Rose debug info
---------------

Антифишинг-дайджест № 188 с 11 по 17 сентября 2020 года

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 11 по 17 сентября 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Телефонные мошенники добавили в привычную схему обмана скан письма с номером «безопасного счета», на который следует перевести деньги.

Теперь после звонка якобы от службы безопасности банка с сообщением о попытке кражи денег с карты клиенту направляется «документ» с логотипом и штампом крупного банка. Обманы с использованием фальшивых писем от имени службы безопасности финансовой организации уже фиксировались в Сбербанке, Росбанке и Ак Барс Банке. Логотип известного банка повышает доверие граждан к злоумышленникам и, как следствие, эффективность мошеннической схемы.

Киберпреступная группировка Malsmoke атакует пользователей порнографических сайтов с помощью вредоносной рекламы. Кампания затрагивают практически всю рекламную сеть на порнографических ресурсах.

С помощью JavaScript вредоносная реклама переадресовывает пользователей ресурсов «для взрослых» на сайт, содержащий набор эксплойтов для уязвимостей в Adobe Flash Player и Internet Explorer, в результате чего на компьютеры жертв устанавливается вредоносное ПО: Smoke Loader, Raccoon Stealer и ZLoader.

Нацеленность кампании на пользователей Adobe Flash Player и Internet Explorer можно рассматривать как «лебединую песню» киберпреступников, поскольку IE и Flash Player в ближайшее время будут выведены из эксплуатации.

Умные устройства

«Невзламываемый» умный замок 360lock с механизмом безопасности на базе блокчейна можно взломать на программном и физическом уровне.

Замок 360lock управляется по Bluetooth Low Energy с помощью мобильного приложения. Разработчики заявляют о том, что реализовали в устройстве «максимальный уровень безопасности» благодаря использованию блокчейна.

Однако оказалось, что для открытия замка достаточно записать переданную по Bluetooth команду для разблокировки, а затем воспроизвести её. То есть никакой защиты от атаки повторного воспроизведения в замке не предусмотрено.

Вторая уязвимость замка проявляется уже на физическом уровне. Он изготовлен из цинкового сплава Zamak, который используется для изготовления молний и не отличается прочностью. В итоге для того, чтобы снять замок, достаточно одного удара молотком.

Атаки и уязвимости

Новая атака BLESA угрожает миллиардам смартфонов, планшетов, ноутбуков и IoT-устройств, использующие Bluetooth Low Energy (BLE).

Структурная схема атаки BLESA.

BLE — «облегченная» версия Bluetooth, созданная для экономии заряда аккумуляторов устройств. Подавляющее большинство проблем, выявленных в BLE, были связаны с механизмом сопряжения. Недавние исследования выявили ещё одну серьёзную уязвимость, связанную с реализацией повторного подключения (reconnection) устройств.

Повторное подключение выполняется после того, как два аутентифицированных BLE-устройства потеряли друг друга, а затем снова вернулись в зону доступности. При этом устройства должны повторно проверить криптографические ключи, уже согласованные во время первичного сопряжения, а затем подключиться и продолжать обмен данными. Однако из-за достаточно размытого описания повторного подключения в спецификации BLE выявились две системные проблемы:

  1. Аутентификация во время повторного подключения оказывается необязательной;
  2. Аутентификацию можно обойти, если одно из устройств отказывается от повторения процедуры.

Это делает возможным атаку BLESA — BLE Spoofing Attack, в ходе которой злоумышленник обходит проверки при повторном подключении и передает поддельные данные на BLE-устройство, подключаясь к нему под видом легитимного устройства, подключавшегося ранее.

Видео: демонстрация атаки BLESA.

Новая атака BlindSide использует уязвимости спекулятивного выполнения, чтобы обойти ASLR — Address Space Layout Randomization — механизм защиты от атак, который случайным образом меняет место выполнения приложения в адресном пространстве.

В общем случае для обхода ASLR злоумышленник должен найти уязвимость, способную привести к утечке участков памяти, либо исследовать память в поисках места, где запускается другое приложение, а затем изменить его код для атаки на это адресное пространство. Этот вариант очень сложен в реализации ,а техника BlindSide переводит атаку в сферу спекулятивного выполнения и позволяет обойти ASLR. В результате все неудачные попытки поиска адреса никак не влияют на процессор и стабильность его работы, и остаются незамеченными. Для реализации такой атаки хакеру понадобится лишь простая уязвимость, связанная с нарушением целостности информации в памяти, например, проблема переполнения буфера в ядре Linux.

Злоумышленники использовали голосовое меню банка для получения дополнительных сведений о его клиентах, чтобы впоследствии использовать эти сведения для мошенничества с применением методов социальной инженерии.

Номера телефонов клиентов и номера принадлежащих им банковских карт были ранее скомпрометированы и распространялись в интернете. Источник получения этих данных однозначно не установлен, однако, как считают в ЦБ, мошенники могли их получить в том числе из клиентской базы маркетплейса Joom, которая ранее оказалась в открытом доступе.

Схема мошенничества:

  • Преступники звонили на номер интерактивного голосового меню банка, подменяя свой телефонный номер на номера реальных клиентов.
  • Далее они запрашивали у системы сведения по остаткам на картах клиентов, вводя для этого последние четыре цифры номеров этих банковских карт.
  • После этого мошенники, используя методы социальной инженерии, звонили своим жертвам, представляясь сотрудниками банка. Для создания доверия и успешного применения иных методов социальной инженерии они использовали полученную в банке информацию об остатках денежных средств.

Инциденты

В открытом доступе обнаружена база данных Elasticsearch компании Mailfire, содержащие персональные данные и конфиденциальную информацию пользователей сайтов знакомств.

В базе хранились 882 ГБ лог-файлов с push-уведомлениями, которые отправляли сайты своим пользователям с помощью сервиса Mailfire. В общей сложности лог-файлы содержали 66 млн уведомлений, отправленных за последние 96 часов, с персональными сведениями сотен тысяч людей. Большая их часть относилась к сайтам знакомств, которые обещают мужчинам найти молодых женщин из Восточной Европы и Восточной Азии.

В «отладочной» области сервера хранились имена, сведения о возрасте и половой принадлежности, адреса электронной почты, общие географические данные о местоположении и IP-адреса. Также в уведомлениях были ссылки на профиль пользователя с ключами аутентификации. По этой ссылке любой мог получить доступ к профилю пользователя на сайте знакомств без пароля.

Китайская компания Zhenhua собрала базу данные с персональными сведениями о самых влиятельных людях по всему миру.

В числе собранных данных — дата рождения, адреса, семейное положение, фотографии, список родственников, аккаунты в соцсетях, образование, профессиональные достижения и список преступлений. По заявлению компании основная часть информации собрана из открытых источников, однако в базе присутствуют и конфиденциальные сведения — банковские выписки и заявления о приёме на работу.

Среди людей, на которых китайская компания собрала данные имеются высокопоставленные политики, члены королевской семьи и командующие армиями. В частности, в базе есть сведения 35 тысяч австралийцев, среди которых премьер-министр Австралии Скотт Моррисон. Вcего в утёкшей базе данных имеются досье на 24 млн человек.

База данных интернет-магазина компании Razer долгое время оставалась в открытом доступе, что могло привести к утечке данных 100 тыс покупателей.

БД содержала:

  • имя клиента,
  • е-мейл,
  • номер телефона,
  • номера и детали заказов,
  • биллинговые адреса и адреса доставки.

Из-за хакерской атаки в университетской клинике в Дюссельдорфе умерла пациентка.

По имеющейся информации 11 сентября вымогатели нарушили работу серверов клиники. Отключение систем происходило постепенно, на восстановление работы клинике потребовалось шесть дней. Срочные операции и амбулаторное лечение больных были отложены, а «тяжелую» пациентку пришлось срочно перевести на лечение в другую больницу. Во время транспортировки состояние женщины ухудшилось, и она скончалась.

Представители больницы пока не раскрывают подробности инцидента.

Хотя база и не содержала паролей и платежных сведений, злоумышленники могли использовать содержащиеся в ней сведения для проведения фишинговых атак.

Поделиться
Отправить
Запинить
 251   2020   дайджест   фишинг