кибератаки

  • Киберизмамници подлъгват българските потребители с фалшиви съдебни призовки

    Нова фишинг измама залива електронните пощи на българските потребители. Имейлите в нея са маскирани като съдебни призовки, които съдържат обвинения за разпространение на дестка порнография.

    Те информират потребителя, че „идентификационните данни и IP адресът му“ са включени в материалите от разследване и той има 72 часа да реагира. Целта на измамниците в случая не е директно да откраднат данни, а да принудят жертвата им да влезе в контакт с тях. След това възможностите са много – от изнудване до искане на пари за технологична експертиза. Разбира се, фалшива.

    В случая има много аспекти на „призовката“, които сигнализират за измама. Начинът на изписване на имената, подробностите в текста, разминаването на печата в края с дирекцията изпращач и т.н. Но хакерите се учат бързо, така че следващата кампания от този тип може да бъде значително по-изпипана.

    За да не станете жертва:

    • никога не кликвайте върху линкове в подобни имейли;
    • винаги проверявайте електронния адрес на подателя;
    • свържете се директно с институцията, която се предполага, че изпраща призовката, и потърсете информация;
    • не се поддавайте на внушения за спешност и призивите за бърза реакция.
  • Отвъд имейла: Фишинг атаките вече ни дебнат и през приложенията за Android

    Ако доскоро любимият вектор за фишинг атаките беше електронната ни поща, то вече това не е така. Нападателите все по-често таргетират своите жертви през други канали.

    Според доклада 2025 State of Malware през 2024 доставчикът на киберсигурност Malwarebytes е открил повече от 22 800 фишинг приложения за Android. 5200 от тях могат да заобиколят MFA и да прочетат текстовите съобщения, изпратени до дадено устройство. Други 4800 могат дори да откраднат информация от лентата „Известия“.

    Маскирайки се като легитимни приложения – дори като TikTok, Spotify и WhatsApp – фишинг софтуерите за Android подмамват потребителите да въведат потребителски имена и пароли. Тези данни след това се продават в Dark Web, а щетите могат да бъдат огромни – финансови измами, кражба на идентичност, шпиониране и т.н.

    Други са маскирани като видеоигри или помощни програми. Те обикновено искат потребителите да ги свържат с акаунти в социалните мрежи, за да функционират.

    За да се предпазите от фишинг приложения за Android:

    • използвайте софтуер за мобилна сигурност, който открива и спира инсталирането на фишинг приложения за Android;
    • преди да изтеглите някое приложение, погледнете броя на отзивите. Малкият брой отзиви може да е сигнал за приложение-примамка;
    • теглете приложение само от официални магазини като Google Play Store;
    • използвайте мениджър на пароли, за да създавате и управлявате уникални входни данни за всеки отделен акаунт. По този начин ако една парола бъде открадната, тя не може да бъде използвана за отваряне на други онлайн акаунти;
    • използвайте MFA за най-чувствителните си акаунти, включително финансовите, електронната поща, социалните медии.
  • По-опасни фишинг атаки: Киберпрестъпниците взимат на въоръжение графичните файлове

    Киберпрестъпниците използват все повече графични файлове за разпространение на злонамерени връзки и зловреден софтуер по време на фишинг атаки по имейл.

    Тактиката е разработена така, че да заобикаля конвенционалните инструменти за защита на крайни точки или поща, предупреждава в новото си проучване на Sophos.

    Нападателите използват графичния файлов формат scalable vector graphics (SVG). SVG съдържа текстови инструкции, подобни на XML (Extensible Markup Language), за да се изготвят векторни изображения с променящ се размер на компютъра. Някои антиспам инструменти не считат SVG за заплаха, тъй като те са предназначени за графичен файл.

    Предимствата, които SVG файловете предоставят на хакерите, включват:

    • отварят се в браузъра по подразбиране на компютри с Windows;
    • могат да съдържат анкерни маркери, скриптове и други видове активно уеб съдържание. Това позволява на нападателите да включат линкове, които водят към уеб страница, хоствана на друго място;
    • могат да се използват за рисуване на различни форми и графики, което позволява на нападателите да се представят за широк кръг субекти;

    Според Sophos нападателите използват множество теми и примамки, за да подмамят мишените да кликнат върху зловредни SVG изображения. Те включват гласови съобщения, договори, потвърждение за плащане и записване за здравни услуги и обезщетения. Атаките също така се представят за редица добре познати марки и услуги, включително DocuSign, Microsoft SharePoint, Dropbox и Google Voice.

  • Eвропейският финансов сектор e изправен пред „непосредствена“ квантова заплаха

    Секторът на финансовите услуги в Европа трябва да започне да планира прехода си към квантово-безопасна криптография. Рискът от атаки от типа store now, decrypt later (SNDL) нараства, предупреди Европол.

    Очаква се след време квантовите компютри да могат да разбият системите с асиметрично криптиране. Понастоящем това е начинът за защита на глобалните финансови транзакции, процесите на удостоверяване и цифровите договори.

    Тези машини все още се смятат за отдалечени поне на десетилетие. SNDL атаките обаче скъсяват този график, ако хакерите вече крадат чувствителни данни с цел да ги декриптират по-късно.

    Възможно е също така, с вливането на повече средства в областта, научните пробиви да ускорят появата на т. нар. „криптографски значими квантови компютри“ (CRQC).

    Европол прави няколко препоръки в своя „Призив за действие“:

    • Финансовите институции и създателите на политики трябва да дадат приоритет на прехода към квантово-безопасна криптография;
    • Трябва да се подобри координацията между различните заинтересовани страни, включително съгласуване на пътните карти, целите и стратегиите за изпълнение;
    • Доброволна рамка, създадена между регулаторните органи и частния сектор, ще бъде достатъчна за стимулиране на инициативи и стандартизация в областта на квантово-сигурната криптография;
    • Необходима е ориентирана към бъдещето рамка за управление на криптографията;
    • От съществено значение е и повече трансгранично сътрудничество и обмен на знания между органите от публичния и частния сектор.

    Финансовите услуги остават популярна цел за участниците в заплахите. Доклад на Contrast Security от миналата седмица разкри, че 64% от банките са преживели атаки през предходната година, като повече от половината (54%) твърдят, че данните им са били унищожени.

    Докато чакат появата на CRQC, организациите трябва да използват най-новите стандарти за криптиране заедно с традиционните за известно време, за да изгладят прехода.

  • Мощна глобална Brute-force кампания таргетира мрежовите устройства на водещи производители

    Активна широкомащабна Brute-force атака от почти 2,8 милиона IP адреса се опитва да отгатне идентификационните данни за широк набор от мрежови устройства. Сред целите ѝ са такива на Palo Alto Networks, Ivanti и SonicWall.

    Според платформата за наблюдение на заплахите The Shadowserver Foundation тя е активна от миналия месец. Най-много IP адреси, впрегнати в кампанията, има в Бразилия (1,1 млн.), следвана от Турция, Русия, Аржентина, Мароко и Мексико. Като цяло в нея участват такива от много голям брой държави.

    Устройствата, които извършват тези атаки, са предимно рутери и IoT на MikroTik, Huawei, Cisco, Boa и ZTE. Продуктите на тези компании често биват компрометирани от големи ботнет мрежи със злонамерен софтуер.

    За да ограничите уязвимостта на вашите системи към Brute-force атаки:

    • задължително сменете администраторската парола по подразбиране със силна и уникална комбинация;
    • активирайте MFA;
    • създайте списък на позволени доверени IP адреси;
    • деактивирайте уеб администраторските интерфейси, ако не са необходими.

    Прилагането на най-новите актуализации на фърмуера и сигурността на тези устройства е от решаващо значение за премахване на уязвимостите.

  • Добра новина: Все по-малко бизнеси плащат откупи след ransomware пробив

    Плащанията на откупи след ransomware атаки намаляват с 35% на годишна база през 2024. В глобален мащаб те възлизат на 813,55 млн. долара в сравнение с 1,25 млрд. долара, регистрирани през 2023.

    Миналата година е счупен рекорда за най-голяма платена сума – 75 000 000 USD, изчисляват в последния си доклад от Chainalysis. Като цяло обаче само около 30% от жертвите, участвали в преговори с нападатели, в крайна сметка са им платили някакъв откуп.

    Според NCC Group 2024 е била годината с най-голям обем на пробиви на ransomware, като са отчетени 5 263 успешни атаки. Намаляването на плащанията за откуп въпреки по-големия брой кампании се обяснява с няколко ключови фактора – най-вече с по-високата устойчивост на жертвите.

    Плащането на откуп след ransomware атака не се препоръчва заради няколко основни причини:

    • няма гаранция за възстановяване на данните;
    • показва на нападателите, че организацията е склонна да плаща, което я прави мишена за бъдещи атаки;
    • плащането на откуп подпомага престъпната дейност и насърчава хакерите да продължат с атаките си срещу други организации.

     

     

  • Фишинг кампания с имейли за нарушаване на авторски права подмамва българските потребители

    Нова фишинг кампания от името на адвокатски дружества таргетира потребителите с имейли, съдържащи предупреждения за нарушаване на авторски права.

    Според Дирекция „Киберпрестъпност“ към ГДБОП-МВР те разпространяват „троянски кон“, даващ на нападателите достъп до компютърната система на жертвата.

    Измамниците използват реални имена и лога на български адвокатски дружества. Имейлите обикновено са озаглавени: „Уведомление за нарушение на авторските права върху търговска марка“ или „Предупреждение за неразрешено използване на търговска марка“.

    Не отваряйте подобни елетронни писма. Ако все пак влезете от любопитство, в никакъв случай не отваряйте линковете или прикачените файлове към тях.

  • 2024: 54% от финансовите институции са станали жертви на кибератаки, при които са унищожени данни

    54% от глобалните финансови институции са били подложени на кибератаки, при които са били унищожени данни, през миналата година.

    Според Modern Bank Heists Report 2025 на Contrast Security това представлява увеличение от 12,5% на т.нар. destructive attacks спрямо 2023. Унищожаването на данни обаче не е насочено само към саботажи и прекъсване на услугите. То се прави и за да се прикрият следи.

    Деструктивните варианти на злонамерен софтуер целят да унищожат, нарушат или влошат работата на системите на жертвите. За целта те предприемат действия като криптиране на файлове, изтриване на данни, унищожаване на твърди дискове, прекратяване на връзки или изпълнение на злонамерен код.

    Останалите заключения в доклада сочат, че:

    • 64% от анкетираните признават, че тяхната институция е била обект на киберинциденти през изминалата година;
    • облачните среди и API са двата най-често срещани вектора на атаки;
    • за 71% от респондентите Zero day заплахите са най-голямата грижа по отношение на защитата на приложенията и API.

    Унищожаването на данни не е единственият проблем, свързан с киберсигурността на финансовия сектор. Около 2/3 от анкетираните заявяват, че нападателите се опитват да откраднат непублична пазарна информация. След това тя се продава с цел борсови манипулации.

    Други 48% са регистрирали увеличаване на броя на случаите на превземане на клиентски сметки. 43% пък са претърпели атака от типа island hopping. При нея хакерите използват неоторизиран достъп до банката жертва, за да атакуват нейни клиенти и партньори.

    За да се защитят, финансовите институции трябва да:

    • наблюдават постоянo API за поведенчески аномалии;
    • внедрят ADR, за да блокират атаките в самото начало и улавят уязвимостите в приложенията и API.

     

  • Инструменти за разработчици на DeepSeek в PyPI разпространяват Infostealer

    Киберпрестъпниците се възползват от нарастващата популярност на DeepSeek, за да популяризират два зловредни софтуера от типа infostealer в Python Package Index (PyPI). Те са представяни като инструменти за разработчици за платформата за изкуствен интелект.

    Техните наименования са „deepseeek“ и „deepseekai“ по името на китайския разработчик на модела R1, който наскоро отбеляза стремително нарастване на популярността. Пакетите са качени от акаунт, създаден през юни 2023, който няма предишна активност.

    След като се изпълни на машината на разработчика, зловредният полезен товар краде потребителски и системни данни, API ключове и токени за достъп до инфраструктурата. Нападателите биха могли да ги използват за достъп до облачни услуги, бази данни и други защитени ресурси, използвани от него.

    Deepseeek 0.0.8 и deepseekai 0.0.8 са качени в PyPI на 29 януари 2025 г. Оттогава са изтеглени от 222 разработчици от различни държави.

    Потребителите, които са използвали тези пакети, трябва незабавно да променят своите API ключове, токени за удостоверяване и пароли. Всички облачни услуги, чиито идентификационни данни са били откраднати, също трябва да бъдат проверени, за да се потвърди, че не са били компрометирани.

  • Кампания с шпионски софтуер таргетира потребителите на WhatsApp! Действайте бързо, за да останете защитени

    Meta потвърди официално, че потребителите на WhatsApp са били подложени на сложна хакерска атака с шпионски софтуер. Тя е особено опасна, тъй като се извършва без каквото и да било взаимодействие с жертвата.

    Според компанията атаката „е насочена към редица потребители, включително журналисти и представители на гражданското общество“. Тя обхваща повече от 20 държави.

    Използваният шпионски софтуер, известен като Graphite, е разработен от базираната в Израел софтуерна компания Paragon Solutions. Неговите възможности са сравними с тези на световноизвестния Pegasus на NSO Group.

    След като телефонът е заразен с Graphite, операторът на шпионския софтуер има пълен достъп до него. Той може да чете дори съобщения, които се изпращат чрез криптирани приложения като WhatsApp и Signal.

    За да се защитите от подобна атака:

    • активирайте превантивните функции за сигурност като Lockdown Mode, ако сте потребител на iPhone;
    • поддържайте устройствата си с най-новата версия на операционната ви система;
    • проверявайте и ограничавайте разрешенията, които давате на приложенията. Особено тези, които искат достъп до чувствителна информация.
Back to top button