Służba Bezpieczeństwa Ukrainy (SBU), we współpracy z polskim kontrwywiadem, FBI oraz służbami z Niemiec i innych krajów UE, zneutralizowała szeroko zakrojoną kampanię szpiegowską grupy APT28 (Fancy Bear). Hakerzy powiązani z rosyjskim wywiadem wojskowym GRU atakowali cele na Ukrainie oraz w państwach partnerskich.

Metoda działania: Atak przez routery Cyberprzestępcy wykorzystywali podatność (prawdopodobnie CVE-2023-50224) w routerach Wi-Fi firmy TP-Link. Infekując tysiące urządzeń biurowych i domowych, GRU przejmowało kontrolę nad ruchem sieciowym. Pozwalało to na kradzież haseł, e-maili i innych wrażliwych danych należących do żołnierzy, urzędników oraz przedstawicieli sektora zbrojeniowego.

Efekty operacji W wyniku skoordynowanych działań zablokowano ponad 100 serwerów i odzyskano kontrolę nad setkami urządzeń. Eksperci przypominają: kluczowym elementem ochrony przed takimi atakami są regularne aktualizacje oprogramowania lub wymiana sprzętu, który nie posiada już wsparcia producenta.

Dlaczego wygląd strony to za mało?

Phishing to wciąż najbardziej rozpowszechniona forma cyberoszustwa. Socjotechnika sprawa, że trafiamy na stronę, gdzie oszuści wyłudzają od nas cenne informacje. Pamiętajmy, że w dzisiejszych czasach praktycznie każdy, kto posiada podstawowe umiejętności techniczne, może stworzyć stronę do złudzenia przypominającą tę, którą dobrze znamy. Fałszywe strony mogą mieć skopiowany każdy element wizualny – logo, kolory, układ graficzny. Wszystko to sprawia, że nie jesteśmy w stanie odróżnić ich od oryginału.

Współczesny phishing to już nie tylko ordynarne oszustwo. Często wystarczy jedno kliknięcie w link z sensacyjnego posta w mediach społecznościowych albo w odnośnik z SMS-a lub e-maila aby trafić na dokładną kopię znanego serwisu.

Jak więc stwierdzić, na jakiej stronie naprawdę się znaleźliśmy?

Skoro nie możemy polegać na wyglądzie strony, to co nam pozostaje? Jedynym wiarygodnym źródłem informacji jest adres widoczny w pasku przeglądarki. To właśnie w nazwie domeny kryje się odpowiedź na pytanie, gdzie rzeczywiście jesteśmy. Jednak rozpoznanie domeny w adresie URL wcale nie jest proste – cyberprzestępcy używają coraz bardziej wyrafinowanych sztuczek, żeby nas zmylić.

Przykłady wprowadzających w błąd adresów

Przyjrzyjmy się dwóm rzeczywistym przykładom. Na pierwszy rzut oka wyglądają jak adresy znanych serwisów:

• Przykład 1: https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/
• Przykład 2: https://allegrolokalnie.pl-oferta5815015105198474.cfd/oferta/laptop-gamingowy-lenovo-ryzen-5/qRnGOMfpKOeBBs7bre

Wydaje się, że pierwszy adres prowadzi do Booking.com, a drugi do Allegro Lokalnie, prawda? Nic bardziej mylnego! Żaden z nich nie należy do oryginalnych serwisów.

Jak poprawnie przeanalizować taki adres

Żeby poprawnie przeanalizować adres strony, należy wykonać następujące kluczowe kroki:

Krok 1: Wyizoluj domenę

Znajdź pierwszy ukośnik (/) po schemacie „http://” lub „https://”. Wszystko między „://” a tym ukośnikiem to nazwa hosta (domena).

Krok 2: Uważaj na homoglify – znaki podobne do typowych symboli

W pierwszym przykładzie znak „ん” tylko udaje ukośnik i tyldę, ale jest zupełnie innym znakiem – takie podstawienia mają zmylić nasz wzrok.

Krok 3: Czytaj domenę od prawej do lewej

Rozbij domenę na części po kropkach i analizuj od prawej do lewej:

• Najbardziej wysunięty segment to rozszerzenie domeny najwyższego poziomu (TLD), np. .com, .pl, .cfd
• Niektóre rozszerzenia są złożone, np. .waw.pl, .com.pl, .org.pl
• Główna domena składa się z rozszerzenia oraz etykiety bezpośrednio je poprzedzającej
• Wszystko na lewo to subdomeny lub wstawki, które nie wskazują na przynależność do rzeczywistej marki

Zastosowanie tej analizy pozwala ujawnić prawdę. Po przejściu powyższych kroków odkrywamy:

1. Prawdziwą domenę w pierwszym adresie: www-account-booking.com (a nie booking.com!)
2. Prawdziwą domenę w drugim adresie: pl-oferta5815015105198474.cfd (a nie allegrolokalnie.pl!)

Jak widać, poprawna analiza adresu URL wcale nie jest łatwa i wymaga uwagi oraz znajomości podstawowych zasad budowy adresów internetowych.

Funkcje bezpieczeństwa przeglądarek: Twoja pierwsza linia obrony

Ochrona w przeglądarkach na komputerze

Nowoczesne przeglądarki zawierają funkcje bezpieczeństwa pomagające użytkownikom identyfikować rzeczywiste domeny. Firefox wyróżnia się podświetlaniem głównej domeny.

Podczas przeglądania naszych przykładów w Firefoxie, widzimy w pasku adresu:

Przeglądarka wyraźnie podświetla www-account-booking.com dla pierwszego adresu oraz pl-oferta5815015105198474.cfd w drugim adresie.

To wizualne rozróżnienie natychmiast ujawnia, że te strony nie mają żadnego związku z oryginalnymi markami.

Chrome i inne przeglądarki również oferują podświetlanie domen. Zazwyczaj jednak podświetlają całą domenę wraz z subdomenami, co może utrudnić wykrycie oszustwa. Dodatkowo niższy kontrast kolorów w Chrome może sprawić, że podświetlenie będzie mniej zauważalne dla użytkowników. Dlatego liczy się Wasza uważność!

Kwestie przeglądarek mobilnych

Biorąc pod uwagę mniejszy rozmiar ekranu na urządzeniach mobilnych, możemy się zastanawiać, jak te długie, zwodnicze adresy URL wyglądają na smartfonach. Na szczęście większość przeglądarek mobilnych implementuje inteligentne przewijanie, które automatycznie ustawia pasek adresu tak, aby wyświetlić koniec domeny — najważniejszą część do weryfikacji.

Firefox na urządzeniach mobilnych na przykład dba o to, żeby rzeczywista domena pozostała widoczna, przewijając adres tak, aby pokazać:

• …www-account-booking.com/… dla pierwszego przykładu
• …erta5815015105198474.cfd/… dla drugiego przykładu

Chrome na Androidzie i Safari na iOS wdrożyły to samo podejście ochronne:

Jak pokazano powyżej, wszystkie popularne przeglądarki na urządzenia mobilne automatycznie przewijają pasek adresu, aby ujawnić rzeczywistą domenę. Zapobiegają w ten sposób przysłonięciu prawdziwej tożsamości strony przez zwodnicze przedrostki wykorzystywane przez oszustów.

To sprytne pozycjonowanie utrzymuje ten sam poziom ochrony na urządzeniach mobilnych. Użytkownicy powinni jednak być świadomi, że niektóre mniej popularne przeglądarki na urządzenia mobilne mogą nie posiadać tej funkcji bezpieczeństwa. W takich przypadkach zwodnicza część adresu może pozostać widoczna, podczas gdy rzeczywista domena będzie ukryta.

Zachowanie czujności w zmieniającym się krajobrazie zagrożeń

Zrozumienie, jak prawidłowo analizować adresy URL i rozpoznawać oszustwa domenowe jest kluczowe dla bezpieczeństwa online. Choć konkretne przykłady użyte w tym artykule zostały już oznaczone i zablokowane przez Google Safe Browsing (chroniąc użytkowników przeglądarek korzystających z tej usługi), podstawowe zasady analizy adresów internetowych pozostają uniwersalne.

Techniki phishingu wciąż ewoluują. Dlatego tak ważna jest znajomość tych podstawowych kwestii – właściwej identyfikacji domen i zrozumienia funkcji bezpieczeństwa przeglądarek. Stanowi to najlepszą obronę przed coraz bardziej wyrafinowanymi próbami oszustwa online.

Pamiętaj: gdy masz wątpliwości co do autentyczności strony internetowej, poświęć chwilę na dokładne sprawdzenie tego, co wyświetla się w pasku adresu przeglądarki. Te kilka sekund analizy może uchronić cię przed staniem się kolejną ofiarą oszustwa internetowego. Podziel się tym artykułem z bliskimi – rozpoznawanie domeny to kompetencja, która w dzisiejszych czasach jest bardzo potrzebna!

Kiedyś captche były bardzo proste – przepisanie kilku cyfr lub liter w odpowiednie pole. Z czasem, wraz z rozwojem botów, stawały się coraz bardziej skomplikowane. W miejsce przepisania prostego ciągu znaków pojawiły się prośby o dopasowanie obrazka do opisu, zaznaczenia odpowiednich fragmentów większej całości, czy inne czynności, które miały być problematyczne dla botów.

W tej sytuacji prośba o skopiowanie jakiegoś ciągu znaków do schowka, a następnie wciskanie różnych – jasno opisanych – kombinacji przycisków na klawiaturze wygląda jak kolejna odsłona „udowadniania, że jesteś człowiekiem”. Prawda? NIEPRAWDA!

To atak, który skłania użytkownika do samodzielnego wklejenia i uruchomienia w systemie złośliwego kodu.

Jak to działa?

Znacie skróty Ctrl+C, Ctrl+V? Z pewnością. Ctrl+C to akcja kopiowania, a Ctrl+V to „wklej”.

Do tego duetu warto dołożyć jeszcze skrót Ctrl+X, czyli wytnij. On także pozwala wkleić później wyciętą zawartość w inne miejsce.

Wspominamy o nich dlatego, że nie każdy je zna. I być może użycie komendy „Wklej” wzbudziłoby więcej wątpliwości, niż wciśnięcie kombinacji klawiszy Ctrl+V.

A teraz wróćmy do scenariusza ataku.

Użytkownik trafia na stronę, która pod pozorem Captchy – widać nawet logo łudząco podobne do logo ReCAPTCHA od Google – prosi go o skopiowanie (lub wciśnięcie kombinacji Ctrl+C) do Schowka pewnego ciągu znaków. W niektórych przypadkach nie trzeba nic kopiować, wystarczy kliknąć przycisk „Zweryfikuj”.

Następnie użytkownik dostaje czytelne instrukcje dalszego postępowania:

1. Wciśnij kombinację klawiszy Win+R.
2. Wciśnij Ctrl+V
3. Wciśnij Enter.

Gratulacje! Właśnie uruchomiłeś swój pierwszy złośliwy kod. – Taki komunikat powinien zobaczyć użytkownik. Zamiast tego, jego komputer staje w tym momencie otworem dla cyberprzestępców.

Co się tak naprawdę stało?

1. Kombinacja klawiszy Win+R otwiera okno „Uruchom”. Jest to program obecny na każdym komputerze z systemem operacyjnym Windows pozwalający na szybkie uruchomienie dowolnej aplikacji lub pliku.

1. Kombinacja klawiszy Ctrl+V wkleja ze Schowka skopiowany wcześniej złośliwy kod w pole programu Uruchom.
2. Wciśnięcie Enter uruchamia szkodliwy kod infekując komputer.

To kolejny atak socjotechniczny. Tym razem oszuści podszywają się pod sytuację, którą użytkownicy znają – Captchę. Captcha z definicji ma być odrobinę „skomplikowana”, zatem zestaw czynności, na których bazuje atak może wydawać się użytkownikowi całkowicie uzasadniony.

Aktualna kampania – GitHub

Najnowsza kampania wykorzystująca ten mechanizm bazuje na pewnej funkcji portalu GitHub. Oszuści wykorzystują „Github issue” służącą do interakcji z autorami repozytorium (i innymi osobami, które zapisały się do otrzymywania takich maili). Utworzenie i dodanie „Issue” automatycznie rozsyła maila z jego treścią. W opisywanym przypadku w treści maila znajduje się link do rzekomego raportu bezpieczeństwa. Dostępu do podlinkowanej strony strzeże opisana powyżej pseudo-captcha. W opisywanej kampanii kod uruchamiany przez użytkownika pobiera oprogramowanie Lumma Stealer służące do wykradania z komputerów poufnych informacji (np. danych uwierzytelniających do różnych usług).

Jak się chronić?

Najważniejsza rada – ŻADNA prawdziwa Captcha nie będzie wymagała opuszczenia strony internetowej. Wszelkie instrukcje wymagające wciskania kombinacji klawiszy i wykonywania działań w systemie powinny natychmiast wzbudzić podejrzenia.

Warto pamiętać, że tak jak większość przestępstw to nie genialne morderstwa i „skoki stulecia”, o których czytamy w książkach i gazetach, a raczej drobne kradzieże i akty wandalizmu. Tak samo cyberprzestępstwa to w zdecydowanej większości ataki socjotechniczne bazujące na emocjach lub nieświadomości użytkowników. Dlatego aby być bezpiecznym w sieci, należy niczym kierowca przed przejściem zachować szczególną ostrożność w obliczu treści, które wydają nam się choć trochę podejrzane.

Wirus Emotet to groźny Trojan bankowy, wykorzystywany w ostatnim czasie w kampaniach ransomware do dystrybucji oprogramowania szyfrującego. Wykorzystuje on szereg mechanizmów utrudniających wykrycie przez oprogramowanie antywirusowe, a jego wachlarz możliwości obejmuje m.in. pobieranie innego złośliwego oprogramowania i wykradanie danych użytkownika. Czyni go to jednym z groźniejszych wirusów, będących aktualnie w użyciu. Po okresie zmniejszonej aktywności ponownie rośnie liczba kampanii z jego udziałem, spośród których wiele wymierzonych jest w cele o charakterze rządowym. We wrześniu eksperci ESET opublikowali szczegółową analizę ataku wymierzonego przeciwko Departamentowi Sprawiedliwości w Quebec. W tym samym czasie swoje ostrzeżenia wystosowały CERTy Francji, Japonii i Nowej Zelandii, a niedługo później dołączyły do nich agencje z Włoch, Holandii oraz firma Microsoft.

Najnowszą organizacją przestrzegającą przed zwiększoną aktywnością wirusa Emotet jest amerykański Departament Bezpieczeństwa Krajowego. Tylko od lipca w amerykańskich instytucjach rządowych doszło do ok. 16 tysięcy incydentów powiązanych z opisywanym zagrożeniem. Do ofiar wysyłane były wiadomości phishingowe, zawierające złośliwe załączniki, często rozsyłane z pomocą przejętych kont wewnątrz domeny danej organizacji.

Polska także zagrożona

Choć ostatnie doniesienia medialne milczą na temat wzmożonej aktywności trojana Emotet w Polsce, warto przypomnieć, że także do ofiar na terenie naszego kraju skierowane były złośliwe wiadomości. Jeszcze w lipcu ostrzegał o tym CERT Polska. Jednak jak zwraca uwagę Beniamin Szczepankiewicz, starszy analityk zagrożeń w ESET, nawet gdyby przestępcy od tamtej pory rzeczywiście stracili zainteresowanie polskimi użytkownikami Internetu, nadal należy zachować wzmożoną czujność.

– W przypadku szeroko zakrojonych kampanii phishingowych często zdarza się, że złośliwe wiadomości trafiają do osób postronnych, których nie było na pierwotnej liście celów cyberprzestępców. Może się tak stać np. na skutek utrzymywania przez zainfekowaną firmę stałego kontaktu mailowego ze swoimi międzynarodowymi partnerami. Z perspektywy ofiary nie ma natomiast znaczenia, czy atak miał charakter celowy, czy przypadkowy, ponieważ wyrządzone przez niego szkody będą dotkliwe– wyjaśnia Beniamin Szczepankiewicz z ESET.

Ekspert zwraca uwagę, że aby chronić się przed zagrożeniem, w większości wypadków powinno się przestrzegać podstawowych zasad bezpieczeństwa. Przede wszystkim nie należy klikać w linki i otwierać załączników w przypadku wiadomości, które z jakiegokolwiek powodu mogą wydawać się podejrzane. Dotyczy to przy tym nie tylko maili od nieznanych nadawców, ale także tych przesyłanych rzekomo wewnątrz organizacji.

Pierwszy krok

Hakerzy dostali się do skrzynek e-mail co najmniej kilku pracowników wymienionych spółek. Dzięki temu byli w stanie przejąć korespondencję z klientami, adresy e-mail, poufne informacje oraz liczne dane osobowe.

Drugi krok

Cała sprawa wyszła na światło dzienne, ponieważ do portalu niebezpiecznik.pl zgłosiły się osoby, które otrzymały złośliwe e-maile, w których treści znajdowały się cytaty z poufnej korespondencji z doradcami bankowymi mFinanse i PKO Leasing S.A.

Złośliwe załączniki w rozsyłanych (rzekomo przez pracowników dwóch spółek) wiadomościach e-mail (w postaci plików Word) umożliwiały połączenie z serwerami, z których pobierany był trojan Emotet. Ten może przejąć kontrolę nad sesją bankowości online ofiary i w konsekwencji okraść ją z jej pieniędzy. Przestępcy mogą też wykradać za jego pomocą inne dane z dysku ofiary (np. treści e-maili i książki kontaktowe) a także szyfrować pliki użytkownika aby potem domagać się okupu za ich odszyfrowanie.

Atak jest diabelnie inteligentny, ponieważ ofiary dostawały wiadomości e-mail z odwołaniami do poprzednich wiadomości. To bardzo mocno  podnosi zaufanie do zawartych w wiadomościach załączników. Waga sprawy, tj. kredyt, leasing i chęć jego pozyskania często zaślepia zdrowy rozsądek do tego stopnia, że ktoś faktycznie może kliknąć w przesłany załącznik. W końcu prośby o wypełnienie formularza, podesłanie “planu spłaty rat” to dokumenty, które każdy otworzy w ramach takiej konwersacji. Przecież rozmawia ze swoim doradcą, którego dane kojarzy.

Dlatego apelujemy – nie klikajcie zbyt pochopnie w przesyłane do Was załączniki, używajcie zawsze aktualnego oprogramowania oraz korzystajcie ze sprawdzonych i skutecznych programów antywirusowych.

The post Klienci oraz partnerzy mFinanse i PKO Leasing padli ofiarą hakerów first appeared on IT SOLUTION.]]> 258 https://itsmm.pl/news/uwaga-na-wiadomosci-e-mail-rzekomo-wysylane-przez-zus/?utm_source=rss&utm_medium=rss&utm_campaign=uwaga-na-wiadomosci-e-mail-rzekomo-wysylane-przez-zus Fri, 13 Sep 2019 12:15:25 +0000 https://itsmm.pl/?p=251 CERT Polska ostrzega przed e-mailami zawierającymi złośliwe oprogramowanie. Sprawa jest poważna, ponieważ oszuści podszywają się pod Zakład Ubezpieczeń Społecznych. Zespół CERT Polska na portalu społecznościowym poinformował, że przestępcy rozsyłają wiadomości, podszywając się pod Zakład Ubezpieczeń Społecznych i nakłaniają do otwarcia załącznika z „wnioskiem składek zdrowotnych”. „Otwarcie załącznika może spowodować zainfekowanie komputera złośliwym oprogramowaniem NetWire, które...

