Bezpieczeństwo

To phishing, to nie od nas

29 marca 2018

To phishing, to nie od nas

Phishing nie zanika i jeszcze długo nie zaniknie. W sumie to pewnie nigdy. Zastanawiałem się, czy opisywać na Blogu powtarzające się ostatnio kampanie, skoro regularnie wrzucam informacje na ich temat na stronę CERT Orange Polska, ale w sumie niekoniecznie grupy odbiorców obu witryn muszą mieć znaczną część wspólną.

Nie opłacajcie tej faktury

Do polskich internautów od przeszło miesiąca nieregularnie trafiają fale wiadomości, a w nich phishing z „fakturami”. Nadawcą jest zawsze konto w domenie @orange.pl, zwięzła treść sugeruje opłacenie zaległej faktury, która ma się znajdować w załączonym pliku XLS. W większości przypadków plik zawiera trojana Nymaim – tzw. bankera, tj. złośliwy program wyspecjalizowany w wykradaniu loginów i haseł do kont bankowych. W momencie wysyłania przez przestępców kolejnych kampanii, zawarty w nich malware był wyjątkowo groźny, wykrywało go bowiem zazwyczaj ok. 10 procent silników antywirusowych.

W ostatniej mutacji przestępcy postarali się – przynajmniej w pewnym aspekcie – nieco bardziej, bowiem tym razem spróbowali udawać nie faktury biznesowe, ale dokumenty od nas, wysyłane z rachunkami za telefon. Nasi klienci wiedzą, że takie maile przychodzą z adresu e-faktura@pl.orange.com (a nie używanego przez przestępców Ornge PL <e-faktura.TP@orange.com> – literówka nieprzypadkowa, jest dziełem przestępców). Na szczęście dzięki wyglądowi wiadomości (z ukrytym w załączniku trojanem vjw0rm) na taki phishing nie złapie się – w co mocno wierzę – nikt, jednak przestępcy, o ile cechuje ich choćby odrobina inteligencji, przy kolejnej kampanii mogą znacząco poprawić przekaz.

Czy te maile są od Orange?

Nie. A dlaczego mają taką domenę nadawcy? Dlatego, że niestety łatwo ją podrobić, o czym piszemy np. tutaj. Jak się przed tym zabezpieczyć? Na kilka sposobów. Przede wszystkim zdrowym rozsądkiem. Jeśli dostajecie maila od nieznajomego, który domaga się od Was pieniędzy, nie otwierajcie załącznika. Najpierw uspokójcie emocje, na spokojnie przeczytajcie wiadomość, a jeśli nie macie pewności – zadzwońcie do domniemanego nadawcy. Jeśli w mailu nie ma telefonu – niemal na sto procent mamy do czynienia z oszustwem. Jeśli jest tam numer kontaktowy – być może dodzwonicie się do faktycznie istniejącej firmy, gdzie powiadomią Was o oszustwie.

Czy Orange ze swojej strony robi coś, by takie maile nie mogły być wysyłane? Tak. Serwery pocztowe domeny @orange.pl mają zaimplementowane mechanizmy SPF (Server Policy Framework) i DKIM (Domain Keys Identified Mail). Jednak w tym cały jest ambaras, by dwoje chciało naraz – informacje dotyczące naszych domen (@neostrada.pl i @orange.pl) muszą być prawidłowo rozpoznawane u Waszych dostawców poczty. Tak jest w przypadku domeny @pl.orange.com, z której przychodzą do Was nasze faktury, tym niemniej i tak niezmiennie zachęcamy Was do sprawdzenia, czy numer klienta i dane są faktycznie Wasze, zanim otworzycie załącznik.

CyberTarcza kontra phishing

Jednego możecie być pewni. Gdy próbki takich zagrożeń trafiają do nas, powiązane z nim adresy IP/domenowe są automatycznie blokowane przez CyberTarczę. Oznacza to, że pozostając w sieci Orange Polska nawet jeśli niefrasobliwie się zainfekujecie, złośliwe oprogramowanie nie będzie w stanie połączyć się ze swoim centrum kontroli, a Wy, wchodząc na stronę CyberTarczy, zobaczycie informację o infekcji.

Jeśli chcecie być na bieżąco z Orange’owymi newsami o bezpieczeństwie w internecie, zaglądajcie na naszą stronę i obserwujcie CERT Orange Polska na Twitterze.

I oczywiście niezmiennie, jak zawsze – uważajcie na siebie.

Spokojnych Świąt.

Udostępnij: To phishing, to nie od nas

Informacje prasowe

Raport CERT Orange Polska 2017 – nowe zagrożenia, skuteczniejsza ochrona

14 marca 2018

Raport CERT Orange Polska 2017 – nowe zagrożenia, skuteczniejsza ochrona

Cyberprzestępcy  próbują atakować internautów średnio kilkanaście razy na godzinę. Najczęściej mamy do czynienia  z wyłudzaniem pieniędzy, podszywaniem się pod znane marki, wymuszaniem okupu w zamian za odzyskanie danych. To przykłady trendów opisanych w najnowszym raporcie CERT Orange Polska na temat bezpieczeństwa w internecie. Systemy chroniące użytkowników sieci Orange zyskują nowe funkcjonalności. Setki tysięcy internautów uniknęło dzięki CyberTarczy zainfekowania swojego komputera lub smartfona, a w efekcie utraty tożsamości, danych lub pieniędzy. Jej najnowsza wersja automatycznie blokuje ataki phishingowe.

– Większość ataków unieszkodliwiamy zanim dotrą do naszych klientów. Jeśli nie otrzymują ostrzeżeń, że ich urządzenie zostało zainfekowane, to znaczy, że dobrze wykonaliśmy swoją pracę. Jednak dla bezpieczeństwa niezmiernie ważna jest także świadomość samych internautów – mówi Piotr Jaworski,  dyrektor wykonawczy ds. sieci i technologii w Orange Polska. – Nieostrożnym zachowaniem, publikowaniem zbyt szczegółowych informacji w mediach społecznościowych, nieuwagą przy otwieraniu załączników i linków narażamy na niebezpieczeństwo nie tylko siebie, ale też znajomych na portalu społecznościowym, czy pracodawcę. Cyberprzestępcy wciąż doskonalą metody zdobywania zaufania ofiar, a zdecydowanie najczęstszą drogą ataku jest … zwykła wiadomość e-mail, odpowiednio sformułowana pod kątem odbiorcy. Zależy nam, aby nasz coroczny raport nie był jedynie zestawieniem danych i statystyk, ale także  źródłem praktycznej wiedzy na temat tego, jak bezpiecznie poruszać się w sieci – podkreśla. 

Cyberbezpieczeństwo 2017 wg CERT Orange Polska

Rozkład procentowy kategorii incydentów obsłużonych przez CERT Orange Polska w 2017 r.Najczęściej analizowanymi incydentami z jakim mieli do czynienia specjaliści czuwający nad bezpieczeństwem sieci Orange Polska było „rozpowszechnianie obraźliwych i nielegalnych treści”. Ta kategoria stanowiła już prawie połowę wszystkich zagrożeń (o niemal  8 p.p. więcej niż rok wcześniej). Obejmuje także rozsyłanie spamu, w tym spamu phishingowego, w którym wiadomości e-mail czy SMS są nośnikiem złośliwego oprogramowania szyfrującego czy wykradającego dane z urządzeń ofiary.

Sporą grupę zagrożeń (prawie 20%) wciąż stanowią ataki DDoS / DoS, polegające na „zalewaniu” atakowanego systemu ogromną ilością danych. W ten sposób doprowadzają do jego niedostępności, a skutkiem biznesowym takiej sytuacji może być utrata reputacji firmy czy straty finansowe. Jak zaobserwowali autorzy raportu CERT Orange Polska, zmniejsza się liczba długich i spektakularnych ataków. Bardziej opłacalna jest seria krótkich ataków, kończących się zanim rozpocznie się proces ich unieszkodliwiania,  ponieważ nawet krótki atak dostarczy cyberprzestępcom informacji o odporności systemu na ataki tego typu.

