Представляем новости об актуальных технологиях фишинга и других атаках на человека cо 2 по 8 ноября 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Мошенники использовали имя Илона Маска и взломанные учётные записи Twitter для обмана пользователей.

1. В любой взломанной учётной записи Twitter имя менялось на Илон Маск.
2. От его имени размещался пост о крупнейшей в истории раздаче 10 000 биткоинов.
3. Пост продвигался с помощью рекламной системы Twitter
4. Чтобы получить свою долю в раздаче, пользователю предлагалось отправить «Илону Маску» от 0,1 до 3 биткоинов, чтобы он мог в ответ направить значительно больше.

Всего за один день мошенники получили 392 перевода общей суммой в 28 биткоинов или 180 000 долларов США по текущему курсу.

Мобильная безопасность

Мошенники используют SMS-фишинг для хищения денег через бескарточные банкоматы.

Преимущества бескарточных банкоматов по версии MasterCard

1. Клиенты получали SMS о блокировке их учётных записей в онлайн-банке.
2. В сообщении содержалась ссылка на сайт, где можно было разблокировать учётную запись.
3. Сайт мошенников выглядел идентично оригинальному сайту банка и предлагал посетителю ввести свои логин, пароль, одноразовый код и ПИН для входа в онлайн-банк.
4. Используя похищенные данные, мошенники добавляли свои мобильные номера к учётным записям пользователей и опустошали их счета через бескарточные банкоматы.

Атаки, уязвимости и утечки

Из-за уязвимости в программе Xnore, предназначенной для слежки родителей за детьми, каждый желающий мог просмотреть сообщения, информацию о телефонных звонках и другую конфиденциальную информацию десятков тысяч детей.

Xnore имеет версии для Android, iOS и BlackBerry и позволяет контролировать смс и сообщения объекта наблюдения в мессенджерах, просматривать GPS-координаты, электронную почту, фотогалерею, историю просмотра в браузере и сведения о вызовах.

Доступ к информации об аккаунтах пользователей выдавала функция просмотра местоположения на сайте программы. Для просмотра координат рядом с картой имеется выпадающий список, из которого нужно выбрать идентификатор ребёнка. И несмотря на то, что для авторизованного пользователя в этом списке отображаются только «его» идентификаторы, код страницы загружает весь список доступных идентификаторов, имеющийся в базе.

В итоге если просмотреть исходный код страницы, можно получить полный список идентификаторов и спокойно просматривать все данные по «чужим» детям.

Утечка персональных данных клиентов онлайн-магазина электронных компонентов Kitronik привела к компрометации реквизитов банковских карт покупателей.

Злоумышленники внедрили на страницы сайта вредоносный скрипт, который записывал сеанс работы с клавиатурой во время оформления заказа и отправлял собранные сведения на командный сервер мошенников. В результате в руки киберпреступников попали имя и е-мейл покупателя, номер, срок действия банковской карты и код CVV, а также почтовый адрес клиента.

Специалисты интернет-магазина удалили вредоносный скрипт и сообщили контролирующим органам Великобритании об инциденте, однако утечка попадает под действие GDPR, за нарушение которого ритейлеру грозит штраф до 20 млн евро.

И немного технических новостей

В ближайшее время эти уязвимости и методы атак могут привести к новым атакам на пользователей:

Новые методы атак по сторонним каналам на графические процессоры (GPU) позволяют отслеживать интернет-активность пользователей, похищать пароли и компрометировать облачные приложения.

Все методы основаны на анализе использования веб-браузерами графических процессоров на компьютерах, ноутбуках и смартфонах.

Первая атака состоит в отслеживании активности пользователей в сети с помощью приложения, использующего OpenGL для анализа поведения браузера. Это позволило получить точные отпечатки сайтов и выяснить, чем занимался пользователь.

Вторая атака позволила извлечь пароли пользователей. Каждый раз, когда жертва вводит символ, текстовое поле пароля загружается графическим процессором для обработки. Исследуя временной интервал, удалось определить число символов в пароле и период между нажатиями клавиш.

В процессорах Intel обнаружена новая уязвимость CVE-2018-5407, получившая название PortSmash. Ошибка связана с HyperThreading — интеловской реализацией технологии одновременной многопоточности (SMT — Simultaneous Multithreading) .

Суть проблемы PortSmash заключается в том, что на всех процессорах с поддержкой SMT вредоносный процесс может извлекать небольшие порции данных из соседнего легитимного процесса. Таким образом, атакующий может реконструировать зашифрованные данные или получить другую информацию.

На GitHub опубликован proof-of-concept для PortSmash для процессоров Intel Skylake и Kaby Lake. Эксплойт похищает приватный ключ OpenSSL с сервера TLS, но может быть модифицирован для других задач. Для успешной эксплуатации проблемы код должен работать на том же физическом ядре, что и целевой процесс

В чипах Bluetooth Low Energy (BLE) производства Texas Instruments обнаружены две критические уязвимости, используя которые злоумышленники могут удаленно и без аутентификации перехватывать контроль над точками доступа, проникать во внутренние сети предприятий, перемещаться по сетевым сегментам, создавая между ними мосты, а также устанавливать вредоносное ПО.

Первая уязвимость CVE-2018-16986 позволяет провести атаку, основанную на переполнении памяти.

1. На устройство отправляют множество стандартных BLE-сообщений — «рекламных пакетов» (advertising packets), которые сохраняются в памяти микросхемы. В них содержится код, однако чип и его защитные механизмы не распознают его.
2. Злоумышленники посылают еще один пакет, в заголовке которого активирован особый бит, вынуждающий чип выделить под пакет гораздо больше места, чем требуется. Это приводит к переполнению памяти и перезаписи указателей, ссылающихся на определенные фрагменты кода.
3. Далее злоумышленники могут заставить чип выполнить код, присланный ранее в стандартных рекламных пакетах, а затем установить на микросхеме бэкдор или перепрограммировать ее для перехвата контроля над устройством.

Вторая уязвимость CVE-2018-7080, в функции обновления прошивки по воздуху по сути является бэкдором для удаленной установки новой прошивки. Обычно она используется при разработке но может быть активирована в некоторых устройствах, выпущенных в продажу. В точках доступа производства Aruba Networks обнаружился жестко закодированный пароль для OAD, причем один на всю серию. Завладев этим паролем, злоумышленник сможет установить вредоносную прошивку на множество устройств.

В прошивках SSD-накопителей Crucial и Samsung обнаружены несколько уязвимостей, которые позволяют обойти аппаратное шифрование и получить доступ к данным без пароля.

1. Большая часть SSD с аппаратным шифрованием поставляется с мастер-паролем, который позволяет расшифровать данные, если пользователь забудет свой пароль. Этот пароль указан в документации и свободно доступен каждому желающему. Чтобы защититься от этой уязвимости, нужно сменить мастер-пароль или установить настройку Master Password Capability на максимум, чтобы деактивировать мастер-пароль.
2. Пароль шифрования, устанавливаемый пользователем, и ключ шифрования не связаны между собой криптографически, поэтому неважно, какой пароль установит пользователь, шифрование/дешифрование данных будет производиться с помощью ключа DEK (Disk Encryption Key), который хранится в чипе.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 26 октября по 1 ноября 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Поисковая система Microsoft Bing показывала вредоносную рекламу, предлагая загрузить и установить фальшивую версию Google Chrome.

Перейдя по ссылке в рекламе, пользователь попадал на сайт googleonline2018[.]com, который выглядел в точности как официальный сайт Google.com.

Google Chrome блокировал фальшивый сайт, но Bing и Edge считали его легитимным.

Новая методика «TLS Session Resumption» позволяет отслеживать пользователей.

Методика основана на использовании механизма запоминания сессии пользователя, имеющемся в стандарте TLS.

1. Владельцы серверов могут установить срок, в течение которого сервер помнит сессию пользователя.
2. Если пользователь посетил сервер, который загружает рекламу через HTTPS с сервера TLS, активируется механизм TLS Session Resumption, сохраняющий его сессию.
3. Если затем пользователь перейдёт на другой сайт с рекламой от этой компании, соединение останется открытым, что позволит отследить его переходы по ресурсам.

Вредоносное ПО

Вредоносное ПО SearchAwesome для macOS распространяется через торренты под видом взломанных приложений.

1. Загруженный установщик представляет собой обычный файл образа диска.
2. Если пользователь решает начать установку, малварь устанавливает скрытые компоненты, после чего просит подтвердить изменения в настройках доверенных сертификатов и разрешить компоненту spi изменять сетевую конфигурацию:

На заражённую машину устанавливается mitmproxy — инструмент для перехвата и модификации трафика.

Имея разрешения на изменения доверенных сертификатов, SearchAwesome вмешивается как в зашифрованный, так и в открытый трафик, внедряя рекламный JavaScript в каждую страницу, которую посещает жертва.

Атаки, уязвимости и утечки

В Microsoft Office 2016 и выше обнаружена уязвимость, связанная со встраиванием в документ онлайн-видеороликов.

Используя её, злоумышленник может встроить в документ зловредный JavaScript-код.

Для проведения атаки нужно:

1. Встроить видео в документ Word.
2. Открыть .docx как .zip-архив.
3. Отредактировать XML-файл с именем document.xml, заменив в нём ссылку на видео модифицированной вредоносной нагрузкой, открывающей менеджер загрузки Internet Explorer со встроенным файлом для выполнения кода.

Модификация параметра embeddedHTML позволяет перенаправить плавающий фрейм видео на зловредный html- или javascript-код.

Описанный метод могут взять на вооружение фишеры, которые будут прикладывать вредоносные документы к электронным письмам. Особую опасность таким атакам добавляет отсутствие предупреждений защитных систем при открытии файлов со встроенным видео.

Десктопная версия мессенджера Telegram хранит все чаты пользователя, включая секретные, в незашифрованной локальной базе данных sqlite.

Чтобы прочитать содержимое базы, потребуются некоторые нетривиальные манипуляции, но тем не менее, данные там хранятся в открытом виде.

Аналогичная ситуация имеет место с медиафайлами. Выяснилось, что достаточно изменить расширение файла, чтобы просмотреть картинки.

Последнее обновление iOS 12.1 содержит уязвимость, которая позволяет обойти блокировку экрана и просмотреть детальную информацию о контактах без привлечения голосовых ассистентов или функций VoiceOver.

Чтобы добраться до контактов, злоумышленнику нужно:

1. Позвонить на iPhone жертвы с другого iPhone.
2. Ответить на звонок и включить видеочат FaceTime.
3. В меню в правом нижнем углу выбрать опцию «Добавить человека».
4. Нажать на иконку «+» и получить доступ к полному списку контактов.

Вредонос Emotet научился подменять доверенные сертификаты почтовых серверов.

Администраторам почтовых серверов рекомендуется использовать антиспуфинговый механизм аутентификации DMARC, использующий доменные ключи (DKIM) для подтверждения подлинности рассылаемых писем.

Чтобы обойти DMARC, злоумышленники воспользовались техникой перехвата доменов (domain hijacking), перенаправляя запросы на проверку подлинности почты на сервера злоумышленников.

Имеющиеся там ключи подтверждают легитимность отправителя, позволяя обходить ограничения на уровне белых списков.

Ноутбуки Lenovo ThinkPad можно полностью вывести из строя через изменения в настройках UEFI BIOS.

Проблема связана с опцией «BIOS support for Thunderbolt» или «Thunderbolt BIOS Assist», активация которой в некоторых случаях вызывает состояние циклической перезагрузки, в процессе которой будет отображаться только черный экран, свидетельствующий о повреждении прошивки UEFI.

Для восстановления работоспособности может потребоваться замена материнской платы.

В одной из больниц Иллинойса вышли из строя около 40 смартфонов, планшетов и часов производства Apple.

После установки МРТ-сканера произошла утечка 120 литров гелия, использовавшегося для его охлаждения. После этого устройства сотрудников и пациентов вышли из строя.

Оказалось, что молекулы гелия имеют настолько небольшой размер, что могут повредить чипы микроэлектромеханических систем (МЭМС), которые с недавнего времени используются в гироскопах и акселерометрах техники Apple вместо кварацевых осцилляторов.

Также выяснилось, что руководство пользователя iPhone предупреждает о таких случаях.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 19 по 25 октября 2018 года.

Андрей Жаркевич
редактор, ИТ-руководитель


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Мошенники, выдающие себя за техподдержку McAfee, стали использовать новую схему с элементами социальной инженерии.

1. При посещеннии вредоносного сайта в браузере посетителя появляется сообщение: Your Mcafee subscription has expired on 18 October 2018 («Срок действия лицензии McAfee истек 18 октября») и предлагается установить обновлённую версию.
2. Если пользователь соглашается, нажав кнопку «Renew Now», ему предлагается заполнить форму, указав данные кредитной карты и другую персональную информацию.
3. Собранные данные отсылаются на сайт onlineav-shop[.]com, а пользователь перенаправляется на страницу «Спасибо за покупку!» с телефонным номером для оказания помощи в установке приобретенного софта.

По номеру отвечает представитель компании PremiumTechnical Support, якобы состоящей в партнерских отношениях с McAfee. Жертву просят предоставить удаленный доступ к компьютеру, а затем сообщают, что из-за ошибки на сервере транзакция не прошла и покупку придется оформлять на сайте производителя.

После этого удаленный «помощник» открывает браузер пользователя и соединяет его с сайтом реального партнера McAfee. Мошенники получают комиссионные за сделки и крадут информацию для оформления других покупок от имени жертвы.

Обнаружена сеть мошеннических сайтов, с помощью которой мошенники крадут криптовалюту, электронные деньги и конфиденциальные данные.

1. Преступники используют в своих схемах фишинг, поддельные криптокошельки, бэкдоры и шпионское ПО.
2. Мошеннические сайты оформляются под онлайн-лотереи, сервисы для аренды майнинговых пулов и другие ресурсы по теме виртуальных валют.
3. Созданные для кампании сайты копируют внешний вид известных площадок, демонстрируя сертификаты безопасности от разработчиков антивирусов.
4. Сайты под разными предлогами призывают жертву установить себе вредоносное ПО, включающее бэкдоры Spy-Agent, DarkVNC и HVNC для  удаленного контроля над компьютерами жертв.
5. С помощью бэкдоров на компьютеры доставляются шпионские трояны AZORult, Arkei, Pony и другие вредоносы, собирающие ценную информацию, в первую очередь данные для управления криптокошельками.

От деятельности преступников пострадали десятки тысяч человек, а сумма ущерба превысила 24 тысячи долларов США.

Мобильная безопасность

Обнаружен способ иcпользования NFC для кражи данных на расстоянии в несколько десятков метров, даже в режиме полёта.

1. Протокол NFC предназначен для взаимодействия двух устройств на расстоянии до 10 сантиметров.
2. Атака NFCdrip производит смену режима кодирования данных для чипа NFC на амплитудную модуляцию OOK (On-Off Keyring), при которой наличие сигнала рассматривается как 1, а отсутствие как 0.
3. Через вредоносное ПО, установленное на смартфоне, можно передавать пароль или ключ шифрования на другой гаджет, подключенный к обычному AM-приёмнику.
4. Скорость передачи на расстоянии 2,5 метра составляет 10-12 бит в секунду. При передаче на большие расстояния возникают ошибки, но их можно скорректировать программно.

В экспериментах удалось передать данные на расстояние более 60 метров. Эксперт, разработавший атаку, считает, что расстояние передачи можно увеличить, если использовать AM-антенну и SDR-приёмник:

В приложении Google News обнаружена ошибка, из-за которой для загрузки информации используется мобильный интернет, даже если в настройках включена функция «Загрузить через Wi-Fi».

По сообщениям пользователей, это приводит к чрезмерному потреблению мобильного трафика: в некоторых случаях приложение закачивало до 24 Гб мобильных данных, а счета за мобильный интернет превышали 300 долларов США.

На текущий момент единственным способом застраховаться от незапланированного расхода трафика остаётся удаление приложения со смартфона.

Удалённые мобильные приложения могут стать дополнительным маячком для отслеживания гаджета пользователя.

Выяснилось, что некоторые компании используют встроенные в iOS и Android функции для отслеживания недавно удалённых приложений и отображения таргетированной рекламы своих программ в надежде на то, что пользователь снова установит программу.

Для отслеживания разработчик пытается связаться с приложением через «бесшумные» push-уведомления в iOS и Android. Если приложение не отвечает, сохраняет уникальный рекламный идентификатор устройства в списке для трекинга.

Атаки, уязвимости и утечки

В защищённом мессенджере Signal обнаружены недоработки, из-за которых сообщения пользователя экспортируются в расшифрованном виде, а ключ шифрования для базы SQLite записан в конфиге в виде простого текста.

Первая ошибка присутствует в процедуре обновления расширения Chrome до десктопного клиента. После запроса папки для сохранения сообщений весь архив переписки записывается в папки с именами контактов и номерами телефонов, а сами диалоги в открытом виде — в файл messages.json.

Вторая ошибка состоит в том, что ключ шифрования для базы данных SQLite, сгенерированный мессенджером автоматически при установке, записывается в файл config.json и хранится локально в открытом виде в %AppData%\Signal\config.json на ПК и в ~/Library/Application Support/Signal/config.json на Mac.

Таким образом, любой злоумышленник, получивший доступ к компьютеру, может легко расшифровать и прочитать переписку:

Личные данные 1,2 миллионов пользователей сайта для взрослых Wife Lovers были похищены из-за использования устаревшего метода шифрования.

Cайт Wife Lovers был создан для публикации пользователями различных интимных фотографий. 98-мегабайтная база данных, в которой сайт хранил сведения о своих пользователях, была зашифрована устаревшим алгоритмом DEScrypt, разработанным 40 лет назад.

В результате после взлома в руках злоумышленников оказались не только е-мейлы и пароли, но и обширная база изображений для шантажа.

«Умные» устройства

Автомобиль Tesla Model S угнали с помощью планшета и смартфона.

В Tesla Model S используется система открытия автомобиля без ключа.

С помощью гаджетов угонщики перехватили сигнал, которым автомобиль обменивался с брелоком владельца, и направили его машине, заставив её открыть дверь.

Компания General Motors собирала привычки и предпочтения 90 тысяч владельцев автомобилей в Чикаго и Лос-Анджелесе, выясняя, какие радиостанции и когда слушают водители.

Сбор данных происходил с использованием имеющегося в автомобилях Wi-Fi. По словам представителя автопроизводителя, компания отслеживала поведение клиентов каждую минуту просто потому что могла сделать это.

GM вынашивает идею создания рынка данных о поведении водителей и пассажиров автомобилей, поскольку машина может прослушивать происходящее в салоне, делать снимки пассажиров и окружения, а также отслеживать присутствие пассажиров в салоне, регистрируя Bluetooth-сигналы с их мобильных гаджетов.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.