Кражба на лични данни

Фалшив AI генератор на снимки и видео заразява Windows и macOS със зловредните софтуери Lumma Stealer и AMOS.  

Той е наречен EditProAI и се популяризира чрез резултати в Google Search и реклами в X, които споделят deepfake политически видеоклипове. 

Lumma Stealer е насочен към Windows, а AMOS – към macOS. И двата крадат информация за криптопортфейли и кредитни карти, идентификационни данни, пароли и история на сърфирането в браузърите. Тези данни се събират в архив и се изпращат обратно към нападателите. Те могат да използват информацията при следващи атаки или да я продадат на други киберпрестъпници. 

Според компанията за киберсигурност g0njxa заразяването протича така: 

• клик върху рекламата отвежда потребителя в сайтовете на EditProAI (editproai.pro за Windows и editproai.org за macOS). Те са направени професионално, за да изглеждат легитимни; 
• бутонът Get Now изтегля изпълним файл, който се представя за приложението EditProAI; 
• зловредният софтуер изпраща откраднатите данни към сървър, контролиран от нападателя. 

Ако вече сте изтегляли тази програма, трябва да считате всичките си запазени пароли, криптопортфейли и удостоверения за компрометирани. Незабавно ги сменете с уникални комбинации за всеки сайт, който посещавате. 

Трябва също така да активирате MFA за всички критични платформи като онлайн банкиране, имейл и финансови услуги. 

Мащабно нарушение на данните в базиран на изкуствен интелект кол център в Близкия изток разкри над 10 милиона разговора между потребители, оператори и AI агенти. Пробивът е включвал неоторизиран достъп до таблото за управление на платформата.  

От компанията за киберсигурност Resecurity предупреждават, че откраднатата информация може да бъде използвана за социално инженерство, фишинг схеми и други злонамерени дейности. Името на платформата все още не е ясно, но Infosecurity Magazine твърди, че тя се използва широко във финтех индустрията и електронната търговия.  

Този пробив подчертава нарастващата уязвимост на базираните на AI платформи, които се използват все повече за подобряване на обслужването на клиентите.  

Въпреки че предлагат персонализирана, ефективна комуникация, те също така представляват значителна заплаха за поверителността на данните, ако бъдат компрометирани. Така че внимателно обмисляйте каква информация споделяте при взаимодействие с тях и при всички случаи избягвайте въвеждането на критични лични или фирмени данни. 

  

Нова кампания със зловреден софтуер краде банкови данни през е-магазини, работещи с платформата за онлайн търговия Magento – една от най-често използваните в България.  

Според откривателите ѝ от Malwarebytes: 

• хакерите инжектират на пръв поглед безобиден ред код, който обаче зарежда съдържание от външен уебсайт;
• когато потребителят прави поръчка в страницата на компрометирания онлайн магазин, в нея се появява фалшива рамка „Метод на плащане“;
• въведеният номер на кредитна/дебитна карта, данните за срока на валидност и CVC се предават в реално време и се запаметяват в базата данни на нападателя. 

Подобни цифровите скимиращи инструменти често не могат да бъдат разпознати заради начина, по който се вписват в интернет страниците. Освен ако не проверявате мрежовия трафик или не отстранявате грешки с инструменти за разработчици, никога не можете да сте сигурни, че магазинът, който използвате, не е компрометиран. 

10-те най-големи сайта за онлайн резервации на полети, хотели, коли под наем и ваканционни пакети, включително Orbitz, Kayak, Skyscanner и Travelocity, имат проблеми с киберсигурността. Четири от компаниите са изключително уязвими – цели 91% от сериозните уязвимости са открити в техните системи.

Според компанията за киберсигурност Cequence те позволяват дори атаки от типа man-in-the-middle (MiTM), при които нападателите могат да прихващат и манипулират комуникациите им с потребителите. 

Недостатъците са свързани с облачната инфраструктура на платформите – техните облачни системи се разрастват много бързо и не могат да бъдат ефективно управлявани. Това увеличава броя на публично достъпните облачни инстанции, така че в един момент организациите дори не знаят какви технологични активи съществуват в тяхната мрежа, камо ли да ги защитят. 

Подобни уязвимости могат да доведат до финансови загуби и кражба на самоличност за потребителите, но и до репутационни щети и правни проблеми за самите доставчици на услуги. 

В случая става дума за туристическата индустрия, но облачните операции стават все повече в почти всеки един сектор днес. Така че бизнесите трябва да бъдат много внимателни, когато разширяват използването на облака, и този процес винаги да бъде съобразен със сигурността.  

Критична уязвимост в сигурността на Microsoft 365 Copilot е позволявала кражба на чувствителна потребителска информация чрез сложна верига от експлойти.  

Открита от изследователя в сферата на киберсигуростта Йохан Рехбергер, тя комбинира: 

• въвеждане на команда към Copilot чрез злонамерен имейл или споделен документ;
• автоматично активиране на инструмент за достъп до данните на таргетираната система; 
• ASCII Smuggler за скриване на ексфилтрираната информация; 
• предаване на хипервръзки към контролирани от атакуващия домейни. 

Най-иновативният аспект в случая е ASCII Smuggler. Той използва специални Unicode символи, които са невидими в потребителския интерфейс. По този начин атакуващият може да вгради откраднатите данни в привидно безобидни хипервръзки, а когато потребителят щракне върху тях, скритата информация се изпраща до сървъра на нападателя.  

Уязвимостта вече е отстранена от Microsoft, макар че от компанията не разкриват подробности по темата. 

Хакери използват PWA и WebAPK, за да се представят за официални банкови приложения и да крадат идентификационни данни от потребители на Android и iOS. 

PWA и WebAPK се инсталират през браузър, но поддържат функционалности, характерни за мобилните апликации. Когато се използват във фишинг кампании, това им позволява да заобикалят традиционните предупреждения за „инсталиране на неизвестни приложения“ и им дава достъп до рискови разрешения на устройствата, без знанието на потребителя. 

Кампанията е разкрита от ESET. Тя залага на PWA и WebAPK, като протича по следния начин: 

• автоматизирано гласово обаждане за остаряло приложение за банкиране приканва потребителя да избере опция от цифровата клавиатура;
• изборът изпраща SMS, включващ връзка към компрометиран интернет адрес, който той трябва да посети, за да обнови апликацията си;
• адресът имитира официална страница на Google Play, App Store или на самата банка и приканва жертвата да инсталира „нова версия“ на приложението;
• след инсталацията потребителят трябва да изпрати идентификационните си данни за интернет банкиране, за да получи достъп до сметката си. Но те отиват директно към сървърите на нападателите. 

Засега подобни кампании са засечени в Чехия, Унгария и Грузия. Но нашият съвет е да бъдете изключително внимателни, когато получавате съобщения, свързани с вашите банкови приложения. Киберпрестъпността не признава граници. 

 

Осем уязвимости в приложения на Microsoft за macOS позволяват на хакерите да заобиколят рамката за сигурност на Apple Transparency, Consent and Control (TCC). Според Cisco Talos те дават възможност на нападателите да използват правата на Teams, PowerPoint, OneNote, Excel и Word, за да получат неоторизиран достъп до чувствителни данни и ресурси без съгласието на потребителя. 

Това става възможно, тъй като някои приложения имат определени права, които деактивират критични функции за сигурност. Например Teams има правомощието com.apple.security.cs.disable-library-validation, което му позволява да зарежда библиотеки на трети страни, без да извършва проверка на подписа. Като използват неговата уязвимост и това правомощие, нападателите вкарват зловредни библиотеки, които наследяват разрешенията на довереното приложение.  

Веднъж влезли в системата, те подмамват потребителите да отворят злонамерени прикачени файлове или да кликнат върху компрометирани връзки. След това зловредните библиотеки повишават привилегиите на нападателя, като му предоставят достъп до чувствителни данни и системни ресурси. 

За да намалите риска, ви съветваме: 

• актуализирайте редовно софтуера; 
• бъдете предпазливи към непознати връзки и прикачени файлове; 
• използвайте реномирани решения за сигурност; 
• изградете си навици за безопасно сърфиране. 

Съвременният интернет е невъзможен без съществуването на API – интерфейси, посредством който различни приложения могат да комуникират помежду си.

От една страна, това е огромен позитив: коренно противоположни системи могат да работят заедно, От друга: това е огромно предизвикателство за сигурността, те са навсякъде, често са зле защитени и съдържат огромни количества данни и огромна част от бизнесите дори не не само не знаят колко API-та поддържат и дали те изобщо имат някаква форма на защита. Това ги прави една от любимите мишени на хакерите.

Защо да защитя API-тата си

Интерфейсите дават директен достъп до четене и писане на огромно количество чувствителна информация. На практика тяхното предназначение изисква да имат достъп до сърцето на една организация и цялата информация за нея.

Затова, за един бизнес, който поддържа подобни услуги, това означава, че през тях хакер може да:

• да открадне на чувствителна информация като се сдобие с нерегламентиран достъп (който понякога дори не изисква автентникация)
• извърши неоторизирани трансакции и да промени критични данни
• да спре достъпа до услуги, като претовари на сървърите, на които работят те
• да инжектира зловреден код
• да получи неоторизиран достъп до други вътрешни системи
• да нанесе репутационни щети, правни последици и глоби

Само един пример: през януари 2024 г. от социалната медия Spoutible бяха източени лични данни на над 200 хил. потребителя именно заради липсата на защита на една от основните ѝ API услуги.

Как да защитите API-тата си

След всичко изброено по-горе, основният въпрос е какво да направите, за да защитите API услугите, които поддържате? По-лесно е, от колкото си мислите.

Ето няколко практически съвета:

• Организирайте. Изгответе списък с API услуги, които поддържате. За целта можете да използвате автоматизирани инструменти за откриване, но по-добре е да съберете списъка от разработчиците, с които работите и да опишете кое API каква автентникация изисква и достъп до какви данни и какви операции по тях позволява
• Възприемете подход на нулево доверие (zerto-trust) и третирайте всяка заявка към API като потенциално злонамерена, независимо от произхода ѝ.
• Въведете силна автентификация и оторизация за всяка API услуга. Без изключения.
• Задайте разумни ограничения на броя заявките към API, които могат да се осъществяват за единица време. Например, има ли нужда API услуга за потребителска информация да позволява повече от 60 заявки в час?
• въведете надеждна система за създаване на версии за вашите API услуги, за да можете, когато бъдат открити уязвимости (а такива ще бъдат открити), да деактивирате по-старите итерации.
• обучавайте своите разработчици, тъй като повечето уязвимости в API произтичат от липсата на осведоменост за сигурността.
• внедрете инструменти за мониторинг и поведенчески анализ и редовно penetration тестове.

И не забравяйте – киберсигурността изисква постоянство и многопластов подход, така че всички тези стъпки трябва да вървят ръка за ръка.

 

Фишинг кампания, която има за цел да открадне вашите пароли, банкови данни и друга чувствителна информация, се разпространява бързо сред Android устройства.

Фалшиви текстови съобщения, които изглеждат като изпратени от куриерска фирма (DHL, Amazon), ви приканват да кликнете върху линк, за да проследите доставката на пратка. Ако го направите, вместо да си инсталирате приложение за проследяване, се заразявате със зловредния софтуер FluBot. Освен че краде информация от вашето устройство, малуерът получава достъп до контактите ви и може да им изпрати съобщения, с които да зарази и тях.

Препоръка:

Ако получите подобно съобщение, не кликайте върху линка и не инсталирайте предложените приложения. Вместо това маркирайте съобщението като спам и блокирайте подателя.

Ако вече сте инсталирали подозрително приложение, не влизайте в никакви други ваши онлайн акаунти, за да ограничите достъпа до допълнителна информация, и преинсталирайте устройството си.

Огромна база с лични данни (имена, имейл адреси, телефонни номера и др.) е открадната от LinkedIn и може да се използва за стартиране на допълнителни атаки срещу потребителите на професионалната мрежа.

Данните са публикувани на популярен хакерски сайт и достъпът до тях струва четирицифрена сума, казват изследователите на CyberNews.

Сама по себе си, изтеклата информация не може да послужи за извършване на финансови измами, но може да се използва за създаване на подробни профили на потенциалните жертви и провеждане на последващи атаки (фишинг, кражба на самоличност).

Ако имате LinkedIn профил е добре да вземете незабавни мерки:

• Променете паролата на LinkedIn акаунта си и тези на свързаните профили
• Създайте силна, произволна, уникална парола; при възможност, използвайте мениджър на пароли
• Активирайте двуфакторно удостоверяване (2FA) за акаунта си в LinkedIn и за свързаните с него акаунти
• Бъдете подозрителни към съобщения и имейли, получени от непознати
• Внимавайте за характерни белези на фишинг в съобщенията, които получавате
• Не отваряйте линкове, получени в имейл, а навигирайте ръчно до дадения сайт, в който искате да влезете
• Използвайте надеждно антивирусно решение