Bezpieczeństwo

„Widziałem Cię nago”…

6 września 2018

„Widziałem Cię nago”…

Zaintrygowałem Was tytułem, prawda? Taki był plan 😉 Brzmi zabawnie, jak na tekst o cyberbezpieczeństwie, tym niemniej sprawa robi się poważna, gdy dostaniemy takiego maila, a domniemany sprawca „za drobną opłatą” obiecuje nie publikować naszych intymnych fotografii w internecie. Ryzyko spore, może faktycznie widział, może gdzieś chodziłam/em nago po domu? Może lepiej zapłacić?

Nie negocjować z terrorystami

Gdybym miał wybrać jedną najbardziej znaczącą scenkę, klasyczną dla amerykańskich filmów akcji, byłby to prezydent USA, siedzący za biurkiem (nie nago 😉 ), mówiący stanowczym głosem: „Nie negocjujemy z terrorystami!”. Dlatego zanim w ogóle przyjdzie nam do głowy myśl, że w mailu, który dostaliśmy, może być coś na rzeczy, zastanówmy się… czy aby na pewno?

Czy w ogóle można włamać się do naszego komputera, czy smartfona i uzyskać dostęp do kamery? Cóż, niestety tak. Na smartfonie nieco trudniej. Instalując jakąkolwiek aplikację widzimy, bowiem czego się domaga, a jeśli np. kalendarz chce używać kamery, powinno to wzbudzić nasz niepokój. Na pececie niestety łatwiej złapać malware, czy trafić na przestępcę, który wykorzysta podatność urządzenia, czy systemu.

Zasłoń kamerę

Zakładając, że przestępcy się udało, czy mógł mnie widzieć? Jeśli przy komputerze nie siadamy nago, to nie, co nie zmienia faktu, że warto zainwestować kilka złotych w zasłonkę do kamery laptopa i pokazywać się naszym rozmówcom wtedy, kiedy to my chcemy. Z telefonem nie jest już tak łatwo, ale też nie popadajmy w paranoję. Faktycznie urządzenia mobilne nosimy ze sobą w – hmmm – różne miejsca, ale zamiast owijać je folią aluminiową, czy odłączać od internetu, możne je po prostu odłożyć tak, by jedna kamera była zasłonięta, a druga patrzyła w sufit. Przynajmniej wtedy, gdy chodzimy nago 😉

A przede wszystkim pamiętajmy, że tego typu próby wymuszenia w kwestii podejścia przestępców mają wiele wspólnego z phishingiem. Dobrze przygotowany atak socjotechniczny ma zadziałać na nasze emocje, na poziomie można by rzec „pierwotnym”. Nie mamy myśleć nad tym, co dostaliśmy – mamy natychmiast reagować. Albo klikać w linka, albo wpisywać login i hasło, albo – cóż – przelewać okup dla szantażysty. Warto wyrobić sobie jednolite podejście do wszystkich takich sytuacji w sieci – jeśli coś wywołuje u mnie ponadstandardowe emocje, muszę nabrać oddechu i na spokojnie zastanowić się, czy ma to jakikolwiek sens. Historia zna sytuacje, gdy „serwisant” widząc przez kamerkę laptopa młode, atrakcyjne kobiety, pisał na przejętych komputerach, że musi przeprowadzić test działania w warunkach zwiększonej wilgotności i prosił o wstawienie komputerów do łazienki, najlepiej przy włączonym prysznicu. I tak – ofiary się na to łapały, choć ciężko w to uwierzyć.

A jeśli faktycznie mogliście chodzić nago przed komputerem? Pytanie, czy warto płacić i wierzyć w uczciwość złodzieja, że potem nie będzie chciał więcej?

Fot. Carmichael Collective 

 

Udostępnij: „Widziałem Cię nago”…

Bezpieczeństwo

PUP – niby nie wirus, ale równie groźny

23 sierpnia 2018

PUP – niby nie wirus, ale równie groźny

Spotkaliście się kiedyś ze skrótem PUP? Oczywiście w kontekście cyberbezpieczeństwa 😉 Ten anglojęzyczny akronim oznacza Potentially Unwanted Program, czyli potencjalnie niechciane programy.
„Czyli co?” – zapytacie. „Nie wirusy, czyli w zasadzie to nie jest nic złego?”
Cóż – niekoniecznie.

To nie są „tylko reklamy”

Idealnym przykładem na PUP jest usiłujący się rozpanoszyć ostatnio w sieci Orange Polska PUP.Optional.Adware, kod wydawać by się mogło, że nie złośliwy, bo cóż złego może nam się stać, jeśli przestępcy podmienią prezentowane na naszych urządzeniu reklamy na własne? Teoretycznie nic, po prostu zarobią na swoich, a my przecież i tak rzadko kiedy patrzymy, co tam się pokazuje, prawda? No ale zwrot „potencjalnie” nie znalazł się w nazwie tego rodzaju malware’u (ja mimo wszystko tak interpretuję aktywność tego kodu) przypadkiem. Bo skoro jest w stanie ingerować w to, co widzimy, to co stoi na przeszkodzie, by pokazał nam „reklamy” wykorzystujące podatności przeglądarki i infekujące nasz komputer? W czym problem, by przy próbie wejścia na stronę www.mojsuperbank.pl tak naprawdę pokazać zawartość witryny www.zarazcieokradne.pl? To wszystko kwestia odpowiednich (czytaj: podstawionych przez przestępców) serwerów DNS. Nie zawsze to, co widzisz na pierwszy rzut oka jest tym, czym się wydaje…

„Maska” Cię nie wyleczy

Przez najbliższy czas niektórzy z Was mogą po uruchomieniu przeglądarki zamiast wybranej strony zobaczyć witrynę CyberTarczy, informującą o infekcji PUP.Optional.Adware. Nie ignorujcie tego, ściągnijcie dołączony plik PDF i wykonajcie zamieszczone w nich instrukcje. To, że w sieci Orange Polska Was chronimy i blokujemy próby połączeń z serwerami przestępców, nie oznacza, że przy zmianie sieci nie mogą Wam zrobić krzywdy. A życie z zainfekowanym komputerem to trochę tak, jakby zamiast leczyć zapalenie płuc, chodzić po prostu w masce. Wyleczy? Chyba niekoniecznie…

Udostępnij: PUP – niby nie wirus, ale równie groźny

Bezpieczeństwo

Anubis chce okraść Twoje konto

2 sierpnia 2018

Anubis chce okraść Twoje konto

Statystyki naszych sond z ostatnich dni pokazują znaczący wzrost ruchu, związanego ze złośliwym oprogramowaniem Bankbot.Anubis. To kolejne potwierdzenie rosnącej aktywności przestępców, wykorzystujących to złośliwe oprogramowanie. Robią to w ramach podstawionych aplikacji dla systemu Android, również takich udających prawdziwe aplikacje banków.

41 procent całości

Aktywność oprogramowania Bankbot.Anubis w ostatnim czasie dochodzi do 41 procent całej złośliwej aktywności w sieci mobilnej Orange Polska. Przekładając to na wartości bezwzględne, próby odwołań do infrastruktury sieciowej cyberprzestępców. sięgają kilkunastu milionów. Oczywiście w przypadku sieci Orange Polska adresy serwerów Command&Control botnetu są sinkholowane, co oznacza, że dopóki pozostajecie w naszej sieci, nawet jeśli daliście się zainfekować, Wasze dane nie trafią do przestępców.

Anubis, czyli banker

Bankbot.Anubis to oprogramowanie na urządzenia z systemem Android. Udaje niegroźną aplikację. Następnie usiłuje przekonać ofiarę do udzielenia jej dodatkowych uprawnień w zakresie ułatwień dostępu. W końcu często i tak klikamy „ok” w tych wszystkich okienkach. Niby nic – ale to właśnie one pozwalają w niewidoczny dla nas sposób sczytywać wpisane przez nas znaki (np. loginy i hasła) a także wykonywać zrzuty ekranu i wszystko to wysyłać do przestępców. Jak wskazuje nazwa złośliwego oprogramowania, jest to tzw. banker. Specjalizuje się ono w kradzieży danych, związanych z aplikacjami bankowymi.
Ciekawostka – urządzenie/a rekordzisty w zakresie prób kontaktu z serwerem C&C, klienta indywidualnego Neostrady, w ciągu ostatnich 30 dni usiłowały łączyć się z serwerami Anubisa… niemal 130 tysięcy razy!

Co robić?

Jeśli nie jesteście pewni, czy nie padliście przypadkiem ofiarą Anubisa, otwórzcie w urządzeniu z Androidem menu Ustawienia/Ułatwienia Dostępu. Jeśli wśród aplikacji z dostępem do ułatwień dostępu znajdziecie jakąś nieznaną – odbierzcie jej prawa, usuńcie ją, a najlepiej zmieńcie również hasło dostępu do swojego banku. I pamiętajcie, że używamy wyłącznie oryginalnych, oficjalnych aplikacji naszego banku, ściąganych z oficjalnego sklepu.

Udostępnij: Anubis chce okraść Twoje konto

Bezpieczeństwo

To phishing, to nie od nas

29 marca 2018

To phishing, to nie od nas

Phishing nie zanika i jeszcze długo nie zaniknie. W sumie to pewnie nigdy. Zastanawiałem się, czy opisywać na Blogu powtarzające się ostatnio kampanie, skoro regularnie wrzucam informacje na ich temat na stronę CERT Orange Polska, ale w sumie niekoniecznie grupy odbiorców obu witryn muszą mieć znaczną część wspólną.

Nie opłacajcie tej faktury

Do polskich internautów od przeszło miesiąca nieregularnie trafiają fale wiadomości, a w nich phishing z „fakturami”. Nadawcą jest zawsze konto w domenie @orange.pl, zwięzła treść sugeruje opłacenie zaległej faktury, która ma się znajdować w załączonym pliku XLS. W większości przypadków plik zawiera trojana Nymaim – tzw. bankera, tj. złośliwy program wyspecjalizowany w wykradaniu loginów i haseł do kont bankowych. W momencie wysyłania przez przestępców kolejnych kampanii, zawarty w nich malware był wyjątkowo groźny, wykrywało go bowiem zazwyczaj ok. 10 procent silników antywirusowych.

W ostatniej mutacji przestępcy postarali się – przynajmniej w pewnym aspekcie – nieco bardziej, bowiem tym razem spróbowali udawać nie faktury biznesowe, ale dokumenty od nas, wysyłane z rachunkami za telefon. Nasi klienci wiedzą, że takie maile przychodzą z adresu e-faktura@pl.orange.com (a nie używanego przez przestępców Ornge PL <e-faktura.TP@orange.com> – literówka nieprzypadkowa, jest dziełem przestępców). Na szczęście dzięki wyglądowi wiadomości (z ukrytym w załączniku trojanem vjw0rm) na taki phishing nie złapie się – w co mocno wierzę – nikt, jednak przestępcy, o ile cechuje ich choćby odrobina inteligencji, przy kolejnej kampanii mogą znacząco poprawić przekaz.

Czy te maile są od Orange?

Nie. A dlaczego mają taką domenę nadawcy? Dlatego, że niestety łatwo ją podrobić, o czym piszemy np. tutaj. Jak się przed tym zabezpieczyć? Na kilka sposobów. Przede wszystkim zdrowym rozsądkiem. Jeśli dostajecie maila od nieznajomego, który domaga się od Was pieniędzy, nie otwierajcie załącznika. Najpierw uspokójcie emocje, na spokojnie przeczytajcie wiadomość, a jeśli nie macie pewności – zadzwońcie do domniemanego nadawcy. Jeśli w mailu nie ma telefonu – niemal na sto procent mamy do czynienia z oszustwem. Jeśli jest tam numer kontaktowy – być może dodzwonicie się do faktycznie istniejącej firmy, gdzie powiadomią Was o oszustwie.

Czy Orange ze swojej strony robi coś, by takie maile nie mogły być wysyłane? Tak. Serwery pocztowe domeny @orange.pl mają zaimplementowane mechanizmy SPF (Server Policy Framework) i DKIM (Domain Keys Identified Mail). Jednak w tym cały jest ambaras, by dwoje chciało naraz – informacje dotyczące naszych domen (@neostrada.pl i @orange.pl) muszą być prawidłowo rozpoznawane u Waszych dostawców poczty. Tak jest w przypadku domeny @pl.orange.com, z której przychodzą do Was nasze faktury, tym niemniej i tak niezmiennie zachęcamy Was do sprawdzenia, czy numer klienta i dane są faktycznie Wasze, zanim otworzycie załącznik.

CyberTarcza kontra phishing

Jednego możecie być pewni. Gdy próbki takich zagrożeń trafiają do nas, powiązane z nim adresy IP/domenowe są automatycznie blokowane przez CyberTarczę. Oznacza to, że pozostając w sieci Orange Polska nawet jeśli niefrasobliwie się zainfekujecie, złośliwe oprogramowanie nie będzie w stanie połączyć się ze swoim centrum kontroli, a Wy, wchodząc na stronę CyberTarczy, zobaczycie informację o infekcji.

Jeśli chcecie być na bieżąco z Orange’owymi newsami o bezpieczeństwie w internecie, zaglądajcie na naszą stronę i obserwujcie CERT Orange Polska na Twitterze.

I oczywiście niezmiennie, jak zawsze – uważajcie na siebie.

Spokojnych Świąt.

Udostępnij: To phishing, to nie od nas

Bezpieczeństwo

Phishing na chmurę

25 stycznia 2018

Phishing na chmurę

Gdyby każdy, kto nigdy nie dostał maila phishingowego, miał położyć jeden kamień, mam wrażenie, że przez powstałą budowlę bez problemów przejechałby samochód. Ba, hulajnoga by przejechała. Może nawet by jej nie zobaczyła. Choćby dlatego, że przeszło połowa e-maili, które krążyły po internecie w 2017 roku to spam. A znacząca większość spamu to w dzisiejszych czasach właśnie phishing. Nie wiem, jak Wy, ale ja dawno nie dostałem takiego stricte spamu, reklamującego szarą strefę lekarstw sprzedawanych normalnie na receptę, czy powiększania tego i owego. Jeszcze kilka lat temu było to normą. Dziś między pojęciami spamu i phishingu można bez większego ryzyka postawić znak równości.

Dokument-niespodzianka?

Do CERT Orange Polska wpadł ostatnio ciekawy przypadek phishingu, potencjalnie niebezpieczny dla części internautów w dobie wszechobecnych internetowych chmur i udostępniania za ich pomocą plików.

Kogóż z nas choć raz w życiu nie pokonała ciekawość? Nieoczekiwana przesyłka na poczcie, niespodzianka od nieznajomego na biurku w pracy… Może więc warto kliknąć, skoro „ktoś wysłał ci dokument”, by zobaczyć co tam jest?

Nie warto. Przede wszystkim dlatego, że tego typu informacje nigdy nie przychodzą od „Someone”. Zawsze w polu nadawcy, bądź w treści znajduje się imię i nazwisko lub przynajmniej adres e-mail nadawcy. Sytuacja, gdy otrzymujemy takiego maila, jak powyższy, powinna natychmiast zapalić Wam w głowie czerwoną latarnię, w efekcie czego skasujecie wiadomość (a jeszcze lepiej, wyślecie ją na adres cert.opl@orange.com). Jeśli otrzymacie informację z adresem e-mail, przed kliknięciem warto sprawdzić, czy jest Wam znany. W przypadku jakichkolwiek wątpliwości – skontaktować się z domniemanym nadawcą przed kliknięciem w cokolwiek. Pół biedy, jeśli przestępcy chcą tylko wyłudzić wasze loginy i hasła (choć tego ryzyka też nie wolno bagatelizować). Taki atak zazwyczaj kończy się instalacją złośliwego oprogramowania na naszym urządzeniu, po kliknięciu w link, lub otwarciu załącznika.

Udostępnij: Phishing na chmurę

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej