Представляем новости об актуальных технологиях фишинга и других атаках на человека c 13 по 19 сентября 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Обнаружена очередная фишинговая компания для кражи учетных записей Microsoft.

На первый взгляд фишинговая кампания исполнена в точности как десятки других:

• жертва получает письмо, в котором содержится ссылка на сайт;
• в письме указана причина, по которой пользователь должен срочно перейти на этот сайт и ввести свои учётные данные;
• фишинговая страница полностью скопирована с оригинальной;
• введённые на ней данные попадают к злоумышленникам.

Особенностью кампании стала отправка учётных данных по электронной почте прямо с фишинговой страницы с помощью сервиса SmtpJS. Причем злоумышленники были настолько беспечны, что оставили свои адреса электронной почты прямо в коде:

Чтобы избежать хищения данных в этой атаке, администраторам в организациях достаточно заблокировать пользователям доступ к сайту сервиса SmtpJS, если он не требуется для каких-то задач.

Мобильная безопасность

Android-троян FANTA атакует пользователей сайта Avito, похищая деньги с их банковских счетов.

1. После того, как продавец опубликует объявление, на его контактный номер приходит персонализированная SMS с сообщением о переводе на его счёт полной стоимости товара. Просмотреть детали платежа можно по ссылке в сообщении.

2. Если продавец кликает на ссылку, открывается фишинговая страница, имитирующая реальную страницу Avito, где продавца уведомляют о совершении покупки, причем с описанием его товара и суммы, полученной от его «продажи».

3. После нажатия на «Продолжить» на телефон загружается APK-файл, содержащий троян, который скрывает свою иконку сразу после запуска.

4. Троян показывает сообщения, после подтверждения которых он получит доступ к содержимому окон приложений и действиям, производимым в них:

а затем и права администратора:

5. Троян анализирует, какие приложения запускаются на зараженном устройстве. Если было открыто интересующее приложение, например, Avito, Aliexpress, Google Play Market, Aviasales, Pandao, Booking, Trivago и т. д. троян демонстрирует фишинговое окно с формой для ввода информации о банковской карте, c сообщением о том, что учётные данные сброшены, и предложением ввести их заново:

6. Введённые данные карт троян использует для хищения средств.

Атаки и уязвимости

Уязвимость в менеджере паролей LastPass позволяла злоумышленникам определить учетные данные, использовавшиеся при последней авторизации через плагин сервиса для Chrome и Opera.

Уязвимость была связана с некорректной обработкой команды создания всплывающего окна авторизации. Чтобы атака была успешной, жертву нужно было заманить на вредоносный сайт и заставить несколько раз кликнуть по определенным элементам на странице.

Получив уведомление об уязвимости, разработчики оперативно исправили ошибку. Обновления плагинов в Chrome и Opera установятся автоматически при очередном запуске браузеров.

«Умные» устройства

Умные телевизоры Samsung и LG отправляют конфиденциальные данные пользователей компаниям Facebook, Amazon, Google и Netflix.

72 из 81 протестированного устройства передают данные третьим лицам

Данные содержат сведения о том, какими устройствами для чего и когда пользуются люди, где они находятся, а также уникальные идентификаторы устройств и серийные номера, SSID беспроводных сетей и MAC-адреса.

Исследователи сообщают, что передача данных происходит даже в моменты бездействия устройств, причём данные могут отправляться в Netflix даже если пользователь не подписан на этот сервис.

Кроме умных телевизоров, в шпионаже уличили устройства Roku и Amazon FireTV, умные колонки и видеокамеры.

Инциденты

Из-за уязвимости в сервере оператора фискальных данных (ОФД) «Дримкас» в открытом доступе оказалась база Elasticsearch, содержащая 14 млн записей о юридических и физических лицах, данные о покупках и уплаченных налогах.

Записи в базе данных содержали ИНН, адреса, названия компании, электронные адреса 3 тыс. пользователей скидочной программы «Покупай-ка», телефоны представителей, а также информацию о заключенных сделках, ассортименте и ценах товара.

Если информация об утечке подтвердится,, «Дримкасу» грозит штраф от 500 тыс до 1 млн рублей.

Ещё один обнаруженный в открытом доступе сервер Elasticsearch содержал 20,8 млн записей с 18 Гб личных данных всех граждан Эквадора, включая детей.

Данные в базе включали в себя имена, сведения о членах семьи и родственниках, информацию о регистрации актов гражданского состояния, финансовые сведения, информацию о работе и находящихся в собственности транспортных средствах.

Предположительно, утёкшие сведения были собраны местной консалтинговой компанией Novaestrat, предоставляющей услуги анализа данных, стратегического маркетинга и разработки ПО.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.