Представляем новости об актуальных технологиях фишинга и других атаках на человека cо 2 по 9 марта 2017 года.

Андрей Жаркевич
редактор, руководитель службы ИТ

Смартфоны, банкоматы и «умные» устройства

Алексей Лукацкий напоминает, что пользоваться публичными зарядными устройствами может быть небезопасно — при зарядке смартфона через кабель можно получить доступ к данным на устройстве:

Ведь обычно для зарядки используется тот же самый кабель, что и для синхронизации, а он подразумевает двустороннее взаимодействие со всеми вытекающими отсюда угрозами. Правда, для этого, вы должны «доверять» компьютеру, который захочет получить доступ к информации на вашем компьютере, что требует определенных действий от пользователя (по крайней мере на iOS это так). Но где гарантия, что этот механизм «доверия» нельзя обойти? А может быть на мобильном устройстве его и вовсе нет?

— А. Лукацкий, «Зарядка смартфона как угроза утечки информации»

На конференции DEF CON демонстрировали практическую реализацию угрозы: фальшивые зарядные устройства, которые перехватывали пароли, картинки и все остальное, что отображается на экране подключенного мобильного устройства:

Проверьте, уязвимо ли ваше устройство.

Обнаружены вредоносные программы под Андроид, которые используют агрессивную рекламу для получения высоких рейтингов в Google Play Market. Авторы заставляют пользователей поставить программе высокий рейтинг и написать положительный отзыв:

Исследователи обнаружили в Google Play Market приложения, созданные специально для кражи аккаунтов пользователей Инстаграма. До момента удаления их установили больше 1 миллиона пользователей:

Сайты, социальные сети и почта

Специалисты Cisco’s Talos Intelligence описали работу вредоносной программы DNSMessenger, которая использует протокол DNS для взаимодействия с управляющим центром. Первичное заражение происходит через фишинг с вложением в виде «защищенного» документа Microsoft Word, для просмотра которого жертве предлагают разрешить активное содержимое:

За вредоносную функциональность отвечает запускаемый Powershell-скрипт. Для обмена сообщениями используются TXT-записи DNS:

Создан конструктор вирусов-вымогателей «Филадельфия». За $400 долларов любой желающий получает обновляемую копию программы для создания собственных вредоносных программ.

Авторы даже сняли рекламный видео-ролик:

Исследователи опубликовали отчёт о другом конструкторе — Satan, с помощью которого можно создать собственную версию вымогателя:

Вымогатель может работать на базе макровируса для документа Word или файла CHM.

Телеграм может стать дополнительным вектором атаки на пользователя, если мошенники знают номер его телефона:

Если [мошенники] зарегистрируются в Телеграм, и ваш номер есть у них в списке контактов, они получат уведомление, что вы тоже пользуетесь Телеграм. Это позволит им напрямую связаться с вами и попытаться обмануть вас.

— Джон Бамбенек, Fidelis Cybersecurity.

Согласно отчёту AT&T, более 50% компаний не заботятся об эффективной защите данных и не модернизируют свои стратегии безопасности более трех лет. Современные технологичные атаки, такие как целевой фишинг, могут стать существенной проблемой для таких компаний.

Сообщают о задолженности и прикладывают копию искового заявления. Судя по всему, ссылки ведут на сайт ФССП. Ваши действия?

Сергей Волдохин
sv@antiphish.ru

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 23 февраля по 1 марта 2017 года.

Андрей Жаркевич
редактор, руководитель службы ИТ

Смартфоны, банкоматы и «умные» устройства

Лаборатория Касперского опубликовала отчет о вредоносных программах для мобильных платформ за 2016 год. Обман пользователей и социальная инженерия — главные способы распространения. Многие троянцы скачивались под видом игр, видео-плееров и других полезных программ в официальном магазине приложений Google Play Market:

По данным отчета, в России были атакованы от 20 до 30% всех мобильных пользователей.

При этом Россия находится на первом месте по числу атак мобильных банковских троянцев:

Бразильские преступники украли Айфон и прислали жертве фальшивое сообщение от сервиса «Найти мой iPhone». По ссылке находилась фишинговая копия настоящей страницы входа на сайт Эпла:

The Hacker News опубликовали рассказ хакера Джейсона Стрита о том, как легко можно взломать мобильные устройства и ноутбуки людей в публичных местах. Для взлома достаточно, чтобы на устройствах был включен вай-фай и было разрешено автоматическое подключение к открытым сетям. Хакер создаёт поддельную точку доступа на своём смартфоне и получает полный доступ к трафику подключившихся устройств.

Запретите автоматическое подключение к открытым сетям: на Айфоне, в Андроиде

Хакеры выложили в интернет два миллиона разговоров между родителями и детьми, которые были записаны на подключенные к интернету игрушки CloudPets.

База данных компании-производителя в течение двух недель находилась в открытом доступе, не защищённая ни файрволлом, ни даже паролем:

Сайты, социальные сети и почта

Илья Варламов рассказал о фишинговом письме с уведомлением о штрафе от сайта Госуслуг. Мошенники использовали старый логотип сервиса и отправляли письма с адреса no-reply@gosuslugi-gov.ru.

Сравните фишинговое и настоящее письмо от сайта Госуслуг:

Многофункциональная вредоносная программа Adwind Remote Access Tool обнаружена в атаках на 1 500 организаций в 100 странах мира. По данным Лаборатории Касперского, главным способом распространения стали поддельные письма от банка HSBC, содержащее zip-архив и вложенный в него jar-файл, который при запуске устанавливает бэкдор. Благодаря использованию Java, вредоносный код может успешно работать на Windows, macOS и Linux.

В блог Cisco Talos опубликовано подробное исследование атаки на пользователей, у которых установлен текстовый редактор Hangul Word Processor — популярный в Корее аналог Microsoft Office:

Атака начинается с получения письма «от корейского Министерства» с вложенным HWP-документом. По клику на ссылке внутри документа из встроенного OLE-объекта запускается исполняемый файл, который скачивает основной вредоносный файл со скомпрометированного правительственного сайта Кореи kgls.or.kr (Korean Government Legal Service).

Блог MalwareBytes опубликовал инструкцию для жертв вымогателя Findzip, которая позволяет попробовать расшифровать файлы у жертв на macOS. Понадобится работающий компьютер, среда разработки Xcode или редактор TextWrangler, исходный код утилиты pkcrack, один из зашифрованных файлов и этот же файл в расшифрованном виде.

Банки и платёжные системы

Задержаны хакеры, похитившие со счетов российских банков более 100 миллионов рублей. Хищения со счётов осуществлялись с использованием вредоносного программного обеспечения для удаленного управления банковскими счетами юридических лиц.

Для распространения троянских программ злоумышленники создали сеть фишинговых сайтов, осуществляли спам-рассылки, а также использовали методы социальной инженерии, что позволило им заразить вредоносными программами компьютеры более чем 20 организаций, находящихся в разных городах. Общий ущерб от деятельности группы превысил 100 миллионов рублей.
 — Ирина Волк, МВД РФ

Мошенница похитила 9,5 миллионов рублей со счетов граждан через сим-карты, приобретённые в салонах сотовой связи. После покупки она запрашивала информацию о подключенной услуге «мобильный банк» предыдущего владельца номера, и переводила деньги на свой счёт.