Най-интересното

На 16 март 2021 г. DDoS атака блокира сървърите на над 15 медицински лаборатории в България.

Информацията стана известна, след като пациентите, в продължение на часове, останаха без достъп до профилите си.

Лабораторните резултати представляват чувствителни лични данни, поставени под специален режим на закрила според правилата на Общия регламент за защита на личните данни (GDPR).

Дали нападателите са получили достъп до чувствителна информация на лабораториите – не знаем.

Това, което знаем е, че който и да е бизнес може да предотврати спирането на работния си процес и да си спести значителни главоболия, ако приложи минимални превантивни мерки.

За целта е нужно:

• Администраторите да се уверят, че поверената им организация следва добрите практики в киберсигурността. Ако установят, че това не е така, то те следва да обяснят на разбираем език на собствениците на бизнеса, какви мерки е нужно да бъдат предприети.
• Собствениците на бизнес, от своя страна, трябва да разглеждат киберсигурността като инвестиция, а не като разход, и да се вслушват в препоръките на служителите, които сами са наели, за да защитават бизнеса им от онлайн заплахи.

Разбира се, и двете страни могат да се допитат до външни специалисти по киберсигурност, при нужда.

Какви вреди може да причини една DDoS атака

DDoS (Distributed Danial-of-service) е насочена към един от трите основни стълбове на киберсигурността – наличността. Нападателите, които и да са те и каквато и да е целта им, изпращат голям брой заявки от различни източници (Distributed DoS) към вашия сайт или сървър, докато той „откаже“ и изпадне в невъзможност да предоставя на потребителите стандартните си услуги.

В последно време обаче все по-често се наблюдава тенденцията хакерите да изнудват жертвите на DDoS и да изискват откуп (ransome), за да спрат атаката. Някои организации се съгласяват, тъй като ефектът от самата атака е разрушителен – услугата може да остане неналична с часове и дни, което може да бъде пагубно за един бизнес.

DDoS се прилага на различни нива:

• Може да запуши цялата ви мрежова честотна лента (bandwith) и по този начин да спре достъпа на всичките ви потребители до ресурса, който им предоставяте (волюметрична DDoS атака – Volumetric bandwidth attack)
• Да атакува конкретно ваше устройство – уеб сървър, защитна стена, рутер или друг актив от инфраструктурата ви (атака за изчерпване на ресурса – Resource exhaustion attack)
• Да е насочена към протоколите от L7 на OSI модела – HTTP, DNS, FTP и т.н. (атака на ниво приложен слой – Application-layer attack)

Прочетете още: ФБР предупреждава за опустошителни DDoS атаки, използващи уязвимости в мрежови протоколи

Препоръки към администраторите

Полезно по темата: Cloudflare започва да изпраща нотификации за DDoS атаки

• Защитната стена на изхода на мрежата ви би могла да филтрира определен размер на DDoS атака. Това би ограничило т.нар. “attack surface”, а именно публично достъпните услуги и протоколи, които са видими в интернет. Един такъв протокол е ICMP (пинг), който често се използва при DDoS атаки.
• Наличието на WAF (Web Application Firewall) също би спряло определени DDoS атаки, от L7 например.
• За ограничаването на едни от най-големите DDoS атаки препоръчваме използването на CDN (content delivery network). Техният мрежови капацитет е в рамките на 59 Tbps и може да се противопостави на атакуващите, които често разполагат с пъти по-голяма честотна лента (bandwith) от вас.

Последен ъпдейт на 24 март 2021 в 09:00 ч.

В началото на март 2021 Microsoft пусна ъпдейт за Exchange Server, който коригира четири zero-day уязвимости.

Оттогава обаче специалисти по сигурността наблюдават още по-засилена (дори автоматизирана) кампания по тяхното експлоатиране, която може да бъде използвана за последващо внедряването на рансъмуер и кражба на данни. Ако до момента не сте приложили ъпдейта, потенциално сте застрашени.

Имайте предвид, че актуализацията ще коригира само уязвимостите на Exchange Server. Но ако вече сте компрометирани, ще трябва да премахнете задната врата (backdoor), която хакерите поставят, за да получат администраторски достъп до системата ви.

Microsoft изрично разясни, че тези експлойти нямат нищо общо със SolarWinds. Все пак, хакерската атака се разглежда като втората голяма криза в киберсигурността, идваща само месеци след като руски хакери поразиха девет федерални агенции на САЩ и стотици компании по целия свят.

Смята се, че зад атаката стои група, финансирана от китайското правителство, наречена Hafnium.

Европейският банков орган (ЕБО) е сред най-скорошните жертви, които заявиха, че достъпът до лични данни чрез имейли, съхранявани на неговия Microsoft Exchange Server, може да е бил нарушен.

Досега са станали известни поне 60 хил. жертви в световен мащаб. Само в САЩ хакерите са проникнали в поне 30 хил. организации, използващи Exchange за обработка на имейли вкл. полицейски управления, болници, местни държавни структури, банки, телекомуникационни доставчици и др.

Препоръки:

1. Инсталирайте незабавно наличния ъпдейт, ако не сте го направили до момента
2. Когато не е възможно се инсталирате критичните актуализации на Microsoft Exchange, блокирайтет достъпа на недоверени връзки до порт 443; същевременно конфигурирайте вашия Exchange Server така, че достъпът до него да става само дистанционно, чрез VPN
3. Следете внимателно за злонамерена дейност, ако се съмнявате, че може да сте засегнати
4. Ако вече сте засегнати, може да използвате инструмента на Microsoft за смекчаване на негативните последици
5. Изключете Exchange Server и го възстановете отново
6. Обърнете се към специалист по киберсигурност за помощ, ако се затруднявате
7. Преминете към облачната услуга, която не е засегната от уязвимостите

Последен ъпдейт на 23 февруари 2021 в 20:39 ч.

IOS операционната система на Apple се счита за сигурна, но през последните години хакерите успешно откриха редица недостатъци, които осигуряват входни точки в iPhone и iPad.

Много от тях са т.нар. атаки zero-click (без взаимодействие от страна на потребителя) – достатъчно е да кликнете върху връзка или да изтеглите файл, свързан със злонамерен софтуер, за да се зарази устройството ви.

iMessage буквално е създаден за активност без взаимодействие – не е нужно да докосвате нищо, за да получите текст или снимка от контакт. Пълният набор от функции (интеграции с други приложения, функционалност за плащане и др.), които създават удобство за потребителите са и благодатна почва за хакери.

В края на 2020 г. съобщихме за хакерска кампания, успешно насочена към десетки журналисти от Al Jazeera:  Zero-click бъг в iMessage помогна за инсталирането на шпионски софтуер на NSO Group Pegasus. Беше установено, че устройствата на всички жертви са работили с iOS 13, а Apple обяви, че уязвимостите са закърпени в iOS 14.

Изследователи от екипа на Google за откриване на уязвимости в Project Zero описват три подобрения в сигурността на iMessage за крайните потребители, които издигат защитата им на по-високо ниво:

Първото подобрение (наречено BlastDoor) е sandbox – карантинна зона, в която iMessage може да проверява входящата комуникация за потенциално злонамерени атрибути, преди да ги пусне в основната среда на iOS.

Вторият нов механизъм следи за атаки, които манипулират споделен кеш на системни библиотеки. Кешът променя на случаен принцип адресите в системата, за да направи по-труден злонамерения достъп. iOS обаче променя адреса на споделения кеш само след рестартиране, което дава възможност на нападателите със zero-click да открият местоположението му. Новата защита е настроена да открива злонамерена дейност и да задейства опресняване, без потребителят да се налага да рестартира своя iPhone.

Третото подобрение затруднява brute force атаките. Тази защита ограничава опитите за намиране на споделения кеш, както и по-сложни атаки – напр. опити за изпращане на множество злонамерени текстове, които обикновено са невидими за потребителя.

Направените подобрения в iOS 14 значително ще намалят успешните атаки срещу iMessage без взаимодействие. Все пак изследователите предупреждават, че е въпрос на време нападателите да намерят нови уязвимости. Затова е важно постоянно да следите наличните актуализация и да ги прилагате, защото те запушват новооткрити пробойни в сигурността.

Всичко, което споделите за себе си в сайта на дадена компания се запазва, с цел да бъде използвано за целенасочена реклама: пол, име, дата на раждане, имейл адрес, IP адресът ви и тези на всички свързани устройства (лаптопи, телефони и др.). Към това се добавя и информация спрямо вашето поведение – хобита, тегло, домашни любимци и т.н. Компаниите съхраняват банковата ви информация, връзките към акаунтите ви в социалните мрежи и данните, които споделяте в тях.

Кои компаниите знаят най-много за вас и какво точно

Социалните медии събират повече данни от всички други онлайн. Според проучване на Clario на първо място в списъка с компаниите за събиране на данни е Facebook. Социалната мрежа разчита на вашите данни, за да ви препоръча приятели, да информира, че имате рожден ден, да ви предложи групи, към които да се присъедините и най-важното – да ви показва реклами. От всички данни, които бизнесът може законно да получи за вас, Facebook събира 70,59%.

Следва Instagram (58,82% от всички налични данни) – хобита, височина, тегло, сексуална ориентация. Подобно на собственика си (Facebook), използва тази информация за реклама и за препоръчване на акаунти, които да следвате.

Приложението за запознанства Tinder събира 55,88% от наличните данни, за да ви помогне да се срещнете с вашия перфектен партньор: възраст, ръст, сексуална ориентация, интереси, притежавате ли домашен любимец. Освен това съхранява банковите ви данни (за продажба на премиум опцията – Tinder Plus).  Приложението проследява как използвате профилите си в останалите социални мрежи, когато свързвате акаунтите си. Също така съхранява всички съобщения, които изпращате, което означава, че всички ваши чатове могат да бъдат използвани за таргетиране на реклами.

Търговецът на дребно Amazon събира най-малко данни – едва 23,53%. Освен най-необходимото за осъществяване на продажба и доставка (име, имейл, пощенски адрес и банкови данни), платформата  проследява как използвате сайта. Следи продуктите, които разглеждате, направените покупки и оставените рецензии, и ги използва, за да ви рекламира нови продукти.

Сайтът за музика, Spotify събира 35,29% от вашите данни, споделени онлайн, като влиза в профилите ви в социалните медии, за да разбере вашите интереси и хобита. Ако някога сте били на концерт и сте споделили снимка от него в Instagram, скоро Spotify ще включи изпълнителя в предложенията си към вас. Плейлистите, които платформата насочва към вас, са базирани на проследяване на музиката, която слушате.

По същия начин Netflix (26,47%) проследява вида на предаванията, които гледате, за да може да ви препоръча подобни заглавия. Целта е да ви осигури по-добро потребителско изживяване, за да си гарантира, че ще се връщате отново и отново.

Прочетете още: 13 начина да изчистите излишната информация за вас в интернет

Как да се предпазите от злонамерено събиране на лична информация

Описаните до тук са примери за събиране на данни, за които вие сте се съгласили. В повечето случаи те се използват за може съответната платформа да задоволи вашия вкус.

Не забравяйте обаче, че събирането на ваши данни може да има и друга, по-тъмна страна – кражба на лична информация от различни злонамерени лица, т.нар. хакери. При това, те се целят много по-високо: вместо навици за пазаруване или пощенски адрес, те се интересуват от данните от кредитните ви карти.

За да се предпазите е нужно да спазвате стриктна „хигиена“ в интернет:

1. Използвайте силни пароли

Най-добрата парола (поне 14 символа ) е тази, която можете да запомните, но която ще бъде трудна за отгатване от други хора или злонамерени програми, които изпробват произволни комбинация. Кратко изречение е по-добро от една дума с вмъкнати цифри и символи. Можете да използвате приложение за управление на пароли (Password Manager), за генериране и съхранение на  вашите пароли. Мениджърът на пароли също може да ви помогне да генерирате уникални пароли за всеки от вашите онлайн акаунти. За допълнителна сигурност сменяйте паролите си няколко пъти годишно.

2. Използвайте двуфакторна автентикация (2FA, MFA)

Двуфакторната автентикация изисква да потвърдите самоличността си, след като сте влезли с потребителско си име и парола. Ще бъдете помолени да потвърдите самоличността си, като въведете код, изпратен чрез съобщение на телефона или по имейл. Двуфакторното удостоверяване може да ви отнеме няколко допълнителни секунди, за да влезете във вашите акаунти, но ще намали вероятността и други хора да могат да влязат в тях.

3. Избягвайте използването на незащитени Wi-Fi мрежи

Ако все пак ви се наложи да използвате обществена мрежа, избягвайте да споделяте поверителна информация, напр. финансова. У дома използвайте VPN, за да сърфирате – така данните, които изпращате и получавате, ще са шифровани, което значително затруднява прихващането им.

4. Използвайте антивирусен софтуер

Наличието на добра антивирусна защита свежда до минимум риска от заразяване на компютъра ви и причиняване на повече проблеми. Защитете инсталацията и настройките с допълнителна парола.

Интересно по темата: Защо не ви трябва повече от един антивирус на един компютър?

5. Винаги използвайте актуални версии на приложенията и операционните системи

Актуализациите често включват корекции на пробойни в сигурността, които може да са налични в използваните от вас програми или устройства.

Хакери могат да злоупотребяват с функцията за синхронизиране на Google Chrome, за да изпращат команди до заразени браузъри и да крадат данни от заразени системи, заобикаляйки традиционните защитни стени и други мрежови защити.

Синхронизирането на Chrome е функция на уеб браузъра, която съхранява копия на потребителски отметки, история на сърфиране, пароли и настройки на браузъра. Използва се за синхронизиране на данните между различните ви устройства, така че те винаги да имат достъп до актуалните данни, където и да отидете.

Хърватският изследовател Боян Здраня е открил, по време на разследване на инцидент, че злонамерено разширение на Chrome злоупотребява с функцията за синхронизиране: При комуникация със сървър за отдалечено управление (C&C) се използва за извличане на данни от заразени браузъри.

В случая, разследван от Здраня, нападателите са получили достъп до компютъра на жертвата и тъй като данните, които са искали да откраднат, са били в облачен акаунт, те са изтеглили разширение за Chrome на компютъра и са го заредили чрез режима за разработчици на браузъра.

Именно разширението, което се представя като добавка за сигурност от разработчика на Forcepoint, съдържа злонамерен код, който злоупотребява с функцията за синхронизиране на Chrome и позволява на нападателите да контролират заразения браузър.

Злонамерената добавка помага на нападателите да създадат текстово-базирано поле за съхраняване на ключове с маркери, което впоследствие да бъде синхронизирано с облачните сървъри на Google. След това е достатъчно да се влезе със същия акаунт от Google в друг браузър Chrome и с инфраструктурата на Google с злоупотребено.

В ключовото поле може да са съхраняват данни, събрани от зловредното разширение за заразения браузър (потребителски имена, пароли, криптографски ключове и др.) или команди, които нападателят иска разширението да изпълни на заразената работна станция.

По този начин разширението може да се използва като канал за ексфилтрация от вътрешни корпоративни мрежи до копие на браузъра Chrome на атакуващия или като начин за контрол на заразения браузър отдалечено, заобикаляйки корпоративните защитни стени.

Тъй като откраднатото съдържание или последващите команди се изпращат чрез инфраструктурата на Chrome, нито една от тези операции няма да бъде проверена или блокирана в повечето корпоративни мрежи, където на браузъра Chrome обикновено е разрешено да работи и да предава данни безпрепятствено.

Внимание!

Ако планирате да блокирате достъпа до client4.google.com имайте предвид, че това е много важен уебсайт за Chrome, който се използва и за проверка дали Chrome е свързан с интернет (наред с други функции).

Вместо това, можете да използвате корпоративните функции на Chrome и поддръжката на груповите политики, за да блокирате и контролирате какви разширения могат да бъдат инсталирани в браузъра.

За 18-та поредна година светът отбелязва международния Ден за безопасен интернет.

Мотото и тази година е „Заедно за по-добър интернет“.

Отбелязваме годишнината, като ви припомняме най-популярните ни съветници за това как да противодействате на топ киберзаплахите в интернет пространството:

# Как уебсайт може да се използва като средство за атака

# Как да разпознаем фишинг атака

# Топ 5 на най-честите атаки към WEB приложения

# Четири лесни начина да се предпазите от спам

# freedomonline.bg подкаст. 26.09.2017 г. Ботмрежи и DDoS

# Пет начина да предпазите дигиталната си самоличност през 2019 г.

# Десет грешки при защитата на данните, които фирмите не трябва да допускат

# Пет начина да предпазите бизнеса си от вътрешни заплахи

# Как да разпознаеш бот

# 3 причини да правите бекъп на данните във фирмата си

# 4 стъпки за предотвратяване на изтичане на информация

# 8 важни стъпки, които да предприемете при Ransomware атака: Ръководство за бързо възстановяване след инцидент

# Как работи EternalBlue

# Пет начина да намалите рисковете от cryptojacking атаки

# Network Management System – перфектната цел за атака

Световноизвестният доставчик на решения за интернет сигурност, защитни стени и VPN продукти, SonicWall, разкри, че е станал жертва на координирана атака срещу вътрешните му системи. Смята се, че нападателите са имали достъп до изходния код (source code) на компанията, хостван в хранилището й в GitLab.

Хакерите са се възползвали от zero-day уязвимост в собствените продукти за защитен отдалечен достъп на SonicWall – NetExtender VPN Client и Secure Mobile Access (SMA).

Компанията публикува кратко съобщение, изброяващо продуктите, които са засегнати от уязвимостта и изискват ъпдейт – пачовете все още не са налични.

Разследването на инцидента и последиците от него продължава. Има вероятност SonicWall  да е станал жертва на криптоатака.

Междувременно, ако вашата организация използва някой от уязвимите продукти, следва да предприемете подходящи мерки:

• Разрешете многофакторно удостоверяване (MFA) за достъп до администраторските акаунти
• Деактивирайте достъпа на NetExtender до защитната стена
• Ограничете достъпа на публични IP адреси до потребители и администратори
• Конфигурирайте директно достъпа до белия списък (white list) на SMA, за да намалите негативните последици

Най-голямото технологично събитие на годината – международното изложение за потребителска електроника CES (Consumer Electronics Show), провело се в периода 10-14 януари 2021 г., представи иновативни мрежови рутери, използващи Mesh WiFi 6E система. Устройствата може да са отговорът на проблемите ви с безжичния сигнал, но не пренебрегвайте темата „поверителност и сигурност“.

Какво представлява Mesh WiFi 6E

Πpи Mesh WiFi 6E мрежите свързаността се разпростира между множество малки безжични устройства, ĸoитo ĸoмyниĸиpaт помежду cи, зa дa пoĸpият по-гoлямa плoщ. Металните врати, които блокират сигнала и отдалечените помещения, в които връзката се губи, вече няма да затрудняват комуникацията ви. Ако сигналът срещне препятствие по пътя на разпространението си, той ще се „раздроби“ на още по-малки части и дори ще ви „заобиколи“ (все пак вие също пречите на сигнала, когато се придвижвате от помещение в помещение) т.е. ще знае къде се намирате (или не се намирате) в момента. Технологията може да се приложи и като ъпгрейд на съществуващите ви рутери ако те поддържат WiFi 6E (очаква се масово разпространение на рутери от това поколение през 2021 г.).

А какво да кажем за сигурността

Много системи имат облачен компонент, което им позволява да се управляват дистанционно. Това обаче ги нарежда в горната част на списъка на най-уязвимите точки за атака. Поставянето на дистанционно управление във всяка стая в дома ви, освен улеснение за вас, предоставя обаче нови възможности за хакерите.

С все по-широкото навлизане на МЕЅН-мpeжитe в домашната ви среда, неизбежно ще се стигне до събирането на лична информация (personally identifiable information – PII). Това би било в противоречие с действащото в ЕС законодателство за защита на личните данни (GDPR). Ще очакваме да видим как законодателите ще интерпретират технологията през следващите години.

WhatsApp отлага въвеждането на промени в практиката си за споделяне на данните на потребителите си. Компанията обяви, че ще работи за „изчистване на дезинформацията“ около политиката си за поверителност.

Притежаваната от Facebook компания прибегна към това „замразяване“, след бурна реакция от страна на потребителите по цял свят. Планираните промени, които трябваше да бъдат приложени на 8 февруари 2021 г., изискваха ползвателите на чат-приложението извън ЕС задължително да се съгласят данните им да бъдат споделяни с Facebook.

Новината предизвика масово недоволство и провокира хората да се обърнат към други приложения (Signal, Telegram).

Use Signal

— Elon Musk (@elonmusk) January 7, 2021

Измамите, насочени към потребителите на популярни онлайн платформи не са новост. През есента на 2020 г. разгледахме атака, насочени към потребителите на OLX, които имат активни обяви в сайта. Тогава хакерите  използваха фишинг имейли, за да заблудят ползвателите на платформата и да откраднат от тях пари или номера на банкови сметки и разплащателни карти.

Нова, по-мащабна измамна схема, завладява напоследък множество сайтове за провеждане на онлайн аукциони, безплатни обяви и доставки в Европа. В скоро време дори се очаква таргетирано разрастване на измамната дейност в България. Разкритието е на Group-IB – компания за киберразследвания – която е нарекла схемата Classiscam.

Какво представлява Classiscam

Става дума за измама, която отново е предназначена за кражба на пари и данни от разплащателни карти, но вече е автоматизирана като услуга.

Схемата използва ботове в Telegram, които предоставят страници, имитиращи популярни сайтове за безплатни обяви, аукциони и услуги за доставка. Разкрити са фалшиви страници на OLX, DHL, френския Leboncoin, полската марка Allegro, чешкия сайт Sbazar, румънския FAN Courier и др.

Измамниците публикуват фалшиви реклами на продукти в популярни уебсайтове. Най-често се  предлагат камери, игрови конзоли, лаптопи, смартфони и др. на умишлено ниски цени. Обявите съдържат местни телефонни номера за връзка, а контактът се прехвърля към WhatsApp, където да бъде уговорена сделката. Интересното е, че измамниците се представят и за купувачи, и за продавачи.

След като договарянето приключи, измамниците ви молят да предоставите имейл, на който ви изпращат URL адрес на фалшив уебсайт, получен чрез бот на Telegram. Той имитира сайта на търговеца, на когото си мислите, че плащате, или сайта на куриерската фирма, която мислите, че ще извърши доставката. Всяко плащане или споделени данни от кредитната ви карта през фалшивия уебсайт отиват директно при хакерите.

Развитието на измамата

Схемата е засечена за първи път през 2019 г., но пик е регистриран през пролетта на 2020 г., когато хората масово преминаха към работа от разстояние и започнаха усилено да пазаруват онлайн.

Според Group-IB, в момента в България, Чехия, Франция, Полша, Румъния, САЩ и бившите съветски републики работят над 20 големи групи, прилагащи схемата. Други 20 групи работят само в Русия, откъдето се смята, че е започнал скама. Тези 40 групи, общо (всяка от които ползва отделен бот в Telegram), са “направили” най-малко 6,5 млн. USD през 2020 г.

Схемата използва пирамидална структура, в която постоянно се ангажират нови членове. Сделките се „отчитат“ на бот в Telegram, откъдето експертите на Group-IB са почерпили информация, за да изчислят прогнозния месечен приход на измамниците.

Анализ на подземни форуми и чатове разкрива, че измамниците се готвят да се насочат към нови марки и пазари – това са FedEx и DHL Express в България и САЩ.

Как да се предпазите

• Преди да въведете данните си за вход и информация за плащане, проверете отново URL адреса на сайта, в който се намирате и го потърсете в Google, за да видите кога е създаден. Ако сайтът е само на няколко месеца, е много вероятно да става дума за измама или фишинг страница.
• Провеждайте цялата си комуникация по сделката в официалния чат на платформата за пазаруване, доставчика или сайта за малки обяви – не се доверявайте на посредници!
• Не правете предварителни плащания: Платете едва след като получите стоките и се уверите, че всичко работи правилно
• Не се подлъгвайте по големи отстъпки и невероятни промоции – вероятността те да са фалшиви е голяма