Представляем новости об актуальных технологиях фишинга и других атаках на человека c 25 по 31 октября 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Организаторы фишинговой атаки против пользователей Steam похищают учётные записи игроков через фальшивые магазины артефактов.

Копии оригинальных магазинов выполнены очень качественно, на них есть предупреждения о cookie и используется https-подключение:

При нажатии на любую кнопку или ссылку у пользователя запрашиваются учётные данные Steam:

Мошеннический сайт проверяет корректность логина и пароля с помощью оригинальных сервисов Steam.

После ввода действительных учётных данных Steam Guarg пришлёт пользователю код для двухфакторной аутентификации, который также необходимо ввести на мошенническом сайте:

Как только жертва введёт его, он отправится злоумышленникам, которые получат полный контроль над аккаунтом.

Инциденты

Банк UniCredit сообщил об утечке данных 3 млн пользователей.

Как именно произошла утечка, пока не сообщается. Сообщается, что скомпрометирован один файл от 2015 года, в котором содержатся сведения об итальянских клиентах UniCredit:

• имена,
• информация о городах проживания,
• номера телефонов,
• адреса электронной почты.

По заявлению банка записи не содержали никаких других личных данных или банковских реквизитов, которые могли бы позволить злоумышленникам получить доступ к учетным записям клиентов и проводить несанкционированные транзакции.

Данные 1,3 млн банковских карт индийских банков выставлены на продажу на подпольной торговой площадке.

• Информация о каждой карте в наборе оценивается в 100 долларов, то есть общая стоимость базы данных составляет примерно 130 миллионов долларов.
• Это одна из самых больших и дорогих баз данных, выгруженных на черный рынок.
• Более 98% записей в базе принадлежат индийским банкам, ещё 1% — колумбийским банкам.
• Предположительно, информация о картах была похищена либо при помощи скиммеров, установленных в банкоматах, либо через вредоносное ПО для PoS-терминалов.

Злоумышленники захватили контроль над инфраструктурой Йоханнесбурга и потребовали выкуп в размере 4 биткоинов — около 35 тыс. долларов США.

Примечательно, что контроль над сетью города был захвачен с помощью десятков бэкдоров, а не шифровальщика.

Преступники захватили контроль на DNS и Active Directory и похитили конфиденциальные финансовые данные. Если власти города не выплатят выкуп, злоумышленники угрожают опубликовать их в открытом доступе. Если же выкуп заплатят, хакеры обещают уничтожить похищенное и объяснить ИТ-персоналу города, какие уязвимости в системах необходимо устранить.

Latest update by MMC for Finance, cllr @FunzelaZA after @CityofJoburgZA detected a network breach in its systems last week. ^KO@HermanMashaba @JoburgFinance pic.twitter.com/1aGWcHKYZj

— Leader of Executive Business: City Of Johannesburg (@LOEB_COJ) October 28, 2019

Власти Йоханнесбурга отказались платить выкуп и планируют восстановить ИТ-инфраструктуру города своими силами.

В открытом доступе обнаружена база Elasticsearch с данными об учетных записях 7,5 млн пользователей Adobe Creative Cloud.

В базе можно было найти адреса email, Adobe ID, информацию о стране проживания пользователя и о том, какие продукты Adobe тот использует, а также сведения о дате создания учетной записи, дату последнего входа в систему, статус подписки и оплаты и отметку о принадлежности аккаунта сотруднику Adobe. Утечка не коснулась паролей и финансовой информации.

Представители Adobe признали вину в случившемся и обещали пересмотреть процессы разработки, чтобы подобные ситуации не возникали.

Мобильная безопасность

В системном приложении Tags для Android обнаружена уязвимость, которая позволяет использовать манипуляции с NFC-метками для различных вредоносных действий.

Приложение Tags обрабатывает сигналы от NFC-меток. Обнаружив в радиусе действия другой NFC-чип, программа предлагает пользователю произвести какое-то действие, например, перейти по ссылке или совершить звонок. Используя уязвимость, киберпреступник самостоятельно выводить такие сообщения:

Оригинальное и модифицированное сообщение о найденном NFC-теге

Это позволяет провести два варианта атаки:

• открытие диалогового окна без обнаружения NFC-метки;
• изменение содержания оригинального сообщения.

Таким образом хакер получает возможность направить пользователя на фишинговый сайт или заставить позвонить на платный номер.

Эксплуатация уязвимости требует установки вредоносного приложения и взаимодействия с жертвой атаки, поэтому Google не считает угрозу критической и не планирует исправлять ошибку в версиях Android ниже 10.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.