Представляем новости об актуальных технологиях фишинга и других атаках на человека c 17 по 23 января 2020 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Киберпреступники используют поддельные домены, чтобы внедриться в бизнес-переписку и обманом заставить сотрудников компаний устанавливать вредоносные программы, переводить деньги или передавать свои учетные данные.

Атака производится следующим образом:

1. Используя ранее скомпрометированные учётные данные, преступники подключаются к почтовому ящику и изучают переписки жертвы на предмет информации о любых сделках, которую можно использовать в своих целях.
2. Когда нужная цепочка писем найдена, мошенники включаются в неё и активно переписываются с целевыми получателями.
3. Для отправки фишингового сообщения вместо почтового ящика жертвы используется заранее зарегистрированный домен, отличающийся от настоящего одним или двумя символами. Мошенники рассчитывают, что жертва не заметит изменения в домене и не заподозрит в обмане коллегу, клиента или партнера.
4. Поскольку злоумышленник эксплуатирует реальную личность, фишинговые письма от её имени жертва будет расценивать как сообщения от доверенного источника.

В ходе анализа 500 тыс. электронных писем обнаружено, что в период с июля по ноябрь 2019 года перехват переписок вырос более чем на 400%. Выяснилось, что во многих случаях злоумышленники неделями общались с жертвами, чтобы обеспечить высокий уровень доверия.

Атаки и уязвимости

Атака Chameleon позволяет модифицировать контент в соцсетях после его публикации. При этом все комментарии и лайки к посту сохраняются.

Изменение отображения поста в Facebook и Twitter

Причина уязвимости в алгоритме, который соцсети используют для отображения видео или картинке по ссылке. Когда кто-то делится ссылкой, движок соцсети загружает по картинку с иллюстрацией и заголовок публикации. После того, как пост опубликован, Twitter не позволяет его редактировать, а Facebook и LinkedIn отмечают, что пост был отредактирован.

Однако это ограничение можно обойти, воспользовавшись сервисом переадресации или сокращателем ссылок. Главное, чтобы сервис позволял изменить целевой адрес, без изменения первоначального сокращения. Именно так работает атака Chameleon.

Для проведения атаки Chameleon злоумышленник

1. Собирает информацию о жертве.
2. Создает публикации или профили со ссылками-хамелеонами и привлекает к ним внимание пользователей, аналогично фишинговым атакам.
3. Собирает социальный капитал, завоевывая доверие пользователей и взаимодействуя с жертвами. Этот этап очень важен для успеха атаки.
4. Модифицирует ссылки в постах, перенаправляя их на страницы с другим содержимым, в результате чего картинка предпросмотра в посте меняется на целевую.

Демонстрация атаки:

«Представьте, вы увидели в своей ленте новостей в Facebook милое видео с котенком и поставили лайк, а на следующий день вам звонит друг и спрашивает, почему вы лайкнули видео с казнью. Вы возвращаетесь назад, и действительно, там стоит ваш лайк»

Исследователи университета Бен-Гурион

Пользователь лендинговой платформе BlockFi использовал обнаруженную им уязвимость, чтобы за день пополнить свой криптокошелёк на миллион долларов США в криптовалюте Ethereum, однако вскоре лишился внезапного богатства.

Используя уязвимость, он смог несколько раз отправить самому себе через BlockFi один и тот же эфир и в итоге получить 10 050 798 эфиров на сумму $1 445 907. При переводах баланс в кошельке увеличивался, но средства со счета не списывались.

После того, как в кошельке накопилось более 1,5 млн долларов США в Ethereum, пользователь решил снять небольшую сумму в качестве доказательства наличия уязвимости, однако спустя несколько дней транзакцию отменили.

После общения с представителями BlockFi пользователь получил изначально принадлежавшие ему деньги назад, но его учётную запись заблокировали за мошенничество. Это обидело пользователя, который рассчитывал получить награду за выявленную ошибку, и он даже удалил пост на Reddit, в котором рассказывал о случившемся.

Обнаруженная в Internet Explorer критическая уязвимость CVE-2020-0674 позволяет злоумышленнику получить те же привилегии, что и у авторизованного в системе пользователя.

Проблема связана с тем, как скриптовый движок обрабатывает объекты в памяти браузера. Выполнение вредоносного скрипта может вызвать повреждение памяти, что позволит атакующему выполнить произвольный код в контексте текущего пользователя. Если авторизованный пользователь является администратором, атакующий получит полный контроль над системой — сможет устанавливать и удалять программы, а также создавать учетные записи с полными правами пользователя.

Для проведения атаки достаточно создать вредоносный сайт, способный проэксплуатировать уязвимость, а затем заманить на него жертву с помощью рекламного баннера или фишинговой ссылки в электронном письме.

Мобильная безопасность

В Google Play обнаружено несколько семейств вредоносных приложений, которые маскируются под программы для улучшения снимков.

Разработчики мошеннического ПО привлекают пользователей, обещая им различные фильтры для камеры, с помощью которых можно снимать необычные и смешные селфи.
При этом приложения в фоновом режиме собирают конфиденциальные данные и передают их злоумышленникам для последующей продажи.

На жертву обрушивается поток вредоносных рекламных объявлений, которые перенаправляют её на фишинговые сайты.

Всего выявлено 30 вредоносных приложений. Среди них:

1. BeautyPlus — Easy Photo Editor & Selfie Camera
2. BeautyCam
3. Beauty Camera — Selfie Camera
4. Selfie Camera — Beauty Camera & Photo Editor
5. Beauty Camera Plus — Sweet Camera & Makeup Photo
6. Beauty Camera — Selfie Camera & Photo Editor
7. YouCam Perfect — Best Selfie Camera & Photo Editor
8. Sweet Snap — Beauty Selfie Camera & Face Filter

Инциденты

Мобильный телефон генерального директора Amazon Джеффа Безоса взломали с помощью вредоносного видео в мессенджере WhatsApp, отправленного с учетной записи наследного принца Саудовской Аравии Мухаммеда бин Салмана, с которым Безос вёл дружескую переписку.

По результатам цифровой экспертизы стало известно, что с телефона Безоса после взлома было извлечено большое количество данных. Предполагаемый взлом произошел 1 мая 2018 года. Пока неизвестно, какие именно данные были похищены.

Recent media reports that suggest the Kingdom is behind a hacking of Mr. Jeff Bezos' phone are absurd. We call for an investigation on these claims so that we can have all the facts out.

— Saudi Embassy (@SaudiEmbassyUSA) January 22, 2020

«Заявления в средствах массовой информации о том, что Королевство стоит за взломом телефона господина Джеффа Безоса, абсурдны. Мы призываем провести расследование и выяснить все факты.

посольство Саудовской Аравии в США

В открытом доступе обнаружено почти 250 млн записей центра обработки вызовов компании Microsoft за период с 2005 по 2019 года.

Базы данных располагались на пяти незащищенных серверах Elasticsearch и содержали записи разговоров между сотрудниками службы поддержки Microsoft и клиентами со всего мира. Среди полей в базах были электронные адреса, IP-адреса клиентов, электронные письма службы поддержки, а также внутренние заметки и описания разных случаев.

В результате кибератаки в компании Mitsubishi Electric были взломаны десятки компьютеров и серверов и похищены конфиденциальные данные.

В компании об атаке узнали, обнаружив подозрительный файл на одном из серверов. Злоумышленники взломали учётную запись одного из сотрудников в Китае, затем атака распространилась на Японию. После этого преступники получили доступ к внутренним сетям 14 отделов компании, в числе которых отдел продаж и главный административный офис.

В результате атаки преступники выкрали около 200 Мб файлов, содержащих в основном деловую документацию и резюме кандидатов на трудоустройство. В выпущенном официальном заявлении Mitsubishi Electric не отрицает факт хищения данных, но подчеркивает, что взломщики не получили информации о деловых партнерах и оборонных контрактах компании.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 10 по 16 января 2020 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Приглашаем всех желающих в следующий четверг 23 января на бесплатный обучающий семинар Антифишинга и Тайгер Оптикс

На семинаре

• Обсудим проблему человеческого фактора в безопасности.
• Рассмотрим цифровые атаки на сотрудников, их классификацию, психологические вектора и причины успеха атак.
• Обсудим обучение и тренировку навыков как системные процессы для решения проблемы.
• Рассмотрим платформу Антифишинг для реализации процессов, познакомим с кейсами реальных заказчиков, ответим на вопросы.

Спикеры:

• Евгений Малов, Антифишинг,
• Илья Осадчий, Тайгер Оптикс

Начало семинара в 11:00 МСК.
Продолжительность — 30 минут.
Ссылка для регистрации 

Сайты, почта и мессенджеры

Мошенники предлагают купить временный номер социального страхования, чтобы получить компенсацию за утечки персональных данных.

Через рекламные баннеры жертва попадает на сайт «Фонда защиты персональных данных», который предлагает получить компенсацию за утечки персональных данных:

Чтобы проверить, не стал ли посетитель жертвой утечки, нужно ввести данные в форму:

Сведения не проверяются, поэтому можно ввести любой текст. После отправки данных сайт демонстрирует процесс проведения «верификации».

Затем выдаётся уведомление о том, что кто-то использовал фото, видео и контактную информацию посетителя, и за это жертве полагается более 2,5 тыс. долларов США:

Чтобы получить деньги, необходимо указать номер социального страхования гражданина США (SSN, Social Security Number):

Если номера нет, сайт предлагает решение: арендовать временный SSN за 9 долларов США — ничтожная сумма по сравнению с компенсацией:

Жителям России можно оплатить временный SSN рублями:

Остальным демонстрируется форма с оплатой в долларах:

Разумеется, никакого Фонда защиты персональных данных не существует, поэтому никакой компенсации жертвы не получат.

Киберпреступная группировка Fancy Bear организовала фишинговую кампанию, направленную на сотрудников украинской нефтегазовой компании Burisma Holdings.

Злоумышленники использовали похожие домены, чтобы обманом заставить сотрудников компаний ввести свои пароли электронной почты.

Сайт компании подвергался многочисленным попыткам взлома в течение полугода, однако остается неизвестным, какие данные пытались украсть преступники. Однако направленная на сотрудников Burisma фишинговая кампания была успешной, и злоумышленникам удалось взломать один из почтовых серверов компании.

В WhatsApp обнаружена мошенническая рассылка с использованием бренда Adidas, направленная на получение персональных данных пользователей мессенджера.

• В сообщении говорилось, что компания Adidas якобы празднует юбилей и дарит футболки и обувь.
• Для получения подарков необхожимо перейти по ссылке.
• Cсылка в сообщении поддельная и не ведет на официальный сайт компании Adidas, несмотря на то, что содержит наименование бренда
• В объявлении используется старый логотип Adidas.
• После того, как пользователь переходит по ссылке, он попадает на страницу с опросом, пройдя который он получает уведомление об обработке ответов.
• Для получения подарков пользователю предлагается разослать сообщение о конкурсе 20 контактам.

Мобильная безопасность

В каталоге Google Play обнаружены 25 приложений, которые продолжали собирать деньги с пользователей после окончания пробного периода.

По умолчанию пользователи должны отменять пробные периоды приложений вручную, чтобы избежать последующей оплаты. Однако большинство пользователей просто удаляют приложения, если они им не нравятся. Разработчики расценивают это как отмену пробного периода и не взимают плату.

Однако появились приложения, которые злоупотребляли данной функциональностью, игнорировали удаление и окончание пробного периода, и продолжали брать с пользователей от 100 до 240 долларов США в год за самые простые инструменты.

В Google Play было обнаружено 17 приложений, которые показывали рекламные объявления, быстро разряжая аккумулятор смартфона.

Приложения отличаются продуманной стратегией маскировки, которая затрудняет обнаружение их вредоносной деятельности:

• они ждут двое суток, после чего пытаются скрыть своё присутствие на устройстве;
• реклама начинает выводиться через 4 часа, появляясь затем через случайные интервалы;
• код разбит по разным файлам;
• они содержат полезную функциональность, поэтому с первого взгляда сложно понять, что с ними что-то не так.

Список вредоносных приложений: Car Racing 2019, 4K Wallpaper (Background 4K Full HD), Backgrounds 4K HD, QR Code Reader & Barcode Scanner Pro, File Manager Pro — Manager SD Card/Explorer, VMOWO City: Speed Racing 3D, Barcode Scanner, Screen Stream Mirroring, QR Code — Scan & Read a Barcode, Period Tracker — Cycle Ovulation Women’s, QR & Barcode Scan Reader, Wallpapers 4K, Backgrounds HD, Transfer Data Smart, Explorer File Manager, Today Weather Radar, Mobnet.io: Big Fish Frenzy, Clock LED.

Android-троян Shopper распространяет рекламные объявления, скрытно устанавливает на устройство приложения и оставляет фальшивые отзывы в Google Play.

Для взаимодействия с интерфейсом системы и приложениями Shopper использует службу поддержки специальных возможностей Google Accessibility Service. Благодаря этому он может перехватывать данные, появляющиеся на экране, нажимать кнопки и имитировать жесты пользователя.

Троян попадает на устройство через мошеннические рекламные объявления или из сторонних магазинов приложений, когда пользователь пытается скачать якобы легитимную программу. После установки Shopper притворяется системным ПО, например, сервисами для очистки и ускорения работы смартфона, и маскируется под приложение с названием ConfigAPKs. Во время работы он собирает информацию об устройстве, отправляет её на серверы злоумышленников, а в ответ получает команды для:

• регистрации в приложениях для шопинга или развлечений через Google- или Facebook-аккаунты владельца устройства ;
• публикации фальшивых отзывов на приложения;
• выключения функции Google Play Protect, которая проверяет на безопасность приложения из магазина Google Play до начала загрузки;
• открытия в невидимом окне ссылок, полученные от управляющего сервера;
• показа рекламы и создания ярлыков для рекламных приложений в меню приложений;
• загрузки и установки приложений со стороннего маркета;
• замены ярлыков установленных приложений на ярлыки рекламных страниц.

Атаки и уязвимости

Мошенники используют аутентификацию через QR-код для перехвата контроля над учётными записями пользователей Discord.

Proof of concept for the @discordapp exploit allowing anyone to access your account if you use the phone app to scan their new QR code login system. This bypasses 2FA.

Do not scan QR codes using the Discord phone app. Period.https://t.co/dTYDpcmTby

— Pirate Software (@PirateSoftware) January 13, 2020

В декабре 2019 года разработчики Discord добавили возможность войти в приложение по QR-коду. При этом логин и пароль не запрашиваются, двухфакторная аутентификация не применяется.

В результате злоумышленнику достаточно направить жертве сообщение с QR-кодом и текстом, обещающим вознаграждение за сканирование QR-кода. Если жертва выполнит инструкции преступника, он получит полный контроль над её учётной записью.

Зафиксирована волна целевых атак на крупные банки нескольких стран Тропической Африки.

1. Атака начинается с рассылки фишинговых писем с вредоносными вложениями.
2. Злоумышленники используют инфраструктуру уже заражённых организаций и отправляют сообщения от имени настоящих сотрудников.
3. Если получатель откроет вложение, его компьютер подвергается попытке заражения сразу несколькими модулями трояна, конечная цель которых — собрать информацию об устройстве и отправить ее управляющему серверу. Один из основных модулей делает снимки экрана зараженного компьютера.
4. Атакующие используют легитимные администраторские инструменты, чтобы долго оставаться незамеченными.
5. Проникнув в корпоративную сеть, злоумышленники изучают инфраструктуру и внутренние процессы, после этого крадут деньги, например, через банкоматы.

В среднем из каждой организации злоумышленники пытаются вывести около 1 млн долларов США.

В платёжной системе PayPal обнаружена серьёзная уязвимость, используя которую, атакующий мог получить пароль пользователя.

Ошибка была связана с реализацией проверки пользователя через Captcha. Сценарий на странице PayPal раскрывал уникальные токены аутентификации через POST-запрос при попытке решить задачу CAPTCHA. Для успешной атаки достаточно было заставить жертву перейти по ссылке на вредоносном сайте, ведущей на страницу входа в платёжный сервис.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 27 декабря 2019 по 9 января 2020 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Вымогатели используют письма на иностранном языке, чтобы обходить спам-фильтры и защитные шлюзы.

Sextortion — онлайн-вымогательство, в процессе которого мошенники убеждают жертву, что в их распоряжении есть видео того, как жертва посещала порнографические сайты. Чтобы запись никуда не попала, нужно заплатить выкуп. Защитные email-шлюзы и спам-фильтры научились быстро вычислять и перехватывать такие письма, и перевод на иностранный язык решает эту проблему.

Для чтения послания жертве предлагают воспользоваться онлайн-переводчиком, а адреса кошельков для перевода делят на две части.

Организаторы мошеннической кампании против граждан Казахстана использовали YouTube-видео, чтобы похитить персональные данные.

Ролик содержал подробные инструкции по получению возврата НДС за все покупки. Чтобы вернуть НДС, нужно было перейти на фишинговый ресурс, адрес которого указан в комментариях к видео. Далее пользователям предлагалось заполнить анкету и внести свои персональные данные и сведения о банковской карте.

Уязвимости

В приложении TikTok обнаружены уязвимости, эксплуатация которых позволяет управлять аккаунтами жертвы и получить доступ к его персональным данным.

Приложение позволяет пользователю отправить самому себе текстовое сообщение со ссылкой на загрузку приложения. Но из-за ошибки злоумышленник, знающий телефонный номер жертвы, может отредактировать ссылку в сообщении, заменив её вредоносным URL. Получив такое SMS, жертва пройдёт по ссылке, так как не подозревает об атаке, после чего на устройство будет установлена вредоносная программа.

Вредоносное ПО

Расширение для Google Chrome —Shitcoin Wallet, — внедряет в веб-страницы специальный JavaScript-код, предназначенный для кражи паролей и закрытых ключей от криптовалютных кошельков и сервисов.

Разработчики Shitcoin Wallet утверждают, что расширение позволяет пользователям управлять цифровой валютой Ether (ETH), а также токенами Ethereum ERC20 прямо из браузера. Как выяснилось, расширение содержит вредоносный код и опасно для пользователей браузера Chrome по двум причинам:

• все доверенные расширению средства могут быть легко украдены,
• в некоторые посещаемые веб-страницы внедряется вредоносный JavaScript-код.

?? A browser crypto wallet is injecting malicious JS to steal secrets from @myetherwallet @idexio @binance @neotrackerio @SwitcheoNetwork

Extension-native wallet create also sends secrets to their backend!

Bad guys: erc20wallet[.]tk
ExtensionID: ckkgmccefffnbbalkmbbgebbojjogffn pic.twitter.com/TE2iw5d8Md

— harrydenley.eth ? (@sniko_) 31 декабря 2019 г.

Закрытые ключи всех кошельков расширение отправляет на ресурс мошенников — erc20wallet[.]tk, а, когда пользователь заходит на сайты сервисов для управления криптовалютой, крадёт учётные данные и закрытые ключи.

Инциденты

Злоумышленники взломали Twitter певицы Мэрайи Кэри и опубликовали от её имени несколько расистских твитов и оскорбления в адрес рэпера Эминема.

I take a freaking nap and this happens?

— Mariah Carey (@MariahCarey) 1 января 2020 г.

Компания Wyze, производящая умные устройства, сообщила об утечке данных 2,4 млн пользователей.

Источником утечки стала внутренняя БД Elasticsearch, которая оказалась доступна извне. В ней содержались email-адреса, которые клиенты использовали для создания учетных записей Wyze, имена камер Wyze, идентификаторы SSID, и токены 24 000 пользователей, использующиеся для подключения устройств Wyze к устройствам Alexa.

Французский предприниматель в отместку за увольнение похитил у бывших партнеров криптовалюту на сумму 1,1 млн евро.

В 2013 году несколько друзей запустили IT-стартап, но по мере его роста и развития между партнерами стали появляться разногласия. Спустя три года один из руководителей был со скандалом уволен и уехал за границу.

После этого с декабря 2018-го по январь 2019-го года было проведено несколько подозрительных переводов криптовалюты с кошельков компании на общую сумму 182 биткоина. Поскольку размер каждого перевода был ниже установленного порога, автоматические системы тревоги не срабатывали. Это позволило сделать вывод, что злоумышленник знаком с организацией процессов компании.

Неизвестный выложил в публичный доступ файл с данными более 28 тысяч пользователей сайта Госуслуг одного из российских регионов.

В базе присутствуют ФИО, дата рождения, СНИЛС и ИНН, номер телефона, электронная почта, информация о детях и другие сведения.

Утечка произошла из-за ошибочной настройки программного обеспечения одного
из серверов портала, в результате чего данные оказались доступными для свободного скачивания. В Минкомсвязи сообщили, что в настоящий момент системы работают
в штатном режиме. По факту возможного инцидента начата проверка.

Шифровальщик Ryuk заразил неназванный морской объект в США и нарушил работу систем наблюдения, контроля физического доступа, а также критических систем контроля и управления процессом.

Источником заражения стало вредоносное письмо, полученное одним из сотрудников пострадавшего предприятия.

«Когда сотрудник кликнул по встроенной в письмо вредоносной ссылке, вымогатель смог получить доступ к большому количеству корпоративных файлов и зашифровать их, не давая предприятию получить доступ к этим критически важным файлам».

— представители Береговой охраны США

Вредоносная программа сумела распространиться на промышленные системы управления, которые отслеживают и контролируют передачу грузов. Пострадала вся ИТ-сеть предприятия, в том числе за пределами изначально зараженного морского объекта. Работа порта остановилась более чем на 30 часов.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.