Ставаме свидетели на безпрецедентно глобално събитие. Пандемията с COVID-19 (или както е популярното му название – коронавирус) стана причина за промяна в начина, по който живеем, работим и комуникираме помежду си. Стремежът на потребителите да са в крак с новините около разпространението на вируса не остана незабелязан от киберпрестъпниците.
Събрахме за вас списък с най-популярните измами, свързани с COVID-19, на които попаднахме. Пазете се, защото те най-вероятно не са единствените.
Фалшиви новини
Обикновено идват от името на водещи световни институции – Световната Здравна Организация (СЗО), например, или копират водещи световни медии (в случая – Wall Street Journal – WSJ). Представени са под формата на съветници за предпазване от вируса или лекуването му.
Фалшиви призиви за дарения
Киберпрестъпниците не се колебаят да експлоатират добрината на хората и призовават към мними дарения – като включително копират легитимни кампании.
Оферти за маски
Маските за лице се превърнаха в силно търсена и почти невъзможна за намиране стока. Затова заваляха фалшиви оферти за тях. Не се подлъгвайте, пазарувайте само от легитимни магазини.
Как да разпознаете измамите
Водете се от правилото, че ако нещо е твърде хубаво, за да е истина, то най-вероятно не е. Подлагайте всичко на съмнение и следвайте правилата:
Не кликайте на съмнителни линкове и не сваляйте файлове – дори и привидно да идват от доверен източник. Потвърдете автентичността на мейла, преди да предприемете действие.
Игнорирайте комуникация, в която ви искат лични данни. Ако, все пак, имате съмнения, потвърдете автентичността и преди да продължите.
Внимавайте за мейли, които ви принуждават да предприемете спешни действия
Пазете се от фалшиви благотворителни организации или crowdfunding кампании
Използвайте проверено и ефективно антивирусно решение (ако сте фирма и имате нужда от такова, възползвайте се от кампанията на CENTIO #Cybersecurity – #ЗаедноМожем. Безплатна защита за всички фирми в нужда)
Близо 15% от онлайн рецензиите на продукти и услуги са платени. Това показват данните на ReviewTrackers, които поставят под въпрос достоверността на може би най-добрия показател за качество – потребителското удовлетворение.
Фалшивите рецензии могат да са много убедителни
Поначало, клиентското мнение относно даден продукт е ценен ресурс, който може лесно да ви ориентира в един доста пренаситен пазар. Без значение дали си купувате кола или слушалки, можете да намерите човек с такива и детайлно обяснение за предимствата и недостатъците им.
Дори понякога толкова детайлно, че ви кара да се замислите защо някой би седнал да напише три страници текст за хладилна чанта.
Проблемът продължава да се задълбочава
Трудно е да се измери каква част от оценките в онлайн магазините са фалшиви, тъй като няма конкретен белег, по който да съдим за достоверност. Самите магазини са твърде много, че да бъдат категоризирани, но нека погледнем някои факти:
В последните няколко години, гигантът Amazon води хиляди дела срещу търговци в платформата заради купуване на рецензии (това ощетява имиджа на платформата)
Средностатистическата цена за рецензия е едва $5
Писането на “product reviews” е една от най-търсените услуги във freelance света
Най-често такива се пишат за скоро стартирали магазини (за да изглеждат по-достоверно) или за подобряване на рейтинга на продавача в платформи като ebay и amazon
Как може да познаем фалшива рецензия
Една добре написана такава може да е сложна за различаване от истинска, но нека заложим на нормалната, евтина фалшива оценка. Нея можете да забележите по:
Ключовите думи – ако използва прекалено особен речник, което принципно се изисква от възложителя
Общи приказки – фалшивите рецензии рядко подчертават силни точки на продукта, които не са описани в магазина
Печат за достоверност – някои магазини предлагат допълнително обозначение, че някой действително притежава (или поне е закупил) продукта. Това, уви, вече не е гаранция, но все пак е по-добре от нищо.
Анализ на езика – според проучване на Cornell Computers, флашивите рецензии съдържат прекалено много глаголи и използване на първо лице, ед. число – „Аз“.
Защо фалшивите рецензии са заплаха за сигурността?
Ето само част от причините:
Наличието на множество рецензии се води за белег за достоверен магазин. А пишещи по поръчка не се интересуват дали наистина работят за магазин, който просто иска да стане по-популярен или за фалшиво копие на магазин за кибер-престъпници, които ще крадат вашите лични данни
Продуктовите ревюта по поръчка могат да прикриват пропуски на продукти – включително и в защитата им, което да изложи вас – потребителите им – на риск
До този момент 2018 г. върви сравнително (и привидно) по-спокойно от предходната, ако говорим за разкрити пробиви в информационната сигурност. „По-спокойно“ обаче не означава, че няма пробиви – дори обратното. Ето част от най-мащабните такива през 2018 г.
NotPetya – най-скъпата кибератака до момента
Криптовирусът разкъса компании от цял свят, причинявайки загубата на терабайти чувствителна информация. На два пъти, атаката постигна и нещо друго невиждано до сега – масовото на електрозахранване, причинено от компютърен вирус.
Според САЩ, атаката идва от руските военни части, а те трябва да бъдат подведени под отговорност. Това е донякъде иронично, тъй като основният използван инструмент е техника, изтекла от NSA (националната агенция за сигурност на САЩ).
Ирански хакери срещу университети в САЩ
След като осъществяват атака срещу над 300 университета в САЩ, група ирански хакери биват разпознати и осъдени. В процеса се стига до заключението, че са успели да проникнат в 144 университета в САЩ, 176 в 21 други страни и 47 частни компании. Според министерството на правосъдието на САЩ, хакерите са откраднали над 31 терабайта данни.
Изтичащи и изтекли данни
Няма как да не споменем всичкото източване и изтичане на данни, на което сме свидетели ежедневно. Сред случаите с най-много медийно внимание попада и този на фирмата Exactis – компания, която събира лични данни, които могат да бъдат използвани за инзудване. Доскоро, компанията ги съхраняваше на публично достъпни сървъри.
Фитнес тракер стана източник на 150 милиона потребителски записа
Атаката над MyFitness Pal e отличен пример за неспособността на корпоративния свят да навакса с изискванията на сигурността. Източването на данни при нея се случва само и единствено защото част от тях са били криптирани с доказано уязвим алгоритъм – SHA1.
Другата част от данните са били надеждно подсигурени и не са пострадали при атаката.
Както винаги, напомняме, че можете да видите дали сте жертва на една от споменатите атаки, като използвате HaveIBeenPwned – безплатна услуга, която проверява за потребителското ви име или мейл в изтеклите бази данни.
Може ли няколко лава лампи да бъдат използвани като средство за защита от хакери? Може и да звучи странно, но отговорът е да. Как и защо – ще разберете от следващите редове.
Един пример
Всеки път, когато влезете в уебсайт, например, той генерира случайно число. Това случайно число играе ролята на идентификатор за посетителя (вас). Проблемът е, че компютрите не са особено силни в генерирането на наистина произволен стринг, защото зависят от алгоритъма на генериране, който им е зададен.
Да, генерираните комбинации могат да бъдат много сложни за отгатване, но не и абсолютно случайни. А това ги превръща в разбиваеми от хакери.
Интернет гигантът CloudFlare се справя с този недостатък като елиминира компютъра и използва няколко интересни генератора на случайност – 100 лава лампи, махало и гайгеров брояч.
Как няколко случайни предмета ни пазят
Как действа инсталацията? CloudFlare наблюдава 100 лава лампи в изолирано помещение. Те са известни с фигурите от разтопен парафин, които бавно се издигат и падат в тялото на лампата. Както можете да се досетите, няма особено голяма вероятност да се образуват две еднакви парафинови фигури.
По думи на Джон Греъм-Къминг (CTO на компанията), стената от лампи генерира 16,384 бита ентропия (мярка за безпорядък) всеки път, когато се използва.
Това далеч не е всичко
С право можете да си зададете въпроса „Ами ако някой започне да наблюдава лампите без разрешение?“. В такъв случай, може да ви успокои факта, че компанията е добавила допълнителни слоеве към защитата си.
Компанията наблюдава и движението на двойно махало в офиса си в Лондон. Освен него, за защитата ви се грижи и гайгеров брояч, измерващ радиацията от парченце уран в Сингапур, където е другият офис на CloudFlare.
Системата за генериране на случайност се нарича LavaRand и можете да прочетете публикацията на CloudFlare ТУК.
Нова кампания на небезизвестния вирус MuddyWater, която използва стартиране на PowerShell script в MS-Word документ, бе разкрита от анализаторите на Trend Micro.
Вирусът бе засечен за първи път през 2017 г. и бе насочен срещу правителството на Саудитска Арабия. По-късно нова серия от атаки бяха извършени към други страни като Турция и Пакистан, а през март тази година – и към Таджикистан.
Новото и различно при тази вълна на кампанията е, че атаката не използва VisualBasic Script и PowerShell компонентни файлове, а директно инжектира скрипта, нужен за атаката в самия Word документ.
Как протича заразата
Първата стъпка от атаката обикновено цели да заблуди жертвата. Тя получава мейл с обещания за награда или промоция и бива подмамена да изпълни макрокода в документа, прикачен към лъжливото писмо.
След послушното стартиране на кода, той използва фукнцията Document_Open(), за да стартира автоматично зловредната си част. Задълбочен анализ на малуера показва, че PowerShell скрипта, който декодира съдържанието на зловредния документ, води до изпълненито на втори скрипт.
Изпълнението на втория PowerShell скрипт използва различни зловредни компоненти, намиращи се в %Application Data%\Microsoft\CLR\*, които от своя страна стартират финалния payload – PRB-Backdoor(няма общо с Прокуратурата на Република България :) ). PRB-Backdoor е инструмент, който комуникира с команден център, изпращайки или получавайки специфични команди, чрез които извършва своята зловредна активност.
За улеснения на читателите, прилагаме така наречения IOC (Indicator of Compromise), които може да бъде използван за засичане на атаката.
Най-добрият начин за предпазване от този тип атаки е да не се доверявате и да не отваряте съдържанието на съмнителни документи или мейли, които ви обещават промоции, награди или други финансови облаги.
Разбира се, не можем да минем и без да ви посъветваме да използвате лицензиран антивирусен софтуер, за да имате шанс пред атакуващите, в случай че все пак отворите документа.
Похватите за амплификация и отразяване (amplification and reflection) са едни от най-често използваните при изпълнение на DDoS атаки. Благодарение на настройките си по подразбиране и/или „лоши“ конфигурации, протоколите и услугите като DNS, NTP, SSDP и Memcache се превръщат в опустошителни вектори за атака. В сравнение с традиционните методи за изпълнение на DDoS атаки, а именно създаване на многобройна botnet мрежа от IoT и мобилни устройства, каквито са Mirai, Hajime и WireX, вече споменатите услуги предоставят възможност за достигане на далеч по-обемни (~2Tbps) атаки с много по-малък брой уязвими сървъри. Как? Използваният транспортен протокол (UDP) е идеален за целта, като фактора на амплификация достига до 50 000, в зависимост от приложението:
За scrubbing услуги, предоставяни от големите доставчици като Google, CloudFlare, Akamai и Imperva, не представлява проблем да се справят с атаки от такъв тип. Обема на зловредния трафик не е важен, защото изходния порт (source порта) в хедърите на амплифицираните пакети следва предсказуем модел, примерно филтрацията на пакети с изходен порт 53 при DNS атака е стандартна мярка.
Вече не може да разчитаме на това
Именно от Imperva оповестиха откритията си относно иновативния метод за маскиране на традиционни DDoS атаки. Наскоро те са противодействали на SSDP амплифицирана атака, при която са забелязали пакети с нестандартен начален порт – нещо, за което досега се смяташе, че едва ли е възможно, камо ли някой да е готов да се защитава от такава атака.
На база първоначална хипотеза, Imperva успяват да създадат Proof-of-Concept за изпълнение на замаскирана DDoS атака, като използват UPnP (Universal Plug and Play) експлойт.
UPnP е протокол с дълго минало и множество проблеми касаещи сигурността
За незапознатите, UPnP е мрежов протокол опериращ върху UDP на порт 1900 за откриване на други устройства и случайно избран TCP порт за управление. Протокола има широко приложение в IoT устройствата (компютри, принтери, рутери и други), като служи за взаимното им откриване в LAN мрежата.
Какви са евентуалните проблеми с UPnP:
В някои имплементации настройките по подразбиране предоставят отдалечен достъп през WAN;
Липсва оторизиращ механизъм, което в комбинация с първата точка влошава положението сериозно;
Съществуват уязвимости предоставящи възможност за отдалечено изпълнение на код.
Исторически погледнато, първото разглеждане на слабости в UPnP е през 2001 с откриването на buffer overflow exploit. След това през 2006 е публикувана статия с интересното име – „Universal Plug and Play: Dead Simple or Simply Deadly“. В нея са описани методи за отдалечена пренастройка на устройства поддържащи UPnP чрез XML SOAP API съобщения.
От Rapid7 и Akamai също отделят време да изследват възможностите за експлоатиране на тази технология. През 2015 година по време на DEF CON 23, Ricky Lawshae изнася интересна презентация на тема UPnP и SOAP съобщения. В нея се отделя специално внимание на факта, че е възможно отдалечено изпълнение на AddPortMapping команди, които от своя страна управляват логиката за пренасочване на портове.
Маскиране на DDoS атака чрез UPnP пренасочване на портове
В описаната от Imperva SSDP атака, анализаторите са открили, че около 12% от пакетите идват от неочакван изходен порт, а не от UDP/1900. След оценка на няколко възможни опции, те успяват да пресъздадат атака, при която независимо типа на амплифицираният протокол, изходните портовете биват замаскирани.
Как би изглеждала евентуална подготовката за стартиране на DNS маскирана DDoS атака?
Откриване на общодостъпни UPnP устройства С помощта на IoT търсачката shodan.io, резултатът за българското пространството
За сравнение, в световен мащаб и към момента на публикуване на тази статия, точният брой е 1,365,553. Това по никакъв начин не означава, че всички тези устройства са уязвими, но намирането им измежду множеството не представлява проблем за мотивираните престъпници.
Ето така изглежда XML който UPnP сервира
Промяна на правилата за пренасочване на портове В rootDesc.xml са описани всички предоставяни услуги и свързани устройства, където по секцията <SCPDURL> могат да се видят действията, които устройството ще приеме отдалечено. В началото на списъка виждаме вече споменатото действие – AddPortMapping, което позволява конфигурирането на пренасочващи правила. Използвайки схемата на XML файла, може да бъде създаден SOAP запис, който да пренасочи всички UDP пакети от порт 1337 към публичен DNS сървър (3.3.3.3) на порт UDP/53. За повечето от нас, това пренасочване няма смисъл и дори очакваме да не сработи! При port forwarding правилата се прави връзка от публични (външни) към частни (вътрешни) IP адреси Source и обратното, а не се прави proxy заявка от външно към друго външно IP. Всъщност, много малко рутери имплементират такъв тип проверка, при който удостоверяват, че предоставеното вътрешно IP наистина е вътрешно.
Стартиране на замаскираната атака С направеното до тук, атаката следва следният сценарий:
Уязвимият рутер получава DNS заявка на UDP/1337;
Заявката е пренасочена към DNS сървър с краен (destination) порт UDP/53, благодарение на правилото за пренасочване;
DNS сървъра отговаря на заявката като със sourse port UDP/53;
Рутера предава отговора на DNS сървъра към първоначалният заявител, но не и преди да смени source порта обратно към UDP/1337.
Source: Imperva
В случая престъпникът (1.1.1.1) се представя (spoof) от името на жертвата – така усилените и замаскирани пакети достигат до крайната точка (4.4.4.4)
Описаната техника важи за всички протоколи и услуги, които така или иначе се използват за DDoS атаки, но с нея вече не може да се разчита на филтрация на база source IP и port. Така стандартните защитни механизми стават ненадеждни, като най-вероятна технология за защита от такива атаки е Deep Packet Inspection (DPI), която от своя страна изисква много повече ресурси и е предизвикателство да обработва in-line трафик без значителна инвестиция.
Истинското решение на проблема е такива устройства да не бъдат публично достъпни и да филтрираме достъпа до тях. Mерки, които често биват пренебрегвани, понеже реално не предоставят реални ползи за техните ползватели.
Изненадващо прост начин за заобикаляне на една от защитите на Office365 е разкрита от потребители на услугата.
Засегната е функцията Safe Links, която се грижи за блокирането на потенциално опасни линкове в имейли и документи.
Методът, който престъпниците използват, е поставянето на <base> таг в HTML хедъра, което разделя зловредния URL на части. По този начин, Safe Links не проверява пълния адрес и потребителите не получават адекватна оценка на безопасността му.
Методът, именуван baseStriker, работи срещу настолната, уеб и мобилна версия на Outlook, тъй като и двете поддържат <base> тага. Клиенти като Gmail не са засегнати.
Microsoft са осведомени за уязвимостта и компанията вече разследва проблема.
Проучване на Accenture и института Ponemon ни показа, че финансовите услуги са били (и остават) основна цел на кибер-атаките през миналата година. Средните отчетени щети за фирма от сектора според проучването са на стройност 18 милиона USD. Това е над 62% ръст в стойността спрямо данните от подобни проучвания от 2013 г. Проучването е проведено за общо 15 сектора на промишлеността в седем различни държави.
Атаките срещу услуги, които използвате, са атаки срещу вас
Най-силно засегнати са финансовите услуги в САЩ, което не е изненада, тъй като те представляват огромен дял от индустрията. Интересното, е че заразяването с вируси представлява най-малкият дял от щетите, докладвани в проучването. От другата страна стоят водещите вредители – denial of service (DoS) атаки, които спират принудително достъпа до различни услуги и фишинг атаки, които целят да експлоатират човешкия фактор в системата като се възползват от доверчивостта на потребителите (нас).
Най-сериозните пробиви в сигурността през изминалата година не просто доведоха до загуби на приходи – те доведоха до загуби на потребителски данни. Милиони записи лична информация бяха източени, а щетите от това не могат да бъдат лесно преценени. От страна на бизнеса, най-големи щети се причиняват от атаки, които спират достъпа до услуги (DDoS и DoS).
Ситуацията все още не се подобрява
Атаките към бизнеса продължават да стават по-мащабни, по-сложни и по-унищожителни. Миналата година станахме свидетели на феномени като WannaCry, Petya и NotPetya, които причиниха щети за стотици милиони долари на компании от цял свят. Няма как да измерим дали мерките за сигурност се подобряват, но атаките видимо стават все по-опасни.
Лъч светлина за гражданите на ЕС е въвеждането на новия регламент за съхранение на лични данни (GDPR). Тя задължава всички компании, които имат потребители от ЕС да въведат защитни способи като криптиране на съхраняваните данните. Това не е крайна гаранция за сигурността ви, но и няма как да имате такава. Със сигурност е стъпка напред в предотвратяването на източване на данни и предпоставка да се наслаждавате на удобството на дигиталните услуги по-спокойно.
Нов (стар) модел за дистрибуция на ransomware – “Ransomware as a Service” (RaaS) позволява на всеки да си наеме вирус и да печели от това. Като под всеки разбираме буквално всеки с достъп до интернет и средства за електронни разплащания.
Услугата вирус под наем става толкова просто, колкото да си наемете хостинг – или да си купите обувки онлайн. Под примамката за лесна печалба, обаче, се крие огромен риск: наемането на такъв вирус и разпространяването му с цел печалба превръща всеки един в престъпник.
Кибер-престъпността откри нов бизнес модел
И ако кибер-престъпността отдавна е доста печеливш бизнес, то сега тя откри нов модел за печелене на пари от потребителите.
Де факто, услугата вирус под наем позволява на всеки един потребител да създаде своя собствена модификация на криптовирус (или ransomware) – да определи какви съобщения да виждат жертвите му, какъв откуп да плащат… Общо взето – проста работа.
Цената на услугата също е привлекателна -започва около 40 USD и расте според ефективността на вируса и възможностите му за персонализация, степента на прикриване и защита от разкриване от антивирусни програми. Част от услугите предлагат дори и учебни материали, систематизирани „кампании“ на заразяване и други онлайн инструменти за по-ефективна дейност.
Всичко се управлява чрез уеб портал, точно както уеб приложенията, които използвате ежедневно за работа. Заплащанията за абонаментни планове, всички услуги и подкупите се извършват в bitcoin, което ги превръща в много трудно проследими.
Това не са добри новини за законния бизнес
Успехът на тези платформи дава шанс на всеки да атакува информацията и организацията ви. Всеки.
Забравете от необходимостта за осъществяване на атака някой да прекарва безброй часове, в които да учи езици за програмиране, устройство на мрежи и операционни системи. Забравете необходимостта да се търсят нови уязвимости и някой да ги експлойтва. Този някой вече има готови инструменти, с които за минути може да генерира готова атака срещу мрежата ви – и да тества екипа ви за ИТ сигурност.
Това може да означава огромен ръст на атаките от хора, които си няма бегла идея за това какво правят – познати още като script kiddies. От една страна, не би трябвало да е трудно да се защитим от хора без умения, нали? От друга страна, обаче, ако хората, които ви защитават, са заети да се борят с опитите на неуките, то няма да има кой да реагира на истински прецизната атака, която ще премине през защитата ви и дори няма да остави следа.
Като добавим и факта, че създателите на ransomware произвеждат нови варианти на вирусите си – такива, които биват засичани по-трудно и могат да им донесат по-голяма печалба – ситуацията става далеч от розова.
Затова, препоръчваме да следвате следните
Съвети за системни администратори:
Не пестете от бекъпи – бекъпвайте често и запазвайте скорошни копия на сигурно местоположение извън фирмената мрежа, като допълнителна мярка за безопасност.
Внимавайте с прикачените файлове – информирайте колегите и клиентите си, че ако не знаят какво е съдържанието на документа, който са получили, в никакъв случай не трябва да го отварят, за да проверят.
Забранете използването на макро команди в документи, които са получени по мейл – много от заразите разчитат на това, че допълнително сте включили автоматичното изпълнение на макро и по този начин свалят т.нар. payload.
Патчвайте редовно – множество заплахи целят да експлоатират уязвимости в приложенията, които използвате. Колкото по-често патчвате, толкова по-малко оставяте пролуки в сигурността си.
Съвети за потребители:
Не гонете лесните пари – наемането на криптовирус може да ви се струва привлекателна алтернатива за припечелване на някой лев (пардон, bitcoin), но всъщност НЕ Е. Ако криптирате информация на чужди компютри и/или телефони, то вие се превръщате в престъпник и може да бъдете съдени. Ако се замесите с престъпници, може да се превърнете в тяхна марионетка или по-лошо – муле.
Не влизайте там, където не трябва. Напоследък тъмният интернет се радва на огромно внимание от страна на медиите. Там няма нищо, което да е толкова невероятно или привлекателно. Не влизайте там, където не знаете какво се крие зад всеки ъгъл.
