Фишинг

В началото на месеца много потребители на Facebook бяха обект на фишинг атака от името на Meta AI. Това е компания, собственост на Meta, която разработва AI и AR/VR технологии. В случая обаче хакерите използваха името ѝ в кампания за кражба на акаунти.

Сега те са предприели нова тактика, представяйки се за „група ПОДКРЕПА във FACEBOOK”. В съобщенията се казва, че потребителят трябва да потвърди имейла и телефона си на посочен линк преди 1 януари 2025. В противен случай акаунтът може да бъдат заключени. Потвърждението трябва да се направи 24 часа след получаването на съобщението. Жертвата се предупреждава, че няма право на никаква обратна връзка, освен да последва посочения линк.

Това са типичните подходи при фишинг кампания – внушаване на спешност и липса на възможност за получаване на допълнителна информация. Стилистичните грешки в първите изречения също издават характера на съобщението.

За да се предпазите от подобни фишинг атаки във Facebook:

• не кликвайте на подозрителни линкове в съобщения, които идват от непознати профили;
• проверявайте автентичността на съобщенията от името на Meta по официалните канали за поддръжка. Компанията никога не се свързва с потребителите на лични;
• активирайте 2FA. Това добавя допълнителен слой защита, изисквайки втори метод за удостоверяване със SMS код или приложение за сигурност;
• Ако получите съмнително съобщение, използвайте опцията „Докладвай“ във Facebook.

Нова фишинг кампания използва имейли, маскирани като покани от Google Calendar, за да заобиколи защитите на приложенията за електронна поща. Тя е насочена към кражбата на идентификационни данни и измами с цел финансова печалба.

Кампанията, открита от Check Point Software, модифицира имейлите така, че да изглеждат като покана от легитимна организация или лице. Първоначално съобщенията са включвали само злонамерени .ics файлове от Google Calendar. След като става ясно, че софтуерите за сигурност ги хващат, хакерите усложняват подхода. Те добавят връзки към Google Drawings и Google Forms, за да прикрият по-добре дейността си.

Google Calendar се използва от повече от 500 милиона души и е достъпен на 41 различни езика. По този начин платформата осигурява мащабна повърхност за атаки и хакерите не си губят времето. За четири седмици те са изпратили повече от 4000 фишинг имейла. В тях са използвани препратки към повече от 300 бранда.

За да се защитите от тази нова фишинг заплаха, Google препоръчва активирането на настройката „познати изпращачи“ (known senders) в приложението. Тя ще ви предупреди, когато получите покана от някого, който не е в списъка ви с контакти, или с когото не сте взаимодействали преди.

Компаниите трябва да използват усъвършенствани решения за защита на електронната поща, които могат да идентифицират и блокират фишинг атаки. Те трябва да разполагат с функции за сканиране на прикачени файлове, проверки на репутацията на URL адреси и откриване на аномалии.

Не на последно място, използвайте MFA и регулярно обучавайте служителите си за най-новите тактики за фишинг.

Хакерска група е използвала Microsoft Teams, за да манипулира жертвата си да предостави отдалечен достъп до своята система.

Тази иновативна атака подчертава нарастващата сложност на тактиките за социално инженерство, използвани от киберпрестъпниците, посочват от Trend Micro.

Тя протича така:

• хакерите изпращат към жертвите поток от фишинг имейли;
• малко след това нападателят инициира разговор в Microsoft Teams, представяйки се за служител по техническата поддръжка;
• по време на разговора нападателят инструктира жертвата да изтегли легитимно приложение за отдалечена поддръжка – AnyDesk;
• след като то е инсталирано, той получава контрол над машината на жертвата и инсталира зловреден софтуер;
• чрез AnyDesk изпълнява команди и събира подробна информация за системата и мрежовите конфигурации.

За да се предпазите от подобни атаки:

• винаги проверявайте самоличността на трети страни, които се представят за техническа поддръжка, преди да предоставите достъп;
• създайте бял списък на одобрените инструменти като AnyDesk и въведете MFA за допълнителна сигурност;
• обучавайте регулярно служителите си за тактиките на социалното инженерство, като фишинг и вишинг, за да намалите податливостта към такива атаки.

Този инцидент служи като ярко напомняне за това как нападателите използват доверието и легитимните платформи като Microsoft Teams за зловредни дейности. Бдителността и проактивните мерки за сигурност са от съществено значение за осуетяване на подобни заплахи.

Над 200 000 създатели на съдържание в YouTube са станали мишена на киберпрестъпници в рамките на новооткрита фишинг кампания.

Злонамерените имейли се изпращат от името на известни брандове с теми като „Предложение за сътрудничество“ и „Възможност за маркетинг“. Те съдържат защитени с парола архиви, хоствани в облачни платформи като OneDrive.

След като се разархивират, изпълнимите файлове, маскирани като споразумения или рекламни материали, инсталират зловреден софтуер. Той е предназначен за кражба на чувствителна информация – данни за вход и бисквитки на сесии – или за получаване на отдалечен достъп до машината на жертвата.

За да се защитите:

• проверявайте задълбочено данните на подателя на имейла и потвърждавайте интереса чрез официалните канали на брандовете;
• избягвайте да теглите файлове или да кликате върху връзки от непознати или подозрителни източници;
• активирайте двуфакторно удостоверяване, за да добавите допълнително ниво на сигурност към своя акаунт в YouTube;
• редовно проверявайте профила си в YouTube за неоторизирани влизания или промени;
• уверете се, че всички, които участват в управлението на акаунта ви в платформата, са запознати с най-новите фишинг тактики.

 

Продължаваща фишинг кампания таргетира служители на над 30 компании от 12 индустрии в 15 държави, част от които европейски.

Досега тя успешно е разпространила над 200 зловредни връзки, предназначени за credential theft. Отраслите, към които е насочена тази фишинг операция, включват eнергетика, мода, финанси, аерокосмическа индустрия, производство, телекомуникации и държавна администрация.

Нападателите използват усъвършенствани техники за заобикаляне на защитите на електронната поща и избягване на откриването, предупреждават от компанията за киберсигурност Group-IB.

Те включват:

• Изпращане на фишинг имейли от доверени домейни;
• динамично брандиране на съобщенията в стила на атакуваната компания;
• имитации на официални платформи за работа с документи.

Нападателите вграждат злонамерени URL адреси в легитимни услуги като Adobe.com и Google AMP, което затруднява откриването им от инструментите за сигурност. Те използват и фалшиви известия от DocuSign.

За да не станете част от жертвите на тази кампания:

• активирайте MFA за допълнително ниво на сигурност;
• обучавайте служителите си да проверяват информацията при получаване на неочаквани имейли, преди да предприемат действия;
• прилагайте усъвършенствани системи за филтриране на електронна поща, които могат да откриват и блокират заплахите.
• редовно следете акаунтите си за неоторизиран достъп.

Професионалистите в киберсигурността оценяват положително въздействието на GenAI върху своята сфера.

Въпреки че технологията прави кибератаките по-опасни, 46% от тях смятат, че тя оказва положително влияние като цяло. 44% са неутрални, а едва 6% се изказват негативно, сочи докладът Generative AI and Cybersecurity: Risk and Reward на Ivanti.

Освен това 90% смятат, че GenAI е от полза за екипите по киберсигурността поне толкова или повече, отколкото за нападателите. 85% пък твърдят, че тези инструменти ще подобрят силно или умерено производителността на работата им.

GenAI има редица потенциални приложения в киберсигурността – от подобряване на ефективността на екипите до създаване на сигурен код. Технологията може да е полезна и предвид недостига на таланти с нужните умения. Според оценки на ISC2 в момента глобалният недостиг на такива наброява 4,8 млн. души.

Въпреки изразения оптимизъм респондентите признават, че GenAI ще увеличи значително сериозността на различните видове кибератаки. Попитани: „Кои от тези заплахи ще станат по-опасни благодарение на технологията?“, те ги подреждат в следния ред:

• фишинг (45%);
• използване на уязвимости в софтуера (38%);
• ransomware атаки (37%);
• използване на уязвимости, свързани с API (34%);
• DDoS атаки (31%);
• атаки, възполващи се от лошо криптиране (27%).

57% от професионалистите смятат, че обучението на служителите е най-важната защита срещу атаките със социално инженерство, задвижвани от GenAI. Въпреки това едва 32% казват, че обичайните обучителни програми са „много ефективни“ за защита от подобни заплахи.

Нова PhaaS платформа улеснява широкомащабните атаки от типа adversary-in-the-middle (AiTM) за кражба на идентификационни данни за Microsoft 365.

Rockstar 2FA позволява на нападателите да заобикалят MFA на целевите акаунти чрез прихващане на валидни сесийни бисквитки. Te насочват жертвите към фалшива страница за вход, имитираща Microsoft 365, и ги подмамват да въведат своите идентификационни данни.

AiTM сървърът действа като прокси и препраща тези данни към легитимната услуга на Microsoft. По този начин завършва процеса на удостоверяване и улавя „бисквитката“, когато тя се изпраща обратно към браузъра на целта. Тази бисквитка може да бъде използвана за директен достъп до акаунта на жертвата, дори ако той е защитен с MFA.

Rockstar 2FA е придобил значителна популярност сред киберпрестъпниците от август 2024 г. насам. Платформата се продава за 200 долара за две седмици. От май 2024 г. насам тя е създала над 5000 фишинг домейна, които улесняват различни зловредни операции.

Съобщенията използват различни примамки – уведомления за споделяне на документи, известия от ИТ отдела, предупреждения за смяна на парола и др. Те разчитат на редица методи за избягване на блокиране, включително QR кодове, включване на връзки от легитимни услуги и прикачени PDF файлове.

Във времена на лесен достъп до мощни фишинг инструменти всеки трябва да е много внимателен с имейлите, които получава. Особено ако те съдържат файлове или линкове.

Нова фишинг кампания примамва жертвите с фалшива история за покушение срещу Доналд Тръмп.  

Хакерите използват факта, че имаше реални нападения срещу новоизбрания президент на САЩ. В случая обаче става дума за фалшива новина, която се приписва на New York Times (NYT). Тя описва Тръмп в критично състояние, след като е бил прострелян от ирански агенти. 

За да придадат истинност на историята, киберизмамниците посочват, че информацията е била „класифицирана“. 

След като жертвата кликне, за да види пълния текст на историята, от нея се иска да въведе парола за служебен акаунт. Фишинг формулярът се променя спрямо компанията, в която работи потребителя. При откриването на кампанията от страна на ESET, например, той е използвал нейното лого и цветове. 

От компанията за киберсигурност посочват, че техните продукти откриват и блокират имейлите, скриптовете и URL адресите, включени в тази кампания. Те са уведомила и други доставчици на системи за сигурност. 

Съветваме ви винаги да внимавате с имейли и съобщения, които искат лична информация. Освен това, преди да кликнете върху връзки или да изтеглите прикачен файл, винаги проверявайте задълбочено адреса на подателя.  

Многофакторната автентификация (MFA) повишава сигурността на имейл акаунтите, като подлага потребителите на допълнителна проверка освен паролата. Тя намалява риска от неоторизиран достъп, което я прави критична мярка за сигурност на чувствителна информация в електронната поща. 

Хакерите обаче са започнали да крадат „бисквитки“ на сесии в браузърите, за да пробиват имейл акаунти с активирана MFA. За целта те използват уязвимости в мрежите или заразяване на устройствата със зловреден софтуер. 

Когато влизате в който и да е уебсайт, сървърът създава уникален идентификатор на сесията, който се запомня в браузъра ви като „бисквитка“. Нейният живот обикновено е 30 дни, като тя помага на потребителя да влиза в същата система без затруднения. 

В случай, че хакер открадне тази специфична „бисквитка“ за сесията, той може да я използва, за да си осигури достъп до акаунта ви. Дори когато е въведено MFA, предупреждават изследователи по киберсигурност от Malwarebytes. Откраднатата „бисквитка“ съдържа валидната информация за сесията, която позволява на нападателя да заобиколи допълнителната стъпка за удостоверяване, изисквана от MFA.  

Когато нападателят получи неоторизиран достъп до имейл акаунт, той открива съкровищница от чувствителна информация. Тя може да съдържа номера на кредитни карти и адреси, използвани в онлайн магазините. Тези данни се изпозлват за фишинг, атаки от типа man in the middle и дори за кражба на самоличност. 

За да се защитите, освен MFA: 

• инсталирайте софтуер за сигурност на всички устройства; 
• поддържайте устройствата и софтуера актуализирани; 
• използвайте предпазливо опцията „Запомни ме“. 
• изтривайте бисквитките след използване на браузъра; 
• посещавайте само сайтове, защитени с HTTPS; 
• редовно преглеждайте историята на влизане в ключови акаунти. 

В днешната дигитална епоха поддържането на контрол върху личната ви информация е по-важно от всякога.  

Социалните медии със слаби настройки за сигурност и всякакви онлайн дейности под истинското ви име могат лесно да бъдат използвани за създаване на обширна картина на вашата цифрова идентичност. Тя ще съдържа вашите интереси, навици и връзки и може да се превърне в оръжие срещу самите вас.  

Фишинг атаките, базирани на социално инженерство, използват точно такава информация. А колкото повече данни има за вас в мрежата, толкова по уязвими сте. 

Според 2024 Verizon Data Breach Investigations Report цели 68% от нарушенията на сигурността на данните са се случили заради човешка грешка. Голям процент от тези грешки идват, след като даден потребител е станал жертва именно на фишинг атака. 

Социалното инженерство обикновено има за цел да подмами хората да изпратят пари или да разкрият чувствителни данни. Така че подобни кампании могат да имат изключително сериозни последици.  

Какво има за мен в Google Search? 

За да си отговорите на този въпрос, можете да направите следното упражнение: 

• потърсете собственото си име (в идеалния случай в кавички, като използвате режима инкогнито на уеб браузъра и без да сте влезли в профила си в Google) и вижте какво се появява. Обикновено това е вашият профил в социалните мрежи, блог или уебсайт, свързан с работата ви;
• прецизирайте търсенето си с допълнителен параметър, например често посещаван уебсайт или може би името на вашата улица. Не е изненадващо, че резултатите от търсенето стават по-конкретни, което показва колко мощни са търсачките в събирането на нечии данни. 

Премахване на данните ви 

Добрата новина е, че Google позволява на потребителите да поискат премахване на определена информация за себе си. Особено, когато тя е критична. Можете да подадете директна заявка до платформата за преглед и премахване на резултати в търсенето. Те трябва да отговарят на определени критерии – например излагане на вашия имейл или домашен адрес, данни за вход или друга лична информация. 

Самата заявка за премахване е доста лесно да се придвижи – просто попълнете необходимия формуляр. Ако проблемът не е ясен или Google изисква допълнителна информация, за да определи точно за какво става въпрос, ще получите имейл с искане за допълнителни разяснения. 

Търсачката предоставя и инструмент, наречен Results about you (Резултати за вас), който позволява на потребителите да проследят онлайн данните за себе. За съжаление, той все още не е достъпен от България, но Google се е ангажирала да разширява постоянно достъпа до него.  

Когато това се случи, FreedomOnline ще ви уведоми своевременно.