Bezpieczeństwo

Choć antywirus to za mało…

29 listopada 2018

Choć antywirus to za mało…

…odnoszę wrażenie, iż niektórzy uważają, że w ogóle nie jest potrzebny. A to założenie z gruntu błędne i jest to określenie wyjątkowo łagodne. Czemu w ogóle o tym piszę? Bo przyjrzałem się ostatnio statystykom CyberTarczy.

Takie stare, a jeszcze jare

Sality, Conficker, Necurs. Co łączy te trzy nazwy? Oczywiście to, że wszystkie są nazwami botnetów, ale także fakt, iż… nie powinny już istnieć. W dzisiejszych czas rok egzystencji w internecie to już sporo. Przez 5 lat w technologii zmienia się niekiedy tyle, co kiedyś w trakcie jednej epoki. A co dopiero, jeśli mówić o malware, skoro – jak pisałem po konferencji Security Case Study – blisko 100 procent (dokładnie 96) spośród 2,5 miliona sampli malware’u, analizowanych dziennie przez Microsoft jest jednorazowa.
Czym w takim razie wytłumaczyć fakt, że wśród użytkowników Neostrady (czy raczej wśród ich urządzeń) znajdują się sprzęty zainfekowane złośliwym oprogramowaniem, liczącym… piętnaście lat? Tak tak – gdyby botnet Sality był człowiekiem, za 3 lata mógłby sam pójść na piwo. Conficker jest nieco młodszy (powstał w 2008), zaś Necurs to w porównaniu do „kolegów” jeszcze dziecko ;), tym niemniej 6 lat wśród malware’u to wciąż mnóstwo czasu.

Skąd to się wzięło?

Dobra, nie zostawię Was bez odpowiedzi na pytanie z poprzedniego akapitu (tak mi się przynajmniej wydaje). Powodów może być sporo, począwszy od tego, że w przypadku niektórych odmian opisywanego malware’u organy ścigania mogły już dawno przejąć przestępczą infrastrukturę (biorąc pod uwagę terminy to mogli już dawno zapomnieć, że w ogóle istniała). W efekcie infekcja została, ale botnet nie robi już nic złego. Ofiary mogą też korzystać nieprzerwanie z sieci Orange Polska, gdzie znane adresy IP powiązane z botnetami są od bardzo dawna sinkholowane i regularnie dodawane. Mogli też (to w sumie działa wspólnie z poprzednim punktem)… zrezygnować z oprogramowania zabezpieczającego, zgodnie z coraz powszechniejszą modą na „zdrowy rozsądek wystarczy”.

Cóż – o ile w przypadku urządzeń z Androidem zazwyczaj tak (specyfika systemu z zielonym robotem znacząco utrudnia zainstalowanie wirusa, przy założeniu, że korzystamy wyłącznie z oficjalnego sklepu i nie modyfikowaliśmy urządzenia), to z systemami stacjonarnymi nie jest już tak łatwo. Oczywiście rozsądek zawsze jest wskazany, a CyberTarcza swoje zrobi. Monitorowanie podejrzanych połączeń w naszej sieci i nawet (jak widać) antywirus też się przydadzą.

Necurs *20 tysięcy

Jeśli jesteście klientami Orange Polska, nie zaszkodzi zajrzeć na stronę CyberTarczy, by dowiedzieć się, czy przypadkiem któraś z takich niespodzianek u Was nie siedzi. U rekordzistów w ciągu ostatniego miesiąca Necurs usiłował się połączyć z przestępczą infrastrukturą ponad 20 tysięcy razy. Tam pewnie czekałby na niego ransomware Locky, najpopularniejszy „ładunek” w przypadku tego złośnika. No i pamiętajcie o zaktualizowaniu i uruchomieniu antywirusa. A nuż coś znajdzie? I nie zdziwcie się, gdy włączając przeglądarkę zamiast poszukiwanej strony zobaczycie informację o zagrożeniu. Szczegółowa instrukcja poprowadzi Was „za rączkę” i pomoże wyczyścić urządzenie.

Udostępnij: Choć antywirus to za mało…

Bezpieczeństwo

CyberTarcza nie pisze przypadkiem

22 listopada 2018

CyberTarcza nie pisze przypadkiem

„Więcej jest rzeczy na ziemi i w niebie,
 Niż się ich śniło waszym filozofom.”
Wiliam Szekspir „Hamlet”

Mam pewne wrażenie, że tytułowy szekspirowski bohater rozmawiając z Horacym niekoniecznie miał na myśli kontekst, w jakim używa się tego wyrażenia w dzisiejszych czasach, ale i tak fakt, że cytat z początków XVII wieku ostał się w potocznym języku do teraz, to i tak rzecz wyjątkowa. Skąd takie rozpoczęcie? Ano stąd, że i nam w CERT Orange Polska zdarza się trafiać na sytuacje, które trudno sobie wyobrazić…

Ta CyberTarcza nam przeszkadza

Dzisiaj (w czwartek 22.11) trafił do nas kolejny mail z jednej z… hmmm, nazwijmy ją „instytucji miejskich” z jednej z małych miejscowości z Wielkopolski. Autorka, pełniąca tam rolę specjalisty ds. kadr i płac, poprosiła CERT Orange Polska o pomoc, pisząc:

„Witam,
Znów pojawił się komunikat jak w załączniku. Czy jest coś, co Państwo możecie zrobić by zapobiec takim sytuacjom? Nie ukrywam, że znacznie utrudnia mi to pracę (…)”

Jak wyglądał załącznik?

Przyjrzeliście się dokładnie? Właśnie tak – autorka maila usiłowała wejść na stronę phishingową (przekreślony adres na screenshocie), jednak CyberTarcza zablokowała możliwość kradzieży danych autoryzacyjnych i – docelowo – okradzenie firmy naszej nadawczyni.

Czytajmy komunikaty!

Skąd wziął się taki ekran? Powodów mogło być wiele – począwszy od kliknięcia w link w phishingowym mailu, łudząco przypominającym wiadomość z banku, skończywszy na przejęciu kontroli nad modemem, czy routerem ofiary. Co w takiej sytuacji zrobić? Na pewno nie próbować za wszelką cenę połączyć się z tego typu stroną! Chcąc dostać się na witrynę banku trzeba po prostu wpisać adres „z ręki”. Stanowczo jednak zalecamy, by wcześniej przeskanować komputer programem antywirusowym z aktualnymi definicjami wirusów. Nie zaszkodzi też sprawdzić, czy nasz router/modem ma zmienione hasło dostępu, a jeśli nie – zrobić to czym prędzej.

Uważajcie na swoje pieniądze. Nie dajcie się okraść.

Udostępnij: CyberTarcza nie pisze przypadkiem

Bezpieczeństwo

Atak hakerski! Jak to działa odc #8

27 września 2018

Atak hakerski! Jak to działa odc #8

Cyberbezpieczeństwo to w Orange bardzo ważny temat. Mamy nasz CERT Orange Polska, który 24 godziny na dobę, 7 dni w tygodniu i przez cały rok monitoruje sieć. Jest też Cybertarcza, która chroni naszych klientów przed zagrożeniami.  To bardzo ważny element naszej sieci dlatego trudno było mi sobie wyobrazić cykl „Jak to działa?” bez niego. I nareszcie jest!

DDoS – jak to działa?

Postanowiłem jednak pokazać ten temat nieco innej strony. Zobaczcie zatem, jak odbywa się atak hakerski. Na warsztat wzięliśmy DDoS. Przy okazji zaglądamy do wnętrza naszego CERT, byście mogli zobaczyć kto i gdzie Was chroni. Miałem okazję porozmawiać także z szefem naszego zespołu do cyfrowych zadań specjalnych. Na koniec w bardzo obrazowy sposób pokazujemy czym różni się Cybertarcza od antywirusa (Żaden laptop nie ucierpiał w tym procesie ;-)). W filmie pokazaliśmy także mapę cyberzagrożeń, którą znajdziecie na stronie cert.orange.pl. Znajdziecie tam masę ciekawych informacji, newsów i aktualności. Więc zaglądajcie tam, nie tylko od święta.

W świecie cyberbezpieczeństwa jestem gościem. Za każdym razem, gdy rozmawiam z kolegami, którzy zajmują się tym zawodowo jest pod wrażeniem ich wiedzy. Nie tylko tej technicznej, ale także… psychologicznej. Cyberataki to w większości przypadków nie jest bowiem łamanie cyfrowych haseł prowadzących do twierdz pełnych serwerów. To manipulacja – byśmy kliknęli w niebezpieczny link, otworzyli załącznik, weszli na stronę, podali hasło. Właśnie z naszej naiwności korzystają przestępcy.

„Kradzież” cyberbezpieczeństwa

Przyznaję się, robiąc wideo o przestępcach sam dokonałem małej kradzieży. Ukradłem Michałowi Rosiakowi temat, a co więcej ukradłem mu dzień na publikację tematu o cyberbezpieczeństwie. Mam nadzieję, że mi wybaczy. Na całe szczęście Michał opublikował już dzisiaj swój (jak zawsze profesjonalny) tekst, w którym ostrzega przed niebezpiecznym trojanem  nazwie Lojax.

Mam nadzieję, że Michał mi wybaczy jedno i drugie.

P.S. Kolejny odcinek serii już za dwa tygodnie – w połowie października. Opowiem w nim o sieci mobilnej i pozwolę Wam zajrzeć do kliku ciekawych miejsc.

Udostępnij: Atak hakerski! Jak to działa odc #8

Bezpieczeństwo

Anubis chce okraść Twoje konto

2 sierpnia 2018

Anubis chce okraść Twoje konto

Statystyki naszych sond z ostatnich dni pokazują znaczący wzrost ruchu, związanego ze złośliwym oprogramowaniem Bankbot.Anubis. To kolejne potwierdzenie rosnącej aktywności przestępców, wykorzystujących to złośliwe oprogramowanie. Robią to w ramach podstawionych aplikacji dla systemu Android, również takich udających prawdziwe aplikacje banków.

41 procent całości

Aktywność oprogramowania Bankbot.Anubis w ostatnim czasie dochodzi do 41 procent całej złośliwej aktywności w sieci mobilnej Orange Polska. Przekładając to na wartości bezwzględne, próby odwołań do infrastruktury sieciowej cyberprzestępców. sięgają kilkunastu milionów. Oczywiście w przypadku sieci Orange Polska adresy serwerów Command&Control botnetu są sinkholowane, co oznacza, że dopóki pozostajecie w naszej sieci, nawet jeśli daliście się zainfekować, Wasze dane nie trafią do przestępców.

Anubis, czyli banker

Bankbot.Anubis to oprogramowanie na urządzenia z systemem Android. Udaje niegroźną aplikację. Następnie usiłuje przekonać ofiarę do udzielenia jej dodatkowych uprawnień w zakresie ułatwień dostępu. W końcu często i tak klikamy „ok” w tych wszystkich okienkach. Niby nic – ale to właśnie one pozwalają w niewidoczny dla nas sposób sczytywać wpisane przez nas znaki (np. loginy i hasła) a także wykonywać zrzuty ekranu i wszystko to wysyłać do przestępców. Jak wskazuje nazwa złośliwego oprogramowania, jest to tzw. banker. Specjalizuje się ono w kradzieży danych, związanych z aplikacjami bankowymi.
Ciekawostka – urządzenie/a rekordzisty w zakresie prób kontaktu z serwerem C&C, klienta indywidualnego Neostrady, w ciągu ostatnich 30 dni usiłowały łączyć się z serwerami Anubisa… niemal 130 tysięcy razy!

Co robić?

Jeśli nie jesteście pewni, czy nie padliście przypadkiem ofiarą Anubisa, otwórzcie w urządzeniu z Androidem menu Ustawienia/Ułatwienia Dostępu. Jeśli wśród aplikacji z dostępem do ułatwień dostępu znajdziecie jakąś nieznaną – odbierzcie jej prawa, usuńcie ją, a najlepiej zmieńcie również hasło dostępu do swojego banku. I pamiętajcie, że używamy wyłącznie oryginalnych, oficjalnych aplikacji naszego banku, ściąganych z oficjalnego sklepu.

Udostępnij: Anubis chce okraść Twoje konto

Bezpieczeństwo

To nie Rossmann – to phishing

26 lipca 2018

To nie Rossmann – to phishing

Dostaliście w ostatnim czasie taką informację jak na tytułowym obrazku? Najczęściej pojawia się na urządzeniach mobilnych. Jeśli tak, jesteście w godnym towarzystwie, bo wraz z Wami pokazuje się przeszło 100 tysiącom osób w ciągu tygodnia, w samej tylko sieci Orange Polska. I tak – to nie Rossmann to wysłał i nie spodziewałbym się, że zyskacie pieniądze – prędzej je stracicie.

„Lewy” bon z Rossmanna

Witryna hxxp://play.leadzu.com/ to przez ostatnie tygodnie zdecydowany król jeśli chodzi o zablokowane w sieci Orange Polska próby phishingu. Najczęściej pojawia się Wam na urządzeniach mobilnych jako „Bon Rossmann”, ale np. na Windowsie potrafi się przedstawić jako nieokreślone coś „Exclusive for Windows PC”. Autorzy kampanii muszą się mocno starać, bowiem z wynikiem niemal 108 tysięcy „odpukań” przez ubiegły tydzień wyprzedza o wiele długości witrynę z drugiego miejsca, otwieraną „zaledwie” 17 tysięcy razy.

Jeśli jesteście klientami Orange Polska możecie jednak spać spokojnie. Wewnątrz sieci Orange Polska ten i tysiące innych adresów są blackholowane – nie macie możliwości wejścia na witryny rozpoznane jako phishingowe lub serwujące malware, zamiast nich zobaczycie informację z CyberTarczy z adresem właściwej strony (jeśli phishing jest na konkretną markę), bądź informacją, że strona jest „lewa”.

Nie ma darmowych obiadów

O ile obecnie celem kampanii wydaje się być wykradanie danych osobowych, tego typu strony mogą pełnić wieloraką rolę. Teraz kliknięcie „kontynuuj” przekieruje nas do formularza, ale to kwestia chwili roboty i na docelowej stronie może się znaleźć exploit, wykorzystujący podatność przeglądarki i instalująćym nam „niespodziankę”.

Nie bez kozery Mark Twain mawiał, że nie ma darmowych obiadów. Swoją drogą, wiecie skąd to się wzięło? Pisałem o tym już na blogu, ale chyba z pięć lat temu. Twain miał na myśli knajpę gdzieś w USA, w której do „darmowych” obiadów właściciel dodawał przesadnie dużo soli. Było smacznie, ale potem „nie wiedzieć czemu” klientom chciało się pić. Z radością więc płacili za piwo jak za zboże 😉 Pamiętajcie więc, że jeśli „wygrywacie” w konkursie, w którym nie braliście udziału, to coś tu brzydko pachnie… Życzę Wam wszystkim jak najwięcej takich kuponów, ale prawdziwych 🙂

Udostępnij: To nie Rossmann – to phishing

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej