Информационна сигурност

Коледните празници започват, а с тях идва и най-активният период за онлайн търговците. Ако планирате покупки през електронен магазин, вземете необходимите мерки, за да се предпазите от измами и кражба на лични данни. Тони Анскомб от ESET дава няколко лесни за спазване съвети, които могат да ви предпазят от неприятни коледни изненади.

Пазете се от оферти, които звучат твърде добре, за да са истина

Ако офертата идва от непознат търговец и предлага невероятно добри условия – баснословно ниска цена или моментална доставка – значи нещо не е наред. Пазарувайте само от онлайн търговци, които познавате и на които се доверявате.

Пазете се от фишинг

Фишинг кампаниите зачестяват по време на коледните празници, така че внимавайте за фалшиви съобщения от името на популярните онлайн търговци. Пазете се и от фишинг сайтове. Когато отворите онлайн магазин, винаги проверявайте дали интернет адресът му отговаря на легитимния, както и дали сайтът използва SSL.

Не използвайте обществени мрежи, докато пазарувате

Безплатният безжичен интернет не е безопасен. Интернет трафикът може да бъде манипулиран, а данните за достъп до вашия акаунт – откраднати. Ако пазарувате през смартфон или таблет, използвайте мобилния си интернет.

Не използвайте карта, свързана с основната ви банкова сметка

Ако пазарувате с карта, която е свързана към основната ви банкова сметка, нека тя да е с малък лимит на теглене.

Избягвайте да си правите профил в онлайн магазин, в който не пазарувате често

Ако не пазарувате често в един онлайн магазин, влизайте в него като гост, а не със собствен акаунт. Това намалява риска някой да открадне данните ви при пробив на информация. Ако си направите акаунт, защитете го с двуфакторна автентикация.

Обновявайте антивирусния си софтуер

Използвайте защитно решение за онлайн пазаруване и го обновявайте редовно.

Нова фишинг кампания атакува потребители с Apple ID, използвайки хитър и труден за забелязване механизъм. Според BleepingComputer потребителят получава писмо с фалшива фактура за закупено приложение от App Store.

Фактурата съдържа линкове към страници, от които да се докладват неоторизирани покупки. Всъщност линковете водят към фишинг страница, която изисква от потребителя да въведе своите данни за достъп до Apple ID.

При въвеждане на данните фалшивият сайт отвежда потребителя към друга страница с предупреждение, че акаунтът му е бил заключен. Тук потребителят започва да се тревожи, че акаунтът му е бил хакнат, затова натиска бутончето Unlock Account. То го води към трета фишинг страница, на която той трябва да въведе данни, за да потвърди самоличността си.

Според BleepingComputer един от елементите, които правят фишинг атаката толкова убедителна, е, че след като въведе данните си, потребителят вижда съобщение: This session has timed out for your security. Това още повече го убеждава, че това, което се случва, е истина.

Apple е на 14-о място в класацията на Vade Secure за най-експлоатираните брандове във фишинг атаки. На първите места в списъка  са Microsoft, PayPal и Netflix.

Спамърите стават все по-изобретателни, когато трябва да осъществят фишинг кампания. Често срещана тактика е да изпращат фишинг съобщения от фалшиви имейл адреси, които изглеждат напълно легитимни. Друг популярен подход е да правят фишинг страници със SSL сертификат, за да могат да заблудят жертвите си. Всъщност половината фишинг страници използват SSL, ако се вярва на данните на PhishLabs.

Според проучване на Sophos най-ефективните фишинг съобщения съдържат в себе си нещо банално: например заявка за нова задача или среща. „Изводът е, че трябва да сме внимателни. Дори и най-тривиално изглеждащите имейли могат да крият в себе си заплаха“, коментират от компанията.

 

Бъг във Facebook е позволявал на външни разработчици да получат достъп до снимките на 6.8 млн. потребители на социалната мрежа. Става дума за снимки, до които външните разработчици обикновено нямат достъп: например публикации в Marketplace и дори непубликувани снимки.

„Проблемът вече е решен, но между 13 и 25 септември някои външни приложения са имали достъп до повече снимки от обикновено“, съобщават от Facebook. Според компанията уязвимостта е дала достъп на 1500 приложения до снимките на потребителите.

Какъв е проблемът

Обикновено приложенията, които искат достъп до снимките във Facebook, получават такъв само за албума Timeline (изображенията, които потребителите публикуват на стените си). Но бъгът е позволил на приложенията да получат достъп и до други снимки в профилите, като например публикуваните в Marketplace или Stories.

Според Facebook е било възможно да се получи достъп дори до снимки, които не са публикувани. Това са изображения, които потребителят не е успял да качи в профила си по една или друга причина – например спиране на достъпа до интернет.

Засегнат ли е профилът ви

Ако профилът ви е засегнат, Facebook ще ви изпрати предупреждение за това. Можете също така да проверите дали профилът ви е засегнат по някакъв начин на тази страница.

Поредната уязвимост

Това е поредната уязвимост, позволяваща изтичане на данни за потребители на Facebook. През септември социалната мрежа съобщи за проблем, който е позволил кражбата на лични данни на 29 млн. потребители. Авторите на атаката са злоупотребили с бъг във функцията View As, който позволява да получите достъп до информация в чужди профили.

През април Facebook закри функцията за търсене на потребители по имейл адрес или телефонен номер, след като разкри, че с нея се злоупотребява. Тогава съоснователят на Facebook Марк Закърбърг направи шокиращото предположение, че „ако функцията е била включена, данните ви в някакъв момент са попаднали в някого“. „Предвид мащабите на активността, която наблюдаваме, ние смятаме, че повечето потребители на Facebook са били застрашени от кражба на лични данни“, съобщи компанията в официално изявление.

Последен ъпдейт на 20 декември 2018 в 04:32 ч.

Фишингът е водеща заплаха за бизнеса – около 77% от фирмите отчитат поне eдин опит за фишинг атака месечно по данни на компанията за информационна сигурност Sophos. Какво прави тази заплаха толкова ефективна?

Отговорът е: човешката природа. Фишингът съобщенията разчитат на манипулативни заглавия, които да привлекат вниманието на потребителя и да го накарат да последва зловредния линк. Но кои са заглавията, които „работят“ най-добре?

Статистиката на Sophos показва, че сензацията не работи, когато стане дума за фишинг. Най-ефективни са заглавията, свързани със скучни ежедневни задачи и засягащите ги услуги. Такъв пример е заглавието [JIRA] A task was assigned to you, което е изключително ефективно: над 38% от потребителите кликат върху заложения в съобщението линк.

Друг пример е Let’s meet next week, което е обичайно заглавие за предложение за бизнес среща.

Резултатите от проучването на Sophos показват, че макар компаниите да се въоръжават с нови инструменти за борба с киберзаплахите, тя все още не могат да се справят ефективно с фишинга. „Изводът е, че трябва да сме внимателни. Дори и най-тривиално изглеждащите имейли могат да крият в себе си заплаха“, коментират от фирмата.

Ето и кои са десетте заглавия, които карат най-много потребители да станат жертва на фишинг.

 

Заглавие на фишинг съобщението	% от потребителите, които са кликнали
[JIRA] A task was assigned to you	38.50%
Let’s meet next week	29.10%
Harassment Awareness Training	26.01%
Car lights left on	24.61%
eFax message from (CustomerName) – 2 page(s)	23.55%
Traffic Citation for (EmailFirstName)(EmailLastName)	21.95%
In areas for driving on toll road	21.36%
Suspicious male spottedoutside (CustomerName) Building	20.44%
PLEASE READ – Annual Employee Survey	18.55%
New Email System at (CustomerName) – Please Read	18.48%
	Източник: Sophos

Хакери са източили почти 1 млн. долара от неправителствената организация Save the Children Federation чрез измама със служебен имейл. Te са успели да получат достъп до електронната поща на служител в Save the Children Federation и са наредили плащания към фиктивна организация, посочва Boston Globe.

Организаторите на атаката са изготвили фалшиви фактури и документи, които са изпратили от хакнатата електронна поща. Така те са заблудили Save the Children Federation, че трябва да направи плащане от близо 1 млн. долара към фиктивна организация в Япония. Тя трябвало да използва парите, за да купи соларни панели за здравни центрове в Пакистан.

Измамата била достатъчно добрe замислена и Save the Children Federation действително направила плащането. Въпреки това организацията успяла да си възстанови по-голяма част от сумата, тъй като имала застраховка.

Save the Children Federation е американското звено на международната организация Save the Children International, която се занимава с благотворителна дейност, свързана с подпомагането на деца. Самата измама се е случила през май 2017 г.

Измамите със служебен имейл са сериозна заплаха за нституциите. ФБР оценява загубите от тях на 3.6 млрд. долара за периода между 2014 и 2018 г. Една от обичайните атаки е да се компрометира пощенска кутия на служител в организация и от негово име да се нареди плащане към сметка, управлявана от хакерите.

Този тип атака не изисква големи инвестиции или задълбочени технически познания. Това увеличава кръга от престъпници, които могат да я осъществят. Прочетете нашия списък със съвети как да се предпазите от измама със служебен имейл.

 

Световният пазар на крадени данни генерира 160 млрд. долара годишно според оценка на експерта по компютърни престъпления Майк Макгуайър. В това число влизат както големи информационни масиви – например списъци с данните на клиенти – така и данните на индивидуални потребители.

На нелегалните пазари за данни се продава всичко: от лични съобщения във Facebook до данни за достъп до сървъри. В повечето случаи цените са много достъпни и позволяват кражба на самоличност и пробив в информационната сигурност на една организация срещу съвсем скромна инвестиция.

Ценни данни за жълти стотинки

Има случаи, в които данни за достъп до критично важни информационни системи се продават на поразително ниски цени. Изследователите на McAfee посочват пример, в който данните за достъп до устройство на територията на американско летище се продават за едва 10 долара. Става дума за достъп през RDP (Remote Desktop Protocol), като данните за влизане в устройството са били откраднати и пуснати за продажба в един от нелегалните онлайн пазари UAS Shop.

„Атака срещу определена мрежа може да се окаже изключително лесна и евтина. Престъпници като авторите на рансъмуера SamSam например трябва да похарчат само 10 долара. Срещу това те получават данни за достъп през RDP, с които могат да заразят устройството с рансъмуер и да искат откуп от порядъка на 40 хил. долара. Това не е никак лоша възвращаемост на инвестицията“, коментира Джон Фокър от McAfee.

Лични документи, разплащателни инструменти

Цената на фалшив американски паспорт с откраднати лични данни може да достигне 2000 долара по данни на Experian. Фалшива диплома може да се купи за между 100 и 400 долара, а шофьорска книжка – за около 20 долара. Между 20 и 200 долара струват крадени данни за достъп до платежна услуга като PayPal.

В нелегалните онлайн магазини могат да се намерят и големи масиви лични данни като имейл адреси, телефонни номера, физически адреси и други. Според Trend Micro цената на списък с мобилни номера може да струва до 1240 долара, а списък със стационарни номера – около 1930 долара.

Откраднати данни от Facebook

През ноември 2018 г. BBC съобщи за данни от 81 хил. хакнати Facebook профили, които се продават в интернет. Данните са предимно лични съобщения между потребители. Допълнителна проверка установи и данни от 176 хил. профили като например имейли и телефонни номера.

През септември 2018 г. данните на 29 млн. потребители на Facebook бяха откраднати след атака срещу социалната мрежа. Откраднатите данни включват имена, телефонни номера, имейл адреси, пол, религия, местоживеене, рожденна дата, образование, месторабота, места, на които потребителят се е тагнал и други.

Как да се предпазите от кражба на лични данни

Няма пълна защита от кражбата на лични данни, но има мерки, които можете да предприемете, за да намалите рисковете.

• Научете се да разпознавате и предпазвате от фишинг
• Използвайте силни пароли и ги сменяйте често
• Използвайте двуфакторна автентикация
• Инсталирайте защитна стена;
• Използвайте софтуерно решение, което защитава от източване на лични данни;
• Не използвайте уебсайтове без SSL;
• Създайте политики за достъп до информация във вашата организация;
• Използвайте софтуерно решение за криптиране на данните;

Нова спам кампания с банковия троянец DanaBot инжектира зловреден код в популярни уебмейл продукти като RoundCube и Horde. Това позволява на малуера да се разпространява до контактите в заразените пощенски кутии.

Според анализаторите на ESET това е нова функционалност в DanaBot, която позволява да се нанесат по-големи поражения в сравнение с преди. „Изследването ни показва, че DanaBot има много по-широк обхват от типичния банков троянски кон. Хората, които го управляват добавят постоянно нови функции, тестват различни вектори за заразяване и вероятно си сътрудничат с други компютърни престъпници“, коментират от ESET.

Основната цел на DanaBot е да събере информация за достъпа до онлайн банкиране на заразените потребители. Експертите на ESET са забелязали, че обновената версия на малуера може да инжектира JavaScript код в пощите на потребителите, които използват уебмейл услуга, базирана на Roundcube, Horde и Open-Xchange. Кодът събира имейлите от списъка с контакти на потребителя и ги изпраща до команден сървър.

Ако имейл услугата е базирана на Open-Xchange, кодът може да изпраща имейли до тези контакти от името на заразения потребител. Изпратените зловредни имейли са като отговор на вече получени писма. Тази тактика увеличава вероятността имейлите да бъдат отворени. Имейлите съдържат зловреден PDF файл, в който е скрит VBS скрипт. Той задейства свалянето на малуера.

Според ESET кампанията е насочена предимно към държавни и частни организации в Италия. DanaBot обаче е бил засичан в кампании, таргетиращи потребители в редица други страни като Австралия, САЩ, Германия, Австрия, Полша и Украйна.

След като инфектира устройството, DanaBot започва да следи онлайн активността на потребителя и по-точно порталите за онлйан банкиране. Новата версия на малуера се отличава и с това, че съдържа функция за инфектиране с друг малуер – GootKit.

Това е нетипично, защото GootKit, за който се знае от 2014 г. насам, досега се използваше самостоятелно само от една хакерска група. „Това е първият случай, в който виждаме DanaBot да дистрибутира друг малуер. Досега DanaBot се управляваше от затворена група хакери. Същото важи за GootKit, който се използва само от една определена група хакери и не се продава в нелегалните форуми“, посочват от ESET.

Последен ъпдейт на 12 декември 2018 в 04:56 ч.

Социалните мрежи събират огромно количество лични данни за потребителите си. Достатъчно е да дадем за пример Facebook, която знае почти всичко за вас: кои са приятелите ви, какви са вашите интереси, какви са религиозните и политическите ви възгледи, какви места сте посещавали, кои са най-важните събития в живота ви.

Съгласно GDPR всяка компания, която събира лични данни за европейски граждани, трябва да им даде възможност да поискат копие от тези данни (и да им го предостави, когато си го поискат). Компаниите, които управляват социални мрежи, не са изключение. В съответствие с GDPR те дават възможност на всеки потребител да изтегли копие от личните си данни, които социалната мрежа е събрала за него.

В тази статия ще разгледаме как потребителите могат да свалят копие на личните си данни от 4 от най-популярните социални мрежи в света.

Facebook

Хегемонът в социалните мрежи е вероятно най-голямата база данни за хора в света. Както показва скандалът с Cambridge Analytica, данните от Facebook могат да се използват дори за манипулиране на избори и вземане на важни за обществото решения като Brexit. Социалната мрежа има информация за събития, места, приятели, интереси на своите потребителите. А в някои случаи – дори с кого са си говорили по телефона.

Ето как да видите с какви данни за вас разполага Facebook.

От основното меню във вашия профил (триъгълната икона в горния десен ъгъл) изберете:

Settings > Your Facebook Information > Download Your Information > View

Тук можете да направите фини настройки на данните, които искате да свалите: например формат, качество на снимките, изобор на данни само за определен период. Потвърдете избора си с Create File.

Ще получите известие, когато файлът с вашите данни е готов за сваляне. За да го изтеглите, отидете в:

Settings > Your Facebook Information > Download Your Information > Available Files > Download

Ще трябва да въведете паролата си за Facebook, преди свалянето да започне.

Instagram

Instagram държи архив с вашите снимки, видеа, истории, харесвания, съобщения. В събраните за вас данни има също информация за нещата, които сте търсили в социалната мрежа, вашите коментари и контакти.

Влезте в настройките на вашия Instagram профил (зъбчатото колело) и изберете:

Privacy & Security > Data Download > Request Download

На този етап Instagram ще поиска да въведете имейл адрес, на който да изпрати линк към вашите данни, както и да напишете паролата си за достъп до вашия Instagram профил.

Ще получите имейл, от който можете да свалите копие на данните си.

LinkedIn

LinkedIn събира на едно място голяма част от професионалния ви живот. Данните включват вашите професионални умения, телефонни номера, заемани длъжности, интереси, говорими езици, проекти, в които сте участвали, и много друга информация (пълен списък на данните има тук).

Влезте в профила си в LinkedIn и изберете иконката Me (в горния десен ъгъл, с вашата профилна снимка). От там изберете:

Settings & Privacy > Privacy > How LinkedIn uses your data > Change

Можете да избирате какви категории данни искате да получите: например контакти и връзки с други потребители, съобщения, препоръки, покани, информация от профила и т.н. Потвърдете избора си с Request Data. Ще трябва да въведете паролата си за достъп до LinkedIn. данните се изпращат с два имейла – първият съдържа основната информация в профила, а вторият – други данни като например коментари в групи или мобилни устройства, на които е активирано LinkedIn приложение с вашия профил.

Twitter

Twitter дава възможност да изтеглите копие на данните от вашия профил; съобщенията, които си обменяте с други потребители, медийни файлове, които сте качили, списък на последователите ви. Информацията включва и списъци, които сте създали или в които участвате, информацията за интересите ви; също и рекламите, които сте видели или кликнали.

За да свалите данните, натиснете иконата на профила си и изберете:

Settings and privacy > Your Twitter archive > Request your archive

Google

Търсачката Google и множеството продукти, които притежава – сред които са сайтът за видеосподеляне Youtube и браузърът Chrome – също пази огромен архив от данни за потребителите си. Можете да свалите копие от данните, които Google притежава за вас.

Личните данни на около 100 млн. потребители на сайта за въпроси и отговори Quora са били компрометирани. Една от информационните системи на компанията, която поддържа сайта, е била пробита от неизвестна засега трета страна, съобщи Quora в блога си.

„Голяма част от съдържанието, което е достъпено, така или иначе е публично, но компрометирането на акаунти и лични данни е сериозно“, коментират от Quora. сайтът се посещава от около 300 млн. уникални потребители месечно. Няма официална статистика каква част от тях са българи.

Всички засегнати потребители ще трябва отново да влязат в профилите си в Quora. Ако удостоверяват самоличнотта си с парола (Quora позволява да се впишат в платформата и с профила си във Facebook или Google), те ще трябва да сменят паролата си, тъй като старата ще бъде невалидна.

Какви данни са откраднати

От компанията посочват, че следните потребителски данни може да са компрометирани:

• Данни за профила – име, имейл адрес, парола в хеширан вид, данни от свързани социални мрежи;
• Публично достъпна информация – зададени въпроси, написани отговори и коментари, положителни гласувания;
• Непублична информация – отрицателни гласувания и директни съобщения между потребители;

„Анонимни въпроси и отговори не са засегнати, тъй като не пазим данни за хора, които публикуват анонимно“, посочват от Quora.

Каква е причината

Засега няма информация как точно са достъпени данните на потребителите на Quora. Пробивът е открит в петък и от тогава компанията се опитва да установи точните причини за него. „Разследването ни продължава, но сме взели мерки, за да ограничим последствията от пробива. Основен приоритет за нас като компания е да предотвратим подобни инциденти в бъдеще“, казват от Quora.

Какво да направите, ако използвате Quora

Ако профилът ви е засегнат по някакъв начин, ще получите имейл, който ви известява за това.

Възможно е паролата ви административно да е направена невалидна. В такъв случай ще трябва да я смените следващия път, когато се опитате да влезете в Quora. Дори и паролата ви да не е невалидна, можете да я смените като превантивна мярка от настройките на профила.

Ако профилът ви е засегнат и използвате същата парола и за други профили, добрата практика изисква да промените паролата си и за тях.

Последен ъпдейт на 4 декември 2018 в 11:14 ч.

Oператорът на хотели Starwood е претърпял пробив на базата данни с резервации, съобщи собственикът Marriott International. Откраднати са лични данни на около 500 млн. гости, въпреки че все още се проверява каква част от тях се дублират.

Неизвестният засега извършител е имал достъп до базата данни от 2014 г., твърди Marriott International. Компанията придоби Starwood през 2016 г. На 19 ноември 2018 г. мениджмънтът на Marriott е разбрал, че е разбита базата данни, съдържаща информация за гостите на тези хотели.

Индикации за пробив е имало и преди това, но не е било ясна коя база данни е пострадала. За проблема са информирани властите и съответните регулатори.

Имена, адреси, номера на банкови карти

За около 327 млн. гости откраднатите данни са различни комбинации от име, адрес за кореспонденция, телефонен номер, имейл, номер на паспорт, рожденна дата, пол, дата на пристигане и заминаване и други.

„За някои от гостите информацията включва и номера на карти за разплащания, но те са криптирани с AES-128. За декриптирането им са необходими два компонента. Към този момент не можем да изключим вероятността тези компоненти да са откраднати. За останалите гости откраднаните данни се ограничават до име, адрес за кореспонденция, имейл адрес, или друга информация“, съобщават от Marriott.

„Дълбоко съжаляваме за този инцидент“, заяви Арни Сорънсън, главен изпълнителен директор на компанията. Акциите на Marriott, които се търгуват на NASDAQ, поевтиняха с 5% още преди отварянето на борсовата сесия в САЩ.

От 30 ноември компанията е започнала да информира за пробива гостите, чиито имейли са били в базата данни на Starwood. Съзаден е и специален сайт, на който гостите могат да следят за информация и да задават въпроси.

Един от сериозните инциденти на 2018 г.

Инцидентът със Starwood със сигурност ще е един от най-големите пробиви на данни за 2018 г., ако се вземе предвид статистиката на Breach Level Index. През първото полугодие на годината има само два по-мащабни пробива.

Единият е свързан с Facebook и по-точно с функционалност в социалната мрежа, която позволяваше да се идентифицира собственикът на определен имейл или телефонен номер. Другият засяга индийската система за раздаване на идентификационни номера Aadhaar. Тя беше хакната, а данните на 1.2 млрд. граждани – откраднати.