Bezpieczeństwo

[Krótko] Świeżutkie phishingi

22 października 2020

[Krótko] Świeżutkie phishingi

Cześć,

Dziś krótko, bo sporo się dzieje, więc wbiegam na bloga tylko na chwilę. Standardowo, żeby Was ostrzec, bo przestępcy/oszuści (niepotrzebne skreślić) jakoś w ostatnich dniach wyjątkowo się rozbuchali.

Fałszywe faktury

Od kilku godzin (więc to naprawdę świeże info) obserwujemy znaczący wzrost maili, podszywających się pod nasze faktury. W załączniku oczywiście złośliwe oprogramowanie, koledzy jeszcze je analizują, być może zupdate’uję potem ten tekst, gdy dowiem się, co źli ludzie tam schowali.

Pamiętajcie, by zawsze sprawdzić „strefę bezpieczeństwa” w mailu z fakturą od Orange Polska. Tam znajdziecie swoje imię i nazwisko oraz numer klienta. Jeśli tego nie ma (albo numer jest zły) – wyślijcie otrzymanego maila na cert.opl@orange.com, a następnie usuńcie. Niczego nie klikajcie „z ciekawości”.

Udają policję i… CyberTarczę

Bezczelność oszustów nie zna granic. Też dzisiaj trafił do nas mail, który mógłby wywołać w wielu internautach emocje tak duże, by odruchowo kliknęli w załącznik. A tam, zamiast pisma z Komendy Głównej, trafiliby na trojana Remcos. Co ciekawe, przestępcy musieli się zagapić (albo „składali” kampanię na szybko”), bowiem na malutkim JPG dołączonym do maila widać kopię rzekomego… przelewu z PKO. Ale warto uważać, kolejna kampania może być groźniejsza. Więcej przeczytacie na stronie CERT Orange Polska.

W tym tygodniu przestępcy podszyli się również pod CyberTarczę. Całkiem sprytnie kopiując naszą stronę usiłują zasugerować potencjalnym ofiarom, że muszą… zaktualizować telefony, by móc korzystać z internetu. Oczywiście sugerowana do instalacji aplikacja nie ma niczego wspólnego z siecią mobilną (poza tym, że przy jej użyciu można ją ściągnąć). To Hydra, mobilny „banker”, tj. oprogramowanie wykradające dane logowania do e-banków. O tym ataku też szerzej napisałem na stronie CERT.

Uważajcie na siebie. Nie dajcie się oszukać. Bądźcie zdrowi. Zostańcie w domu.

 

Udostępnij: [Krótko] Świeżutkie phishingi

Bezpieczeństwo

CyberWeek – bądź sprytniejszy od oszustów!

2 grudnia 2019

CyberWeek – bądź sprytniejszy od oszustów!

Nie musicie patrzeć zdziwieni na kalendarze, dziś nie jest czwartek. Dzisiaj wskakuję nieco ponadplanowo, ale powód słuszny 🙂

CyberWeek to wyprzedażowe szaleństwa, przy których wielu z nas kupuje, korzystając wyłącznie z urządzeń mobilnych. Sami przyznacie, że tak jest po prostu łatwiej. Kiedyś nad sensownością zakupu mogliśmy się zastanawiać w drodze do sklepu, potem przy półce. Teraz – kilka klików i dopiero widząc informację z bankowej aplikacji zdajemy sobie sprawę, że nieco uszczupliliśmy swoje finansowe zasoby.

Coraz więcej ataków mobilnych – CyberTarcza czuwa

W 2018 ponad 28% wszystkich ataków stanowiły te na użytkowników urządzeń mobilnych. Dla porównania w 2015 roku było to mniej niż 2,5%! Z kolei przez ostatnie 3 miesiące (IX-XI) aż  83% zablokowanych prób phishingu miało miejsce na urządzeniach mobilnych. Oznacza to, że aż 83 na 100 użytkowników, których przestępcy przekonali do otwarcia strony phishingowej, wchodziło nań ze smartfonu lub tabletu! I tu jest zadanie dla CyberTarczy. Bez niej, kolejnym krokiem przestępców mogłoby być np. przejęcie loginu i hasła ofiary do Facebooka, bądź do konta bankowego (co zazwyczaj kończy się wyczyszczeniem go do zera). Co więcej, atakom ukierunkowanym na polskich użytkowników internetu możecie się przyjrzeć na mapie na stronie CERT Orange Polska. Jak widać, dzieje się sporo i nieprzerwanie.

Jak żyć podczas CyberWeek?

Nie tylko podczas CyberWeek, acz każdy powód jest dobry, by siać bezpieczniacką wiedzę. Na pewno – poza wykorzystywaniem zdrowego rozsądku – warto bronić się aktywnie. Użytkownicy indywidualni i mniejsze firmy mogą skorzystać ze wspomnianej usługi CyberTarcza, która blokuje próby połączeń z zagrożeniami tj. podszywanie się pod inną osobę lub instytucję, aby wyłudzić poufne dane (phishing), złośliwe oprogramowanie (malware), serwerami Command&Control botnetów, a także umożliwia zarządzanie dostępem do treści.

Większe firmy mogą natomiast skorzystać z usługi CyberWatch, która oprócz blokowania połączeń z zagrożeniami dostarcza informację, z którego numeru firmowego wystąpiła próba takiego połączenia. CyberWatch można uruchomić również na łączu dostępowym.

Nie dajcie się przestępcom. Zepsujmy im święta :>

Udostępnij: CyberWeek – bądź sprytniejszy od oszustów!

Bezpieczeństwo

Dodatek do przeglądarki? Zastanów się…

26 września 2019

Dodatek do przeglądarki? Zastanów się…

Jak często zdarza się Wam zainstalować dodatek do przeglądarki WWW? Jak wiele ich macie? Jak często… zastanawiacie się, jakie im dajecie uprawnienia? Jak się domyślacie, takie pytania nie padają bez przyczyny 🙂 Bo przecież taki dodatek to tak naprawdę mała aplikacja, instalowana w przeglądarce. Kto z Was w ten sposób do tego podchodzi, instalując rozszerzenia?

Dziwna strona w Rosji

Wszystko zaczęło się od wykrycia przez systemy bezpieczeństwa w sieci korporacyjnej Orange pewnej anomalii. Nasze firmowe proxy zanotowało nagle sporą liczbę połączeń do pewnej strony w domenie .ru, z zachowaniem identycznego schematu:

https://dziwna_strona.ru/?http://portalpasazera.pl
https://dziwna_strona.ru/?http://bilet.intercity.pl

i tak dalej, z różnymi usługowymi polskimi stronami WWW po symbolu „?”.

Analiza wykazała, że użytkownik tego samego dnia zainstalował rozszerzenie Speed Dial. Według opisu, miało ono usprawniać działanie przeglądarki, poprawić jej estetykę (kolory, ikony, etc.) i – hmmm – „dodać kilka funkcji”…

Mam nieodparte wrażenie, że ani niedoszła ofiara nie spodziewała się, jak i autor rozszerzenia „zapomniał napomknąć”, że wśród owych „kilku funkcji”, cechujących dodatek do przeglądarki znajduje się również wykonywanie w tle screenshotów pulpitu i wysyłanie ich na wymieniony wcześniej, publicznie dostępny serwer. Co było celem autora dodatku? Tego nie wiemy, na pierwszy rzut – hmmm, mózgu? – nie wydaje się, by na screenshotach mogło znaleźć się coś podejrzanego. Być może złośliwe rozszerzenie (ściągnięte zaledwie przez ok. 6 tysięcy osób) zostało niepoprawnie skonfigurowane, bowiem dzień później zniknęło ze sklepu Firefoxa. Możliwe też, że był to efekt związanych z nim zgłoszeń, w tym rzecz jasna z naszego CERTu.

A przecież ostrzegał…

Ponieważ każda edukacyjna opowieść musi mieć morał, przyszła na niego pora 🙂 Ryzyka związanego ze Speed Dial można było bardzo łatwo uniknąć.

Kto z Was zwraca uwagę na jakiś taki mały żółty pasek? A kto się nim przejmuje? Mam nadzieję, że większość z Was powiedziała głośno przed monitorem: „No jasne, że ja!”, ale niestety – jak widać – przynajmniej 6 tysięcy internautów niekoniecznie uznało to za problem. Inna sprawa, że przy tego typu ostrzeżeniach zgoda, świadome kliknięcie: „Tak, jestem świadom ryzyka”, powinna być warunkiem instalacji!

Nawet jednak jeśli ktoś tego nie zauważył, czerwona lampka powinna zapalić mu się po raz kolejny:

Jak dla mnie to nieco zbyt wiele i nawet biorąc pod uwagę, że rozszerzenie miało „usprawniać przeglądarkę”… Hmmm, wolałbym mieć mniej sprawną.

Gdy przyjrzymy się „sklepom” z dodatkami do przeglądarek, można dojść do wniosku, że stawiany przez lata za „wzór” Stajni Augiasza Google Play wygląda przy nich jak sala operacyjna przed zabiegiem. Pamiętajcie – jeśli już zdecydujecie się na instalację rozszerzenia:

  • upewnijcie się, czy kolejny dodatek do przeglądarki jest Wam potrzebny
  • potem zróbcie to raz jeszcze
  • sprawdźcie jego autora, liczbę ściągnięć pliku i opinie internautów
  • obowiązkowo przeczytajcie, jakich uprawnień żąda
  • jeśli macie jakiekolwiek wątpliwości – poszukajcie innego, bardziej zaufanego, rozszerzenia tego typu

No chyba, że chcecie znaleźć swoje dane na publicznym serwerze w Rosji – absolutnie nie zamierzam odbierać Wam do tego prawa 🙂

Udostępnij: Dodatek do przeglądarki? Zastanów się…

Bezpieczeństwo

Choć antywirus to za mało…

29 listopada 2018

Choć antywirus to za mało…

…odnoszę wrażenie, iż niektórzy uważają, że w ogóle nie jest potrzebny. A to założenie z gruntu błędne i jest to określenie wyjątkowo łagodne. Czemu w ogóle o tym piszę? Bo przyjrzałem się ostatnio statystykom CyberTarczy.

Takie stare, a jeszcze jare

Sality, Conficker, Necurs. Co łączy te trzy nazwy? Oczywiście to, że wszystkie są nazwami botnetów, ale także fakt, iż… nie powinny już istnieć. W dzisiejszych czas rok egzystencji w internecie to już sporo. Przez 5 lat w technologii zmienia się niekiedy tyle, co kiedyś w trakcie jednej epoki. A co dopiero, jeśli mówić o malware, skoro – jak pisałem po konferencji Security Case Study – blisko 100 procent (dokładnie 96) spośród 2,5 miliona sampli malware’u, analizowanych dziennie przez Microsoft jest jednorazowa.
Czym w takim razie wytłumaczyć fakt, że wśród użytkowników Neostrady (czy raczej wśród ich urządzeń) znajdują się sprzęty zainfekowane złośliwym oprogramowaniem, liczącym… piętnaście lat? Tak tak – gdyby botnet Sality był człowiekiem, za 3 lata mógłby sam pójść na piwo. Conficker jest nieco młodszy (powstał w 2008), zaś Necurs to w porównaniu do „kolegów” jeszcze dziecko ;), tym niemniej 6 lat wśród malware’u to wciąż mnóstwo czasu.

Skąd to się wzięło?

Dobra, nie zostawię Was bez odpowiedzi na pytanie z poprzedniego akapitu (tak mi się przynajmniej wydaje). Powodów może być sporo, począwszy od tego, że w przypadku niektórych odmian opisywanego malware’u organy ścigania mogły już dawno przejąć przestępczą infrastrukturę (biorąc pod uwagę terminy to mogli już dawno zapomnieć, że w ogóle istniała). W efekcie infekcja została, ale botnet nie robi już nic złego. Ofiary mogą też korzystać nieprzerwanie z sieci Orange Polska, gdzie znane adresy IP powiązane z botnetami są od bardzo dawna sinkholowane i regularnie dodawane. Mogli też (to w sumie działa wspólnie z poprzednim punktem)… zrezygnować z oprogramowania zabezpieczającego, zgodnie z coraz powszechniejszą modą na „zdrowy rozsądek wystarczy”.

Cóż – o ile w przypadku urządzeń z Androidem zazwyczaj tak (specyfika systemu z zielonym robotem znacząco utrudnia zainstalowanie wirusa, przy założeniu, że korzystamy wyłącznie z oficjalnego sklepu i nie modyfikowaliśmy urządzenia), to z systemami stacjonarnymi nie jest już tak łatwo. Oczywiście rozsądek zawsze jest wskazany, a CyberTarcza swoje zrobi. Monitorowanie podejrzanych połączeń w naszej sieci i nawet (jak widać) antywirus też się przydadzą.

Necurs *20 tysięcy

Jeśli jesteście klientami Orange Polska, nie zaszkodzi zajrzeć na stronę CyberTarczy, by dowiedzieć się, czy przypadkiem któraś z takich niespodzianek u Was nie siedzi. U rekordzistów w ciągu ostatniego miesiąca Necurs usiłował się połączyć z przestępczą infrastrukturą ponad 20 tysięcy razy. Tam pewnie czekałby na niego ransomware Locky, najpopularniejszy „ładunek” w przypadku tego złośnika. No i pamiętajcie o zaktualizowaniu i uruchomieniu antywirusa. A nuż coś znajdzie? I nie zdziwcie się, gdy włączając przeglądarkę zamiast poszukiwanej strony zobaczycie informację o zagrożeniu. Szczegółowa instrukcja poprowadzi Was „za rączkę” i pomoże wyczyścić urządzenie.

Udostępnij: Choć antywirus to za mało…

Bezpieczeństwo

„Widziałem Cię nago”…

6 września 2018

„Widziałem Cię nago”…

Zaintrygowałem Was tytułem, prawda? Taki był plan 😉 Brzmi zabawnie, jak na tekst o cyberbezpieczeństwie, tym niemniej sprawa robi się poważna, gdy dostaniemy takiego maila, a domniemany sprawca „za drobną opłatą” obiecuje nie publikować naszych intymnych fotografii w internecie. Ryzyko spore, może faktycznie widział, może gdzieś chodziłam/em nago po domu? Może lepiej zapłacić?

Nie negocjować z terrorystami

Gdybym miał wybrać jedną najbardziej znaczącą scenkę, klasyczną dla amerykańskich filmów akcji, byłby to prezydent USA, siedzący za biurkiem (nie nago 😉 ), mówiący stanowczym głosem: „Nie negocjujemy z terrorystami!”. Dlatego zanim w ogóle przyjdzie nam do głowy myśl, że w mailu, który dostaliśmy, może być coś na rzeczy, zastanówmy się… czy aby na pewno?

Czy w ogóle można włamać się do naszego komputera, czy smartfona i uzyskać dostęp do kamery? Cóż, niestety tak. Na smartfonie nieco trudniej. Instalując jakąkolwiek aplikację widzimy, bowiem czego się domaga, a jeśli np. kalendarz chce używać kamery, powinno to wzbudzić nasz niepokój. Na pececie niestety łatwiej złapać malware, czy trafić na przestępcę, który wykorzysta podatność urządzenia, czy systemu.

Zasłoń kamerę

Zakładając, że przestępcy się udało, czy mógł mnie widzieć? Jeśli przy komputerze nie siadamy nago, to nie, co nie zmienia faktu, że warto zainwestować kilka złotych w zasłonkę do kamery laptopa i pokazywać się naszym rozmówcom wtedy, kiedy to my chcemy. Z telefonem nie jest już tak łatwo, ale też nie popadajmy w paranoję. Faktycznie urządzenia mobilne nosimy ze sobą w – hmmm – różne miejsca, ale zamiast owijać je folią aluminiową, czy odłączać od internetu, możne je po prostu odłożyć tak, by jedna kamera była zasłonięta, a druga patrzyła w sufit. Przynajmniej wtedy, gdy chodzimy nago 😉

A przede wszystkim pamiętajmy, że tego typu próby wymuszenia w kwestii podejścia przestępców mają wiele wspólnego z phishingiem. Dobrze przygotowany atak socjotechniczny ma zadziałać na nasze emocje, na poziomie można by rzec „pierwotnym”. Nie mamy myśleć nad tym, co dostaliśmy – mamy natychmiast reagować. Albo klikać w linka, albo wpisywać login i hasło, albo – cóż – przelewać okup dla szantażysty. Warto wyrobić sobie jednolite podejście do wszystkich takich sytuacji w sieci – jeśli coś wywołuje u mnie ponadstandardowe emocje, muszę nabrać oddechu i na spokojnie zastanowić się, czy ma to jakikolwiek sens. Historia zna sytuacje, gdy „serwisant” widząc przez kamerkę laptopa młode, atrakcyjne kobiety, pisał na przejętych komputerach, że musi przeprowadzić test działania w warunkach zwiększonej wilgotności i prosił o wstawienie komputerów do łazienki, najlepiej przy włączonym prysznicu. I tak – ofiary się na to łapały, choć ciężko w to uwierzyć.

A jeśli faktycznie mogliście chodzić nago przed komputerem? Pytanie, czy warto płacić i wierzyć w uczciwość złodzieja, że potem nie będzie chciał więcej?

Fot. Carmichael Collective 

 

Udostępnij: „Widziałem Cię nago”…

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej