Киберсигурност

Броят на Pass-the-Cookie (PTC) атаките се увеличава и подкопава статута MFA като достатъчен за защитата на потребителите и организациите инструмент. Чрез тях киберпрестъпниците „отвличат“ бисквитките на сесиите и получават достъп до чувствителни акаунти.

Този тип атаки са насочени основно към платформи като Microsoft 365, YouTube и финансовите услуги. Те ясно показват, че потребителите и организациите не трябва да разчита единствено на MFA за проверка на самоличността за критични профили .

Бисквитките съхраняват токени за удостоверяване и позволяват безпроблемен достъп без повторно въвеждане на входни данни. Хакерите крадат тези токени чрез зловредни софтуери като LummaC2 или Redline. Те често се разпространяван чрез фишинг кампании, маскирани като софтуерни актуализации или оферти за сътрудничество.

След като бъдат извлечени, бисквитките се използват от нападателите за достъп до акаунти, без да се изискват пароли или MFA.

Защо само MFA не е достатъчно

По подразбиране сесиите на Microsoft 365 например се запазват в предиод от 1 до 24 часа. Други платформи запазват бисквитки за неопределено време, ако потребителите изберат „Запомни това устройство“.

Атакуващите използват това, като ги крадат по време на активни сесии или използват infostealer, за да ги събират от заразени устройства. 72% от PTC атаките, открити от Obsidian Security, са насочени към SaaS приложения, включително такива за електронна поща и облачно съхранение.

Дори „устойчивите на фишинг“ методи за MFA, като например хардуерни ключове, са уязвими, ако потребителите имат достъп до акаунти на незащитени устройства.

Ограничаване на заплахата

Мерките за защита от Pass-the-Cookie атаките включват:

• Съкращаване на продължителността на сесиите: Наложете времеви ограничения (например 15 минути за високорискови приложения) и деактивирайте „постоянните“ бисквитки;
• Защита на бисквитките: Маркирайте „бисквитките“ като „Secure“ и „HttpOnly“, за да предотвратите ексфилтрирането на JavaScript;
• Ключове за достъп: Заменете паролите с FIDO2 (Fast IDentity Online 2) ключове. Те обвързват удостоверяването с конкретни устройства и премахват зависимостите от бисквитките;
• Ограничаване на достъпа до устройства: Използвайте MDM решения, за да блокирате достъпа на неоторизирани устройства;
• Обучение на потребителите: Обучете служителите си да избягват подозрителни връзки и задължително да излизат от сесиите, вместо директно да затварят браузърите.

 

50% от всички организации имат натрупани уязвимости с висока степен на сериозност, оставени отворени за повече от една година. Над 2/3 (70%) от тях идват от код на трети страни и веригата за доставка на софтуер.

В същото време средното време за отстраняване на уязвимостите в сигурността на софтуерите е нараснало до осем месеца и половина. Според доклада State of Software Security (SoSS) на Veracode това е ръст от 47% за последните пет години.

Ако се направи сравнение с преди 15 години, този скок е още по-умопомрачаващ – 327%. Това до голяма степен се дължи на по-голямото разчитане на код от трети страни и използването на такъв, генериран от AI.

Около 3/4 (74,2%) от всички организации имат някакъв дълг по отношение на сигурността, включително недостатъци с по-ниска степен на сериозност.

Други констатации в доклада включват:

• 56% от приложенията съдържат уязвимости в сигурността с висока степен на сериозност, а 80,3% – някакви недостатъци, били те и по-незначителни;
• 64% от приложенията имат уязвимости в кода на първата страна, докато 70% – в кода на трети страни.

Съветваме организациите да следят постоянно за новооткрити уязвимости и да прилагат пачове в първия възможен момент.

Услугата за уведомяване за нарушаване на сигурността на данните Have I Been Pwned (HIBP) добави над 284 милиона нови акаунта, откраднати чрез infostealer.

Информацията е открита в канал в Telegram, наречен ALIEN TXTBASE. От услугата са анализирали 1,5 TB логове, събрани от различни източници. Те съдържат 23 млрд. реда с 493 млн. уникални двойки уебсайтове и имейл адреси, както и 244 милиона нови компрометирани пароли.

Поради големия брой акаунти в тази колекция данните вероятно включват стари и нови креденшъли, откраднати чрез credential stuffing атаки.

Съветваме ви да проверите веднага дали някой от вашите онлайн профили не е компрометиран и да вземете необходимите мерки, ако сте част от списъка. Те включват:

• незабавна смята на паролите на всички засегнати акаунти със силни и уникални комбинации;
• активиране на 2FA;
• проверка на други ваши акаунти дали не са компрометирани;
• постоянно следене за подозрителна активност в засегнатите акаунти;
• абониране за известия от Have I Been Pwned, за да бъдете информирани за бъдещи пробиви в сигурността, които могат да засегнат вашите профили.

Парламентът прие на първо четене промени в Закона за киберсигурност. Те въвеждат европейските изисквания за мрежова и информационна сигурност, заложени в NIS 2, и трябваше да бъдат факт до 17.10.2024 г.

Промените предвиждат задължителни процедури по докладване на киберинциденти и глоби за неспазване на правилата на директивата. Най-значителната санкция става от 50 000 лв. до 2% от общия глобален годишен оборот на организацията за предходната финансова година, но не по-малко от 20 000 000 лв. Тя е валидна за т.нар. „съществени субекти“.

„Важните субекти“, които нарушат задълженията си по NIS 2, са заплашени от имуществена санкция от 25 000 лева до 1,4% от глобалния им годишен оборот, но не по-мако от 14 000 000 лева.

В обхвата на NIS 2 попадат енергетиката, транспорта, банковия сектор, пощенските и куриерските услуги и други критични сектори.

Срокът за предложения между първо и второ четене на законопроекта беше удължен до максималния от 28 дни, или до 20.03.2025 г.

Очаквайте коментар по темата от нашите експерти!

 

Последен ъпдейт на 17 март 2025 в 09:52 ч.

Откраднатите акаунти в WhatsApp подхранват мащабна престъпна дейност – от разпространение на спам до сложни измамни схеми. Ето защо те са постоянен фокус на киберпрестъпниците, които използват различни методи за тяхното превземане.

Нападателите обикновено поемат контрола върху акаунта ви в WhatsApp по два начина. Единият е да добавят ново устройство към акаунта ви чрез функцията Linked devices. Другият – да пререгистрират профила ви на своето устройство, сякаш сте си купили нов смартфон.

В първия случай вие продължавате да използвате приложението както обикновено, но престъпниците също имат достъп до него. Във втория – губите достъп до акаунта си, а когато се опитате да влезете, WhatsApp ви уведомява, че той се използва на друго устройство.

Признаци, че акаунтът ви в WhatsApp е компрометиран

Има няколко признака, че акаунтът ви вече може да е компрометиран. Това са:

• получавате отговори на съобщения, които никога не сте изпращали;
• приятелите ви се оплакват от странни съобщения, идващи от вас;
• забелязвате изтрити съобщения в чатовете, включително и от самите вас – въпреки че никога не сте изпращали или изтривали нищо там;
• получавате код за проверка на вход в WhatsApp, който не сте поискали или очаквали;
• вашият акаунт има статус или е публикувал истории, които не сте създавали;
• профилната ви снимка, името или описанието на профила ви са се променили неочаквано;
• добавени сте към чатове или групи, към които никога не сте се присъединявали;
• когато се опитате да влезете в профила си, WhatsApp ви информира, че той се използва на друго устройство и ви подканва да се регистрирате отново.

Обърнете специално внимание на първите три признака и действайте незабавно, ако ги забележите. Хакерите често използват компрометирани акаунти, за да измамят техните контакти. Те могат да се представят за вас, за да поискат спешна финансова помощ, да обещаят подаръци или да поканят хората да участват във фалшиви анкети.

Какво да направите, ако акаунтът ви в WhatsApp е бил хакнат

След като се уверите, че профилът ви в приложението е компрометиран, трябва веднага да предприемете действия. Петте стъпки включват:

1. Уверете се, че SIM картата, свързана с акаунта ви в WhatsApp, е поставена в смартфона ви.
2. Отворете WhatsApp.
3. Ако той се отвори нормално:

• отидете в настройките на приложението – Settings (Настройки) на iPhone или в допълнителното меню (трите точки) на Android. Изберете Linked devices (Свързани устройства);
• излезте от профила си на всички допълнителни устройства, за да прекъснете достъпа на нападателите;

4. Ако WhatsApp ви каже, че сте излезли от профила си и трябва да се регистрирате:

• въведете телефонния си номер;
• поискайте еднократен код за регистрация;
• изчакайте SMS или гласово повикване с кода и го въведете;
• ако акаунтът ви е защитен с 2FA, след като въведете еднократния код за регистрация, въведете и ПИН кода си.
• WhatsApp може да ви предложи да възстановите чатовете и настройките си от резервно копие в iCloud, Google Drive или локално хранилище. Приемете!

5. Ако преди това не сте задали изискването за ПИН код, нападателите може да са го направили, за да ви попречат да възстановите достъпа си.

• той може да бъде нулиран чрез Forgot PIN (Забравен ПИН). Ако имейл адресът ви е свързан с вашия акаунт в WhatsApp, ще получите незабавно връзка за нулиране;
• отидете в него, отворете последното съобщение от WhatsApp, докоснете връзката вътре и след това изберете Confirm. След това можете да се върнете в WhatsApp и да зададете нов ПИН код;
• дори да не сте свързали имейл адрес, можете да поискате нулиране на ПИН, но ще трябва да изчакате една седмица. През това време акаунтът ви ще остане недостъпен.

Как да защитите акаунта си от ново хакване

След като завършите тези стъпки, достъпът на нападателите до профила ви ще бъде преустановен. Но много скоро отново може да станете обект на атака.

За да се защитите от ново превземане на акаунта си:

• включете верификация в две стъпки и запомнете своя ПИН код – той не е еднократен. За да направите това, отидете в Settings (Настройки) → Account (Акаунт) → Two-step verification;
• никога не споделяйте своя ПИН код или еднократните кодове за регистрация с никого, тъй като само измамниците питат за тези данни;
• WhatsApp вече позволява въвеждането на биометрично удостоверяване и дълги криптографски ключове за вход. Можете да ги активирате чрез Settings → Account → Passkeys;
• настройте резервен имейл адрес за възстановяване на профила: Settings → Account → Email address;
• активирайте 2FA за имейлa си;
• всички тези мерки за сигурност в WhatsApp няма да са ви от голяма полза, ако смартфонът или компютърът ви е заразен със зловреден софтуер. Затова не забравяйте да защитите всяко свое устройство.

Последен ъпдейт на 2 март 2025 в 12:27 ч.

В продължение на години стратегиите за сигурност се фокусираха върху три основни области: мрежа, крайни точки и електронна поща. В същото време браузърът, в който се извършва по-голямата част от съвременната работа, е разположен между всички тях. Киберпрестъпниците се адаптираха към това, като насочиха атаките си към него.

Заплахите, базирани на браузъра, манипулират уеб приложенията в реално време, избягвайки засичането им от firewall и EDR решения. Затова екипите по сигурността трябва да преосмислят откриването и реакцията на това ниво.

Нов клас заплахи

Malware Reassembly

Традиционните модели за сигурност са проектирани да откриват и блокират зловреден софтуер, базиран на файлове. Нападателите обаче се отказаха от конвенционалните полезни товари в полза на зловреден софтуер, който динамично се сглобява в браузъра. Тези атаки са практически невидими за инструментите за защита на крайни точки и мрежи.

Хакерите използват JavaScript loader и HTML injection, за да модифицират уеб страници и да сглобяват зловреден код и файлове за изтегляне директно в раздела на браузъра.

Работейки в тази среда, подобни заплахи избягват традиционните механизми за откриване. Това позволява на киберпрестъпниците да превземат сесиите на потребителите, да крадат пълномощия и да компрометират чувствителни данни. Без видимост в реално време за това как уеб страниците и скриптовете работят в браузъра, организациите остават слепи за тези нови техники за атака.

Фишинг и Trusted Site Exploitation

Нападателите постоянно усъвършенстват техниките за фишинг, за да заобиколят автоматизираното откриване. Те използват сложни тактики в няколко стъпки, които включват:

• многократни пренасочвания, за да се избегнат механизмите за откриване и изолиране, базирани на URL;
• насочвани с JavaScript фишинг страници, които динамично генерират злонамерено съдържание при поискване;
• CAPTCHA и контрол на достъпа на базата на сесии, за да се блокират инструментите за сигурност от сканиране на измамни сайтове.

В изследване за сигурността на браузъра на Keep Aware се подчертава, че зашеметяващите 70% от многостъпковите фишинг кампании се представят за приложения на Microsoft – OneDrive или Office 365. Нападателите използват все по-често и надеждни платформи като Google Docs, Dropbox и AWS, за да хостват зловредно съдържание. Това значително затруднява откриването.

Традиционните механизми за защита са неефективни срещу тези тактики и екипите по сигурността се нуждаят от нови модели за откриване. Те трябва да работят в самия браузър, за да наблюдават структурата на страницата и да откриват промени – независимо от URL адреса.

Мъртвата зона в разширенията на браузъра

Разширенията се превърнаха от прости инструменти за продуктивност в дълбоко интегрирани приложения с достъп до почти всичко, което се случва в браузъра. Въпреки нарастващата им сложност, тяхната сигурност остава до голяма степен неконтролирана. Това създава огромна повърхност за атаки от страна на киберпрестъпниците:

• Infostealer и други злонамерени разширения могат да се маскират като легитимни инструменти, докато тихомълком изнасят данни;
• компрометираните акаунти в Chrome Web Store доведоха до масово разпространение на измамни разширения, заобикаляйки стандартните прегледи за сигурност;
• повторното активиране на разширенията и актуализациите на версиите могат да създадат непосредствени рискове за сигурността.

Всичко това подчертава спешната необходимост от мониторинг на разширенията в реално време и интеграцията на автоматизирани инструметни за откриване на заплахи.

Пропастта в сигурността: Защо традиционните инструменти не са достатъчни

Основното предизвикателство в сигурността на браузъра се крие в неговия уникален модел на данните – Document Object Model (DOM). Той управлява начина на визуализиране и манипулиране на уеб страниците, но до голяма степен остава пренебрегнат като вектор за атака.

Инструментите за мрежова сигурност и защита на крайните точки следят трафика и изпълнението на процесите. Браузърът обаче е активна среда, в която съдържанието и скриптовете се променят динамично.

Организациите трябва да възприемат модел за откриване на заплахи в браузъра, като наблюдават поведението на сесиите, моделите на въвеждане на удостоверения и високорисковите взаимодействия в реално време. Контролите трябва да работят отвъд филтрирането на URL адреси, за да включват откриване с отчитане на контекста.

Точно както EDR трансформира сигурността на крайните точки, BDR трябва да се превърне в основен компонент на корпоративната сигурност. Решенията от този клас позволяват телеметрия в реално време, анализ на изпълнението на JavaScript и на заплахи на ниво браузър.

Браузърът като източник на риск за цялата организация

Откриването на заплахите и реагирането са от решаващо значение за сигурността на ниво браузър. Организациите обаче трябва да вземат предвид и по-широките рискове, включително:

• чувствителна информация може да бъде копирана, качена или споделена в рамките на неподлежащи на наблюдение SaaS приложения;
• служителите рутинно използват несанкционирани инструменти и приложения с изкуствен интелект в браузъра, заобикаляйки IT контрола;
• те често споделят поверителни данни в AI чатботове и асистенти, без да разбират последиците за сигурността;
• компрометирани акаунти и злонамерени вътрешни лица могат да изнасят корпоративни данни директно в браузъра.

Тези предизвикателства подчертават нуждата от непрекъсната видимост и превенция на заплахите, които се простират отвъд мрежата, крайните точки и електронната поща. Екипите по сигурността трябва да преосмислят управлението на браузъра, сигурността на данните и контрола на риска от вътрешни лица като част от цялостна стратегия за сигурност на предприятието.

Браузърът вече не е просто инструмент за продуктивност – той е основната повърхност за атака, която нападателите използват, за да заобиколят традиционните защити. Така че не пренебрегвайте този вектор, а го защитете както останалата част от вашата IT инфраструктура.

Google Chrome надгради съществуващата функция Enhanced protection с изкуствен интелект. По този начин браузърът вече предлага защита в реално време срещу зловредни уебсайтове, изтегляния и разширения.

Актуализацията е достъпна за всички платформи след тримесечно тестване в Canary.

Enhanced protection, част от функцията Safe browsing, е налична от години, но вече предлага по-високи нива на сигурност. AI следи за рисковете в реално време и предупреждава потребителите за потенциално опасни сайтове. Той също така извършва задълбочено сканиране за подозрителни изтегляния.

Enhanced protection с AI е изключена по подразбиране. Можете да включите новата функция от от Settings > Security в Windows, Android and iOS.

 

През 2024 национални държави и APT групи направиха значителни инвестиции в инфраструктура и автоматизация, за да засилят познатите методи за кибератаки. Единственият начин на организациите да се защитят в тази среда на нарастващи рискове е проактивният подход към киберсигурността.

Ето три основни стъпки, с които можете да изпреварите нападателите:

Подгответе се за нови киберзаплахи

• Опознайте цялата повърхност, която може да бъде атакувана, включително всички потенциални входни точки;
• Прилагайте проактивни мерки за сигурност, които затварят всякакви пропуски и осигуряват постоянна защита;
• Подготовката за нови киберзаплахи включва редовно актуализиране на защитните механизми и обучение на служителите за разпознаване на потенциални атаки.

Разширете Zero Trust подхода до всички свои ресурси

• Zero Trust подходът изисква проверка на всяка заявка за достъп, независимо от това дали идва от вътрешната мрежа или от външни източници;
• Прилагайте MFA за всички акаунти. Това е ключова стъпка за осигуряване на допълнителен слой защита.
• Контролът върху достъпа трябва да обхваща не само служителите, но и партньорите, клиентите и AI идентичностите, взаимодействащи с ресурсите на вашия бизнес.

Използвайте генеративен AI за подобряване на сигурността

• Генеративният AI може да бъде използван за откриване на заплахи в реално време и автоматизиране на отговорите на инциденти;
• Технологията помага за проактивна защита срещу нови и непознати опасности, като анализира големи обеми данни и идентифицира аномалии;
• Внедряването на AI решения за сигурност повишава ефективността на защитните механизми и намалява времето за реакция при инциденти.

Приемането на проактивен подход към киберсигурността е от съществено значение за организациите през 2025 г. и след това. Опознаването на вашите системи, разширяването на Zero Trust контролите и използването на генеративен AI ще направят защитата ви значително по-ефективна.

 

В най-новата си актуализация на сигурността Microsoft пусна пачове за 63 уязвимости. Те засягат някои от основните системи и продукти на компанията, включително Microsoft Excel, Microsoft Office, Windows CoreMessaging и Windows Storage.

Повече от 2/3 от уязвимостите, обхванати от актуализацията, са с висока степен на опасност. Две от тях са от типа Zero day, като едната позволява повишаване на привилегиите в Windows Storage. По този начин тя излага на риск поверителните данни на организациите, които могат да бъдат откраднати или изтрити.

Като се има предвид повсеместното разпространение на операционните системи Windows, потенциално милиони бизнеси по света са застрашени.

Инсталирайте новите актуализации за сигурност на Microsoft възможно най-бързо!

Едва 14% от лидерите по киберсигурност ефективно подсигуряват данните на организацията си, като същевременно позволяват те да се използват за постигане на бизнес цели.

За 35% от респондентите в скорошно проучване на Gartner защитата на данните е категоричен приоритет. За 21% използването им за постигане на бизнес цели е на първо място. Но само един на всеки седем (14%) може да направи и двете ефективно.

Това разминаване излага организациите на заплахи, регулаторни санкции и оперативна неефективност. Затова Gartner дава 5 препоръки към мениджърите по киберсигурността как да постигнат хармония между високите нива на защита на данните и ефективните бизнес процеси:

1. Създайте добре установен процес за съвместно разработване на политики и стандарти за сигурност на данните. В него трябва да участват както звената за управление на риска и киберсигурността, така и тези с бизнес функции.
2. Съгласувайте усилията, свързани със сигурността и използваемостта на данните. Мениджърите по киберсигурност трябва да си партнират с лидерите на останалите отдели, за да идентифицирате припокриванията.
3. Очертайте неподлежащи на обсъждане изисквания за сигурност, на които трябва да отговарят бизнес групите.
4. Определете предпазни огради на високо ниво около решения, свързани с GenAI. Позволете на бизнес групите да експериментират в рамките на ясно зададени параметри.
5. Работете постоянно съвместно с екипите за управление и анализи на данни. Това ще ви позволи да сте наясно с техните проблеми и изисквания, когато залагате мерките за сигурност.