Phishing

Нова фишинг кампания примамва жертвите с фалшива история за покушение срещу Доналд Тръмп.  

Хакерите използват факта, че имаше реални нападения срещу новоизбрания президент на САЩ. В случая обаче става дума за фалшива новина, която се приписва на New York Times (NYT). Тя описва Тръмп в критично състояние, след като е бил прострелян от ирански агенти. 

За да придадат истинност на историята, киберизмамниците посочват, че информацията е била „класифицирана“. 

След като жертвата кликне, за да види пълния текст на историята, от нея се иска да въведе парола за служебен акаунт. Фишинг формулярът се променя спрямо компанията, в която работи потребителя. При откриването на кампанията от страна на ESET, например, той е използвал нейното лого и цветове. 

От компанията за киберсигурност посочват, че техните продукти откриват и блокират имейлите, скриптовете и URL адресите, включени в тази кампания. Те са уведомила и други доставчици на системи за сигурност. 

Съветваме ви винаги да внимавате с имейли и съобщения, които искат лична информация. Освен това, преди да кликнете върху връзки или да изтеглите прикачен файл, винаги проверявайте задълбочено адреса на подателя.  

Хакерите атакуват машини с Windows, като маскират вирусите с разширението ZIP. По този начин те доставят зловредни товари в компресирани архиви, а решенията за сигурност не успяват да ги засекат. 

Откритието е на компанията за киберсигурност Perception Point, която засича „троянски кон“ в архивен файл по време на анализ на фишинг атака. Прикаченият файл е маскиран като RAR архив, а зловредният софтуер е използвал скриптовия език AutoIt, за да автоматизира злонамерени задачи. 

Атаката протича така: 

• подготовка, при която нападателите създават два или повече отделни ZIP архива и скриват зловредния полезен товар в един от тях; 
• отделните файлове се обединяват в един свързан архив; 
• въпреки че крайният резултат изглежда като един файл, той съдържа множество ZIP структури, всяка със собствена централна директория; 

Следващата фаза на атаката разчита на начина, по който различните софтуери обработват архивите. В зависимост от поведението на конкретното приложение хакерите могат да прецизират стратегията си.  

За да се защитите от подобна атака, използвайте решения за киберсигурност, които позволяват контролирано разархивиране на файлове. Но най-сигурно е винаги да подхождате с подозрение към имейлите с прикачени ZIP или други типове архиви. 

В днешната дигитална епоха поддържането на контрол върху личната ви информация е по-важно от всякога.  

Социалните медии със слаби настройки за сигурност и всякакви онлайн дейности под истинското ви име могат лесно да бъдат използвани за създаване на обширна картина на вашата цифрова идентичност. Тя ще съдържа вашите интереси, навици и връзки и може да се превърне в оръжие срещу самите вас.  

Фишинг атаките, базирани на социално инженерство, използват точно такава информация. А колкото повече данни има за вас в мрежата, толкова по уязвими сте. 

Според 2024 Verizon Data Breach Investigations Report цели 68% от нарушенията на сигурността на данните са се случили заради човешка грешка. Голям процент от тези грешки идват, след като даден потребител е станал жертва именно на фишинг атака. 

Социалното инженерство обикновено има за цел да подмами хората да изпратят пари или да разкрият чувствителни данни. Така че подобни кампании могат да имат изключително сериозни последици.  

Какво има за мен в Google Search? 

За да си отговорите на този въпрос, можете да направите следното упражнение: 

• потърсете собственото си име (в идеалния случай в кавички, като използвате режима инкогнито на уеб браузъра и без да сте влезли в профила си в Google) и вижте какво се появява. Обикновено това е вашият профил в социалните мрежи, блог или уебсайт, свързан с работата ви;
• прецизирайте търсенето си с допълнителен параметър, например често посещаван уебсайт или може би името на вашата улица. Не е изненадващо, че резултатите от търсенето стават по-конкретни, което показва колко мощни са търсачките в събирането на нечии данни. 

Премахване на данните ви 

Добрата новина е, че Google позволява на потребителите да поискат премахване на определена информация за себе си. Особено, когато тя е критична. Можете да подадете директна заявка до платформата за преглед и премахване на резултати в търсенето. Те трябва да отговарят на определени критерии – например излагане на вашия имейл или домашен адрес, данни за вход или друга лична информация. 

Самата заявка за премахване е доста лесно да се придвижи – просто попълнете необходимия формуляр. Ако проблемът не е ясен или Google изисква допълнителна информация, за да определи точно за какво става въпрос, ще получите имейл с искане за допълнителни разяснения. 

Търсачката предоставя и инструмент, наречен Results about you (Резултати за вас), който позволява на потребителите да проследят онлайн данните за себе. За съжаление, той все още не е достъпен от България, но Google се е ангажирала да разширява постоянно достъпа до него.  

Когато това се случи, FreedomOnline ще ви уведоми своевременно. 

Свързаната с руските служби група Midnight Blizzard е стартирала нова spear phishing кампания срещу над 100 организации в Европа, Австралия и други региони.  

Тя е базирана на изключително целенасочени имейли и социално инженерство. Те идват от адреси на легитимни организации като Microsoft и AWS, които са били събрани по време на предишни атаки. Някои от тях са свързани със Zero-trust концепцията за киберсигурност.  

Имейлите, разкрити от Microsoft, са съдържали конфигурационен файл на Remote Desktop Protocol (RDP), подписан със сертификат LetsEncrypt. Зловредният прикачен файл съдържа няколко чувствителни настройки, които при активация водят до значително разкриване на информация.  

След като целевата система е компрометирана, тя се свързва с контролиран от нападателя сървър и картографира ресурсите на локалното устройство на таргетирания потребител. Информацията, изпратена към сървъра, може да идва от всички твърди дискове, клипборда, принтерите, свързаните периферни устройства, аудиото, както и функциите и средствата за удостоверяване на операционната система, включително смарт карти.  

За да ограничите риска да станете жертва на тази нова spear-phishing кампания: 

• използвайте Windows Firewall за ограничаване на опитите за изходяща RDP връзка към външни или обществени мрежи; 
• приложете многофакторно удостоверяване (MFA), но избягвайте методите, базирани на телефонно обаждане; 
• използвайте методи за удостоверяване, устойчиви на фишинг, като например FIDO Tokens или Microsoft Authenticator; 
• инвестирайте в усъвършенствани антифишинг решения, които наблюдават входящите имейли и посещаваните уебсайтове.  

Зловредният софтуер за Android FakeCall вече може да пренасочва изходящите обаждания на потребителите до техните банки към телефонен номер на нападатели. По този начин те стават уязвими както за кражба на чувствителна информация, така и на пари от банковите им сметки. 

FakeCall е инструмент за вишинг с фокус върху банките. Чрез него атакуващите имитират обаждания от официални банки и искат жертвите да споделят критични данни. В допълнение към вишинга, FakeCall може да улавя аудио- и видеопотоци на живо от заразените устройства, което позволява на нападателите да крадат чувствителни данни без взаимодействие с жертвата. 

В най-новата версия, анализирана от Zimperium, зловредното приложение се зарежда като оператор за обаждания по подразбиране. За да се случи това, то иска от потребителя да одобри промяната при инсталирането му чрез APK за Android. Когато зловредният софтуер бъде зададен като обработчик на повиквания по подразбиране, той получава разрешение да прихваща и манипулира изходящи и входящи разговори.  

FakeCall успешно имитира действителния Android dialer, което прави трудно разкриването му.  

Zimperium публикува списък с индикатори за компрометиране, но те могат да се променят постоянно. Така че ви съветваме да избягвате ръчното инсталиране на приложения за Android чрез APK файлове и вместо това да ги инсталирате от Google Play. Макар че зловредният софтуер може да проникне в магазина на Google, когато бъде открит, той се премахва от Google Play Protect. 

Microsoft e най-използваният бранд за фишинг атаки в света. Когато става дума за кампании, базирани на имената на компании, това на създателя на Windows е засегнато в 61% от случаите.   

Apple се нарежда на втора позиция, като името и е замесено в 12% от опитите за фишинг. На трето място е Google – 7%. 

Facebook (3%), WhatsApp (1,2%) и Amazon (1,2%) оформят първата шестица. 

Alibaba прави своя дебют в топ 10 на Brand Phishing Ranking на Check Point Research за Q3 на седмата позиция с 1,1%. Adobe е осма с 0,8%, а деветото и десетото място са съответно за Twitter (0,8%) и Adidas (0,6%). 

Едно от заключенията в доклада сочи, че расте броят на имитиращите центърa за сигурност на WhatsApp страници. Те обикновено подканят потребителите да въведат лична информация, включително телефонен номер и държава или регион, под претекст за разрешаване на проблеми с акаунти. 

Тези данни показват, че трябва да бъдете изключително внимателни, когато получавате неочаквани имейли от водещи имена на технологичното поле (и не само). Ако получите подобно съобщение, направете всичко необходимо да се уверите в автентичността на подателя. 

Хакерите все по-често използват мобилните телефони на българските потребители като вектор за атаките си. За това предупреди пред Bloomberg TV Bulgaria Светлин Лазаров, ръководител на отдел „Дигитални анализи и киберразузнаване“ към дирекция „Киберпрестъпност“ в ГДБОП.

По думите му най-често тези атаки започват с фалшив SMS, който уж е от „Български пощи“ или е свързан с някаква награда. Потребителите са приканени да отворят линк, който ги води на фишинг страница, в която, за да се осъществи трансакцията, те трябва да:

• въведат данните от банковата си карта;
• статичната и динамичната си парола от двуфакторната автентикация.

И тук идва уловката: във фалшивия SMS за динамичната парола пише кода за удостоверяване на превода и за каква сума става въпрос, но сумата е в края на съобщението. Потребителят се интересува от кода и не вижда, че голяма сума пари ще бъде изтеглена от сметката му.

Затова, когато получите подобен SMS, винаги трябва да изчитате цялото съобщение и да сте сигурни за какво става дума, преди да предприемете каквито и да било действия.

Инвестиционни измами

Инвестиционните измами също са сериозен проблем, тъй като могат да бъдат свързани със загуба на сериозно количество средства, обясняват от ГДБОП пред Bloomberg TV Bulgaria.

При тях на жертвата първо се предлага демо сметка с виртуални пари във фалшива инвестиционна платформа, а след като сумата нарасне, тя трябва да инвестира собствени средства.

Ако в сметката се натрупа значителна сума пари и потребителят реши да си ги изтегли обаче, изведнъж комуникацията прекъсва и това става невъзможно.

За да не попаднете в такава ситуация, винаги проверявайте легитимността на платформата, през която смятате да инвестирате, както и отзивите за нея в интернет.

 

Фалшива актуализация за Google Chrome разпространява зловредния софтуер WarmCookie чрез компрометирани уебсайтове. WarmCookie се използва за получаване на достъп до системата на потребителите с Windows и по принцип се разпространява чрез фишинг кампании, свързани с предложения за работа.  

Зловредният софтуер инсталира „задна вратичка“, която позволява както разпространение на повече полезни товари, така и проучване на целевите мрежи. 

WarmCookie краде пръстови отпечатъци, прави снимки на екрана, ексфилтрират откраднати данни, чете и записва файлове и взаимодейства със C&C сървър, за да получава команди. 

За да се предпазите от WarmCookie, проверявайте обстойно надеждността на предлаганите ви актуализации. За най-сигурно използвайте само официални страници, независимо дали става дума за Chrome или за някой друг софтуер. 

Kиберпрестъпниците използват по-широк от всякога набор от злонамерени документи, за да разпространяват зловреден софтуер, и като цяло променят фокуса си при реализацията на фишинг кампании. 

Това е едно от основните заключение на доклада HP Wolf Security Threat Insights Report Q2 2024, според който хакерите дават приоритет на скриптови техники за фишинг пред подходи, основани на традиционни злонамерени файлове. Те заменят често използваните Microsoft Office документи, съдържащи злонамерени макроси, със скриптови езици като VBScript и JavaScript, комбинирайки ги с криптирани архивни файлове. 

Вместо да изпращат прикачен документ, който включва злонамерен макрос, участниците в заплахите изпращат архивен файл, който включва скрит злонамерен код на VBScript или JavaScript заедно с файла, който жертвата иска да изтегли. 

Според доклада на HP Wolf Security през второто тримесечие на 2024 г. 39,23% от атаките със зловреден софтуер са били извършени чрез архивен файл, в сравнение с 27,89% през предходния отчетен период. Компанията за киберсигурност установява, че нападателите са използвали 50 различни формата на архивни файлове за разгръщане на фишинг кампании. 

Усъвършенствана фишинг кампания изпозлва Booking.com, за да открадне пари и лични данни от потребителите. Тя се развива в две основни стъпки:  

• компрометиране на акаунти на мениджъри на места за настаняване;
• измами на клиентите в рамките на официалното приложение на Booking.com. 

Първоначалната стъпка е регистрацията на домейн „extraknet-booking.com“, който наподобява валидния поддомейн „extranet-booking.com“, използван от мениджърите на хотели в Booking.com за административни цели. За да подсили илюзията, фишинг сайтът хоства фалшив портал, който изглежда като легитимния интерфейс на сайта. Той събира чувствителна информация от нищо неподозиращите администратори, включително данни за вход, лична и финансова информация.  

Нападателите използват различни техники – от най-традиционните фишинг имейли до усъвършенствани техники за SEO Poisoning, които класират злонамерените връзки високо в резултатите от търсенето. Често нападателите използват и платени реклами, за да увеличат видимостта на своите портали.  

След като устройствата на управителите на хотели бъдат компрометирани, хакерите използват официалните чатове на Booking.com за разпространяване на зловредни връзки към клиентите – най-критичната и доходоносна част от веригата.  

Затова, когато използвате функцията за чат на платформата, винаги имайте едно наум за изпращаните ви връзки, дори да изглежда, че те идват от легитимен подател.