Най-интересното

Deepfake бот, действащ в приложението за текстови съобщения Telegram, фабрикува голи изображения на хиляди хора, някои от които изглеждат на възраст под 18 години.

Снимки на над 104 хил. жени са „съблечени“ от бота, който ежедневно изпраща галерия от нови голи изображения до асоцииран канал в Telegram, с почти 25 хил. абонати. Някои снимки са прегледани повече от 3 хил. пъти, а друг канал в Telegram, който промотира бота, има повече от 50 хил. абоната.

Смята се, че ботът на Telegram се захранва от версия на софтуера DeepNude. Изображенията се създават автоматично, след като хората качат облечени снимки на жени (явно технологията е настроена да модифицира само женски изображения) в бота на Telegram от телефона или компютъра си.

Предполага се, че голяма част от жертвите дори не подозират за случващото се, но компанията, разкрила инцидента (Sensity) e уведомила правоохранителните органи. Експертите се опасяват, че този тип изображения ще бъдат използвани за унижаване и изнудване на жените. Към момента не е известно Telegram да е коментирал случая.

Deepfake технологията представлява манипулирана чрез machine learning форма на медия – видео, аудио или снимка (терминът всъщност идва от „deep learning“– методът на машинно самообучение на изкуствен интелект с помощта на изкуствени невронни мрежи). Повече за ботовете, тяхното разпространение и начините да ги разпознаете, може да прочетете тук.

Интернет е широк и измамници дебнат навсякъде. Ежедневно се сблъскваме с все по-креативни и непознати до този момент методи за измама. Еднo от най-популярните средства за кибератака е фишингът. Ако се питате защо – потребителите често го подценяват и това дава огромни възможности на киберпрестъпниците.

Основната им цел – чрез тази атака искат да заблудят потребителя и да откраднат идентификационни данни, данни за банкови сметки и карти или друга лична информация.

Възможностите са много – от репликиране на името на компания  (както примера по-долу) до подмяна на банковата сметка, към която изпращате определена сума, следвайки напълно познат и достоверен за вас процес.

Ето и два примера как може да бъдете подменени:

Оферта, твърде добра, за да е истина

По данни на Капитал, близо 2.9 млн. потребители в България търсят и продават в онлайн платформата за обяви OLX.

Първата измама касае по-скоро търговците. Те са таргетирани с имейл предложение за промотиране на обявите им с цел показването им на по-предно място в сайта. Оферта, която се предлага напълно легитимно и от самия сайт.

Измамното съобщени предлага промотиране и заглавна позиция на цена от 1.40 лв. – доста под обявените в сайта от 4.80 лв. до 20.99 лв.

Киберпрестъниците залагат на факта, че привлечени от цената потребителите ще се подлъжат ще кликнат върху линка в писмото. След това обаче ще бъдат пренасочени към сайт, в който да въведат данните за кредитната или дебитната си карта, за да заплатят за услугата.

Дотук всичко изглежда нормално. Интересното започва след потвърждението на танзакцията. Ако имате двуфакторна автентикация на картата си, ще видите, че заявката за плащане вместо за 1.40 лв. е за доста по-високата сума от 279 EUR.

Атакуващите разчитат на рутинните ни действия, а миг невнимание от наша страна може да ни струва доста скъпо в случая. Потвърдите ли транзакцията с кода, който сте получили, парите ви отиват в чужда сметка, а не към OLX.bg. Съответно – обявата ви няма да бъде промотирана и вие ще сте поредната жертва на онлайн измама (каквато ще бъдете и в случай, че нямате двуфакторна автентикация за плащане с картата си – тогава сумата ще бъде удържана директно).

И между другото – методът е изключително добре таргетиран, срещу потребители на OLX, които имат повече от една добавена обява в сайта

Прекалено съобразителен клиент

Вторият сценарий, на който се натъкнахме през последните седмици, е насочен отново към търговци в платформата, които са оставили имената и телефона си за контакт в случай на интерес към обявата ви.

Някои от тях получават съобщение чрез Viber във връзка с интерес за покупка. Някой желае да закупи предлаганата от вас стока, но иска тя да му бъде изпратена по пощата. Този метод на изпращане не дава възможност за наложен платеж, затова получавате друго предложение от страна на запитващия – той ще организира плащането и куриер ще дойде лично до вас, за да вземе пратката. Изпраща ви линк, в който твърди че е започнал да извършва паричния превод, но за да го завърши са необходими и данните за вашата карта.

Тук е момента, в който атакуващите се възползват отново от рутината и невниманието ни.
За да се осъществи паричен превод към дадена сметка е необходим индивидуален IBAN номер на тази сметка. Въвеждането на уникалните номера на дебитна или кредитна карта се извършва когато потребител извършва плащане с нея, а не когато получава превод.

Ако не обърнете внимание на това, че адресът, който ви е изпратен не е на официалния сайт на куриерската фирма и в бързината въведете данните си, то те стават собственост и на атакуващите. След минути получавате съобщение за потвърждение на транзакция, направена от вашата лична сметка.

Тази транзакция не е направена от вас, а от киберпрестъпниците, които са откраднали вашите данни и целта им е да изтеглят пари от сметка ви, като ги изпратят на себе си. Вие сте измамен!

Какво знаем за този метод?

• Собственикът на сметката, към която се изпращат парите не е куриерска фирма
• Домейнът на атакуващите е регистриран преди 3 дни в Русия
• Методът е таргетиран към потребители на OLX, който имат активни обяви, добавени в сайта

Как да се предпазите?

Подобни атаки не са нещо уникално – и не са ограничени само до OLX. Киберпрестъпниците не се свенят да използват имена на легтимни компании, за да прилъжат жертвите си.

Препоръката ни към вас е да не се осланяте на шанса, а да вземете следните превантивни мерки:

• Бъдете внимателни и наблюдателни от чие име получавате имейл, дали съдържащият се линк води към официалния сайт и дали това е истинското име на домейна.
• Не се доверявайте на никого в интернет и проверявайте легитимността на каналите, по които изпращате или получавате парични преводи.
• Активирайте двуфакторна автентикация и SMS уведомления за всяка транзакция, направена от и към вашата сметка; бъдете внимателни каква е сумата на трансфера, който потвърждавате и дали вие сте го извършили.
• Сигнализирайте на банката си, за да може тя да реагира навреме и евентуално да откаже прехвърляне на потенциално откраднатите пари.
• Не бързайте и винаги преглеждайте внимателно всички детайли, щом осъществявате или получавате паричен превод чрез интернет.
• Преди да се съгласите да актуализирате обява в сайт, помислете дали в последните месеци сте добавяли такава.

 

За да изглеждат още по-достоверни, съвременните фишинг сайтове използват Captcha – инструменти за засичане и спиране на ботове. Поне с такива са оборудвани зловредни копия на сайтове в една от поредните кампании, насочени към потребители на Microsoft Office.

Сигурни сме, че сте ги виждали – Captcha и подобните инструменти могат да бъдат под формата на чекбокс, да искат от вас да откриете всички светофари или автомобили в поредица размазани изображения или да сметнете проста математическа задача. Целта им: да предотвратят автоматизираното попълване на форми – както за коментари, така и за изпращане на съобщения и др. посредством различни скриптове.

Как работи измамата

Хакерите са заложили именно на тази реална проверка за сигурност, за да изглежда достъпа до създадените от тях фалшиви страници по-реалистичен. Освен това, добавянето на Captcha прави сайтовете им по-трудно откриваеми за автоматизирани решения за сигурност, които проверяват за фишинг.

В откритата напоследък кампания, за която съобщава Menlo Security, се използва не една, а цели три вида Captcha инструменти. Първоначално жертвите получават фалшив имейл, който изисква да ресетнат паролата си за Microsoft Office. След като кликнат върху връзката, трябва да преминат три отделни Captcha проверки, преди да бъдат помолени да въведат информацията за акаунта си в Microsoft Office. И след като го направят – данните им са откраднати.

Как да се предпазите

• Бъдете подозрителни към всеки получен имейл за възстановяване на парола, който не сте поискали. Задръжте курсора на мишката върху съдържащия се линк (без да кликате) и проверете дали води към официален уебсайт – ако това не е така, игнорирайте съобщението и го изтрийте.
• Не споделяйте данните си за достъп до акаунти, социални медии и други чувствителни приложения извън официални страници за вход.
• Използвайте двуфакторна автентикация. Дори хакерите по някакъв начин да откраднат вашата парола, те ще се нуждаят от физически достъп до смартфона ви, за да ви хакнат.

Полският търговец на дрехи BrandBQ е станал жертва на кибератака, довела до източването на над 1 млрд. записа от базите данни на организацията.

В 6.7 млн. от източените записи е имало Personally Identifiable Information (PII или данни, с които може да се идентифицира физическо лице). Тя включва име, e-mail, адрес, рожденна дата, телефонен номер, пол и история за търсенията и покупки на клиентите на магазините на компанията.

BrandBQ има онлайн и физически магазини в Източна Европа – България, Полша, Румъния, Унгария, Словакия, Украйна и Чехия. Сред свързаните с компанията марки са WearMedicine.com и Answear.com (който е засегнат от пробива).

Като причина за теча се посочват неправилно конфигуриран cloud сървър. За нередностите първи са научили и взели действия екип от киберспециалисти от vpnMentor, които веднага са предприели стъпки към уведомяване на търговеца.

Освен личните данни на частните клиенти, в базата данни на сървъра е имало и около 50 хил. записа на локални фирми, имащи договорни отношения с BrandBQ. Тези записи са съдържали информация като ЕИК, начин на плащане, цени на поръчки и получатели и адреси на техни онлайн клиенти.

Всички тези открити незащитени записи са цяла златна мина за хакери и киберизмамници. Те могат да я използват не само да изнудват полският бранд, но и да последват фишинг атаки към техните клиенти или да извършват различни престъпления с крадените самоличности. Сред другите опции са злоупотреба с данни за доставчици, изнудване и потенциална загуба на репутация.

Самата конфигурация на клауд сървъра от своя страна, може да даде нужната информация как са били настройвани ИТ ресурсите в BrandBQ и къде могат да търсят бъдещи грешки и пролуки за достъп.

Конкурентите на модния бранд също биха могли да се възползват за да откупят информацията и опитат да откраднат повече клиенти с атрактивни цени или условия. Не на последно място, тъй като компанията е базирана в Европа, попада под регулаторните мерки и закони спрямо GDPR. Това е предпоставка за възможно огромна глоба и съдебни искове срещу BrandBQ.

Какви са препоръките на специалистите от vpnMentor – за да се предпазим от подобни течове и загуба на ценна информация от база данни, можем да направим следните базови стъпки –

• Да защитим работещите сървъри
• Да се въведат правилни access list-и
• Никога да не оставяме сървър/система която да не изисква автентикация и да е видима в интернет
• Да не събираме чувствителна персонални данни, освен ако наистина не е необходимо. В този случай е препоръчително да бъдат криптирани и защитени

Анализаторите на ESET са разкрили зловреден код, който се разпространява чрез фалшиви версии на популярни чат приложения като Telegram. Заплахата се разпространява от шпионската хакерска група APT-C-23, която някои свързват с палестинската организация Хамас.

Най-често жертвите се заразяват чрез посещение на фалшив магазин за приложения „DigitalApps“, при изтегляне на приложения, имитиращи Telegram, Threema (друга чат платформа) и помощна програма, наречена AndroidUpdate. Използвайки за параван приложение за криптирани съобщения (като Telegram), хакерите могат да получат достъп до частни комуникации, които в противен случай биха били трудни за прихващане.

Веднъж инсталиран, зловредният софтуер изисква множество разрешения, включително правене на снимки и видеоклипове, записване на аудио, четене и модифициране на контакти и четене и изпращане на SMS.

Спомняте ли си „бизнес-ориентирания“ модел на ransomware-групата REvil (Sodinokibi), чието развитие следим отдавна? Наскоро „семейството“ е депозирало 1 млн. USD (всъщност, равностойността им в биткойни) в  рускоезичен хакерски форум, за да демонстрира пред потенциални сътрудници, които иска да набере, че има сериозни намерения за развитието си.

Както във всяка бизнес сфера, изглежда, че и разработката на криптовируси също следва икономическата логика и разделение на труда: едни хора (разработчици) отговарят за създаването на ransomware, а други (сътрудници) – хакват организациите и криптират устройствата им. При това се твърди, че последните получават до 80% от акумулираните откупи за декриптиране.

Публично депозираната от REvil сума илюстрира колко пари генерират създателите на ransomware. За съжаление, докато жертвите не престанат да плащат многомилионни откупи, този вид киберпрестъпления ще продължат и участниците в  тях ще стават все по-богати.

Общо 11 експлоатирани zero-day уязвимости са били открити и анализирани от екипа за сигурност на Google – Project Zero през първата половина на 2020 г.

0-day уязвимости през първата половина на 2020 г.

1. Firefox (CVE-2019-17026) – Използва се предимно в комбинация с друга уязвимост – CVE-2020-0674 и най-вече за таргетирани атаки. Закърпена във Firefox версия 72.0.1.Твърди се, че е от арсенала на хакерската група Dark Hotel.

2. Internet Explorer (CVE-2020-0674) – Тази, както и гореописаната Firefox 0-day уязвимост, е била използвана от държавно спонсорирана хакерска група (nation-state hacking group), известна като DarkHotel, за която се смята, че работи извън Корейския полуостров (не е ясно дали от Северна или Южна Корея). Двете уязвимости са били използвани за шпиониране на цели, разположени в Китай и Япония. Поради тази причина са открити от Qihoo 360 (китайски производител на антивирусни програми) и JPCERT (японският Център за действие при инциденти в информационната сигурност). Жертвите на тази кампания са били пренасочвани към уебсайт, който хоства експлоатиращ код  (exploit kit), насочен към 0-day уязвимостта в Firefox или IE, след което инфектира машините с троянски кон Gh0st, осигурявайки отдалечен достъп и контрол на нападателите върху компютрите на жертвите. Уязвимостта  е закърпена през февруари тази година като част от редовното закърпване на уязвимости от страна на  Microsoft, което се провежда всеки втори вторник на месеца – Patch Tuesday.

3. Chrome (CVE-2020-6418) – Експлоатирането на тази 0-day уязвимост е било засечено от екипа на Google за анализ на кибератаки и заплахи (Goolge TAG), но не са публикувани подробности къде и кога. Закърпена в Chrome версия 80.0.3987.122.

4 и 5. Trend Micro OfficeScan (CVE-2020-8467 и CVE-2020-8468) – Двете 0-day уязвимости са в приложение на Trend Micro – OfficeScan XG. Твърди се, че са открити от екипа на компанията случайно, при разследването на друга узявимост, използвана за хакването на Mitsubishi Electric. Запушени са малко след откриването им.

6 и 7. Firefox (CVE-2020-6819 and CVE-2020-6820) – Подробности за атаките, при които са използвани тези две 0-day уязвимости във Firefox, все още не са публикувани. Въпреки това специалистите по информационна сигурност предполагат, че те може да са част от събития, свързани с по-голяма експлоатационна верига. Запушени са във Firefox версия 74.0.1.

8, 9 и 10. Три уязвимости в продукти на Microsoft, открити и репортнати от Google TAG. Все още не е ясно при какви атаки са използвани. Това са CVE-2020-0938, CVE-2020-1020 и CVE-2020-1027, които са закърпени в априлското издание на Microsoft Patch Tuesday.

11. Sophos XG Firewall (CVE 2020-12271) – Уязвимост в операционната система SFOS позволява изпълнение на зловреден код върху хардуерните и виртуални устройства Sophos XG. Потенциално засегнати са всички устройства с достъпен от интернет административен портал (HTTPS услуга) и/или потребителски портал (User Portal).

SophosLabs публикуваха резултатите от проведеното разследване относно тази атака (Asnarök). Статията включва пълна техническа информация, включително и Indicators of Compromise (IoC). Уязвимостта е закърпена във фърмуер версия SFOS 17.5 MR12.

За любителите на статистиката – екипът на Google Project Zero е публикувал

таблица, в която са поместени всички открити експлойти на уязвимости от 2014 г. насам.

0-day уязвимости през цялата 2019 г.

• А за любителите на историята: нека да разгледаме анализа на Google за откритите през миналата година уязвимости – общо 20 на брой, 11 от които са свързани с продукти на Microsoft.
• Две компании са открили половината от засечените 0-day уязвимости през 2019г. (Google са открили 7 и Kaspersky са открили 4).
• Не е засечено активно експлоатиране на 0-day уязвимости в Linux, Safari или macOS от 2014г., когато Google започна да води подобна статистика.
• За първи път през 2019г. е открита 0-day уязвимост в Android.
• Не всички 0-day уязвимости засягат последните налични (актуални) версии на ОС/софтуер.
• От Google подозират, че някои софтуерни вендори прикриват активно експлоатирани 0-day уязвимости, като ги определят като обикновени бъгове.
• Според тях, причината за повечето открити 0-day уязвимости в продукти на Microsoft е, че има повече налични инструменти, които са специализирани именно в откриване на подобни бъгове.
• Възможността за изолиране на приложения (app sandboxing) е една от причините, която спомага за трудното намиране на 0-day уязвимости в мобилните платформи.
• 63% от 0-day уязвимостите, открити през 2019 г., се дължат на дефекти и слабости в кода, свързани с операциите в паметта (memory corruption bugs). Същият процент важи и за 2020 г. Това също е в унисон със статистическите данни, публикувани от Microsoft и Google през 2019 г., където се твърди, че 70% от всички уязвимости в продуктите на Microsoft и в Chome са т.нар. „memory safety issues”. През 2020г. Този процент е 63% от всички уязвимости.

Заключение

Поддържането на up-to-date софтуер/ОС няма да премахне вероятността да бъдете експлоатирани от 0-day уязвимост, но ще намали риска това да се случи. А в света на информационната сигурност именно „риск“ е ключовата дума или казано по друг начин – каква е вероятността това да се случи?

Тъй като няма 100% сигурност, ние трябва да се стремим да държим този риск минимално нисък (или в допустими за нас граници).

Неизвестни хакери са извършили успешна атака срещу e-mail адреси на депутати и служители в администрацията на норвежкия парламент. Пробивът в сигурността е засечен през последната седмица на август и бе обявен в началото на септември.

Административния директор на институцията, който обяви официално за проблема, Мариане Андреасен определи хака като „безпрецедентна и мощна атака“.

За момента няма официална информация, как точно е била извършена атаката, какъв е бил нейният вектор и начина на разпространението. Също така не са открити или оставени следи за откуп или друг вид съобщение от похитителите. Всички лица свързани с пробива и компроментираните акаунти са били уведомени и са предприети действия и мерки за предотвратяване на бъдещ успешен хак.

Според официалното изявление на Андреасен, от близо седмица се наблюдават съмнителни аномалии и странни сигнали в компютърната им мрежа. Предприети са били превантивни мерки, които са ограничили до известна степен мащаба на атака и ограничаване на евентуални пробиви.

Уведомени местните полицейски власти, както и Норвежката служба за национална сигурност за да разследват инцидента.

Не се изключва и възможността и за бъдещи атаки, затова се взимат необходимите мерки заедно с помощта на експерти по сигурноста, да се имплементират необходимите решения за проактивна защита и наблюдение.

Подобен вид атаки срещу правителствени парламентарни организации са все по-често срещани в последните години. Част от примерите са: над 90 компрометирани акаунта а британски депутати през 2017 г., както и пробив в компютърната мрежа на Австралийския парламент и открадването на „нечувствителна“ информация от няколко работни компютъра на 2 сенатора и малка група членове на долната камара.

„Важно съобщение. оправете проблеми с получаването на писма. Входящи съобщения до вас не са били доставени!“

Такова е част от предупредителен имейл, получен на 19 август 2020 г. от всички членове на екипа, отговарящ за киберсигурността на Sophos.

За специалистите веднага става ясно, че съобщението не е генерирано автоматично от собствената им имейл система. Все пак те споделят, че подобен phishing би могъл да заблуди дори информирания потребител в края на натоварен ден.

Проведеното разследване е показало, че инструкциите за „оправяне“ на проблема с входящата поща, отвеждат потребителя до фалшива страница. Тя имитира уеб-приложението на Outlook. Целта й – кражба на акаунта (потребителско име и парола) на потребителя.

Съветите на специалистите за избягване на подобен спам:

• Винаги проверявайте линковете, преди да кликнете върху тях
• Обръщайте внимание на URL адреса на страницата, преди да въведете данните си за достъп
• Като правило, избягвайте достъпа чрез линкове, които сте получили в имейл
• Използвайте двуфакторна автентикация
• Никога не изключвайте и не променяйте настройките си за сигурност, само защото имейл съобщение ви приканва да го направите
• Веднага променете паролите си ако се съмнявате, че може да сте жертва на phishing

 

Какви може да са последиците за бизнеса на една организация в случай на успешно източени лични данни на потребители? Двата случая с източените от хотелската верига Marriot лични данни се превръщат в пример за това. След рекордните глоби от регулаторите, сега на дневен ред са исковете от засегнатите потребители.

Според публикации в местната преса, Marriott International е обект на съдебно дело в Обединеното кралство, заведено от милиони бивши гости. Те търсят обезщетение за компрометирането на личните им данни.

Делото идва в отговор на инцидент със сигурност, при който хакери са откраднали информация за повече от 300 млн. души между юли 2014 г. и септември 2018 г.

Нарушението, разкрито за първи път през 2018 г., включва данни като имейл адреси, телефонни номера, данни за кредитни карти и паспортни данни на хората, които са направили резервации през веригата Starwood Hotels, собственост на Marriott.

През февруари 2020 г. последва втора атака, която, макар и по-малка по мащаб на пораженията от предходната, показва, че хотелската верига има сериозен проблем със сигурността.

Точно това е и основният мотив на живеещия във Великобритания Martin Bryant – инициатор на масовото съдебно преследване. В изявление той казва, че е завел делото, защото хотелските оператори не са „предприели адекватни стъпки за гарантиране на сигурността на личните данни на гостите и за предотвратяване на неразрешено и незаконно обработване на тези данни“.

Във Великобритания все още тече паралелно дело срещу Marriott International, по което през 2019 г. беше предложено налагането на 99.2 млн. GBP глоба (133 млн. USD по това време) във връзка с нарушение, което компрометира данните за около 7 млн. жители на кралството.