Bezpieczeństwo

Nie prosimy was o „mikro-dopłaty”

6 grudnia 2018

Nie prosimy was o „mikro-dopłaty”

Przez media, głównie społecznościowe i bezpieczniackie (pozdrawiam Niebezpiecznika, z uwagą, że określenie phishingowych maili jako maile „od Orange” wydaje mi się nieco niezręczne) przetacza się informacja o kolejnej fali ataków „na dopłatę”. Tym razem – jak można wnioskować po liczbie trafiających do CERT Orange Polska zgłoszeń – kampania jest mocno nastawiona na klientów Orange Polska. Oczywiście – jak łatwo domyślić się po tytule – to nie my wysyłamy takie maile! Na bieżąco monitorujemy zgłoszenia i sieć, każdy potwierdzony adres, kojarzony z tą kampanią, trafia do CyberTarczy.

Na Twitterze CERT OPL informowaliśmy o pierwszych atakach już 10 dni temu:

Jeśli chcecie, by takie informacje trafiały do Was na bieżąco, obok oficjalnego Twittera Orange Polska warto obserwować też konto naszego CERT.

I jak zawsze pamiętajcie – nie dajcie się złapać.

Udostępnij: Nie prosimy was o „mikro-dopłaty”

Bezpieczeństwo

CyberTarcza nie pisze przypadkiem

22 listopada 2018

CyberTarcza nie pisze przypadkiem

„Więcej jest rzeczy na ziemi i w niebie,
 Niż się ich śniło waszym filozofom.”
Wiliam Szekspir „Hamlet”

Mam pewne wrażenie, że tytułowy szekspirowski bohater rozmawiając z Horacym niekoniecznie miał na myśli kontekst, w jakim używa się tego wyrażenia w dzisiejszych czasach, ale i tak fakt, że cytat z początków XVII wieku ostał się w potocznym języku do teraz, to i tak rzecz wyjątkowa. Skąd takie rozpoczęcie? Ano stąd, że i nam w CERT Orange Polska zdarza się trafiać na sytuacje, które trudno sobie wyobrazić…

Ta CyberTarcza nam przeszkadza

Dzisiaj (w czwartek 22.11) trafił do nas kolejny mail z jednej z… hmmm, nazwijmy ją „instytucji miejskich” z jednej z małych miejscowości z Wielkopolski. Autorka, pełniąca tam rolę specjalisty ds. kadr i płac, poprosiła CERT Orange Polska o pomoc, pisząc:

„Witam,
Znów pojawił się komunikat jak w załączniku. Czy jest coś, co Państwo możecie zrobić by zapobiec takim sytuacjom? Nie ukrywam, że znacznie utrudnia mi to pracę (…)”

Jak wyglądał załącznik?

Przyjrzeliście się dokładnie? Właśnie tak – autorka maila usiłowała wejść na stronę phishingową (przekreślony adres na screenshocie), jednak CyberTarcza zablokowała możliwość kradzieży danych autoryzacyjnych i – docelowo – okradzenie firmy naszej nadawczyni.

Czytajmy komunikaty!

Skąd wziął się taki ekran? Powodów mogło być wiele – począwszy od kliknięcia w link w phishingowym mailu, łudząco przypominającym wiadomość z banku, skończywszy na przejęciu kontroli nad modemem, czy routerem ofiary. Co w takiej sytuacji zrobić? Na pewno nie próbować za wszelką cenę połączyć się z tego typu stroną! Chcąc dostać się na witrynę banku trzeba po prostu wpisać adres „z ręki”. Stanowczo jednak zalecamy, by wcześniej przeskanować komputer programem antywirusowym z aktualnymi definicjami wirusów. Nie zaszkodzi też sprawdzić, czy nasz router/modem ma zmienione hasło dostępu, a jeśli nie – zrobić to czym prędzej.

Uważajcie na swoje pieniądze. Nie dajcie się okraść.

Udostępnij: CyberTarcza nie pisze przypadkiem

Bezpieczeństwo

Ten SMS nie jest z Gumtree

15 listopada 2018

Ten SMS nie jest z Gumtree

Klikacie czasami w linki z SMSów? Bo jakby co to pamiętajcie, że my to robimy, żebyście Wy nie musieli, oczywiście wtedy, gdy chodzi o wiadomości mniej lub bardziej podejrzane. Tak jak ostatni przypadek, nakierowany na klientów serwisu ogłoszeniowego Gumtree.

Pieniędzy nie oddadzą, a jeszcze hasło zabiorą

Do naszego laboratorium trafiły wiadomości SMS sugerujące, że ktoś chce nam zapłacić. W treści mogliśmy znależć anglo- i włoskojęzyczną informację o tym, że należy nam się zwrot nadpłaty oraz link do serwisu hxxp://www-gumtree.com/xxxxxxx (zwróćcie uwagę na dywiz po prefiksie www w miejsce kropki), gdzie xxxxxxx to losowy ciąg siedmiu cyfr. Jeśli cyfry zgadzają się z faktyczną aukcją, po zostaniemy przeniesieni na stronę z rzekomym zwrotem.

Gdy wejdziemy w menu „zalogowanego” użytkownika, podstawiona strona przeniesieni nas na prawdziwe Gumtree. Jeśli jednak połaszczymy się na zwrot, panel logowania, który zobaczymy, będzie już fałszywy. A efekt jakże standardowy – login i hasło trafią do cyberprzestępców.

Atak z polskich numerów

Choć język kampanii wskazuje, iż kierowana jest do użytkowników w Wielkiej Brytanii i USA, nadawcami SMSów są… polskie numery. Skąd się wzięły? Ano stąd, że przestępcy znaleźli kolejny sposób na wykorzystanie podatnych urządzeń, wyposażonych w karty SIM. Tym razem posiadacze problematycznych sprzętów nie tylko płacą za SMSy wysyłane do Wlk. Brytanii i Włoch, ale ich sprzęty są też wykorzystywane do popełnienia przestępstwa.

Co zrobić? Jeśli dysponujecie urządzeniem, używającym karty SIM do komunikacji M2M (machine-to-machine) zajrzycie koniecznie tutaj i wykonajcie zalecane tam kroki. Warto poświęcić na to nawet dłuższą chwilę.

Udostępnij: Ten SMS nie jest z Gumtree

Bezpieczeństwo

„Widziałem Cię nago”…

6 września 2018

„Widziałem Cię nago”…

Zaintrygowałem Was tytułem, prawda? Taki był plan 😉 Brzmi zabawnie, jak na tekst o cyberbezpieczeństwie, tym niemniej sprawa robi się poważna, gdy dostaniemy takiego maila, a domniemany sprawca „za drobną opłatą” obiecuje nie publikować naszych intymnych fotografii w internecie. Ryzyko spore, może faktycznie widział, może gdzieś chodziłam/em nago po domu? Może lepiej zapłacić?

Nie negocjować z terrorystami

Gdybym miał wybrać jedną najbardziej znaczącą scenkę, klasyczną dla amerykańskich filmów akcji, byłby to prezydent USA, siedzący za biurkiem (nie nago 😉 ), mówiący stanowczym głosem: „Nie negocjujemy z terrorystami!”. Dlatego zanim w ogóle przyjdzie nam do głowy myśl, że w mailu, który dostaliśmy, może być coś na rzeczy, zastanówmy się… czy aby na pewno?

Czy w ogóle można włamać się do naszego komputera, czy smartfona i uzyskać dostęp do kamery? Cóż, niestety tak. Na smartfonie nieco trudniej. Instalując jakąkolwiek aplikację widzimy, bowiem czego się domaga, a jeśli np. kalendarz chce używać kamery, powinno to wzbudzić nasz niepokój. Na pececie niestety łatwiej złapać malware, czy trafić na przestępcę, który wykorzysta podatność urządzenia, czy systemu.

Zasłoń kamerę

Zakładając, że przestępcy się udało, czy mógł mnie widzieć? Jeśli przy komputerze nie siadamy nago, to nie, co nie zmienia faktu, że warto zainwestować kilka złotych w zasłonkę do kamery laptopa i pokazywać się naszym rozmówcom wtedy, kiedy to my chcemy. Z telefonem nie jest już tak łatwo, ale też nie popadajmy w paranoję. Faktycznie urządzenia mobilne nosimy ze sobą w – hmmm – różne miejsca, ale zamiast owijać je folią aluminiową, czy odłączać od internetu, możne je po prostu odłożyć tak, by jedna kamera była zasłonięta, a druga patrzyła w sufit. Przynajmniej wtedy, gdy chodzimy nago 😉

