Фишинг

  • Нова хакерска кампания подлъгва потребителите чрез фалшиви заявки за AnyDesk

    Нова хакерска кампания подлъгва потребителите чрез фалшиви заявки на софруера за отдалечена поддръжка AnyDesk.

    Тя използва тактика за социално инженерство, за да получи неоторизиран достъп до устройствата на жертвите. Това може да доведе до кражба на данни и други злонамерени действия.

    Нападателите изпращат заявки за свързване чрез AnyDesk под претекст, че провеждат „одит, за да проверят нивото на сигурност“.

    За да бъде успешна тази атака, трябва да бъдат изпълнени две важни условия:

    • нападателят трябва да притежава идентификационния номер за AnyDesk на жертвата;
    • софтуерът AnyDesk трябва да е стартиран на целевия компютър.

    Според екипа за реагиране при компютърни инциденти на Украйна – CERT-UA нападателите са се сдобили с AnyDesk ID от предишни пробиви.

    За да се защитите от подобни атаки:

    • разрешавайте достъпа на софтуера за отдалечен достъп само за срока на неговото използване по предназначение;
    • проверявайте и съгласувайте всяка работа с него чрез официални комуникационни канали.
  • Провалите на MFA – най-лошото за бизнесите тепърва предстои

    Светът е под обсада и това не е новина. Спонсорирани от държавата киберпрестъпници и нарастваща армия от новаци, въоръжени с мощни инструменти от Dark Web, използват всяко слабо звено в нашата киберсигурност. А това обикновено са потребителите.

    Многофакторната автентикация (MFA), която някога се славеше като непробиваема защита, се разпада под тежестта на остарялата си технология. Фишинг атаките, ransomware и сложните експлойти я заобикалят с изумителна лекота.

    Бурята се разраства, а с навлизането на още по-напреднали технологии и тактики най-лошото тепърва предстои.

    Наследените системи за MFA: Политика на отворени врати за фишинг и ransomware

    Вълната от фишинг и ransomware атаки обхваща всички индустрии, оставяйки след себе си разрушения. Загуби за безброй милиарди долари са причинени от киберпрестъпници, които се възползват от слабостите на наследените решения за MFA.

    Тези системи, изградени върху лесно преодолими принципи като еднократни пароли и SMS удостоверяване, невинаги могат да се противопоставят на иновативните подходи.

    Фишинг атаките са станали тревожно ефективни. Те заобикалят MFA с помощта на сложни тактики за социално инженерство, които се възползват от човешката доверчивост.

    Ransomware групите също се възползват от слабостите на старите MFA модели, за да получат неоторизиран достъп до мрежите. Това им позволява да държат критични системи като заложници и да искат астрономически откупи.

    Тази технология се превърна от бариера във въртяща се врата за киберпрестъпниците, като с всеки изминал ден предизвиква все по-големи бедствия.

    Генеративният изкуствен интелект: Любимото оръжие на киберпрестъпниците

    Генеративният изкуствен интелект е нож с две остриета, а в неправилните ръце той е оръжие с несравнима сила. Киберпрестъпниците вече използват технологията, за да създават фишинг атаки. Те на практика не се различават от легитимните съобщения.

    Няма ги типографските и граматическите грешки. Няма ги вече и спешността, твърде добрите, за да бъдат истински, оферти и други червени флагове. Новите кампании подмамват дори най-добре обучените потребители да предоставят по невнимание достъп до мрежата на киберпрестъпниците.

    AI инструментите анализират моделите на корпоративна комуникация и ги възпроизвеждат със забележителна точност. AI чатботовете могат да участват във взаимодействия в реално време за продължителен период от време. Deepfake се превръщат в най-доброто оръжие на киберпрестъпниците, което лесно заблуждава дори най-предпазливите потребители.

    С помощта на AI фишингът вече не е грубо изкуство, а точна наука. В комбинация със слабостите на старите MFA системи тези инструменти позволяват мащабни кампании с голям успех. Те предефинират пейзажа на киберпрестъпността и риска пред организациите.

    Сривът на бдителността на потребителите

    Стратегиите за киберсигурност са толкова силни, колкото са силни хората, които трябва да ги използват. Днешното MFA остава изцяло зависимо от потребителите и това е сърцевината на неговата уязвимост.

    Ново проучване на Gallup установява, че ангажираността на служителите е достигнала 10-годишно дъно. Едва 31% от тях покриват критериите. А няма как тези, които не са ангажирани с организацията си, да са добри пазители на достъпа до нейната мрежа.

    Единственото решение е бизнесите да спрат да разчитат единствено на поведението на потребителите и да намерят начин да защитят инфраструктурите си. А това не е възможно при сегашните MFA решения.

    Преминаването към устойчиво на фишинг, следващо поколение MFA, което не разчита на старанието на потребителя, е задължително за всяка организация. Съществуват много иновативни стартиращи компании с разнообразни решения, които намаляват този сериозен риск. Отговорът е прост – ако престъпниците преодоляват вашите ключалки, вземете по-добри ключалки.

  • Хакери крадат акаунти в Google Ads чрез фалшиви реклами в Google Search

    Kиберпрестъпниците използват реклами в Google Search, за да крадат идентификационните данни на рекламодателите на платформата Google Ads.

    Те са оформени като такива на технологичния гигант и се показват като спонсорирани резултати. На практика обаче пренасочват потенциалните жертви към фалшиви страници за вход, изглеждащи като официалната начална страница на Google Ads.

    Атаките включват няколко етапа:

    • жертвата въвежда информацията за профила си в Google във фишинг страницата;
    • тя събира уникални идентификатори, бисквитки и данни за достъп;
    • на официалния имейл адрес се получава съобщение, че е регистрирано влизане в системата от необичайно място;
    • ако потребителят не успее да спре този опит, към акаунта в Google Ads се добавя нов администратор чрез различен адрес в Gmail;
    • нападателят започва да харчи и блокира достъпа на жертвата.

    Според Malwarebytes крайната цел на престъпниците е да продадат откраднатите акаунти на хакерски форуми. Някои от тях могат да бъдат използвани за бъдещи атаки.

  • Кибератаките, базирани на браузъри, и злоупотребите с валидни пълномощия скачат рязко през 2024

    Киберзаплахите, базирани на браузъри, са нараснали рязко. Те са отговорни за 70% от наблюдаваните случаи на атака със зловреден софтуер през 2024.

    Това очертава значителна промяна в тактиките, използвани от киберпрестъпниците.

    Според доклада 2024 Threat Data Trends на eSentire Threat Response Unit зловредният софтуер, доставян по електронна поща, е намалял през миналата година. Неговият дял е 15%. За сметка на това кампании, включващи т.нар. drive-by downloads и злонамерени реклами, например са се увеличили значително.

    Тези техники все по-често се използват за доставяне на зловредни инструменти като Lumma Stealer и NetSupport Manager RAT. Нападателите ги предпочитат заради способността им да заобикалят традиционните филтри за електронна поща и контрола на сигурността.

    Злоупотребата с валидни пълномощия също отбелязва значителен ръст. Компрометираните такива са се превърнали в най-често срещаният първоначален вектор за достъп.

    Останалите заключения сочат, че:

    • случаите на атаки с Infostealer са се увеличили с 31% спрямо предходната година;
    • ransomware атаките продължават да таргетират всички индустрии, като се наблюдава нарастване на случаите на пробиви в крайни точки;
    • броят на атаките през лични устройства и акаунти на доставчици от трети страни расте, което поражда загриженост относно сигурността на веригата за доставки;
    • тактики като quishing и ClickFix набират популярност.

    За да бъдете защитени в тази променяща се среда на заплахи, трябва да разчитате на многопластова стратегия за киберсигурност. Тя включва:

    • възможности за 24/7 откриване на заплахи;
    • внедряване на EDR решения;
    • използване на устойчива на фишинг MFA.

    Освен това трябва да провеждате редовни симулации на фишинг атаки и обучения по киберсигурност за служителите си. По този начин ще повишите тяхната осведоменост за тактиките за социално инженерство.

  • Фалшиви оферти за работа в CrowdStrike тайно разпространяват XMRig cryptominer

    Киберпрестъпници се представят за специалисти по набиране на персонал от CrowdStrike, за да разпространяват cryptominer на устройствата на жертвите.

    Кампанията започва с фишинг имейл, който приканва мишената да насрочи интервю за роля на младши разработчик. Той съдържа връзка, която отвежда получателя до сайт, където може да го направи. От него потребителят трябва да изтегли „CRM приложение“ за Windows или macOS. То обаче сваля изпълним файл, написан на езика Rust, който инсталира cryptominer XMRig.

    Изпълнимият файл извършва няколко проверки на средата, предназначени да избегнат откриването и да анализират заразеното устройство. Те включват сканиране на инструментите за сигурност, проверка дали централният процесор има поне две ядра и т.н.

    От CrowdStrike предупреждават, че:

    • не провеждат интервюта през незабавни съобщения или групов чат;
    • не искат закупуване на продукти или услуги, или извършване на плащания като условие за наемане на работа;
    • никога не използват софтуер, който трябва да бъде изтеглен, за провеждане на интервюта.

    Хората, които се интересуват от кандидатстване за работа в компанията, трябва да използват официалната ѝ страница.

  • Хакерите използват нов трик за деактивиране на антифишинг защитата на Apple iMessage

    Киберпрестъпниците използват трик за изключване на вградената в iMessage на Apple защита срещу фишинг. Чрез него те подмамват потребителите да активират отново деактивираните зловредни връзки.

    Тъй като смартфоните навлизат все повече в ежедневието на хората, хакерите все по-често прибягват до smishing атаки. За да предпази потребителите, Apple iMessage автоматично деактивира връзките в съобщенията, получени от непознати податели. Това важи както за имейл адреси, така и за телефонни номера. Ако потребителят отговори на съобщението или добави изпращача в списъка си с контакти обаче, връзките се активират.

    В последните месеци се наблюдава рязко увеличение на smishing атаките, които се опитват да подмамят потребителите да отговорят на даден текст. Хакерите изпращат съобщения, свързани с доставки или неплатени задължения. В него те искат от потребителите да отговорят с „Y“, за да активират връзката.

    Нападателите разчитат на факта, че хората са свикнали да въвеждат STOP, Yes или NO, за да потвърждават срещи или да се отказват от текстови съобщения. Дори ако потребителят не кликне върху активираната връзка веднага, това, че взаимодейства, означава, че е подходяща цел за последващи фишинг атаки.

    Джейк Мур, глобален съветник по сигурността в ESET, е категоричен:

    „Избягвайте да отговаряте на съобщения от непознати контакти. Винаги проверявайте легитимността на всяко съобщение, независимо дали става въпрос за iMessage или в рамките на която и да е платформа. Чак след това предприемайте каквото и да е действие, особено ако то изисква чувствителна информация“.

  • Тransaction simulation spoofing – нова фишинг тактика заплашва портфейлите за криптовалути

    Киберпрестъпниците използват нова тактика, наречена transaction simulation spoofing, за да крадат криптовалути. При такава кампания успешно са откраднати 143,45 токена Ethereum на стойност приблизително 460 000 USD.

    Атаката, забелязана от ScamSniffer, подчертава недостатък в механизмите за симулация на трансакции, използвани в съвременните Web3 портфейли. Парадоксалното е, че те са предназначени да предпазват потребителите от измамни и злонамерени трансакции.

    Тази функция позволява на потребителите да преглеждат очаквания резултат от превод в блокчейн, преди да го верифицират и изпълнят. Атакуващите обаче примамват жертвите към злонамерен уебсайт, имитиращ легитимна платформа, която инициира това.

    Измамата протича така:

    • симулацията показва даден резултат;
    • потребителят я одобрява и я подписва за официално изпълнение;
    • нападателите използват времето между симулацията и изпълнението, за да променят договора в блокчейн;
    • това променя резултата, до който ще доведе трансакцията.

    По този начин злонамерения уебсайт да източи портфейла на жертвата и да изпрати криптовалутите към хранилището на нападателя.

    Този нов вектор на атака представлява значителна еволюция в техниките за фишинг.

    За да се защитите:

    • винаги се отнасяйте с подозрение към офертите за безплатна симулация на трансакции;
    • използвайте само проверени приложения.
  • Криптовалутите стават основна цел за хакерите! 10 стъпки, с които да защитите портфейла си

    Последен ъпдейт на 25 януари 2025 в 11:09 ч.

    Bitcoin е в подем. За пръв път в историята си криптовалута №1 надхвърли 100 000 USD в началото на декември, след като нарасна с над 30% от нощта на изборите в САЩ. Но това важи с пълна сила и за измамите и зловредния софтуер, предназначени да откраднат криптовалутите ви.

    Последният Threat Report на ESET разкрива, че засичането на т.нар. Cryptostealer е скочило с 56% от първото до второто полугодие на 2024 г. Атаките са насочени както срещу Windows и Android, така и срещу macOS.

    Това е отражение на нарастващата роля, която криптовалутите играят в световните финанси. Децентрализираният им характер, бързината и необратимостта на трансакциите и възможността за прехвърляне по целия свят ги правят още по популярна цел за киберпрестъпниците.

    Затова и рисковете на това поле се задълбочават през 2024.

    Криптозаплахи, от които трябва да се пазите

    Когато става въпрос за кражба на криптовалути, трябва да внимавате не само за фишинг и зловреден софтуер. Измамниците са разработили редица измами, целящи да изпразнят вашите криптопортфейли.

    Според доклад на Chainalysis от август например pig butchering атаките са се превърнали в едно от най-разпространените средства за кражба на криптовалути.

    ESET Threat Report дава допълнителна яснота за заплахите през 2024. Ето няколко основни заключения:

    • Атаките с Password Stealing Ware (PSW) в MacOS са се увеличили със 127%. Те са насочени към кражба на идентификационни данни, свързани с портфейли за криптовалути. Това отчасти се дължи на продавания в Telegram по модела Malware-as-a-Service Atomic Stealer. Нападателите разпространяват този зловреден софтуер чрез злонамерени реклами в Google.
    • PSW заплахите стоят и зад ръста на криптокрадците, насочени към Windows. Там обаче в основата стои друг зловреден инструмент – Lumma Stealer.
    • Много банкови „троянски коне“ за Android вече съдържат функционалност на Cryptostealer наред с традиционните си функции. Този клас заплахи срещу криптопортфейлите е нараснал с 20% през второто полугодие на 2024 г.
    • Повишена активност има и около друг Malware-as-a-Service инструмент – Vidar Infostealer. Той е предназначен за събиране на идентификационни данни, съхранявани в браузъра, и такива от криптопортфейли. Разпространява се чрез зловредни реклами във Facebook, групи в Telegram и форуми в Dark Web.
    • Геймърите са таргетирани чрез Cryptostealer и Infostealer, скрити в кракнати игри. Те включват Red Line Stealer и Lumma Stealer.
    • Фишинг сайтовете, свързани с криптовалути, представляват 8% от всички наблюдавани през първото полугодие на 2024 г. от ESET. Това поставя тази група в Топ 5 за периода.

    Как да се защитите

    Всичко това упражнява допълнителен натиск върху потребителите. Съществуват различни мерки, които можете да предприемете, за да намалите заплахата за вашите криптопортфейли.

    Ето 10 важни стъпки:

    1. Не поставяйте всичките си средства на едно място. Разпределете риска и обмислете използването на хардуерни портфейли, които не са свързани с интернет и следователно са по-добре изолирани от цифрови заплахи.
    2. Избирайте внимателно доставчиците си на портфейли въз основа на отзиви. Не забравяйте да държите свързаните с интернет хранилища защитени с MFA.
    3. Включете 2FA за всяко криптоприложение, което използвате.
    4. Не използвайте публични Wi-Fi мрежи, когато сте навън. Ако се наложи да го направите, в никакъв случай не осъществявайте достъп до криптоакаунтите си.
    5. Винаги поддържайте устройствата и лаптопите/компютрите си с актуални пачове и софтуер за сигурност.
    6. Използвайте VPN услуга от реномиран доставчик за допълнително ниво на сигурност, за да се предпазите от фишинг, зловреден софтуер и други заплахи.
    7. Изтегляйте софтуер само от надеждни източници и официални уебсайтове, като преди това проверявате потребителските отзиви и рейтингите на разработчиците.
    8. Периодично премахвайте неизползваните разширения/софтуер.
    9. Редовно проверявайте за евентуални необичайни действия в криптосметките си.
    10. Бъдете нащрек за измами.
  • Хакерите превземат акаунти в PayPal с нестандартна фишинг кампания

    Нестандартна фишинг кампания убедително се представя за услугата за онлайн плащания PayPal. Тя подмамва потребителите да влязат в акаунтите си, за да извършат плащане. На практика обаче това позволява на нападателите да превземат акаунта.

    Иновативната част на атаката е свързана със злоупотреба с легитимна функция в Microsoft 365 за създаване на тестов домейн. Тя позволява на нападателите да създадат списък за разпространение на имейли. Благодарение на това фишинг съобщенията изглеждат като изпратени от PayPal и заобикалят стандартните проверки за сигурност на електронната поща.

    За да сте сигурни, че бизнесът и служителите ви няма да станат жертва на подобна иновативна атака:

    • провеждайте регулярни обучения по киберсигурност;
    • създайте правило в рамките на скенерите за сигурност на електронната поща, което да разпознава съобщения, изпращани чрез списък за масови имейли;
    • използвайте инструменти за сигурност, базирани на AI, които правят по-дълбок анализ на поведението на потребителите, отколкото статичните филтри.
  • 2024: Процентът на кликванията на корпоративни потребители върху фишинг линкове се е утроил

    През 2024 г. процентът на кликванията на корпоративни потребители върху фишинг линкове почти се е утроил, според ново проучване на Netskope.

    Освен това повече от 8 от всеки 1000 служители са кликвали върху фишинг връзка всеки месец през 2024 – 190% повече в сравнение с 2023 г.

    Този ръст, от една страна, се дължи на когнитивна умора, тъй като потребителите са бомбардирани от все повече фишинг имейли. От друга – нападателите стават все по-креативни и организират все по-трудни за откриване атаки.

    Най-много фишинг кампании през миналата година, ако се съди от броя на кликванията, са били насочени към облачните приложения (27%). Целта им обикновено е била да се компрометират акаунти и след това да се продаде достъпът на незаконни пазари. Най-голям процент от тях – 42% – са таргетирали облачните услуги на Microsoft.

    На второ място се нареждат банковите приложения (17%), а на трето – телекомуникационните доставчици (13%).

    От гледна точка на местата, които примамват най-често потребителите да последват фишинг връзка, се откроява една нова тенденция. Имейлите са изпреварени от интернет търсачките (19% от кликовете). В тях нападателите пускат злонамерени реклами или използват т.нар. SEO poisoning техники. Те извеждат зловредните страници на първите места в резултатите от търсенето.

    Сред другите основни източници на фишинг връзки са сайтовете за онлайн пазаруване (10%), технологии (8,8%), бизнес (7,4%) и развлечения (5,7%).

    За да се предпазите от тази нарастваща заплаха, произтичаща от онлайн поведението на вашите служители, трябва да:

    • провеждате редовни сесии за обучение за най-новите тактики за фишинг и разпознаване на подозрителни имейли, връзки и прикачени файлове;
    • организирате симулирани фишинг атаки, за да тествате информираността и реакцията на хората си;
    • използвате интерактивни модули и платформи за онлайн обучение, за да направите процеса по-увлекателен, достъпен и запомнящ се;
    • насърчавате участието в него, като награждавате служителите, които успешно идентифицират опити за фишинг;
    • създадете лесни и ясни процедури за докладване на предполагаеми опити за фишинг.
Back to top button