорость передачи составила 588,9 Кб/сек.

Один из экспертов, обнаруживших атаку, признал в своём Twitter, что найденные уязвимости значительно менее опасны по сравнению с Meltdown и Zombieload в процессорах Intel, позволяющих «сливать тонны данных».

В протоколе Microsoft Server Message Block (SMB) обнаружена уязвимость CVE-2020-0796, позволяющая неавторизованному злоумышленнику удалённо выполнить произвольный код на сервере.

Проблема представляет собой уязвимость переполнения буфера в SMB-серверах Microsoft и связана с ошибкой, возникающей при обработке уязвимым ПО сжатого пакета вредоносных данных. CVE-2020-0796 делает системы уязвимыми к червеобразным атакам, подобным тем, которые использовали WannaCry и NotPetya, перемещавшиеся от одного пользователя к другому.

Уязвимости подвержена только версия протокола SMBv3, используемая в последних сборках Windows 10: Windows 10 v1903, Windows10 v1909, Windows Server v1903 и Windows Server v1909.

О сроках исправления уязвимости на данный момент не сообщается. В качестве временной меры Microsoft предлагает отключить компрессию SMBv3 и заблокировать TCP-порт 445.

Вредоносное ПО

В мошеннических кампаниях против России, Японии и Южной Кореи используется написанное 10 лет назад вредоносное ПО.

Атака начинается с фишинговых писем с приглашениями на различные мероприятия. Во вложении содержится вредоносный RTF-документ research.doc, устанавливающий на компьютер жертвы файл winhelp.wll — загрузчик Bisonal, созданного в 2010 году троянского ПО для удалённого доступа к заражённой системе. Документы на русском посвящены исследованиям, на корейском и японском — правительственным организациям.

Инциденты

Велосипедиста из Флориды обвинили в краже, которую он не совершал, на основании данных геолокации его фитнес-трекера.

Велосипедист никогда не бывал в ограбленном доме, однако регулярно проезжал мимо. Функция геолокации приложения RunKeeper зафиксировала это и направила сведения в Google, которая передала их полиции в соответствии с предъявленным ордером geofence на выдачу сведений об устройствах, находившихся рядом с местом преступления. Жертва ограбления, женщина, 97 лет, лишилась имущества на сумму около 2400 долларов США, включая обручальное кольцо и другие драгоценности, и ничего не подозревавший велосипедист был в растерянности из-за того, что полиция посчитала его причастным к краже со взломом.

В конечном счёте подозрения с мужчины были сняты, однако для этого ему пришлось нанять адвоката, который помог ему разобраться в произошедшем.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






дайджестфишинг

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 28 февраля по 5 марта 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Атаки и уязвимости

В протоколе авторизации OAuth социальной сети Facebook обнаружена уязвимость, эксплуатация которой позволяет злоумышленникам взломать любую учетную запись.

Проблема содержится в функции «Войти через Facebook» («Login with Facebook»), использующей протокол авторизации OAuth 2.0 для обмена токенами между соцсетью и другими сайтами.

Используя уязвимость, киберпреступник может создать вредоносный сайт для перехвата трафика OAuth и похитить токены авторизации, предоставляющие доступ к учетным записям целевых пользователей Facebook.

Видео: эксплуатация уязвимости

Получив токены, злоумышленник получит возможность отправлять сообщения, делать публикации в ленте, изменять параметры учётной записи, удалять сообщения и выполнять другие действия от имени жертвы. Кроме того он может перехватить контроль над другими учетными записями, включая Instagram, Oculus, Netflix, Tinder и Spotify.

SurfingAttack позволяет удалённо контролировать Google Assistant и Apple Siri при помощи неразличимых человеческим ухом ультразвуковых команд.

Атака использует тот факт, что голосовые ассистенты слышат более широкий диапазон частот, чем способен воспроизводить человеческий голос. Из-за этого они могут реагировать на ультразвуковые колебания и распознавать их как голосовые команды. В итоге злоумышленник получает возможность незаметно взаимодействовать с устройствами при помощи голосовых помощников, в том числе перехватывать коды двухфакторной аутентификации и совершать звонки.

Чтобы атаковать смартфон, голосовая команда преобразуется в неразличимую для человечества для слуха полосу частот и передается с использованием пьезоэлектрического преобразователя через столы различных типов, изготовленные из твердых материалов.

В теории такие атаки могут работать на расстоянии до 9 метров, а вместо стола вполне можно воспользоваться, например, алюминиевой пластиной.

Задержан преступник, совершивший серию мошеннических действий с системами онлайн-банкинга:

  • Злоумышленник подсаживался к компаниям в заведениях для отдыха, знакомился и втирался в доверие.
  • Затем он обращался к одному из членов компании с просьбой дать ему телефон якобы для того, чтобы позвонить.
  • Получив мобильное устройство, он с помощью функции восстановления пароля менял в настройках системы онлайн-банкинга номер потерпевшего на свой, после чего SMS от банка приходили уже на его номер.
  • Получив конфиденциальные данные жертвы, преступник оформлял кредиты и переводил средства себе.

Сайты

Киберпреступники используют забытые домены Microsoft для фишинга и распространения вредоносов.

Например, домен mybrowser.microsoft.com перенаправляет посетителя на адрес webserver9000.azurewebsites.net, где ему под видом обновления для Edge предлагается скачать шифровальщик-вымогатель.

Причина состоит в том, что у Microsoft остаётся значительное количество забытых поддоменов, управление которыми могут перехватить злоумышленники. Среди них такие узнаваемые ресурсы как microsoft.com, skype.com, visualstudio.com и windows.com. Исследователи выявили более 670 потенциально проблемных адресов.

Вредоносное ПО

Вымогатели семейства Mailto/NetWalker обходят антивирусы, внедряясь в Проводник Windows.

Mailto атакует не только обычных пользователей, но и пытается проникнуть в корпоративные сети, чтобы зашифровать все подключённые устройства. Для внедрения в процесс Проводника вредонос запускает его в режиме отладки, после чего использует специальные отладочные функции (WaitForDebugEvent и т. п.) для внедрения вредоносного кода.

Инциденты

Киберпреступники на протяжении нескольких месяцев похищали информацию из компьютерной сети канцелярии президента Чехии Милоша Земана.

Данные из компьютерной сети передавались на зарубежные IP-адреса. Характер похищенной информации не раскрывается. В настоящее время эксперты Управления по охране частных сведений проводят расследование. Пресс-секретарь президента Чешской Республики Йиржи Овчачек отказался комментировать сложившуюся ситуацию.

Международная юридическая компания Epiq Global стала жертвой вымогательского ПО.

Заражены оказались компьютеры в 80 офисах компании по всему миру. Распоряжением администрации сотрудникам компании запрещено посещать офисы без одобрения руководства. В офисах рекомендуется не подключать устройства к сети и отключать Wi-Fi на своих ноутбуках, не доезжая до парковки возле офисного здания.

Walgreens, одна из крупнейших аптечных сетей в США, допустила утечку личных данных пользователей из-за уязвимости в официальном мобильном приложении. Android-приложение Walgreens насчитывает более 10 млн загрузок в Google Play, а приложение для iOS имеет более 2,5 млн оценок.

По данным компании проблема представляет собой ошибку в функции защищенной передачи сообщений. Из-за уязвимости некоторые пользователи могли получить доступ к личным данным других людей, включая имя и фамилию, данным рецептов на лекарства, номерам магазинов и адресам доставки. Финансовые данные пользователей не пострадали.

Киберпреступники рассылали фишинговые письма о коронавирусе со ссылками на загрузку вредоносного ПО от имени РНПЦ пульмонологии и фтизиатрии Минздрава Беларуси.

  • Для рассылки использовались скомпрометированные электронные почтовые ящики, зарегистрированные на хостинге tut.by.
  • Сообщения были подготовлены с применением приемов социальной инженерии — в них содержалась не соответствующая действительности информация, касающаяся распространения коронавируса в Беларуси.
  • После открытия вредоносных ссылок на компьютер пользователя под видом pdf-файла скачивался скрипт, запускающий вредоносный файл.
О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






дайджестфишинг

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 21 по 27 февраля 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Атаки и уязвимости

В Wi-Fi чипах Broadcom и Cypress обнаружена опасная уязвимость CVE-2019-15126, эксплуатация которой позволяет находящимся поблизости злоумышленникам перехватывать и дешифровать некоторые беспроводные сетевые пакеты, передаваемые уязвимым устройством.

Уязвимость получила название Kr00k. Для проведения атаки с её использованием не нужно даже подключаться к атакуемой беспроводной сети. Уязвимость присутствует в устройствах, использующих протоколы WPA2-Personal и WPA2-Enterprise с шифрованием AES-CCMP и состоит в следующем:

  • Когда устройство отключается от беспроводной сети, Wi-Fi-чип очищает сессионный ключ в памяти, обнуляя его значение.
  • Несмотря на отключение от сети чип продолжает передавать оставшиеся в буфере данные в открытом виде.
  • Если злоумышленник, находящийся рядом с устройством будет многократно отправлять пакеты деаутентификации, он сможет перехватить передаваемые в открытом виде данные, среди которых могут быть DNS, ARP, ICMP, HTTP, TCP и TLS-пакеты.

Таким образом, с помощью Kr00k можно провести атаку «человек посередине» или узнать пароль от беспроводной сети.

Среди уязвимых устройств — Amazon Echo и Kindle, Apple iPhone, iPad и MacBook, Google Nexus, Samsung Galaxy, Raspberry Pi 3, Xiaomi RedMi.

Киберпреступники массово эксплуатируют уязвимость в системе интеграции платёжной системы PayPal с Google Pay для кражи денежных средств.

Точный характер уязвимости на сегодняшний день неизвестен, однако по мнению ИБ-экспертов преступники нашли способ несанкционированно получать данные виртуальных карт, которые PayPal выпускает, когда учётную запись в этой платёжной системе связывают с учётной записью Google Pay.

«PayPal разрешает бесконтактные платежи через Google Pay. Когда они настроены, данные виртуальной кредитной карты можно считать с телефона без аутентификации. Это значит, что любой человек, находящийся рядом с вашим телефоном, имеет доступ к виртуальной кредитной карте, привязанной к вашему счету PayPal. И нет никаких ограничений по количеству или правомочности платежей.»

Маркус Фенске, ИБ-эксперт

Мобильная безопасность

Стандартная функциональность буфера обмена iOS может быть использована вредоносными приложениями для несанкционированного сбора конфиденциальной информации.

Доступ к буферу обмена iOS могут получить любые приложения, для этого не требуется специальных разрешений. В результате пользователь может выдать программам свое точное местоположение, просто скопировав фото в буфер обмена. Любое приложение, которым он воспользуется после этой операции, сможет получить информацию о местоположении, сохраненную в свойствах фотографии незаметно и без согласия пользователя.

Умные устройства

В умных пылесосах Trifo Ironpie M6 обнаружены уязвимости, позволяющие получить удалённый доступ к устройствам и следить за их владельцами.

Пылесосы Ironpie M6 подключаются к интернету через Wi-Fi. Пользователи могут управлять ими удаленно с помощью Android-приложения и через встроенную камеру следить за процессом уборки. Однако ошибка в механизме обновления позволяет злоумышленнику отследить и подменить запрос таким образом, чтобы приложение получило вредоносное обновление.

Ironpie M6 подключается к серверам с помощью незашифрованного соединения, которое становится зашифрованным только при установлении соединения. Это позволяет злоумышленникам вычислить идентификатор любого клиента и получить контроль над пылесосом. При этом злоумышленнику становится доступна камера пылесоса, через которую он может следить за происходящим в доме жертвы.

Вредоносное ПО

Инфостилер Raccoon умеет похищать данные из 60 приложений, включая браузеры, почтовые клиенты и криповалютные кошельки и проникает на компьютеры жертв с помощью фишинговых писем или при помощи другого вредоносного ПО, уже проникшего в систему.

Для каждого целевого приложения Raccoon использует одну и ту же схему:

1. Файлы приложения, содержащие конфиденциальные данные, копируются во временную папку:

2. Из них извлекается и расшифровывается информация

3. Полученный результат записывается в отдельный файл и отправляется на управляющий сервер.

4. Для извлечения и расшифровки учетных данных Raccoon использует специальные библиотеки DLL, которые загружается с сервера, указанного в конфигурационном JSON-файле.

Инциденты

Программный инженер Microsoft похищал цифровые подарочные карты компании и перепродавал их в интернете.

Для мошенничества он использовал рабочую учетную запись и похищал небольшие суммы. Когда сумма перевалила за несколько миллионов долларов, мошенник стал использовать тестовые учетные записи других сотрудников.
Чтобы скрыть преступления, инженер использовал биткоин-миксеры — сервисы анонимизации, затрудняющие отслеживание транзакций. За семь месяцев незаконной деятельности мошенник перевел на свой банковский счет 2,8 млн долларов США.

Неизвестные злоумышленники рассылают письма в банки и финансовые организации Австралии, угрожая устроить DDoS-атаки, если те не заплатят им выкуп в криптовалюте.

Кампания против австралийских организаций стала частью глобальной вымогательской акции, в рамках которой сообщения с угрозами получали банки в Сингапуре и Южной Африке, телекоммуникационные компании в Турции, поставщики интернет-услуг в Южной Африке, а также игорные сайты в Юго-Восточной Азии. В большинстве случаев угрозы атакующих выполнены не были, однако, зафиксировано несколько инцидентов, в ходи которых цели злоумышленников действительно подвергались DDoS-атакам.

Компания Clearview AI, занимающаяся разработкой системы распознавания лиц, стала жертвой утечки данных.

Приложение Clearview AI собирает изображения с веб-сайтов и социальных сетей и пытается идентифицировать человека по фотографиям в базе данных, содержащей три миллиарда образцов. По утверждению руководства Clearview AI точность идентификации составляет 99,6%.

Среди скомпрометированных клиентов компании — правоохранительные органы и ФБР. Похищенная информация содержит сведения о количестве поданных ими запросов и зарегистрированных учетных записей. По заявлению ClearView база данных с 3 млрд изображений в результате взлома не пострадала.

О компании «Антифишинг»
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.






дайджестфишинг
Ctrl + ↓ Ранее