Крайни потребители

Организациите с нестопанска цел (НПО) все по-често стават обект на кибератаки. През 2024 заплахите срещу тях, базирани на електронна поща, са се увеличили с 35,2%. Те са насочени към данни на дарители, финансови трансакции и вътрешни комуникации.

Според нов доклад на Abnormal Security НПО са се превърнали в основни мишени заради ограничените си ресурси за киберсигурност, средата с високо доверие и честите финансови трансфери.

Нападателите се възползват от тези уязвимости, за да прилагат business email compromise (BEC) и vendor email compromise (VEC) схеми. Те подвеждат служителите от НПО сектора да пренасочват средства или да споделят чувствителна информация.

За този скок на атаките срещу него допринася и все по-усъвършенстваните тактики за социално инженерство.

Киберпрестъпниците изготвят изключително автентично изглеждащи фишинг имейли, които заобикалят традиционните филтри за сигурност. Често те се представят за дарители, регулаторни агенции или партньорски организации. Увеличаването на цифровите инструменти за набиране на средства и онлайн сътрудничество допълнително разширява повърхността за атака.

Фишингът на идентификационни данни срещу НПО е нараснал с 50,4%. При успешна атака престъпниците могат да компрометират вътрешните комуникации, да извършват финансови измами или да продават чувствителни данни в Dark Web.

Ransomware също е много опасен за организациите с нестопанска цел. Много от тях не разполагат с финансови ресурси, за да се възстановят от значителни прекъсвания на IT системите си.

НПО трябва да предприемат проактивни мерки за защита на своите операции. Те включват:

• използване на решения за сигурност на електронната поща, базирани на AI и филтри за блокиране на известни източници на фишинг;
• защита на имейл акаунтите с MFA;
• редовни обучения за повишаване на осведомеността относно киберсигурността на служителите.

Пролетта идва, а с нея е време и за четвъртото издание на Security BSides Sofia! Тази година уникалното събитие от обществото специалисти по киберсигурност за обществото специалисти по киберсигурност ще се проведе на 29 и 30 март в Interpred WTC Sofia.

Security BSides Sofia 2025 се отличава с изцяло техническата си насоченост. Всички презентатори са подбрани на база идеите, които искат да споделят. Те са част от събитието си не като представители на компаниите, за които работят, а като част от обществото.

„За разлика от много корпоративни конференции, Security BSides Sofia 2025 се отличава със своя комюнити характер и лесна достъпност. Нашето събитие е с отворен формат, който насърчава участието на всички присъстващи. Те могат да задават въпроси, като по този начин не се ограничават само до пасивното слушане“, акцентират организаторите на форума.

Затова и фокусът на Security BSides Sofia 2025 пада върху практическото знание и реалните казуси, а не върху маркетингови презентации. Конференцията предлага пространство за дискусии по теми, които често остават извън обхвата на традиционните конференции.

„Искаме да съберем на едно място както  професионалисти, така и ентусиасти в областта на киберсигурността, за да споделят знания, опит и нови интересни решения. Идеята на формата е да създаде достъпна платформа за обмен на идеи, представяне на нови технологии и дискусии в сферата на информационната сигурност. Стремим се да изградим силна общност, която насърчава сътрудничеството и развитието на киберсигурността в България и региона“, добавят те.

Програмата на Security BSides Sofia 2025 е разделена на две части – лекционна (29 март) и практическа (30 март), в рамките на която ще се проведат workshop-и. В първият ден на форума на сцената ще излязат лектори от четири различни държави, половината от които българи. Те ще представят основните тенденции в киберсигурността от гледна точка на водещите съвременни технологии – AI, дронове, квантови изчисления и т.н.

Цялата програма на Security BSides Sofia 2025, както и билети за събитието, можете да намерите ТУК.

Партньори на четвъртото издание на форума са CENTIO#Cybersecurity, [UX2.DEV], Commerzbank, ESET и BASELINE Cybersecurity.

Медийни партньори: DEV.BG, DIR.BG, Digitalk, BTV, Kaldata.

 

Броят на Pass-the-Cookie (PTC) атаките се увеличава и подкопава статута MFA като достатъчен за защитата на потребителите и организациите инструмент. Чрез тях киберпрестъпниците „отвличат“ бисквитките на сесиите и получават достъп до чувствителни акаунти.

Този тип атаки са насочени основно към платформи като Microsoft 365, YouTube и финансовите услуги. Те ясно показват, че потребителите и организациите не трябва да разчита единствено на MFA за проверка на самоличността за критични профили .

Бисквитките съхраняват токени за удостоверяване и позволяват безпроблемен достъп без повторно въвеждане на входни данни. Хакерите крадат тези токени чрез зловредни софтуери като LummaC2 или Redline. Те често се разпространяван чрез фишинг кампании, маскирани като софтуерни актуализации или оферти за сътрудничество.

След като бъдат извлечени, бисквитките се използват от нападателите за достъп до акаунти, без да се изискват пароли или MFA.

Защо само MFA не е достатъчно

По подразбиране сесиите на Microsoft 365 например се запазват в предиод от 1 до 24 часа. Други платформи запазват бисквитки за неопределено време, ако потребителите изберат „Запомни това устройство“.

Атакуващите използват това, като ги крадат по време на активни сесии или използват infostealer, за да ги събират от заразени устройства. 72% от PTC атаките, открити от Obsidian Security, са насочени към SaaS приложения, включително такива за електронна поща и облачно съхранение.

Дори „устойчивите на фишинг“ методи за MFA, като например хардуерни ключове, са уязвими, ако потребителите имат достъп до акаунти на незащитени устройства.

Ограничаване на заплахата

Мерките за защита от Pass-the-Cookie атаките включват:

• Съкращаване на продължителността на сесиите: Наложете времеви ограничения (например 15 минути за високорискови приложения) и деактивирайте „постоянните“ бисквитки;
• Защита на бисквитките: Маркирайте „бисквитките“ като „Secure“ и „HttpOnly“, за да предотвратите ексфилтрирането на JavaScript;
• Ключове за достъп: Заменете паролите с FIDO2 (Fast IDentity Online 2) ключове. Те обвързват удостоверяването с конкретни устройства и премахват зависимостите от бисквитките;
• Ограничаване на достъпа до устройства: Използвайте MDM решения, за да блокирате достъпа на неоторизирани устройства;
• Обучение на потребителите: Обучете служителите си да избягват подозрителни връзки и задължително да излизат от сесиите, вместо директно да затварят браузърите.

 

В края на 2024 ЕК и Consumer Protection Cooperation (CPC) стартираха разследване на практиките на Temu за съхранение и използване на потребителските данни.

Основните обвинения включват:

• Temu не е успяла да осигури адекватна защита на личните данни на потребителите, което е довело до изтичане на информация.
• Личните данни на потребителите са били компрометирани, което е в нарушение на европейските регулации за защита на данните.

Няколко месеца преди това същото направи и американският щат Арканзас. Неговите обвинения са още по-сериозни:

• използване на на евтини китайски стоки като примамка за привличане на потребители, които несъзнателно предоставят почти неограничен достъп до личните си данни;
• заблуждаване на потребителите относно начина, по който се използва те;
• събиране на почти неограничени количества данни, в това число получаване на пълен достъп до контактите, календарите и фотоалбумите на потребителите;
• предоставяне или продажба на потребителски данни на неоторизирани трети страни.

Въпреки това много хора пренебрегват рисковете за неприкосновеността на личния си живот заради удобството. Те изтеглят приложения за пазаруване, щракват върху „Съгласен съм“ и никога не се замислят с какво всъщност се съгласяват. А трябва.

Много подобни платформи за онлайн търговия (и не само) събират и споделят повече данни, отколкото предполагате. Вашите навици за пазаруване, местоположението ви, данни за устройството – всичко това (и не само) се събира и потенциално се използва за неща, за които дори не подозирате.

Добрата новина е, че можете да се справите с този проблем в рамките на няколко минути:

• изтрийте приложенията, които искат прекалено много разрешения;
• използвайте отделен имейл за онлайн пазаруване;
• винаги проверявайте какви данни събират приложенията в настройките на телефона си;
• активирайте 2FA за по-голяма сигурност.

И следващията път, когато решите да инсталирате някое ново приложение за онлайн пазаруване, прочетет с какво точно се съгласявате. Преди да щракнете върху „Съгласен съм“.

Киберизмамници създават фалшиви уебсайтове, имитиращи DeepSeek. Целта на новата кампания е да се подлъжат потребителите да разкрият лична и чувствителна информация.

Според изследователи от ThreatLabz вече са се появили значителен брой имитационни сайтове на китайския чатбот. Част от тях са deepseeksol.com, deepseeksky.com, deepseek.app, deepseekaiagent.live и много други.

Освен че се прицелват в личните данни на потребителите, хакерите ги подмамват и да изтеглят Vidar – вид infostealer.

Веригата на атаката включва:

• измамен уебсайт на DeepSeek, който иска от посетителите да извършат процес на регистрация;
• потребителят се насочва към фалшива CAPTCHA страница;
• JavaScript копира злонамерена PowerShell команда в клипборда на потребителя, която, ако бъде изпълнена, изтегля и изпълнява Vidar infostealer;
• той краде чувствителни данни като пароли, портфейли за криптовалути и лични файлове.

Зловредният софтуер използва платформи за социални медии, като Telegram, за да прикрие своята C2 инфраструктура. Той е програмиран да търси файлове и конфигурации, конкретно свързани с портфейли за криптовалути.

Хакери използват големи състезания по Counter Strike 2 (CS2), като IEM Katowice 2025 и PGL Cluj-Napoca 2025, за да измамят геймърите и да откраднат техните Steam акаунти и криптовалута.

В новата streamjacking кампания хакерите се представят за популярни играчи в стриймове на живо в YouTube. Те промотират фалшиви CS2 скинове и раздаване на криптовалути.

Това се случва през компрометирани легитимни канали в платформата. В тях те показват стари кадри от игри, така че да изглеждат като предавания на живо за всеки, който не ги е гледал преди.

QR кодовете или връзките в тези видеоклипове насочват зрителите към злонамерени уебсайтове. Там от тях се изисква да влязат с акаунта си в Steam, уж за да си поискат подаръците или да изпратят криптовалута, за да получат двойно повече в замяна.

За да се предпазят от тази измама, геймърите трябва:

• да проверяват заявените връзки и QR кодове в страниците на официалните организации за електронни спортове;
• да активират MFA и Steam Guard Mobile Authenticator;
• редовно да преглеждат активността в профила си в Steam за подозрителни влизания;
• да гледат видеоклипове само от официалните акаунти на професионалните играчи.

Все пак не забравяйте, че дори легитимни канали в YouTube могат да бъдат превзети, за да популяризират измами. Обещанията за удвояване или утрояване на криптоактиви, като първо изпратите определена сума, винаги са измами, без изключения.

Последен ъпдейт на 17 март 2025 в 09:52 ч.

Откраднатите акаунти в WhatsApp подхранват мащабна престъпна дейност – от разпространение на спам до сложни измамни схеми. Ето защо те са постоянен фокус на киберпрестъпниците, които използват различни методи за тяхното превземане.

Нападателите обикновено поемат контрола върху акаунта ви в WhatsApp по два начина. Единият е да добавят ново устройство към акаунта ви чрез функцията Linked devices. Другият – да пререгистрират профила ви на своето устройство, сякаш сте си купили нов смартфон.

В първия случай вие продължавате да използвате приложението както обикновено, но престъпниците също имат достъп до него. Във втория – губите достъп до акаунта си, а когато се опитате да влезете, WhatsApp ви уведомява, че той се използва на друго устройство.

Признаци, че акаунтът ви в WhatsApp е компрометиран

Има няколко признака, че акаунтът ви вече може да е компрометиран. Това са:

• получавате отговори на съобщения, които никога не сте изпращали;
• приятелите ви се оплакват от странни съобщения, идващи от вас;
• забелязвате изтрити съобщения в чатовете, включително и от самите вас – въпреки че никога не сте изпращали или изтривали нищо там;
• получавате код за проверка на вход в WhatsApp, който не сте поискали или очаквали;
• вашият акаунт има статус или е публикувал истории, които не сте създавали;
• профилната ви снимка, името или описанието на профила ви са се променили неочаквано;
• добавени сте към чатове или групи, към които никога не сте се присъединявали;
• когато се опитате да влезете в профила си, WhatsApp ви информира, че той се използва на друго устройство и ви подканва да се регистрирате отново.

Обърнете специално внимание на първите три признака и действайте незабавно, ако ги забележите. Хакерите често използват компрометирани акаунти, за да измамят техните контакти. Те могат да се представят за вас, за да поискат спешна финансова помощ, да обещаят подаръци или да поканят хората да участват във фалшиви анкети.

Какво да направите, ако акаунтът ви в WhatsApp е бил хакнат

След като се уверите, че профилът ви в приложението е компрометиран, трябва веднага да предприемете действия. Петте стъпки включват:

1. Уверете се, че SIM картата, свързана с акаунта ви в WhatsApp, е поставена в смартфона ви.
2. Отворете WhatsApp.
3. Ако той се отвори нормално:

• отидете в настройките на приложението – Settings (Настройки) на iPhone или в допълнителното меню (трите точки) на Android. Изберете Linked devices (Свързани устройства);
• излезте от профила си на всички допълнителни устройства, за да прекъснете достъпа на нападателите;

4. Ако WhatsApp ви каже, че сте излезли от профила си и трябва да се регистрирате:

• въведете телефонния си номер;
• поискайте еднократен код за регистрация;
• изчакайте SMS или гласово повикване с кода и го въведете;
• ако акаунтът ви е защитен с 2FA, след като въведете еднократния код за регистрация, въведете и ПИН кода си.
• WhatsApp може да ви предложи да възстановите чатовете и настройките си от резервно копие в iCloud, Google Drive или локално хранилище. Приемете!

5. Ако преди това не сте задали изискването за ПИН код, нападателите може да са го направили, за да ви попречат да възстановите достъпа си.

• той може да бъде нулиран чрез Forgot PIN (Забравен ПИН). Ако имейл адресът ви е свързан с вашия акаунт в WhatsApp, ще получите незабавно връзка за нулиране;
• отидете в него, отворете последното съобщение от WhatsApp, докоснете връзката вътре и след това изберете Confirm. След това можете да се върнете в WhatsApp и да зададете нов ПИН код;
• дори да не сте свързали имейл адрес, можете да поискате нулиране на ПИН, но ще трябва да изчакате една седмица. През това време акаунтът ви ще остане недостъпен.

Как да защитите акаунта си от ново хакване

След като завършите тези стъпки, достъпът на нападателите до профила ви ще бъде преустановен. Но много скоро отново може да станете обект на атака.

За да се защитите от ново превземане на акаунта си:

• включете верификация в две стъпки и запомнете своя ПИН код – той не е еднократен. За да направите това, отидете в Settings (Настройки) → Account (Акаунт) → Two-step verification;
• никога не споделяйте своя ПИН код или еднократните кодове за регистрация с никого, тъй като само измамниците питат за тези данни;
• WhatsApp вече позволява въвеждането на биометрично удостоверяване и дълги криптографски ключове за вход. Можете да ги активирате чрез Settings → Account → Passkeys;
• настройте резервен имейл адрес за възстановяване на профила: Settings → Account → Email address;
• активирайте 2FA за имейлa си;
• всички тези мерки за сигурност в WhatsApp няма да са ви от голяма полза, ако смартфонът или компютърът ви е заразен със зловреден софтуер. Затова не забравяйте да защитите всяко свое устройство.

Последен ъпдейт на 4 март 2025 в 19:24 ч.

Чудили ли сте се някога кой може да следи дигиталните ви стъпки? Тази мисъл е довела много хора до Tor – за мнозина универсално решение за онлайн поверителност.

Но какво всъщност е Tor и още по-важно – какво не е?

Tor, съкращение от The Onion Router, е мрежа със специалност разработен интернет браузър, създаден да подобри онлайн поверителността. Тя е проектирана от военноморски изследователи през 90-те години и поддържана в момента от защитници на дигиталната поверителността.

Tor насочва вашия интернет трафик през поредица от сървъри, управлявани от доброволци по целия свят. Мрежата е нещо като пощенска система, в която всеки участник знае само малка част от маршрута на писмото. Никога целия път от подателя до получателя.

Мит №1: Tor мрежата е достатъчна, за да останем анонимни

Един от най-пренебрегваните аспекти при използването на Tor е критичната роля, която играе вашият браузър за поддържането на поверителността. Използването на мрежата с обикновен такъв може сериозно да компрометира усилията ви да скриете следите си. Той съхранява бисквитки, пароли, история на сърфиране и създава уникален „отпечатък“, базиран на вашите настройки и конфигурации. Цялата тази информация може да бъде използвана за идентифициране и проследяване, дори когато използвате Tor мрежата.

Tor Browser решава този проблем като започва на чисто всеки път, елиминира всички данни, когато го затворите, и прави всички потребители да изглеждат идентични за уебсайтовете.

Мит №2: Tor e перфектният протокол и никой не може да го компрометира

Въпреки своя дизайн, Tor не е съвършен. Сигурността му може да бъде компрометирана по различни начини.

Най-сериозната заплаха идва от самата структура на мрежата. Да използваме отново примера с писмото.

Представете си, че първата и последната станция са контролирани от един и същ наблюдател. Той може да свърже подателя с получателя, анализирайки кога писмото влиза и излиза от системата. В света на Tor това се нарича корелационна атака – когато някой контролира достатъчно входни и изходни възли от мрежата. В този случай той може да проследи потребителите чрез анализ на трафика.

Самият браузър също крие рискове. JavaScript, който прави повечето съвременни уебсайтове интерактивни, може да се превърне в ахилесова пета на вашата анонимност. Той може да разкрие истинския ви IP адрес или да позволи изпълнението на зловреден код. Затова Tor Browser идва с деактивиран JavaScript, но много потребители го включват за удобство.

Дори начинът, по който го използвате, може да ви издаде. Размерът на прозореца ви, инсталираните шрифтове, езиковите настройки – всичко това създава уникален „отпечатък“, по който можете да бъдете разпознати.

Специално внимание заслужават скритите услуги в Tor – сайтовете с разширение .onion. Те са уязвими към т.нар. „атаки базирани на време“. При тях чрез прецизно измерване на времето за отговор, атакуващият може да определи физическото местоположение на сървъра.

Най-коварни са атаките на ниво приложение. Когато използвате Tor за достъп до имейл или социални мрежи, самите приложения могат да разкрият кои сте.

Мит №3: Човешкият фактор няма значение

Напротив, има. Инструментът е толкова ефективен, колкото човекът, който го използва. Употребата на Tor докато влизате в лични акаунти или правите обикновено сърфиране може да компрометира поверителността ви.

За да сведете рисковете до минимум:

• Използвайте Tor само с официалния браузър и неговите настройки по подразбиране;
• избягвайте да инсталирате допълнителни разширения;
• дръжте JavaScript изключен за чувствителни дейности;
• използвайте различни Tor сесии за различни дейности;
• бъдете изключително внимателни с личната информация, която споделяте.

Tor остава един от най-мощните инструменти за защита на поверителността онлайн, но не е магическо решение. Разбирането на нейните уязвимости е толкова важно, колкото и познаването на предимствата ѝ.

Неизвестен нападател е откраднал криптовалута на стойност над 1,46 млрд. USD от криптоборсата Bybit. Той е успял да пробие един от нейните студени (офлайн) портфейли за Ethereum (ETH).

Това е и най-голямата единична кражба на криптовалути в историята, като тя удвоява предишния рекорд. Досега той се държеше от пробива в Sky Mavis през март 2022 г. – 620 млн. USD.

Новата рекордна кражба е извършена в момент, в който се е изпълнявал трансфер между студен и горещ (онлайн) портфейл на Bybit. Трансакцията е била манипулирана чрез сложна атака, която подменя интерфейса за подписване.

Тя показва правилния адрес, но променя основната логика на интелигентния договор. В резултат на това нападателят успява да придобие контрол над засегнатия студен ETH портфейл и да прехвърли авоарите му на неидентифициран адрес.

За да защитите трансферите си между студен и горещ портфейл за криптовалути:

• използвайте защитена и надеждна интернет връзка, когато извършвате трансакции, и избягвайте обществени Wi-Fi мрежи;
• винаги проверявайте внимателно адресите на портфейлите, към които изпращате криптовалута, тъй като дори малка грешка може да доведе до загуба на средства;
• използвайте MFA за допълнителна защита на вашите акаунти и портфейли;
• уверете се, че данните за вашите портфейли са шифровани и редовно архивирани на сигурно място;
• използвайте firewall и антивирусен софтуер за откриване и блокиране на зловреден софтуер, който може да компрометира вашите трансакции;
• бъдете внимателни за фишинг атаки – не отваряйте подозрителни имейли и линкове и винаги проверявайте източника на съобщенията.

През 2024 Infostealer софтуерите са се превърнали в един от „най-значимите първоначални вектори за атака“. Според израелската компания за киберсигурност Kela те са свързани с компрометирането на най-малко 330 милиона креденшъли.

За да се случи това, нападателите са пробили защитата на поне 4,3 милиона машини. И двете цифри представляват леко увеличение спрямо 2023 г., но посоката на движение е постоянно възходяща.

Компрометираните креденшъли осигуряват достъп до редица чувствителни корпоративни услуги – облачни решения, CMS, електронна поща и т.н. Трите водещи щама на infostealer – Lumma, StealC и RedLine – са отговорни за над 75% от заразените машини.

За да не станете част от тази статистика:

• инсталирайте антивирусен софтуер и редовно го актуализирайте;
• активирайте MFA;
• бъдете внимателни с фишинг имейли – не отваряйте прикачени файлове или линкове от непознати източници и проверявайте внимателно адреса на подателя;
• актуализирайте редовно софтуерите и OS на вашите устройства, за да намалите риска от уязвимости;
• използвайте firewall и инструменти за мониторинг на трафика, за да можете да засечете подозрителна активност.