A przede wszystkim pamiętajmy, że tego typu próby wymuszenia w kwestii podejścia przestępców mają wiele wspólnego z phishingiem. Dobrze przygotowany atak socjotechniczny ma zadziałać na nasze emocje, na poziomie można by rzec „pierwotnym”. Nie mamy myśleć nad tym, co dostaliśmy – mamy natychmiast reagować. Albo klikać w linka, albo wpisywać login i hasło, albo – cóż – przelewać okup dla szantażysty. Warto wyrobić sobie jednolite podejście do wszystkich takich sytuacji w sieci – jeśli coś wywołuje u mnie ponadstandardowe emocje, muszę nabrać oddechu i na spokojnie zastanowić się, czy ma to jakikolwiek sens. Historia zna sytuacje, gdy „serwisant” widząc przez kamerkę laptopa młode, atrakcyjne kobiety, pisał na przejętych komputerach, że musi przeprowadzić test działania w warunkach zwiększonej wilgotności i prosił o wstawienie komputerów do łazienki, najlepiej przy włączonym prysznicu. I tak – ofiary się na to łapały, choć ciężko w to uwierzyć.

A jeśli faktycznie mogliście chodzić nago przed komputerem? Pytanie, czy warto płacić i wierzyć w uczciwość złodzieja, że potem nie będzie chciał więcej?

Fot. Carmichael Collective 

 

Udostępnij: „Widziałem Cię nago”…

Bezpieczeństwo

To nie Rossmann – to phishing

26 lipca 2018

To nie Rossmann – to phishing

Dostaliście w ostatnim czasie taką informację jak na tytułowym obrazku? Najczęściej pojawia się na urządzeniach mobilnych. Jeśli tak, jesteście w godnym towarzystwie, bo wraz z Wami pokazuje się przeszło 100 tysiącom osób w ciągu tygodnia, w samej tylko sieci Orange Polska. I tak – to nie Rossmann to wysłał i nie spodziewałbym się, że zyskacie pieniądze – prędzej je stracicie.

„Lewy” bon z Rossmanna

Witryna hxxp://play.leadzu.com/ to przez ostatnie tygodnie zdecydowany król jeśli chodzi o zablokowane w sieci Orange Polska próby phishingu. Najczęściej pojawia się Wam na urządzeniach mobilnych jako „Bon Rossmann”, ale np. na Windowsie potrafi się przedstawić jako nieokreślone coś „Exclusive for Windows PC”. Autorzy kampanii muszą się mocno starać, bowiem z wynikiem niemal 108 tysięcy „odpukań” przez ubiegły tydzień wyprzedza o wiele długości witrynę z drugiego miejsca, otwieraną „zaledwie” 17 tysięcy razy.

Jeśli jesteście klientami Orange Polska możecie jednak spać spokojnie. Wewnątrz sieci Orange Polska ten i tysiące innych adresów są blackholowane – nie macie możliwości wejścia na witryny rozpoznane jako phishingowe lub serwujące malware, zamiast nich zobaczycie informację z CyberTarczy z adresem właściwej strony (jeśli phishing jest na konkretną markę), bądź informacją, że strona jest „lewa”.

Nie ma darmowych obiadów

O ile obecnie celem kampanii wydaje się być wykradanie danych osobowych, tego typu strony mogą pełnić wieloraką rolę. Teraz kliknięcie „kontynuuj” przekieruje nas do formularza, ale to kwestia chwili roboty i na docelowej stronie może się znaleźć exploit, wykorzystujący podatność przeglądarki i instalująćym nam „niespodziankę”.

Nie bez kozery Mark Twain mawiał, że nie ma darmowych obiadów. Swoją drogą, wiecie skąd to się wzięło? Pisałem o tym już na blogu, ale chyba z pięć lat temu. Twain miał na myśli knajpę gdzieś w USA, w której do „darmowych” obiadów właściciel dodawał przesadnie dużo soli. Było smacznie, ale potem „nie wiedzieć czemu” klientom chciało się pić. Z radością więc płacili za piwo jak za zboże 😉 Pamiętajcie więc, że jeśli „wygrywacie” w konkursie, w którym nie braliście udziału, to coś tu brzydko pachnie… Życzę Wam wszystkim jak najwięcej takich kuponów, ale prawdziwych 🙂

Udostępnij: To nie Rossmann – to phishing

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej