Спам

  • PayPal, Facebook, Microsoft, Netflix и WhatsApp са най-използваните брандове за спам и фишинг

    Имената на PayPal, Facebook, Microsoft, Netflix и WhatsApp са най-често използваните при фишинг и спам кампании през последното тримесечие на 2019 г. Данните са на анализаторите от Vade Secure.

    Лидер е услугата за онлайн разплащания. Класирането е по брой засечени фалшиви URL-и, имитиращи компании, използвани за фишинг кампании. За PayPal са засичани средно 124 различни фишинг линка всеки ден през последните 3 месеца на миналата година – или общо 11 392 засечени фалшиви копия на сайта.

    На второ място в годишната класация е Facebook с 9 795 отчетени фалшификата, а на трето – Microsoft (8 565 фишинг линка). Топ 5 се допълва от Netflix (6 785 линка) и WhatsApp (5 020 линка).

  • 5 съвета за по-сигурен имейл

    Имейлът е гръбнакът в комуникацията на огромна част от съвременния бизнес. През електронната поща се обменят оферти, договори, фактури и други критични за една организация документи. Въпреки това, все още масовата защита за имейла на един бизнес остава само потребителско име и парола. Какво още може да направите, за да защитите имейл кореспонденцията на бизнеса си?

    1. Защитете съдържанието на съобщенията

    Ако сте изпращали хартиена пощенска картичка, знаете, че съдържанието и е лесно достъпно за всеки. Освен, ако не я затворите в пощенски плик – така ще се знае кой е подателят и получателят на съобщението, както и откъде докъде трябва да стигне то. Но не и какво пише в него. Подобна е ситуацията и с имейлите ви.

    „Пликът“ за имейла се нарича transport-level криптиране. Предимството на този метод е достъпността – обикновено такъв тип криптиране не изисква допълнителни действия от страна на потребителите. Недостатъкът е като при хартиеното писмо – по пътя на мейла, някой може да отвори плика и да прочете съобщението, без подателят и получателят да разберат.

    Малко по-сложен за потребителя, но малко по-сигурен метод за защита е end-to-end encryption – когато криптирането се извършва още преди изпращането на писмото, а получателят трябва да има специален ключ и софтуер, за да го прочете. По-сложно, но препоръчано.

    2. Филтрирайте нежеланите съобщения

    Огромна част от съвременната мейл кореспонденция е спам, скам, фишинг и др. Филтрирането на такъв тип нежелани писма още на входа на мрежата може да ви спести много зарази с вируси и загубено време от страна на екипа ви. Не малка част от доставчиците на имейл услуги предоставят някакво ниво на защита от подобна нежелана кореспонденция. Атаките, обаче, стават все по-сложни и трудни за засичане, а зловредните кодове – все по-добре прикрити. Това означава, че просто един blacklist (списък със забранени домейни) може да е крайно недостатъчен.

    От друга страна много служители изпращат информация под формата на документи, електронни таблици или презентации, без дори да е необходимо те да бъдат споделяни през имейл. Този процес може да бъде ограничен чрез въвеждане на политики относно правата на съответния служител да получава или изпраща корпоративна информация онлайн и налагането им чрез адекватни DLP решения.

    3. Двуфакторна автентикация

    Само парола, колкото и да е сложна тя, може да е крайно недостатъчна за защита на имейла на организацията ви. Решението: имплементиране на двуфакторна автентикация. Това е  едно добро начало да решите проблема със загубени, компрометирани или просто твърде просто за отгатване пароли на служителите ви.

    4. Защита от подмяна на изпращач и получател

    Иначе казано – защита от до болка познатата от години тактика да се подменя съдържание на имейл, например. Представете си, че изпращате имейл с фактура. Но някой подменя приложения в имейла файл, в който подменя вашия IBAN с фалшив такъв.

    Така, ако бъде платена, парите по тази фактура ще отидат в чужда сметка.

    Ами, ако някой изпрати имейл от ваше име – и от вашия домейн (spoofing)? Преди да комуникирате на воля, помислете за тези атаки и отново: наложете двуфакторна автентикация и политика за подмяна на пароли навреме (включително и политика за сложност на паролите, които използват служителите ви).

    5. Защита на софтуера

    От съществена важност за ограничаване на злоупотребите с информацията в имейла е и редовното актуализирате на използвания софтуер, включително операционната система, приложението и браузъра, който се използва за достъп.

    Това са само част от стъпките, които е хубаво да предприемете. И не забравяйте – защитата ви е непрекъснат процес, добрата конфигурация е само началото. Не спирайте да осъвременявате и гарантирате за спазването на политиките ви.

  • Scam измамите стигнаха и в космоса или как нигерийските принцове станаха космонавти

    Внимание! Написаното по-долу е история, разказана по scam имейл. Историята на Абача Тунде не е истинска. Ако получите такъв мейл не отговаряйте на него!

    Надали има интернет потребител, който да не е получавал съобщение от нигерийски принцове или милионери с обещания за несметни богатства. И, ако до скоро тези scam измами бяха относително скучни и еднотипни – обещавайки милиони долари от наследство или просто в замяна на услуга за „освобождаването им“ от определени банки, сега креативността на създателите им буквално се изстреля в космоса.

    Защо в Kосмоса? Защото из мейлите си може да намерите зов за помощ от майора от нигерийските военновъздушни сили Абача Тунде, който се нуждае от дарения, за да се върне на Земята след близо 30 години изгнание в Космоса. Пълната му история може да видите в текста на имейла по-долу, но резюмето е:

    • Абача Тунде е първия африканец в космоса, осъществил секретен полет до орбиталната станция Салют 6 през 1979 г.
    • През 1989 г. Тунде отново лети – този път до Салют 8Т през 1989 г. – и така не стига обратно до Земята
    • Причината за заточението му е фактът, че мястото му е било заето от товара, който е трябвало да бъде върнат на Земята
    • От 1990 г. и до момента към Тунде са изпращани доставки на провизии посредством мисии на снабдителния кораб Прогрес
    • По време на престоя си в космоса нигерийският астронавт е натрупал завидните 15 млн. USD от плащания по заплатите му и лихвите по тях (все пак, в Космоса най-вероятно няма за какво толкова да се харчи)
    • Завръщането му на Земята би струвал 3 млн. USD – които трябва да бъдат платени от горната сума, която от своя страна е съхранявана от Lagos National Savings and Trust Association
    • За освобождаването на самата сума, обаче, се очаква помощта на получателя на мейла – каква точно е тя, не се споменава
    • Като благодарност за спасението на Тунде, изпращащите мейла обещават 20% от сумата, натрупана по сметките му

    А ето и самото писмо – в оригинал:

    Subject: Nigerian Astronaut Wants To Come Home
    Dr. Bakare Tunde
    Astronautics Project Manager
    National Space Research and Development Agency (NASRDA)
    Plot 555
    Misau Street
    PMB 437
    Garki, Abuja, FCT NIGERIA

    Dear Mr. Sir,

    REQUEST FOR ASSISTANCE-STRICTLY CONFIDENTIAL

    I am Dr. Bakare Tunde, the cousin of Nigerian Astronaut, Air Force Major Abacha Tunde. He was the first African in space when he made a secret flight to the Salyut 6 space station in 1979. He was on a later Soviet spaceflight, Soyuz T-16Z to the secret Soviet military space station Salyut 8T in 1989. He was stranded there in 1990 when the Soviet Union was dissolved. His other Soviet crew members returned to earth on the Soyuz T-16Z, but his place was taken up by return cargo. There have been occasional Progrez supply flights to keep him going since that time. He is in good humor, but wants to come home.

    In the 14-years since he has been on the station, he has accumulated flight pay and interest amounting to almost $ 15,000,000 American Dollars. This is held in a trust at the Lagos National Savings and Trust Association. If we can obtain access to this money, we can place a down payment with the Russian Space Authorities for a Soyuz return flight to bring him back to Earth. I am told this will cost $ 3,000,000 American Dollars. In order to access the his trust fund we need your assistance.

    Consequently, my colleagues and I are willing to transfer the total amount to your account or subsequent disbursement, since we as civil servants are prohibited by the Code of Conduct Bureau (Civil Service Laws) from opening and/ or operating foreign accounts in our names.

    Needless to say, the trust reposed on you at this juncture is enormous. In return, we have agreed to offer you 20 percent of the transferred sum, while 10 percent shall be set aside for incidental expenses (internal and external) between the parties in the course of the transaction. You will be mandated to remit the balance 70 percent to other accounts in due course.

    Kindly expedite action as we are behind schedule to enable us include downpayment in this financial quarter.

    Please acknowledge the receipt of this message via my direct number 234 (0) 9-234-XXXX only.

    Yours Sincerely, Dr. Bakare Tunde
    Astronautics Project Manager
    [email protected]

    http://www.nasrda.gov.ng/

     

  • Скрипт може да заобикаля аудио версията на reCAPTCHA в 90% от случаите

    Екип на Университета в Мериленд е публикувал нова версия на софтуер, който може успешно да покрие аудио теста на reCAPTCHA в 90% от случаите. Антиспам услугата, която е собственост на Google, се използва за борба с фалшивия интернет трафик и спам съобщенията.

    Кодът се казва unCaptcha2 и е публикуван за сваляне в GitHub. Той е нова версия на софтуера, който екипа на университета публикува през 2017 г. Тогава успеваемостта му беше 85%. „Благодарение на промените в аудио версията на reCAPTCHA, заобикалянето му е по-лесно от всякога. Кодът ни трябва да направи само една заявка до някой обществено достъпен API за конвертиране от реч към текст, за да постигне 90% успеваемост“, казват авторите на unCaptcha2.

    Софтуерът работи по следния начин: той сваля аудио теста на reCAPTCHA, изпраща го към услуга за конвертиране на реч в текст и след това въвежда получения текст като отговор в полето на антиспам филтъра.

    Още в края на юни Google е информирана за факта, че unCaptcha2 преминава с 90% успеваемост през аудио версията на популярния антиспам филтър. От компанията обаче не са счели за необходимо да предприемат някакви действия. „Екипът на reCAPTCHA знае за този вектор на атака и потвърждава, че е съгласен да публикуваме кода въпреки високата му успеваемост“, казват авторите на софтуера.

    reCAPTCHA се използва от поне 3.8 млн. сайта, включително и почти 600 български, според данните на Built With. Основната му цел е да спира публикуването на спам коментари, в които може да се крият зловредни линкове към малуер.

     

  • Вирусът MuddyWater дебне в прикачени MS Word документи

    Нова кампания на небезизвестния вирус MuddyWater, която използва стартиране на PowerShell script в MS-Word документ, бе разкрита от анализаторите на Trend Micro.

    Вирусът бе засечен за първи път през 2017 г. и бе насочен срещу правителството на Саудитска Арабия. По-късно нова серия от атаки бяха извършени към други страни като Турция и Пакистан, а през март тази година – и към Таджикистан.

    Новото и различно при тази вълна на кампанията е, че атаката не използва VisualBasic Script и PowerShell компонентни файлове, а директно инжектира скрипта, нужен за атаката в самия Word документ.

    Как протича заразата

    Първата стъпка от атаката обикновено цели да заблуди жертвата. Тя получава мейл с обещания за награда или промоция и бива подмамена да изпълни макрокода в документа, прикачен към лъжливото писмо.

    След послушното стартиране на кода, той използва фукнцията Document_Open(), за да стартира автоматично зловредната си част. Задълбочен анализ на малуера показва, че PowerShell скрипта, който декодира съдържанието на зловредния документ, води до изпълненито на втори скрипт.

    Изпълнението на втория PowerShell скрипт използва различни зловредни компоненти, намиращи се в %Application Data%\Microsoft\CLR\*, които от своя страна стартират финалния payload – PRB-Backdoor (няма общо с Прокуратурата на Република България :) ). PRB-Backdoor е инструмент, който комуникира с команден център, изпращайки или получавайки специфични команди, чрез които извършва своята зловредна активност.

    За улеснения на читателите, прилагаме така наречения IOC (Indicator of Compromise), които може да бъде използван за засичане на атаката.

    SHA -1 – 240b7d2825183226af634d3801713b0e0f409eb3e1e48e1d36c96d2b03d8836b

    Съвет от специалистите – как да се предпазим

    Най-добрият начин за предпазване от този тип атаки е да не се доверявате и да не отваряте съдържанието на съмнителни документи или мейли, които ви обещават промоции, награди или други финансови облаги.

    Разбира се, не можем да минем и без да ви посъветваме да използвате лицензиран антивирусен софтуер, за да имате шанс пред атакуващите, в случай че все пак отворите документа.

     

  • Прост метод позволява заобикалянето на защита от опасни линкове в Office365

    Изненадващо прост начин за заобикаляне на една от защитите на Office365 е разкрита от потребители на услугата.

    Засегната е функцията Safe Links, която се грижи за блокирането на потенциално опасни линкове в имейли и документи.

    Методът, който престъпниците използват, е поставянето на <base> таг в HTML хедъра, което разделя зловредния URL на части. По този начин, Safe Links не проверява пълния адрес и потребителите не получават адекватна оценка на безопасността му.

    Методът, именуван baseStriker, работи срещу настолната, уеб и мобилна версия на Outlook, тъй като и двете поддържат <base> тага. Клиенти като Gmail не са засегнати.

    Microsoft са осведомени за уязвимостта и компанията вече разследва проблема.

  • WhatsApp бъг позволява забиване на приложението с текстово съобщение

    Популярното приложение за комуникация WhatsApp е уязвимо на атака със специфично съобщение, което води до блокирането му. Бъгът е забелязан от потребители и може да доведе до спиране на работата на цялото устройство.

    В зловредното съобщение се съдържат специфични знаци, които се обработват неправилно от приложението и водят до фатална софтуерна грешка.

    Към момента са познати два варианта на съобщението. Един от тях съдържа предупреждение „Ако ме отвориш, ще ти забие WahtsApp“ и завършва с голяма черна точка. При докосване на точката, приложението спира да функционира. Това съобщение се възползва от претоварване чрез експлоатация на особености в  изписването на текст отдясно наляво (RTL).

    Вторият вариант изглежда доста по-безобиден и не съдържа предупреждения или указания. Това съобщение съдържа специални символи, които не се визуализират и завършва с емотиконка (която е единственото видимо нещо съобщението). Причина за претоварването в този случай е размерът на съобщението.

    WhatsApp се използва от над 1.5 млрд. потребителя по цял свят, показват данни на Statistia.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

  • Проверете дали сте жертва на киберпрестъпление

    Нов списък със 711 милиона имейл адреса е открит от базиран в Париж киберексперт, познат само с псевдонима Benkow. Това е най-голямата база данни с компрометирани имейл адреси, откривана досега, съобщава IFL.

    Списъкът е от две части – първата съдържа само имейл адреси, а втората имейли и пароли.

    „Миналата седмица с мен се свърза киберексперт на име Benkow“, разказва Трой Хънт, регионален директор на Microsoft за Австралия и автор на блога troyhunt.com.

    “Benkow ме предупреди за наличието на голям спам списък, който разследва от известно време“, припомня си Хънт.

    Според Хънт определението „голям“ е относително в такива случаи: „Последният подобен списък, върху който работих беше с 393 милиона адреса, но този път наистина бях впечатлен, защото новият списък съдържаше 711 милиона имейла. За сравнение това е почти толкова колкото цялото население на континента Европа“

    Benkow се натъкнал на базата данни като разследвал “машина“ (автономен алгоритъм) за събиране на имейл адреси, наречена Onliner Spambot. Замаскиран IP адрес с включена функция за списъчни директории съдържа текстови файлове със самите имейл адреси.

    Хънт съобщава, че спам сървърът е с холандски IP адрес, и че доверен източник в Ниските земи вече е установил контакт с органите на реда.

    Публично достъпните директории на сървъра са позволили на Benkow да придобие представа за мащаба и начина на извършване на престъплението. Списъците са с обща големина 40 GB и съдържат имейли и пароли в чист текст, имейли, набелязани за разпращане на спам и файлове за конфигурация на спам ботовете.

    Изглежда, че част от списъка с имейли и пароли е резултат на фишинг кампания във Фейсбук (около 2 милиона). Освен това са компрометирани цели 379 хиляди имейла на австралийски държавни служители (gov.au) и над 20 милиона имейли и пароли с руски домейни (.ru).

    Добрата новина е, че г-н Хънт поддържа специално създадения за такива случаи сайт Have I Been Pwnd (HIBP). Сайтът представлява търсачка за имейл адреси, компрометирани във всички най-големи информационни пробиви досега. Хънт уверява, че базата данни със 711-те милиона адреса вече е качен на HIBP и всеки може да провери дали е станал жертва.

    Препоръчваме на всеки читател на тази статия да посети Have I Been Pwnd и да напише личния си и работен имейл, за да провери дали е компрометиран. Ако имейлът ви фигурира в списъка, незабавно сменете паролата.

    Най-добрата защита срещу подобни атаки са силната парола и двуфакторната верификация. Уверете се, че разполагате и с двете.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Back to top button
Close
Close