Представляем новости об актуальных технологиях фишинга и других атаках на человека c 26 апреля по 2 мая 2019 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Мошенники используют Facebook и WhatsApp чтобы выманивать деньги от имени знаменитостей.

Один из них под видом Джейсона Стейтема выманил у жительницы английского графства Большой Манчестер несколько сотен тысяч фунтов стерлингов. Сначала мошенник написал ей от имени известного актёра на странице, посвящённой фильму «Форсаж», а затем предложил перейти в WhatsApp, где засыпал её сообщениями.

Общение продолжалось несколько месяцев. Самозванец убедил жертву, что влюблен в неё и мечтает о встрече, а потом стал жаловаться на финансовые трудности.

Ссылаясь на задержку выплаты за участие в последнем фильме, он попросил взаймы 20 тысяч фунтов стерлингов (более 25 тысяч долларов):

По данным опроса, проведённого национальным бюро статистики Великобритании, в 2018 году 6,6% взрослых стали жертвами интернет-мошенников, а общая сумма ущерба составила более 3,6 млн фунтов стерлингов.

Злоумышленники скомпрометировали аккаунт сотрудника технической поддержки Microsoft и получили доступ к чужой почте, чтобы опустошить криптовалютные кошельки жертв.

Пользователь сервисов Microsoft Джевон Ритмеестер (Jevon Ritmeester) рассказал журналистам, что атакующие получили доступ к его папке «Входящие», сбросили пароль от учетной записи на бирже Kraken.com и опустошили его кошелек, похитив 1 BTC (около 5300 долларов США по текущему курсу).

Злоумышленники создали в его ящике правило для пересылки почты, из-за чего любые сообщения со словом «Kraken» перенаправлялись на подконтрольный атакующим ящик GMail, в том числе и сообщения о сбросе пароля и снятии средств. Ошибкой Ритмеестера было отсутствие двухфакторной аутентификации для аккаунта Kraken.

В рамках новой кибератаки преступники продвигали сайты с шифраторами и банковскими троянами через рекламные баннеры в Яндекс.Директ.

1. Пользователь искал образцы деловых документов или обучающие видео по ключевым словам — например, «скачать бланк счета», «бланк договора», «заявление жалоба образец», «судебное ходатайство образец».
2. Через баннерную рекламу киберпреступников жертва попадала на сайт, который якобы содержал шаблоны искомых документов.
3. Запуск файлов, загруженных с этого сайта, мог привести к заражению системы — или целой корпоративной сети — шифраторами и банковскими троянами.
4. Убедительность атаке придавало то, что рекламные баннеры демонстрировались пользователям на легитимных бухгалтерских и юридических сайтах.

Пример поисковых запросов и доменов, где размещались баннеры

Мобильная безопасность

В мобильной версии браузера Google Chrome обнаружена новая возможность для фишинга с помощью фальшивой адресной строки.

1. Мобильная версия Chrome автоматически скрывает адресную строку при прокрутке содержимого страницы вниз, чтобы предоставить максимальное пространство для отображения контента.
2. Злоумышленники могут воспользоваться этим, внедрив на фишинговый ресурс такую же панель с фальшивым URL и закрепив ее в окне обозревателя.
3. Чтобы не допустить возврата к оригинальной адресной строке, используется css-свойство overflow:scroll.

Утечки данных

Данные 80 миллионов американских семей обнаружены на незащищенном облачном сервере Microsoft.

Объём базы данных составляет 24 ГБ. Записи содержат:

• полные адреса (страна, город, улица, номер дома и почтовый индекс),
• точные географические координаты (широта и долгота),
• ФИО,
• возраст,
• даты рождения.

В базе также имеются закодированные данные о семейном положении, половой принадлежности, доходе, типе жилища и наличии прав домовладельца. Что объединяет все эти семьи, непонятно. Возраст всех людей в базе данных меньше сорока лет. Интересно, что каждая запись содержит не одного человека, а целую семью.

Умные устройства

Китайские автомобильные GPS-трекеры поставляются с паролем «123456», что позволяет злоумышленникам получить доступ к персональной информации пользователей и дистанционно выключать двигатель.

При подписке на приложения iTrack и ProTrack пользователи получают пароль «123456». Предположив, что многие из них не изменили секретный ключ, взломщик провел брутфорс-атаку, чтобы установить легитимные логины, а затем попытался войти в аккаунты.

Начальный пароль подошел для более чем 7 тыс. профилей iTrack и 20 тыс. учетных записей ProTrack. Взломав аккаунт, специалист получил доступ к различным сведениям, таким как:

• Псевдоним пользователя
• Реальное имя клиента, его телефон и адрес
• Адрес электронной почты абонента
• Марка и модель GPS-трекера
• IMEI-номер оборудования

По информации компании Concox, производящей один из трекеров, работающих с ProTrack и iTrack, авторизованный пользователь также может дистанционно заглушить двигатель автомобиля, если машина движется со скоростью до 20 км/ч.

Умные телевизоры Sony Smart TV, работающие на платформе Android, содержат уязвимости, которые дают посторонним доступ к Wi-Fi и мультимедийному контенту на устройстве.

Источником ошибок стало приложение Photo Sharing Plus в Sony Smart TV, которое позволяет загружать фотографии и мультимедийного контента со смартфона.

Первая уязвимость CVE-2019-11336 позволяет атакующему без авторизации извлечь пароль Wi-Fi, создаваемый при запуске Photo Sharing Plus. При запуске приложение превращает телевизор в точку доступа Wi-Fi и отображает пароль для подключения и обмена медиаконтентом. Это позволяет злоумышленникам извлечь пароль в виде открытого текста из логов API Photo Sharing Plus.

С помощью второй уязвимости CVE-2019-10886 неавторизованный злоумышленник может прочитать файлы, в том числе изображения в программном обеспечении устройства.

В любом из случаев атакующие могут загрузить собственное содержимое или украсть контент, принадлежащий владельцам телевизоров.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 19 по 25 апреля 2019 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

В атаках против госслужащих злоумышленники рассылали вредоносные документы Excel и TeamViewer с вредоносной библиотекой.

Основным вектором атак являются классические фишинговые письма, якобы содержащие во вложениях секретные документы США.

1. Во вложении был вредоносный XLSM-документ.
2. Если при открытии файла пользователь разрешал работу макросов, из таблицы выгружался зашифрованный код для скачивания остальных компонентов — легитимной программы AutoHotkeyU32 и рабочего скрипта к ней.
3. Сценарий обращался к удаленному серверу за дополнительными модулями, которые исполнялись через ту же программу.
4. Дополнительные модули позволяли операторам получать с зараженных машин скриншоты и системную информацию, загружать и устанавливать на компьютер TeamViewer вместе с вредоносной DLL-библиотекой, которая скрывает программу от жертвы и позволяет запускать полученные извне файлы EXE и DLL.

Мобильная безопасность

Злоумышленники угнали 100 автомобилей Mercedes-Benz, используя каршеринговое приложение Car2Go.

1. Сервис Car2Go запустила в 2008 году немецкая компания Daimler, производитель автомобилей Mercedes-Benz и Smart.
2. Клиенты сервиса могут арендовать автомобиль обоих брендов в странах Европы, Китае, Канаде и США. Чтобы арендовать машину, необходимо установить мобильное приложение.
3. Злоумышленники воспользовались уязвимостями в нём, получили доступ к автомобилям и угнали их.

Android-приложение для поиска точек беспроводного доступа WiFi Finder раскрывало собранные данные о двух миллионов сетей, включая имена сетей, пароли и информацию о местоположении.

1. Приложение позволяет пользователям обмениваться паролям к беспроводным сетям, чтобы быстро подключаться к ближайшим точкам доступа.
2. Для этого WiFi Finder запрашивает разрешение на сбор сведений о подключении и собирает информацию в свою базу.
3. База хранилась на серверах Digital Ocean в открытом виде, и скачать её мог любой желающий.
4. Приложение собирало информацию не только о публичных, но и о домашних сетях. Самое неприятное, что владельцы точек доступа не могли ни отследить работу WiFi Finder, ни запретить сбор информации.

Если бы эта информация попала к злоумышленникам, они бы смогли менять настройки целевой сети, перенаправлять пользователей на поддельные сайты, заражать их устройства вредоносным ПО и перехватывать трафик.

В Google Play Store обнаружено 50 вредоносных рекламных приложений, замаскированных под приложения для здоровья.

В списке вредоносов: Pro Piczoo, Photo Blur Studio, Mov-tracker, Magic Cut Out, Pro Photo Eraser и другие. В общей сложности пользователи загрузили эти приложения более 30 млн раз:

Все вредоносы связаны между собой через сторонние библиотеки, которые обходят реализованные в последних версиях Android ограничения для фоновых сервисов. Они отображают рекламу на весь экран и в некоторых случаях обманом заставляют пользователей установить дополнительное рекламное ПО.

После загрузки приложения выглядят вполне легитимными, но отображают на домашнем экране рекламу и ссылки на мошеннические сайты. Некоторые приложения также добавляют ссылку на Game Center, ведущую на страницу с предложениями различных игр, и иногда даже загружают на устройство дополнительные ненужные программы.

Биометрия и искусственный интеллект

Систему биометрической идентификации ноутбуков HP можно разблокировать с помощью фотографии владельца.

Этот факт обнаружил Мэтт Карти, ирландский политик и депутат Европарламента. Сын депутата использовал для разблокировки журнал, на обложке которого была напечатана фотография отца.

Проблема систем биометрической идентификации в том, что ваше лицо или отпечатки пальцев используются в качестве ключа доступа, но при этом не являются настолько уж секретными. Если ваш смартфон или ноутбук не в состоянии отличить ваше фото от вас или ваш отпечаток пальца от напечатанной на 3D-принтере копии, ваша конфиденциальность под угрозой.

Мэтт Карти

Системы видеонаблюдения, которые используют машинное обучение для распознавания объектов, можно обмануть, сделав человека невидимым для камеры.

Чтобы добиться такого результата, человеку достаточно взять в руки картинку размером 40х40 см и постоянно оставаться в поле зрения камеры. Лучше всего в качестве такой картинки подходят фотографии случайных объектов, прошедшие различную обработку.

Авторы исследования пытались создать универсальное изображение, которое скроет человека от нейросети, выявляющей объекты на видео. В дальнейшем ученые планируют доработать алгоритм и улучшить изображение, чтобы его можно было напечатать на одежде, позволяя людям оставаться невидимками для камер видеонаблюдения.

«Идея заключается в том, чтобы обмануть системы видеонаблюдения, использующие датчики для оповещения в момент, когда человек входит в поле зрения камеры. Мы хотели создать окклюзию, которая скрывала бы человека от детектирующего датчика».

Вибе ван Ранст (Wiebe Van Ranst).

Видео: демонстрация обмана камер

Смартфоны Nokia 9 PureView с дактилоскопическим сенсором можно разблокировать не только любым отпечатком пальца, но и посторонними предметами.

Проблема заключается во встроенном в экран смартфона сканере отпечатков. После установки новой версии прошивки чувствительность сенсора повысилась, но вместе с этим увеличилось количество ложно-позитивных срабатываний. По данным экспертов, некорректная разблокировка происходит в 80% случаев.

Из-за ошибки компании Kube Data, выполняющей кодирование биометрических данных, в паспортах граждан Дании оказались перепутаны отпечатки пальцев правой и левой руки.

Система, используемая для встраивания данных, ошибочно сохранила отпечатки пальцев левой руки владельцев паспортов как отпечатки правой и наоборот. Проблема затронула примерно 228 тыс. паспортов, выданных в период с 2014 по 2017 годы.

С 2011 года во все датские паспорта встраивается чип для хранения биометрических данных: фотографии, отпечатков пальцев и подписи. В компании Kube Data не считают ситуацию критичной, поскольку возможность расшифровки данных в паспортах есть только у Национальной полиции Дании.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 12 по 18 апреля 2019 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

Вредоносная рекламная кампания против пользователей iOS использует уязвимость в браузере Chrome.

С помощью ошибки в браузере злоумышленники перенаправляют владельцев iPhone и iPad на вредоносные ресурсы (в основном на доменах .world) и перехватывают сессию на легитимных ресурсах, где авторизован пользователь.

Специалисты объясняют, что уязвимость позволяет вредоносному коду выйти из iframe в песочнице и направить жертву на другой сайт или показать всплывающее сообщение прямо на легитимном ресурсе.

Проблема касается только Chrome для iOS, но не распространяется на Safari и другие версии Chrome.

Сайты, почта и мессенджеры

Злоумышленники используют продолжение старой переписки для создания доверия и рассылки вредоносных файлов по электронной почте.

1. Один из участников переписки получает письмо якобы от своего прежнего собеседника. На самом деле аккаунт отправителя уже скомпрометирован ранее.
2. В начало сообщения добавляется ссылка на вредоносный файл, либо вредоносный документ прикрепляется к одному из писем в ветке. Сама переписка при этом остается нетронутой.
3. При открытии документа пользователю предлагается разрешить выполнение макросов:

Если пользователь соглашается, выполняется вредоносный макрос, который запускает PowerShell-скрипт, загружающий вредоносную нагрузку в виде исполняемого файла:

Мошенники похищают учётные записи Instagram с помощью фишинговой рассылки «Гадкий список».

1. Со взломанного аккаунта пользователю приходит сообщение о том, что он попал в некий список под названием The Nasty List ( «гадкий/скверный список»).
2. В сообщении приводится номер жертвы в этом списке, а также ссылка на профиль злоумышленников.
3. По ссылке пользователь попадает на страницу, в описании которой снова говорится о том, что он оказался в «гадком списке».
4. Под этим заявлением мошенники приводят ссылку на сторонний ресурс. Если пользователь откроет сайт в надежде узнать, что это за список и за что его туда включили, он попадет на фальшивую страницу авторизации Instagram с адресом nastylist-instatop50[.]me:

Если жертва введет свои учетные данные в форму на мошенническом сайте, они окажутся в руках злоумышленников, а пользователь лишится своего аккаунта. Взломанные профили используются для продолжения рассылки: фишинговые сообщения получают все читатели страницы.

Преступники скомпрометировали официальный сайт аудио-видеоредактора VSDC и добавили к дистрибутивам ПО банковского трояна и инфостилера.

1. На сайт VSDC был встроен вредоносный JavaScript-код, определяющий геолокацию посетителей.
2. Для пользователей из Великобритании, США, Канады и Австралии вместо стандартных ссылок VSDC использовались ссылки на скомпрометированный ресурс:

https://thedoctorwithin[.]com/video_editor_x64.exe
https://thedoctorwithin[.]com/video_editor_x32.exe
https://thedoctorwithin[.]com/video_converter.exe

Пользователи, загрузившие программу с этого ресурса, также скачивали банковскую троянскую программу, которая предназначена для веб-инжектов, перехвата трафика, кейлоггинга и похищения информации из систем «банк-клиент» различных кредитных организаций.

Другой вариант вредоноса похищает информацию из браузеров, аккаунта Microsoft, различных мессенджеров и других программ.

В Internet Explorer 11 обнаружена уязвимость, которая позволяет получить доступ к файлам на компьютере пользователя.

Проблема связана с тем, как Internet Explorer обрабатывает файлы формата MHT (MHTML Web Archive), в котором IE 11 сохраняет веб-страницы.

Чтобы запустить атаку, пользователю достаточно открыть вредоносный MHT-файл. Никаких дополнительных действий со стороны жертвы не требуется.

Авторы очередной мошеннической кампании предлагали жертвам пройти опросы за вознаграждение или принять участие в беспроигрышной лотерее, а для вывода средств использовали сим-карты Tele2.

1. Жертв заманивали на сайты с опросами и лотереями с помощью спам-рассылок и вредоносной рекламы.
2. Для получения «выигрыша» нужно было заплатить комиссию якобы за «перевод документов» и внести данные о своей банковской карте.
3. При выводе средств использовалась платежная система Tele2: сервер, к которому подключен мошеннический сайт, эмулирует плательщика на сайте Tele2, и сумма переводится в пользу заранее купленной сим-карты оператора.
4. После этого мошенник через личный кабинет на сайте Tele2 якобы выводит средства.

Обычно сотовые операторы устанавливают лимиты по снятию наличных в размере от 5 до 15 тысяч рублей в день и до 400 тысяч рублей в месяц. У Tele2 лимит на один перевод составляет 15 тысяч рублей, но за сутки можно выполнить до 50 переводов.

Умные устройства

В детских умных часах TicTocTrack обнаружены уязвимость, которая позволяет получить доступ к личным данным, GPS-координатам и микрофону устройства.

1. Гаджет продается как удобное средство для контроля местонахождения ребенка и поставляется вместе с приложением от компании Nibaya, в котором и выявлена уязвимость.
2. По замыслу разработчиков, родители с помощью приложения могут отслеживать местоположение детей, послать сигнал тревоги или услышать, что происходит вокруг ребенка.
3. Выяснилось, что манипулируя запросами по протоколу OData, злоумышленники могут шпионить за владельцем, подменить номер для экстренной связи, а также подключиться к микрофону устройства и совершать звонки. Для этого преступнику нужно всего лишь завести аккаунт TicTocTrack.
4. Недостаточная проверка поступающих команд позволяет получить доступ к чужим данным и изменять их от имени любого профиля.

Вредоносное ПО

Новый вымогатель NamPoHyu Virus шифрует данные на доступных сетевых дисках Samba, оставляя нетронутыми файлы на компьютере, с которого запущен.

1. Вредонос распространяется через незащищенные конфигурации RDP, email-спам, вредоносные вложения, фальшивые загрузки и обновления, ботнеты, перепакованные и заражённые инсталляторы.
2. После запуска он ищет Samba-сервер и пытался подобрать пароль для доступа.
3. Если пароль подобран, начинается удаленное шифрование файлов 128-битным ключом AES.
4. К имени зашифрованных файлов добавляется расширение .NamPoHyu
5. В папки с зашифрованными файлами помещается файл !DECRYPT_INSTRUCTION.TXT с требование выкупа — 250 долларов США в биткойнах с физических лиц и 1000 долларов США в криптовалюте с организаций.
6. В записке жертве предлагалось зайти на сайт в сети Tor и получить дальнейшие инструкции:

Атаки, утечки и уязвимости

В открытом доступе обнаружены персональные данные пользователей сайтов оплатагибдд.рф, paygibdd.ru, gos-oplata.ru, штрафов.net и oplata-fssp.ru.

Любой желающий мог узнать все подробности платежей: номер постановления о штрафе, государственный номерной знак автомобиля, номер исполнительного производства при платеже на сайте службы судебных приставов, первые и последние цифры банковских карт, через какой платёжный сервис произведена оплата и т. п. Количество платежей только за один день составило 40 тысяч.

Виновник утечки — ООО «Простые платежи», разработчик ПО для приёма онлайн-платежей. Оказалось, что ПО регистрирует все данные пользователей, при этом журналы регистрации хранятся без ограничения доступа и доступны через поисковую машину ElasticSearch.

База ЦБ и Росфинмониторинга с данными 120 тысяч клиентов обнаружена в открытом доступе.

Большую часть базы составляют физлица и индивидуальные предприниматели (ИП), часть — юридические лица. Про физических лиц в базе содержится информация об их ФИО, дате рождения, серии и номере паспорта. Про ИП — ФИО и ИНН, про компании — наименование, ИНН, ОГРН.

Утечка могла произойти множеством способов — из ЦБ, Росфинмониторинга, любого банка. По мнению эксперта, ошибка с точки зрения информационной безопасности была допущена при проектировании системы.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.