Bezpieczeństwo

Dodatek do przeglądarki? Zastanów się…

26 września 2019

Dodatek do przeglądarki? Zastanów się…

Jak często zdarza się Wam zainstalować dodatek do przeglądarki WWW? Jak wiele ich macie? Jak często… zastanawiacie się, jakie im dajecie uprawnienia? Jak się domyślacie, takie pytania nie padają bez przyczyny 🙂 Bo przecież taki dodatek to tak naprawdę mała aplikacja, instalowana w przeglądarce. Kto z Was w ten sposób do tego podchodzi, instalując rozszerzenia?

Dziwna strona w Rosji

Wszystko zaczęło się od wykrycia przez systemy bezpieczeństwa w sieci korporacyjnej Orange pewnej anomalii. Nasze firmowe proxy zanotowało nagle sporą liczbę połączeń do pewnej strony w domenie .ru, z zachowaniem identycznego schematu:

https://dziwna_strona.ru/?http://portalpasazera.pl
https://dziwna_strona.ru/?http://bilet.intercity.pl

i tak dalej, z różnymi usługowymi polskimi stronami WWW po symbolu „?”.

Analiza wykazała, że użytkownik tego samego dnia zainstalował rozszerzenie Speed Dial. Według opisu, miało ono usprawniać działanie przeglądarki, poprawić jej estetykę (kolory, ikony, etc.) i – hmmm – „dodać kilka funkcji”…

Mam nieodparte wrażenie, że ani niedoszła ofiara nie spodziewała się, jak i autor rozszerzenia „zapomniał napomknąć”, że wśród owych „kilku funkcji”, cechujących dodatek do przeglądarki znajduje się również wykonywanie w tle screenshotów pulpitu i wysyłanie ich na wymieniony wcześniej, publicznie dostępny serwer. Co było celem autora dodatku? Tego nie wiemy, na pierwszy rzut – hmmm, mózgu? – nie wydaje się, by na screenshotach mogło znaleźć się coś podejrzanego. Być może złośliwe rozszerzenie (ściągnięte zaledwie przez ok. 6 tysięcy osób) zostało niepoprawnie skonfigurowane, bowiem dzień później zniknęło ze sklepu Firefoxa. Możliwe też, że był to efekt związanych z nim zgłoszeń, w tym rzecz jasna z naszego CERTu.

A przecież ostrzegał…

Ponieważ każda edukacyjna opowieść musi mieć morał, przyszła na niego pora 🙂 Ryzyka związanego ze Speed Dial można było bardzo łatwo uniknąć.

Kto z Was zwraca uwagę na jakiś taki mały żółty pasek? A kto się nim przejmuje? Mam nadzieję, że większość z Was powiedziała głośno przed monitorem: „No jasne, że ja!”, ale niestety – jak widać – przynajmniej 6 tysięcy internautów niekoniecznie uznało to za problem. Inna sprawa, że przy tego typu ostrzeżeniach zgoda, świadome kliknięcie: „Tak, jestem świadom ryzyka”, powinna być warunkiem instalacji!

Nawet jednak jeśli ktoś tego nie zauważył, czerwona lampka powinna zapalić mu się po raz kolejny:

Jak dla mnie to nieco zbyt wiele i nawet biorąc pod uwagę, że rozszerzenie miało „usprawniać przeglądarkę”… Hmmm, wolałbym mieć mniej sprawną.

Gdy przyjrzymy się „sklepom” z dodatkami do przeglądarek, można dojść do wniosku, że stawiany przez lata za „wzór” Stajni Augiasza Google Play wygląda przy nich jak sala operacyjna przed zabiegiem. Pamiętajcie – jeśli już zdecydujecie się na instalację rozszerzenia:

  • upewnijcie się, czy kolejny dodatek do przeglądarki jest Wam potrzebny
  • potem zróbcie to raz jeszcze
  • sprawdźcie jego autora, liczbę ściągnięć pliku i opinie internautów
  • obowiązkowo przeczytajcie, jakich uprawnień żąda
  • jeśli macie jakiekolwiek wątpliwości – poszukajcie innego, bardziej zaufanego, rozszerzenia tego typu

No chyba, że chcecie znaleźć swoje dane na publicznym serwerze w Rosji – absolutnie nie zamierzam odbierać Wam do tego prawa 🙂

Udostępnij: Dodatek do przeglądarki? Zastanów się…

Bezpieczeństwo

Choć antywirus to za mało…

29 listopada 2018

Choć antywirus to za mało…

…odnoszę wrażenie, iż niektórzy uważają, że w ogóle nie jest potrzebny. A to założenie z gruntu błędne i jest to określenie wyjątkowo łagodne. Czemu w ogóle o tym piszę? Bo przyjrzałem się ostatnio statystykom CyberTarczy.

