Представляем новости об актуальных технологиях фишинга и других атаках на человека c 5 по 11 апреля 2019 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мобильная безопасность

Ультразвуковой сканер отпечатка пальца Samsung Galaxy S10 удалось обмануть с помощью 3D-модели.

Пользователь Reddit Darkshark сфотографировал свой отпечаток на бокале, отредактировал снимок, улучшив насыщенность и контрастность, чтобы выделить объект на фоне. Затем с помощью программы 3ds Max он добавил отпечатку объём и распечатал модель на 3D-принтере. Через 13 минут печать закончилась, и полученный отпечаток легко разблокировал его смартфон.

Видео: разблокировка смартфона с помощью 3D-модели.

В новейшем протоколе беспроводной аутентификации WPA3 выявлены недостатки, с помощью которых можно восстановить пароль на Wi-Fi, прочитать зашифрованную информацию и украсть конфиденциальные данные.

Исследователи опубликовали документ под названием DragonBlood, в котором описали следующие виды атак:

• Атака по побочному каналу на основе кеша CVE-2019-9494
• Атака по побочному каналу на основе синхронизации, также имеет идентификатор CVE-2019-9494 из-за сходства реализации атаки.
• WPA3 downgrade, принудительное включение режима совместимости с WPA2.

Сайты, почта и мессенджеры

Хакеры используют сайты известных иностранных компаний для рассылки фишинговых писем.

Письма отправлены с официальных почтовых адресов компаний Audi, Austrian Airlines и S-Bahn Berlin. Заголовки и текст написаны на английском или немецком, но в тексте выделяется фраза «ВАМ ДЕНЬГИ»:

Для отправки используются формы подписки на рассылки на официальных сайтах компаний. В графе «Имя» указывается «ВАМ ДЕНЬГИ», а вместо фамилии — ссылка на фишинговый сайт. В результате жертва получает письмо для подтверждения подписки на рассылку с официальной почты компании:

При переходе по ссылке пользователь через цепочку переадресаций попадает на фишинговый ресурс, где ему сообщают, что его электронный почтовый адрес выиграл возможность участвовать в международной акции «Счастливый e-mail». Там же предлагается пройти опрос для получения вознаграждения от 10 до 3000 €:

После ответов на несколько вопросов отображается сумма выигрыша и условия вывода средств, в числе которых требование оплатить комиссию за конвертацию € в ?.

Для оплаты комиссии пользователя перенаправляют на специальную страницу, где помимо данных банковской карты предлагается указать и проверочный код из SMS:

Когда пользователь ввёдет все данные, с его счета списываются средства, а данные банковской карты остаются у мошенников. Разумеется, никакого выигрыша жертва не получает.

Злоумышленники рассылают защищенные паролем ZIP-файлы и PDF-документы со ссылками на видеоролики, якобы, записанные в момент посещения получателем порносайтов.

Запароленные архивы содержат файлы Camera-Vid.avi, contacts.txt, debt.txt, Google_Chrome_Default.txt, information.txt и screenshot.jpg.

1. Злоумышленники рассчитывают, что имена файлов и невозможность просмотреть их содержимое без пароля напугают пользователя в достаточной степени, чтобы он заплатил шантажистам деньги.
2. Чтобы порочащие материалы не рассылались членам семьи, друзьям и знакомым, нужно заплатить выкуп в размере 660 долларов США в биткоинах.
3. В виде отдельного одолжения жертве предлагалось за 50 долларов США купить на сайте cryptonator.com пароль от архива.
4. Ссылки из PDF-вложений напрямую вели на форму оплаты:

Атаки, утечки и уязвимости

В открытом доступе обнаружена база данных MongoDB с информацией о вызовах скорой помощи нескольких подмосковных станций.

1. База содержит сведения о пациентах скорой помощи из Долгопрудного, Балашихи, Королева и других подмосковных городов: даты вызовов, имена, адреса и контактные телефоны пациентов.
2. По каждому выезду имеется заключение врачей с описанием состояния человека, обратившегося за помощью.

Вероятно, злоумышленники украли порядка 18 Гб данных из незащищенной базы MongoDB, которая отличается слабыми настройками безопасности по умолчанию. Скорее всего, ИТ-специалисты скорой помощи просто забыли защитить базу паролем.

Таиландское подразделение производителя оптического оборудования Hoya на три дня остановило работу из-за кибератаки.

1. На первом этапе вирус похищал данные сотрудников для входа в систему, на втором должен был скачать и запустить майнер криптовалюты.
2. Работники завода обратили внимание на резко увеличившуюся нагрузку на серверы и передали информацию об этом в ИБ-отдел, сотрудники которого устранили угрозу.
3. Атака поразила около 100 компьютеров и в результате снизила производственные обороты предприятия на 60%.

В системе электронных заказов австралийского McDonald’s обнаружена ошибка, которая позволяла бесплатно заказать еду.

1. С помощью электронного терминала, позволяющего делать и оплачивать заказ без очереди в кассу, два друга заказали десять гамбургеров по цене 1 доллар за каждый.
2. С помощью опции «Customize» они отказались от котлет, снизив тем самым стоимость заказа на 1,1 доллар за каждый гамбургер. В результате к оплате получилось отрицательное число, а именно —1 доллар.
3. Когда они заказали один обычный гамбургер, больше не отказываясь от котлеты, итоговая сумма вышла 0 долларов.

Умные устройства

Исследователи разработали программу, с помощью которой можно добавлять или удалять опухоли на 3D-снимке компьютерного томографа до того, как он попадет в руки к врачу.

1. Современные томографы взаимодействуют с системой архивации и передачи изображений (PACS), отправляя ей результаты сканирования в формате DICOM.
2. Трехмерная томограмма представляет собой множество 2D-изображений, которые позже собираются в объемную картинку.
3. Созданная учеными программа использует генеративно-состязательную сеть для редактирования таких данных. Эксперты изменили результаты 70 сканирований и, добавив к ним 30 реальных томограмм, передали для анализа.
4. В рамках слепого теста врачи не смогли выявить 99% 3D-изображений с искусственно добавленной опухолью и 94% снимков, где признаки онкологического заболевания стерли исследователи.
5. После того, как диагностам сообщили о наличии отредактированных изображений, они не нашли фальшивки в 60% и 87% случаев соответственно.

Мобильное приложение от системы удалённого управления автомобилем MyCar позволяло любому получить контроль над любым подключенным к системе автомобилем.

Разработчик мобильного приложения оставил в нём вшитые учётные данные. Любой желающий мог извлечь их из исходного кода и перехватить контроль над автомобилем: прогревать или охлаждать салон, открывать и закрывать двери, включать и отключать противоугонные системы, открывать багажник и даже находить автомобиль на переполненной стоянке.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 29 марта по 4 апреля 2019 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

В ходе фишинговой кампании пользователям WhatsApp предлагали установить вредоносное расширение, которое якобы изменяло цвет интерфейса мессенджера.

1. Пользователь получал сообщение, в котором предлагалось изменить надоевший зелёный цвет на любой другой. Для этого требовалось установить специальное расширение.
2. Пользователям десктопной версии WhatsApp предлагалось загрузить расширение для Chrome «Black Theme for WhatsApp» из официального магазина.
3. Если пользователь установит расширение, оно автоматически разошлет предложение поменять оформление WhatsApp по списку контактов и групповым чатам.
4. Пользователям мобильной версии заставляли поделиться ссылкой с 30 друзьями или 10 чатами, чтобы изменить цвет WhatsApp.
5. Жертве предлагалось скачать APK-файл под названием best_video.apk и подписаться на уведомления с русскоязычного ресурса.
6. Когда пользователь выполнит все инструкции, его смартфон будет заражен трояном для показа рекламы Android/Hiddad. Демонстрация рекламных баннеров при этом происходит только во время использования WhatsApp.

Неизвестные хактивисты рассылают вредоносную программу для Windows под видом манифеста стрелка, устроившего бойню в мечетях Новой Зеландии.

Вредонос распространяется в письмах, содержащих вложение в формате MS Word или PDF.

При открытии документа запускается VBA-скрипт, загружающий вторую часть вредоноса:

Получив управление, вредонос перезаписывает главную загрузочную запись жёсткого диска программой, которая демонстрирует надпись «Это не мы!» на чёрном фоне:

Предположительно, авторы программы стремятся проучить тех, кто пытается скачать манифест, написанный стрелком.

Мошенники придумали новый способ заставить посетителей сайта кликнуть на всплывающий баннер с вредоносной рекламой.

В верхнем правом углу баннера отображается кнопка для закрытия. Когда пользователь хочет закрыть рекламу и наводит курсор на крестик, окно увеличивается, и курсор оказывается не на крестике, а на баннере. В результате вместо того, чтобы нажать на кнопку «Закрыть», пользователь кликает на рекламу.

Для выполнения трюка мошенники используют динамически присоединенный к странице CSS-код, который следит за курсором мыши и реагирует, когда тот оказывается над кнопкой «Закрыть». Важным моментом является точный расчёт времени, чтобы жертва успела кликнуть до того, как появится расширенный рекламный баннер.

При некоторых условиях Facebook при регистрации нового пользователя запрашивает пароль к его почтовому ящику.

Согласно сообщению пользователя Twitter e-Sushi, Facebook просила предоставить пароли к сторонним почтовым сервисам для автоматической верификации электронного адреса. Запрос отображался только в случаях использования определенных почтовых провайдеров, расцениваемых Facebook как подозрительные.

Получив первый запрос, пользователь провёл повторное тестирование, зарегистрировавшись 3 раза с 3 различных адресов электронной почты, 3 различных IP-адресов и 2 разных браузеров. В двух случаях из трех после нажатия на кнопку «Зарегистрировать аккаунт» на странице регистрации запрашивался пароль от электронной почты.

Мобильная безопасность

Исследователи отмечают рост популярности новой разновидности вредоносных программ — stalkerware, «преследовательского ПО».

1. Stalkerware — коммерческое шпионское ПО, которое могут использовать ревнивые супруги для слежки за «второй половинкой», начальство для контроля за сотрудниками и т. д.
2. Приложения можно приобрести по невысокой цене, установить на мобильное устройство жертвы и получить доступ к данным о ее местоположении, SMS, перепискам в соцсетях.
3. Также «преследователь» сможет подглядывать и подслушивать разговоры через включенную камеру и микрофон.

Иконки таких приложений, как правило, скрыты из меню, сами приложения работают в фоновом режиме и скрывают следы своего присутствия:

Для вызова stalkerware могут использоваться специальные комбинации клавиш.

В 2018 году специалисты Лаборатории Касперского обнаружили около 60 тысяч устройств, заражённых stalkerware. Дополнительная сложность — в том, что мобильные антивирусы не считают, что такие легальные программы представляют опасность.

Новый метод акустической атаки по сторонним каналам позволяет определить вводимые символы по звуковым волнам, возникающим при нажатии на клавиши виртуальной клавиатуры.

Атака базируется на том, что микрофон мобильного устройства способен фиксировать звуковые волны и «слышать» нажатия пальца. Анализ искажений волны позволяет определить место тапа на экране. В результате вредоносное приложение может распознать вводимый пользователем текст, записывая аудио через встроенный микрофон.

Исследователи разработали Android-приложение, записывающее звук тапов и сопоставляющее их с нажатиями клавиш с помощью алгоритма машинного обучения, настроенного на определенную модель смартфона или планшета. Новый метод опробован на устройствах LG Nexus 5 и Samsung Nexus 9.

Атаки, утечки и уязвимости

На облачных серверах Amazon обнаружили сведения о 540 млн пользователей Facebook, собранные сторонними компаниями.

Один из серверов, принадлежащий принадлежал мексиканской медиаплатформе Cultura Colectiva, содержал 146 Гб данных пользователей социальной сети, в том числе имена аккаунтов, Facebook ID, комментарии, лайки, реакции и прочие данные, использовавшиеся для анализа фидов социальных медиа и взаимодействий с пользователями.

Второй сервер хранил информацию, собранную через Facebook-игру At the Pool: Facebook ID, списки друзей пользователей, лайки, фото, информацию о группах и чекинах, а также данные о предпочтениях и 22 тыс. паролей от игрового приложения.

Вредоносное ПО

В магазине приложений Windows Store обнаружено более 80 потенциально нежелательных программ. Часть из них демонстрировала порнографический контент, а часть — контент, связанный с азартными играми.

Чтобы обмануть пользователей, вредоносы маскировались под популярные программы, используя схожие имена, например: Wix Updates Application, Antivirus Avira App, Norton Antivirus Updates App, McAfee Antivirus Updates News, Tinder Dating Updates, Tips and Games и Grindr Updates.

Умные устройства

Автопилот Tesla Model S удалось обмануть и заставить отклониться от намеченного пути с помощью фальшивой дорожной разметки.

Автопилот Tesla умеет поддерживать движение автомобиля по своей полосе, самостоятельно парковаться и автоматически менять полосы. В ходе эксперимента на испытательной трассе разместили три стикера, практически незаметных для водителя, однако автопилот воспринимал их как продолжение дороги. В результате автомобиль свернул с пути и поехал в неверном направлении.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 21 по 28 марта 2019 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Мошенник из фальшивой техподдержки Microsoft обманным путём заработал более 3 млн долларов США за четыре года.

1. Для своей деятельности он создал сеть мошеннических сайтов, которые активно рекламировал с помощью контекстной рекламы Google и Bing.
2. На сайтах содержались скрипты, которые сообщали посетителям, что их ПК и ноутбуки заражены вирусами.
3. Предупреждения были выполнены в стиле сервисных предупреждений Microsoft.
4. Кроме сообщения о заражении жертве демонстрировался номер телефона якобы технической поддержки Microsoft для решения проблемы с вирусом.
5. Когда человек звонил по этому номеру, он попадал в колл-центр, расположенный в Индии, сотрудники которого сообщали жертве о технических неполадках на  компьютере в связи с конфликтом двух антивирусов или по другой причине.
6. Позвонившему предлагали решить проблему с помощью технической поддержки стоимостью от 200 до 2,4 тыс. долларов США.
7. На самом деле никаких конфликтов вирусов или других проблем на ПК «клиента» не было. Злоумышленники просто брали деньги и не предоставляли никакой поддержки.

Злоумышленники распространяют поддельную копию криптокошелька Wasabi с помощью ссылок на форумах.

Ссылки на загрузку Wasabi для macOS, Linux и Windows размещены на ресурсе
wasabibitcoinwallet[.]org. При этом подделка загружается только вместо Windows-версии.
Предполагается, что на криптовалютных форумах может возникнуть путаница, потому что пользователи Linux- и macOS-версий будут ручаться за мошеннический сайт, поскольку будут скачивать оттуда подлинную версию программы.

Киберпреступники используют интернет-магазинов на движке Magento с поддержкой PayPal Payflow Pro для проверки актуальности банковских карт.

Для проведения проверки они запускают множество транзакций на сумму 0 долларов и анализируют коды ошибок. В качестве объектов атаки выбираются магазины Magento, интегрированные с PayPal Payflow Pro — опцией, которая позволяет посетителям делать платежи прямо на сайте магазина, не переходя на сайт PayPal.

Уязвимости и утечки

Конфиденциальные данные пациентов из Липецкой области опубликовали в открытом доступе на сайте госзакупок.

Утечку обнаружили активисты группы «Пациентский контроль». В каждом описании объекта закупки сразу фамилия пациента, а в документации к выписке из протокола комиссии присутствуют домашние адреса, диагнозы, коды заболеваний по Международной классификации болезней и прочие сведения.

Перед размещением подобных документов на сайте госзакупок вышеперечисленные данные должны быть скрыты. Тем не менее, начиная с 2018 года Управление здравоохранения Липецкой области успело опубликовать восемь закупок вместе с конфиденциальными данными пациентов

В открытом доступе обнаружена публичная база MongoDB, содержащая персональные данные и фотографии заёмщиков из Южного, Уральского и Приволжского федеральных округов и всеми их заявками на кредиты.

Размер базы данных составлял около 158 Гб, в ней содержались

• сведения о более чем 294 тысячах заёмщиков: ФИО, место рождения, дата рождения, количество детей, количество иждивенцев, девичья фамилия матери, состоит в браке или нет, образование, номер мобильного телефона, номер стационарного телефона, адрес электронной почты, адрес регистрации, адрес фактического места жительства, полные паспортные данные.
• Более 183 тыс. данных о кредитах: размер кредита, статус кредита, дата выдачи, идентификатор банка, идентификатор заемщика, график платежей по кредиту и т. п.
• Более 819 тыс. отсканированных документов: тип документа, название файла, ссылка на JPG-файл, статус, дата и т. п.
• Более 246 тыс. фотографий людей, подававших заявки на кредиты, сделанных с веб-камер в точках продаж, в формате JPG.
• Более 5 тыс. внутренних пользователей системы: ФИО, дата рождения, логин и хешированный пароль, мобильный телефон, адреса электронной почты на доменах @poslogic.pro и @finservice.pro.
• много другой информации, содержащей персональные данные.

Выяснилось, что пароли «сотен миллионов» пользователей Facebook Lite и «десятков миллионов» пользователей Facebook хранятся в виде простых текстовых записей, безо всякого шифрования.

По словам Facebook, «все эти пароли хранились на внутренних серверах компании, где к ним имели доступ лишь сотрудники соцсети — и нет никаких данных о том, что кто-то из сотрудников воспользовался этой уязвимостью. Проблема уже устранена, но Facebook все равно разошлет уведомления тем, чьи пароли оказались в списке».

Эксперт по информационной безопасности Брайан Кребс (Brian Krebs), ссылаясь на инсайдерские данные, добавляет, что число таких паролей колеблется от 200 тысяч до 600 тысяч, доступ к ним могли получить более 20 тысяч человек, а хранились некоторые из паролей с 2012 года. Источник Кребса также отметил, что, судя по логам доступа, порядка двух тысяч инженеров или разработчиков Facebook около девяти миллионов раз обращались к данным, содержащим незашифрованные пароли.

Приложение Family Locator раскрывало данные о местоположении более 200 тыс. пользователей.

С помощью приложения Family Locator пользователи могут отслеживать местоположение супругов, детей и других членов семьи в реальном времени. Программа также позволяет настраивать уведомления, которые будут отправляться всякий раз, когда член семьи войдет или выйдет за пределы очерченной геозоны.

Причиной инцидента послужил сервер MongoDB, который разработчик не позаботился защитить паролем. Незащищенная база данных содержала имена пользователей, адреса электронной почты, фото профиля, пароли, а также данные о местоположении пользователей с точностью до нескольких метров. Вся информация хранилась в незашифрованном виде.

Целевые атаки

Обнаружена целевая атака на владельцев ноутбуков ASUS. Чтобы добраться до них, преступники взломали официальный сервис ASUS для обновления ПО и внедрили в него троян-бэкдор ShadowHammer, который в итоге загрузили сотни тысяч пользователей по всему миру.

Распространение обновлений с вредоносом продолжалась несколько месяцев. За это время ShadowHammer проник более чем на 57 тыс. компьютеров с установленными продуктами «Лаборатории Касперского». Позже компания Symantec сообщила, что троян поразил по меньшей мере 13 тыс. ее пользователей, а общее число возможных жертв эксперты оценивают в сотни тысяч.

• Вредонос маскировался под очередную версию программы ASUS Live Update.
• Чтобы обойти защитные фильтры, злоумышленники подписывали своё ПО двумя подлинными сертификатами ASUS.
• Скомпрометированный файл представлял собой настоящий дистрибутив программы ASUS 2015 года.
• Загрузчик содержал вредоносный код для контроля над пользовательскими машинами с возможностью загружать стороннее ПО.
• В код зловреда был вшит зашифрованный список из примерно 600 MAС-адресов, с которым троян сверялся, когда попадал на компьютер.
• Если идентификатор сетевой карты совпадал с какой-либо позицией списка, троян связывался с командным сервером и скачивал полезную нагрузку.

Мобильная безопасность

Мобильный браузер UC Browser от Alibaba Group позволяет автоматически загружать и выполнять произвольный код на Android-устройствах.

Используя эту функцию, UC Browser принимает от управляющего сервера команды для скачивания новых библиотек и модулей. Но при этом передача данных происходит в открытом виде по HTTP вместо HTTPS.

В результате злоумышленники могут осуществить атаку «человек посередине» и загрузить на устройства вредоносные модули. Поскольку браузер работает с неподписанными плагинами, вредоносные модули запустятся без какой-либо верификации.

Для проведения атаки злоумышленнику достаточно перехватить ответ сервера с адреса http://puds.ucweb.com/upgrade/index.xhtml?dataver=pb и заменить ссылку загружаемым плагином. Браузер подключится к вредоносному серверу, загрузит и выполненит троян:

В качестве демонстрации исследователи заменили плагин для просмотра PDF-документов вредоносным кодом и заставили браузер составлять новое текстовое сообщение вместо открытия файла:

Телефон Nokia 7 Plus уличили в передаче данных своего владельца на серверы китайской государственной компании China Telecom.

По заявлению HMD Global, владельцев бренда Nokia, причина такого поведения состоит в том, что изначально ПО телефона разрабатывалась для использования в Китае, поэтому отправка данных «на родину» — это нормальное поведение, к тому же выполняется она только однажды.

Однако исследователи выяснили, что отправка происходит при каждом включении устройства.

В стандарте передачи данных LTE, который используется в большинстве мобильных устройств для подключения к Интернету обнаружено 36 уязвимостей.

Уязвимости позволяют злоумышленникам добиваться отказа в обслуживании, отслеживать местоположение жертвы, подменять, перехватывать SMS-сообщения, а также манипулировать трафиком пользователей и прослушивать его.

Для проведения исследования специалисты Корейского института передовых технологий создали собственный полуавтоматический фаззер, названный LTEFuzz. С помощью этого инструмента эксперты создавали вредоносные соединения в мобильной сети, а затем изучали реакцию сети на происходящее.

Умные устройства

Уязвимость в протоколе кардиодефибрилляторов Medtronic позволяет перехватить контроль над устройством.

Имплантируемые кардиовертеры-дефибрилляторы (ИКД) предназначенны для устранения угрожающих жизни аритмий и предотвращения остановки сердца. Уязвимость CVE-2019-6538 связана с проприетарным протоколом Medtronic Conexus Radio Frequency Telemetry Protocol для беспроводного подключения к имплантированным приборам. Из-за отсутствия шифрования при передаче данных атакующий, находящийся в диапазоне действия радиосигнала, может перехватить информацию.

Кроме того, в протоколе отсутствует аутентификация устройств, которые управляют имплантированными дефибрилляторами. В результате злоумышленник может полностью переписать прошивку дефибриллятора.

Уязвимость присутствует в 20 продуктах, включая MyCareLink Monitor и CareLink Monitor.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.