Bezpieczeństwo

Phisherzy lubią Facebooka

6 sierpnia 2020

Phisherzy lubią Facebooka

Facebook… Mark Zuckerberg dzięki niemu i swojej – cóż, nie tylko (polecam film „The Social Network”) – pomysłowości, w ciągu kilku/nastu lat stał się nieprzyzwoicie bogatym człowiekiem, mającym realny wpływ na losy świata. Zwykli ludzie bez serwisu spod znaku białego „f” na niebieskim tle nie wyobrażają sobie życia. A przestępcy i zwykli cwaniacy? Cóż, oni wykorzystują najczęściej odwiedzaną i najczęściej linkowaną (wg. rankingu Alexa.com) stronę świata jako źródło do robienia swoich szemranych biznesów.

Na CyberTarczę – z Facebooka

35% ruchu, a odliczając wejścia bezpośrednie – ponad 8/10 osób, którym pojawia się witryna CyberTarczy jest nań przekierowywana właśnie z Facebooka. To statystyki naszej strony za ostatnie 7 dni. Jak to wygląda w liczbach bezwzględnych? Przeszło 46 tysięcy wejść z Facebooka, podczas, gdy zajmujący drugie miejsce serwis to… 1364 wejścia. Różnica jest wręcz niewyobrażalna, znakomicie dowodząc popularności – na różne sposoby – firmy Marka Zuckerberga. Powiedzenie: „Jeśli nie ma Cię na Facebooku to tak jakbyś nie istniał” to w dzisiejszych czasach, przede wszystkim wśród młodych ludzi, digital natives, wcale nie jest żart. Oszuści też o tym wiedzą i usiłują na różne sposoby to wykorzystać.

Wykupić reklamę? Żaden problem

Jak to robią? Sposobów jest sporo, ale najpopularniejsze w ostatnim czasie to reklamy rzekomych giełd kryptowalut (okazujących się efemerydami, na których zarabiają tylko prowadzący je oszuści) i utrzymane w tonie histerycznej sensacji fake newsy, mające przyciągnąć zainteresowanie łowców sensacji. Te pierwsze na największym serwisie społecznościowym mają swoje źródło. Zapewne wiele/u z Was widziało na FB (nie tylko, nie dość często trafiają się też na Youtubie) treści reklamowe o tym, jak to „zwykły człowiek” zarobił mnóstwo pieniędzy w kilka dni. Najpierw ktoś życzliwy podsunął mu pomysł gry kryptowalutami, potem wpłacił wpisowe… I cóż, i na tym się skończyło. Jeśli oszuści chcą szybko zarobić na kilkusetzłotowych rzekomych wpisowych, muszą trochę zainwestować w kampanie reklamowe. A dla ludzi nieświadomych zagrożeń w sieci sam fakt, że coś jest opublikowane „na fejsbuku” dodaje komunikatowi rzetelności.

Złapani na emocje

Sensacyjne newsy dla odmiany na Facebooku mają się kończyć. Głównym motywem tego typu kampanii są budzące skrajne emocje wiadomości o uprowadzeniu dziecka, gwałcie, czy – to popularne w ostatnich miesiącach – zdarzeniach związanych z osobami chorymi na SARS-Cov-2. Treści pełne silnie nacechowanych mają nas skłonić do kliknięcia w link. Ten prowadzi do rzekomego filmu, byśmy tam – niejako mimochodem – szybciutko zalogowali się „na Facebooka”, by potwierdzić naszą pełnoletniość (bo przecież treści są drastyczne). Specyficzna forma przekazu nie jest przypadkowa. Emocje mają do tego stopnia zasłonić nam zdolność logicznego myślenia, że nie zauważymy, iż adres strony, na której się logujemy, nie ma z serwisem społecznościowych nic wspólnego! W kolejnym kroku otworzy się już prawdziwy Facebook. Fakt, iż znów zobaczymy ekran logowania, zazwyczaj spowoduje, że pomyślimy, że za pierwszym razem się pomyliliśmy.

Filmu nie będzie, nie będzie też pewnie lada moment dostępu do naszego konta. Oszust może je choćby sprzedać, a wcześniej wykorzystać choćby do opisywanego kilkakrotnie na stronie CERT Orange Polska oszustwa „na BLIKa”.

Co robić?

Jak zawsze, uważać. Loginy i hasła na znane nam strony wpisujemy tylko na nich. ZAWSZE, wpisując login i hasło, upewniamy się co do adresu w pasku przeglądarki. No i tak samo, jak nie wierzymy wszystkim bzdu… sensacyjnym wiadomościom, na które trafiamy w realnym świecie, w internecie podchodźmy do nich z dużym (a nawet jeszcze większym, bo łatwiej je sfabrykować) dystansem.

Udostępnij: Phisherzy lubią Facebooka

Bezpieczeństwo

Twitter ma problem, czyli ucz się na wpadkach innych

16 lipca 2020

Twitter ma problem, czyli ucz się na wpadkach innych

Jak to fajnie, jak w momencie szukania pomysłu na tekst, ten przychodzi do mnie sam. Słyszeliście pewnie o problemach, jakie minionej nocy miał Twitter, czy raczej jedni z jego najbardziej opiniotwórczych użytkowników. Jeśli nie korzystacie z serwisu społecznościowego spod znaku niebieskiego ptaka: wg. opisu Twittera, charakterystycznym niebieskim znakiem oznaczane są konta firm/osób publicznych zweryfikowane jako autentyczne.

Dokładnie tych samych osób, które w nocy ze środy na czwartek chciały wszystkim zainteresowanym pomnażać bitcoiny. Czy raczej – tak to miało wyglądać.

Przelej mi bitcoiny, dam Ci drugie tyle

Były prezydent USA rozdający bitcoiny, tak po prostu? Nie tylko on – jeszcze Elon Musk, Bill Gates, Jeff Bezos, Apple, firmy powiązane z kryptowalutami… Zbyt piękne, żeby było prawdziwe? No jasne, ciekawe, czy ktokolwiek się na to nabrał. Jak to się stało? Po dłuższy, wyjaśniający sytuację artykuł, pozwolę sobie odesłać Was do The Verge, gdzie świetnie to opisano. Dla niecierpliwych: przestępcy przy użyciu socjotechnicznego tricku przejęli kontrolę nad komputerem jednego z pracowników Twittera. Tam wykorzystali wewnętrzne narzędzie firmy po to, by… zresetować hasła celebrytów (i mieć dostęp do nowych, rzecz jasna). Efekt – początkowo „zweryfikowani” nie mogli pisać żadnych tweetów, a później Twitter wprowadził (nieidealny) mechanizm uniemożliwiający wrzucanie adresów portfeli Bitcoinowych.

Drugi składnik Cię (zazwyczaj) uratuje

Skoro po wyjaśnienia odsyłam Was na zewnątrz, to po co w ogóle o tym piszę? Ano po to, że taka sytuacja to wyjątkowa okazja do tego, by przypomnieć o tym, że uwierzytelnianie dwuskładnikowe… Dobra, tutaj akurat by pewnie nie pomogło (zakładam, że przynajmniej jeden z zaatakowanych używa 2FA), ale akurat tego typu spektakularne ataki zdarzają się ekstremalnie rzadko. Dodatkowo, nikt z nas nie jest HVT (high value target, cel wysokiej wartości) na tyle, by – cóż, by wypłacać innym bitcoiny 😉 Dlatego, by uchronić zwykłego internautę przed atakiem nieco niższym poziomie wyrafinowania, 2 Factor Authentication wystarczy (o czym zresztą pisałem na blogu jakiś czas temu).

O co chodzi z tym 2FA? Jeśli już wiecie, to: po pierwsze – bardzo dobrze; po drugie zaś – wiecie, dlaczego warto to wytłumaczyć tym, którzy tą wiedzą jeszcze nie dysponują. O ile główne hasło możemy określić mianem „czegoś, co wiem”, 2FA to „coś, co mam”. I o ile ten pierwszy składnik możemy na różne sposoby stracić, z drugim tak łatwo nie będzie. I wtedy, jeśli przestępca/oszust wpisze nasz login i wykradzione hasło, zamiast uśmiechać się od ucha i zacierać ręce, zobaczy informację: „Podaj drugi składnik”. Whoopsie.

Zazwyczaj wystarczy aplikacja

Dla zastosowań służbowych warto, by 2FA był fizycznym urządzeniem (np. w przypadku pracowników Orange Polska w celu nawiązania połączenia VPN z siecią firmową niezbędny jest przypominający pendrive’a token kryptograficzny). W życiu codziennym wystarcza aplikacja, zmieniająca co 60 sekund losowy ciąg sześciu cyfr. Ja np. w ten sposób zabezpieczam 8 kont/serwisów, w tym Google, Microsoft, Twitter rzecz jasna, czy Amazon. Początkowo używałem aplikacji mobilnej Google Authenticator. Od pewnego czasu, z racji na to, iż często zmieniam testowane telefony, przerzuciłem się na Authy. Podstawową różnicą między nimi jest fakt, iż Authy trzyma moje klucze w formie zaszyfrowanej na swoich serwerach, a w momencie instalacji jej na kolejnym telefonie wymaga wpisania klucza deszyfrującego bazę, ściągniętą na urządzenie docelowe.

Jak znaleźć serwisy, wspierające 2FA? Na tej stronie znajdziecie te najpopularniejsze, a dodatkowo szczegółowy opis włączania w nich tej właśnie funkcjonalności. Największą chyba listę witryn i aplikacji obsługujących uwierzytelnianie dwuskładnikowe znajdziecie natomiast tutaj.

Włączcie 2FA. Po prostu. Nie warto dawać szansy złym ludziom.

Udostępnij: Twitter ma problem, czyli ucz się na wpadkach innych

Bezpieczeństwo

Jak próbują nas oszukać w sieci?

9 lipca 2020

Jak próbują nas oszukać w sieci?

Macie czasami wrażenie, że co krok w internecie ktoś chce Was oszukać? Tu phishingi, tam dziwne sklepy, tu podejrzane strony… Wszędzie źli ludzie czają się na pieniądze. Na nasze, ciężko zarobione pieniądze. A jako, że sposobów jest sporo, warto czasami, choćby pokrótce, opisać, na co konkretnie musimy szczególnie uważać.

Przesyłka, której nigdy nie było

Zaczyna się od maila. Na początku od „kuriera z DPD”, w ostatnich dniach przestępcy podszywają się również pod Pocztę Polską. Z jakiegoś powodu nie mogła dotrzeć, musimy kliknąć, by ją śledzić, wpisać nowy adres… I oczywiście zapłacić.

Możemy zapłacić tylko kartą, a kiedy wpiszemy jej dane (włącznie z datą ważności i kodem CVV) – mam przeczucie graniczące z… nie no, mam pewność, że nie zostaną użyte tylko raz.

Co najlepiej zrobić w takiej sytuacji? Jestem w stanie zrozumieć, że każdego może kusić sprawdzenie, że paczka jest może jednak do niego? 🙂 Ja bym w takiej sytaucji wszedł na stronę faktycznego dostawcy/kuriera i na niej wpisał podany nr listu przewozowego. Jeśli okaże się, że nie istnieje – sprawa załatwiona.

Jak dać się oszukać „na dopłatę”

Swego czasu blokowaliśmy po kilka stron dziennie, udających usługi kurierskie z własnymi podstronami udającymi internetowe bramki płatności. W takim przypadku zaczyna się od SMSa domagającego się dopłaty drobnej kwoty (zazwyczaj złotówki z groszami). Tak niska kwota ma uśpić potencjalną ofiarę, bo przecież „to żadne pieniądze”, a „skoro trzeba”, to zapłaci. A będąc już nastawionym na tę konieczność, często nie spojrzy na pasek adresu przeglądarki:

Gdy po wybraniu banku wpiszemy login i hasło, zobaczymy (przykład mBanku zupełnie losowy) taki obrazek jak poniżej. Oczywiście wcale nie czekamy na zalogowanie do banku siebie, tylko przestępców, którzy w kolejnym kroku podstawią nam fałszywy formularz potwierdzenia rzeczonego przelewu, a jeśli nie zauważymy, że tak naprawdę akceptujemy ich konto jako zaufane – pożegnamy się z całym stanem konta.

Nie zapominajcie – zawsze patrzcie na pasek adresu, gdy logujecie się do banku z przeglądarki.

Na komórkę też się da

Przestępcy pamiętają rzecz jasna o tym, że wielu z nas korzysta z urządzeń mobilnych. Stąd zwiększona w ostatnich tygodniach popularność złośliwego oprogramowania Cerberus, wyspecjalizowanego w atakach na użytkowników smartfonów. W tym przypadku zaczyna się od SMSa, który prowadzi nas do strony udającej Sklep Play. Jeśli damy się przekonać do instalacji aplikacji (do nas wpadły próbki Inpostu, Allegro i Facebooka) spoza Sklepu Play – cóż, już po nas.

Nie instalujcie niczego spoza Sklepu Play. Po prostu.

A jeśli chcecie dostawać informacje o zagrożeniach na bieżąco (w tym szerzej o tych opisanych powyżej), zaglądajcie na stronę CERT Orange Polska i na naszego Twittera. Nie dajmy się oszukać!

Udostępnij: Jak próbują nas oszukać w sieci?

Bezpieczeństwo

Komu fałszywą aplikację mobilną?

25 czerwca 2020

Komu fałszywą aplikację mobilną?

To w sumie był całkiem oczywisty krok. Kiedy specjaliści od cyberbezpieczeństwa (wyżej podpisanego włączając), wbijają nam na każdym kroku: „Nie ufaj dziwnym mailom!”, „Nie wchodź na dziwne strony!”, „Nie klikaj w linki w SMSach!”, „Używaj aplikacji mobilnych!” – to nic dziwnego, że coraz więcej z nas się ku rzeczonym aplikacjom mobilnym skłania. A tu – cóż, w to graj przestępcom, którzy… podsuwają nam aplikację mobilną. Swoją, rzecz jasna.

SMSy (nie) od Allegro i InPostu

I pewnie prędzej, czy później, lista firm, których marki przestępcy nadużywają przedłuży się o kolejne (update na samym dole). A to dlatego, że pomysł – to przestępcom trzeba przyznać – jest całkiem niegłupi. Zobaczcie jak to wygląda, na przykładzie scamu na jedną z wymienionych firm.

Zaczyna się od SMSa. W przypadku InPostu standardowego SMSa o umieszczeniu przesyłki w Paczkomacie. Z drobnym dodatkiem – sugestią „aktualizacji aplikacji”. Pomysł z aktualizacją jest niegłupi, bowiem tylko część (mam nadzieję, że mniejsza) użytkowników paczkomatów wciąż korzysta z SMSów, pozostałym ta metoda autoryzacji została ze względów bezpieczeństwa wyłączona, bowiem wybrali aplikację mobilną. Oni na „instalację aplikacji” się nie złapią, ale z aktualizacją może się udać…

Może, bo przy dokładniejszym przyjrzeniu się SMSowi, jest to intryga grubymi nićmi szyta. Nadawca to nie, jak przy poprzednich kampaniach, InPost, więc nowy SMS nie skolejkuje się z poprzednimi (a tak by było, gdyby przestępcy użyli nadpisu z nazwą firmy). Dodatkowo –

witryna inpost.ltd powinna nie tylko podnieść w naszym mózgu czerwoną flagę, a raczej obudzić ubraną w jaskrawy szkarłat orkiestrę dętą pokazującą maksimum swoich umiejętności.

Prawie jak Google Play

Jeśli klikniemy w ten link (zrobiłem to, żebyście Wy nie musieli – z maszyny wirtualnej, rzecz jasna) zobaczymy witrynę udającą całkiem sprytnie Sklep Play. Oczywiście z wyłączeniem adresu, no i wchodząc na nią na telefonie, nie zostaniemy przekierowani do aplikacji sklepu. Nie zapomnijmy też, że klikając w link do „instalacji” zostaniemy poproszeni o zgodę na instalację aplikacji… spoza Sklepu Play. Nie śmiejcie się – są ludzie, którzy dadzą się oszukać, nie każdy jest cyfrowo świadomy na odpowiednim poziomie.

A co jeśli zainstalujemy? Aplikacja – jak zakładam, tego nie testowałem – nie zadziała, ale na pewno zadziała trojan bankowy „Cerberus”.

On wykradnie nasze dane logowania do banku, a w następnym kroku nasze pieniądze.

Uważajmy, co czytamy, uważajmy, w co klikamy. Kilka minut więcej, poświęcone na ostrożność, może nam oszczędzić mnóstwo nerwów i zdrowia.

Update: W momencie pisania tego tekstu pojawiły się dwie nowe „aplikacje” – udające iPKO i Facebooka.

Nie ściągajcie NICZEGO spoza Google Play. W razie wątpliwości – piszcie do nas, na cert.opl@orange.com. Pomożemy, a jeśli faktycznie traficie na scam – Wy też pomożecie, innym internautom.

A po najświeższe bezpieczniackie newsy zaglądajcie na naszego Twittera.

Udostępnij: Komu fałszywą aplikację mobilną?

Bezpieczeństwo

Ponad 500 klientów naszego SOC!

15 maja 2020

Ponad 500 klientów naszego SOC!

W tym tygodniu zaglądam do Was dzień później, ale przynajmniej jest czym się pochwalić 🙂 O ile rzadko publikuję tego typu informacje, bo nie jestem fanem „przemycania” marketingu w przekazie blogowym, no ale naprawdę jest się czym pochwalić!

513 bezpieczniejszych, 513 spokojniejszych

Aż wierzyć się nie chce, że od początku istnienia naszego Security Operations Center tyle firm zdecydowało się skorzystać z jego usług. Są wśród nich podmioty słusznej wielkości, wśród nich największe polskie banki i spółki akcyjne, ale też firmy ubezpieczeniowe, wyższe uczelnie, urzędy dzielnic i gmin, czy inne instytucje publiczne.

Do czego przydaje im się nasza wiedza? Od 2012 roku oferujemy np. usługę ochrony przed atakami DDoS. Dzięki naszemu DDoS Protection udaje nam się trochę psuć krwi cyberprzestępcom (ale też domorosłym szantażystom albo internautom, którym się… nudzi i stać ich na kupienie „za grosze” ataku DDoS. O samych atakach pisałem już tutaj wielokrotnie, jeśli ktoś jeszcze nazwy nie usłyszał – chodzi o zablokowanie docelowego serwera liczbą zapytać tak wielką, że uniemożliwi jego normalne działanie. Efekt? Brak dostępności strony przekładający się na straty wizerunkowe, ale może też okazać się „przykrywką” dla ataku na inne kluczowe systemy.

W ostatnich miesiącach najszybciej rośnie grono zainteresowanych Cyberwatch – usługą skierowaną do małych i dużych firm, a z kolei wśród banków nie słabnie zainteresowanie Stopphishingiem. Uwierzcie mi, blokowanych stron jest naprawdę duuużo! Od kilku lat SOC świadczy też usługę całodobowego monitoringu bezpieczeństwa SOC-as-a-Service dla klientów z Grupy Orange – Orange Belgium (OBE), Orange Slovensko (OSK) i Orange MEA (Afryka).

Cisi bohaterowie

Jedni powiedzą, że to wszystko nie działoby się, gdyby nie te wszystkie wypasione systemy przeciwdziałające atakom. Na pewno są istotne, ale nie poradziłyby sobie z niczym, gdyby nie operatorzy SOC. Kiedyś żartowaliśmy, że pomieszczenie SOC to jedyny pokój w naszej siedzibie, do którego nigdy nie będzie oddany klucz, ale pandemia przerosła nasze oczekiwania… Nie zmienia to faktu, że operatorzy to cisi bohaterowie, obserwujący nieprzerwanie co dzieje się w naszej sieci i co usiłuje zagrozić naszym klientom. 24 godziny na dobę, świątek, piątek, niedziela, Wigilia, czy Sylwester. Teraz z zaciszy własnych domów, co jest pewnie nieporównywalnie trudniejsze, niż siedzenie za stalowymi drzwiami, w otoczeniu ściany monitorów i własnych komputerów.

Cóż, nawet pandemia koronawirusa nie przeszkodzi nam sprawić, by zarówno klienci naszych usług dostępu do internetu, jak i ci komercyjni, czuli się najbezpieczniej jak tylko się da.

Udostępnij: Ponad 500 klientów naszego SOC!

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej