Bezpieczeństwo

To nie jest mail od DHL!

5 października 2017

To nie jest mail od DHL!

O phishingu nigdy za mało tekstów. Tym bardziej, że – jak mawiał poeta – „Dziś prawdziwych wirusów już nieee maaa!”, czy jakoś tak. Dzisiaj, co warto powtarzać do znudzenia, malware instalujemy sobie sami, a skuteczny cyberprzestępca ma być przede wszystkim socjotechnikiem. Dlatego dziś na tapetę trafia phishing, udający mail od DHL.

W ostatnich dniach CERT Orange Polska zaobserwował znaczący wzrost informacji o kolejnej kampanii phishingowej. Tym razem ofiary dostają „mail od DHL”, sugerujący – to ostatnio częsta sytuacja – oczekującą na nas domniemaną paczkę. W rubryce „nadawca” widnieje nazwa DHL Parcel (oczywiście adresat zespoofowany), zaś tytuł wiadomości brzmi „You Have a Package Coming! (Newegg Inc.)”. Nie nastawiajcie się jednak na tę konkretną nazwę, bowiem w innych kampaniach może być używana inna. Treść to informacja o paczce, terminie, w którym jest oczekiwana i oczywiście link do „obecnego statusu przesyłki”. Klikając w link instalujemy tzw. trojan droppera, otwierającego przestępcom dostęp do naszego komputera i możliwość instalacji kolejnych złośliwych modułów. O ile zawarty w mailu link jako zainfekowany oznaczają na chwilę publikacji 4 z 64 silników antywirusowych, to już plik, który w następnym etapie ściągamy, flaguje aż 36/60!

Edukujcie mniej świadomych!

Zapamiętajcie sami, pokażcie bliskim, wyedukujcie swoich mniej świadomych bliskich i/lub znajomych. Nie klikamy w linki w niezapowiedzianych mailach, jeśli spodziewamy się przesyłki, wchodzimy na stronę kuriera samemu wpisując adres i w odpowiednim miejscu podajemy numer listu przewozowego. O, ale przecież w tym mailu nie ma numeru listu! No właśnie…

Uważajcie. Jak zawsze. Choć akurat w tym przypadku, jeśli korzystacie z sieci Orange Polska, Wasz komputer dzięki CyberTarczy nie połączy się z serwerem przestępców.

Udostępnij: To nie jest mail od DHL!

Bezpieczeństwo

Cyberzagrożeń nigdy nie zabraknie (+analiza malware Orcus)

21 września 2017

Cyberzagrożeń nigdy nie zabraknie (+analiza malware Orcus)

Muszę się Wam przyznać, że po ostatnich dwóch tygodniach mam jakieś takie katastroficzne wizje. Generalnie jest źle, wszyscy nas śledzą, każdy chce zainfekować nasze komputery i nas wykorzystać w celach niecnych. Aha, a nasze dzieci w necie wpadają tylko na złych ludzi i fałszywe wiadomości. Taki jest efekt chodzenia na branżowe konferencje.

Zacznę od końca, czyli 11. Międzynarodowej Konferencji „Bezpieczeństwo Dzieci i Młodzieży w internecie”. Jeśli miałbym po niej wyciągnąć krótki jednozdaniowy wniosek, byłby to fakt, iż nauczyciele jako największe z cyberzagrożeń wciąż oceniają przemoc. Ja jednak bardziej zgadzam się z opiniami prof. dr hab. Jacka Pyżalskiego i Łukasza Wojtasika z Fundacji Dajemy Dzieciom Siłę. Obaj Panowie twierdzą, że rozdzielanie przemocy online i offline kompletnie mija się z celem. Jedno i drugie nie funkcjonuje oddzielnie, co więcej (to opinia, wynikająca z badań prof. Pyżalskiego) zdarzają się sytuacje, gdy ofiara w świecie online wchodząc do sieci, staje się sprawcą! Bo – to już moje wnioski – przecież tam jest anonimowość (lub przynajmniej jej pozory), bo nie widzę mojej ofiary twarzą w twarz, bo po prostu nie dostanę od niej w łeb (a przynajmniej nie od razu). We wtorek i środę obejrzałem sporo ciekawych prelekcji, odniosłem jednak wrażenie (jako stało gość konferencji, jej wielokrotny prelegent), że od kilku lat kręcimy się wokół własnego ogona, a dzieci i młodzież uciekają.

Bój się cyberzagrożeń

Gdybym miał wybrać prezentację, która najbardziej wbiła mi się w głowę tydzień wcześniej, podczas Security Case Study 2017 byłby to chyba występ Oleksija Jasińskiego z ukraińskiego ISSP Labs, traktujący o serii cyberataków na Ukrainę. Nie tylko dlatego, że Oleksij mówił po rosyjsku, a jego w pewnym sensie współ-prelegent tłumaczył to na angielski. Ba, nierzadko rozbawiał grupę starszych uczestników konferencji, wyłapujących szereg skrótów i uproszczeń. Przede wszystkim dlatego, że zdał nam wszystkim sprawę ze skali, poziomu ryzyk i nieuchronności ich wystąpienia. Wiecie, w sensie, że jeśli ktoś się na nas uprze, to nie ma siły, i tak da radę. Nie bez kozery „szef szefa mojego szefa”, Tomasz Matuła, odpowiedzialny w Orange Polska za infrastrukturę ICT i Cyberbezpieczeństwo na każdym kroku ostrzega, że nic wskazuje na to, by poziom cyberzagrożeń kiedykolwiek miał zacząć spadać. Niemal codziennie słyszymy, że przestępcy wykorzystują globalną sieć do wykradania danych lub działania na szkodę firm, instytucji a nawet krajów.

– To widać po statystykach CERT Orange Polska, który śledzi nieprzerwanie rosnące trendy – zaznacza Matuła. – W samym sierpniu zarejestrowaliśmy ponad 9 mld zdarzeń, obsługując średnio 45 poważnych incydentów bezpieczeństwa dziennie! – dodaje.

Jednym z popularniejszych zagrożeń w ostatnich miesiącach był RAT (Remote Access Trojan) znany pod nazwą Orcus. Przez ostatni czas bardzo dokładnie przyglądali mu się nasi eksperci. W efekcie możecie zapoznać się z całkiem sporą, 50-stronicową analizą jego aktywności i możliwości. Miłej lektury!

Udostępnij: Cyberzagrożeń nigdy nie zabraknie (+analiza malware Orcus)

Bezpieczeństwo

Przyszło lato, kwitnie phishing

13 lipca 2017

Przyszło lato, kwitnie phishing

Lato, słoneczko, ciepło (no… relatywnie), wakacje, wypoczynek. Taaaa, jasne – może dla nas, bo dla przestępców to okres jak każdy inny (a wręcz czas wzmożonej pracy, taki „commercial period”). No bo przecież patrząc tęsknie za okno zza komputera w klimatyzowanym biurze odlatujemy myślami gdzieś daleko… a wtedy łatwiej damy się złapać na kolejny podstępny phishing!

Witam, przesyłam Państwu dwa załączniki
wystawię fakturę w oryginale po otrzymaniu przelewu, z dniem przelewu
– bardzo proszę potwierdzić kiedy płatność będzie realizowana.

Jeżeli pozostają jakiekolwiek braki do uzupełnienia po mojej stronie, proszę o kontakt.

Seems legit, jak mawia młodzież – prawda? Dodajmy jeszcze na koniec imię i nazwisko, numer telefonu. Kto by się nie złapał? Tzn. pewnie byliby tacy, ale mam wrażenie, że z kampanii na kampanię phishingi robią się coraz bardziej wyrafinowane. Ostatnie dni to wzrost liczby kampanii, których ostatecznym efekt może być infekcja trojanem Nymaim.

Dlaczego się na to łapiemy?

Bo nie mamy czasu, bo boimy się konsekwencji finansowych, bo jesteśmy ciekawi? Wszystkiego po trochu. Konia z rzędem temu, kto nie ma ochoty kliknąć i sprawdzić co to do licha jest? Dlaczego ktoś chce ode mnie jakieś pieniądze? I choć przestępcy używają rozwiązań wręcz prostackich, i tak się na nie łapiemy! Tak już jesteśmy skonstruowani, w zalewie wiadomości i innych bodźców, pewne kwestie rozwiązujemy podświadomie, szkoda nam czasu na myślenie. Dlatego ostatnio najczęściej spotykamy phishing zamaskowany jako dokumenty finansowe. Tego, że każą nam zapłacić coś, czego nie powinniśmy, wciąż się obawiamy – z obaw, że „zablokują nam konto” (nawet bankowe) już się wyleczyliśmy, wiemy, że w takim przypadku ryzyko trafienia na phishing jest bliskie 100 procent. No i pamiętajmy, że maile, które otrzymujemy, piszą najczęściej rodowici Polacy (albo przestępcy, ale wynajęci przez nich ludzie). Z rozrzewnieniem wspominam „erę phishingu łupanego”, gdy z otrzymanych treści można się było chociaż pośmiać.

Jak to działa?

Dobra, dałem się oszukać, kliknąłem otrzymanego XLSa, otworzył się plik… I co? W opisywanym przypadku trzeba jeszcze włączyć makra w dokumencie (naprawdę są jeszcze ludzie, którzy włączają makra w plikach otrzymanych mailem od obcych ludzi? Toż to podstawa bezpieczeństwa w sieci – jeśli nie wiesz, do czego to służy, nie klikaj!). Jeśli Wasi bliscy proszą, żebyście nauczyli ich czegoś o bezpieczeństwie, to ta zasada pomoże im ocalić swoje dane w znacznej większości przypadków. Co więcej, takie podejście uratuje nas nawet jeśli mamy wyjątkowego pecha, bowiem przestępcy wykorzystali podatność 0-day, która nie potrzebuje naszej dodatkowej (poza otwarciem pliku lub nawet uruchomieniem podglądu!) interakcji, wykorzystuje bowiem błąd w kodzie Worda, czy Excela. Wystarczy tyle, by ściągnąć na nasz komputer złośliwy kod, a potem czeka nas niechciana ingerencja w nasze konto bankowe, czy też konieczność zapłaty za odszyfrowanie ważnych plików.

A wystarczyło przeczytać, nawet spróbować zadzwonić pod umieszczony w mailu telefon. Jeśli przestępca podszywa się pod dużą firmę – dzwoniąc do niej dowiemy się, że pierwsze słyszą o takim mailu (za granicą przestępcy potrafią tworzy własne helpdeski (!), więc warto sprawdzić, czy numer w mailu jest prawdziwy), a jeśli mamy do czynienia z numerem prywatnym – może się okazać, jak napisał Niebezpiecznik, że przypadkiem przestępcom wylosował się istniejący numer i też dowiemy się, że mamy do czynienia z oszustwem. Podsumowując, jak mawiał w Czterech Pancernych szeregowy Czereśniak: „Nie bądź głupi, nie daj się zabić”. Tylko dlatego, że phishingów wtedy jeszcze nie było.

Udostępnij: Przyszło lato, kwitnie phishing

Bezpieczeństwo

Nowe pomysły na mobilny malware

1 czerwca 2017

Nowe pomysły na mobilny malware

Czego jak czego, ale pomysłowość cyber-przestępcom odmówić się nie da. Ale w sumie nie ma co się dziwić – malware w różnych odmianach to nieprzerwanie świetny biznes, niezależnie od tego, czy mówimy o ransomwarze, czy na przykład popularnych „niby niegroźnych” programach wstrzykujących w inne aplikacje reklamy, za które pieniądze trafiają do przestępców. Jednym z przykładów na ten ostatni typ jest malware Judy, odkryty ostatnio w sklepie Google Play i maskujący się w sposób genialny w swojej prostocie.

Od jakiegoś czasu w oficjalnym sklepie systemu z zielonym robotem trudniej jest trafić na złośliwą aplikację. To niewątpliwie spora zasługa „Bouncera”, czyl bramkarza (takiego np. dyskoteki, nie z boiska piłkarskiego) analizującego umieszczane w sklepie gry i programy pod kątem złośliwego kodu. Judy – nazwa pochodzi od umieszczenia go w aplikacjach koreańskiego developera Kiniwini, opowiadających (jak mniemam) o przygodach niejakiej Judy (Fashion Judy, Chef Judy, Animal Judy), w wielu wersjach – w sumie malware znaleziono w 41 aplikacjach, w sumie ściągniętych w blisko 40 milionach kopii! Badacze z Checkpoint Software odkryli, że problematyczne aplikacje ominęły zabezpieczenia Google, bowiem de facto… nie są malwarem. Ciężko przecież interpretować możliwość łączenia się z internetem jako złośliwą funkcję oprogramowania. Przynajmniej do momentu, gdy po zainstalowaniu bez wiedzy ofiary… łączy się z serwerem Command&Control botnetu, skąd pobiera już faktyczne złośliwe oprogramowanie. Co ciekawe, malware nie tylko podmienia właściwe reklamy, wyszukując miejsce, gdzie się znajdują i umieszczając tam własną treść, dodatkowo zarzuca użytkownika reklamami pop-up w takich ilościach, że chcąc dalej korzystać z telefonu – musi na nie kliknąć. Co więcej – skoro za pośrednictwem takiej aplikacji można ściągnąć adware, to co stanie na przeszkodzie, by przestępcy przesłali tą drogą coś znacznie groźniejszego?

Co robić, jak żyć? Powiedziałbym „patrzcie na średnią ocenę aplikacji”, ale to – jak wskazuje przykład Judy – może być mylące. Średnia 4,2 przy ponad 3,5 tys. pobrań to nie jest poziom, który zapaliłby nawet w mojej głowie czerwoną lampkę. Przede wszystkim nie instalować czegoś, czego nie potrzebujemy (a Google Play pełny jest bezwartościowych aplikacji). Ustalać z dziećmi, że nowe gry na swoich telefonach i tabletach instalują wspólnie z rodzicami (nie bez kozery celem przestępców były gry kierowane głównie do dzieci, które rzadko patrzą na co się zgadzają i co klikają), a my sami patrzmy na co się zgadzamy, zanim zaakceptujemy instalację. Jeśli jakiekolwiek wymagane przez aplikację uprawnienia wzbudzają nasz niepokój – naprawdę są aplikacje, bez których da się żyć.

Photo by Iphonedigital via Flickr (Creative Commons Attribution-ShareAlike 2.0 Generic (CC BY-SA 2.0)

Udostępnij: Nowe pomysły na mobilny malware

Bezpieczeństwo

Mirai i Hajime, czyli jak Was bronimy przed botnetami IoT

18 maja 2017

Mirai i Hajime, czyli jak Was bronimy przed botnetami IoT

Tomasz Sałaciński (CERT Orange Polska)

W końcówce 2016 roku w zakresie cyberbezpieczeństwa najwięcej mówiło się robaku Mirai. Ten odkryty w sierpniu 2016 roku malware atakuje urządzenia Internetu Rzeczy (Internet of Things, IoT), jak kamery,czy routery. Jego propagacja opiera się na zgadywaniu domyślnych haseł w tych urządzeniach i – po poprawnym zalogowaniu i infekcji – skanowaniu sieci w poszukiwaniu kolejnych potencjalnych ofiar. Stał się „gwiazdą”, gdy w pod koniec roku przy jego użyciu przeprowadzono jedne z największych ataków DDoS w historii, m.in. na bezpieczniackiego blogera Briana Krebsa oraz firmę Dyn. Przepustowości rzędu 1 Tbps (1 terabit na sekundę), wcześniej nieosiągalne, nie są jednak szczytem możliwości botnetów opartych na Mirai.

Hajime natomiast to robak, który również został zaprojektowany w celu infekowania podłączonych do internetu urządzeń IoT, aczkolwiek jego dokładnie przeznaczenie nie jest do tej pory znane. Aktualnie najbardziej popularna z dotyczących go teorii sugeruje, iż jest on niejako… antagonistą Mirai, bowiem ogranicza aktywność opisanego wyżej botnetu, przejmując zainfekowane nim maszyny. Nie posiada on złośliwych funkcji (np. możliwości przeprowadzenia ataku DDoS), jednak przestępcy mogą zaktualizować złośliwe oprogramowanie na przejętych komputerach o dowolne moduły.

Oczywiście CERT Orange Polska nieprzerwanie działa w celu ograniczenia ryzyk związanych z malwarem, również z rosnącą liczbą zainfekowanych urządzeń IoT. Dlatego też, w celu ograniczenia skali infekcji klientami botnetów Mirai i Hajime, wprowadziliśmy blokadę komunikacji na port 7547, wykorzystywany do ich dalszego rozsyłania. Jednocześnie CERT Orange Polska zdecydowanie rekomenduje, by właściciele urządzeń Internetu Rzeczy zapoznali się z ich instrukcjami i w miarę możliwości zmienili w nich domyślne dane uwierzytelniające.

Udostępnij: Mirai i Hajime, czyli jak Was bronimy przed botnetami IoT

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej