Крайни потребители

Нов доклад на Specops установява, че от един милиард компрометираните пароли почти 1/4 отговарят на стандартните изисквания за сложност. И въпреки това престъпниците са успели да ги пробият. От тях 230 милиона са отговаряли на всички изисквания, включително повече от осем знака, една главна буква, специален символ и число.

Има и още много доказателства за уязвимостта на паролите. Според Data Breach Investigations Report 2024 (DBIR) на Verizon откраднатите креденшъли са основният фактор, водещ до нарушения на сигурността на организациите.

Затова не е изненада, че през последните години се появяват все повече алтернативни методи за удостоверяване на автентичността на потребителите.

Ето 7 от тях:

1. Биометрично удостоверяване

Биометричното удостоверяване използва физическите аспекти на дадено лице, за да потвърди самоличността му – пръстови отпечатъци, лицево разпознаване, сканиране на ириса и др. Този метод има очевидни предимства.

Пръстовите отпечатъци например са уникални за даден човек, така че не могат лесно да бъдат имитирани или възпроизведени. Освен това технологията е лесна за използване, като се избягва необходимостта от въвеждане на данни, които лесно могат да бъдат забравени.

Но и този метод не е неуязвим. Deepfake технологията може да се използва за създаване на фалшиви версии на лицето или други биометрични данни. А ако една подобна система бъде компрометирана, не можете просто да възстановите биометричните данни, както бихте направили с парола.

2. Поведенческа биометрия

Подобно на биометричната автентификация, поведенческата биометрия разчита на характеристики, които са уникални за дадено лице. Само че този път това е начинът, по който взаимодействате с въпросното приложение или уебсайт – например как движите мишката или пишете на клавиатурата.

Ползите са очевидни – потребителят не трябва да прави нищо специално, което прави този метод изключително удобен. Освен това се намалява опасността от споделяне на удостоверения, тъй като не можете лесно да споделите ритъма си на писане.

Но той може да се окаже скъп за интеграция и има потенциални опасения относно поверителността на данните в случай на пробив.

3. Blockchain за сигурно съхранение на пароли

Blockchain технологията може да осигури изключително сигурен метод за защита на данните. Тя осигурява защитен метод за разпространение на данни в децентрализирана мрежа. Въпреки това остават въпроси относно възможните разходи за съхраняване на пароли в Blockchain мрежи като Bitcoin или Ethereum.

4. Zero-knowledge proof (ZKP) технология

ZKP доказва истинността на математическо твърдение, без да разкрива допълнителна информация, „която може да е била полезна при намирането му“, отбелязва NIST. Това е криптографски метод, който доказва, че знаете паролата си, без да е необходимо действително да въвеждате данните си. С други думи, можете да докажете кой сте, без да се налага да споделяте лична информация.

Но и този метод има своите предизвикателства. Те включват ресурсните изисквания за обработка на заявките и потенциални проблеми, свързани със сложността.

5. Passphrases

Друга алтернатива на традиционните пароли е използването на Passphrases. За разлика от стандартните пароли, те се състоят от няколко свързани думи. Това създава по-дълъг, но по-лесно запомнящ се метод за удостоверяване.

Например, парола като „PurpleBananaSunsetDancer!“ се запомня по-лесно от произволен низ от букви и цифри, като същевременно осигурява силна защита благодарение на дължината си.

Passphrases са особено ефективни срещу Brute force атаки, тъй като дължината им увеличава експоненциално броя на възможните комбинации. Те обаче продължават да разчитат на входни данни, генерирани от потребителя. Това означава, че могат да бъдат уязвими, ако се използват общи фрази или предсказуеми модели на думи.

6. Passkey

Passkey е устойчива на фишинг алтернатива на паролите, която набира популярност през последните няколко години. Тя използва криптография с публични ключове за удостоверяване на потребителите. Обикновено ключът е свързан с устройство, например телефон или компютър, и може да бъде отключен с помощта на биометрични данни или ПИН код.

Passkey е устойчива на credential stuffing и фишинг атаки. Частният ключ, използван за удостоверяване, се съхранява на сигурно място в устройствата на потребителите и никога не се споделя с уебсайтове и не се предава по интернет. В резултат на това няма креденшъли, които могат да бъдат откраднати при фишинг атаки или пробиви в данните.

Технологията вече се поддържа широко от всички основни платформи, включително Google, Apple и Microsoft.

7. Security keys

Security keys са физически устройства, обикновено USB, NFC или Bluetooth, които най-често се използват за MFA. След като въведат парола, потребителите активират ключа за сигурност или въвеждат ПИН код, за да потвърдят самоличността си.

Security keys са устойчиви на атаки, тъй като изискват не само достъп до физическото устройство, но и до биометричните данни и ПИН.

Най-доброто от двата свята

Много от тези подходи са на разположение от известно време. Въпреки това паролите остават в основата на онлайн сигурността.

Това е така, защото:

• концепцията е утвърдена от десетилетия и е лесна за разбиране от всички;
• можете лесно да промените паролата си, ако се налага;
• паролите са или верни, или грешни – нищо повече, нищо по-малко;

Оптималният подход не е да избирате между пароли и някоя друга форма на автентификация. Вместо това трябва да се възползвате от предимствата на новите технологии, като същевременно запазите удобствата на сегашните.

Хакерите все по-често насочват фишинг кампаниите си към надеждни онлайн услуги за споделяне на документи. По този начин те заобиколят защитените платформи за електронна поща и успяват да откраднат потребителските креденшъли.

През 2024 този тип услуги са били обект на 8,8% от всички фишинг кампании, сочи проучване на Cofense Intelligence. 79% от анализираните случаи са включвали опити за кражба на креденшъли.

Сред най-често атакуваните са:

• Dropbox (25,5%) – най-използваната, тъй като фишинг файловете остават онлайн по-дълго заради големия трафик;
• Adobe (17%) – използват се главно за изпращане на злонамерени PDF файлове;
• SharePoint (17%) – нападателите се представят за колеги или бизнес партньори;
• DocuSign (16%) – често се използва при фишинг кампании, свързан с човешките ресурси, и в 6% от фишинг атаките с QR код;
• Google Docs (11%) – разпространение на зловреден софтуер чрез вградени връзки;
• Canva (9%) – фишинг чрез споделяне на PDF и мултимедия;
• Zoho (4%) – значителен скок на злоупотребите през декември 2024 до началото на 2025.

Някои от тези услуги автоматично изпращат известия на потребителите, когато даден документ е споделен, което допълнително легитимира опита за фишинг.

За да се предпазят, организациите и физическите лица трябва да въведат допълнителни нива на сигурност. Те включват:

• обучение на потребителите;
• инструменти за поведенчески анализ;
• MFA.

Мониторингът на подозрителни дейности при споделяне на документи също може да помогне за откриване на опити за фишинг, преди те да доведат до нарушаване на сигурността на данните.

Потребителите на Kubernetes, използващи популярния контролер Ingress NGINX, веднага трябва да инсталират пачове на четири новооткрити уязвимости. Те позволяват изпълнение на отдалечен код (RCE) и са с оценка на сериозност 9,8 от 10.

Wiz Security ги обединява под името „IngressNightmare“. Те засягат контролера, който е предназначен за насочване на външен трафик към съответните услуги на платформата.

Уязвимостите засягат 43% от всички облачни среди, включително много компании от класацията Fortune 500.

За да предпазят системите си, администраторите на Kubernetes трябва:

• да обновят контролера Ingress NGINX до версии 1.12.1 и 1.11.5;
• да се уверят, че крайната точка на admission webhook не е изложена на външен достъп.

От втората половина на 2024 г. насам все по-често се наблюдават атаки, при които нападателите използват фалшиви CAPTCHA. Чрез тях те подмамват потребителите да изпълнят злонамерени PowerShell команди и заразяват системите им със зловреден софтуер.

Тези сложни тактики за социално инженерство използват доверието на потребителите и доставят Lumma Stealer, способен да извлича информация за портфейли с криптовалути и други чувствителни данни.

Атаката се развива така:

• потребителите се примамват към злонамерени уебсайтове чрез уеб реклами, SEO hijacking или пренасочване от други компрометирани страници;
• злонамерените уебсайтове показват фалшиви CAPTCHA тестове, които изглеждат легитимни, тъй като копират разпознаваеми интерфейси;
• когато потребителите щракнат върху бутона „Не съм робот“, във фонов режим се изпълнява злонамерен JavaScript код. Той тайно копира PowerShell команда в клипборда на потребителя.

След това потребителят е инструктиран да отвори прозореца за изпълнение на Windows с помощта на клавишната комбинация WIN+R и да постави съдържанието с CTRL+V. По този начин той несъзнателно изпълнява зловредния код.

Тази сложна техника позволява на нападателите да заобиколят традиционните механизми за сигурност. Те използват легитимни действия на потребителя, за да инициират процеса на заразяване.

Все повече безплатни онлайн услуги за конвертиране на файлове разпространяват зловреден софтуер.

Киберпрестъпниците предлагат всякакъв вид популярно конвертиране, за да привлекат жертвите. Най-често използваното е от .doc в .pdf и обратно. Има и сайтове, които предлагат комбиниране на няколко изображения в един .pdf файл.

