кибератаки

Последен ъпдейт на 17 март 2025 в 09:52 ч.

Откраднатите акаунти в WhatsApp подхранват мащабна престъпна дейност – от разпространение на спам до сложни измамни схеми. Ето защо те са постоянен фокус на киберпрестъпниците, които използват различни методи за тяхното превземане.

Нападателите обикновено поемат контрола върху акаунта ви в WhatsApp по два начина. Единият е да добавят ново устройство към акаунта ви чрез функцията Linked devices. Другият – да пререгистрират профила ви на своето устройство, сякаш сте си купили нов смартфон.

В първия случай вие продължавате да използвате приложението както обикновено, но престъпниците също имат достъп до него. Във втория – губите достъп до акаунта си, а когато се опитате да влезете, WhatsApp ви уведомява, че той се използва на друго устройство.

Признаци, че акаунтът ви в WhatsApp е компрометиран

Има няколко признака, че акаунтът ви вече може да е компрометиран. Това са:

• получавате отговори на съобщения, които никога не сте изпращали;
• приятелите ви се оплакват от странни съобщения, идващи от вас;
• забелязвате изтрити съобщения в чатовете, включително и от самите вас – въпреки че никога не сте изпращали или изтривали нищо там;
• получавате код за проверка на вход в WhatsApp, който не сте поискали или очаквали;
• вашият акаунт има статус или е публикувал истории, които не сте създавали;
• профилната ви снимка, името или описанието на профила ви са се променили неочаквано;
• добавени сте към чатове или групи, към които никога не сте се присъединявали;
• когато се опитате да влезете в профила си, WhatsApp ви информира, че той се използва на друго устройство и ви подканва да се регистрирате отново.

Обърнете специално внимание на първите три признака и действайте незабавно, ако ги забележите. Хакерите често използват компрометирани акаунти, за да измамят техните контакти. Те могат да се представят за вас, за да поискат спешна финансова помощ, да обещаят подаръци или да поканят хората да участват във фалшиви анкети.

Какво да направите, ако акаунтът ви в WhatsApp е бил хакнат

След като се уверите, че профилът ви в приложението е компрометиран, трябва веднага да предприемете действия. Петте стъпки включват:

1. Уверете се, че SIM картата, свързана с акаунта ви в WhatsApp, е поставена в смартфона ви.
2. Отворете WhatsApp.
3. Ако той се отвори нормално:

• отидете в настройките на приложението – Settings (Настройки) на iPhone или в допълнителното меню (трите точки) на Android. Изберете Linked devices (Свързани устройства);
• излезте от профила си на всички допълнителни устройства, за да прекъснете достъпа на нападателите;

4. Ако WhatsApp ви каже, че сте излезли от профила си и трябва да се регистрирате:

• въведете телефонния си номер;
• поискайте еднократен код за регистрация;
• изчакайте SMS или гласово повикване с кода и го въведете;
• ако акаунтът ви е защитен с 2FA, след като въведете еднократния код за регистрация, въведете и ПИН кода си.
• WhatsApp може да ви предложи да възстановите чатовете и настройките си от резервно копие в iCloud, Google Drive или локално хранилище. Приемете!

5. Ако преди това не сте задали изискването за ПИН код, нападателите може да са го направили, за да ви попречат да възстановите достъпа си.

• той може да бъде нулиран чрез Forgot PIN (Забравен ПИН). Ако имейл адресът ви е свързан с вашия акаунт в WhatsApp, ще получите незабавно връзка за нулиране;
• отидете в него, отворете последното съобщение от WhatsApp, докоснете връзката вътре и след това изберете Confirm. След това можете да се върнете в WhatsApp и да зададете нов ПИН код;
• дори да не сте свързали имейл адрес, можете да поискате нулиране на ПИН, но ще трябва да изчакате една седмица. През това време акаунтът ви ще остане недостъпен.

Как да защитите акаунта си от ново хакване

След като завършите тези стъпки, достъпът на нападателите до профила ви ще бъде преустановен. Но много скоро отново може да станете обект на атака.

За да се защитите от ново превземане на акаунта си:

• включете верификация в две стъпки и запомнете своя ПИН код – той не е еднократен. За да направите това, отидете в Settings (Настройки) → Account (Акаунт) → Two-step verification;
• никога не споделяйте своя ПИН код или еднократните кодове за регистрация с никого, тъй като само измамниците питат за тези данни;
• WhatsApp вече позволява въвеждането на биометрично удостоверяване и дълги криптографски ключове за вход. Можете да ги активирате чрез Settings → Account → Passkeys;
• настройте резервен имейл адрес за възстановяване на профила: Settings → Account → Email address;
• активирайте 2FA за имейлa си;
• всички тези мерки за сигурност в WhatsApp няма да са ви от голяма полза, ако смартфонът или компютърът ви е заразен със зловреден софтуер. Затова не забравяйте да защитите всяко свое устройство.

Неизвестен нападател е откраднал криптовалута на стойност над 1,46 млрд. USD от криптоборсата Bybit. Той е успял да пробие един от нейните студени (офлайн) портфейли за Ethereum (ETH).

Това е и най-голямата единична кражба на криптовалути в историята, като тя удвоява предишния рекорд. Досега той се държеше от пробива в Sky Mavis през март 2022 г. – 620 млн. USD.

Новата рекордна кражба е извършена в момент, в който се е изпълнявал трансфер между студен и горещ (онлайн) портфейл на Bybit. Трансакцията е била манипулирана чрез сложна атака, която подменя интерфейса за подписване.

Тя показва правилния адрес, но променя основната логика на интелигентния договор. В резултат на това нападателят успява да придобие контрол над засегнатия студен ETH портфейл и да прехвърли авоарите му на неидентифициран адрес.

За да защитите трансферите си между студен и горещ портфейл за криптовалути:

• използвайте защитена и надеждна интернет връзка, когато извършвате трансакции, и избягвайте обществени Wi-Fi мрежи;
• винаги проверявайте внимателно адресите на портфейлите, към които изпращате криптовалута, тъй като дори малка грешка може да доведе до загуба на средства;
• използвайте MFA за допълнителна защита на вашите акаунти и портфейли;
• уверете се, че данните за вашите портфейли са шифровани и редовно архивирани на сигурно място;
• използвайте firewall и антивирусен софтуер за откриване и блокиране на зловреден софтуер, който може да компрометира вашите трансакции;
• бъдете внимателни за фишинг атаки – не отваряйте подозрителни имейли и линкове и винаги проверявайте източника на съобщенията.

През 2024 Infostealer софтуерите са се превърнали в един от „най-значимите първоначални вектори за атака“. Според израелската компания за киберсигурност Kela те са свързани с компрометирането на най-малко 330 милиона креденшъли.

За да се случи това, нападателите са пробили защитата на поне 4,3 милиона машини. И двете цифри представляват леко увеличение спрямо 2023 г., но посоката на движение е постоянно възходяща.

Компрометираните креденшъли осигуряват достъп до редица чувствителни корпоративни услуги – облачни решения, CMS, електронна поща и т.н. Трите водещи щама на infostealer – Lumma, StealC и RedLine – са отговорни за над 75% от заразените машини.

За да не станете част от тази статистика:

• инсталирайте антивирусен софтуер и редовно го актуализирайте;
• активирайте MFA;
• бъдете внимателни с фишинг имейли – не отваряйте прикачени файлове или линкове от непознати източници и проверявайте внимателно адреса на подателя;
• актуализирайте редовно софтуерите и OS на вашите устройства, за да намалите риска от уязвимости;
• използвайте firewall и инструменти за мониторинг на трафика, за да можете да засечете подозрителна активност.

Главните изпълнителни директори демонстрират особено висока податливост на атаки със социално инженерство. За това предупреждава неотдавнашно проучване на компанията за киберсигурност Hackmosphere.

То разкрива, че дори опитни ръководители са изключително уязвими по-сложни заплахи, базирани на електронна поща.

Експериментът на Hackmosphere се фокусира върху т.нар whaling. От компанията разработват персонализирани сценарии за 45 изпълнителни и главни технически директори от различни индустрии. Резултатите показват, че 24% от изпълнителните директори са кликнали върху злонамерените връзки. При техните технически колеги този процент е едва 6. Това подчертава различията във възприемането на заплахите сред ръководните длъжности.

Проучването разкрива и пропуски в сигурността на някои платформи за корпоративна електронна поща. Докато Office 365 маркира по-голямата част от фишинг имейлите като спам, Gmail позволява на 98% от тях да достигнат до основните пощенски кутии. Тази разлика предполага, че организациите, които разчитат на решения за електронна поща от потребителски клас, са изправени пред по-големи рискове.

За да повишат нивата си на защита от сложни фишинг атаки, организациите трябва да:

• използват филтри за спам, управлявани от изкуствен интелект;
• задължително да активират MFA в своите имейл платформи;
• непрекъснато да провеждат симулации на фишинг атаки.

Хакерската група Ransomhouse обяви, че притежава данни, източени от информационните системи на Върховния административен съд (ВАС). За да докаже твърдението си, тя публикува списъци с имена и лични данни на служители, молби за отпуски и различни документи.

„Уважаемо управление на Върховния административен съд на България, съветваме ви да се свържете с нас“, пишат на сайта си хакерите.

„Все още установяваме дали това наистина са наши данни“, обяви изпълняващият функциите председател на ВАС Георги Чолаков.

По думите му Висшият административен съд се е разминал с по-големите проблеми, защото постановяването на актовете се извършва на хартия.

На 27 януари хакерската атака срина за дни Единната деловодна информационна система, използвана от всички административни съдилища в страната. Според Георги Чолаков вероятно заради човешка грешка тя е била поразена от ransomware софтуера White Rabbit.

Той призна, че е имало искане за откуп, но категорично отрече да има загуба на данни от Единната деловодна информационна система.

В последните месеци, руски хакери са насочили своите усилия към компрометиране на профили в приложението за сигурни съобщения Signal. Известно със своето високо ниво на криптиране и защита на личните данни, сега то е мишена на различни зловредни кампании.

Хакерите използват разнообразни методи за атака, включително фишинг, куишинг и зловреден софтуер. Фишинг атаките включват изпращане на подвеждащи съобщения или имейли, които изглеждат като легитимни, но всъщност съдържат линкове към зловредни сайтове. Когато потребителите кликнат върху тях, личната им информация може да бъде открадната или да изтеглят зловреден софтуер на своите устройства.

Зловредният софтуер, използван от хакерите, е проектиран да прониква в системите на потребителите и да събира чувствителна информация. Това включва съобщения, контакти и дори криптирани данни.

Тези атаки представляват сериозна заплаха за потребителите на Signal и подчертават важността на повишената бдителност и използването на допълнителни мерки за сигурност.

За да се защитите:

• избягвайте да кликате върху линкове или да изтегляте прикачени файлове от съмнителни източници;
• използвайте актуализирани антивирусни програми;
• активирайте двуфакторна автентикация (2FA);
• използвайте силни и уникални пароли за всеки свой акаунт;
• следете новините и актуализациите за киберсигурност, за да бъдете информирани за новите методи на атака и как да се защитите от тях.

 

Активна хакерска кампания, свързана с Русия, краде акаунти в Microsoft 365 чрез device code phishing.

Целите са в правителствения и неправителствения сектор, IT услугите и технологиите, отбраната, телекомуникациите, здравеопазването и енергетиката. Кампанията засяга организации в Европа, Северна Америка, Африка и Близкия изток.

Според Microsoft зад нея стои групата Storm-237.

Устройствата, които нямат поддръжка на клавиатура или браузър, като например смарт телевизори и някои IoT, разчитат удостоверяване чрез код. Групата злоупотребява с това, като подвежда потребителите да въвеждат генерирани от нея кодове на легитимни страници за влизане.

За да се защитите:

• наложете стриктни политики за достъп в Microsoft Entra ID, за да се ограничи използването му до доверени устройства или мрежи;
• използвайте регистрационните дневници на Microsoft Entra ID, за да идентифицирате бързо голям брой опити за удостоверяване за кратък период от време.

Приходите на киберпрестъпниците от измами с криптовалути са достигнали рекордни нива през 2024. Според нов доклад на Chainalysis те възлизат на 9,9 млрд. USD, като се очаква през тази година да скочат до над 12,4 млрд. USD.

Пример за нарастващия брой на криптоизмамите е нова кампания, която таргетира много български потребители във Viber. Тя се извършва от името на водещат борса за криптовалути и добавя автоматично акунтите на жертвите в група, наречена „113 Екип за инкубация на Binance“.

В публикация от неизвестен профил, който след това нарича себе си „Алена от екипа на Binance”, потребителите се изкушават да инвестират с обещания за огромни печалби. Впоследствие в разговора се включва и „анализаторът Доналт“, който предлага своите съвети на участниците в групата и награди за стотици хиляди долари.

Всичко това, разбира се, са лъжи и ако някой инвестира наистина, просто ще загуби парите си.

Тази измамна кампания, както и много други, разчитат на автоматичното добавяне на акаунти в дискусионни групи. Това е възможно, тъй като настройките по подразбиране на Viber го позволяват.

За да предотвратите включването си в подобни групи (а отттам и възможността да станете жертва на измама):

• изберете трите точки в долния десен ъгъл на приложението;
• влезте в секцията Settings, след което в Privacy;
• изберете опцията Control who can add you to groups;
• там по подразбиране е отметнато Anyone. Сложете отметка на My contacts.

Но най-важното е никога да не забравяте, че когато непознати ви предлагат в интернет фантастично добри оферти, те най-вероятно са измама.

Двама хакери публично злепоставиха Министерството на правителствената ефективност (DOGE) на Илон Мъск. Те успяха да получат достъп до уебсайта му и оставиха след себе си няколко подигравателни съобщения.

Нападателите разкриват, че използването на уязвимостите на сайта е било проста задача. Според тях всеки с основни умения за кодиране може да направи същото. Те произтичат от използването на база данни, известна като Cloudflare Pages – незащитена платформа, която всеки с достъп може да редактира. Този пропуск е позволил на хакерите да напишат каквото си искат в сайта.

Пробивът идва след амбициозното обещание на Мъск да внесе прозрачност в работата на правителството, като създаде DOGE. Оказва се обаче, че уебсайтът е бил разработен набързо, което в крайна сметка е довело до очевидния провал в сигурността.

Много анализатори акцентират върху по-широките последици от хакерската атака. Според тях тя хвърля сянка върху способността на правителството да управлява своята цифрова инфраструктура.

Само няколко дни преди пробива в DOGE новостартиралият правителствен сайт waste.gov също се сблъска с криза в сигурността. Тя наложи спешно блокиране на достъпа до него, след като беше установено, че е използван незавършен шаблон на WordPress.

Китайските хакери от групата Salt Typhoon продължават да атакуват телекомите по целия свят. Те са успели да проникнат в още американски доставчици на телекомуникационни услуги през уязвимости в мрежови устройства Cisco IOS XE.

Според Insikt Group те са две и позволяват повишаване на привилегиите и инжектиране на команди в уеб потребителския интерфейс.

Сред новите жертви са американски и италиански доставчици на интернет услуги, базирани в САЩ филиали на телекоми от Обединеното кралство и Южна Африка и др.  В периода декември 2024 – януари 2025 г. Salt Typhoon е атакувала над 1000 мрежови устройства на Cisco в различни региони.

Ако използвате Cisco IOS XE:

• приложете наличните пачове за сигурност възможно най-бързо;
• избягвайте свързването на административни интерфейси или несъществени услуги директно към интернет.