Фишинг атака от името на CEZ България, разпространяваща фалшива „фактура“ от името на електроразпределителното дружество, е засечена сред български потребители. Атаката е особено добре изпълнена, тъй като времето на изпращане съвпада с изпращането на истинските фактури от страна на CEZ.
Според официалното съобщение на компанията, писмото имитира фактура за потребителска сметка от дружеството в .7z формат (който съдържа вирус) и линк, който води към фалшива форма за логин в системата на CEZ. От компанията (а и ние) съветват потребителите да не отварят съобщението и да го изтрият веднага.
Текстът на писмото е:
Уважаеми Господине / Госпожо,
В прикачен файл Ви изпращаме Вашата нова фактура от ЧЕЗ Електро България АД. Моля, потвърдете получаване на настоящото съобщение като кликнете тук.
Спестете време и платете сметката си към ЧЕЗ чрез електронно банкиране, предлагано от Вашата банка или онлайн на www.ePay.bg.
Това е автоматично генерирано съобщение, моля, не отговаряйте на този имейл!
За връзка с нас: информационна линия 0700 10 010, www.cez.bg, [email protected]
При клик на линка се отваря страница с домейн, който няма общо с CEZ, на който е отбелязано, че мнимата сметка трябва да бъде погасена до 1 февруари 2019 г.
При стартиране, прикачения файл се опитва да свали троянец, който стартира ransomware.
Как да разпознаете фишинга от CEZ:
Файловият формат. От CEZ изрично уточняват, че изпращат фактури само в PDF формат
Линкът, към който води мейла, е различен от сайта на компанията – bg. Ако искате да видите електронната си фактура, може да използвате логин формата на сайта – без да кликате по линкове в електронната си поща
Поредната масова фишинг атака от името на български банки се разразява през последните дни. Целта е позната – кражба на потребителски имена и пароли за електронно банкиране на потенциалните жертви.
Имейлът от атаката, използваща името на ПИБ
Сред банките, от чието име се разпращат фалшиви писма, са Първа Инвестиционна Банка и Централна Кооперативна Банка.
Как действа атаката?
Мейлът от името на ЦБК
И двете атаки действат по познат сценарий – потребителите получават мейл, в който се съдържа фалшиво предупреждение за спиране на достъп до сметката на жертвата. В случая – от името на ПИБ се разпространява предупреждение за подозрителна активност в профила на потребителя, които са довели до блокиране на сметката. При ЦКБ посочената причина за ограничен достъп е необходимост от потвърждаване на данните в профила.
И в двата случая потребителите са пренасочвани към фалшиви страници, в които трябва да въведат потребителското име и паролата за достъп до електронното банкиране на съответната банка. Страниците са много близки копия на оригиналите, за да заблудят потенциалните жертви.
Навременна реакция
Фалшивото копие на сайата на ПИБ
И двете банки предупреждават потребителите си за разразилата се атака. В официалните си позиции, те коментират, че не биха изпратили мейли, в които да искат допълнителна информация от потребителите си след клик на линк.
Не предоставяйте Ваши лични данни и информация, свързана с достъпа ви до интернет банкирането, вашата банкова сметка и карта. Паролите за достъп са конфиденциални и винаги са известни само и единствено на вас. Тази информация не е необходима на Банката и няма да бъде поискана от вас. официална позиция на ПИБ
Как да се предпазим?
Поредната фишинг атака най-вероятно няма да е и последната.
Основното правило, което трябват да спазват потребителите в тази ситуация, е да действат с повишено внимание. Банката ви няма да поиска от вас да потвърдите информация в профила си просто така, с изпратен имейл. Сериозно действие като спиране на достъп до блокиране на сметката ви ще се случи след потвърждение за подозрителната активност от ваша страна, обикновено – след потвърждаване на това по телефонно обаждане.
Имейл, изпратен от името на Д Банк
Други основни съвети, които да спазвате:
Проверявайте адреса на изпращача – дори и домейнът да прилича на оригиналния, може в него да има заменена буква от латиница на кирилица (например, „а“ изгелжда по един и същи начин и в двете азбуки).
Не кликайте на линкове – при съмнение, просто влезте в сайта на банката, като сами въведете адреса му в полето на браузъра.
Дори и да не сте клиент на банката – съобщете ѝ за подозрителната активност, по този начин може да помогнете на други хора, които биха се хванали на кукчиката на атакуващите.
Оттук става ясно, че съобщението няма нищо общо с ПИБ и идва от чуждестранен мейл сървър. Тъй като този атрибут също може да бъде подправен. Нека продължим да анализираме. Преглеждайки съобщението по-надолу, се натъкваме на следния ред.
Received: from pfadis-neckarau.de (pfadis-neckarau.de [188.40.49.183])
Той ни показва и IP адреса на сървъра от, който идва мейл съобщението. При проверка на отворените портове
25/tcp open smtp Postfix smtpd
80/tcp open http Apache httpd 2.4.10
443/tcp open ssl/http Apache httpd 2.4.10
Става ясно, че върху този сървъра работи мейл сървър, както и уеб сървър, на който е хоствано уеб приложение. Връщайки се малко по-нагоре в нашия анализ, забелязваме че съобщението идва от потербител www-data. Читателите, които имат опит в администрацията на *nix базирани системи и хостваните на тях сървъри, знаят че това е потребителя, в контекста на който работи уеб сървъра.
Лендинг страница от името на Д Банк
Досещате ли се вече какъв е вектора на атака?
Нека анализираме още малко, за да разберем защо мейлите са минали Spam проверката на повечето Spam филтри.
При проверка на мейл сървъра в blacklist на основните доставчици.
Виждаме, че това е съвсем легитимен сървър, който минава „почти“ всички тестове и няма проблем да изпраща съобщения.
Но къде е проблемът?
Накратко, компрометирано уеб приложение в контекста на което, е получен достъп до уеб сървъра. Дали атакуващите имат shell достъп до самия сървър или използват компрометирана форма за разпространение на спам съобщение не е обект на нашия анализ.
При всички положения това е ярък пример колко опасно може да бъде едно не добре написано уеб приложение и какви вреди може да донесе потребителите както от страна на собственика на приложението, така и на останалите участници в интернет.
Специалисти по информационна сигурност алармират за нов начин, чрез който Email phishing кампании могат да заобиколят защитата на Microsoft Office 365, както и на други скенери базирани на техники за разпознаване и анализиране на текст.Прочетете повече »
Световното първенство по футбол в Русия започва на 14 юни. Още преди откриването, интернет гъмжи от опити за експлоатиране на феновете най-големия футболен форум в света. Ето някои от по-популярните методи за злоупотреба и как да се предпазите от тях.
Кражбата на данни повежда играта
Една от основните съпътстващи футбола дейности са залаганията. Именно феновете на идеята да спечелят от футболните си познания с една от основните цели на киберпрестъпността. Измамни мейли за участие в томболи, игри за билети, продажби и други. Заедно със заявката си за участие, трябва да споделите и солидна част от чувствителната си информация за целите на играта – или по-точно да се разделите с нейната сигурност за нечия чужда облага.
Други стратегии включват съобщения, които приканват потребителите да изтеглят и инсталират приложения, които съдържат злонамерен код. Атакуващите подхождат все по-експедитивно като използват поздравления за победа или приканване за споделяне на впечатления в социалните медии.
Където дигиталния и физическия свят се срещат
Най-силно застрашени са хората, които пътуват, за да присъстват на игрите. Защото те могат да станат жертва на измами, като например фалшиви WiFi хотспотове, създадени с цел кражба на лични данни. Иначе казано – не винаги е нужно данните или парите ви да бъдат взимани на сила – понякога жертвите ги дават доброволно, без дори да разберат.
Една от често срещаните схеми за финансова облага включва превземането на потребителски мейл акаунт. Обикновено то бива последвано от „зов за помощ“ към цялата контакт листа – бедствате без никакви финанси и няма как да се приберете (или това виждат близките ви от съобщението). В действителност, докато разглеждате за подаръци, от вкъщи може би вече изпращат пари към нечий тръпнещ в очакване джоб.
Друг подход е показването на фалшиви уеб страници, които приканват потребителя да обнови настройките си, за да използва мрежата. Вместо това, обаче, се изтегля и инсталира зловредно приложение, което може да следи активността ви, да я предава в реално време и да изчака следващия път, когато използвате банкиране през самртфона си.
Никой не е в безопасност – дори играчите
Уви, през последните няколко години атаките над играчи и известни личности зачестиха значително. Това е от части и заради публичността, която атакуващите могат да си осигурят чрез тях. Високо профилните мишени също представляват много по-голям интерес на пазара за информация.
Заплахата стига до там, че футболната асоциация ще предоставя собствени WiFi точки за достъп и инструктира играчите допълнително да не споделят информация, която може да разкрие местоположението на отбора или тактика за предстоящата игра.
Прогнозата изглежда мрачна, но не е трудно да се предпазим
Не можем да очакваме нищо повече от повече и по-сложни атаки срещу фенове, а и срещу отбори и домакини от следващите първенства – било то с политическо или лично основание. Докато професионалистите могат да разчитат на подобаваща на статуса им подкрепа, средностатистическия потребител трябва да реагира самостоятелно.
Ако можете да различите фалшив от истински „Download” бутон, то вероятно можете да разпознаете и повечето средства за онлайн измама, които визираме тук. Това, обаче, не пречи да ви препоръчаме:
Отнасяйте се към всички линкове и прикачени файлове с нормално голямата доза скептичност
Публичните WiFi мрежи са игралната площадка на всеки, желаещ да се упражнява в „тъмните изкуства“. Личен VPN или споделяне на сигурна мрежа ви правят невидими на площадката.
Ако едно устройство има нужда от връзка с интернет, има нужда и от адекватната защита – антивирусен софтуер с вграден антифишинг, спам филтър и други стандартни защити. Устройството ви трябва да разполага с обновена операционна система и всички последни защитни патчове.
Говорете с хората покрай вас – жертви на измама най-често невежите. Без значение дали е от загриженост или нужда от добра карма, чувствайте се длъжни да им обясните.
Народът е казал, че който го е страх от мечки, не ходи в гората. Всички се сещаме, обаче за даден човек (или хора), които някак си всеки път се натъкват точно на мечката. Има различни технически средства като уеб филтри, които са включени в повечето модерни антивирусни решения – използвайте ги ако се опасявате.
Има един метод за атаки онлайн, който не остарява, но работи все така ефективно. Той не е софистициран не изисква детайлни познания по програмиране, компютърни мрежи или каквото и да било. За да реализирате успешна фишинг (phishing) атака имате нужда от познания по човешка психология, добър тайминг и малко средства, с които да наемете необходимите инструменти. За да се предпазите от phishing атака, обаче, ви трябва малко повече от просто внимание.
Огромна успеваемост
Над 30% от изпратените през 2016 г. фишинг имейли са били отворени. Над 30%! За такава успеваемост маркетинг отделите могат само да си мечтаят. Данните са на Verizon, а успехът се дължи на факта, че кибер-престъпниците успяват да се възползват от доверчивостта на хората (крайните потребители) – нещо, за което няма инструмент за защита.
Има ли как да се предпазите от това станете поредната жертва на кукичките на кибер-престъпниците? Отговорът е прост: да. Преди да направите каквото и да било, прочетет долните 5 съвета:
1. Очаквайте неочакваното
Според прочуване на Wombat Security, най-успешните фишинг атаки са прикрити под формата на нещо, което един потребител очаква. Това са документи от HR отдела, потвърждение за успешна покупка или съобщение за смяна на парола, което изглежда сякаш идва от IT отдела.
Затова, преди да свалите прикачени файлове от тези имейли или да кликнете на линк в тях, помислете два пъти. Купували ли сте нещо от точно този магазин онлайн скоро? Познат ли ви е този магазин изобщо? А мейлът, от който е изпратена фактурата, същия ли е като обикновено?
Най-добрият съвет в тази ситуация: не се стеснявайте да звъните на компаниите, от чието име идва подобна кореспонденция. Едно телефонно обаждане може да ви спести хиляди неприятности. Колкото и истинско да изглежда едно съобщение, то може да е добре прикрита измама.
2. Проверявайте достоверността
Ако получите мейл – или дори чат съобщение от някой, който не познавате – но и от вас се очаква клик или подобно действие – пазете се. Повечето легитимни компании няма по никакъв повод да изискат от вас да смените паролата си или да дадете лична информация с подобно съобщение.
3. Не кликайте
Обикновено, фишинг атаките целят да накарат потребителя да кликне на линк, в който да въведе потребителско име и парола – като по този начин да споделите сами данните си за достъп.
Най-лесният начин да „хванете“ подобен ход е като сравните домейните. Facebook1234567.com не е легитимен сайт. Facebook.com.fbcopy.com също не е легитимен сайт.
Следете информацията за SSL сертификата на домейна, на който сте – може да я намерите ето така:
4. Следете правопис и граматика
Много малко вероятно е истинска корпоративна комуникация да съдържа в себе си очевидни правописни и граматически грешки. Някой и друг тайпос в бързината между поредното ниво на одобрение – да. Но неправилен език – със сигурност не.
Обръщения като „Dear Customer“, „Dear Member“, „Уважаеми“ също трябва да карат червената лампа в глава ви да светне предупредително.
5. Спешно, спешно!
Ако от вас се очаква спешно действие или получите мрачно предупреждение, че акаунтът ви може да бъде спрян (или нещо подобно), то най-вероятно не е така. Или поне проверете по вече споменатия метод с телефонно обаждане, че подобна опасност е реална.
Създаването на спешност е често срещана тактика – защото в бързината човек е най-склонен да допуска грешки. Например, да сподели паролата си с който не трябва.
Еволюцията на фишинга
Тези 5 стъпки със сигурност не са най-добрия самоучител за справяне с фишинга – но са едно добро начало. Защото атаките еволюират – а ние трябва да се научим да се пазим по-ефективно от тях.
Затова, следете freedomonline.bg – където ще може да намирате подобни съветници как да се предпазите от дигитални атаки – защото те ще имат ефект върху реалния ви живот.
Нов списък със 711 милиона имейл адреса е открит от базиран в Париж киберексперт, познат само с псевдонима Benkow. Това е най-голямата база данни с компрометирани имейл адреси, откривана досега, съобщава IFL.
Списъкът е от две части – първата съдържа само имейл адреси, а втората имейли и пароли.
„Миналата седмица с мен се свърза киберексперт на име Benkow“, разказва Трой Хънт, регионален директор на Microsoft за Австралия и автор на блога troyhunt.com.
“Benkow ме предупреди за наличието на голям спам списък, който разследва от известно време“, припомня си Хънт.
Според Хънт определението „голям“ е относително в такива случаи: „Последният подобен списък, върху който работих беше с 393 милиона адреса, но този път наистина бях впечатлен, защото новият списък съдържаше 711 милиона имейла. За сравнение това е почти толкова колкото цялото население на континента Европа“
Benkow се натъкнал на базата данни като разследвал “машина“ (автономен алгоритъм) за събиране на имейл адреси, наречена Onliner Spambot. Замаскиран IP адрес с включена функция за списъчни директории съдържа текстови файлове със самите имейл адреси.
Хънт съобщава, че спам сървърът е с холандски IP адрес, и че доверен източник в Ниските земи вече е установил контакт с органите на реда.
Публично достъпните директории на сървъра са позволили на Benkow да придобие представа за мащаба и начина на извършване на престъплението. Списъците са с обща големина 40 GB и съдържат имейли и пароли в чист текст, имейли, набелязани за разпращане на спам и файлове за конфигурация на спам ботовете.
Изглежда, че част от списъка с имейли и пароли е резултат на фишинг кампания във Фейсбук (около 2 милиона). Освен това са компрометирани цели 379 хиляди имейла на австралийски държавни служители (gov.au) и над 20 милиона имейли и пароли с руски домейни (.ru).
Добрата новина е, че г-н Хънт поддържа специално създадения за такива случаи сайт Have I Been Pwnd (HIBP). Сайтът представлява търсачка за имейл адреси, компрометирани във всички най-големи информационни пробиви досега. Хънт уверява, че базата данни със 711-те милиона адреса вече е качен на HIBP и всеки може да провери дали е станал жертва.
Препоръчваме на всеки читател на тази статия да посети Have I Been Pwndи да напише личния си и работен имейл, за да провери дали е компрометиран. Ако имейлът ви фигурира в списъка, незабавно сменете паролата.
Най-добрата защита срещу подобни атаки са силната парола и двуфакторната верификация. Уверете се, че разполагате и с двете.
