Имейл

Последен ъпдейт на 4 май 2020 в 11:59 ч.

През февруари 2020 г., зараждащата тогава се паника от коронавируса бе използвана за разпространение на фишинг атака с мнима информация и съвети за защита от заболяването. Сега, когато Европа и светът са на път да бъдат парализирани от опасенията за глобална епидемия, киберпрестъпниците отново експлоатират страха на хората.

Този път хакерите разпространяват зловреден код под формата на прикачен файл в имейл, претендиращ, че е изпратен от италианските здравни власти. Четящият писмото е призоваван да отвори файла, за който се твърди, че съдържа информация от критична важност заради открити огнища на зараза с коронавируса в района, в който живее получателят на фишинга.

Съветът ни към вас: не се доверявайте на подобни писма и не отваряйте съмнителни прикачени файлове. Не споделяйте никъде потребителските си имена и пароли.

Прочетете повече по темата тук

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Имейлът е гръбнакът в комуникацията на огромна част от съвременния бизнес. През електронната поща се обменят оферти, договори, фактури и други критични за една организация документи. Въпреки това, все още масовата защита за имейла на един бизнес остава само потребителско име и парола. Какво още може да направите, за да защитите имейл кореспонденцията на бизнеса си?

1. Защитете съдържанието на съобщенията

Ако сте изпращали хартиена пощенска картичка, знаете, че съдържанието и е лесно достъпно за всеки. Освен, ако не я затворите в пощенски плик – така ще се знае кой е подателят и получателят на съобщението, както и откъде докъде трябва да стигне то. Но не и какво пише в него. Подобна е ситуацията и с имейлите ви.

„Пликът“ за имейла се нарича transport-level криптиране. Предимството на този метод е достъпността – обикновено такъв тип криптиране не изисква допълнителни действия от страна на потребителите. Недостатъкът е като при хартиеното писмо – по пътя на мейла, някой може да отвори плика и да прочете съобщението, без подателят и получателят да разберат.

Малко по-сложен за потребителя, но малко по-сигурен метод за защита е end-to-end encryption – когато криптирането се извършва още преди изпращането на писмото, а получателят трябва да има специален ключ и софтуер, за да го прочете. По-сложно, но препоръчано.

2. Филтрирайте нежеланите съобщения

Огромна част от съвременната мейл кореспонденция е спам, скам, фишинг и др. Филтрирането на такъв тип нежелани писма още на входа на мрежата може да ви спести много зарази с вируси и загубено време от страна на екипа ви. Не малка част от доставчиците на имейл услуги предоставят някакво ниво на защита от подобна нежелана кореспонденция. Атаките, обаче, стават все по-сложни и трудни за засичане, а зловредните кодове – все по-добре прикрити. Това означава, че просто един blacklist (списък със забранени домейни) може да е крайно недостатъчен.

От друга страна много служители изпращат информация под формата на документи, електронни таблици или презентации, без дори да е необходимо те да бъдат споделяни през имейл. Този процес може да бъде ограничен чрез въвеждане на политики относно правата на съответния служител да получава или изпраща корпоративна информация онлайн и налагането им чрез адекватни DLP решения.

3. Двуфакторна автентикация

Само парола, колкото и да е сложна тя, може да е крайно недостатъчна за защита на имейла на организацията ви. Решението: имплементиране на двуфакторна автентикация. Това е  едно добро начало да решите проблема със загубени, компрометирани или просто твърде просто за отгатване пароли на служителите ви.

4. Защита от подмяна на изпращач и получател

Иначе казано – защита от до болка познатата от години тактика да се подменя съдържание на имейл, например. Представете си, че изпращате имейл с фактура. Но някой подменя приложения в имейла файл, в който подменя вашия IBAN с фалшив такъв.

Така, ако бъде платена, парите по тази фактура ще отидат в чужда сметка.

Ами, ако някой изпрати имейл от ваше име – и от вашия домейн (spoofing)? Преди да комуникирате на воля, помислете за тези атаки и отново: наложете двуфакторна автентикация и политика за подмяна на пароли навреме (включително и политика за сложност на паролите, които използват служителите ви).

5. Защита на софтуера

От съществена важност за ограничаване на злоупотребите с информацията в имейла е и редовното актуализирате на използвания софтуер, включително операционната система, приложението и браузъра, който се използва за достъп.

Това са само част от стъпките, които е хубаво да предприемете. И не забравяйте – защитата ви е непрекъснат процес, добрата конфигурация е само началото. Не спирайте да осъвременявате и гарантирате за спазването на политиките ви.

Китайски хакери са откраднали 18.5 млн. долара от индийското звено на италианската компания Techimont, съобщава Economic Times. Кражбата е извършена с помощта на прост, но ефективен метод: измама със служебен имейл.

Изданието цитира жалба в полицията, подадена от местното поделение на Techimont. Хакерите са изпратили фалшив имейл от адрес, който наподобява имейл адреса на Пиероберто Фолджиеро, главен изпълнителен директор на италианската фирма. Писмото е получено от ръководството на индийското звено на Techimont и успяло да ги заблуди, че действително идва от Фолджиеро.

Как работи измамата

Последвали конферентни разговори, в които хакерите отново се представили за Фолджиеро и други висши служители в компанията. По този начин те убедили ръководството на Tecnimont Pvt(индийското звено), че трябва да изпратят пари по банкови сметки в Хонконг, тъй като италианската фирма планирала придобиване на компания в Китай.

Мениджърите на Tecnimont Pvt повярвали на измамата и в серия от траншове изпратили общо 18.5 млн. долара на посочените банкови сметки. Според Economic Times траншовете са се случили през ноември, а парите били изтеглени в рамките на минути след получаването им.

Глобален проблем за милиарди

Измамите със служебен имейл (Business Email Compromise) в световен мащаб са генерирали 3.6 млрд. долара загуби между 2014 и 2018 г. по данни на ФБР. От тях 672 млн. долара са отчетени извън САЩ. Те разчитат на социално инженерство и често не изискват никакви специални умения: могат да се осъществят с инструменти, които са леснодостъпни в интернет.

Една от най-честите измами от този вид е т.нар. CEO fraud. При нея хакерите се представят за управителя на организация и нареждат парични преводи към контролирани от тях банкови сметки.

През март 2018 г. измамници успяха да откраднат 19.2 млн. евро от холандското поделение на френското филмово студио Pathe. Хакерите поискали да им се изпратят пари, с които да се финансира сделка в Дубай. Измамата сработи и това доведе до уволнението на двама от мениджърите на холандското звено на Pathe.

През май 2017 г., следвайки сходен модел, измамници източиха почти 1 млн. долара от сметките на благотворителната организация Save the Children Federation.

Две уязвимости в Cisco AsyncOS позволяват изпълнението на атака за отказ на услуга (Denial-of-Service или DoS) чрез изпращането само на един имейл. Операционната система AsyncOS се използва в устройствата Cisco Email Security Appliance, които служат за защита на електронната поща.

Една от уязвимостите(CVE-2018-15453) е обозначена като критична, а другата – като такава с висока степен на опасност. Критичната уязвимост засяга проблем с Secure/Multipurpose Internet Mail Extensions (S/MIME) – технология за верифициране на имейл съобщения.

Злонамерено лице може да експлоатира уязвимостта и да изпрати зловреден имейл от устройство, което иска да компрометира. Имейлът кара филтриращия процес на устройството да се срива и рестартира многократно. Натоварването предизвиква състояние на отказ от услуга.

Другата уязвимост се дължи на проблем с начина, по който софтуерът на Cisco филтрира имейлите и по-точно тези, които идват от домейни с добър рейтинг. Ако злонамерено лице изпрати имейл съобщение, съдържащо списък на много домейни с добър рейтинг, това може да увеличи до 100% натоварването на процесора на засегнатото устройство.

Според Cisco тази уязвимост (маркирана като CVE-2018-15460) може да накара засегнатото устройство да спре да сканира и препраща имейл съобщения. За да бъде експлоатирана уязвимостта, системният администратор трябва да е включил опцията URL Filtering as Global Setting. По подразбиране тази настройка и изключена.

Двете уязвимости са част от общо 18 бъга, за които Cisco публикува информация на 9 януари.

Последен ъпдейт на 13 октомври 2018 в 08:32 ч.

CEO scam е вид кибератака, при която някой се представя за мениджър на организация и нарежда парични преводи. Тя е комбинация от социално инженерство и известна техническа подготовка. Измамниците си набелязват организация и започват да проучват функциите на служителите в отделните звена.

Най-често тази информация се събира от медии или социални мрежи. От Linkedin например може да се разбере кой е изпълнителен директор и кой изпълнява функцията на финансов мениджър. Крайната цел е да се установи кои са хората, които се занимават с управлението на финансите в организацията.

След като знаят кой взема решенията, авторите на атаката могат да се представят за него и да наредят на служителя, който се грижи за разплащанията, да направи паричен превод до контролирана от тях сметка. Обикновено това става с имейл, чието съдържание в опростен вид звучи приблизително така: „Здравей, трябва да преведем спешно тези пари на наш партньор. Ето я банковата му сметка“.

Загуби за над $3 млрд.

CEO scam е част от т.нар. измами със служебен имейл (Business Email Compromise), които в световен мащаб са генерирали 3.6 млрд. долара загуби между 2014 и 2018 г. по данни на ФБР. От тях 672 млн. долара са отчетени извън САЩ.

Когато служителят получи писмо от шефа си, той рядко се съмнява в легитимността му. Това обяснява защо измамите със служебен имейл са толкова ефективни. Измамниците могат лесно да приспят бдителността на служителя и да го накарат да им прехвърли пари.

В много случаи служителят го прави без въобще да се усъмни. Той е убеден, че прави поредния паричен превод до партньор на организацията.

Как работи атаката

Има два основни начина, по които може да се осъществи CEO scam. Единият e чрез най-обикновено фалшифициране на имейл. В този случай хакерът изпраща имейл от адрес, който много прилича на адреса на мениджъра. За това не е необходима почти никаква техническа подготовка: има дори безплатни инструменти в интернет, които ви помагат да изпращате фалшиви имейли.

Другият начин е да се компрометира имейл акаунтът на определен мениджър и от него да се изпращат заповеди за парични преводи. Това позволява освен всичко друго да се проследи и комуникацията на мениджъра, да се опознаят стила и маниера му на общуване.

Последен ъпдейт на 28 юни 2018 в 11:48 ч.

Световното първенство по футбол в Русия започва на 14 юни. Още преди откриването, интернет гъмжи от опити за експлоатиране на феновете най-големия футболен форум в света. Ето някои от по-популярните методи за злоупотреба и как да се предпазите от тях.

Кражбата на данни повежда играта

Една от основните съпътстващи футбола дейности са залаганията. Именно феновете на идеята да спечелят от футболните си познания с една от основните цели на киберпрестъпността. Измамни мейли за участие в томболи, игри за билети, продажби и други. Заедно със заявката си за участие, трябва да споделите и солидна част от чувствителната си информация за целите на играта – или по-точно да се разделите с нейната сигурност за нечия чужда облага.

Други стратегии включват съобщения, които приканват потребителите да изтеглят и инсталират приложения, които съдържат злонамерен код. Атакуващите подхождат все по-експедитивно като използват поздравления за победа или приканване за споделяне на впечатления в социалните медии.

Където дигиталния и физическия свят се срещат

Най-силно застрашени са хората, които пътуват, за да присъстват на игрите. Защото те могат да станат жертва на измами, като например фалшиви WiFi хотспотове, създадени с цел кражба на лични данни. Иначе казано – не винаги е нужно данните или парите ви да бъдат взимани на сила – понякога жертвите ги дават доброволно, без дори да разберат.

Една от често срещаните схеми за финансова облага включва превземането на потребителски мейл акаунт. Обикновено то бива последвано от „зов за помощ“ към цялата контакт листа – бедствате без никакви финанси и няма как да се приберете (или това виждат близките ви от съобщението). В действителност, докато разглеждате за подаръци,  от вкъщи може би вече изпращат пари към нечий тръпнещ в очакване джоб.

Друг подход е показването на фалшиви уеб страници, които приканват потребителя да обнови настройките си, за да използва мрежата. Вместо това, обаче, се изтегля и инсталира зловредно приложение, което може да следи активността ви, да я предава в реално време и да изчака следващия път, когато използвате банкиране през самртфона си.

Никой не е в безопасност – дори играчите

Уви, през последните няколко години атаките над играчи и известни личности зачестиха значително. Това е от части и заради публичността, която атакуващите могат да си осигурят чрез тях. Високо профилните мишени също представляват много по-голям интерес на пазара за информация.

Заплахата стига до там, че футболната асоциация ще предоставя собствени WiFi точки за достъп и инструктира играчите допълнително да не споделят информация, която може да разкрие местоположението на отбора или тактика за предстоящата игра.

Прогнозата изглежда мрачна, но не е трудно да се предпазим

Не можем да очакваме нищо повече от повече и по-сложни атаки срещу фенове, а и срещу отбори и домакини от следващите първенства – било то с политическо или лично основание. Докато професионалистите могат да разчитат на подобаваща на статуса им подкрепа, средностатистическия потребител трябва да реагира самостоятелно.

Ако можете да различите фалшив от истински „Download” бутон, то вероятно можете да разпознаете и повечето средства за онлайн измама, които визираме тук. Това, обаче, не пречи да ви препоръчаме:

• Отнасяйте се към всички линкове и прикачени файлове с нормално голямата доза скептичност
• Публичните WiFi мрежи са игралната площадка на всеки, желаещ да се упражнява в „тъмните изкуства“. Личен VPN или споделяне на сигурна мрежа ви правят невидими на площадката.
• Ако едно устройство има нужда от връзка с интернет, има нужда и от адекватната защита – антивирусен софтуер с вграден антифишинг, спам филтър и други стандартни защити. Устройството ви трябва да разполага с обновена операционна система и всички последни защитни патчове.
• Говорете с хората покрай вас – жертви на измама най-често невежите. Без значение дали е от загриженост или нужда от добра карма, чувствайте се длъжни да им обясните.
• Народът е казал, че който го е страх от мечки, не ходи в гората. Всички се сещаме, обаче за даден човек (или хора), които някак си всеки път се натъкват точно на мечката. Има различни технически средства като уеб филтри, които са включени в повечето модерни антивирусни решения – използвайте ги ако се опасявате.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 11:54 ч.

Експлойтът, именуван „EFAIL” използва два различни вектора за атака. И двата експлоатират начинът, по който различни типове софтуер обработват HTML. Първият се цели в софтуерното реализиране на криптирането, а вторият – в неописано поведение в OpenPGP и S/MIME стандартите.

Сред най-силно засегнатите приложения са AppleMail, iOS Mail и Mozilla Thunderbird.

Това ни съобщава професорът по компютърна сигурност Себастиан Шинцел, който откри и публикува уязвимостта. Всички детайли, които са достъпни до момента, както и цялостно техническо обяснение на слабите точки на MIME, S/MIME и OpenPGP стандартите можете да намерите на efail.de.

За краткосрочно предотвратяване на EFAIL атаки може да използвате следните насоки:

• Не декриптирайте директно в мейл приложението – премахнете S/MIME или PGP ключовете си от мейл приложението и декриптирайте във външно такова като копирате и поставите кодирания текст. Към момента това е най-безопасния начин за предотвратяване.
• Изключете визуализирането на HTML съдържание – най-често използвания вектор за атака при EFAIL е експлоатирането на активно съдържание. Забраняването му ще ви помогне да си осигурите по-високо ниво на защита, но не ви гарантира безопасност, тъй като има и други канали за използването на експлойта.

За защита в дългосрочен план е нужно производителите на софтуер да патчнат тези уязвимости. Откриването на уязвимостите показва и нужда от обновяване на OpenPGP и S/MIME стандартите, но това няма как да се случи в кратък срок.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Изненадващо прост начин за заобикаляне на една от защитите на Office365 е разкрита от потребители на услугата.

Засегната е функцията Safe Links, която се грижи за блокирането на потенциално опасни линкове в имейли и документи.

Методът, който престъпниците използват, е поставянето на <base> таг в HTML хедъра, което разделя зловредния URL на части. По този начин, Safe Links не проверява пълния адрес и потребителите не получават адекватна оценка на безопасността му.

Методът, именуван baseStriker, работи срещу настолната, уеб и мобилна версия на Outlook, тъй като и двете поддържат <base> тага. Клиенти като Gmail не са засегнати.

Microsoft са осведомени за уязвимостта и компанията вече разследва проблема.