кибератаки

За да отговорят на очакванията на клиентите си за бързина и удобство, все повече фирми преминават към онлайн търговия. Те обаче не трябва да пренебрегват един нарастващ риск – кражбата на бизнес идентичност. Това важи с особена сила за B2B организациите. 

Наближаващият празничен сезон допълнително задълбочава този проблем. А фактът, че киберпрестъпниците стават все по-изобритателни, вдига неимоверно цената на потенциалните щети. 

Ето четири често срещани предизвикателства пред фирмите при кражба на идентичност и какво можете да направите, за да ги предотвратите. 

Кражбата на бизнес идентичност е сложен проблем 

Кражбата на бизнес идентичност често включва мащабни финансови измами, данъчни проблеми и манипулиране на веригата за доставки.  

Една от най-простите и често срещани тактики е подмяната на електронна поща. При нея престъпниците се представят за легитимен бизнес имейл. Те се стремят да измамят компаниите да прехвърлят средства или да изпратят стоки, като се представят за доверен партньор.  

Друга тактика е използването на фиктивни компании, които престъпниците създават и оставят да „остареят“, за да изглеждат легитимни. Някои от тях използват и неактивни, но реални фирми, за да придадат достоверност на схемите си.  

За да изпреварите тези тактики, можете да разчитате на модерни технологии като AI и машинно обучение. Те могат да следят за необичайно поведение и да откриват измамите, преди да са нанесли щети. 

Нарастващи разходи и финансови последици 

Кражбата на бизнес идентичност води до тежки финансови последици – от преките загуби до разходите за възстановяване на откраднатите средства. За съжаление, много предприятия успяват да възстановят само малка част от загубеното.  

С нарастващата сложност на тези престъпления възстановяването става все по-трудно и скъпо. За да се защитите, инвестирайте в надеждни решения за сигурност. 

Увреждане на репутацията и дългосрочни последици 

Последиците от кражбата на бизнес идентичност надхвърлят финансовите загуби. Когато се случи измама, тя може да разклати доверието на клиентите, партньорите и доставчиците и да подкопае доверието в бизнеса ви.  

След като дадена фирма веднъж е станала мишена, тя може да бъде изправена пред повторни атаки. Откраднатите данни често се препродават и използват повторно дори години по-късно.  

В някои случаи могат да последват правни или регулаторни санкции, което допълнително натоварва репутацията ви. Възстановяването може да отнеме години, а за някои предприятия загубеното доверие често никога не се възстановява напълно.  

Решаването на проблема с кражбата на идентичност е свързано не само с предотвратяването на непосредствени загуби. Трябва да имате постоянен фокус върху киберсигурността като критична част от вашия бизнес. 

Балансиране на сигурността и клиентския опит 

Фирмите трябва да намерят деликатен баланс между повишаването на сигурността и поддържането на безпроблемно обслужване на клиентите.  

Добавянето на допълнителни нива на сигурност, като MFA например, може да забави процеса на трансакциите. Пренебрегването на тези предпазни мерки обаче оставя бизнеса с широко отворени за атаки врати.  

Често срещана защитна мярка е ограничаването на локациите за доставка до проверени бизнес адреси, свързани с конкретни имейли. Но нападателите могат да излъжат притежател на такъв, да получат достъп и да правят поръчки от него. 

Предизвикателството тук е мерките за сигурност да се интегрират по начин, който не пречи на клиента. Можете да използвате системи за откриване на измами, които работят във фонов режим, без да пречат на покупките.  

Намерете точния експерт за предотвратяване на измами 

Борбата с измамите изисква много работа. Затова фирмите могат да се възползват от партньорства с външни експерти. Специалистите по киберсигурност предоставят експертните знания и инструменти, необходими за предпазване от нововъзникващи заплахи. В същото време компаниите могат да се съсредоточат върху основните си бизнес операции.  

Използването на външни доставчици за вземане на решения в реално време, оценка на риска и наблюдение на трансакциите помага на фирмите да останат една крачка пред измамниците.  

Хакерите атакуват машини с Windows, като маскират вирусите с разширението ZIP. По този начин те доставят зловредни товари в компресирани архиви, а решенията за сигурност не успяват да ги засекат. 

Откритието е на компанията за киберсигурност Perception Point, която засича „троянски кон“ в архивен файл по време на анализ на фишинг атака. Прикаченият файл е маскиран като RAR архив, а зловредният софтуер е използвал скриптовия език AutoIt, за да автоматизира злонамерени задачи. 

Атаката протича така: 

• подготовка, при която нападателите създават два или повече отделни ZIP архива и скриват зловредния полезен товар в един от тях; 
• отделните файлове се обединяват в един свързан архив; 
• въпреки че крайният резултат изглежда като един файл, той съдържа множество ZIP структури, всяка със собствена централна директория; 

Следващата фаза на атаката разчита на начина, по който различните софтуери обработват архивите. В зависимост от поведението на конкретното приложение хакерите могат да прецизират стратегията си.  

За да се защитите от подобна атака, използвайте решения за киберсигурност, които позволяват контролирано разархивиране на файлове. Но най-сигурно е винаги да подхождате с подозрение към имейлите с прикачени ZIP или други типове архиви. 

Зловредният софтуер за Android FakeCall вече може да пренасочва изходящите обаждания на потребителите до техните банки към телефонен номер на нападатели. По този начин те стават уязвими както за кражба на чувствителна информация, така и на пари от банковите им сметки. 

FakeCall е инструмент за вишинг с фокус върху банките. Чрез него атакуващите имитират обаждания от официални банки и искат жертвите да споделят критични данни. В допълнение към вишинга, FakeCall може да улавя аудио- и видеопотоци на живо от заразените устройства, което позволява на нападателите да крадат чувствителни данни без взаимодействие с жертвата. 

В най-новата версия, анализирана от Zimperium, зловредното приложение се зарежда като оператор за обаждания по подразбиране. За да се случи това, то иска от потребителя да одобри промяната при инсталирането му чрез APK за Android. Когато зловредният софтуер бъде зададен като обработчик на повиквания по подразбиране, той получава разрешение да прихваща и манипулира изходящи и входящи разговори.  

FakeCall успешно имитира действителния Android dialer, което прави трудно разкриването му.  

Zimperium публикува списък с индикатори за компрометиране, но те могат да се променят постоянно. Така че ви съветваме да избягвате ръчното инсталиране на приложения за Android чрез APK файлове и вместо това да ги инсталирате от Google Play. Макар че зловредният софтуер може да проникне в магазина на Google, когато бъде открит, той се премахва от Google Play Protect. 

Известната група за ransomware атаки Black Basta е разширила тактиките си за социално инженерство с чат съобщения в Microsoft Teams и злонамерени QR кодове. Чрез тях тя улеснява първоначалния достъп до таргетираните системи, за да може впоследствие да получи неоторизиран достъп до чувствителни данни на организациите. 

Според компанията за киберсигурност ReliaQuest новият тип фишинг атака протича така: 

• нападателите добавят целевите потребители към чатове с външни акаунти, използващи Entra ID. Те са маскирани като служители на отдела за поддръжка или администратори; 
• в рамките на тези чатове целевите потребители получават QR кодове. Домейните, използвани за тази фишинг дейност, са пригодени да съответстват на конкретната организация; 
• QR кодовете насочват потребителите към зловредна инфраструктура. Това полага основите за последващи техники за социално инженерство и внедряване на инструменти за дистанционно наблюдение и управление. 

За да се защитите от тази развиваща се заплаха: 

• деактивирайте комуникацията от външни потребители в рамките на Microsoft Teams или я ограничете до определени доверени домейни; 
• въведете агресивни политики за борба със спама в рамките на инструментите за сигурност на електронната поща; 
• активирайте задължителната регистрация за Microsoft Teams, особено за функцията ChatCreated; 
• инструктирайте служителите си да бъдат бдителни срещу потенциални кампании за социално инженерство; 
• осигурете постоянно обучение и програми за повишаване на осведомеността относно най-новите тактики за фишинг. 

 

 

UnitedHealth потвърди, че при ransomware атака срещу нейната дъщерна компания Change Healthcare са били откраднати личните и здравните данни на над 100 милиона души. Това е най-големият пробив в сектора на здравеопазването в историята. 

Откраднатите данни включват здравноосигурителна информация, медицински досиета, диагнози, резултати от тестове, финансова и банкова информация, номера на шофьорски книжки и лични карти и др. 

Атаката през февруари беше извършена от бандата BlackCat ransomware, известна още като ALPHV. Тя използва откраднати идентификационни данни, за да пробие услугата за отдалечен достъп Citrix на компанията. По време на атаката нападателите са откраднаха 6TB данни и криптираха компютрите в мрежата. 

UnitedHealth Group призна, че е платила искания откуп, за да получи ключа за декриптиране. Предполага се, че той е бил в размер на 22 млн. долара. Освен това компанията разкри, че атаката е причинила общи загуби на стойност 872 млн. долара. 

Ако не искате вашата фирма да попадне в ситуацията на UnitedHealth:  

• спазвайте стратегията за съхранение на данни 3-2-1: 3 отделни копия на данните, съхранявани на 2 различни места, и 1 копие офлайн;  
• проверявайте редовно резервните копия, за да сте сигурни, че работят правилно;  
• поддържайте всички свои софтуери, особено тези за защита и създаване на резервни копия, актуализирани;  
• използвайте софтуери за киберсигурност;  
• въведат стриктен контрол на достъпа до своите системи и хранилищата на резервни копия чрез инструменти за автентикация и оторизация;  
• провеждайте постоянно обучения по киберсигурност на служителите си. 

Кампания на известната хакерска група Lazarus Group разкри нова уязвимост в Google Chrome. Хакерите са използвали zero-day експлойт и инструмента Manuscrypt, за да поемат пълен контрол над заразените системи. 

Тази кампания се отличава от досегашните атаки на групата срещу правителства, финансови институции, платформи за криптовалути и др., тъй като е насочена директно към физически лица. 

От компанията за сигурност Kaspersky са проследили кампанията до фалшив уебсайт – detankzone.com – който се представя за легитимна DeFi гейминг платформа. Играта, рекламирана като NFT мултиплейърна онлайн арена за битки, се оказва фасада за зловреден код. Посетителите задействат експлойта просто като достъпват сайта през Chrome.  

Той е насочен към нововъведена функция във V8 JavaScript енджина на Chrome. Уязвимостта позволява на нападателите да заобиколят механизмите за сигурност на браузъра и да получат дистанционен контрол над засегнатите устройства.  

Хакерски групи като Lazarus продължават да усъвършенства атаките си, използвайки социално инженерство, zero-day eксплойти и легитимно изглеждащи платформи. Затова потребителите трябва да са много внимателни в какви сайтове влизат. Както се вижда от този случай, понякога е достатъчно само да посетите определена страница, за да станете жертва.  

Последиците могат да бъдат изключително сериозни. Само си помислете какво може да означава за вас някой да поеме пълен контрол над компютъра ви. 

Все повече организации обмислят пълномащабната интеграция на системи с изкуствен интелект (AI). В малко от тях обаче в този процес са въвлечени екипите за киберсигурност.

45% от респондентите в ново проучване на ISACA посочват, че не участват в разработването, внедряването или прилагането на решения за AI. В същото време едва 35% от 1800 специалисти казват, че участват в разработването на подобни решения и политики.

AI се използва от различни звена в една организация, а хакерите вече разработват набори от инструменти за използването му като входна точка за кибератаки. Така че тази тенденция крие много рискове, между които:

• отравяне на данни, което компрометира процеса на обучение на AI;
• вграждане на „задни вратички“ в моделите, които позволяват неоторизиран достъп впоследствие;
• атаки към компонентите, участващи в разработването и внедряването на AI модели;
• кражба на модели, при която нападателите използват слабостите на системата, за да деактивират защитните ѝ механизми.

Затова е задължително киберсигурността винаги да бъде основна част от процеса на имплементация на подобни системи.

 

 

Български потребител поръчва чаша от САЩ. След известно време получава SMS с линк, който го препраща към сайта на куриерска фирма. Там той плаща 2,50 лв., за да да освободи пратката си от митницата. Сайтът обаче се оказва фалшив, а от сметката му липсват 1000 лева.

Този тип киберизмами стават все по-често срещани в България и засягат както крайни потребители, така и фирми. За това предупреди пред BTV Комисар Светлин лазаров от отдел „Киберпрестъпност“ на Главна дирекция „Борба с организираната престъпност“ към МВР.

По думите му те са лесни за реализиране, защото хората трудно разбират какво точно отварят на малките екрани на смартфоните си. Още повече, че често тези фалшиви страници са добре направени, написани на добър български език и съдържат официалното лого на някоя куриерска фирма.

Обикновено фалшивите сайтове приканват потребителите да въведат чувствителни данни като номер на сметката и CVC код. Ако го направят, те дават възможност на киберизмамниците да верифицират всяка една трансакция от тяхно име.

За да не станете жертва на подобна измама, винаги проверявайте задълбочено всяка страница, изискваща въвеждането на чувствителна информация.

Също така имайте предвид, че при поръчка от чужди сайтове митническата такса в повечето случаи е включена в цената. Ако все пак се наложи да освободите пратка лично, това се случва единствено чрез официалния портал на Агенция „Митници“.

От юни 2024 досега хакери са проникнали в над 6000 сайта в WordPress в рамките на най-новата версия на кампанията за социално инженерство ClickFix.

Тя инсталира злонамерени плъгини, показващи фалшиви предупреждения за софтуерни грешки с включени поправки и покани за актуализация на браузъра. Въпросните „поправки“ и актуализации обаче са PowerShell скриптове, които инсталират зловреден софтуер за кражба на информация, предупреждават от хостинг компанията Go Daddy.  

Тези привидно легитимни плъгини са проектирани така, че да изглеждат безвредни за администраторите. Някои от тях използват имена, подобни на официални приставки като Wordfense Security и LiteSpeed Cache. 

По този начин вашият сайт може да се превърне в оръжие в ръцете на киберпрестъпници, без да имате ни най-малка представа. Съветваме ви, ако работите с WordPress, незабавно да прегледате списъка с инсталираните плъгини. Премахнете всички, които не сте инсталирали вие. 

Ако откриете подобни плъгини, трябва също така незабавно да смените паролата си за достъп до административния панел. 

 

Уязвимост в macOS позволява на нападателите да заобиколят технологията Transparency, Consent, and Control (TCC) на операционната система. По този начин те могат да получат неоторизиран достъп до защитени потребителски данни. 

Ролята на TCC е да не позволява на приложенията да получават достъп до лична информация – местоположение, камера, микрофон и изтегляния – без изричното одобрение на потребителя. Уязвимостта, наречена HM Surf, деактивира именно тази защита за директорията на браузъра Safari. 

След като от Microsoft Threat Intelligence откриват тази уязвимост, съобщават на Apple и тя е затворена в актуализациите за сигурност за macOS Sequoia от 16 септември. 

Широко разпространения зловреден софтуер за macOS Adload вече се е насочил към нея, така че инсталирайте актуализациите незабавно.