Фишинг

  • Защо винаги да проверяваме номера, на който ни карат да се обадим

    Един имейл, изпратен от реален домейн, преминал всички проверки за автентичност, може да изглежда като гаранция за сигурност. Последен случай с PayPal показва как точно това усещане създава входна точка за потенциален пробив.

    Как работи схемата

    Атаката използва напълно легитимна функционалност на PayPal. Нападател регистрира бизнес акаунт и изпраща минимална сума – в случая 0.12 филипински песо (0.0017 EUR). Ключовият елемент се крие в полето за описание, което PayPal използва като тема на имейла.

    Резултатът: реален имейл от paypal.com със заглавие за „pending deposit“ от $987.90 и телефонен номер за контакт.

    graphical user interface, text, application

    Какво вижда потребителят

    • Имейл с валидни SPF, DKIM и DMARC
    • Легитимен подател – paypal.com
    • Спешно съобщение за почти $1000
    • Телефонен номер, който изглежда легитимен

    Съдържанието в тялото на имейла показва реалната малка транзакция, но вниманието вече е насочено към заглавието.

    Къде се случва пробивът

    Сценарият продължава извън имейла. Обаждането към посочения номер свързва жертвата с атакуващ, който представя процес за „анулиране“ на плащането. В следващите стъпки често се стига до:

    • отдалечен достъп до устройство
    • иницииране на банков превод
    • закупуване на gift карти

    Това превръща иначе безобиден имейл в реален риск за пробив.

    Защо атаката е ефективна

    • Преминава всички технически проверки – имейлът е автентичен
    • Използва доверие в бранд – PayPal като източник
    • Експлоатира човешкото внимание – темата се чете първа
    • Създава спешност – почти $1000 „очакват действие“

    Практиката показва, че дори добре обучени екипи могат да бъдат подведени, когато атаката използва легитимна инфраструктура. Затова, 3 пъти мерим, веднъж режем.

    Автентикацията гарантира произхода на имейла. Съдържанието обаче изисква отделна преценка. Легитимни системи могат да бъдат използвани като канал за злонамерени действия, което създава домино ефект в киберсигурността – от една малка транзакция до потенциален пробив.

  • Фишинг офанзива с SMS в България се представя за куриерски компании

    В последните дни български потребители сигнализират за нова добре координирана фишинг кампания, разпространявана чрез SMS. Измамниците се представят за известни куриерски фирми като Speedy и DHL и приканват получателите да „актуализират адреса си“ чрез фалшив линк.

    Какво се случва?

    Потребителите получават съобщения от непознати номера – често от чужбина (например с код +63 от Филипините), с текст, който симулира реална комуникация от куриер:

    „[SPEEDY] Вашата пратка е пристигнала… не успяхме да намерим правилния адрес… Моля, актуализирайте адреса си: https://bgpostbg.help/bg“

    Или:

    „DHL Courier: Съжалявам да Ви информирам… етикетът на поръчката Ви е повреден… Потвърдете адреса си онлайн: https://dhl.gsycqr.help/bg“

    При отваряне на линковете от мобилно устройство, потребителите биват пренасочвани към страници, които имитират легитимни сайтове и изискват въвеждане на лични данни. При достъп от компютър често се използва пренасочване към Google – вероятно с цел да се избегне разпознаване от автоматизирани антифишинг системи.

    Защо е опасно?

    • Тези фалшиви страници вероятно целят да съберат:
    • Имена, адреси и телефони
    • Данни за банкова карта (в следващи стъпки)
    • Потенциален достъп до други онлайн профили
    • Събраната информация може да бъде използвана за кражба на самоличност, измами или последващи атаки.

    Как да се предпазите:

    • Не отваряйте подозрителни линкове от SMS-и, особено ако не очаквате пратка.
    • Проверявайте домейните – официалните сайтове на куриерските компании не използват нетипични окончания като .help.
    • Не въвеждайте лични данни на съмнителни уебсайтове.
    • Сигнализирайте подобни съобщения към вашия мобилен оператор или КЗП
  • Имейлът остава основният канал за кибератаки

    Повече от половината от успешните кибератаки през 2024 г. са започнали чрез фишинг имейли, сочи анализ на KnowBe4.

    Имейлът продължава да е най-ефективният инструмент за проникване в организации – служители често кликват на злонамерени линкове или прикачени файлове, въпреки обучения по сигурност. Според Barracuda, 23% от HTML прикачените файлове са зловредни, а 83% от опасните документи на Microsoft 365 и 68% от PDF файловете съдържат QR кодове, които водят към фалшиви Microsoft портали за кражба на идентификационни данни.

    Компаниите у нас, особено в секторите финанси и администрация, също отчитат засилен фишинг. Най-ефективното противодействие остава регулярни обучения, които да изградят навици за разпознаване и блокиране на подобни атаки.

     

  • Никой не е застрахован: Създателят на Have I Been Pwned стана жертва на фишинг атака

    Когато става дума за кибератаки, никой не е застрахован. Дори най-големите експерти по киберсигурност.

    Последният пример за това дойде миналата седмица. Създателят на Have I Been Pwned Трой Хънт разкри, че е станал жертва на една от най-старите измами в онлайн света – фишинг. Чрез автоматизирана атака, маскирана като известие от доставчика на бюлетини Mailchimp, измамниците са откраднали около 16 000 записа на настоящи и предишни абонати на блога му. Те включват имейл адреси, статуси на абонамент и IP адреси, както и данни за географската ширина и дължина.

    Добрата новина е, че Хънт все пак незабавно е успял да разкрие атаката. Той описва случая 34 минути след като е станал жертва.

    Какво се случва?

    На 25 март Хънт получава фишинг имейл от името на Mailchimp. През платформата той изпраща по електронната поща новите материали от блога си на абонираните читатели. В имейла се твърди, че Mailchimp временно прекъсва услугата му, защото  е получила оплаквания за спам.

    Фишинг имейлът е бил с убедителен дизайн и е заплашвал с последствия, ако получателят му не предприеме действия. Но, както казва Хънт, „преди това съм получавал милиарди подобни фишинг имейли, които съм идентифицирал рано“. Този път обаче хакерите успяват.

    Едно от нещата, които карат Хънт да се замисли, е, че когато се опитва да влезе в профила си в Mailchimp през фишинг имейла, мениджърът му за пароли не попълва автоматично данните за профила му. Това не е червен флаг за пробив, но е хубаво да се има предвид.

    След като осъзнава грешката си, Хънт веднага сменя паролата си и свързва с Mailchimp, за да помогне за изтриването на API ключа на измамника. След това той проверява дали уебсайтът, към който е бил насочен при фишинг атаката, е бил изключен.

    Не на последно място, Хънт добавя информацията за пробива в списъка си в сайта Have I Been Pwned (HIBP). Платформата помага на хората да разберат дали са били жертва на нарушение на сигурността на данните.

    „Когато разговарям с компании, които са нарушили сигурността на данните, моето послание е кристално ясно: бъдете прозрачни и експедитивни в докладването на инцидента и дайте приоритет на комуникацията с клиентите си“, казва Хънт. „Ако направя нещо по-малко от това, ще бъде лицемерно, включително и по отношение на начина, по който след това обработвам данните от нарушението, а именно добавянето им към HIBP“.

    Бъдете внимателни за всякакви опити за фишинг, използващи данните от Have I Been Pwned като примамка.

  • Онлайн услугите за споделяне на документи все по-често се използват за фишинг атаки

    Хакерите все по-често насочват фишинг кампаниите си към надеждни онлайн услуги за споделяне на документи. По този начин те заобиколят защитените платформи за електронна поща и успяват да откраднат потребителските креденшъли.

    През 2024 този тип услуги са били обект на 8,8% от всички фишинг кампании, сочи проучване на Cofense Intelligence. 79% от анализираните случаи са включвали опити за кражба на креденшъли.

    Сред най-често атакуваните са:

    • Dropbox (25,5%) – най-използваната, тъй като фишинг файловете остават онлайн по-дълго заради големия трафик;
    • Adobe (17%) – използват се главно за изпращане на злонамерени PDF файлове;
    • SharePoint (17%) – нападателите се представят за колеги или бизнес партньори;
    • DocuSign (16%) – често се използва при фишинг кампании, свързан с човешките ресурси, и в 6% от фишинг атаките с QR код;
    • Google Docs (11%) – разпространение на зловреден софтуер чрез вградени връзки;
    • Canva (9%) – фишинг чрез споделяне на PDF и мултимедия;
    • Zoho (4%) – значителен скок на злоупотребите през декември 2024 до началото на 2025.

    Някои от тези услуги автоматично изпращат известия на потребителите, когато даден документ е споделен, което допълнително легитимира опита за фишинг.

    За да се предпазят, организациите и физическите лица трябва да въведат допълнителни нива на сигурност. Те включват:

    • обучение на потребителите;
    • инструменти за поведенчески анализ;
    • MFA.

    Мониторингът на подозрителни дейности при споделяне на документи също може да помогне за откриване на опити за фишинг, преди те да доведат до нарушаване на сигурността на данните.

  • Все повече онлайн услуги за конвертиране на файлове разпространяват зловреден софтуер

    Все повече безплатни онлайн услуги за конвертиране на файлове разпространяват зловреден софтуер.

    Киберпрестъпниците предлагат всякакъв вид популярно конвертиране, за да привлекат жертвите. Най-често използваното е от .doc в .pdf и обратно. Има и сайтове, които предлагат комбиниране на няколко изображения в един .pdf файл.

    Най-опасното е, че тези платформи на практика работят и изпълняват задачата, възложена им от жертвата. Но на заден план тяхната система крие зловреден софтуер във файла, който потребителя изтегля. След това той краде различни видове информация. Тя може да включва лични и финансови данни, пароли и токени за сесии, които позволяват заобикаляне на MFA, както и имейл адреси.

    Съществуват няколко възможни сценария:

    • нападателите насърчават жертвите да изтеглят даден инструмент на устройството си, за да извършат конвертирането. Това обаче е зловреден софтуер;
    • препоръчват инсталирането на разширение на браузъра, което да използвате занапред. Тези разширения често са browser hijacker или adware;
    • конвертираният файл съдържа зловреден код, който изтегля и инсталира При отваряне на файла, той заразява устройството.

    Наличието на активна защита от зловреден софтуер на вашето устройство и разширенията за браузър, които блокират злонамерени сайтове, могат да ви помогнат да се предпазите. Но ако подозирате, че може вече да сте станали жертва:

    • незабавно се свържете с финансовите си институции. Работете с тях, за да предприемете необходимите стъпки за защита на самоличността и сметките си;
    • променете всичките си пароли. Направете го през чисто, надеждно устройство.

    Ето някои от зловредните платформи, които предлагат конвертиране на файлове:

    • com (фишинг);
    • Сonvertitoremp3.it (зловреден софтуер);
    • Convertisseurs-pdf.com (зловреден софтуер);
    • Ccom (фишинг);
    • Convertix-api.xyz (троянски кон);
    • Ccom (adware);
    • Fcom (зловреден софтуер);
    • Pcom (зловреден софтуер);
    • com (зловреден софтуер);
    • org (зловреден софтуер).
  • 140%: Фишинг кампаниите през браузъри са скочили рязко през 2024

    През изминалата година е регистриран рязък ръст на фишинг атаките, базирани на браузър.

    Според нов доклад на Menlo Security увеличението на годишна база – между 2023 и 2024 – е 140%. Основните причини за тази тенденция са възходът на фишинг техниките, базирани на AI, и използването на корпоративните браузъри.

    Киберпрестъпниците все повече се фокусират върху тях като основен вектор на атака. Те заобиколят традиционните мерки за сигурност чрез сложни техники, социално инженерство и Zero day уязвимости. Ръстът на фишинг атаките от типа Zero day е 130%.

    В доклада се подчертава и рязкото увеличаване на фишинг кампаниите за кражба на креденшъли. Те често се маскират като надеждни корпоративни приложения или наложени брандове, за да подмамят жертвите да предоставят чувствителна информация.

    Нападателите се възползват и от големия обществен интерес към GenAI. Те имитират популярни платформи, залагайки на любопитството на потребителите и доверието им в авангардните технологии.

    Злоупотребите с услуги на Cloudflare за фишинг са скочили значително – със 104%. Използването на фишинга-като-услуга (PhaaS) също нараства.

    За да се предпазят, организациите и потребителите трябва да предприемат проактивни мерки за сигурност:

    • решенията за сигурно сърфиране в облака могат да изолират дейността на потребителите от корпоративните мрежи. По този начин се предотвратява компрометирането на системите от злонамерено съдържание;
    • инструментите за откриване на заплахи с помощта на AI могат да помогнат за идентифицирането и неутрализирането на сложни фишинг кампании, преди да причинят щети;
    • организациите трябва да възприемат системи за мобилна сигурност в реално време, базирани на AI. Така те ще могат да откриват и блокират фишинга, преди потребителите да бъдат компрометирани.

    Разчитането на остарели защити вече не е достатъчно – сигурността трябва да се развива толкова бързо, колкото и заплахите.

  • Нова фишинг атака таргетира потребителите на ABV.bg

    Потребителите на една от най-използваните електронни пощи у нас – ABV.bg – са обект на нова фишинг атака.

    Нападателите подлъгват жертвите си с имейл, който гласи:

    „Dear …@abv.bg,

    Заявка за затваряне на имейл, открихме необичайна дейност във вашия акаунт и от вас се изисква да потвърдите информацията за сигурността на вашия акаунт.

    За да избегнете ограничаване или блокиране на вашия акаунт днес, просто щракнете върху адреса по-долу, за да започнете упражнението си за проверка

    Login/ABV/mail/unlock/validation/excercise/w“.

    За да не загубите профила си, не забравяйте, че ABV.bg никога не изпраща подобни имейли. Платформата не иска от потребителите да потвърждават профилите си през външни линкове.

    Организациите, от своя страна, трябва да знаят, че тази платформа не е подходяща за бизнес нужди.

  • Хакери крадат акаунти в GitHub с измамни предупреждения за нарушение на сигурността

    Мащабна фишинг кампания таргетира хиляди хранилища на GitHub с измамни предупреждения за нарушение на сигурността. Имейлите подмамват разработчиците да разрешат злонамерено OAuth приложение. То предоставя на нападателите пълен контрол над техните акаунти и код.

    „Сигнал за сигурност: Необичаен опит за достъп Открихме опит за влизане във вашия акаунт в GitHub, който изглежда от ново място или устройство“, се казва във фишинг съобщението.

    То е едно и също за всички таргетирани потребители, като „необичайната активност“ идва от Рейкявик, Исландия, и IP адрес 53.253.117.8. Нападателите призовават разработчиците да актуализират паролата си, да прегледат активните сесии и да активират 2FA, за да защитят акаунтите си. Всички линкове за тези препоръчани действия обаче водят до страница за оторизация на GitHub за OAuth приложение „gitsecurityapp“.

    Ако по погрешка сте дали разрешение на злонамереното OAuth приложение, трябва незабавно да отмените достъпа му:

    • влезете в Settings на GitHub и след това в Applications;
    • забранете достъпа на всички непознати или подозрителни GitHub или OAuth приложения;
    • търсете приложения с имена, подобни на „gitsecurityapp“;
    • огледайте внимателно за нови или неочаквани GitHub работни процеси и дали са създадени частни gists;
    • променете вашите идентификационни данни и токени за оторизация.
  • Фишинг кампания подлъгва потребителите с фалшива миграция на портфейли в Coinbase

    Широкомащабна фишинг атака подлъгва потребителите на Coinbase, че трябва да извършат задължителна миграция на портфейла си. Нападателите подвеждат жертвите си да настроят нов портфейл с предварително генерирана комбинация за възстановяване, контролирана от самите тях.

    Имейлите са с тема Migrate to Coinbase Wallet. В тях се посочва, че всички клиенти трябва да преминат към самостоятелни портфейли. Те съдържат и инструкции как да се изтегли легитимният портфейл Coinbase Wallet.

    „Считано от 14 март, Coinbase преминава към самостоятелни портфейли. Вследствие на колективен съдебен иск, в който се твърди, че има нерегистрирани ценни книжа и нелицензирани операции, съдът задължи потребителите да управляват собствени портфейли“, се казва във фишинг имейла. „Вашата уникална фраза за възстановяване по-долу е вашата идентичност в Coinbase. Тя предоставя достъп до вашите средства – запишете я и я съхранявайте на сигурно място. Импортирайте я в Coinbase Wallet“.

    Това, което отличава тази кампания, е, че в имейла не присъстват никакви фишинг връзки. Всички линкове водят към легитимната страница на Coinbase Wallet. Вместо това тя цели да открадне фразата за възстановяване.

    Фразите за възстановяване, известни също като seeds, са поредица от думи, които функционират като четима от човека версия на частния ключ на портфейла за криптовалута. Всеки, който знае тази фраза за възстановяване, може да импортира портфейла на собствените си устройства. Това му позволява да открадне всички криптовалути и NFT, съхранявани в него.

    По принцип правилото е никога да не споделяте фразата си за възстановяване с друг човек или уебсайт. Но сега то се разширява – никога не я използвайте, когато сте подтикнати към това чрез имейли или външни уебсайтове.

Back to top button