Източване на лични данни

Китайска група използва хиляди фалшиви онлайн магазини за кражба на данни от банкови карти в САЩ и Европа.

Кампанията на SilkSpecter започва през октомври 2024 г. и предлага големи отстъпки за предстоящия Black Friday и празничния сезон. Според компанията за киберсигурност EclecticIQ към момента групата оперира с 4695 измамни домейна. Те се представят за добре познати брандове като North Face, Lidl, Bath & Body Works, L.L. Bean, Wayfair, Makita, IKEA и Gardena.

Сайтовете на SilkSpecter са добре проектирани и обикновено носят името на представяната марка, за да изглеждат автентични. Те обаче използват домейни като „.shop“, „.store“, „.vip“ и „.top“, които не са характерни за големите брандове и надеждните онлайн магазини.

В зависимост от географското местоположение на жертвата сайтовете използват Google Translate, за да коригират автоматично езика. Те интегрират Stripe, легитимен и надежден процесор за плащания, което допринася за привидната им надеждност. На практика обаче крадат критична информация за разплащателни карти.

Когато потребител иска да направи покупка, той се пренасочва към страница за плащане. Тя го подканва да въведе номера на кредитната/дебитната карта, датата на валидност и CVV кода. На последната стъпка се изисква и телефонен номер.

Препоръчваме ви да посещавате само официалните уебсайтове на брандовете и да избягват да кликате върху реклами, връзки от публикации в социалните медии или промотирани резултати в търсачката на Google. Активирайте всички налични мерки за защита на финансовите си сметки, включително MFA и следете редовно извлеченията си.

Нова вишинг атака подлъгва българските потребители. В тази си кампания измамниците се обаждат от името на полицията.

Потребителят получава обаждане от автоматичен глас, който му казва, че неговата лична карта е замесена в схеми за пране на пари.

Самото съобщение е на английски език. Това предполага, че схемата не е разработена от българска група и все още не е добре прецизирана за местна употреба.

Все още не е ясно и каква е целта на измамата, но вишинг кампаниите обикновено са насочени към:

• финансови измами и разкриване на чувствителна информация като данни за банкови сметки или номера на кредитни карти;
• кражба на самоличност чрез получаване на лична информация и използването ѝ за различни измами;
• кражба на идентификационни данни за сигурност – пароли или ПИН кодове – което да позволи неоторизиран достъп до акаунти или системи;
• социално инженерство

При всички случаи е добре да останете бдителни и предпазливи, когато получавате неочаквани телефонни обаждания. Това въжи в още по-голяма степен, ако те изискват предоставянето на лична или финансова информация. Винаги проверявайте самоличността на обаждащия се по официални канали, преди да споделите чувствителни подробности. Не забравяйте, че законните организации никога няма да ви притискат да предоставите информация незабавно по телефона.

Японският гигант в областта на електрониката Casio потвърди, че е претърпял изтичане на критични данни в резултат на кибератака по-рано този месец.

Преди това хакерската група Underground обяви, че е откраднала повече от 200 GB правни документи, информация за заплати и лични данни на служители на компанията.‘

Casio изключи възможността за компрометиране на информация за кредитни карти, като заяви, че услугите Casio ID и ClassPad не са засегнати от пробива.

 

 

Хакери откраднаха база данни с 31 милиона потребители след пробив в Internet Archive. 

В сряда вечерта посетителите на archive.org бяха посрещани от създадено от нападателите предупреждение на JavaScript, което гласеше: 

„Чувствали ли сте се някога така, сякаш Internet Archive постоянно е на ръба да претърпи катастрофален пробив в сигурността? Току-що се случи. Ще се видим с 31 милиона от вас в HIBP!“ 

HIBP – Have I Been Pwned – e уебсайт, който позволява на интернет потребителите да проверяват дали личните им данни са били компрометирани.  

Създателят на сайта –  Трой Хънт – потвърди, че преди девет дни нападателят е споделил базата данни на Internet Archive с неговата платформа. По думите му тя представлява 6,4 GB SQL файл с име „ia_users.sql“. Масивът съдържа различна информация за регистрираните членове – техните имейл адреси, псевдоними, времеви маркери за промяна на паролата, пароли и други вътрешни данни. 

„Обикновено е технически невъзможно да се хакне миналото, но това нарушение на сигурността на данните е най-близкото. Откраднатият набор от данни включва лична информация, но поне паролите са криптирани. Все пак това е добро напомняне да се уверите, че всички ваши пароли са уникални, тъй като дори криптираните пароли могат да бъдат сравнени с предишни изтичания”, акцентира Джейк Мур, Global Security Advisor в ESET. „Have I Been Pwned е фантастична безплатна услуга, която може да се използва след пробив, за да проверят хората дали някога са били засегнати от нарушение. Ако откриете данните си в някое от известните нарушения, би било добре да смените тези пароли и да въведете многофакторна автентикация.“

Не е известно как атакуващите са проникнали в Internet Archive. 

На 9 октомври сайтът беше обект на DDoS атака, за която отговорност пое хакерската група BlackMeta. Ден по-късно страницата беше недостъпна. 

MoneyGram потвърди, че хакери са откраднали лична информация и данни за трансакциите на нейните клиенти при кибератака през септември.

След като са влезли в мрежата, участниците в заплахата директно са се насочили към услугите за активна директория на Windows, за да откраднат информация за служителите. Те обаче са успели да достъпят и голямо количество чувствителна данни за клиентите – трансакции, имейл адреси, пощенски адреси, имена, дати на раждане, телефонни номера, сметки за комунални услуги и др.

Атаката беше открита за първи на 27 септември. Тогава клиентите на платформата загубиха достъп до акаунтите си и възможност да прехвърлят пари на други потребители. Сега обаче става ясно, че нападателите са получили достъп до мрежата ѝ още по-рано – между 20 и 22 септември.

Не е известно кой стои зад атаката, но от MoneyGram са категорични, че не става въпрос за атака с цел откуп.

Ако сте потребители на MoneyGram ви съветваме:

• променете паролата си за приложението, както и навсякъде, където я използвате;
•  бъдете нащрек, защото откраднатите данни могат да бъдат използвани за социално инженерство;
• подлагайте на допълнителна проверка всяко съобщение, което получите от MoneyGram.

 

Актуализация на известния малуер White Snake се възползва от нова функция в Google Chrome, за да краде критични данни за банкови карти. 

Версия 129 на браузъра, пусната на 17 септември 2024 г., въведе няколко нови функционалности за подобряване на потребителското изживяване, в това число и възможността за съхраняване на CVC (Card Verification Code) на кредитни и дебитни карти. Именно тя е привлякла вниманието на киберпрестъпниците. 

Разработчиците на зловредния софтуер са актуализирали възможностите за извличане на тези CVC кодове от браузърите на жертвите, което ги улеснява при извършването на измами и кражби. 

Очаква се Google да отстрани тази уязвимост, но дотогава потребителите трябва да предприемат активни мерки за защита на финансовата си информация: 

• използвайте двуфакторна автентикация за всички финансови акаунти; 
• обмислете използването на виртуални кредитни карти за онлайн транзакции; 
• редовно проверявайте банковите си извлечения за подозрителна активност; 
• инсталирайте надежден антивирусен софтуер с възможности за засичане на финансови заплахи.  

  

Усъвършенствана фишинг кампания изпозлва Booking.com, за да открадне пари и лични данни от потребителите. Тя се развива в две основни стъпки:  

• компрометиране на акаунти на мениджъри на места за настаняване;
• измами на клиентите в рамките на официалното приложение на Booking.com. 

Първоначалната стъпка е регистрацията на домейн „extraknet-booking.com“, който наподобява валидния поддомейн „extranet-booking.com“, използван от мениджърите на хотели в Booking.com за административни цели. За да подсили илюзията, фишинг сайтът хоства фалшив портал, който изглежда като легитимния интерфейс на сайта. Той събира чувствителна информация от нищо неподозиращите администратори, включително данни за вход, лична и финансова информация.  

Нападателите използват различни техники – от най-традиционните фишинг имейли до усъвършенствани техники за SEO Poisoning, които класират злонамерените връзки високо в резултатите от търсенето. Често нападателите използват и платени реклами, за да увеличат видимостта на своите портали.  

След като устройствата на управителите на хотели бъдат компрометирани, хакерите използват официалните чатове на Booking.com за разпространяване на зловредни връзки към клиентите – най-критичната и доходоносна част от веригата.  

Затова, когато използвате функцията за чат на платформата, винаги имайте едно наум за изпращаните ви връзки, дори да изглежда, че те идват от легитимен подател. 

Злонамерена кампания таргетира потребители на Mac, които търсят поддръжка или услуги за удължена гаранция чрез AppleCare+, с цел кражба на финансови средства и лични данни. 

Според Malwarebytes измамниците използват социално инженерство и закупуване на реклами в Google, за да подмамят жертвите да посетят фалшиви уебсайтове, хоствани в GitHub, представяйки се за част от екипа на Apple. 

Измамата започва, когато потребителите потърсят поддръжка онлайн: 

• фалшивата реклама се показва в резултатите от търсенето в Safari; 
• потребителят се пренасочва към фалшива страница за обслужване на клиенти на AppleCare+, която го приканва да се обади на безплатен номер;
• при позвъняване, той се свързва с фалшив център за обслужване на клиенти;
• измамниците го инструктират да направи плащане или да сподели чувствителна лична информация – име, адрес, банкови данни и т.н. 

Финансовите рискове при този тип кампании са значителни, но това далеч не е всичко. Споделената информация може да доведе дори до кражба на самоличност. 

Затова бъдете много внимателни, когато контактувате дистанционно с каквито и да било доставчици на услуги, и в никакъв случай не споделяйте критична информация и не правете финансови трансакции, преди да сте 100% сигурни кой стои от другата страна. 

ЗЛовредно приложение за Android комбинира класически тактики с неизползван до момента метод за атака: експлоатация на NFC четеца на телефона за клониране и кражба на физически дебитни и кредитни карти. Откритието е на анализаторите от ESET. 

Кампанията протича така: 

• фишинг имейл, в който се твърди, че устройството е компрометирано, подлъгва жертвата да изтегли зловредното приложение NGate;  
• след като то бъде инсталирано, показва фалшив уебсайт, изискващ въвеждане на информация като дата на раждане, ПИН код и др. (класическият фишинг елемент от атаката);  
• жертвите се подканват да включат NFC на своите устройства и да поставят физическа дебитна или кредитна карта на гърба на смартфона, за да бъде регистрирана в профила на потребителя; 
• чрез NFC четеца на телефона, NGate клонира картата; 
• откраднатите данни се използват създаване на други реплики на открадната карта, след което тя може да бъде източена чрез теглене на банкомат или плащане на POS терминали.  

Българските потребители също често са обект на подобни кампании. Така че бъдете много предпазливи при онлайн комуникация с финансови институции – проверявайте URL адресите на уебсайтовете, никога не давайте ПИН кодовете си и изключвайте функцията NFC, когато не ви е необходима.  

Нова кампания със зловреден софтуер краде банкови данни през е-магазини, работещи с платформата за онлайн търговия Magento – една от най-често използваните в България.  

Според откривателите ѝ от Malwarebytes: 

• хакерите инжектират на пръв поглед безобиден ред код, който обаче зарежда съдържание от външен уебсайт;
• когато потребителят прави поръчка в страницата на компрометирания онлайн магазин, в нея се появява фалшива рамка „Метод на плащане“;
• въведеният номер на кредитна/дебитна карта, данните за срока на валидност и CVC се предават в реално време и се запаметяват в базата данни на нападателя. 

Подобни цифровите скимиращи инструменти често не могат да бъдат разпознати заради начина, по който се вписват в интернет страниците. Освен ако не проверявате мрежовия трафик или не отстранявате грешки с инструменти за разработчици, никога не можете да сте сигурни, че магазинът, който използвате, не е компрометиран.