Nic tak nie przyciąga przestępców jak usługa ciesząca się coraz większą popularnością wśród Polaków. Paczkomaty pękają w szwach, a oszuści postanowili to wykorzystać. Jako sposób dotarcia z fałszywym przekazem wybrali wiadomości tekstowe SMS. Tekst wygląda tak:

„Drogi Adresacie, ze wzgledu na wage zamowionego przedmiotu, prosimy o dokonanie doplaty, aby Twoja paczka ruszyla w droge https://kurierinpost.info/oplata924”

Link prowadzi do złośliwego oprogramowania. InPost zaleca wzmożoną uwagę i ostrożność w podawaniu swoich danych lub przy „klikaniu” w podejrzane komunikaty czy wiadomości. Firma podkreśla:

„Informujemy, że InPost NIGDY nie wysyła SMS-ów z informacją o dopłatach, a tym bardziej z linkami zewnętrznymi. Wszelkie informacje na temat rozliczeń pojawiają się wyłącznie w Managerze Paczek lub na fakturze” – czytamy w komunikacie.”

Przewoźnik zapewnia, że stosuje bardzo restrykcyjne przepisy dotyczące ochrony danych osobowych i bezpieczeństwa danych osobowych swoich klientów. Użytkownikom proponuje używanie specjalnej aplikacji, w której można znaleźć m.in. kody odbioru paczek.

My ze swojej strony zalecamy ostrożność podczas otwierania wiadomości od nieznanych osób, a w szczególności klikania w nadesłane linki. Wasze bezpieczeństwo zwiększy z pewnością instalacja oprogramowania antywirusowego, które pomoże uchronić Wasze urządzenia elektroniczne przed atakiem.

Mejl z groźnym załącznikiem może dotyczyć zaległych płatności lub urzędniczych ponagleń. Po otwarciu załącznika na komputerze instaluje się szkodliwe oprogramowanie, które podmienia numery kont w przelewach.

Jak działa złośliwe oprogramowanie? 

Szkodliwe oprogramowanie – trojan, uaktywnia się w momencie gdy chcesz się zalogować do bankowości na komputerze. Swoje właściwe działanie rozpoczyna w momencie, gdy zlecasz przelew. Oprogramowanie podmienia wówczas numer rachunku na rachunek bankowy używany przez przestępców. Na ekranie komputera tego nie widać – zmiana dotyczy informacji, które przeglądarka wysyła do banku. W konsekwencji przelew zmodyfikowany przez trojana wysyłany jest na rachunek przestępców.

Jak się bronić?

•         Nie otwieraj wiadomości nieznanego pochodzenia i dołączonych do nich załączników.
•         Stosuj aktualne oprogramowanie antywirusowe i antyszpiegowskie
•         Uważnie czytaj treści SMS-ów z banku z kodem autoryzującym transakcję.

Super Camera, Zoom Camera, Photo Frame Studio to nazwy kilku z ponad dwudziestu aplikacji do rzekomej edycji zdjęć, dostępnych w sklepie Google Play. Według analizy Lukasa Stefanko, zaraz po zainstalowaniu wspomnianych programów, pojawia się okno, które „potwierdza” poprawne działanie aplikacji. W rzeczywistości za każdym razem, gdy użytkownik odblokowuje urządzenie, wyświetlane są pełnoekranowe reklamy, które obciążają podzespoły telefonu i sprawiają, że twórcy fałszywych programów zarabiają na ich emisji.

Odinstaluj fałszywe aplikacje

Ekspert z ESET radzi odinstalować wskazane aplikacje – w edycji zdjęć raczej nie pomogą. W tym celu należy wejść w telefonie w Ustawienia, następnie w Aplikacje, wybrać nazwę aplikacji i kliknąć Odinstaluj. Dla pewności warto zainstalować i przeskanować telefon aplikacją antywirusową znajdującą się w pamięci smartfonu.

Jak dodaje na Twitterze Lukas Stefanko, firma ESET przekazała stosowne informacje do Google. Niestety fałszywe aplikacje nadal są dostępne w Google Play.