Защита от хакери

Последен ъпдейт на 2 март 2025 в 12:27 ч.

В продължение на години стратегиите за сигурност се фокусираха върху три основни области: мрежа, крайни точки и електронна поща. В същото време браузърът, в който се извършва по-голямата част от съвременната работа, е разположен между всички тях. Киберпрестъпниците се адаптираха към това, като насочиха атаките си към него.

Заплахите, базирани на браузъра, манипулират уеб приложенията в реално време, избягвайки засичането им от firewall и EDR решения. Затова екипите по сигурността трябва да преосмислят откриването и реакцията на това ниво.

Нов клас заплахи

Malware Reassembly

Традиционните модели за сигурност са проектирани да откриват и блокират зловреден софтуер, базиран на файлове. Нападателите обаче се отказаха от конвенционалните полезни товари в полза на зловреден софтуер, който динамично се сглобява в браузъра. Тези атаки са практически невидими за инструментите за защита на крайни точки и мрежи.

Хакерите използват JavaScript loader и HTML injection, за да модифицират уеб страници и да сглобяват зловреден код и файлове за изтегляне директно в раздела на браузъра.

Работейки в тази среда, подобни заплахи избягват традиционните механизми за откриване. Това позволява на киберпрестъпниците да превземат сесиите на потребителите, да крадат пълномощия и да компрометират чувствителни данни. Без видимост в реално време за това как уеб страниците и скриптовете работят в браузъра, организациите остават слепи за тези нови техники за атака.

Фишинг и Trusted Site Exploitation

Нападателите постоянно усъвършенстват техниките за фишинг, за да заобиколят автоматизираното откриване. Те използват сложни тактики в няколко стъпки, които включват:

• многократни пренасочвания, за да се избегнат механизмите за откриване и изолиране, базирани на URL;
• насочвани с JavaScript фишинг страници, които динамично генерират злонамерено съдържание при поискване;
• CAPTCHA и контрол на достъпа на базата на сесии, за да се блокират инструментите за сигурност от сканиране на измамни сайтове.

В изследване за сигурността на браузъра на Keep Aware се подчертава, че зашеметяващите 70% от многостъпковите фишинг кампании се представят за приложения на Microsoft – OneDrive или Office 365. Нападателите използват все по-често и надеждни платформи като Google Docs, Dropbox и AWS, за да хостват зловредно съдържание. Това значително затруднява откриването.

Традиционните механизми за защита са неефективни срещу тези тактики и екипите по сигурността се нуждаят от нови модели за откриване. Те трябва да работят в самия браузър, за да наблюдават структурата на страницата и да откриват промени – независимо от URL адреса.

Мъртвата зона в разширенията на браузъра

Разширенията се превърнаха от прости инструменти за продуктивност в дълбоко интегрирани приложения с достъп до почти всичко, което се случва в браузъра. Въпреки нарастващата им сложност, тяхната сигурност остава до голяма степен неконтролирана. Това създава огромна повърхност за атаки от страна на киберпрестъпниците:

• Infostealer и други злонамерени разширения могат да се маскират като легитимни инструменти, докато тихомълком изнасят данни;
• компрометираните акаунти в Chrome Web Store доведоха до масово разпространение на измамни разширения, заобикаляйки стандартните прегледи за сигурност;
• повторното активиране на разширенията и актуализациите на версиите могат да създадат непосредствени рискове за сигурността.

Всичко това подчертава спешната необходимост от мониторинг на разширенията в реално време и интеграцията на автоматизирани инструметни за откриване на заплахи.

Пропастта в сигурността: Защо традиционните инструменти не са достатъчни

Основното предизвикателство в сигурността на браузъра се крие в неговия уникален модел на данните – Document Object Model (DOM). Той управлява начина на визуализиране и манипулиране на уеб страниците, но до голяма степен остава пренебрегнат като вектор за атака.

Инструментите за мрежова сигурност и защита на крайните точки следят трафика и изпълнението на процесите. Браузърът обаче е активна среда, в която съдържанието и скриптовете се променят динамично.

Организациите трябва да възприемат модел за откриване на заплахи в браузъра, като наблюдават поведението на сесиите, моделите на въвеждане на удостоверения и високорисковите взаимодействия в реално време. Контролите трябва да работят отвъд филтрирането на URL адреси, за да включват откриване с отчитане на контекста.

Точно както EDR трансформира сигурността на крайните точки, BDR трябва да се превърне в основен компонент на корпоративната сигурност. Решенията от този клас позволяват телеметрия в реално време, анализ на изпълнението на JavaScript и на заплахи на ниво браузър.

Браузърът като източник на риск за цялата организация

Откриването на заплахите и реагирането са от решаващо значение за сигурността на ниво браузър. Организациите обаче трябва да вземат предвид и по-широките рискове, включително:

• чувствителна информация може да бъде копирана, качена или споделена в рамките на неподлежащи на наблюдение SaaS приложения;
• служителите рутинно използват несанкционирани инструменти и приложения с изкуствен интелект в браузъра, заобикаляйки IT контрола;
• те често споделят поверителни данни в AI чатботове и асистенти, без да разбират последиците за сигурността;
• компрометирани акаунти и злонамерени вътрешни лица могат да изнасят корпоративни данни директно в браузъра.

Тези предизвикателства подчертават нуждата от непрекъсната видимост и превенция на заплахите, които се простират отвъд мрежата, крайните точки и електронната поща. Екипите по сигурността трябва да преосмислят управлението на браузъра, сигурността на данните и контрола на риска от вътрешни лица като част от цялостна стратегия за сигурност на предприятието.

Браузърът вече не е просто инструмент за продуктивност – той е основната повърхност за атака, която нападателите използват, за да заобиколят традиционните защити. Така че не пренебрегвайте този вектор, а го защитете както останалата част от вашата IT инфраструктура.

Уязвимост с висока степен на опасност в архиватора на файлове 7-Zip позволява на атакуващите да заобиколят функцията за сигурност на Windows Mark of the Web (MotW). По този начин те могат да изпълнят код на компютрите на потребителите при извличане на зловредни файлове, вложени в архиви.

7-Zip поддържа MotW от версия 22.00 през юни 2022 г. Оттогава тя автоматично добавя MotW флагове към всички файлове, извлечени от изтеглени архиви, които може да идват от ненадеждни източници и трябва да се третират с повишено внимание.

Microsoft Office също проверява за MotW флагове и ако ги открие, отваря документите в Protected View – режим само за четене – и деактивира всички макроси.

Откритата от Trend Micro уязвимост обаче позволява заобикалянето на тези предупреждения. Тя е поправена във версия 24.09 на 7-Zip, но този софтуер няма функция за автоматично обновяване.

Затова всички потребители на 7-Zip трябва да преминат ръчно към нея възможно най-бързо.

Последен ъпдейт на 25 януари 2025 в 11:09 ч.

Bitcoin е в подем. За пръв път в историята си криптовалута №1 надхвърли 100 000 USD в началото на декември, след като нарасна с над 30% от нощта на изборите в САЩ. Но това важи с пълна сила и за измамите и зловредния софтуер, предназначени да откраднат криптовалутите ви.

Последният Threat Report на ESET разкрива, че засичането на т.нар. Cryptostealer е скочило с 56% от първото до второто полугодие на 2024 г. Атаките са насочени както срещу Windows и Android, така и срещу macOS.

Това е отражение на нарастващата роля, която криптовалутите играят в световните финанси. Децентрализираният им характер, бързината и необратимостта на трансакциите и възможността за прехвърляне по целия свят ги правят още по популярна цел за киберпрестъпниците.

Затова и рисковете на това поле се задълбочават през 2024.

Криптозаплахи, от които трябва да се пазите

Когато става въпрос за кражба на криптовалути, трябва да внимавате не само за фишинг и зловреден софтуер. Измамниците са разработили редица измами, целящи да изпразнят вашите криптопортфейли.

Според доклад на Chainalysis от август например pig butchering атаките са се превърнали в едно от най-разпространените средства за кражба на криптовалути.

ESET Threat Report дава допълнителна яснота за заплахите през 2024. Ето няколко основни заключения:

• Атаките с Password Stealing Ware (PSW) в MacOS са се увеличили със 127%. Те са насочени към кражба на идентификационни данни, свързани с портфейли за криптовалути. Това отчасти се дължи на продавания в Telegram по модела Malware-as-a-Service Atomic Stealer. Нападателите разпространяват този зловреден софтуер чрез злонамерени реклами в Google.
• PSW заплахите стоят и зад ръста на криптокрадците, насочени към Windows. Там обаче в основата стои друг зловреден инструмент – Lumma Stealer.
• Много банкови „троянски коне“ за Android вече съдържат функционалност на Cryptostealer наред с традиционните си функции. Този клас заплахи срещу криптопортфейлите е нараснал с 20% през второто полугодие на 2024 г.
• Повишена активност има и около друг Malware-as-a-Service инструмент – Vidar Infostealer. Той е предназначен за събиране на идентификационни данни, съхранявани в браузъра, и такива от криптопортфейли. Разпространява се чрез зловредни реклами във Facebook, групи в Telegram и форуми в Dark Web.
• Геймърите са таргетирани чрез Cryptostealer и Infostealer, скрити в кракнати игри. Те включват Red Line Stealer и Lumma Stealer.
• Фишинг сайтовете, свързани с криптовалути, представляват 8% от всички наблюдавани през първото полугодие на 2024 г. от ESET. Това поставя тази група в Топ 5 за периода.

Как да се защитите

Всичко това упражнява допълнителен натиск върху потребителите. Съществуват различни мерки, които можете да предприемете, за да намалите заплахата за вашите криптопортфейли.

Ето 10 важни стъпки:

1. Не поставяйте всичките си средства на едно място. Разпределете риска и обмислете използването на хардуерни портфейли, които не са свързани с интернет и следователно са по-добре изолирани от цифрови заплахи.
2. Избирайте внимателно доставчиците си на портфейли въз основа на отзиви. Не забравяйте да държите свързаните с интернет хранилища защитени с MFA.
3. Включете 2FA за всяко криптоприложение, което използвате.
4. Не използвайте публични Wi-Fi мрежи, когато сте навън. Ако се наложи да го направите, в никакъв случай не осъществявайте достъп до криптоакаунтите си.
5. Винаги поддържайте устройствата и лаптопите/компютрите си с актуални пачове и софтуер за сигурност.
6. Използвайте VPN услуга от реномиран доставчик за допълнително ниво на сигурност, за да се предпазите от фишинг, зловреден софтуер и други заплахи.
7. Изтегляйте софтуер само от надеждни източници и официални уебсайтове, като преди това проверявате потребителските отзиви и рейтингите на разработчиците.
8. Периодично премахвайте неизползваните разширения/софтуер.
9. Редовно проверявайте за евентуални необичайни действия в криптосметките си.
10. Бъдете нащрек за измами.

Последен ъпдейт на 22 декември 2024 в 09:51 ч.

Една кибератака може да има опустошителни последици за всеки бизнес. Затова знанието как да реагирате ефективно по време на такава е от съществено значение.

Ето 6 стъпки как да го направите:

1. Незабавно уведомяване на ИТ и управленските екипи

Служителят, който пръв се сблъска с пробива, трябва незабавно да уведоми ИТ и управленските екипи. Бързите действия са от решаващо значение, тъй като много кибератаки са проектирани да действат под радара, като безшумно изнасят данни. Ранното откриване може да предотврати по-голям пробив.

2. Прекъсване на връзката с компрометираната система

След като компрометираното устройство бъде идентифицирано, ИТ екипът трябва да го изключи от мрежата, за да предотврати допълнителни проблеми. Документирането трябва да започне веднага, за да се проследи как се разпространява инфекцията и кои системи са засегнати.

3. Проверка на целостта на резервните копия

ИТ специалистите трябва незабавно да проверят дали резервните копия в облака и на място не са били компрометирани. Целостта на им е от решаващо значение за ограничаване на въздействието на атаката и за поддържане на непрекъснатостта на бизнеса.

4. Прилагане на протоколи за реакция при инциденти

Ако вашата организация има план за реагиране при инциденти, започнете да го прилагате незабавно. Ако специалният екип не е на място, ИТ персоналът трябва да изпълни първите стъпки, описани в плана. Изолирането на засегнатите мрежови сегменти е от решаващо значение за ограничаване на заплахата.

5. Уведомяване на служителите

Уведомете всички служители за кибератаката, особено ако са замесени фишинг имейли. Човешката грешка често изостря нарушенията, така че те трябва да бъдат инструктирани да избягват всякакви подозрителни съобщения или прикачени файлове. Обучението по време на активна заплаха може значително да намали по-нататъшните щети.

6. Използване на инструменти за проследяване на заплахата

Използвайте EDR инструменти или други системи за сигурност, за да проследите и ограничите злонамерените дейности. Интегрираните инструменти за откриване на заплахи са по-ефективни за предотвратяване на повторно заразяване, отколкото ръчните процеси.

Представете си, че се събуждате и установявате, че профилът ви в Google е бил хакнат и нямате достъп до пощенската си кутия в Gmail. За много хора това би бил кошмарен сценарий. А той е съвсем реален. Хакерите вече използват техники за кражба на бисквитките на сесиите в Chrome, за да заобиколят 2FA защитите. 

Решението? Открийте си резервен акаунт в Gmail. 

Истината е, че той няма да ви помогне да се предпазите от самата атака. Той обаче ще смекчи въздействието ѝ, тъй като може да служи като резервно копие на важната и често незаменима информация. 

Как да настроим сигурно резервен акаунт в Gmail 

Тъй като Google предлага Gmail като напълно безплатна уеб базирана имейл платформа, създаването на няколко акаунта е изключително лесно: 

• излезте от профила си в Google;
• отидете на страницата за повторно влизане;
• изберете „Създаване на акаунт“ (Create account). 

За да гарантирате, че този нов акаунт няма да бъде компрометиран при атака срещу първия, използвайте допълнително удостоверяване от различно устройство. 2FA трябва да бъде базирано на самостоятелно приложение за генериране на код, а не чрез SMS на същия телефонен номер, както преди. Също така се опитайте да използвате възможно най-много напълно уникална информация при създаването на новия профил.  

След като създадете акаунта, отидете в настройките на основния и задайте правило за препращане, което да изпраща копие от всички имейли към втория акаунт.  

Киберизмамници са започнали да заплашват жертвите си, че на устройствата им е инсталиран мощният шпионски софтуер Pegasus и разполагат с доказателства, че са гледали „извратено“ порнографско съдържание.  

Те изпращат имейл, започващ с обръщението „Здравей, извратеняк!“ (Hallo pervert), последвано от заплаха, че хакерите разполагат с видеозаписи на жертвите, докато гледат порно клипове, които ще бъдат разпратени на контактите им, ако не платят.  

За да изглежда още по-реалистична ситуацията, имейлите включват някаква стара или активна парола на потребителя, придобита при едно от многобройните изтичания на данни в глобален мащаб. Често тези откраднати масиви съдържат и физически адреси, така че хакерите може да изпратят и снимка на сградата ви от Google Maps.  

Този подход, базиран на социално инженерство, подпомогнато от свободно налична информация в интернет, не е нов, но според Malwarebytes нападателите отскоро споменават Pegasus за допълнителен натиск.  Този софтуер наистина е мощен шпионски инструмент, но заплахата за използването му е абсолютна лъжа. Досега той е бил употребяван единствено в правителствени кампании за следене и няма доказателства да е попадал в ръцете на обикновени измамници. 

Ако получите подобен имейл: 

• никога не отговаряйте; 
• ако включва парола, уверете се, че вече не я използвате; 
• не си позволявайте прибързани действия или решения; 
• не отваряйте прикачени файлове. 

А ако искате да разберете какви ваши лични данни са били разкрити онлайн, можете да използвате безплатни приложения като Haveibeenpwned и Digital Footprint. 

Дигиталната трансформация на бизнесите през последното десетилетие и тенденции като дистанционната работа разшириха неимоверно възможностите за кибератаки. Това напълно се потвърждава от глобално проучване на Trend Micro – 73% от ИТ и бизнес лидерите са загрижени за разнообразието от системи, които могат да се превърнат във входни точки за хакерите към техните критични данни и ресурси. 

Kомпанията за киберсигурност анализира основните вектори на атаки и дава съвети как да бъде намален киберрискът, свързан с тях.

Електронна поща

Електронната поща остава един от най-често срещаните първоначални вектори на атака за киберпрестъпниците. Aтаките, базирани на този подход, ще стават все по-трудни за откриване, тъй като генеративния изкуствен интелект (GenAI) позволява на хакерите да създават изключително реалистични фишинг имейли. И то на различни езици. 

Мерките за защита включват: 

• Имейл портал, използващ изкуствен интелект, машинно обучение и поведенчески анализ; 
• Cloud Application Security Broker (CASB), анализиращ входящите имейли чрез сканиране на връзки, прикачени файлове и съобщения; 
• Secure Web Gateway (SWG), осигуряващ допълнителна защита при кликване върху злонамерена връзка; 
• oбучение на потребителите. 

Уеб приложения

Атаките с кръстосани скриптове (Cross-site scripting – XSS) се възползват от грешки в кодирането на уеб страници или уеб приложения, за да крадат входни данни на потребителите. Пример за това е XSS уязвимост в Ivory Search, плъгин за търсене на WordPress, който остави 60 000 уебсайта отворени за инжектиране на зловреден код.  

Мерките за защита включват: 

• запечатване на всички уязвимости; 
• сканиране за злонамерени скриптове; 
• деактивиране на всички портове, които не са необходими на уеб сървърите. 

Уязвимости в софтуерите

Уязвимостите могат да нарушат бизнес операциите, като причинят прекъсване или срив в системите. Шведската верига за хранителни стоки Coop например затваря 800 магазина, след като става жертва на zero-day уязвимост в продукта Virtual System Administrator (VSA) на доставчика Kaseya. 

Мерките за защита включват: 

• определяне и инсталация на най-подходящите пачове и следене на известните уязвимости; 
• създаване на план за реакция и постоянно наблюдение на мрежите за подозрителна активност; 
• използване на виртуални пачове за защита на уязвимите системи, ако доставчика на софтуера не е пуснал такива.

Устройства

Преминаването към дистанционна работа разкри опасностите, свързани с VPN – първоначален вектор на атака, който осигурява достъп до цялата мрежа. В същото време колкото повече устройства имат достъп до системите на една организация, толкова по-голям е киберрискът. 

Мерките за защита включват: 

• преминаване от VPN към Zero Trust Network Access (ZTNA) технология, която ограничава киберриска по цялата атакуема повърхност, като част от по-широка Zero Trust стратегия.

Облак

Дигиталната трансформация ускори приемането на облачните технологии, което донесе със себе си нови рискове за киберсигурността. Според доклада Trend Micro 2024 Midyear Cybersecurity Threat Report неподсигуреният достъп до облачни приложения е на първо място сред петте най-рискови събития през първата половина на годината.  

Мерките за защита включват: 

• използване на облачна платформа за сигурност, която поддържа среди с много и хибридни облаци. Тя трябва да може да автоматизира възможно най-много неща – от сканирането на инфраструктурата-като–код (IaC), контейнерите и работните натоварвания в облака до задаването на ясни политики за сигурност и извършването на проверки за съответствие. 

 

Google пусна спешна актуализация на Chrome (версия 128.0.6613.84/85) в отговор на активно експлоатирана уязвимост от типа zero-day (CVE-2024-7971).  Категоризирана като проблем с объркване на типовете в JavaScript, тя представлява значителен риск за потребителите. Уязвимостите, свързани с объркване на типовете, позволяват на атакуващите да изпълняват злонамерен код на машината на жертвата, потенциално водещ до кражба на данни, неоторизиран достъп или инсталиране на зловреден софтуер.  

Актуализацията Chrome 128 не само поправя CVE-2024-7971, но също така отстранява няколко други уязвимости с висока степен на сериозност, включително CVE-2024-7964 (Използване след освобождаване в частта с попълване на пароли). 

Предвид активната експлоатация на CVE-2024-7971, всички потребители на Chrome трябва незабавно да актуализират браузърите си до версия 128.0.6613.84 или по-нова. Те могат ръчно да проверят за актуализации, като отидат в менюто с настройки на Chrome, изберат “Помощ” и след това “Относно Google Chrome”. Браузърът автоматично ще провери за актуализации и ще подкани за рестартиране, след като най-новата версия бъде инсталирана. 

Хакери създават фалшиви сайтове, приличащи на легитимните страници на известни AI фоторедактори за установяване на отдалечен контрол и кражба на данни.

Според откривателите на кампанията от TrendMicro това се случва като:

1. хакерът краде страница в някоя от социалните мрежи (обикновено свързана с фотография) и променя името ѝ, за да напомня на популярен AI фоторедактор;
2. създава публикации с връзки към фалшиви страници, копиращи действителната;
3. подсилва злонамерените публикации чрез платени реклами.

Единственият проблем в тази ситуация: софтуерът в злонамерения уебсайт не е редактор на снимки, а програма за управление на работни станции. След като бъде инсталирана, тя позволява отдалечен контрол над машината и достъп до данните в нея.

За да се предпазите:

• активирайте многофакторна автентникация (MFA);
• използвайте силни, уникални пароли за профилите си и ги актуализирайте редовно;
• следете постоянно за необичайно поведение;
• информирайте се редовно за новите методи, използвани от хакерите;
• не теглете никакви инсталационни файлове, докато не сте 100% сигурни, че сте в легитимен сайт  и винаги ги сканирайте с антивирусен софтуер, преди да инсталирате.

 

Съвременният интернет е невъзможен без съществуването на API – интерфейси, посредством който различни приложения могат да комуникират помежду си.

От една страна, това е огромен позитив: коренно противоположни системи могат да работят заедно, От друга: това е огромно предизвикателство за сигурността, те са навсякъде, често са зле защитени и съдържат огромни количества данни и огромна част от бизнесите дори не не само не знаят колко API-та поддържат и дали те изобщо имат някаква форма на защита. Това ги прави една от любимите мишени на хакерите.

Защо да защитя API-тата си

Интерфейсите дават директен достъп до четене и писане на огромно количество чувствителна информация. На практика тяхното предназначение изисква да имат достъп до сърцето на една организация и цялата информация за нея.

Затова, за един бизнес, който поддържа подобни услуги, това означава, че през тях хакер може да:

• да открадне на чувствителна информация като се сдобие с нерегламентиран достъп (който понякога дори не изисква автентникация)
• извърши неоторизирани трансакции и да промени критични данни
• да спре достъпа до услуги, като претовари на сървърите, на които работят те
• да инжектира зловреден код
• да получи неоторизиран достъп до други вътрешни системи
• да нанесе репутационни щети, правни последици и глоби

Само един пример: през януари 2024 г. от социалната медия Spoutible бяха източени лични данни на над 200 хил. потребителя именно заради липсата на защита на една от основните ѝ API услуги.

Как да защитите API-тата си

След всичко изброено по-горе, основният въпрос е какво да направите, за да защитите API услугите, които поддържате? По-лесно е, от колкото си мислите.

Ето няколко практически съвета:

• Организирайте. Изгответе списък с API услуги, които поддържате. За целта можете да използвате автоматизирани инструменти за откриване, но по-добре е да съберете списъка от разработчиците, с които работите и да опишете кое API каква автентникация изисква и достъп до какви данни и какви операции по тях позволява
• Възприемете подход на нулево доверие (zerto-trust) и третирайте всяка заявка към API като потенциално злонамерена, независимо от произхода ѝ.
• Въведете силна автентификация и оторизация за всяка API услуга. Без изключения.
• Задайте разумни ограничения на броя заявките към API, които могат да се осъществяват за единица време. Например, има ли нужда API услуга за потребителска информация да позволява повече от 60 заявки в час?
• въведете надеждна система за създаване на версии за вашите API услуги, за да можете, когато бъдат открити уязвимости (а такива ще бъдат открити), да деактивирате по-старите итерации.
• обучавайте своите разработчици, тъй като повечето уязвимости в API произтичат от липсата на осведоменост за сигурността.
• внедрете инструменти за мониторинг и поведенчески анализ и редовно penetration тестове.

И не забравяйте – киберсигурността изисква постоянство и многопластов подход, така че всички тези стъпки трябва да вървят ръка за ръка.