Rose debug info
---------------

Антифишинг-дайджест №114 c 5 по 11 апреля 2019 года

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 5 по 11 апреля 2019 года.


Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

Ультразвуковой сканер отпечатка пальца Samsung Galaxy S10 удалось обмануть с помощью 3D-модели.

Пользователь Reddit Darkshark сфотографировал свой отпечаток на бокале, отредактировал снимок, улучшив насыщенность и контрастность, чтобы выделить объект на фоне. Затем с помощью программы 3ds Max он добавил отпечатку объём и распечатал модель на 3D-принтере. Через 13 минут печать закончилась, и полученный отпечаток легко разблокировал его смартфон.

Видео: разблокировка смартфона с помощью 3D-модели.

В новейшем протоколе беспроводной аутентификации WPA3 выявлены недостатки, с помощью которых можно восстановить пароль на Wi-Fi, прочитать зашифрованную информацию и украсть конфиденциальные данные.

Исследователи опубликовали документ под названием DragonBlood, в котором описали следующие виды атак:

  • Атака по побочному каналу на основе кеша CVE-2019-9494
  • Атака по побочному каналу на основе синхронизации, также имеет идентификатор CVE-2019-9494 из-за сходства реализации атаки.
  • WPA3 downgrade, принудительное включение режима совместимости с WPA2.

Сайты, почта и мессенджеры

Хакеры используют сайты известных иностранных компаний для рассылки фишинговых писем.

Письма отправлены с официальных почтовых адресов компаний Audi, Austrian Airlines и S-Bahn Berlin. Заголовки и текст написаны на английском или немецком, но в тексте выделяется фраза «ВАМ ДЕНЬГИ»:

Для отправки используются формы подписки на рассылки на официальных сайтах компаний. В графе «Имя» указывается «ВАМ ДЕНЬГИ», а вместо фамилии — ссылка на фишинговый сайт. В результате жертва получает письмо для подтверждения подписки на рассылку с официальной почты компании:

При переходе по ссылке пользователь через цепочку переадресаций попадает на фишинговый ресурс, где ему сообщают, что его электронный почтовый адрес выиграл возможность участвовать в международной акции «Счастливый e-mail». Там же предлагается пройти опрос для получения вознаграждения от 10 до 3000 €:

После ответов на несколько вопросов отображается сумма выигрыша и условия вывода средств, в числе которых требование оплатить комиссию за конвертацию € в ?.

Для оплаты комиссии пользователя перенаправляют на специальную страницу, где помимо данных банковской карты предлагается указать и проверочный код из SMS:

Когда пользователь ввёдет все данные, с его счета списываются средства, а данные банковской карты остаются у мошенников. Разумеется, никакого выигрыша жертва не получает.

Злоумышленники рассылают защищенные паролем ZIP-файлы и PDF-документы со ссылками на видеоролики, якобы, записанные в момент посещения получателем порносайтов.

Запароленные архивы содержат файлы Camera-Vid.avi, contacts.txt, debt.txt, Google_Chrome_Default.txt, information.txt и screenshot.jpg.

  1. Злоумышленники рассчитывают, что имена файлов и невозможность просмотреть их содержимое без пароля напугают пользователя в достаточной степени, чтобы он заплатил шантажистам деньги.
  2. Чтобы порочащие материалы не рассылались членам семьи, друзьям и знакомым, нужно заплатить выкуп в размере 660 долларов США в биткоинах.
  3. В виде отдельного одолжения жертве предлагалось за 50 долларов США купить на сайте cryptonator.com пароль от архива.
  4. Ссылки из PDF-вложений напрямую вели на форму оплаты:

Атаки, утечки и уязвимости

В открытом доступе обнаружена база данных MongoDB с информацией о вызовах скорой помощи нескольких подмосковных станций.

  1. База содержит сведения о пациентах скорой помощи из Долгопрудного, Балашихи, Королева и других подмосковных городов: даты вызовов, имена, адреса и контактные телефоны пациентов.
  2. По каждому выезду имеется заключение врачей с описанием состояния человека, обратившегося за помощью.

Вероятно, злоумышленники украли порядка 18 Гб данных из незащищенной базы MongoDB, которая отличается слабыми настройками безопасности по умолчанию. Скорее всего, ИТ-специалисты скорой помощи просто забыли защитить базу паролем.

Таиландское подразделение производителя оптического оборудования Hoya на три дня остановило работу из-за кибератаки.

  1. На первом этапе вирус похищал данные сотрудников для входа в систему, на втором должен был скачать и запустить майнер криптовалюты.
  2. Работники завода обратили внимание на резко увеличившуюся нагрузку на серверы и передали информацию об этом в ИБ-отдел, сотрудники которого устранили угрозу.
  3. Атака поразила около 100 компьютеров и в результате снизила производственные обороты предприятия на 60%.

В системе электронных заказов австралийского McDonald’s обнаружена ошибка, которая позволяла бесплатно заказать еду.

  1. С помощью электронного терминала, позволяющего делать и оплачивать заказ без очереди в кассу, два друга заказали десять гамбургеров по цене 1 доллар за каждый.
  2. С помощью опции «Customize» они отказались от котлет, снизив тем самым стоимость заказа на 1,1 доллар за каждый гамбургер. В результате к оплате получилось отрицательное число, а именно —1 доллар.
  3. Когда они заказали один обычный гамбургер, больше не отказываясь от котлеты, итоговая сумма вышла 0 долларов.

Умные устройства

Исследователи разработали программу, с помощью которой можно добавлять или удалять опухоли на 3D-снимке компьютерного томографа до того, как он попадет в руки к врачу.

  1. Современные томографы взаимодействуют с системой архивации и передачи изображений (PACS), отправляя ей результаты сканирования в формате DICOM.
  2. Трехмерная томограмма представляет собой множество 2D-изображений, которые позже собираются в объемную картинку.
  3. Созданная учеными программа использует генеративно-состязательную сеть для редактирования таких данных. Эксперты изменили результаты 70 сканирований и, добавив к ним 30 реальных томограмм, передали для анализа.
  4. В рамках слепого теста врачи не смогли выявить 99% 3D-изображений с искусственно добавленной опухолью и 94% снимков, где признаки онкологического заболевания стерли исследователи.
  5. После того, как диагностам сообщили о наличии отредактированных изображений, они не нашли фальшивки в 60% и 87% случаев соответственно.

Мобильное приложение от системы удалённого управления автомобилем MyCar позволяло любому получить контроль над любым подключенным к системе автомобилем.

Разработчик мобильного приложения оставил в нём вшитые учётные данные. Любой желающий мог извлечь их из исходного кода и перехватить контроль над автомобилем: прогревать или охлаждать салон, открывать и закрывать двери, включать и отключать противоугонные системы, открывать багажник и даже находить автомобиль на переполненной стоянке.

О компании «Антифишинг»

Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга
Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Поделиться
Отправить
Запинить
 218   2019   дайджест   фишинг