Най-опасното е, че тези платформи на практика работят и изпълняват задачата, възложена им от жертвата. Но на заден план тяхната система крие зловреден софтуер във файла, който потребителя изтегля. След това той краде различни видове информация. Тя може да включва лични и финансови данни, пароли и токени за сесии, които позволяват заобикаляне на MFA, както и имейл адреси.

Съществуват няколко възможни сценария:

• нападателите насърчават жертвите да изтеглят даден инструмент на устройството си, за да извършат конвертирането. Това обаче е зловреден софтуер;
• препоръчват инсталирането на разширение на браузъра, което да използвате занапред. Тези разширения често са browser hijacker или adware;
• конвертираният файл съдържа зловреден код, който изтегля и инсталира При отваряне на файла, той заразява устройството.

Наличието на активна защита от зловреден софтуер на вашето устройство и разширенията за браузър, които блокират злонамерени сайтове, могат да ви помогнат да се предпазите. Но ако подозирате, че може вече да сте станали жертва:

• незабавно се свържете с финансовите си институции. Работете с тях, за да предприемете необходимите стъпки за защита на самоличността и сметките си;
• променете всичките си пароли. Направете го през чисто, надеждно устройство.

Ето някои от зловредните платформи, които предлагат конвертиране на файлове:

• com (фишинг);
• Сonvertitoremp3.it (зловреден софтуер);
• Convertisseurs-pdf.com (зловреден софтуер);
• Ccom (фишинг);
• Convertix-api.xyz (троянски кон);
• Ccom (adware);
• Fcom (зловреден софтуер);
• Pcom (зловреден софтуер);
• com (зловреден софтуер);
• org (зловреден софтуер).

През изминалата година е регистриран рязък ръст на фишинг атаките, базирани на браузър.

Според нов доклад на Menlo Security увеличението на годишна база – между 2023 и 2024 – е 140%. Основните причини за тази тенденция са възходът на фишинг техниките, базирани на AI, и използването на корпоративните браузъри.

Киберпрестъпниците все повече се фокусират върху тях като основен вектор на атака. Те заобиколят традиционните мерки за сигурност чрез сложни техники, социално инженерство и Zero day уязвимости. Ръстът на фишинг атаките от типа Zero day е 130%.

В доклада се подчертава и рязкото увеличаване на фишинг кампаниите за кражба на креденшъли. Те често се маскират като надеждни корпоративни приложения или наложени брандове, за да подмамят жертвите да предоставят чувствителна информация.

Нападателите се възползват и от големия обществен интерес към GenAI. Те имитират популярни платформи, залагайки на любопитството на потребителите и доверието им в авангардните технологии.

Злоупотребите с услуги на Cloudflare за фишинг са скочили значително – със 104%. Използването на фишинга-като-услуга (PhaaS) също нараства.

За да се предпазят, организациите и потребителите трябва да предприемат проактивни мерки за сигурност:

• решенията за сигурно сърфиране в облака могат да изолират дейността на потребителите от корпоративните мрежи. По този начин се предотвратява компрометирането на системите от злонамерено съдържание;
• инструментите за откриване на заплахи с помощта на AI могат да помогнат за идентифицирането и неутрализирането на сложни фишинг кампании, преди да причинят щети;
• организациите трябва да възприемат системи за мобилна сигурност в реално време, базирани на AI. Така те ще могат да откриват и блокират фишинга, преди потребителите да бъдат компрометирани.

Разчитането на остарели защити вече не е достатъчно – сигурността трябва да се развива толкова бързо, колкото и заплахите.

Над 300 приложения за Android, изтеглени 60 милиона пъти от Google Play, действат като adware или инструменти за кражба на креденшъли и информация за кредитни карти.

Според IAS Threat Lab те са обединени в кампания, наречена Vapor, стартирала в началото 2024 г.

Въпреки че всички тези приложения са били премахнати от магазина на Google, съществува риск Vapor да се завърне чрез нови такива. Причината – нападателите вече са демонстрирали способността си да заобикалят процеса на преглед на технологичния гигант.

Приложенията предлагат различни специализирани функционалности – проследяване на здравето, водене на бележки и дневници, оптимизатори на батерията, скенери за QR кодове и др. Те не съдържат злонамерени компоненти към момента на изпращане за проверка. Вместо това зловредната функционалност се изтегля след инсталиране чрез актуализации, доставени от C2 сървъри.

Сред най-често изтегляните зловредни приложения в кампанията са:

• AquaTracker – 1 милион изтегляния;
• ClickSave Downloader – 1 милион изтегляния;
• Scan Hawk – 1 милион изтегляния;
• Water Time Tracker – 1 милион изтегляния;
• Be More – 1 милион изтегляния;
• BeatWatch – 500 000 изтегляния;
• TranslateScan – 100 000 изтегляния;
• Handset Locator – 50 000 изтегляния.

Пълният списък на всички 331 злонамерени приложения, качени в Google Play, е достъпен ТУК.

За да се предпазите от подобни кампании:

• избягвайте инсталирането на ненужни приложения от неблагонадеждни издатели;
• проверявайте внимателно предоставените разрешения: Settings → Apps → See all apps (Настройки → Приложения → Виж всички приложения);
• ако откриете, че сте инсталирали някое от тези приложения, незабавно ги премахнете. Направете пълно сканиране на системата с Google Play Protect.

 

Потребителите на една от най-използваните електронни пощи у нас – ABV.bg – са обект на нова фишинг атака.

Нападателите подлъгват жертвите си с имейл, който гласи:

„Dear …@abv.bg,

Заявка за затваряне на имейл, открихме необичайна дейност във вашия акаунт и от вас се изисква да потвърдите информацията за сигурността на вашия акаунт.

За да избегнете ограничаване или блокиране на вашия акаунт днес, просто щракнете върху адреса по-долу, за да започнете упражнението си за проверка

Login/ABV/mail/unlock/validation/excercise/w“.

За да не загубите профила си, не забравяйте, че ABV.bg никога не изпраща подобни имейли. Платформата не иска от потребителите да потвърждават профилите си през външни линкове.

Организациите, от своя страна, трябва да знаят, че тази платформа не е подходяща за бизнес нужди.

Мащабна фишинг кампания таргетира хиляди хранилища на GitHub с измамни предупреждения за нарушение на сигурността. Имейлите подмамват разработчиците да разрешат злонамерено OAuth приложение. То предоставя на нападателите пълен контрол над техните акаунти и код.

„Сигнал за сигурност: Необичаен опит за достъп Открихме опит за влизане във вашия акаунт в GitHub, който изглежда от ново място или устройство“, се казва във фишинг съобщението.

То е едно и също за всички таргетирани потребители, като „необичайната активност“ идва от Рейкявик, Исландия, и IP адрес 53.253.117.8. Нападателите призовават разработчиците да актуализират паролата си, да прегледат активните сесии и да активират 2FA, за да защитят акаунтите си. Всички линкове за тези препоръчани действия обаче водят до страница за оторизация на GitHub за OAuth приложение „gitsecurityapp“.

Ако по погрешка сте дали разрешение на злонамереното OAuth приложение, трябва незабавно да отмените достъпа му:

• влезете в Settings на GitHub и след това в Applications;
• забранете достъпа на всички непознати или подозрителни GitHub или OAuth приложения;
• търсете приложения с имена, подобни на „gitsecurityapp“;
• огледайте внимателно за нови или неочаквани GitHub работни процеси и дали са създадени частни gists;
• променете вашите идентификационни данни и токени за оторизация.

Широкомащабна фишинг атака подлъгва потребителите на Coinbase, че трябва да извършат задължителна миграция на портфейла си. Нападателите подвеждат жертвите си да настроят нов портфейл с предварително генерирана комбинация за възстановяване, контролирана от самите тях.

Имейлите са с тема Migrate to Coinbase Wallet. В тях се посочва, че всички клиенти трябва да преминат към самостоятелни портфейли. Те съдържат и инструкции как да се изтегли легитимният портфейл Coinbase Wallet.

„Считано от 14 март, Coinbase преминава към самостоятелни портфейли. Вследствие на колективен съдебен иск, в който се твърди, че има нерегистрирани ценни книжа и нелицензирани операции, съдът задължи потребителите да управляват собствени портфейли“, се казва във фишинг имейла. „Вашата уникална фраза за възстановяване по-долу е вашата идентичност в Coinbase. Тя предоставя достъп до вашите средства – запишете я и я съхранявайте на сигурно място. Импортирайте я в Coinbase Wallet“.

Това, което отличава тази кампания, е, че в имейла не присъстват никакви фишинг връзки. Всички линкове водят към легитимната страница на Coinbase Wallet. Вместо това тя цели да открадне фразата за възстановяване.

Фразите за възстановяване, известни също като seeds, са поредица от думи, които функционират като четима от човека версия на частния ключ на портфейла за криптовалута. Всеки, който знае тази фраза за възстановяване, може да импортира портфейла на собствените си устройства. Това му позволява да открадне всички криптовалути и NFT, съхранявани в него.

По принцип правилото е никога да не споделяте фразата си за възстановяване с друг човек или уебсайт. Но сега то се разширява – никога не я използвайте, когато сте подтикнати към това чрез имейли или външни уебсайтове.