Takie stare, a jeszcze jare

Sality, Conficker, Necurs. Co łączy te trzy nazwy? Oczywiście to, że wszystkie są nazwami botnetów, ale także fakt, iż… nie powinny już istnieć. W dzisiejszych czas rok egzystencji w internecie to już sporo. Przez 5 lat w technologii zmienia się niekiedy tyle, co kiedyś w trakcie jednej epoki. A co dopiero, jeśli mówić o malware, skoro – jak pisałem po konferencji Security Case Study – blisko 100 procent (dokładnie 96) spośród 2,5 miliona sampli malware’u, analizowanych dziennie przez Microsoft jest jednorazowa.
Czym w takim razie wytłumaczyć fakt, że wśród użytkowników Neostrady (czy raczej wśród ich urządzeń) znajdują się sprzęty zainfekowane złośliwym oprogramowaniem, liczącym… piętnaście lat? Tak tak – gdyby botnet Sality był człowiekiem, za 3 lata mógłby sam pójść na piwo. Conficker jest nieco młodszy (powstał w 2008), zaś Necurs to w porównaniu do „kolegów” jeszcze dziecko ;), tym niemniej 6 lat wśród malware’u to wciąż mnóstwo czasu.

Skąd to się wzięło?

Dobra, nie zostawię Was bez odpowiedzi na pytanie z poprzedniego akapitu (tak mi się przynajmniej wydaje). Powodów może być sporo, począwszy od tego, że w przypadku niektórych odmian opisywanego malware’u organy ścigania mogły już dawno przejąć przestępczą infrastrukturę (biorąc pod uwagę terminy to mogli już dawno zapomnieć, że w ogóle istniała). W efekcie infekcja została, ale botnet nie robi już nic złego. Ofiary mogą też korzystać nieprzerwanie z sieci Orange Polska, gdzie znane adresy IP powiązane z botnetami są od bardzo dawna sinkholowane i regularnie dodawane. Mogli też (to w sumie działa wspólnie z poprzednim punktem)… zrezygnować z oprogramowania zabezpieczającego, zgodnie z coraz powszechniejszą modą na „zdrowy rozsądek wystarczy”.

Cóż – o ile w przypadku urządzeń z Androidem zazwyczaj tak (specyfika systemu z zielonym robotem znacząco utrudnia zainstalowanie wirusa, przy założeniu, że korzystamy wyłącznie z oficjalnego sklepu i nie modyfikowaliśmy urządzenia), to z systemami stacjonarnymi nie jest już tak łatwo. Oczywiście rozsądek zawsze jest wskazany, a CyberTarcza swoje zrobi. Monitorowanie podejrzanych połączeń w naszej sieci i nawet (jak widać) antywirus też się przydadzą.

Necurs *20 tysięcy

Jeśli jesteście klientami Orange Polska, nie zaszkodzi zajrzeć na stronę CyberTarczy, by dowiedzieć się, czy przypadkiem któraś z takich niespodzianek u Was nie siedzi. U rekordzistów w ciągu ostatniego miesiąca Necurs usiłował się połączyć z przestępczą infrastrukturą ponad 20 tysięcy razy. Tam pewnie czekałby na niego ransomware Locky, najpopularniejszy „ładunek” w przypadku tego złośnika. No i pamiętajcie o zaktualizowaniu i uruchomieniu antywirusa. A nuż coś znajdzie? I nie zdziwcie się, gdy włączając przeglądarkę zamiast poszukiwanej strony zobaczycie informację o zagrożeniu. Szczegółowa instrukcja poprowadzi Was „za rączkę” i pomoże wyczyścić urządzenie.

Udostępnij: Choć antywirus to za mało…

Bezpieczeństwo

„Widziałem Cię nago”…

6 września 2018

„Widziałem Cię nago”…

Zaintrygowałem Was tytułem, prawda? Taki był plan 😉 Brzmi zabawnie, jak na tekst o cyberbezpieczeństwie, tym niemniej sprawa robi się poważna, gdy dostaniemy takiego maila, a domniemany sprawca „za drobną opłatą” obiecuje nie publikować naszych intymnych fotografii w internecie. Ryzyko spore, może faktycznie widział, może gdzieś chodziłam/em nago po domu? Może lepiej zapłacić?

Nie negocjować z terrorystami

Gdybym miał wybrać jedną najbardziej znaczącą scenkę, klasyczną dla amerykańskich filmów akcji, byłby to prezydent USA, siedzący za biurkiem (nie nago 😉 ), mówiący stanowczym głosem: „Nie negocjujemy z terrorystami!”. Dlatego zanim w ogóle przyjdzie nam do głowy myśl, że w mailu, który dostaliśmy, może być coś na rzeczy, zastanówmy się… czy aby na pewno?

Czy w ogóle można włamać się do naszego komputera, czy smartfona i uzyskać dostęp do kamery? Cóż, niestety tak. Na smartfonie nieco trudniej. Instalując jakąkolwiek aplikację widzimy, bowiem czego się domaga, a jeśli np. kalendarz chce używać kamery, powinno to wzbudzić nasz niepokój. Na pececie niestety łatwiej złapać malware, czy trafić na przestępcę, który wykorzysta podatność urządzenia, czy systemu.

Zasłoń kamerę

Zakładając, że przestępcy się udało, czy mógł mnie widzieć? Jeśli przy komputerze nie siadamy nago, to nie, co nie zmienia faktu, że warto zainwestować kilka złotych w zasłonkę do kamery laptopa i pokazywać się naszym rozmówcom wtedy, kiedy to my chcemy. Z telefonem nie jest już tak łatwo, ale też nie popadajmy w paranoję. Faktycznie urządzenia mobilne nosimy ze sobą w – hmmm – różne miejsca, ale zamiast owijać je folią aluminiową, czy odłączać od internetu, możne je po prostu odłożyć tak, by jedna kamera była zasłonięta, a druga patrzyła w sufit. Przynajmniej wtedy, gdy chodzimy nago 😉

A przede wszystkim pamiętajmy, że tego typu próby wymuszenia w kwestii podejścia przestępców mają wiele wspólnego z phishingiem. Dobrze przygotowany atak socjotechniczny ma zadziałać na nasze emocje, na poziomie można by rzec „pierwotnym”. Nie mamy myśleć nad tym, co dostaliśmy – mamy natychmiast reagować. Albo klikać w linka, albo wpisywać login i hasło, albo – cóż – przelewać okup dla szantażysty. Warto wyrobić sobie jednolite podejście do wszystkich takich sytuacji w sieci – jeśli coś wywołuje u mnie ponadstandardowe emocje, muszę nabrać oddechu i na spokojnie zastanowić się, czy ma to jakikolwiek sens. Historia zna sytuacje, gdy „serwisant” widząc przez kamerkę laptopa młode, atrakcyjne kobiety, pisał na przejętych komputerach, że musi przeprowadzić test działania w warunkach zwiększonej wilgotności i prosił o wstawienie komputerów do łazienki, najlepiej przy włączonym prysznicu. I tak – ofiary się na to łapały, choć ciężko w to uwierzyć.

A jeśli faktycznie mogliście chodzić nago przed komputerem? Pytanie, czy warto płacić i wierzyć w uczciwość złodzieja, że potem nie będzie chciał więcej?

Fot. Carmichael Collective 

 

Udostępnij: „Widziałem Cię nago”…

Bezpieczeństwo

PUP – niby nie wirus, ale równie groźny

23 sierpnia 2018

PUP – niby nie wirus, ale równie groźny

Spotkaliście się kiedyś ze skrótem PUP? Oczywiście w kontekście cyberbezpieczeństwa 😉 Ten anglojęzyczny akronim oznacza Potentially Unwanted Program, czyli potencjalnie niechciane programy.
„Czyli co?” – zapytacie. „Nie wirusy, czyli w zasadzie to nie jest nic złego?”
Cóż – niekoniecznie.

To nie są „tylko reklamy”

Idealnym przykładem na PUP jest usiłujący się rozpanoszyć ostatnio w sieci Orange Polska PUP.Optional.Adware, kod wydawać by się mogło, że nie złośliwy, bo cóż złego może nam się stać, jeśli przestępcy podmienią prezentowane na naszych urządzeniu reklamy na własne? Teoretycznie nic, po prostu zarobią na swoich, a my przecież i tak rzadko kiedy patrzymy, co tam się pokazuje, prawda? No ale zwrot „potencjalnie” nie znalazł się w nazwie tego rodzaju malware’u (ja mimo wszystko tak interpretuję aktywność tego kodu) przypadkiem. Bo skoro jest w stanie ingerować w to, co widzimy, to co stoi na przeszkodzie, by pokazał nam „reklamy” wykorzystujące podatności przeglądarki i infekujące nasz komputer? W czym problem, by przy próbie wejścia na stronę www.mojsuperbank.pl tak naprawdę pokazać zawartość witryny www.zarazcieokradne.pl? To wszystko kwestia odpowiednich (czytaj: podstawionych przez przestępców) serwerów DNS. Nie zawsze to, co widzisz na pierwszy rzut oka jest tym, czym się wydaje…

„Maska” Cię nie wyleczy

Przez najbliższy czas niektórzy z Was mogą po uruchomieniu przeglądarki zamiast wybranej strony zobaczyć witrynę CyberTarczy, informującą o infekcji PUP.Optional.Adware. Nie ignorujcie tego, ściągnijcie dołączony plik PDF i wykonajcie zamieszczone w nich instrukcje. To, że w sieci Orange Polska Was chronimy i blokujemy próby połączeń z serwerami przestępców, nie oznacza, że przy zmianie sieci nie mogą Wam zrobić krzywdy. A życie z zainfekowanym komputerem to trochę tak, jakby zamiast leczyć zapalenie płuc, chodzić po prostu w masce. Wyleczy? Chyba niekoniecznie…

Udostępnij: PUP – niby nie wirus, ale równie groźny

Bezpieczeństwo

Anubis chce okraść Twoje konto

2 sierpnia 2018

Anubis chce okraść Twoje konto

Statystyki naszych sond z ostatnich dni pokazują znaczący wzrost ruchu, związanego ze złośliwym oprogramowaniem Bankbot.Anubis. To kolejne potwierdzenie rosnącej aktywności przestępców, wykorzystujących to złośliwe oprogramowanie. Robią to w ramach podstawionych aplikacji dla systemu Android, również takich udających prawdziwe aplikacje banków.

41 procent całości

Aktywność oprogramowania Bankbot.Anubis w ostatnim czasie dochodzi do 41 procent całej złośliwej aktywności w sieci mobilnej Orange Polska. Przekładając to na wartości bezwzględne, próby odwołań do infrastruktury sieciowej cyberprzestępców. sięgają kilkunastu milionów. Oczywiście w przypadku sieci Orange Polska adresy serwerów Command&Control botnetu są sinkholowane, co oznacza, że dopóki pozostajecie w naszej sieci, nawet jeśli daliście się zainfekować, Wasze dane nie trafią do przestępców.

Anubis, czyli banker

Bankbot.Anubis to oprogramowanie na urządzenia z systemem Android. Udaje niegroźną aplikację. Następnie usiłuje przekonać ofiarę do udzielenia jej dodatkowych uprawnień w zakresie ułatwień dostępu. W końcu często i tak klikamy „ok” w tych wszystkich okienkach. Niby nic – ale to właśnie one pozwalają w niewidoczny dla nas sposób sczytywać wpisane przez nas znaki (np. loginy i hasła) a także wykonywać zrzuty ekranu i wszystko to wysyłać do przestępców. Jak wskazuje nazwa złośliwego oprogramowania, jest to tzw. banker. Specjalizuje się ono w kradzieży danych, związanych z aplikacjami bankowymi.
Ciekawostka – urządzenie/a rekordzisty w zakresie prób kontaktu z serwerem C&C, klienta indywidualnego Neostrady, w ciągu ostatnich 30 dni usiłowały łączyć się z serwerami Anubisa… niemal 130 tysięcy razy!

Co robić?

Jeśli nie jesteście pewni, czy nie padliście przypadkiem ofiarą Anubisa, otwórzcie w urządzeniu z Androidem menu Ustawienia/Ułatwienia Dostępu. Jeśli wśród aplikacji z dostępem do ułatwień dostępu znajdziecie jakąś nieznaną – odbierzcie jej prawa, usuńcie ją, a najlepiej zmieńcie również hasło dostępu do swojego banku. I pamiętajcie, że używamy wyłącznie oryginalnych, oficjalnych aplikacji naszego banku, ściąganych z oficjalnego sklepu.

Udostępnij: Anubis chce okraść Twoje konto

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej