Фишинг

Накратко:

• Киберпрестъпниците експлоатират COVID-19 и се възползват от нашата уязвимост за собствена изгода
• Новини, оферти и призиви за дарения във връзка с коронавируса е добре да се разглеждат критично, независимо от източника им
• COVID-19 измества най-популярните досега имена и се превръща в главен герой на спам и фишинг кампании
• И телефонните измамници експлоатират „модерния“ коронавирус, за да ви объркат и да постигнат престъпните си цели

Неотдавна COVID-19 влезе с взлом в живота ни и го превзе – буквално. Днес, освен, че се притесняваме за личното си здраве и това на нашите близки, се налага да преживяваме още редица неудобства, свързани с нетипични промени в елементарното ни ежедневие.

В ситуация на глобална пандемия, в която всеки един от нас е потърпевш, е нормално да очакваме хората да покажат най-доброто си „аз“, увлечени от идеята за взаимопомощ. Уви, без изненада наблюдаваме, как злонамерени „предприемачи“ са впрегнали усилия и, както и досега, се опитват да извлекат ползи от вашата уязвимост.

Неведнъж сме насочвали вниманието ви към потенциални заплахи за киберсигурността ви. Този път ще обобщим възможните пробойни, но в светлината на COVID-19:

Фалшиви мейли и анонси за коронавирус

Фалшиви новини, призиви за дарения, примамливи оферти за необходими,  но дефицитни продукти, са сред най-популярните опити на киберпрестъпниците да се доберат до лесна печалба. Как да ги разпознаете и да противодействате, прочетете тук.

Безспорно е, че онлайн комуникацията завзема ежедневието ни, а в момента дори и най-големите й противници започват да отстъпват, за да запазят здравето си. Това обаче в никакъв случай не означава, че щом сте прочели нещо в социалните мрежи, то то е истина.

Подлагате под съмнение твърденията на хора, които познавате лично, нали? Защо тогава да приемате за чиста монета новина, споделена в профила на напълно непознат? Разбираемо е да не ви се иска да повярвате, но в онлайн пространството действат индивиди, групи, и дори платени рекламни кампании на издания, които целят дезинформация – бъдете бдителни!

Спам

Анализаторите от Vade Secure отчетоха, че имената на PayPal, Facebook, Microsoft, Netflix и WhatsApp са били най-често използваните при фишинг и спам кампании през последното тримесечие на 2019 г. (повече тук). Три месеца по-късно промяната в лидерството изглежда съвсем реална. В края на м. март 2020 г. компанията SANS (SysAdmin, Audit, Networking and Security), която е разработила една от известните архитектури, използвани за създаване на система за киберсигурност, съобщи, че през последните няколко седмици престъпниците използват COVID-19 за всичко – от продажба на фалшиви лекарства до фишинг. Всеки ден се регистрират няколко хиляди домейна с ключови думи, свързани с COVID-19.

Да мислим рационално: Всяка държава в света е впрегнала максимални усилия за справяне с пандемията. Отговорни екипи, назначени да информират обществеността за последните събития, свързани с COVID-19, работят денонощно. Дали при този натоварен график те биха имали време да ви изпратят личен и-мейл по темата? Едва ли! Затова, бъдете критични, не се поддавайте на паника и любопитство и си припомнете общите ни препоръки за предпазване от спам тук.

Телефонни измами

И тази престъпна „ниша“ не остана назад от общата тенденция. Бързаме да ви припомним една наша публикация отпреди 2 години – прочетете я внимателно, защото днес ситуацията е същата. Единственият нов щрих е, разбира се, COVID-19 – най-актуалната тема, която бързо и ефективно би създала страх и объркване у жертвата.

Нашите препоръки:

• Не предоставяйте какъвто и да е достъп до системата си;
• Не споделяйте лична информация;
• Подлагайте под съмнение всякакви примамливи оферти.

В крайна сметка, ако проблемът с  COVID-19 можеше да бъде разрешен онлайн или по телефона, то той отдавна да е добре забравен.

До тук изброихме всякакви видове потенциално опасна за вас комуникация и поведение. Вярваме, че в тежко време е добре да се представи и положителна алтернатива, затова ще споделим някои от местата, от които ние се информираме:

• http://www.mh.government.bg/bg/informaciya-za-grazhdani/informaciya-otnosno-noviya-koronavirus-2019-ncov/
• https://coronavirus.bg/
• https://www.consilium.europa.eu/bg/policies/covid-19-coronavirus-outbreak/
• https://ec.europa.eu/info/live-work-travel-eu/health/coronavirus-response_bg
• https://www.reddit.com/r/Coronavirus/
• https://outbreak.cc/
• https://coronavirus.jhu.edu/

Живеем в динамично и несигурно време, но също така разполагаме с достъп до ресурси за противодействие на повечето случващи се злонамерени атаки в киберпространството. И докато , за съжаление, не можете да контролирате самостоятелно COVID-19, то киберсигурността на системата и бизнеса ви е предимно във ваши ръце. Помнете, че личната ви неприкосновеност и здравословната информационна среда са най-вече във ваш собствен интерес.

Ставаме свидетели на безпрецедентно глобално събитие. Пандемията с COVID-19 (или както е популярното му название – коронавирус) стана причина за промяна в начина, по който живеем, работим и комуникираме помежду си. Стремежът на потребителите да са в крак с новините около разпространението на вируса не остана незабелязан от киберпрестъпниците.

Събрахме за вас списък с най-популярните измами, свързани с COVID-19, на които попаднахме. Пазете се, защото те най-вероятно не са единствените.

Фалшиви новини

Обикновено идват от името на водещи световни институции – Световната Здравна Организация (СЗО), например, или копират водещи световни медии (в случая – Wall Street Journal – WSJ). Представени са под формата на съветници за предпазване от вируса или лекуването му.

Фалшиви призиви за дарения

Киберпрестъпниците не се колебаят да експлоатират добрината на хората и призовават към мними дарения – като включително копират легитимни кампании.

Оферти за маски

Маските за лице се превърнаха в силно търсена и почти невъзможна за намиране стока. Затова заваляха фалшиви оферти за тях. Не се подлъгвайте, пазарувайте само от легитимни магазини.

Как да разпознаете измамите

Водете се от правилото, че ако нещо е твърде хубаво, за да е истина, то най-вероятно не е. Подлагайте всичко на съмнение и следвайте правилата:

• Не кликайте на съмнителни линкове и не сваляйте файлове – дори и привидно да идват от доверен източник. Потвърдете автентичността на мейла, преди да предприемете действие.
• Игнорирайте комуникация, в която ви искат лични данни. Ако, все пак, имате съмнения, потвърдете автентичността и преди да продължите.
• Внимавайте за мейли, които ви принуждават да предприемете спешни действия
• Пазете се от фалшиви благотворителни организации или crowdfunding кампании
• Използвайте проверено и ефективно  антивирусно решение (ако сте фирма и имате нужда от такова, възползвайте се от кампанията на CENTIO #Cybersecurity – #ЗаедноМожем. Безплатна защита за всички фирми в нужда)

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

През февруари 2020 г., зараждащата тогава се паника от коронавируса бе използвана за разпространение на фишинг атака с мнима информация и съвети за защита от заболяването. Сега, когато Европа и светът са на път да бъдат парализирани от опасенията за глобална епидемия, киберпрестъпниците отново експлоатират страха на хората.

Този път хакерите разпространяват зловреден код под формата на прикачен файл в имейл, претендиращ, че е изпратен от италианските здравни власти. Четящият писмото е призоваван да отвори файла, за който се твърди, че съдържа информация от критична важност заради открити огнища на зараза с коронавируса в района, в който живее получателят на фишинга.

Съветът ни към вас: не се доверявайте на подобни писма и не отваряйте съмнителни прикачени файлове. Не споделяйте никъде потребителските си имена и пароли.

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Имената на PayPal, Facebook, Microsoft, Netflix и WhatsApp са най-често използваните при фишинг и спам кампании през последното тримесечие на 2019 г. Данните са на анализаторите от Vade Secure.

Лидер е услугата за онлайн разплащания. Класирането е по брой засечени фалшиви URL-и, имитиращи компании, използвани за фишинг кампании. За PayPal са засичани средно 124 различни фишинг линка всеки ден през последните 3 месеца на миналата година – или общо 11 392 засечени фалшиви копия на сайта.

На второ място в годишната класация е Facebook с 9 795 отчетени фалшификата, а на трето – Microsoft (8 565 фишинг линка). Топ 5 се допълва от Netflix (6 785 линка) и WhatsApp (5 020 линка).

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Много интернет потребители са твърде уверени в способностите си да разпознават фишинг имейли. Но само 5% от над 900 участника в прочуване на security.org са успели да разпознаят всички фалшиви мейли – част от тест, на който са подложени.

Тази статистика показва защо огромна част от тези атаки в наши дни са успешни и защо фишингът остава основно средство за разпространение на зловредни кодове и онлайн измами.

Какво е фишинг? Изпращането на фалшиви имейли, SMS, съобщения в чатове и социални медии или други съобщения с цел да кражба на лични данни, разпространение на вируси и др. (вижте пълната дефиниция) Откраднатите данни впоследствие се препродават или се използват често за измама или кражба на идентичност.

По данни на ФБР, броят на жертвите на фишинг атаки се е увеличил с 59% между 2015 и 2018 г. Смело може да предположим, че статистиката е непълна, защото немалка част от онлайн измамите не се докладват пред органите на реда. А фишинг атаките стават все повече и все по-софистицирани.

Прочетете още: Как да разпознаем фишинг атака

Как да се предпазите:

• Не кликайте на линкове, не сваляйте и не отваряйте прикачени файлове в съобщения, дори и да идват от привидно достоверен източник. Виждали сме атаки от името на редица български банки, електроразпределителни дружества, от НАП и дори от името на МВР
• Винаги проверявайте истинския имейл на изпращача. Легитимна институция няма да използва Gmail (например), за да разпространява електронна кореспонденция. Вижте как да разберете дали един имейл е фалшив
• Оглеждайте се за правописни и граматически грешки – фишинг имейлите често са пълни с тях
• Проверете внимателно домейна на мейла, който сте получили. Пример: Faceboооk не е Facebook. Фалшивите мейли идват с променени знаци, добавени символи и т.н.
• Винаги имайте едно наум за „спешни“ кореспонденции. Колкото по спешно се очаква да извършите едно действие, толкова по-вероятно е съобщението в него да е фалшиво
• Организирайте регулярни обучения от доказани професионалисти с опит за служителите си

Фишингът е мъртъв, да живее фишинга. Причината: броят засечени фишинг сайтове през миналата година намалява значително, но същевременно щетите от този тип атаки растат. Системите за електронни разплащания остават най-често имитираните сайтове, но софтуерните услуги стават все по-интересни на кибер престъпниците.  Но да говорим в числа.

По-малко засечени сайтове не означава по-малко създадени сайтове

По данни на Anti-Phishing Working Group (APWG) броят на засечените през 2018 г. фишинг сайтове е намалял значително – от 263 хил. за първото тримесечие на годината до 138 хил. за последното тримесечие (над 47% спад). Информацията е от Phishing Activity Trends Report на организацията, чиято основна дейност е да координира усилията на правителства, бизнеси и неправителствени организации в борбата с кибер престъпността.

Прочетете и: Три фишинг тактики, които набраха скорост през 2018

Колкото и оптимистична да изглежда тази статистика, тя има една важна особеност: числото отразява само и единствено броя на засечените и отбелязаните като фишинг сайтове – тези, които са открити и отбелязани като фишинг. „Ниският брой може да се дължи на по-ниска степен на засичане на подобни страници,“ коментират от организацията.

Като основна причина за ниския брой засечени фишинг атаки се посочва фактът, че кибер престъпниците използват техники, предназначени да предотвратят и затрудняват разкриването на фишинг адреси посредством множество пренасочвания между различни URL-и.

По-малко засечени сайтове не означава и по-малко щети и жертви

Данните на американското ФБРв тази посока са красноречиви – само за 2017 г. щетите от фишинг се равняват на 676 млн. USD, твърдят от разузнавателната агенция.

Сред водещите теми за миналата година, използвани от престъпниците, са Световното първенство по футбол, особено в частта закупуване на билети и резервации на хотели в руските градове, станали арена на футболни мачове. Забелязва се ръст в атаките, които твърдят, че потребителят е станал жертва на спиране или кражба на акаунт за услуга.

Статистиката на APWG отчита, че фишингът все повече таргетира потребителите на различни софтуерни услуги (SaaS), които към края на годината представляват около 30% от общия засечен обем атаки.

Водещи на глобално ниво по обем са фишинг сайтовете, имитиращи системи за обработка на електронни разплащания като PayPal  – те представляват над 35% от опитите за кражба на информация на потребителите.

В България също се наблюдава висока фишинг активност, която през миналата година мина през мейли, изпратени от името на НАП, различни банки, а в началото на 2019 г. стигна и до имитиране на фактури от CEZ.

Внимание! Написаното по-долу е история, разказана по scam имейл. Историята на Абача Тунде не е истинска. Ако получите такъв мейл не отговаряйте на него!

Надали има интернет потребител, който да не е получавал съобщение от нигерийски принцове или милионери с обещания за несметни богатства. И, ако до скоро тези scam измами бяха относително скучни и еднотипни – обещавайки милиони долари от наследство или просто в замяна на услуга за „освобождаването им“ от определени банки, сега креативността на създателите им буквално се изстреля в космоса.

Защо в Kосмоса? Защото из мейлите си може да намерите зов за помощ от майора от нигерийските военновъздушни сили Абача Тунде, който се нуждае от дарения, за да се върне на Земята след близо 30 години изгнание в Космоса. Пълната му история може да видите в текста на имейла по-долу, но резюмето е:

• Абача Тунде е първия африканец в космоса, осъществил секретен полет до орбиталната станция Салют 6 през 1979 г.
• През 1989 г. Тунде отново лети – този път до Салют 8Т през 1989 г. – и така не стига обратно до Земята
• Причината за заточението му е фактът, че мястото му е било заето от товара, който е трябвало да бъде върнат на Земята
• От 1990 г. и до момента към Тунде са изпращани доставки на провизии посредством мисии на снабдителния кораб Прогрес
• По време на престоя си в космоса нигерийският астронавт е натрупал завидните 15 млн. USD от плащания по заплатите му и лихвите по тях (все пак, в Космоса най-вероятно няма за какво толкова да се харчи)
• Завръщането му на Земята би струвал 3 млн. USD – които трябва да бъдат платени от горната сума, която от своя страна е съхранявана от Lagos National Savings and Trust Association
• За освобождаването на самата сума, обаче, се очаква помощта на получателя на мейла – каква точно е тя, не се споменава
• Като благодарност за спасението на Тунде, изпращащите мейла обещават 20% от сумата, натрупана по сметките му

А ето и самото писмо – в оригинал:

Subject: Nigerian Astronaut Wants To Come Home
Dr. Bakare Tunde
Astronautics Project Manager
National Space Research and Development Agency (NASRDA)
Plot 555
Misau Street
PMB 437
Garki, Abuja, FCT NIGERIA

Dear Mr. Sir,

REQUEST FOR ASSISTANCE-STRICTLY CONFIDENTIAL

I am Dr. Bakare Tunde, the cousin of Nigerian Astronaut, Air Force Major Abacha Tunde. He was the first African in space when he made a secret flight to the Salyut 6 space station in 1979. He was on a later Soviet spaceflight, Soyuz T-16Z to the secret Soviet military space station Salyut 8T in 1989. He was stranded there in 1990 when the Soviet Union was dissolved. His other Soviet crew members returned to earth on the Soyuz T-16Z, but his place was taken up by return cargo. There have been occasional Progrez supply flights to keep him going since that time. He is in good humor, but wants to come home.

In the 14-years since he has been on the station, he has accumulated flight pay and interest amounting to almost $ 15,000,000 American Dollars. This is held in a trust at the Lagos National Savings and Trust Association. If we can obtain access to this money, we can place a down payment with the Russian Space Authorities for a Soyuz return flight to bring him back to Earth. I am told this will cost $ 3,000,000 American Dollars. In order to access the his trust fund we need your assistance.

Consequently, my colleagues and I are willing to transfer the total amount to your account or subsequent disbursement, since we as civil servants are prohibited by the Code of Conduct Bureau (Civil Service Laws) from opening and/ or operating foreign accounts in our names.

Needless to say, the trust reposed on you at this juncture is enormous. In return, we have agreed to offer you 20 percent of the transferred sum, while 10 percent shall be set aside for incidental expenses (internal and external) between the parties in the course of the transaction. You will be mandated to remit the balance 70 percent to other accounts in due course.

Kindly expedite action as we are behind schedule to enable us include downpayment in this financial quarter.

Please acknowledge the receipt of this message via my direct number 234 (0) 9-234-XXXX only.

Yours Sincerely, Dr. Bakare Tunde
Astronautics Project Manager
[email protected]

http://www.nasrda.gov.ng/

 

Обновено на: 18 януари 2019 г., 8:15 ч.

Фишинг атака от името на CEZ България, разпространяваща фалшива „фактура“ от името на електроразпределителното дружество, е засечена сред български потребители. Атаката е особено добре изпълнена, тъй като времето на изпращане съвпада с изпращането на истинските фактури от страна на CEZ.

Според официалното съобщение на компанията, писмото имитира фактура за потребителска сметка от дружеството в .7z формат (който съдържа вирус) и линк, който води към фалшива форма за логин в системата на CEZ. От компанията (а и ние) съветват потребителите да не отварят съобщението и да го изтрият веднага.

Текстът на писмото е:

Уважаеми Господине / Госпожо,

В прикачен файл Ви изпращаме Вашата нова фактура от ЧЕЗ Електро България АД. Моля, потвърдете получаване на настоящото съобщение като кликнете тук.

Спестете време и платете сметката си към ЧЕЗ чрез електронно банкиране, предлагано от Вашата банка или онлайн на www.ePay.bg.

Това е автоматично генерирано съобщение, моля, не отговаряйте на този имейл!

За връзка с нас: информационна линия 0700 10 010, www.cez.bg, [email protected]

При клик на линка се отваря страница с домейн, който няма общо с CEZ, на който е отбелязано, че мнимата сметка трябва да бъде погасена до 1 февруари 2019 г.

При стартиране, прикачения файл се опитва да свали троянец, който стартира ransomware.

Как да разпознаете фишинга от CEZ:

• Файловият формат. От CEZ изрично уточняват, че изпращат фактури само в PDF формат
• Линкът, към който води мейла, е различен от сайта на компанията – bg. Ако искате да видите електронната си фактура, може да използвате логин формата на сайта – без да кликате по линкове в електронната си поща

Вижте още съвети как да разпознаете фишинг атака тук

От CEZ добавят, че лични данни не са били достъпвани или копирани от сървърите на дружеството от трети страни.

Фишингът е една от най-големите заплахи за бизнеса: около три четвърти от фирмите претърпяват поне една фишинг атака годишно според Wombat Security. За да продължава да е ефективен, фишингът разчита на изобретателността на спамърите. Те трябва постоянно да измислят нови начини, чрез които да накарат потребителите да отворят пощенската си кутия и да последват зловредния линк.

2018 ще бъде запомнена с няколко фишинг тактики, които според StorageCraft са зачестили тази година. Това не означава, че няма да ги видим и през 2019 г. Най-вероятно те ще продължат да са част от арсенала на спамърите, които всеки ден заливат света с милиарди имейли.

Смишинг (SMiShing)

Смишингът е практиката да се изпращат като SMS линкове към зловреден софтуер. Той е алтернатива на фишинг имейлите, голяма част от които попадат в спам филтрите или потребителите просто ги разпознават.

Смишингът от друга страна доставя зловреден линк по друг канал: чрез SMS. Потребителите са по-малко подозрителни към SMS-ите, които получават, и това прави смишинга ефективна техника за измама.

GDPR фишинг

Влизането в сила на GDPR в края на май 2018 г. доведе до бум на тематичния спам. Фишинг кампаниите започнаха месеци преди влизането в сила на директивата. Честа практика беше писмата да се изпращат от името на големи компании, които предупреждават потребителите да променят настройките си за поверителност.

Спам писмата отвеждаха потребителите към фалшиви страници, които крадат данни за достъп. И тъй като точно тогава GDPR беше изключително актуална тема, много потребители станаха жертви на този тип фишинг.

Данъчен спам

Този вид фишинг се случва основно в САЩ, но никой не е застрахован от него. Спамърите атакуват данъчни консултанти и счетоводители, опитвайки се да откраднат данните им за достъп до системите, в които се съхранява информация за пенсионните планове на американците. Тези данни са изключително ценни. Те могат да бъдат продадени на черните пазари за данни, да бъдат използвани за източване на банкови сметки или за кражба на самоличност.

Нова фишинг кампания атакува потребители с Apple ID, използвайки хитър и труден за забелязване механизъм. Според BleepingComputer потребителят получава писмо с фалшива фактура за закупено приложение от App Store.

Фактурата съдържа линкове към страници, от които да се докладват неоторизирани покупки. Всъщност линковете водят към фишинг страница, която изисква от потребителя да въведе своите данни за достъп до Apple ID.

При въвеждане на данните фалшивият сайт отвежда потребителя към друга страница с предупреждение, че акаунтът му е бил заключен. Тук потребителят започва да се тревожи, че акаунтът му е бил хакнат, затова натиска бутончето Unlock Account. То го води към трета фишинг страница, на която той трябва да въведе данни, за да потвърди самоличността си.

Според BleepingComputer един от елементите, които правят фишинг атаката толкова убедителна, е, че след като въведе данните си, потребителят вижда съобщение: This session has timed out for your security. Това още повече го убеждава, че това, което се случва, е истина.

Apple е на 14-о място в класацията на Vade Secure за най-експлоатираните брандове във фишинг атаки. На първите места в списъка  са Microsoft, PayPal и Netflix.

Спамърите стават все по-изобретателни, когато трябва да осъществят фишинг кампания. Често срещана тактика е да изпращат фишинг съобщения от фалшиви имейл адреси, които изглеждат напълно легитимни. Друг популярен подход е да правят фишинг страници със SSL сертификат, за да могат да заблудят жертвите си. Всъщност половината фишинг страници използват SSL, ако се вярва на данните на PhishLabs.

Според проучване на Sophos най-ефективните фишинг съобщения съдържат в себе си нещо банално: например заявка за нова задача или среща. „Изводът е, че трябва да сме внимателни. Дори и най-тривиално изглеждащите имейли могат да крият в себе си заплаха“, коментират от компанията.