Крайни потребители

Китайска група използва хиляди фалшиви онлайн магазини за кражба на данни от банкови карти в САЩ и Европа.

Кампанията на SilkSpecter започва през октомври 2024 г. и предлага големи отстъпки за предстоящия Black Friday и празничния сезон. Според компанията за киберсигурност EclecticIQ към момента групата оперира с 4695 измамни домейна. Те се представят за добре познати брандове като North Face, Lidl, Bath & Body Works, L.L. Bean, Wayfair, Makita, IKEA и Gardena.

Сайтовете на SilkSpecter са добре проектирани и обикновено носят името на представяната марка, за да изглеждат автентични. Те обаче използват домейни като „.shop“, „.store“, „.vip“ и „.top“, които не са характерни за големите брандове и надеждните онлайн магазини.

В зависимост от географското местоположение на жертвата сайтовете използват Google Translate, за да коригират автоматично езика. Те интегрират Stripe, легитимен и надежден процесор за плащания, което допринася за привидната им надеждност. На практика обаче крадат критична информация за разплащателни карти.

Когато потребител иска да направи покупка, той се пренасочва към страница за плащане. Тя го подканва да въведе номера на кредитната/дебитната карта, датата на валидност и CVV кода. На последната стъпка се изисква и телефонен номер.

Препоръчваме ви да посещавате само официалните уебсайтове на брандовете и да избягват да кликате върху реклами, връзки от публикации в социалните медии или промотирани резултати в търсачката на Google. Активирайте всички налични мерки за защита на финансовите си сметки, включително MFA и следете редовно извлеченията си.

Фалшив AI генератор на снимки и видео заразява Windows и macOS със зловредните софтуери Lumma Stealer и AMOS.  

Той е наречен EditProAI и се популяризира чрез резултати в Google Search и реклами в X, които споделят deepfake политически видеоклипове. 

Lumma Stealer е насочен към Windows, а AMOS – към macOS. И двата крадат информация за криптопортфейли и кредитни карти, идентификационни данни, пароли и история на сърфирането в браузърите. Тези данни се събират в архив и се изпращат обратно към нападателите. Те могат да използват информацията при следващи атаки или да я продадат на други киберпрестъпници. 

Според компанията за киберсигурност g0njxa заразяването протича така: 

• клик върху рекламата отвежда потребителя в сайтовете на EditProAI (editproai.pro за Windows и editproai.org за macOS). Те са направени професионално, за да изглеждат легитимни; 
• бутонът Get Now изтегля изпълним файл, който се представя за приложението EditProAI; 
• зловредният софтуер изпраща откраднатите данни към сървър, контролиран от нападателя. 

Ако вече сте изтегляли тази програма, трябва да считате всичките си запазени пароли, криптопортфейли и удостоверения за компрометирани. Незабавно ги сменете с уникални комбинации за всеки сайт, който посещавате. 

Трябва също така да активирате MFA за всички критични платформи като онлайн банкиране, имейл и финансови услуги. 

От юни 2024 досега хакери са проникнали в над 6000 сайта в WordPress в рамките на най-новата версия на кампанията за социално инженерство ClickFix.

Тя инсталира злонамерени плъгини, показващи фалшиви предупреждения за софтуерни грешки с включени поправки и покани за актуализация на браузъра. Въпросните „поправки“ и актуализации обаче са PowerShell скриптове, които инсталират зловреден софтуер за кражба на информация, предупреждават от хостинг компанията Go Daddy.  

Тези привидно легитимни плъгини са проектирани така, че да изглеждат безвредни за администраторите. Някои от тях използват имена, подобни на официални приставки като Wordfense Security и LiteSpeed Cache. 

По този начин вашият сайт може да се превърне в оръжие в ръцете на киберпрестъпници, без да имате ни най-малка представа. Съветваме ви, ако работите с WordPress, незабавно да прегледате списъка с инсталираните плъгини. Премахнете всички, които не сте инсталирали вие. 

Ако откриете подобни плъгини, трябва също така незабавно да смените паролата си за достъп до административния панел. 

 

От юни 2023 г. до април 2024 г. осем милиона потребители са инсталирали повече от 200 зловредни приложения от Google Play.

Според доклада на компанията за киберсигурност Zscaler „ThreatLabz 2024 Mobile, IoT, & OT Threat Report“ най-разпространеният малуер там е Joker – 38% от зловредните приложения. Той се използва за измами с Wireless Application Protocol (WAP), като скрито абонира жертвите за услуги на по-висока цена без тяхното съгласие.

На второ място е adware софтуера (35%), следван от Facestealer (14%), който е предназначен за събиране на данни за достъп до Facebook с цел превземане на акаунти.

Категорията Tools (Инструменти) е най-използвана от хакерите в Play Store, като на нея се падат почти половината (48%) от заразените със зловреден софтуер приложения.

Почти половината (46%) от атаките са с „троянски коне“, а секторите на технологиите (18%), образованието (18%) и производството (14%) са понесли основната тежест на мобилния зловреден софтуер през миналата година. По специално, в сектора на образованието атаките са се увеличили със 136% на годишна база.

 

Общо 293 312 сигнала за онлайн злоупотреби над деца е обработил от януари насам подкрепяният от CENTIO #Cybersecurity „Национален център за безопасен интернет“. Това е пет пъти повече от цялата 2023 г.

Сред сигналите на Горещата линия са такива за разпространение на снимки и видеа със сексуално съдържание с деца, сексуално изнудване и експлоатация. 99% са за престъпления спрямо момичета и 1% – спрямо момчета. Най-потърпевши са деца на възраст 10-14 години.

Националният център отчита увеличение и в обажданията от родители, деца и тийнеджъри на Консултативната линия 124 123. Повечето от тях (58%) са от родители и възрастни, а 42% – от тийнеджъри и деца. Най-честите запитвания са за съвет при откраднати профили, онлайн тормоз и хакване на други приложения в телефона.

Мeстата в интернет, където най-често възниква проблем, са социалните мрежи – 72% и приложения за чат комуникация – 17%. Онлайн престъпниците стават все по-изобретателни и все по-често подмамват децата и през платформите за онлайн игри – 10%.

Мащабно нарушение на данните в базиран на изкуствен интелект кол център в Близкия изток разкри над 10 милиона разговора между потребители, оператори и AI агенти. Пробивът е включвал неоторизиран достъп до таблото за управление на платформата.  

От компанията за киберсигурност Resecurity предупреждават, че откраднатата информация може да бъде използвана за социално инженерство, фишинг схеми и други злонамерени дейности. Името на платформата все още не е ясно, но Infosecurity Magazine твърди, че тя се използва широко във финтех индустрията и електронната търговия.  

Този пробив подчертава нарастващата уязвимост на базираните на AI платформи, които се използват все повече за подобряване на обслужването на клиентите.  

Въпреки че предлагат персонализирана, ефективна комуникация, те също така представляват значителна заплаха за поверителността на данните, ако бъдат компрометирани. Така че внимателно обмисляйте каква информация споделяте при взаимодействие с тях и при всички случаи избягвайте въвеждането на критични лични или фирмени данни. 

  

Хакери откраднаха база данни с 31 милиона потребители след пробив в Internet Archive. 

В сряда вечерта посетителите на archive.org бяха посрещани от създадено от нападателите предупреждение на JavaScript, което гласеше: 

„Чувствали ли сте се някога така, сякаш Internet Archive постоянно е на ръба да претърпи катастрофален пробив в сигурността? Току-що се случи. Ще се видим с 31 милиона от вас в HIBP!“ 

HIBP – Have I Been Pwned – e уебсайт, който позволява на интернет потребителите да проверяват дали личните им данни са били компрометирани.  

Създателят на сайта –  Трой Хънт – потвърди, че преди девет дни нападателят е споделил базата данни на Internet Archive с неговата платформа. По думите му тя представлява 6,4 GB SQL файл с име „ia_users.sql“. Масивът съдържа различна информация за регистрираните членове – техните имейл адреси, псевдоними, времеви маркери за промяна на паролата, пароли и други вътрешни данни. 

„Обикновено е технически невъзможно да се хакне миналото, но това нарушение на сигурността на данните е най-близкото. Откраднатият набор от данни включва лична информация, но поне паролите са криптирани. Все пак това е добро напомняне да се уверите, че всички ваши пароли са уникални, тъй като дори криптираните пароли могат да бъдат сравнени с предишни изтичания”, акцентира Джейк Мур, Global Security Advisor в ESET. „Have I Been Pwned е фантастична безплатна услуга, която може да се използва след пробив, за да проверят хората дали някога са били засегнати от нарушение. Ако откриете данните си в някое от известните нарушения, би било добре да смените тези пароли и да въведете многофакторна автентикация.“

Не е известно как атакуващите са проникнали в Internet Archive. 

На 9 октомври сайтът беше обект на DDoS атака, за която отговорност пое хакерската група BlackMeta. Ден по-късно страницата беше недостъпна. 

MoneyGram потвърди, че хакери са откраднали лична информация и данни за трансакциите на нейните клиенти при кибератака през септември.

След като са влезли в мрежата, участниците в заплахата директно са се насочили към услугите за активна директория на Windows, за да откраднат информация за служителите. Те обаче са успели да достъпят и голямо количество чувствителна данни за клиентите – трансакции, имейл адреси, пощенски адреси, имена, дати на раждане, телефонни номера, сметки за комунални услуги и др.

Атаката беше открита за първи на 27 септември. Тогава клиентите на платформата загубиха достъп до акаунтите си и възможност да прехвърлят пари на други потребители. Сега обаче става ясно, че нападателите са получили достъп до мрежата ѝ още по-рано – между 20 и 22 септември.

Не е известно кой стои зад атаката, но от MoneyGram са категорични, че не става въпрос за атака с цел откуп.

Ако сте потребители на MoneyGram ви съветваме:

• променете паролата си за приложението, както и навсякъде, където я използвате;
•  бъдете нащрек, защото откраднатите данни могат да бъдат използвани за социално инженерство;
• подлагайте на допълнителна проверка всяко съобщение, което получите от MoneyGram.

 

Използвате пароли от осем символа и си мислите, че акаунтите ви са защитени? Време е да ви разочаровам. Според доклада 2024 Password Table на IT компанията Hive Systems средното време, нужно на хакерите да разбият една подобна парола чрез brute force атака, е 37 секунди! 

В същото време в блога си лабораторията за киберсигурност Cisco Talos предупреждава, че броят на този тип атаки нараства значително през 2024 – тенденция, валидна за всяка една от последните години. 

Какво представляват brute force атаките? 

Brute force атаките са насочени срещу защитени с парола акаунти. При тях нападателят използва софтуер, който генерира множество последователни предположения за изключително кратко време, за да получи неоторизиран достъп до даден профил.  

Brute force атаките могат да бъдат изключително успешен инструмент в ръцете на хакерите. Особено ако не сте защитени от допълнителни мерки за сигурност. С увеличаването на сложността на паролата те стават по-малко практични заради експоненциалното нарастване на броя на възможните комбинации, но това единствено отнема повече време на нападателя. 

Видове brute force атаки 

За да стане ситуацията още по критична, brute force атаките са изключително разнообразни: 

• Обикновени brutе force атаки: Основната форма, при която нападателят ръчно опитва различни комбинации от знаци, цифри и символи, за да отгатне паролата. Този подход отнема много време и е неефективен, но работи изненадващо добре срещу слаби, предсказуеми пароли като „123456“ или „password123“. 
• Речникови атаки (Dictionary Attacks): Вместо случайни предположения, речниковите атаки използват предварително изготвени списъци с често срещани думи, фрази, вариации и изтекли пароли. Те могат да бъдат съобразени с миналото или интересите на целта и са значително по-бързи и по-ефективни от обикновените. Особено срещу потребители, които използват едни и същи пароли в различни акаунти. 
• Хибридни brute force атаки: Те съчетават двата гореописани подхода. Започват с по-малък списък от често срещани пароли, който след това се разширява със замяна на символи, вариации и др. 
• Reverse Brute Force: Тук нападателят вече има някаква информация за паролата, като например нейната дължина или специфични символи. Въз основа на тази информация той изгражда списъци с възможности, които увеличават скоростта и успеваемостта на атаката. 
• Подправяне на идентификационни данни (Credential Stuffing): Тази вариация включва използване на изтекли или откраднати двойки потребителски имена и пароли при пробиви в дадени платформи, които се изпробват в други такива. Тя разчита на факта, че много потребители използват едни и същи идентификационните данни в различни акаунти.  
• Rainbow Table Attacks (дъгови таблици): При тези атаки се използват предварително изчислени хешове на често срещани пароли и след това се сравняват с хешовата парола на целевата система. Въпреки че не разкрива директно паролата, успешното съвпадение я идентифицира в дъгова таблица. 
• Password Spraying: Вместо да се насочва към конкретни акаунти, при атака от този вид нападателят използва една парола срещу голям брой профили. Целта е да се използват слаби политики за защита или повторна употреба на пароли в различни платформи. Макар и не толкова целенасочена, тя може ефективно да идентифицира уязвими акаунти и да получи достъп до множество системи наведнъж. 
• Brute force атаки срещу RDP връзки: Протоколът за отдалечен работен плот (Remote Desktop Protocol – RDP) е популярен инструмент за отдалечен достъп до компютри. Нападателите могат да използват brute force техники, за да отгатнат идентификационните данни за вход в RDP и да получат неоторизиран достъп до отдалечената система. Това може да бъде врата за по-нататъшни атаки към мрежата или данните, съхранявани в нея. 

Как да се защитите? 

Същестуват различни начини да се защитите от brute force атаките. Част от тях включват политики за блокиране след определен брой неуспешни опити за вход, CAPTCHA, предназначени да предотвратят автоматичното подаване на заявки, както и многофакторна автентикация. 

Мениджърите на пароли са друг инструмент, който ограничава риска, тъй като ви помага да поддържате уникални, сложни пароли за различните платформи и услуги, които използвате. 

Също така, когато обмисляте с каква парола да защитите даден акаунт, заложете на дължината и използвайте различни символи. 

Не на последно място, не препоръчваме честа смяна на пароли, но когато имате и най-малкото съмнение, че някоя от тях е компрометирана, това е задължителна предохранителна мярка. 

Хакерите все по-често използват мобилните телефони на българските потребители като вектор за атаките си. За това предупреди пред Bloomberg TV Bulgaria Светлин Лазаров, ръководител на отдел „Дигитални анализи и киберразузнаване“ към дирекция „Киберпрестъпност“ в ГДБОП.

По думите му най-често тези атаки започват с фалшив SMS, който уж е от „Български пощи“ или е свързан с някаква награда. Потребителите са приканени да отворят линк, който ги води на фишинг страница, в която, за да се осъществи трансакцията, те трябва да:

• въведат данните от банковата си карта;
• статичната и динамичната си парола от двуфакторната автентикация.

И тук идва уловката: във фалшивия SMS за динамичната парола пише кода за удостоверяване на превода и за каква сума става въпрос, но сумата е в края на съобщението. Потребителят се интересува от кода и не вижда, че голяма сума пари ще бъде изтеглена от сметката му.

Затова, когато получите подобен SMS, винаги трябва да изчитате цялото съобщение и да сте сигурни за какво става дума, преди да предприемете каквито и да било действия.

Инвестиционни измами

Инвестиционните измами също са сериозен проблем, тъй като могат да бъдат свързани със загуба на сериозно количество средства, обясняват от ГДБОП пред Bloomberg TV Bulgaria.

При тях на жертвата първо се предлага демо сметка с виртуални пари във фалшива инвестиционна платформа, а след като сумата нарасне, тя трябва да инвестира собствени средства.

Ако в сметката се натрупа значителна сума пари и потребителят реши да си ги изтегли обаче, изведнъж комуникацията прекъсва и това става невъзможно.

За да не попаднете в такава ситуация, винаги проверявайте легитимността на платформата, през която смятате да инвестирате, както и отзивите за нея в интернет.