Bezpieczeństwo

To nie jest mail od DHL!

5 października 2017

To nie jest mail od DHL!

O phishingu nigdy za mało tekstów. Tym bardziej, że – jak mawiał poeta – „Dziś prawdziwych wirusów już nieee maaa!”, czy jakoś tak. Dzisiaj, co warto powtarzać do znudzenia, malware instalujemy sobie sami, a skuteczny cyberprzestępca ma być przede wszystkim socjotechnikiem. Dlatego dziś na tapetę trafia phishing, udający mail od DHL.

W ostatnich dniach CERT Orange Polska zaobserwował znaczący wzrost informacji o kolejnej kampanii phishingowej. Tym razem ofiary dostają „mail od DHL”, sugerujący – to ostatnio częsta sytuacja – oczekującą na nas domniemaną paczkę. W rubryce „nadawca” widnieje nazwa DHL Parcel (oczywiście adresat zespoofowany), zaś tytuł wiadomości brzmi „You Have a Package Coming! (Newegg Inc.)”. Nie nastawiajcie się jednak na tę konkretną nazwę, bowiem w innych kampaniach może być używana inna. Treść to informacja o paczce, terminie, w którym jest oczekiwana i oczywiście link do „obecnego statusu przesyłki”. Klikając w link instalujemy tzw. trojan droppera, otwierającego przestępcom dostęp do naszego komputera i możliwość instalacji kolejnych złośliwych modułów. O ile zawarty w mailu link jako zainfekowany oznaczają na chwilę publikacji 4 z 64 silników antywirusowych, to już plik, który w następnym etapie ściągamy, flaguje aż 36/60!

Edukujcie mniej świadomych!

Zapamiętajcie sami, pokażcie bliskim, wyedukujcie swoich mniej świadomych bliskich i/lub znajomych. Nie klikamy w linki w niezapowiedzianych mailach, jeśli spodziewamy się przesyłki, wchodzimy na stronę kuriera samemu wpisując adres i w odpowiednim miejscu podajemy numer listu przewozowego. O, ale przecież w tym mailu nie ma numeru listu! No właśnie…

Uważajcie. Jak zawsze. Choć akurat w tym przypadku, jeśli korzystacie z sieci Orange Polska, Wasz komputer dzięki CyberTarczy nie połączy się z serwerem przestępców.

Udostępnij: To nie jest mail od DHL!

Bezpieczeństwo

Przyszło lato, kwitnie phishing

13 lipca 2017

Przyszło lato, kwitnie phishing

Lato, słoneczko, ciepło (no… relatywnie), wakacje, wypoczynek. Taaaa, jasne – może dla nas, bo dla przestępców to okres jak każdy inny (a wręcz czas wzmożonej pracy, taki „commercial period”). No bo przecież patrząc tęsknie za okno zza komputera w klimatyzowanym biurze odlatujemy myślami gdzieś daleko… a wtedy łatwiej damy się złapać na kolejny podstępny phishing!

Witam, przesyłam Państwu dwa załączniki
wystawię fakturę w oryginale po otrzymaniu przelewu, z dniem przelewu
– bardzo proszę potwierdzić kiedy płatność będzie realizowana.

Jeżeli pozostają jakiekolwiek braki do uzupełnienia po mojej stronie, proszę o kontakt.

Seems legit, jak mawia młodzież – prawda? Dodajmy jeszcze na koniec imię i nazwisko, numer telefonu. Kto by się nie złapał? Tzn. pewnie byliby tacy, ale mam wrażenie, że z kampanii na kampanię phishingi robią się coraz bardziej wyrafinowane. Ostatnie dni to wzrost liczby kampanii, których ostatecznym efekt może być infekcja trojanem Nymaim.

Dlaczego się na to łapiemy?

Bo nie mamy czasu, bo boimy się konsekwencji finansowych, bo jesteśmy ciekawi? Wszystkiego po trochu. Konia z rzędem temu, kto nie ma ochoty kliknąć i sprawdzić co to do licha jest? Dlaczego ktoś chce ode mnie jakieś pieniądze? I choć przestępcy używają rozwiązań wręcz prostackich, i tak się na nie łapiemy! Tak już jesteśmy skonstruowani, w zalewie wiadomości i innych bodźców, pewne kwestie rozwiązujemy podświadomie, szkoda nam czasu na myślenie. Dlatego ostatnio najczęściej spotykamy phishing zamaskowany jako dokumenty finansowe. Tego, że każą nam zapłacić coś, czego nie powinniśmy, wciąż się obawiamy – z obaw, że „zablokują nam konto” (nawet bankowe) już się wyleczyliśmy, wiemy, że w takim przypadku ryzyko trafienia na phishing jest bliskie 100 procent. No i pamiętajmy, że maile, które otrzymujemy, piszą najczęściej rodowici Polacy (albo przestępcy, ale wynajęci przez nich ludzie). Z rozrzewnieniem wspominam „erę phishingu łupanego”, gdy z otrzymanych treści można się było chociaż pośmiać.

Jak to działa?

Dobra, dałem się oszukać, kliknąłem otrzymanego XLSa, otworzył się plik… I co? W opisywanym przypadku trzeba jeszcze włączyć makra w dokumencie (naprawdę są jeszcze ludzie, którzy włączają makra w plikach otrzymanych mailem od obcych ludzi? Toż to podstawa bezpieczeństwa w sieci – jeśli nie wiesz, do czego to służy, nie klikaj!). Jeśli Wasi bliscy proszą, żebyście nauczyli ich czegoś o bezpieczeństwie, to ta zasada pomoże im ocalić swoje dane w znacznej większości przypadków. Co więcej, takie podejście uratuje nas nawet jeśli mamy wyjątkowego pecha, bowiem przestępcy wykorzystali podatność 0-day, która nie potrzebuje naszej dodatkowej (poza otwarciem pliku lub nawet uruchomieniem podglądu!) interakcji, wykorzystuje bowiem błąd w kodzie Worda, czy Excela. Wystarczy tyle, by ściągnąć na nasz komputer złośliwy kod, a potem czeka nas niechciana ingerencja w nasze konto bankowe, czy też konieczność zapłaty za odszyfrowanie ważnych plików.

A wystarczyło przeczytać, nawet spróbować zadzwonić pod umieszczony w mailu telefon. Jeśli przestępca podszywa się pod dużą firmę – dzwoniąc do niej dowiemy się, że pierwsze słyszą o takim mailu (za granicą przestępcy potrafią tworzy własne helpdeski (!), więc warto sprawdzić, czy numer w mailu jest prawdziwy), a jeśli mamy do czynienia z numerem prywatnym – może się okazać, jak napisał Niebezpiecznik, że przypadkiem przestępcom wylosował się istniejący numer i też dowiemy się, że mamy do czynienia z oszustwem. Podsumowując, jak mawiał w Czterech Pancernych szeregowy Czereśniak: „Nie bądź głupi, nie daj się zabić”. Tylko dlatego, że phishingów wtedy jeszcze nie było.

Udostępnij: Przyszło lato, kwitnie phishing

Bezpieczeństwo

„Potrzebuję numeru Pańskiej karty”

8 czerwca 2017

„Potrzebuję numeru Pańskiej karty”

Michał Rosiak

Przyznam się Wam, że czasami nad tematami na bloga myślę długo i tak intensywnie, że mam wrażenie, iż wyżyma mi się mózg. Zdarzają się jednak takie dni jak dzisiaj, gdy przy zwykłej, codziennej sytuacji, dostaję impuls niczym Pomysłowy Dobromir kulką w łeb 🙂

Rezerwowałem dziś hotel na weekendowy wakacyjny wypad. Gdy zgłosiłem przy rezerwacji, że będę po 21, usłyszałem:

W takim razie potrzebuję od pana numer karty płatniczej, żeby przedłużyć czas zameldowania poza godz. 18

No dobra, w sumie jak trzeba to – choć z bólem mojej bezpieczniackiej duszy – mogę dać, pytam więc panią, czy przyślą mi linka do strony, gdzie go wpiszę.

Nie, nie, albo poda mi go pan przez telefon albo mailem

O-o… Mówimy o hotelu pan-europejskiej sieci, gdzie z jednej strony można domniemywać zaufanie (choć wciąż uważam, że w takich kwestiach absolutnie się nie powinno), ale z drugiej: no kurde, oni powinni mieć na to jakieś mechanizmy! Poteoretyzować jednak można, ale co w tej sytuacji zrobić, gdy – było nie było – po drugiej stronie telefonu jest ktoś, kogo nie widzieliśmy na oczy, a maili, które wysyłamy do hotelu, nie ma jak zaszyfrować? A jechać trzeba!

Najlepiej unikać takich sytuacji, ale jeśli już trzeba to np. możemy w mailu podać numer w formie xxxx1234xxxx5678, a pozostałe cyfry podać przez telefon. O ile w ten sposób nie unikniemy ryzyka związanego z nieuczciwym recepcjonistą, ale w przypadku, gdy nasz mail trafi w niepowołane ręce – już tak.

Ciekaw jestem, czy Wam też zdarzały się takie dylematy, związane z koniecznością podania numeru karty? A może robicie zakupy online i za każdym razem stresujecie się, czy na pewno chcecie wpisać dane karty? A jak z certyfikatem strony – sprawdzacie szczegóły, czy wystarczy Wam zielona zwodnicza zielona kłódeczka?

Udostępnij: „Potrzebuję numeru Pańskiej karty”

Bezpieczeństwo

Co ciekawego na Confidence 2017?

25 maja 2017

Co ciekawego na Confidence 2017?

Michał Rosiak

Jakoś tak wyszło, że końcówkę ubiegłego tygodnia spędziłem w Krakowie. Raz na jakiś czas dzięki uprzejmości mojej firmy mam okazję zaglądać na bezpieczniackie konferencje i o ile zawsze wybieram Secure (bo tam najwięcej rozumiem 😉 ), w tym roku dostałem też szansę zrozumieć co nieco podczas organizowanego pod Wawelem Confidence. Tu już tak łatwo nie było, bo to jednak konferencja bardziej hakersko-techniczna, ale – chwała organizatorom – znalazło się parę tematów dla mnie, dzięki czemu mogę podzielić się z Wami spostrzeżeniami, które sobie wynotowałem.

Maciej jakąś kamerę IP? W domu albo w pracy? No to przyjrzyjcie się jej, czy przypadkiem nie wypuszcza obrazu do internetu, a jeśli ma wypuszczać – nie używajcie domyślnego hasła administratora, najlepiej przepuszczajcie sygnał przez niestandardowe porty, no i sprawdźcie, czy przypadkiem Wasze urządzenie nie jest podatne na ataki. Posiadacze dostępnych z internetu kamer IP podczas wykładu Michała Sajdaka zyskali (…by, ale tam byli sami bezpieczniacy 😉 ) wiele siwych włosów, widząc, ile kamer dostępnych jest z sieci bez zbytniego szukania, co można zobaczyć na ekranie i jak do niektórych z nich (również tych za tysiące dolarów) łatwo się włamać (a raczej jak było łatwo, bowiem Michał pokazał nam efekty swoich prac dopiero po tym, gdy producenci załatali luki). Co nie zmienia faktu, że przydzielanie kamerom publicznego IP, nie separowanie sieci nadzoru wideo od WiFi dostępnego np. dla klientów hotelu i różne inne tego typu kwiatki wcale nie są rzadkością…

30-40%. Co to za odsetek? Ano odsetek corocznego wzrostu cyberprzestępstw, przy spadku zwykłej przestępczości na przestrzeni ostatnich kilku lat nawet o 50%. Prezentacja szefa biura do walki z cyberprzestępczością Komendy Głównej Policji (co ciekawe, powstało dopiero 1 grudnia ubiegłego roku). 250 policjantów w całej Polsce w pierwszym kwartale tego roku zajęło się niemal tysiącem spraw (!), notując – o ile dobrze pamiętam, bo tego akurat nie zanotowałem – średnio niemal 2 tzw. realizacje (czyli de facto zatrzymania podejrzanych) dziennie. Kawał wielkiej roboty, a czemu o nich nie słychać w mediach? „Bo my nie jesteśmy od wywiadów, tylko od roboty”. Dlatego też pozwoliłem sobie nie wymieniać tutaj personaliów szefa „cyberglin”, bowiem robił wrażenie, że ostatnie, co go interesuje, to parcie na szkło.

Drugiego dnia konferencji w pamięć wbiła mi się na pewno świetna jak zwykle prezentacja charyzmatycznego Adama Haertle. Świetna i nieco smutna, opowiada bowiem historię naszego polskiego domorosłego „hakiera”, który mimo dwóch lewych rąk do roboty i interesów zarobił na tym interesie całkiem sporo, na szkodę wielu uczciwych ludzi, i chociaż wiadomo, jak się nazywa, jak wygląda, i gdzie mieszka (w Belgii), ze względów proceduralnych… nie ma podstaw do wystawienia nań Europejskiego Nakazu Aresztowania. Ciekawy był też opisany przez mł. inspektora Jana Klimę, szefa krakowskich „cyberglin” przypadek bardzo przemyślanego phishingu, kierowanego do kancelarii prawniczych. Otrzymywały one bowiem dokładnie przygotowane, napisane piękną polszczyzną, zaproszenie do współpracy od polskiej firmy z siedzibą za granicą. Nic podejrzanego, czysty biznes, żadnych linków, załączników, nic. Ludzie kryształowo czyści, jako łza niewieścia. Jak tu z takimi nie współpracować, jasne, że chcemy! Super, to my się bardzo cieszymy, potrzebujemy tylko Waszych danych, żadnych loginów, haseł, nic tajnego, ale żeby wszystko było na miejscu, wypełnijcie proszę ten dokument Word. Ups. O tym, że zanim makro w dokumencie zainstaluje ransomware to najpierw wyssie z Waszych dysków wszystkie dokumenty w formatach Office’owych jakoś tak… zapomnieliśmy Wam powiedzieć.

Lubię takie imprezy, można się sporo dowiedzieć, a czasami jeszcze bardziej się przerazić. Ale przede wszystkim skorzystać – najpierw ja, a potem Wy.

 

Udostępnij: Co ciekawego na Confidence 2017?

Bezpieczeństwo

To nie jest Twój bilet lotniczy!

4 maja 2017

To nie jest Twój bilet lotniczy!

Pamiętacie, jak Wam kiedyś pisałem, żeby ten, kto nie dostał nigdy phishingu, pierwszy rzucił kamieniem? Nie zamierzałem być pierwszy i teraz już na pewno nie będę, bo ostatnio dostałem maila o mojej rezerwacji z Delta Airlines. Muszę wspominać, że do USA się nie wybieram?

Cyber-przestępcy się nudzą, a efektem jest coraz bardziej wyrafinowana twórczość. W linku, który dostałem, oprócz kwoty za bilety, którą „obciążono moją kartę płatniczą” było nawet moje imię i nazwisko (zobaczcie sami, zerknijcie na stronę CERT Orange Polska). Oczywiście z domniemanym biletem w „promocji” dostawaliśmy droppera, który akurat w tej kampanii instalował na naszym komputerze kradnący login i hasła malware Pony, ewentualnie oprogramowanie wyspecjalizowane w atakach „Man-in-the-browser”, czyli np. wstrzykujące na stronę naszego banku okienko z prośbą o podanie numeru telefonu, powtórzenie hasła, podanie hasła jednorazowego, czy jeszcze cokolwiek, co złym ludziom do głowy wpadnie.

Jest czego się bać, bowiem takie informacje nie są zazwyczaj wysyłane hurtem, jak malware za króla Ćwieczka, mają bowiem dotrzeć do osób, w stosunku do których istnieje prawdopodobieństwo, iż faktycznie wybierają się niebawem w podróż lotniczą. Jak wiecie z lektury sporej części wpisów na Blogu Orange, przygotowanie dobrego spear phishingu to nie jest rocket science (choć akurat we mnie trafili jak kulą w płot 🙂 ). Jak często się udaje? Według badań firmy Barracuda, dostarczającej rozwiązania bezpieczeństwa, skuteczność takich maili (odsetek osób, które otwierają spreparowane wiadomości) sięga 90 procent! Nie wiem, jak Was, ale mnie to przeraża i to wcale nie trochę.

 

Udostępnij: To nie jest Twój bilet lotniczy!

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej