Източване на лични данни

Хакери използват PWA и WebAPK, за да се представят за официални банкови приложения и да крадат идентификационни данни от потребители на Android и iOS. 

PWA и WebAPK се инсталират през браузър, но поддържат функционалности, характерни за мобилните апликации. Когато се използват във фишинг кампании, това им позволява да заобикалят традиционните предупреждения за „инсталиране на неизвестни приложения“ и им дава достъп до рискови разрешения на устройствата, без знанието на потребителя. 

Кампанията е разкрита от ESET. Тя залага на PWA и WebAPK, като протича по следния начин: 

• автоматизирано гласово обаждане за остаряло приложение за банкиране приканва потребителя да избере опция от цифровата клавиатура;
• изборът изпраща SMS, включващ връзка към компрометиран интернет адрес, който той трябва да посети, за да обнови апликацията си;
• адресът имитира официална страница на Google Play, App Store или на самата банка и приканва жертвата да инсталира „нова версия“ на приложението;
• след инсталацията потребителят трябва да изпрати идентификационните си данни за интернет банкиране, за да получи достъп до сметката си. Но те отиват директно към сървърите на нападателите. 

Засега подобни кампании са засечени в Чехия, Унгария и Грузия. Но нашият съвет е да бъдете изключително внимателни, когато получавате съобщения, свързани с вашите банкови приложения. Киберпрестъпността не признава граници. 

 

Осем уязвимости в приложения на Microsoft за macOS позволяват на хакерите да заобиколят рамката за сигурност на Apple Transparency, Consent and Control (TCC). Според Cisco Talos те дават възможност на нападателите да използват правата на Teams, PowerPoint, OneNote, Excel и Word, за да получат неоторизиран достъп до чувствителни данни и ресурси без съгласието на потребителя. 

Това става възможно, тъй като някои приложения имат определени права, които деактивират критични функции за сигурност. Например Teams има правомощието com.apple.security.cs.disable-library-validation, което му позволява да зарежда библиотеки на трети страни, без да извършва проверка на подписа. Като използват неговата уязвимост и това правомощие, нападателите вкарват зловредни библиотеки, които наследяват разрешенията на довереното приложение.  

Веднъж влезли в системата, те подмамват потребителите да отворят злонамерени прикачени файлове или да кликнат върху компрометирани връзки. След това зловредните библиотеки повишават привилегиите на нападателя, като му предоставят достъп до чувствителни данни и системни ресурси. 

За да намалите риска, ви съветваме: 

• актуализирайте редовно софтуера; 
• бъдете предпазливи към непознати връзки и прикачени файлове; 
• използвайте реномирани решения за сигурност; 
• изградете си навици за безопасно сърфиране. 

PayPal е една от най-големите компании за онлайн разплащания в световен мащаб – използват я Microsoft, Google Play, PlayStation Store и мн. др.

Платформата има приблизително 361 млн. активни потребители, които правят средно по 40 транзакции годишно. Този мащаб предоставя голям шанс на хакерите да „спечелят“ пари, без вие, като потребител, да заподозрете.

Най-често срещаните измами

Голяма популярност през последните години набраха фалшивите уебсайтове, които пресъздават страницата на PayPal. Атаката се осъществява чрез фишинг имейл, който съдържа линк към подправената страница.

Когато кликнете върху линка, ви пренасочват към страница, в която да въведете своите разплащателни данни. Не само това, но ви искат и доста лична информация (име, адрес, ЕГН и др.), която впоследствие може да бъде използвана за по-мащабни атаки срещу вас.

Как да се защитите

PayPal има славата на една от най-безопасните платформи за извършване на финансови транзакции. Затова киберпрестъпниците проявяват голямо въображение, за да ви подмамят. Често използват тактики и заучени фрази като: “Днес е вашият щастлив ден и спечелихте от лотарията!”. Ако искате да получите „наградата“, трябва да заплатите малка такса за самата транзакция.

Първата лампичка, която трябва да ви светне е, че ако не сте участвали в такава лотария, единственият човек, който би спечелил нещо е хакерът.

За да не се хванете на кукичката на подобен тип атаки, винаги трябва да сте бдителни, да внимавате какви действия предприемате и задължително да приложите основни мерки за сигурност:

1. Използвайте силна парола

Паролата за PayPal трябва да е различна от паролите ви за достъп до други приложения и не трябва да я съхранявате в четим вид (plain text). Добра практика е използването на мениджър за управление на паролите (Password Manager) .

2. Активирайте двуфакторното удостоверяване

PayPal дава две възможности на потребителите си: Автентикация чрез OTP (One-time pin), който се генерира при всяко влизане или свързване на PayPal акаунта ви с third-party 2FA апликация.

3. Никога не използвайте PayPal приложението през незащитени или публични мрежи

През тях хакерите следят мрежовата активност и могат да прихванат или да променят вашият трафик (данни).

46 млн. записа лични данни са изтекли от популярната детска игра Animal Jam още през октомври 2020 г., но пробивът става известен месец по-късно. Хакът е извършен през системата за вътрешна комуникация на служителите в компанията – разработчик (WildWorks).

Animal Jam е една от най-популярните игри за деца (в Топ 5 игри във възрастовата категория 9-11 г. в App Store на Apple в САЩ).

Откраднатите данни са на играчи от 10 години назад и включват потребителско име, парола, пол и година на раждане. В 5,7 милиона записа се съдържа пълната дата на раждане.

Създателите на играта, WildWorks, са нулирали паролата на всеки играч.

Освен данни на децата, са изтекли и 7 млн. имейл адреси на родители, използвани за управление на акаунтите на децата им. В близо 13 хил. родителски акаунта се съдържа пълно име и адрес за фактуриране.

Към момента данните вече се разпространяват в поне един хакерски форум.

Какво могат да направят родителите?

• На https://haveibeenpwned.com/ можете да проверите дали данните ви са компрометирани
• Ако използвате хакнатата парола за достъп до други сайтове, веднага я сменете с друга – силна и уникална
• Внимавайте за измами, свързани с нарушението на данните ви

Последен ъпдейт на 5 ноември 2020 в 17:31 ч.

Бази данни, съдържащи общо 34 млн. записа, източени от 17 различни компании, се търгуват през хакерски форум. Продавачът на данните е заявил пред BleepingComputer, че действа само в качеството си на брокер и е отрекъл да е отговорен за хаковете.

Всички обявени за продажба данни са източени през 2020 г., като базите общо съдържат: имейли, пароли, адреси, три имена, телефонни номера, частични номера на кредитни карти и дати на валидност, данъчни и идентификационни номера и др.

Най-пострадала сред седемнайсетте компании е Geekie.com.br с 8,1 млн. източени записа. След съобщението на BleepingComputer само сингапурският RedMart е обявил наличието на теч на данни, а Wongnai.com е заявил, че разследва инцидента.

Ако сте потребител на някой от засегнатите сайтове (проверете тук), трябва незабавно да промените паролата си, като изберете силна такава и я използвате само за този сайт. Препоръчваме да използвате мениджър на пароли, който ще ви помогне да генерирате уникални и надеждни пароли за всеки сайт.

Над 60% от кражбите на вътрешна информация е дело на служители, които планират да напуснат работа. Това показва проучване на Securonix, озаглавено „Insider Threat Report”. То обхваща „стотици инциденти, за да изведе шаблони за засичане на потенциални инциденти с киберсигурността.“

Един от основните изводи в проучването е, че планиращите напускане служители променят своето поведение на работното си място доста преди самото напускане, Обикновено това става между 2 до 8 седмици по-рано. Част от тази промяна е подготовката за неоторизираното изнасяне на вътрешна информация – или insider attack (атака от вътрешен човек, буквално преведено).

Защо се краде информация?

Както подсказва името, този тип атаки са дело на хора с права и привилегии в дадената организация, имащи достъп до огромно количество информация. А данните могат да бъдат използвани по много начини:

• Да бъдат продадени на трети лица с цел финансова облага
• За пробив в сигурността на компанията
• За изнудване
• За професионална облага

Според Securonix, изтичането на информация от организациите продължава да бъде най-разпространения вид кибератака. Според нас – може би това е така, защото е доста улеснено, както за служителите, така и от страна на работодателите, които отказват да вземат мерки срещу подобни действия.

Очевадни инструменти

Най-често използваните инструменти при подобни действия са и най-често използваните в ежедневието на огромна част от интернет потребителите: разпращане на данни от служебни в лични имейли, ъплоудване в cloud услуги като Dropbox, Google Drive и др., чрез копиране на USB флашки.

Един от примерите в доклада: служител на голяма компания копира конфиденциална информация за клиентите на текущия си работодател, за да я продаде на друга компания.

Според Securonix, източването на вътрешна информация се среща най-често в секторите фармация, финанси и IT. Техните проблеми произтичат главно от невъзможността коректно да бъде определена коя информация е конфиденциална и коя чувствителна при назначаването на привилегии за достъп на служители.

Препоръките на Securonix са все повече да се използват алгоритми, които изучават поведението на служителите, като при наличие на аномалии те да бъдат адресирани и разгледани в детайли. Това би могло да включва дори и измерване на обема трансферирани данни от потребителя ежемесечно, наблюдавайки за извършени нередности.

Според тях традиционните методи за следене на изтичане на информация като Data Loss Prevention (DLP)  и Privilege Access Management (PAM) не са достатъчни, тъй като те не биха могли да засекат злонамерено поведение във все по-търсените облачни услуги днес.  Но са едно добро начало.

Последен ъпдейт на 4 май 2020 в 12:00 ч.

Уязвимост във функционалността „Логин с Facebook“ позволява кражба на лични данни на потребители на социалната мрежа. Тя е разкрита от анализатора Amol Baikar и е на над 10 години.
Благодарение на нея, хакерите,  използвайки фалшиви сайтове, на които вие се логвате (без да подозирате, че са такива) с OAuth 2.0 токени за достъп, се сдобиват с възможност да се представят за вас. По този начин, може да се присвои идентичност на потребител на Facebook, без да се крадат потребителското му име и паролата му. Това означава, че при кражба на токен, на практика, хакерът може да се автентикира пред Facebook (или външни сайтове, използващи функционалността за логин с Facebook) от името на жертвата си.
Уязвимостта е отстранена, а разкриването и е донесло награда от 55 хил. USD на Baikar.

[button color=“green“ size=“big“ link=“https://cybersecuritynews.com/facebook-account-take-over-vulnerability/“ icon=““ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Лични данни от над 250 млн. заявки за техническа поддържа на Microsoft са били оставени публично достъпни за 2 дни през декември 2019 г., съобщава welivesecurity.com. Причината е грешна конфигурацията на сървъри на компанията.

Тъй като личните данни са били оставени достъпни без необходимост от автентикация, на практика всеки с интернет връзка е можел да ги свали.

Сетът с над 250 млн. записа е бил съхраняван на пет отделни Elasticsearch сървъра, които са разкрити от изследователя Bob Diachenko на 29 декември 2019 г. Той е уведомил Microsoft незабавно, а компанията е започнала разследване и е заличила информацията в рамките на 2 дни.

Според официалната позиция на Microsoft не са засечени потенциално опасни опити за достъп до данните.

Прочетете още: Microsoft предупреди за нова уязвимост без патч в Internet Explorer

Каква информация?

Източената информация включва логове от комуникация между Microsoft и клиенти на компанията за период от 14 години между 2005 и 2019 г.

Въпреки че най-чувствителните данни – за плащания – е била обфускирана, в базите данни са били съхранявани и множество записи в текстов формат. В тях е имало IP адреси, локации и вътрешни бележки към комуникацията, маркирани като „конфиденциални“, имейл адреси на клиентите, описания на тикети за поддръжка, мейли на служители на Microsoft и т.н.

Защо?

Официално съобщената до момента причина за оставената на показ информация е неправилна конфигурация на правилата за защита на данните на сървърите. Подобни грешки не са нещо ново или непознато.

Ето 3 други примера:

• Над 1.2 млрд. записa крадени лични данни, обединени в една база данни
• Милиони потребителски данни от Facebook са били оставени публично достъпни на cloud сървър на Amazon
• Над 2 млрд. мейла оставени достъпни за „всеки с връзка с интернет“

Преди няколко месеца грешка в конфигурацията на Elasticsearch сървър засегна почти цялото население на Еквадор, чийто лични данни бяха оставени публично достъпни.

Последен ъпдейт на 30 януари 2020 в 08:33 ч.

Достъпът до домейна WeLeakInfo.com е бил спрян принудително от ФБР съвместно с организации за борба с организираната престъпност от Великобритания, Нидерландия и Германия.

Собствениците му са предлагали достъп до над 12 млрд. записи с лични данни „нелегално придобити при повече от 10 хил. пробива“, съобщава WeLiveSecurity, позовавайки се на данни от институцията.

В тях се е съдържала информация като лични имена, имейли, потребителски имена, пароли, телефонни номера и др. Цената за 24-часов достъп до базите е била 2 USD, като са били налични и абонаменти за по-дълъг период.

Задържани са и двама души, заподозрени в управлението на сайта – единият в Нидерландия а вторият – в Северна Ирландия.

Това не е първият подобен случай. През май 2019 г. LeakedSource.com, предлагам база данни с над 3 млрд. крадени потребителски профила, е спрян, а собственикът му се признава за виновен за трафик на крадена информация.

Важно е да знаете, че има и легитимни сайтове, в които може да проверите дали потребителското ви име и паролата ви не са жертва на кражба – например, haveibeenpwnd.com. Браузърите Chrome и Firefox предлагат подобни функционалности.

Все повече компании позволяват на служителите си да използват собствени устройства, когато достъпват фирмени данни. Този модел, известен като Bring Your Own Device (BYOD) спестява разходи и осигурява по-голям комфорт на служителите.

Но също така е свързан с определени рискове за информационната сигурност на компанията. Най-тривиалният пример е за служител, който забравя някъде лаптопа си, в който има чувствителна информация. Възможно е личният таблет на служителя да стане цел на малуер или хакерска атака, което отново е проблем за неговия работодател.

Растяща популярност

Общо 76% от компаниите в ИТ сектора позволяват на служителите си да използват собствени устройства, показва проучване на компанията за информационна сигурност Bitglass. Едва 15% от фирмите имат пълна забрана за използването на собствени устройства.

Липсват мерки за сигурност

В същото време компаниите са наясно, че този модел на работа крие опасности за информационната сигурност. Едва 30% от анкетираните фирми са уверени, че са предприели необходимите мерки за сигурност.

Защитата на лични лаптопи, смартфони и таблети не се различава съществено от защитата на работните станции във вътрешната мрежа на компанията. Ето няколко решения, които могат да сведат до минимум риска от изтичане на данни.

Антивирусен софтуер

Антивирусният софтуер защитава устройството от повечето онлайн заплахи. Предвид факта, че повечето ви служители използват устройствата си основно за сърфиране в интернет, инсталирането на добро антивирусно решение е задължително.

Софтуер за защита от източване на данни

Софтуерът за защита от източване на данни (Data Loss Prevention) е препоръчителен независимо дали компания ви използва модела BYOD. Това е решение, което намалява риска от изтичане на данни от вътрешната мрежа. С него може да контролирате дейността на служителите, както и да контролирате достъпа, модифицирането и изпращането на чувствителна информация.

Криптиране на устройствата

Ако устройството на служителя бъде откраднато (или просто го изгуби), информацията на него може да бъде открадната. Криптирането на устройството решава този проблем. Ако данните на един лаптоп са криптирани, те не могат да бъдат разчетени от външно лице. За да се случи това е необходима парола, която се знае само от собственика на устройството.

Избор на силни пароли

Старото правило за избор на трудни за разбиване пароли никога няма да се изтърка. В случая трябва да обучите служителите си да го правят на своите устройства. Това е както в техен интерес, така и в интерес на компанията. Ето няколко прости правила за избор на сигурни пароли.