Phishing

Киберпрестъпниците използват трик за изключване на вградената в iMessage на Apple защита срещу фишинг. Чрез него те подмамват потребителите да активират отново деактивираните зловредни връзки.

Тъй като смартфоните навлизат все повече в ежедневието на хората, хакерите все по-често прибягват до smishing атаки. За да предпази потребителите, Apple iMessage автоматично деактивира връзките в съобщенията, получени от непознати податели. Това важи както за имейл адреси, така и за телефонни номера. Ако потребителят отговори на съобщението или добави изпращача в списъка си с контакти обаче, връзките се активират.

В последните месеци се наблюдава рязко увеличение на smishing атаките, които се опитват да подмамят потребителите да отговорят на даден текст. Хакерите изпращат съобщения, свързани с доставки или неплатени задължения. В него те искат от потребителите да отговорят с „Y“, за да активират връзката.

Нападателите разчитат на факта, че хората са свикнали да въвеждат STOP, Yes или NO, за да потвърждават срещи или да се отказват от текстови съобщения. Дори ако потребителят не кликне върху активираната връзка веднага, това, че взаимодейства, означава, че е подходяща цел за последващи фишинг атаки.

Джейк Мур, глобален съветник по сигурността в ESET, е категоричен:

„Избягвайте да отговаряте на съобщения от непознати контакти. Винаги проверявайте легитимността на всяко съобщение, независимо дали става въпрос за iMessage или в рамките на която и да е платформа. Чак след това предприемайте каквото и да е действие, особено ако то изисква чувствителна информация“.

Киберпрестъпниците използват нова тактика, наречена transaction simulation spoofing, за да крадат криптовалути. При такава кампания успешно са откраднати 143,45 токена Ethereum на стойност приблизително 460 000 USD.

Атаката, забелязана от ScamSniffer, подчертава недостатък в механизмите за симулация на трансакции, използвани в съвременните Web3 портфейли. Парадоксалното е, че те са предназначени да предпазват потребителите от измамни и злонамерени трансакции.

Тази функция позволява на потребителите да преглеждат очаквания резултат от превод в блокчейн, преди да го верифицират и изпълнят. Атакуващите обаче примамват жертвите към злонамерен уебсайт, имитиращ легитимна платформа, която инициира това.

Измамата протича така:

• симулацията показва даден резултат;
• потребителят я одобрява и я подписва за официално изпълнение;
• нападателите използват времето между симулацията и изпълнението, за да променят договора в блокчейн;
• това променя резултата, до който ще доведе трансакцията.

По този начин злонамерения уебсайт да източи портфейла на жертвата и да изпрати криптовалутите към хранилището на нападателя.

Този нов вектор на атака представлява значителна еволюция в техниките за фишинг.

За да се защитите:

• винаги се отнасяйте с подозрение към офертите за безплатна симулация на трансакции;
• използвайте само проверени приложения.

През 2024 г. процентът на кликванията на корпоративни потребители върху фишинг линкове почти се е утроил, според ново проучване на Netskope.

Освен това повече от 8 от всеки 1000 служители са кликвали върху фишинг връзка всеки месец през 2024 – 190% повече в сравнение с 2023 г.

Този ръст, от една страна, се дължи на когнитивна умора, тъй като потребителите са бомбардирани от все повече фишинг имейли. От друга – нападателите стават все по-креативни и организират все по-трудни за откриване атаки.

Най-много фишинг кампании през миналата година, ако се съди от броя на кликванията, са били насочени към облачните приложения (27%). Целта им обикновено е била да се компрометират акаунти и след това да се продаде достъпът на незаконни пазари. Най-голям процент от тях – 42% – са таргетирали облачните услуги на Microsoft.

На второ място се нареждат банковите приложения (17%), а на трето – телекомуникационните доставчици (13%).

От гледна точка на местата, които примамват най-често потребителите да последват фишинг връзка, се откроява една нова тенденция. Имейлите са изпреварени от интернет търсачките (19% от кликовете). В тях нападателите пускат злонамерени реклами или използват т.нар. SEO poisoning техники. Те извеждат зловредните страници на първите места в резултатите от търсенето.

Сред другите основни източници на фишинг връзки са сайтовете за онлайн пазаруване (10%), технологии (8,8%), бизнес (7,4%) и развлечения (5,7%).

За да се предпазите от тази нарастваща заплаха, произтичаща от онлайн поведението на вашите служители, трябва да:

• провеждате редовни сесии за обучение за най-новите тактики за фишинг и разпознаване на подозрителни имейли, връзки и прикачени файлове;
• организирате симулирани фишинг атаки, за да тествате информираността и реакцията на хората си;
• използвате интерактивни модули и платформи за онлайн обучение, за да направите процеса по-увлекателен, достъпен и запомнящ се;
• насърчавате участието в него, като награждавате служителите, които успешно идентифицират опити за фишинг;
• създадете лесни и ясни процедури за докладване на предполагаеми опити за фишинг.

В началото на месеца много потребители на Facebook бяха обект на фишинг атака от името на Meta AI. Това е компания, собственост на Meta, която разработва AI и AR/VR технологии. В случая обаче хакерите използваха името ѝ в кампания за кражба на акаунти.

Сега те са предприели нова тактика, представяйки се за „група ПОДКРЕПА във FACEBOOK”. В съобщенията се казва, че потребителят трябва да потвърди имейла и телефона си на посочен линк преди 1 януари 2025. В противен случай акаунтът може да бъдат заключени. Потвърждението трябва да се направи 24 часа след получаването на съобщението. Жертвата се предупреждава, че няма право на никаква обратна връзка, освен да последва посочения линк.

Това са типичните подходи при фишинг кампания – внушаване на спешност и липса на възможност за получаване на допълнителна информация. Стилистичните грешки в първите изречения също издават характера на съобщението.

За да се предпазите от подобни фишинг атаки във Facebook:

• не кликвайте на подозрителни линкове в съобщения, които идват от непознати профили;
• проверявайте автентичността на съобщенията от името на Meta по официалните канали за поддръжка. Компанията никога не се свързва с потребителите на лични;
• активирайте 2FA. Това добавя допълнителен слой защита, изисквайки втори метод за удостоверяване със SMS код или приложение за сигурност;
• Ако получите съмнително съобщение, използвайте опцията „Докладвай“ във Facebook.

Нова фишинг кампания използва имейли, маскирани като покани от Google Calendar, за да заобиколи защитите на приложенията за електронна поща. Тя е насочена към кражбата на идентификационни данни и измами с цел финансова печалба.

Кампанията, открита от Check Point Software, модифицира имейлите така, че да изглеждат като покана от легитимна организация или лице. Първоначално съобщенията са включвали само злонамерени .ics файлове от Google Calendar. След като става ясно, че софтуерите за сигурност ги хващат, хакерите усложняват подхода. Те добавят връзки към Google Drawings и Google Forms, за да прикрият по-добре дейността си.

Google Calendar се използва от повече от 500 милиона души и е достъпен на 41 различни езика. По този начин платформата осигурява мащабна повърхност за атаки и хакерите не си губят времето. За четири седмици те са изпратили повече от 4000 фишинг имейла. В тях са използвани препратки към повече от 300 бранда.

За да се защитите от тази нова фишинг заплаха, Google препоръчва активирането на настройката „познати изпращачи“ (known senders) в приложението. Тя ще ви предупреди, когато получите покана от някого, който не е в списъка ви с контакти, или с когото не сте взаимодействали преди.

Компаниите трябва да използват усъвършенствани решения за защита на електронната поща, които могат да идентифицират и блокират фишинг атаки. Те трябва да разполагат с функции за сканиране на прикачени файлове, проверки на репутацията на URL адреси и откриване на аномалии.

Не на последно място, използвайте MFA и регулярно обучавайте служителите си за най-новите тактики за фишинг.

Хакерска група е използвала Microsoft Teams, за да манипулира жертвата си да предостави отдалечен достъп до своята система.

Тази иновативна атака подчертава нарастващата сложност на тактиките за социално инженерство, използвани от киберпрестъпниците, посочват от Trend Micro.

Тя протича така:

• хакерите изпращат към жертвите поток от фишинг имейли;
• малко след това нападателят инициира разговор в Microsoft Teams, представяйки се за служител по техническата поддръжка;
• по време на разговора нападателят инструктира жертвата да изтегли легитимно приложение за отдалечена поддръжка – AnyDesk;
• след като то е инсталирано, той получава контрол над машината на жертвата и инсталира зловреден софтуер;
• чрез AnyDesk изпълнява команди и събира подробна информация за системата и мрежовите конфигурации.

За да се предпазите от подобни атаки:

• винаги проверявайте самоличността на трети страни, които се представят за техническа поддръжка, преди да предоставите достъп;
• създайте бял списък на одобрените инструменти като AnyDesk и въведете MFA за допълнителна сигурност;
• обучавайте регулярно служителите си за тактиките на социалното инженерство, като фишинг и вишинг, за да намалите податливостта към такива атаки.

Този инцидент служи като ярко напомняне за това как нападателите използват доверието и легитимните платформи като Microsoft Teams за зловредни дейности. Бдителността и проактивните мерки за сигурност са от съществено значение за осуетяване на подобни заплахи.

Над 200 000 създатели на съдържание в YouTube са станали мишена на киберпрестъпници в рамките на новооткрита фишинг кампания.

Злонамерените имейли се изпращат от името на известни брандове с теми като „Предложение за сътрудничество“ и „Възможност за маркетинг“. Те съдържат защитени с парола архиви, хоствани в облачни платформи като OneDrive.

След като се разархивират, изпълнимите файлове, маскирани като споразумения или рекламни материали, инсталират зловреден софтуер. Той е предназначен за кражба на чувствителна информация – данни за вход и бисквитки на сесии – или за получаване на отдалечен достъп до машината на жертвата.

За да се защитите:

• проверявайте задълбочено данните на подателя на имейла и потвърждавайте интереса чрез официалните канали на брандовете;
• избягвайте да теглите файлове или да кликате върху връзки от непознати или подозрителни източници;
• активирайте двуфакторно удостоверяване, за да добавите допълнително ниво на сигурност към своя акаунт в YouTube;
• редовно проверявайте профила си в YouTube за неоторизирани влизания или промени;
• уверете се, че всички, които участват в управлението на акаунта ви в платформата, са запознати с най-новите фишинг тактики.

 

Продължаваща фишинг кампания таргетира служители на над 30 компании от 12 индустрии в 15 държави, част от които европейски.

Досега тя успешно е разпространила над 200 зловредни връзки, предназначени за credential theft. Отраслите, към които е насочена тази фишинг операция, включват eнергетика, мода, финанси, аерокосмическа индустрия, производство, телекомуникации и държавна администрация.

Нападателите използват усъвършенствани техники за заобикаляне на защитите на електронната поща и избягване на откриването, предупреждават от компанията за киберсигурност Group-IB.

Те включват:

• Изпращане на фишинг имейли от доверени домейни;
• динамично брандиране на съобщенията в стила на атакуваната компания;
• имитации на официални платформи за работа с документи.

Нападателите вграждат злонамерени URL адреси в легитимни услуги като Adobe.com и Google AMP, което затруднява откриването им от инструментите за сигурност. Те използват и фалшиви известия от DocuSign.

За да не станете част от жертвите на тази кампания:

• активирайте MFA за допълнително ниво на сигурност;
• обучавайте служителите си да проверяват информацията при получаване на неочаквани имейли, преди да предприемат действия;
• прилагайте усъвършенствани системи за филтриране на електронна поща, които могат да откриват и блокират заплахите.
• редовно следете акаунтите си за неоторизиран достъп.

Професионалистите в киберсигурността оценяват положително въздействието на GenAI върху своята сфера.

Въпреки че технологията прави кибератаките по-опасни, 46% от тях смятат, че тя оказва положително влияние като цяло. 44% са неутрални, а едва 6% се изказват негативно, сочи докладът Generative AI and Cybersecurity: Risk and Reward на Ivanti.

Освен това 90% смятат, че GenAI е от полза за екипите по киберсигурността поне толкова или повече, отколкото за нападателите. 85% пък твърдят, че тези инструменти ще подобрят силно или умерено производителността на работата им.

GenAI има редица потенциални приложения в киберсигурността – от подобряване на ефективността на екипите до създаване на сигурен код. Технологията може да е полезна и предвид недостига на таланти с нужните умения. Според оценки на ISC2 в момента глобалният недостиг на такива наброява 4,8 млн. души.

Въпреки изразения оптимизъм респондентите признават, че GenAI ще увеличи значително сериозността на различните видове кибератаки. Попитани: „Кои от тези заплахи ще станат по-опасни благодарение на технологията?“, те ги подреждат в следния ред:

• фишинг (45%);
• използване на уязвимости в софтуера (38%);
• ransomware атаки (37%);
• използване на уязвимости, свързани с API (34%);
• DDoS атаки (31%);
• атаки, възполващи се от лошо криптиране (27%).

57% от професионалистите смятат, че обучението на служителите е най-важната защита срещу атаките със социално инженерство, задвижвани от GenAI. Въпреки това едва 32% казват, че обичайните обучителни програми са „много ефективни“ за защита от подобни заплахи.

Нова PhaaS платформа улеснява широкомащабните атаки от типа adversary-in-the-middle (AiTM) за кражба на идентификационни данни за Microsoft 365.

Rockstar 2FA позволява на нападателите да заобикалят MFA на целевите акаунти чрез прихващане на валидни сесийни бисквитки. Te насочват жертвите към фалшива страница за вход, имитираща Microsoft 365, и ги подмамват да въведат своите идентификационни данни.

AiTM сървърът действа като прокси и препраща тези данни към легитимната услуга на Microsoft. По този начин завършва процеса на удостоверяване и улавя „бисквитката“, когато тя се изпраща обратно към браузъра на целта. Тази бисквитка може да бъде използвана за директен достъп до акаунта на жертвата, дори ако той е защитен с MFA.

Rockstar 2FA е придобил значителна популярност сред киберпрестъпниците от август 2024 г. насам. Платформата се продава за 200 долара за две седмици. От май 2024 г. насам тя е създала над 5000 фишинг домейна, които улесняват различни зловредни операции.

Съобщенията използват различни примамки – уведомления за споделяне на документи, известия от ИТ отдела, предупреждения за смяна на парола и др. Те разчитат на редица методи за избягване на блокиране, включително QR кодове, включване на връзки от легитимни услуги и прикачени PDF файлове.

Във времена на лесен достъп до мощни фишинг инструменти всеки трябва да е много внимателен с имейлите, които получава. Особено ако те съдържат файлове или линкове.