Представляем новости об актуальных технологиях фишинга и других атаках на человека c 17 по 23 мая 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Атаки с использованием банкоматов

Мошенники крадут деньги через реализованную в банкоматах Сбербанка возможность пополнить счёт мобильного телефона.

Атака работает так:

1. Мошенник начинает в банкомате операцию пополнения счёта мобильного телефона.
2. Указав номер телефона и сумму, он выбирает в качестве источника средств пластиковую карту и отходит от терминала.
3. Банкомат Сбербанка в течение полутора минут предлагает клиенту вставить карту и ввести пин-код.
4. Если в это время кто-то подойдёт к банкомату, вставит свою карту и введёт пин-код, указанный мошенником номер телефона будет пополнен с карты этого клиента.

«Я хотел воспользоваться терминалом Сбербанка. Передо мной на нём что-то бесконечно вводила девушка в чадре. Когда она отошла, я как обычно увидел: „вставьте карту, введите пин-код…“ — и 15 тыс. улетело на оплату чужого телефона».

Один из потерпевших

«Тайм-аут в полторы минуты представляет серьёзную уязвимость, причём не техническую, а социальную: неподготовленный пользователь вполне может вставить свою карту, не посмотрев на монитор. Необходимо перенастроить платёжные устройства, сократив время сессии»

Эксперт RTM Group Евгений Царёв

Организаторы другой атаки использовали ошибку в настройках банкоматов банка «Москва-сити» для хищения 9 миллионов рублей.

Для проведения атаки использовался сервис MoneySend от MasterCard в банкоматах «Москва-сити»:

1. Переводы всегда выполнялись с карты Сбербанка на карты Тинькофф-банка.
2. Указывались параметры карты отправителя и карты получателя, сумма перевода, затем запускалась процедура перевода.
3. Банкомат направлял запросы в банк отправителя для разрешения на списания и в банк получателя для разрешения на зачисление.
4. На экране банкомата выводилась комиссия за перевод и предложение подтвердить операцию.
5. В этот момент мошенники отменяли операцию.
6. Из-за ошибки в настройках банк-владелец банкомата считал, что операцию всё ещё можно отменить, а банк получателя — что перевод уже нельзя отозвать, поэтому несмотря на отмену операции сумма перевода не только зачислялась на карту получателя, но и восстанавливалась на карте отправителя. Фактически сумма перевода клонировалась.

Уязвимости

В десктопном приложении Slack обнаружена уязвимость, которая позволяла получить доступ к скачанным на устройство файлам.

Проблема была связана с тем, как приложение обрабатывало внутренние ссылки вида slack://… Атакующий мог создать специальный адрес, который не отличается от обычного внешне и изменяет путь сохранения файлов. В качестве директории злоумышленник мог указать в том числе удалённый сервер. Помимо этого баг позволял атакующему изменять загруженные файлы. Например, злоумышленник мог встроить в документ вредоносный код, который автоматически запустится, когда жертва откроет вложение.

Самое неприятное, что опасность представляли не только сообщения от участников беседы. Неавторизованный злоумышленник мог изменить место сохранения файлов с помощью RSS-потоков на сторонних сайтах.

Сайты, почта и мессенджеры

Зафиксирован случай хищения квартиры с помощью интернет-портала Росреестра и электронной подписи.

Владелец узнал о том, что лишился квартиры, обнаружив в квитанциях за коммунальные услуги чужую фамилию.

Для проведения операции мошенники:

1. Изготовили фальшивую доверенность на получение электронной подписи владельца квартиры.
2. С этой доверенностью обратились в удостоверяющий центр и выпустили электронную подпись владельца.
3. Используя электронную подпись, оформили договор дарения в простой письменной форме через сайт Росреестра.

«Фактически мошенники изготовили на себя электронный паспорт, который подтверждает, что эта подпись принадлежит им»

Михаил Брауде-Золотарев,
руководитель центра IT-исследований и экспертизы РАНХиГС

Во избежание подобных ситуаций Росреестр посоветовал гражданам написать заявление, чтобы операции с недвижимостью проводились только в их присутствии. Правда, в таком случае электронная подпись потеряет смысл, а многие госуслуги можно будет получить только при личном визите в МФЦ.

Google сохраняет сведения об интернет-покупках пользователей.

1. Для получения данных используются подтверждения об оплате, которые магазины присылают на электронную почту Gmail.
2. Собранные данные сохраняются на странице «Покупки» в учётной записи Google. Туда попадают даже покупки, оплаченные без использования Google Pay.
3. Удалять покупки можно только по одной за раз, причём в два этапа: сначала покупку, затем письмо, из которого была извлечена информация о ней.

Утечки информации

В облаке Amazon обнаружена база с информацией о десятках миллионов популярных Instagram-блогеров.

Записи в базе содержат контакты, количество подписчиков и специально рассчитанный медийный вес, а также электронные адреса и телефоны. На момент обнаружения база включала около 49 млн записей, и это количество постоянно увеличивалось.

Создатели архива отслеживали зарегистрированных в Instagram знаменитостей, корпоративные аккаунты и пользователей с большим количеством подписчиков. Каждая учётная запись получала индекс, который учитывал количество подписчиков, охват публикаций и реакцию аудитории на них.

Предположительно, база принадлежит индийскому маркетинговому агентству Chtrbox, которое платит популярным блогерам за публикацию постов.

Мобильная безопасность

Разработан новый метод отслеживания интернет-активности пользователей iOS и Android с помощью данных заводской калибровки датчиков устройств.

Атака, получившая название SensorID, базируется на анализе калибровочных данных, которые производители встраивают в прошивку смартфона для компенсации систематических производственных ошибок гироскопа и магнитометра на iOS-устройствах, а также акселерометра, гироскопа и магнитометра на Android-устройствах:

Устройства от Apple более уязвимы к атаке, поскольку в процессе производства яблочных устройств обязательно проводится точная калибровка всех датчиков, а производители Android-устройств иногда этим пренебрегают.

Получение данных калибровки занимает одну секунду, а положение устройства или условия окружающей среды при этом не имеют никакого значения. Данные калибровки уникальны и неизменны, поэтому позволяют отслеживать активность пользователя в интернете даже после полного сброса настроек.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 10 по 16 мая 2019 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Неизвестные мошенники получили доступ к логинам и паролям от мобильного и интернет-банка владельцев карт «Кукуруза», а затем вывели все средства.

Преступники использовали метод «смежного взлома»:

1. Сначала был взломан один из социальных сервисов, не связанный с «Кукурузой», но содержащий данные о владельцах карт этой системы.
2. Затем злоумышленники проверяли, логин и пароль на сервисе с логином и паролем в мобильном или интернет-банке «Кукурузы».
3. Обнаружив совпадение, они входили в интернет-банк, подключали Apple Pay и выводили деньги на номер Tele2.
4. Все жертвы указывают, что СМС или пуш-уведомлений с кодом подтверждения для подключения Apple Pay они не получали, поскольку мобильное приложение «Кукурузы» позволяло подключть Apple Pay без этих подтверждений.

Предполагаемая сумма ущерба составляет несколько миллионов рублей.

Мошенники создали фишинговый ресурс для сервиса «Безопасная сделка» через неделю после его открытия.

6 мая Сбербанк открыл сервис «Безопасная сделка», который гарантирует оплату сделки ее участниками и защищает их права:

13 мая в интернете появился ресурс sberbank-service.online, имитирующий сервис Сбербанка:

Мошенники пока не довели сайт до рабочего состояния, но их оперативность позволяет ожидать появления целой сети аналогичных ресурсов для обмана людей.

В мессенджере WhatsApp обнаружена уязвимость, которая позволяет злоумышленникам внедрять на телефоны пользователей коммерческую шпионскую программу.

Для осуществления атаки злоумышленникам нужно всего лишь позвонить предполагаемой жертве, используя функцию звонков в мобильном приложении WhatsApp. Под угрозой оказались пользователи WhatsApp и WhatsApp Business для iOS, Android, Windows Phone и Tizen. Шпионскую программу можно «подсунуть» даже тем пользователям, которые не ответили на звонок.

Причина уязвимости — ошибка CVE-2019-3568 в стеке WhatsApp VOIP, которая приводит к переполнению буфера и открывает возможность для внедрения стороннего кода.

Злоумышленники внедрили шпионский скрипт Magecart на сайт ForbesMagazine.com — ресурс для подписки на журнал Forbes.

Magecart может собирать платежную информацию клиентов и отправлять ее на сервер киберпреступников. Код собирает данные банковских карт, а также сведения об их владельцах: имена клиентов, их физические адреса, номера телефонов и адреса электронной почты.

Вредоносное ПО

Утилита Pirate Chick VPN маскируется под легальный VPN-сервис и загружает на компьютер жертвы троян AZORult.

AZORult — шпион, который крадёт логины и пароли, данные кредитных карт и криптокошельков, истории браузеров, файлов cookie и другие сведения. Кроме того он может служить загрузчиком для других зловредов.

1. Мошенники распространяли программу через поддельное обновление Adobe Flash Player и вредоносную рекламу.
2. При переходе по ссылке человек попадал на типичную продающую страницу, где помимо описания утилиты размещались FAQ, политика конфиденциальности и пользовательские соглашения:
3. Исполняемые файлы были подписаны сертификатом британской компании ATX International Limited.
4. После открытия Pirate Chick VPN связывался с удаленным сервером, загружал в папку %Temp% полезную нагрузку в виде .txt-файла и декодировал ее, превращая в исполняемый файл AZORult, который запускался в фоновом режиме.

Утечки информации

В информационных системах госорганов обнаружили 360 тысяч записей с личной информацией российских граждан.

Исследователь проанализировал данные с сайтов информационных систем госорганов, среди которых

• портал государственного и муниципального заказа федерального казначейства (300 тысяч записей),
• реестр субсидий федерального бюджета Минфина (50 тысяч),
• реестр отчётов некоммерческих организаций Минюста (10 тысяч).

По мнению экспертов утечки возникают из-за недостаточно продуманной работы регулирующих и контролирующих органов и ошибок в законодательстве. Так, в реестре Минюста персональные данные появляются из-за требований предоставлять отчёт, содержащий паспортные данные, Ф.И.О и дату рождения.

Уязвимости

В Windows обнаружена критическая уязвимость, которую можно использовать для быстрого развертывания вредоносного ПО.

По опасности ошибка сравнима с набором уязвимостей протокола SMB, спровоцировавшим глобальную эпидемию вируса WannaCry. Используя ошибку, неавторизованный автор атаки может удаленно выполнить код на уязвимой системе с включенным протоколом удаленного рабочего стола.

Свидетельством чрезвычайной опасности уязвимости может служить тот факт, что Microsoft выпустила исправления для Windows XP и Server 2003, которые можно найти в каталоге Центра обновления Windows.

В процессорах Intel обнаружен новый класс уязвимостей, который позволяет извлечь данные, которые обрабатывает чип. Проблему назвали Microarchitectural Data Sampling (MDS), поскольку она позволяет атаковать микроархитектурные структуры данных, используемые процессором для быстрого чтения-записи.

Всего описано четыре типа атак:

• Fallout (CVE-2018-12126) — восстановление содержимого буферов хранения. Даёт возможность прочитать данные, недавно записанные ОС, и определить раскладку памяти для подготовки к другим атакам;
• RIDL (CVE-2018-12127, CVE-2018-12130, CVE-2019-11091) — восстановление содержимого портов загрузки, буферов заполнения и некэшируемой памяти. Атака позволяет организовать утечку информации между различными изолированными областями в процессорах Intel, такими как буферы заполнения, буферы хранения и порты загрузки;
• Zombieload (CVE-2018-12130) — восстановление содержимого буферов заполнения. Атака позволяет восстановить историю браузеров и другие данные, организовать утечку информации из приложений, ОС, облачных виртуальных машин и сред доверенного исполнения.
• Store-To-Leak Forwarding — эксплуатирует средства оптимизации работы с буфером хранения. Может применяться для обхода механизма рандомизации адресного пространства ядра (KASLR), для мониторинга состояния ОС или организации утечек в сочетании с гаджетами на базе методов Spectre.

Для нового типа атак уязвимы все модели процессоров Intel, выпущенные с 2011 года, в том числе для ПК, ноутбуков и облачных серверов. Новейшие модели процессоров уязвимостям не подвержены, поскольку поставляются с защитой от атак спекулятивного исполнения.

Чтения хэша пароля суперпользователя в Linux с помощью RIDL:

Чтение строки из другого процесса с помощью JavaScript и RIDL:

Чтение данных ядра Linux с помощью RIDL:

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 3 по 9 мая 2019 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Неизвестные злоумышленники внедрили на сайты интернет-магазинов вредоносные JavaScript-сценарии, которые похищали данные платёжных карт покупателей.

Общий алгоритм атаки:

Когда пользователь заходил на страницу заражённого интернет-магазина, сценарий загружался с сайта magento-analytics(.)com и запускался на исполнение.

Для каждого сайта был отдельный сценарий:

При этом содержимое всех сценариев было идентичным:

После запуска на странице скрипт дважды в секунду собирал данные, введённые в платёжную форму и отправлял их злоумышленникам.

Вредоносные сценарии были внедрены на 105 сайтов.

Новый метод отслеживания перемещения курсора мыши использует исключительно HTML и CSS.

Обычно такие методы реализуются с помощью кода JavaScript, встроенного в страницу сайта или в код рекламных объявлений. Это позволяет следить за перемещением пользователя и его взаимодействием с сайтом. Такие скрипты можно заблокировать с помощью специальных программ, расширений для браузера и блокировщики рекламы вроде AdBlock.

Исследователи нашли новый способ, с помощью которого можно отслеживать перемещение курсора мыши на странице определенного сайта, даже если пользователь использует Tor Browser с отключенным JavaScript.

В методе используется сетка из DIV с псевдоклассом CSS :hover, который подставляет новое фоновое изображение каждый раз, когда курсор мыши пользователя двигается вдоль div’а.

Популярная отечественная платформа radario.ru хранит в открытом доступе десятки тысяч проданных электронных билетов на мероприятия и персональные данные пользователей.

«Для доступа к данным о проданных билетах и к билетам всех пользователей использовался один и тот же токен. Все заказы имеют сквозную нумерацию и один-единственный токен доступа ко всем уже оплаченным билетам, не надо ничего взламывать, любой жулик может получить доступ к чужим билетам»

основатель и технический директор DeviceLock DLP Ашот Оганесян.

Новой целью фишинговых атак стали учётные записи Amazon Web Services.

Атака начинается с письма, уведомляющего о необходимости подтвердить контактную информацию для доменной WHOIS-записи, иначе работа сайта, который администрирует жертва атаки, будет приостановлена.

Письмо профессионально оформлено и могло бы ввести в заблуждения даже грамотного специалиста, если бы не одна деталь: злоумышленники допустили ошибку в адресе ссылки на вредоносный сайт:

Если бы не эта ошибка, клик по кнопке мог привести к хищению учётных данных и перехвату контроля над администрируемыми сайтами.

Неизвестные злоумышленники удалили содержимое сотен Git-репозиториев в сервисах GitHub, Bitbucket и GitLab, заменив его требованием об уплате выкупа за восстановление данных.

В требовании о выкупе злоумышленники сообщают, что весь исходный код загружен на принадлежащий им сервер и предоставляют жертве 10 дней на уплату выкупа в размере 0,1 биткоина (около 560 долларов США). В противном случае вымогатели угрожают выложить код в открытом доступе.

От действий злоумышленников пострадали минимум 392 репозитория на GitHub. Многие пострадавшие использовали ненадежные пароли или не удалили токены доступа к неиспользуемым приложениям. Кроме того, имеются подтверждения того, что злоумышленники использовали для доступа к аккаунтам обнаружили учётные данные из конфигурационных файлыв Git, которые им удалось найти в интернете.

Пользователи StackExchange считают, что злоумышленник не удаляет информацию из репозиториев, а только изменяет заголовки коммитов Git. Это позволяет восстановить данные без выплаты выкупа.

Вредоносное ПО

Датская ИБ-компания Outflank разработала программу Evil Clippy (Злой Скрепыш), которая затрудняет детектирование вредоносных макросов в документах MS Office.

Evil Clippy работает в Windows, macOS и Linux, поддерживает форматы Microsoft Office 97 — 2003, а также 2007 и более новые. Программа работает напрямую с форматом Compound File Binary Format (CFBF), который используется для документов MS Office.

Для генерации вредоносных документов Злой Скрепыш использует:

• VBA-стомпинг — замену кода VBA-скрипта на p-код,
• скрытие макросов,
• обфускацию стандартных имён модулей.

В результате утилиты для анализа не могут не только обнаружить вредоносное содержимое в документах, но даже установить сам факт наличия макросов.

Для демонстрации работы утилиты разработчики создали документ с вредоносным кодом группировки Cobalt Strike и обработали его Скрепышом. Вредоносный документ, который изначально был детектирован 30 антивирусами, стал выглядеть для них вполне безобидно:

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.