Представляем новости об актуальных технологиях фишинга и других атаках на человека c 23 по 29 августа 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Авторы фишинговой кампании заражают компьютеры Windows инструментом удаленного администрирования, рассылая вредоносные резюме.

Фишинговые письма содержат документы Microsoft Word, которые защищены паролем для обхода антивирусов и других технических средств защиты. Пароль «123» содержится прямо в письме.

После ввода пароля документ запрашивает активацию макроса. В отличие от других подобных атак, в данном случае макрос содержит «мусорный» код, закодированный в base64. Его главная цель — обмануть антивирусы и другие подобные инструменты.

При успешном запуске макроса на экране показывается несколько изображений, имитирующих загрузку контента, но на самом деле в документ просто добавляются бессмысленные строки:

После этого выводится сообщение об ошибке, но в фоновом режиме на компьютер загружается, а затем запускается вредоносный исполняемый файл — инструмент удаленного администрирования (RAT) Quasar.

Авторы ещё одной фишинговой кампании атакуют пользователей Instagram, чтобы перехватить контроль над их аккаунтом.

Мошеннические письма содержат уведомление о том, что кто-то пытается войти в аккаунт Instagram. Чтобы подтвердить личность, пользователю нужно перейти по ссылке и ввести свои учётные данные:

Фишинговая страница содержит не только поля для ввода логина и пароля, но и поле для ввода кода двухфакторной аутентификации, в которое можно вводить любое значение:

Страница идеально скопирована с настоящей, а для мошеннического домена даже подключен SSL-сертификат: так жертвы увидят, что соединение защищено, а в строке ввода имеется зелёный замочек.

В самом Instagram обнаружена уязвимость, которая позволяла перехватить контроль над любой учётной записью.

Ошибка связана с тем, что один и тот же уникальный идентификатор устройства, который Instagram применяет для проверки кодов сброса пароля, можно использовать для запроса нескольких кодов разных пользователей.

В коде для сброса пароля содержится шесть цифр. Таким образом, вероятность угадывания пароля — одна миллионная. Если запрашивать пароли нескольких пользователей, вероятность угадать код возрастает. Например, запросив пароли 100 тысяч пользователей с одним идентификатором устройства, можно взломать 10%, а если запросить коды для 1 миллиона пользователей — всех.

Главное условие атаки — запрос кодов должен занять не больше 10 минут.

В настоящее время уязвимость уже исправлена.

Мошенники могут выманить пароли пользователей Facebook с помощью социальной инженерии.

1. Некий пользователь публикует пост, в котором сообщает, что фейсбук не позволит пользователям написать в комментарии свой пароль.
2. Его сообщники пишут несколько комментариев, подтверждающих это.
3. Доверчивые пользователи социальной сети с готовностью пишут свои пароли в комментариях.

Инциденты и утечки данных

Хостинг-провайдер Hostinger сбросил пароли 14 млн клиентских аккаунтов, которые могли быть скомпрометированы в результате кибератаки на серверы компании.

Злоумышленникам удалось получить доступ к зашифрованным паролям и пользовательским данным, среди которых логины пользователей, адреса электронной почты, имена клиентов и IP-адреса, с которых они заходили на сайт.

В свободном доступе обнаружены персональные данные 703 тысяч человек, предположительно сотрудников ОАО «РЖД».

Записи содержат ФИО, дату рождения, адрес, номер СНИЛС, должность, фотографию и телефон.

Вероятный источник утечки — внутренний корпоративный сайт «РЖД». Сотрудники получали к нему доступ по СНИЛС, поэтому СНИЛС фигурирует в украденных ПД. В пользу этого предположения говорит также формат фотографий — это фото, сделанные для пропусков, точно такие же использованы на корпоративном сайте.

Мобильная безопасность и атаки по телефону

Из каталога Google Play Store удалено приложение CamScanner, содержащее троян-дроппер.

Приложение CamScanner позволяет распознавать текст на сфотографированных документах и создавать PDF-файлы прямо на телефоне. Согласно статистике Google Play, число загрузок программы превышает 100 млн.

Ранние версии приложения не содержали вредоносной функциональности, однако в последнем релизе в него добавилась рекламная библиотека, содержащая троян-дроппер Trojan-Dropper.AndroidOS.Necro.n.

При запуске приложения дроппер расшифровывает и исполняет вредоносный код, содержащийся в файле mutter.zip в ресурсах приложения. Затем с управляющего сервера загружается и запускается ещё один модуль, который скачивает и устанавливает на смартфон дополнительные вредоносные компоненты.

Авторы новой мошеннической схемы используют имена известных финансовых аналитиков, чтобы убедить людей инвестировать средства в псевдоинвестиционные компании.

Зафиксировано две схемы мошенничества
«Инвестиция»

1. Мошенники звонят клиентам банка и представляются фамилией настоящего аналитика, чтобы сразу войти в доверие.
2. «Аналитик» предлагает жертве выгодную инвестицию в несуществующую инвестиционную компанию, название которой созвучно с известной компанией, например «Альфакапиталкапитал».
3. Как только клиент переводит средства, «аналитик» исчезает, телефон перестаёт отвечать.

«Возврат»

1. «Сотрудник банка» звонит жертве предыдущей аферы и предлагает вернуть деньги, вложенные в псевдоинвестиционную платформу.
2. От имени банка он гарантирует безопасность процедуры, сохранность финансов клиента и обеспечение торговых операций на счетах брокера. Но при этом вывод денег возможен только через QIWI-кошелёк, указанный банком.
3. Для вывода средств на этот кошелёк нужно перевести от 50 до 100 тысяч рублей.
4. Как только пострадавший переводит деньги, мошенники исчезают.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 16 по 22 августа 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Мошенники похищают учётные данные пользователей Microsoft 365 c помощью фишинговых страниц, брендированных в стиле целевой организации.

1. Атака начинается с фишингового письма, сообщающего о непрочитанных сообщениях. Чтобы прочитать их, нужно перейти по ссылке.
2. Фишинговые страницы размещаются в облачных хранилищах Microsoft Azure Blob Storage и Microsoft Azure Web Sites, чтобы замаскировать сайт под официальную страницу входа Microsoft, защищённую сертификатом SSL.
3. Для каждой из потенциальных жертв мошенники сверяют адреса пользователей со своей базой данных, чтобы добавить на фишинговую страницу логотип и фирменный фон компании-владельца почтового домена. Таким образом создаётся довольно убедительная страницу сбора учетных данных, привычную для пользователя:

Авторы другой атаки выманивают учётные данные пользователей Office 365 с помощью специальных страниц для отображения ошибок 404.

1. Мошенники регистрируют домен, но размещают на нём не обычную фишинговую страницу, а специальную страницу 404, которая отображается, если веб-сервер не может найти запрошенный адрес.
2. Вместо сообщения 404 Not Found показывается фишинговая страница в форме поддельного окна аутентификации в учетной записи Microsoft, которое совпадает с легитимной страницей вплоть до мельчайших деталей.
3. Единственные элементы, которых нет на фишинговой странице — ссылка «Параметры входа» над кнопкой «Далее» и уведомление о файлах cookie в верхней части.
4. В результате злоумышленники имеют бесконечное количество URL-адресов фишинговых страниц, созданных с помощью одного зарегистрированного домена.

В еще одной атаке против пользователей Office 365 киберпреступники рассылают электронные письма, замаскированные под сообщения голосовой почты и перенаправляют жертву на скомпрометированный сайт при помощи механизма «MetaMorph Obfuscation».

Атака начинается с электронного письма, имитирующего уведомление голосовой почты Office 365:

Чтобы затруднить выявление опасного контента, большая часть текста в теле сообщения располагается в изображениях, а получателю предлагают открыть приложенный к письму HTML-файл, чтобы прослушать послание.

Обычно злоумышленники размещают адрес страницы в специализированных HTML-тегах типа «a href» (ссылка) или «script» (JavaScript-сценарий). Документы с подобными вложениями легко выявляются и блокируются встроенными в MS Office средствами защиты. В случае с MetaMorph Obfuscation киберпреступники используют оператор «meta» с параметром http-equiv=«refresh», который позволяет принудительно открыть целевой сайт:

Вредоносный документ запускается в браузере и переадресует жертву на принадлежащий мошенникам ресурс.

Сайт, копирующий оформление страницы авторизации Office 365, предлагает посетителю ввести логин и пароль своей учетной записи.

Чтобы убедиться, что логин и пароль введены правильно, страница запрашивает повторный ввод пароля, уведомляя о том, что в первый раз что-то введено неправильно. Полученные данные пересылаются на сервер злоумышленников.

Весь алгоритм не вызывает подозрения у защитных систем, поскольку вредоносная ссылка скрыта в метатеге документа.

В рамках фишинговой атаки против энергетической компании преступники воспользовались легитимной функцией Google Drive, что обойти защитные системы и заманить сотрудников на вредоносную страницу.

Злоумышленники разместили на облачном сервисе Google сообщение якобы от главы атакуемой организации с описанием бизнес-проекта, к обсуждению которого приглашались сотрудники. За подробностями обсуждения нужно было перейти на страницу с фишинговой формой и ввести свои учётные данные.

Ссылку на файл отправили всем пользователям через функцию Google Drive «Поделиться». Этот легитимный механизм не вызывает вопросов у почтовых фильтров, а системы защиты от фишинга не могут проверить контент, на который ведут такие уведомления.

Кибермошенники воруют учетные записи Steam с помощью фишингового сайта с «бесплатными раздачами игр».

Преступники рассылают сообщения о возможности получить бесплатную игру в Steam. Для этого предлагается зайти на сайт steamsafe.fun и ввести промо-код:

Сайт steamsafe.fun перенаправляет жертву на один из сайтов злоумышленников с бесплатными раздачами игр в Steam.

Пользователю предлагают нажать кнопку «Roll», чтобы покрутить рулетку и случайно выиграть бесплатную игру. В числе возможных выигрышей PUBG, CSGO, Tropico 4, ARK: Survival Evolved, Assassin’s Creed и другие.

После «выигрыша» сайт отобразит часть ключа игры. Для его получения требуется авторизация в Steam.

Как только пользователь нажмет кнопку входа в систему, отобразится поддельная страница авторизации в учетную запись Steam (Steam single sign-on), размещенная на сайте мошенников.

Если жертва введет учетные данные, мошенники используют их для авторизации в учетной записи Steam пользователя, после чего появится окно мобильного аутентификатора Steam Guard и запросит специальный код. Таким образом преступники обоходят двухфакторную аутентификацию и получают полный доступ к аккаунту.

Далее атака выполняется автоматически: мошеннический сайт самостоятельно входит в учетные записи, меняет пароль, привязанный адрес электронной почты и номер телефона. После этого злоумышленники используют украденную учетную запись для дальнейшего распространения мошенничества среди друзей жертвы и для потенциальной кражи предметов из инвентаря пользователей в Steam.

«Умные» устройства

Обнаружена мошенническая кампания с использованием особенностей работы голосовых помощников.

1. Мошенники создают поддельные номера поддержки для известных брендов и оплачивают их попадание в верхние позиции поисковой выдачи.
2. Жертва просит Siri, Google Home или Алексу найти номер телефона компании, которой принадлежит бренд.
3. Голосовой помощник запускает поиск, находит вместо правильного телефона номер мошенников и звонит им.
4. Мошенники общаются с жертвой, пока не добьются получения денег.

Приводятся реальные случаи:

Женщину, которая пыталась позвонить в авиакомпанию, чтобы поменять место, заставили заплатить 400 долларов США подарочными картами, убедив её, что авиакомпания проводит акцию.

Другой человек с помощью Siri позвонил в «службу технической поддержки», чтобы получить помощь с принтером, но добился лишь уменьшения денег на счёте.

Атаки и уязвимости

Злоумышленники могут перехватить содержимое набираемого на клавиатуре текста, анализируя звук нажатия клавиш с помощью программы на смартфоне.

В эксперименте, воспроизводящем реальную жизненную ситуацию, в конференц-зале разместили несколько человек, которые разговаривали друг с другом и делали заметки на ноутбуке. На одном столе с ноутбуком или компьютером находилось до 8 смартфонов, расположенных на расстоянии от нескольких сантиметров до нескольких метров. Участники эксперимента могли исправлять ошибки набора или исправлять их по своему усмотрению.

Оказалось, что использование стандартных сенсоров смартфона в сочетании со специальной программой позволяет за несколько секунд распознать набираемый текст с точностью до 41%. Для успешной атаки требуется знать, из какого материала изготовлена столешница, на которой размещена клавиатура, поскольку деревянные и металлические поверхности звучат по-разному.

Эта разновидность атак чрезвычайно опасна, поскольку у жертвы нет даже теоретической возможности понять, что набранный ей текст перехвачен.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 9 по 15 августа 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Мошенники использовали SMS-фишинг для кражи личной информации, сведений о счетах и кредитных картах жителей Израиля.

Пользователь получал SMS от имени банка с уведомлением о подозрительной активности в аккаунте и просьбой авторизоваться для идентификации, перейдя по ссылке:

По ссылке пользователь попадал на фишинговую страницу банка на скомпрометированном сайте, где предлагается ввести логин и пароль, ФИО, е-мейл, параметры кредитной карты и другую информацию:

После ввода информации фишинговый сайт благодарил пользователя и перенаправлял на настоящую страницу банка:

Вредоносное ПО

Вредонос Varenyky рассылает спам и записывает всё происходящее на заражённом компьютере во время посещения порносайтов.

1. Varenyky распространяется через фишинговые письма, содержащие во вложении поддельные счета на оплату в виде документов MS Word.
2. Текст письма написан на хорошем французском языке и не вызывает подозрений.
3. Когда пользователь открывает документ, он получает сообщение, что документ «защищён и требует проверки, что его открывает человек». На экране с этим сообщением имеются указания по поводу того, как пройти эту проверку — нужно отключить защиту и разрешить выполнение макросов:

Сразу после будет выполнен VBA-макрос, который проверяет страну проживания жертвы, и если это Франция, загружает тело вредоноса и запускает его:

Мобильная безопасность

Android-малварь Cerberus позволяет злоумышленникам установить полный контроль над зараженными устройством, делая его частью ботнета, использует оверлеи для хищения данных, контролирует SMS и извлекает список контактов.

Фрагмент административной панели ботнета

Cerberus распространяется по модели «вредонос как сервис». При первом запуске он скрывает свой значок и запрашивает дополнительные права под видом Flash Player Service:

Если жертва предоставляет это разрешение, Cerberus самостоятельно выдает себе права на отправку сообщений и телефонные звонки, а также отключает встроенное защитное решение Google Play Protect, чтобы избежать блокировки.

Cerberus содержит функции кейлоггера и умеет создавать оверлеи — невидимые окна, которые и позволяют ему перехватывать пользовательские данные из более чем 30 приложений, в том числе банковских:

Для противодействия запуску в отладочной среде Cerberus использует акселерометр, начиная свою работу лишь после того, как насчитал определённое количество шагов пользователя.

Атаки и уязвимости

В фотокамерах Canon обнаружено шесть уязвимостей, эксплуатация которых позволяет захватить контроль над устройством и внедрить на устройство вредоносное ПО, в том числе и через Wi-Fi, если камера поддерживает его.

Видео: демонстрация атаки на камеру:

В системе продажи электронных билетов British Airways обнаружена уязвимость, с помощью которой злоумышленник может просмотреть персональные данные пассажира или изменить информацию о бронировании.

1. Пытаясь упростить пользователям регистрацию, авиакомпания добавляла идентификационный номер пассажира и его имя прямо в параметры URL в ссылках на регистрацию в электронных письмах.
2. Исследователи утверждают, что «ссылки не были зашифрованы», что давало злоумышленникам возможность перехватить их (например, находясь в одной Wi-Fi-сети с жертвой, которая переходит по ней из письма).

К сожалению, в исследовании не приводится пример исходного письма с «незашифрованной ссылкой». Вероятно, имелась ввиду ссылка на HTTP — хотя в форме регистрации на сайте видно, что используется уже защищенное подключение по протоколу HTTPS:

Инциденты

В открытом доступе обнаружена база данных ElasticSearch, содержащая около 28 млн записей с биометрическими данными.

База данных принадлежит южнокорейской компании Suprema, разработчику системы контроля и управления доступом Biostar 2, которая используется в 6 тысячах организаций из 83 стран мира.

Записи содержали отпечатки пальцев, данные для распознавания лиц, незашифрованные логины и пароли администраторов и другую информацию.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.