Szybko rośnie udział ataków na urządzenia mobilne. W roku 2017 stanowiły one już 25% wszystkich zagrożeń (w porównaniu do  7% rok wcześniej). Na urządzeniach mobilnych korzystamy z coraz większej liczby usług, m.in. z płatności internetowych. Dlatego wciąż pojawiają się nowe typy złośliwego oprogramowania starające się przejąć nad nimi kontrolę.

CyberTarcza – autorskie rozwiązanie zabezpieczające użytkowników sieci Orange Polska, ochroniła w ubiegłym roku ponad 320 tysięcy klientów. Najczęstszym rodzajem zagrożenia, jakie wykrywała, było oprogramowanie wymuszające zapłacenie okupu (ransomware) – ochroniliśmy 119 tys. klientów.

Odwrócona piramida rozkładu zdarzeń i incydentów obsługiwanych przez CERT Orange Polska miesięcznie: Zarejestrowane zdarzenia - 10 016 081 096, Przeanalizowane anomalie - 147 881, Obsłużone incydenty - 1002

W sumie w ubiegłym roku systemy monitorujące sieć Orange Polska zarejestrowały miesięcznie aż 10 mld zdarzeń, czyli o miliard więcej niż rok wcześniej. Wynika to z rosnącej liczby monitorowanych systemów i aktywności w sieci. Jednocześnie, faktycznych incydentów bezpieczeństwa zarejestrowano mniej – około 1000 miesięcznie (blisko 1400 w 2016). To efekt ulepszania mechanizmów wykrywania zagrożeń oraz klasyfikowania incydentów (np. szybszego eliminowania fałszywych alertów), a także doskonalenia środków prewencyjnych, zapobiegających nadużyciom.

Co robią dzieci w sieci

Infrastruktura obsługująca Bezpieczny Starter dla najmłodszych użytkowników sieci Orange, zablokowała w ubiegłym roku niemal 16 milionów odwołań do stron pornograficznych, ponad 100 milionów przekierowań na strony związane ze złośliwym oprogramowaniem, spamem i phishingiem. Ponad 1370 dzieci nie zdołało dzięki Bezpiecznemu Starterowi wejść na strony o treściach pedofilskich. Te liczby doskonale ilustrują, jak ważna jest ochrona i edukacja najmłodszych internautów oraz ich rodziców.

Jak wskazują autorzy raportu, dla młodych ludzi internet jest nieodłącznym elementem życia, a media społecznościowe są „cyfrowym podwórkiem”. Siłą rzeczy właśnie tam mogą szukać ich ludzie, mający wobec nich złe zamiary. Praktyczne porady, m.in. jak bezpiecznie korzystać z mediów społecznościowych czy jak stworzyć bezpieczne hasło, znajdują się w tegorocznym raporcie. Ponadto, wiele przydatnych wskazówek i materiałów można znaleźć na stronie http://www.orange.pl/bezpiecznie-tu-i-tam.phtml

Orange Polska oferuje także aplikację ochrony rodzicielskiej Chroń Dzieci w Sieci https://chrondzieciwsieci.pl/ pozwalającą określić czas, jaki dziecko spędza w sieci, aplikacje, do których ma dostęp oraz chronić je przed dostępem do nieodpowiednich dla niego treści.

Nowe rozwiązania dla większego bezpieczeństwa i świadomości

Orange Polska rozwija CyberTarczę – wzbogacono ją o automatyczną blokadę phishingu.
Z kolei wersja mobilna zasilana jest dodatkowo informacjami na temat zagrożeń przeznaczonych stricte na platformy mobilne oraz blokowanie podejrzanych stron (np. phishingi skierowane na usługi Apple czy Google). Kolejne elementy tego narzędzia będą stopniowo dodawane.

Operator stworzył też nowe sposoby dotarcia do aktualnych informacji o cyberzagrożeniach. Na stronie cert.orange.pl pojawiły się statystyki zagrożeń mobilnych w czasie rzeczywistym, a także mapa cyberzagrożeń, pokazująca m.in. ataki, których celem jest Polska, ich rodzaje oraz kraje, gdzie zostały zainicjowane. Od miesiąca aktualności z dziedziny bezpieczeństwa w sieci można śledzić także na Twitterze @CERT_OPL.

W lutym 2018 r. Orange Polska, jako jedyny polski operator oraz jedyna europejski dostawca usług  z Grupy Orange, został członkiem globalnej inicjatywy MANRS (Mutually Agreed Norms for Routing Security), stworzonej by zapobiegać nadużyciom w zakresie bezpieczeństwa routingu. Tym samym dostosował zasady routingu w swojej sieci do najlepszych praktyk na świecie.

Bezpieczny biznes

Wśród profesjonalnych usług bezpieczeństwa dla biznesu Orange Polska, firmy najczęściej wybierają usługę przeciwdziałania atakom DDoS. Skala tego zagrożenia wciąż rośnie (w sieci Orange Polska odnotowano w 2017 r. atak o wolumenie dochodzącym do 180 Gbps). Rośnie zainteresowanie usługą Feed as a Service, która daje klientom korporacyjnym dodatkową wiedzę o zagrożeniach zidentyfikowanych w sieci Orange Polska. Co ważne, zawiera informacje o zagrożeniach występujących w polskim internecie, najbardziej dotykających rodzime firmy i instytucje. Kolejne usługi to ONS (Orange Network Security), czyli firewall w chmurze oraz Managed UTM, polegający na dzierżawie zarządzanego przez Orange urządzenia sieciowego. Dzięki temu firma nie musi ponosić kosztów urządzeń oraz ich utrzymania, czy tworzyć własny zespół bezpieczeństwa sieciowego.

Co nas czeka w najbliższych latach?

Autorzy raportu CERT przewidują, że w najbliższych latach wyzwaniem będzie nadal rozwijający się Internet Rzeczy (IoT).  „Inteligentne urządzenia” muszą być odpowiednio zabezpieczone, aby nie były podatne na ataki i wykorzystanie ich jako boty do przeprowadzania ataków DDoS.

Nowym zjawiskiem jest wykorzystywanie sztucznej inteligencji (AI, Artificial Intelligence), zarówno do złych celów (omijania systemów zabezpieczeń czy znajdowania podatności) ale też skutecznej ochrony przed takimi działaniami. Zdolności analityczne systemów AI przetwarzających bardzo duże zbiory danych (Big Data) praktycznie w czasie rzeczywistym, mogą znacząco przyspieszyć reakcję systemów zabezpieczających przed atakami oraz umożliwić wykrywanie podejrzanych zachowań w sieci, których nie są w stanie wykryć dotychczasowe rozwiązania.

Kolejny trend wskazany w raporcie to pozyskiwanie kryptowaluty dla przestępców. Służy temu złośliwe oprogramowanie, np. BitCoinMiner, wykorzystujący zasoby zainfekowanych urządzeń. Pozyskiwanie kryptowaluty może być wykonywane również poprzez skrypty w zaatakowanych serwisach internetowych. Aktywują się one w przeglądarkach użytkowników odwiedzających daną stronę, bez ich wiedzy i zgody. Autorzy raportu przewidują, że zjawisko to nasili się w 2018 roku.

kontakt:

Wojciech Jabczyński,

rzecznik Orange Polska

e-mail: biuro.prasowe@orange.com

Twitter: @RzecznikOrange

Twitter: CERT Orange Polska

 

Mediateka

Zainteresował Cie wpis? Jeśli chcesz otrzymywać informacje prasowe, zostaw nam swój adres e-mail
Napisz do Nas
Udostępnij: Raport CERT Orange Polska 2017 – nowe zagrożenia, skuteczniejsza ochrona

Bezpieczeństwo

Phishing na chmurę

25 stycznia 2018

Phishing na chmurę

Gdyby każdy, kto nigdy nie dostał maila phishingowego, miał położyć jeden kamień, mam wrażenie, że przez powstałą budowlę bez problemów przejechałby samochód. Ba, hulajnoga by przejechała. Może nawet by jej nie zobaczyła. Choćby dlatego, że przeszło połowa e-maili, które krążyły po internecie w 2017 roku to spam. A znacząca większość spamu to w dzisiejszych czasach właśnie phishing. Nie wiem, jak Wy, ale ja dawno nie dostałem takiego stricte spamu, reklamującego szarą strefę lekarstw sprzedawanych normalnie na receptę, czy powiększania tego i owego. Jeszcze kilka lat temu było to normą. Dziś między pojęciami spamu i phishingu można bez większego ryzyka postawić znak równości.

Dokument-niespodzianka?

Do CERT Orange Polska wpadł ostatnio ciekawy przypadek phishingu, potencjalnie niebezpieczny dla części internautów w dobie wszechobecnych internetowych chmur i udostępniania za ich pomocą plików.

Kogóż z nas choć raz w życiu nie pokonała ciekawość? Nieoczekiwana przesyłka na poczcie, niespodzianka od nieznajomego na biurku w pracy… Może więc warto kliknąć, skoro „ktoś wysłał ci dokument”, by zobaczyć co tam jest?

Nie warto. Przede wszystkim dlatego, że tego typu informacje nigdy nie przychodzą od „Someone”. Zawsze w polu nadawcy, bądź w treści znajduje się imię i nazwisko lub przynajmniej adres e-mail nadawcy. Sytuacja, gdy otrzymujemy takiego maila, jak powyższy, powinna natychmiast zapalić Wam w głowie czerwoną latarnię, w efekcie czego skasujecie wiadomość (a jeszcze lepiej, wyślecie ją na adres cert.opl@orange.com). Jeśli otrzymacie informację z adresem e-mail, przed kliknięciem warto sprawdzić, czy jest Wam znany. W przypadku jakichkolwiek wątpliwości – skontaktować się z domniemanym nadawcą przed kliknięciem w cokolwiek. Pół biedy, jeśli przestępcy chcą tylko wyłudzić wasze loginy i hasła (choć tego ryzyka też nie wolno bagatelizować). Taki atak zazwyczaj kończy się instalacją złośliwego oprogramowania na naszym urządzeniu, po kliknięciu w link, lub otwarciu załącznika.

Udostępnij: Phishing na chmurę

Bezpieczeństwo

Uaktualnij swoje dane… a może nie?

18 stycznia 2018

Uaktualnij swoje dane… a może nie?

W ostatnich miesiącach media nie tylko bezpieczniackie zalewają regularnie informacje o kolejnych spektakularnych podatnościach w oprogramowaniu, protokołach i systemach operacyjnych. Pełne ostrzeżeń i emocji teksty dobrze się klikają, a tymczasem przestępcy mozolnie rzeźbią i wysyłają kolejne kampanie phishingowe. To aktywności może nie tak spektakularne, ale przynoszące ciągłe i całkiem spore zyski.

W anglojęzycznym internecie w ostatnich dniach głośno było o próbie phishingu na markę Netflix. Pod pozorem nieprawidłowych danych, dotyczących płatności przestępcy sugerują ich uaktualnienie. By „ułatwić” sprawę, bezpośrednio w mailu zamieszczają linka, umieszczonego pod przyciskiem „Update your account now”.

Kliknięcie w link przekieruje nas na stronę łudząco przypominającą witrynę usługi, z oknem na wpisanie loginu i hasła. Oczywiście automatycznie trafią one do przestępców, ale to nie koniec – w kolejnym kroku zostaniemy przekierowani na stronę z miejscem do wpisania danych naszej karty. To wszystko? Niekoniecznie. Na sam koniec mamy jeszcze zrobić sobie selfie z widocznym… dokumentem tożsamości. Na końcu jesteśmy przekierowywani na prawdziwy adres Netflixa.

Co jest nie tak?

Świadomemu internaucie podczas całego procesu wielokrotnie powinna się zapalić czerwona lampka.

  • „Call to action” – informacja o zablokowaniu konta i wymaganie uaktualnienia danych
  • Ukryty link w formie przycisku (najechanie nań kursorem pokazuje adres strony z adresem podobnym do witryny usługi
  • Brak zielonej kłódki przy adresie strony (w przypadku opisywanego phishingu kłódka akurat była, ale o ile jej brak to sygnał alarmowy, to jej obecność nie musi oznaczać, że wszystko jest dobrze – przestępcy po prostu zadbali o certyfikat HTTPS dla fałszywej strony)
  • Okno do wpisania danych karty (jeśli musimy uaktualnić tego typu dane, robimy to wyłącznie wpisując adres strony samemu!)
  • Wymaganie wysłania zdjęcia dokumentu tożsamości
  • Kilka drobnych, ale widocznych błędów gramatycznych

Co robić? Dwie kluczowe kwestie: sprawdzać adresy stron i stosować zasadę ograniczonego zaufania. Jeśli masz jakiekolwiek wątpliwości – nie klikaj i niczego nie wpisuj. Jeśli chcesz się upewnić, czy z Twoim kontem w usłudze internetowej jest wszystko w porządku – wpisz własnoręcznie adres w przeglądarce i dopiero potem sprawdź.

A co, jeśli wpisałeś/aś swoje dane? Natychmiast zablokuj kartę płatniczą i zgłoś kradzież (bo o tym de facto mówimy) dokumentu tożsamości. I oczywiście zmień login i hasło. Więcej informacji na blogu Naked Security.

Informacji na temat bezpieczeństwa oraz dotyczących go statystyk w sieci Orange Polska znajdziesz również na stronie CERT Orange Polska – warto dodać do ulubionych! A z Netflixa najlepiej korzystać bezpośrednio przez Orange Polska, w dekoderze Samsung ICU100 🙂

Grafika: Sophos

Udostępnij: Uaktualnij swoje dane… a może nie?

Bezpieczeństwo

To nie jest mail od DHL!

5 października 2017

To nie jest mail od DHL!

O phishingu nigdy za mało tekstów. Tym bardziej, że – jak mawiał poeta – „Dziś prawdziwych wirusów już nieee maaa!”, czy jakoś tak. Dzisiaj, co warto powtarzać do znudzenia, malware instalujemy sobie sami, a skuteczny cyberprzestępca ma być przede wszystkim socjotechnikiem. Dlatego dziś na tapetę trafia phishing, udający mail od DHL.

W ostatnich dniach CERT Orange Polska zaobserwował znaczący wzrost informacji o kolejnej kampanii phishingowej. Tym razem ofiary dostają „mail od DHL”, sugerujący – to ostatnio częsta sytuacja – oczekującą na nas domniemaną paczkę. W rubryce „nadawca” widnieje nazwa DHL Parcel (oczywiście adresat zespoofowany), zaś tytuł wiadomości brzmi „You Have a Package Coming! (Newegg Inc.)”. Nie nastawiajcie się jednak na tę konkretną nazwę, bowiem w innych kampaniach może być używana inna. Treść to informacja o paczce, terminie, w którym jest oczekiwana i oczywiście link do „obecnego statusu przesyłki”. Klikając w link instalujemy tzw. trojan droppera, otwierającego przestępcom dostęp do naszego komputera i możliwość instalacji kolejnych złośliwych modułów. O ile zawarty w mailu link jako zainfekowany oznaczają na chwilę publikacji 4 z 64 silników antywirusowych, to już plik, który w następnym etapie ściągamy, flaguje aż 36/60!

Edukujcie mniej świadomych!

Zapamiętajcie sami, pokażcie bliskim, wyedukujcie swoich mniej świadomych bliskich i/lub znajomych. Nie klikamy w linki w niezapowiedzianych mailach, jeśli spodziewamy się przesyłki, wchodzimy na stronę kuriera samemu wpisując adres i w odpowiednim miejscu podajemy numer listu przewozowego. O, ale przecież w tym mailu nie ma numeru listu! No właśnie…

Uważajcie. Jak zawsze. Choć akurat w tym przypadku, jeśli korzystacie z sieci Orange Polska, Wasz komputer dzięki CyberTarczy nie połączy się z serwerem przestępców.

Udostępnij: To nie jest mail od DHL!

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej