Bezpieczeństwo

Węgiel i inne groźne rzeczy

4 sierpnia 2022

Węgiel i inne groźne rzeczy

Węgiel. Mam wrażenie, że gdybym w ostatnich tygodniach za każdą sytuację, gdy trafiłem na to słowo w sieci dostawał złotówkę, mógłbym kupić co najmniej tonę Czarnego Złota. Dla wielu Polaków zapewnić sobie węgiel na zimę, jest kluczową sprawą. I jak zawsze wiedzą o tym też sieciowi oszuści.

Węgiel, a dokładnie strony internetowe oferujące zakup nieistniejącego paliwa, to tylko punkt wyjścia do szerszego spojrzenia na temat. Na to, by w internecie – niczym w samochodzie, tylko znacznie bardziej – stosować zasadę ograniczonego zaufania.

Zakupy bez nerwów, zakupy bez kolejki

„Zobacz Rosiu, temat dla Ciebie!”Wojtek podrzucił na naszej blogowej grupie link do artykułu o oszustwie, które… cóż, zupełnie mnie nie zaskoczyło. Wręcz zdziwiłem się, że dopiero teraz zaczynają pojawiać się strony, usiłujące przekonać, że mają na sprzedaż węgiel. Bez wirtualnej kolejki, nerwowego przeładowywania witryny i konieczności dzwonienia na infolinię. Jestem sobie w stanie wyobrazić sytuację, gdy potencjalnej ofiary nie trzeba będzie przyciągać wyjątkowo atrakcyjną ceną! Wystarczy fakt, że towar jest.

Co działo się potem – tego niestety cytowany tekst nie zdradza. Mając jednak wiedzę o tego typu oszustwach nie spodziewam się tutaj fałszywej bramki płatności (i wykradzenia loginów i haseł). To domena bardziej wyrafinowanych przestępców. Tutaj widzę toporne konto na „słupa” i po oszukaniu odpowiedniej liczby ofiar – transfer pieniędzy na konta giełd kryptowalut.

Węgiel, czyli oszustwo na czasie

Sieciowi oszuści to ludzie dobrze zorientowani w panujących trendach. W końcu to ich – na swój sposób – „praca”, więc świadomość tego, czym akurat interesują się internauci (czyli de facto my wszyscy) to klucz to dużych pieniędzy. Jasne, przelew nieco ponad tysiąca złotych na konto słupa dla wielu może oznaczać, że nie tylko nie będą mieli się za co ogrzać, ale i z jedzeniem mogą mieć problem. Bardziej wyrafinowani oszuści nie będą się jednak łasić na – w ich rozumieniu – drobne. Oni przygotują socjotechniczną sztuczkę, która sprawi, że bez obaw otworzymy przysłany nam załącznik, czy zalogujemy się na witrynę, która nie będzie ani trochę tym, czym się wydawała. W efekcie np. możemy być zmuszeni do zapłaty kilkutysięcznego okupu za odzyskanie dostępu plików z naszego dysku, które zostały zaszyfrowane w wyniku nieostrożnego kliknięcia w rzekomą fakturę.

Mam nieodparte wrażenie, że ostatnich czasach ataków ransomware na zwykłych użytkowników sieci nie ma już tak wielu. Przestępcy idą tam, gdzie jest wielka kasa. Do firm, które mogą zapłacić, by uchronić się przed publikacją wykradzionych dokumentów. Czy to oznacza, że nic zwykłemu internaucie nie grozi? Odpowiem pytaniem na pytanie – korzystasz z internetu w pracy, odbierasz maile? No właśnie.

Na końcu i tak chodzi o pieniądze

A jeśli nie wiadomo o co chodzi… No dobra, bez żartów. Przecież na końcu i tak chodzi o kasę. Tę dużą od firm albo od kilkuset oszukanych indywidualnych ofiar, co przestępcom zazwyczaj przychodzi łatwiej, niż „zrobienie” jednej firmy. Bo my, korzystając z sieci, nie możemy sobie pozwolić nawet na chwilę opuszczenia gardy. Warto wiedzieć, co akurat dzieje się w kraju, czy na świecie. Gdy zapowiadane jest upublicznienie ważnych dokumentów, jak choćby Raportu Komisji Millera po katastrofie smoleńskiej, szukać ich na oficjalnych stronach, a nie w różnych dziwnych miejscach w sieci. Gdy dzieją się takie potworności jak wojna w Ukrainie, liczyć się z tym, że w sieci mogą pojawić się treści mające wywołać w nas emocje (i oczekiwaną przez oszustów reakcję). Wreszcie czytać choćby stronę CERT Orange Polska, gdzie szybko znajdziecie ostrzeżenia o nowych wektorach ataków na nieświadomych internautów.

I nie wierzyć w cuda. Jeśli coś wydaje Ci się niewiarygodnie atrakcyjne, najlepiej założyć, że to nieprawda. Patrz na adresy stron, na które się logujesz. Nie szermuj swoimi hasłami na lewo i prawo. Bądź niczym przyczajony tygrys, gdy ktoś chce Twojego numeru karty płatniczej.

Bądźcie bezpieczni! I odpoczywajcie. Ja mam właśnie taki plan, więc mój kolejny tekst na blogu zobaczycie 25 sierpnia. Jadę do… no nie, co Wy! Nie napiszę. Zachowanie OPSEC w życiu codziennym to też przydatna sprawa. Jasne, kierunek w którym się udaję, nie jest jakąś wielką tajemnicą. Ale jeśli zaczniemy mimochodem „wyciekać” dane, których nie musi znać nikt inny, taka lekkomyślność może przejść na inne nasze zachowania. A stamtąd już krok do… No sami wiecie, w końcu przeczytaliście ten tekst 🙂

Udostępnij: Węgiel i inne groźne rzeczy

Bezpieczeństwo

Mail z fakturą? Nie, to kolejny cyberatak!

21 lipca 2022

Mail z fakturą? Nie, to kolejny cyberatak!

Mail z fakturą – to jedna z form potencjalnego kontaktu z Tobą dostawcy Twoich usług. Niestety – nie tylko niego. Przestępcy bardzo chętnie podszywają się pod taką korespondencję. W CERT Orange Polska w ostatnich dniach obserwujemy kolejną falę fałszywych maili.

W pierwszych wiadomościach, udających mail z fakturą, które zaobserwowaliśmy, oszuści podszywają się pod Play Polska. Mam jednak przeczucie graniczące z pewnością, że to tylko kwestia czasu, kiedy kolorystyka i nazewnictwo zmienią się na pomarańczowe. Istotne jest jednak, że fakt, iż – ewentualnie – dostaniecie takiego maila,

nie oznacza, że Wasze dane wyciekły od operatora!

To po prostu najzwyczajniejszy na świecie phishing wolumenowy. Oszuści wysyłają setki tysięcy takich maili. A jeśli załóżmy przy milionie wiadomości 20% adresatów okaże się faktycznie korzystać z usług firmy X (200 000 osób), a 2% z nich da się oszukać (wierzcie mi, że to i tak zaniżona konwersja), mamy 4 tysiące oszukanych! 4 tysiące osób które… o tym będzie nieco dalej.

Jak wygląda „mail z fakturą”?

Te, które trafiają do nas od początku tygodnia, wyglądają tak:

Fałszywy mail z fakturą

Kolorystyka charakterystyczna dla nadużywanej marki. Treści przygotowane bez błędów. Sam – gdybym nie siedział w bezpieczeństwie od lat – mógłbym się na to złapać! Nawet domenę, z której przyszła wiadomość oszuści dobrali całkiem sprytnie! Tak naprawdę jedyne, co powinno zapalić Wam w głowach czerwoną lamp… tzn. wielki czerwony sygnalizator, jeszcze z wyjącą syreną, to ostatnia linijka maila – hasło do archiwum. Nie spotkałem się nigdy z tak przesyłanymi dokumentami. Tzn. ok, dostawałem maile z dokumentacją medyczną. Ale wtedy hasło dostawałem SMSem, bądź w mailu widniała informacja, że jest nim 5 ostatnich cyfry mojego PESELu (dobrze, że nie sześć pierwszych 😉 ). W takim przypadku hasło ma tylko jeden cel. Uniemożliwić systemom bezpieczeństwa zbadanie maila już na poziomie serwera pocztowego i ew. zablokowanie albo nawet usunięcie go przed dotarciem do ofiary.

Pokaż kotku, co masz w środku?

Nasz „mail z fakturą” nie zawiera oczywiście faktury. W archiwum znajduje się plik „faktura_0722[.]lnk”, po uruchomieniu pobierający docelowy złośliwy plik. Szczegóły techniczne znajdziecie w tekście na stronie CERT Orange Polska. W tym miejscu zaznaczę tylko, że uruchamiając plik z archiwum instalujemy infostealera Vidar. To oprogramowanie wyspecjalizowane w – jak wskazuje nazwa – wykradaniu danych z komputera ofiary. Przede wszystkim tych najbardziej opłacalnych – loginów i haseł (do banku, serwisów społecznościowych, maila, czy portfeli kryptowalutowych). Co gorsza – i co czyni atak jeszcze groźniejszym -gdy próbka trafiła do nas, żaden z silników antywirusowych w serwisie VirusTotal nie rozpoznawał załącznika jako złośliwego!

Co zrobić? Jak mogę uniknąć ataku?

Ataku nie unikniesz. Jeśli Twój adres e-mail hula sobie gdzieś po sieci to prędzej, czy później, dostaniesz „mail z fakturą”. Możesz jednak uniknąć stania się ofiarą ataku. Jak?

Jeśli trafi do Ciebie wiadomość od operatora/usługodawcy, upewnij się, czy na pewno korzystasz z jego usług! Ta rada tyczy się nie tylko maili, ale też np. SMSów o konieczności drobnej dopłaty, bo coś jest nie tak z Twoim rachunkiem.

Nie klikaj wtedy w link i nie loguj się na fałszywej stronie, myśląc: „Co prawda nie mam od nich usług, ale może faktycznie coś mi wyłączą?”

To nie żart. Naprawdę zdarzają się internauci, którzy tak robią. I nie, nie śmiej się z nich – kimś takim mogą się okazać Twoi mama/wujek/babcia… Może teraz myślisz: „Co za baranem trzeba być, żeby tak zrobić?!”? W takim przypadku po prostu zadzwoń do swoich seniorów i sam/a im o takich sytuacjach opowiedz. To na pewno przyniesie pozytywny skutek.

Co jeśli masz usługi w firmie, która – jak się wydaje – przysłała Ci maila? Wtedy upewnij się, czy adres nadawcy zgadza się ze wcześniejszą korespondencją. W przypadku faktur z Orange Polska, maile przychodzą z adresu e-faktura@pl.orange.com.

Gdyby zdarzyło się, że mail zawierałby zaszyfrowany plik, a w treści kod do jego odszyfrowania – usuń go bez czytania. To oszustwo.

No i na koniec. W przypadku Orange Polska pamiętaj, że mail z fakturą zawiera tzw. strefę bezpieczeństwa. Zanim zrobisz cokolwiek – upewnij się, że jest tam Twoje imię i nazwisko oraz taki sam numer klienta, jak przy poprzednich mailach

Uważaj, bądź bezpieczna/y, ostrzeż znajomych!

A my będziemy robić swoje, żeby #CyberTarcza, nawet jeśli ktoś okaże się niefrasobliwy, ustrzegła każdego przed konsekwencjami kliknięcia.

Udostępnij: Mail z fakturą? Nie, to kolejny cyberatak!

Bezpieczeństwo

Wakacje? Bądźcie ostrożni!

7 lipca 2022

Wakacje? Bądźcie ostrożni!

Początek lipca, z nieba (dobra, nie zawsze, ale często) tzw. palnik. To znaczy, że zaczęły się wakacje! Że większość z nas prędzej czy później wyjedzie wypoczywać.

Zapomnimy o codzienności, któż o tym nie marzy? „Naładujemy akumulatory”, stracimy pieniądze z kon… No dobra, tego ostatniego lepiej byłoby uniknąć! Dlatego co roku, gdy zaczynają się wakacje, piszę w zasadzie bardzo podobne do siebie teksty. Ale – jak dowodzą statystyki i kontaktujący się z nami internauci – wciąż niezmiennie ważne.

Wakacje nie lubią internetu

Przynajmniej marzyłoby mi się, żeby tak było. To taki trochę wtręt psychologiczny, ale sami przyznajcie – spora część z nas siedzi w sieci dzień w dzień i przynajmniej przez ten tydzień, czy dwa, warto byłoby to zmienić!

Dlatego ten raz w roku ostrzegam nie tylko o zagrożeniach w sieci. Dochodzą też kwestie na które musimy szczególnie uważać na wakacjach. Jakie? Na przykład takie:

Kosmos, nie? Ale pieruńsko prawdziwy i realistyczny. Tak to właśnie (może) wygląda(ć), przede wszystkim w miejscowościach turystycznych. Dlatego proszę, nie zapominajcie o Trzech Przykazaniach z Bankomatu Korzystania:

  1. Obejrzyj, czy bankomat nie wygląda w jakiś sposób podejrzanie (głównie okolice slotu na kartę i klawiatury). Jeśli coś Cię niepokoi – poruszaj slotem, spróbuj odczepić klawiaturę (lub cały panel). Jeśli nie masz pewności – wybierz inny bankomat!
  2. Zasłaniaj rękę wpisującą PIN (!!!). Tak wielu wciąż tego nie robi, tymczasem – pominąwszy kwestię ew. mikromakery (na skimmer niestety to nie pomoże) – ktoś, widząc jak wpisujesz PIN, może po prostu wyrwać Ci kartę i uciec!
  3. Zmień przed wakacjami limity wypłat z bankomatu na niższe, a do płatności internetowych w ogóle na zero. Wtedy, jeśli coś pójdzie nie tak, zminimalizujesz potencjalne straty. Lepiej wypłacić dwa razy, niż zepsuć sobie wakacje, prawda?

A jeśli zgubisz kartę, zadzwoń na numer +48 828 828 828. Ew. jeśli nie masz pewności, czy nie została w hotelu, zmniejsz wszystkie limity do zera. Do czasu gdy jej nie znajdziesz albo się nie poddasz 🙂 Co za różnica? Zmniejszenie limitów jest odwracalne, zastrzeżenie karty – nie.

No i jeszcze jedno. W Polsce, jeśli tylko możesz, używaj BLIKa. To nieporównywalnie bezpieczniejsze od płatności kartowych, a w przypadku wypłaty z bankomatu – niweluje wszelkie potencjalne ryzyka.

Uważaj na swój smartfon…

Nie da się tak zupełnie bez telefonu. Wiem, ja też bym nie potrafił. Skoro dzięki smartfonowi mamy pod ręką kartę płatniczą, mapy, muzykę, czy aparat fotograficzny, dlaczego z tego nie korzystać?

Warto jednak – jeśli do tej pory tego nie zrobiliśmy – odpowiednio zabezpieczyć dostęp do naszego urządzenia do wszystkiego. Najlepiej odciskiem palca i mocnym hasłem. Dodatkowo skonfigurujmy automatyczne kasowanie zawartości urządzenia po [x] nieudanych próbach odblokowania. Warto też pamiętać, że zagubiony sprzęt znajdziemy przez stronę WWW, dzięki usługom Menedżer Urządzeń Android i Find My iPhone. Zdjęcia wysyłajmy automatycznie do chmury. Dzięki temu nawet jeśli stanie się tragedia, zostaną przynajmniej pamiątki z wyjazdu.

A jeśli nie musimy brać sprzętu, bo idziemy tylko pobliską plażę – warto rozważyć zostawienie go w hotelowym sejfie. Po co kusić licho?

…i na maile phishingowe

Tak, tak… Kto nigdy odebrał maila na wakacjach, niech pierwszy rzuci kamieniem. Takie mamy czasy. Warto jednak pamiętać, że nieważne, czy w miesiącach pracy, czy wakacji, przestępcy, gdy wysyłają kampanie phishingowe, liczą na naszą niefrasobliwość. A w tym przypadku dokładamy doń jeszcze i wakacyjne „roztrzepanie”.

Co to oznacza? Choćby to, że w trybie wypoczynku możemy zastanawiać się nieco mniej nad tym, co do nas przyszło i kliknąć odruchowo. Nawet jeśli macie wątpliwości, czy to ostrzeżenie o niedopłacie jest prawdziwe, to w sumie… cóż, nawet jeśli wyłączą nam prąd, to przecież i tak jesteśmy na wakacjach? Jeśli akurat przypadkiem zostawiliśmy światło w toalecie (cóż, mea culpa, kiedyś wróciłem po trzytygodniowych wakacjach i okazało się, że w ustronnym miejscu światło już na mnie czeka 😉 ) to przynajmniej zaoszczędzimy na rachunku!

A tak na serio. Nie stresuj się. Po prostu. Masz wakacje. Jeśli przychodzi mail z adresu, z którego wcześniej nic do Ciebie nie przychodziło i czegoś od Ciebie chcą – zostaw go na potem. Aż wrócisz do domu. Masz wakacje. I tak z plaży/gór/jezior nic nie zrobisz. Nie dawaj przyjemności oszustom.

Niech Twoje wakacje będą wyjątkowo udane! Moje takie na pewno będą, aczkolwiek to jeszcze pora na przerwę od moich tekstów na blogu 🙂

Udostępnij: Wakacje? Bądźcie ostrożni!

Bezpieczeństwo

Dziś Millenium, jutro Twój bank!

30 czerwca 2022

Dziś Millenium, jutro Twój bank!

Bank. To słowo łączy przestępców z Dzikiego Zachodu i z XXI wieku. Ci pierwsi z łatwością okradali przewożące pieniądze dyliżanse. Dzisiejsi bez trudu okradają nas z gotówki w wersji cyfrowej.

Przestępcy się nie nudzą. Oni ciężko „pracują”. Czasami wychodzą im twory nie do końca udane. Innym zaś razem – całkiem nieźle dopracowane socjotechniczne „strzały”. Tym razem na cel wzięli klientów Banku Millenium. Tzn. wszystkich internautów, z nadzieją, że wysyłając odpowiednio dużo maili trafią z nimi również do odbiorców, którzy faktycznie mają konto w tym konkretnym banku.

Ktoś nas ostrzega – czy na pewno bank?

Jesteście sobie w stanie wyobrazić kogoś, kto „łyknie” taki haczyk, jak poniżej?

To już nie jest „bełkot phishing”. To całkiem sprawnie przygotowany atak. Jest odpowiednia polszczyzna, jest przede wszystkim logo banku. Mamy „dobry” (o tym za chwilę) link w treści. Może tylko kilka błędów stylistycznych, cztery słowa przeniesione niepotrzebnie do ostatniego akapitu, no i ta treść na zielono też wywołuje we mnie spory dysonans.

Ostatnie uwagi nie zmieniają jednak faktu, że bez problemu jestem sobie w stanie wyobrazić osobę, która będąc klientem tego banku kliknie w link. I co gorsza, poda swój login i hasło. Nie dalej jak wczoraj poprosiła mnie o radę osoba, której przyjaciółka, osoba świadoma cyfrowo, straciła na nieco innym phishingu oszczędności całego życia!

Co tu jest nie tak?

Zacznijmy od treści, z dominującą klasyczną socjotechniczną sztuczką. Padają magiczne słowa/zwroty: „bezpieczeństwo”, „niekompatybilne”, „dezaktywuje”, „po kilku godzinach”. Emocjonalne wezwania do działania? Do wyboru do koloru! No i jacy kochani są! Robią to wszystko dla mojego bezpieczeństwa! Złoci ludzie…

No i nie zapominajmy o prostackim wręcz tricku z ukryciem pod wyglądającym jak prawdziwy linkiem adresu nie mającego nic wspólnego z witryną banku. Tam, po kolejnym przekierowaniu, trafimy na docelową witrynę, osadzoną na przejętym WordPressie, podszywającą się pod serwis logowania banku.

No i nie zapominajmy o adresie nadawcy. Już samo (C)Millenium-Bank w nazwie jest co najmniej dziwne. Gdy jeszcze spojrzymy na faktyczny adres, nie ma on z bankiem zupełnie niczego wspólnego.

Nie dajcie się oszukać! Wpisujecie gdziekolwiek bankowe dane logowania? Upewnijcie się, czy aby na pewno jest to właściwa strona. A najlepiej korzystajcie z aplikacji bankowej.

I uważajcie. Dziś ten bank, jutro być może inny. W mijającym tygodniu trafiło do nas bardzo dużo informacji o podejrzanych mailach dokładnie takich jak ten opisywany. Wśród czujnych jak ważka znalazł się nawet Wojtek!

Udostępnij: Dziś Millenium, jutro Twój bank!

Bezpieczeństwo

Straszą wojną atomową? To (tylko?) groźny trojan

23 czerwca 2022

Straszą wojną atomową? To (tylko?) groźny trojan

Jutro, w piątek 24 czerwca, miną 4 miesiące od ataku Rosji na Ukrainę. Tego militarnego, bowiem aktywności w cyberprzestrzeni zaczęły się znacznie wcześniej. Co więcej – ich celem bywają również Polacy. Tak jak w przypadku nowej kampanii phishingowej.

„Nuclear Terrorism A Very Real Threat.rtf”. Taki dokument trafia na komputery w krajach, będących celem APT 28 (Fancy Bear/Sofacy), finansowanej przez Rosję grupy, powiązanej z tamtejszym wywiadem GRU. Jeśli damy się przekonać socjotechnicznej sztuczce (w tak trudnym geopolitycznie okresie sam chętnie poczytałbym analizę nt. potencjalnych planów i zamiarów putina) i otworzymy dokument, dowiemy się, że faktycznie zawiera treść, jednak oprócz niej instaluje w tle złośliwe oprogramowanie CredoMap. Podatność dotyczy aplikacji Microsoft Office, w wersjach od 2013, do działania nie potrzebuje włączonej obsługi makr.

Co może się stać?

CredoMap to malware wyspecjalizowany w wykradaniu danych (w tym haseł i ciasteczek sesyjnych) z przeglądarek internetowych. Rosyjscy szpiedzy wykorzystają w tym celu podatność 0-Day Windowsa o nazwie „Follina”, pozwalającą na zdalne wykonanie kodu na urządzeniu ofiary po uruchomieniu przez nią odpowiednio spreparowanego pliku. Powiecie „przecież to tylko hasła!”. A ja powiem, że jeśli mamy w ręku czyjeś hasła, to, co możemy z nimi zrobić, limitowane jest wyłącznie naszą kreatywnością, możliwościami i finansami. Działającej od lat grupie, za którą stoi rosyjski wywiad, nie brakuje z tej listy niczego. A gdy mamy do czynienia z tak zgrabnie przygotowanym phishingiem kierunkowym (ang. spear phishing), bo akurat potencjalne ryzyko użycia przez Rosję broni atomowej interesuje (niemal) każdego – w Ukrainie, atakowanej nie tylko militarnie, może to niestety przynieść efekty.

Ale dlaczego my mamy się bać?

Bo jesteśmy państwem frontowym. To akurat oczywiste. Co więcej jednak, opublikowany wczoraj raport Microsoftu dowodzi, iż ostrze rosyjskiego „szpiegostwa strategicznego” dotknęło od wybuchu wojny 128 organizacji w 42 krajach wspierających Ukrainę!

Co robić? Przede wszystkim uważać! Nie dać się zmanipulować socjotechnicznym sztuczkom. Jeśli interesują nas opracowania na konkretny temat, nie czytajmy ich, gdy nagle wpadną w mailu z nieznanego adresu. Po prostu poszukajmy ich w sieci! No i nie zaszkodzi zaktualizować MS Office i poczytać o najnowszych aktualizacjach Microsoftu.

Udostępnij: Straszą wojną atomową? To (tylko?) groźny trojan

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej