Представляем новости об актуальных технологиях фишинга и других атаках на человека cо 2 по 8 августа 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Пользователи из Германии стали целью новой фишинговой кампании, в которой для кражи учетных данных используются PDF-документы.

Мошенники рассылают поддельные документы «от Amazon», для просмотра которых пользователю предлагают авторизоваться через свою учетную запись Amazon Seller:

Форма при открытии вложенного в электронное письмо PDF-документа на самом деле создается помощью JavaScript-кода, встроенного в сам документ и отправляет учетные данные пользователя на сервер мошенников:

«Одним из векторов атак, который можно легко упустить из виду, является похищение учетных данных через документы с активированными скриптами JavaScript. Метод атаки основывается не на использовании вредоносных ссылок или спуфинге доменов, а на скриптах в документах, обеспечивающих такой же результат».

Tomislav Pericin, ReversingLabs

На конференции BlackHat 2019 обнародован cпособ взлома WhatsApp, благодаря которому злоумышленник может изменить текст сообщения или личность отправителя этого сообщения.

В процессе исследования эксперты компании CheckPoint сумели воссоздать три сценария атаки:

Первая атака позволяет изменить имя отправителя и текст сообщения в групповом чате:

Вторая атака позволяет подменить цитату ответного сообщения собеседника:

Третья атака позволяла отправить личное сообщение, замаскированное под публичное, причём, когда респондент ответит на него, оно появляется в общем чате. На момент обнародования исследования WhatsApp исправил эту уязвимость.

Авторы новой мошеннической схемы используют посетителей сайтов знакомств для отмывания преступных средств.

1. Мошенник знакомится с жертвой на сайте и входит к ней в доверие.
2. Вскоре он предлагает перейти к общению по электронной почте или на стороннем сервисе, где убеждает жертву, что он гражданин США, но сейчас живёт в другой стране.
3. Затем мошенник доверительно сообщает, что реализует перспективный бизнес-проект и уже нашёл для него инвестора, но инвестору необходим банковский счёт в США, поэтому без помощи жертвы ему не обойтись.
4. Жертва открывает банковский счёт, а поступающие на него средства передаёт мошеннику до тех пор, пока банк не заблокирует счёт.

Вредоносное ПО

Вредонос GermanWiper распространяется через вредоносные письма, затирает содержимое файлов нулями и вымогает выкуп в размере 0,15 BTC (около 114 тысяч рублей).

Различные варианты вредоносного письма

1. Вредоносное письмо замаскировано под заявление о приёме на работу и содержит вложение — zip-файл с резюме.
2. На самом деле в архиве находится lnk-файл, открытие которого приводит к установке вымогателя.
3. GermanWiper заменяет содержимое файлов нулями, а также добавляет пострадавшим файлам новое расширение из пяти случайных букв и цифр, например, .08kJA, .AVco3, .OQn1B, .rjzR8:

«Зашифровав» все целевые файлы, GermanWiper открывает HTML-файл с требованием выкупа в браузере по умолчанию:

На оплату выкупа отводится неделя, но платить его бесполезно, поскольку файлы безнадежно испорчены и не подлежат восстановлению.

Мобильная безопасность

Ещё один доклад на BlackHat 2019 рассказывает об уязвимостях Apple iMessage, эксплуатация которых позволяет выполнить вредоносный код и получить доступ к данным пользователя.

Одна из уязвимостей связана с логикой работы приложения iMessage и даёт злоумышленнику возможность отправить пользователю специальное текстовое сообщение, в ответ на которое сервер iMessage отправит данные атакуемой жертвы, среди которых содержимое текстовых сообщений, отправленные и полученные изображения.

Обнаруженная в устройствах Apple уязвимость позволяет узнать номер телефона пользователя, анализируя пакеты BLE — Bluetooth Low Energy.

При включенном Bluetooth устройство Apple отправляет пакеты BLE, передавая в них информацию о положении устройства, версии ОС, заряде батареи и многие другие данные. Такое поведение является частью протокола Apple Wireless Direct Link (AWDL), который может работать либо через Wi-Fi, либо через BLE.

Во время некоторых операций передаваемые устройством пакеты BLE содержат SHA256-хэш номера телефона, AppleID и адрес электронной почты пользователя. Хотя в эфир транслируютсят только первые 3 байта хэша, этого достаточно, чтобы восстановить номер, используя предварительно рассчитанные таблицы хэшей.

BLE-трафик, содержащий хэши телефонных номеров, может быть перехвачен

• когда пользователь использует AirDrop для передачи файлов;
• когда телефон пытается поделиться паролем Wi-Fi;
• когда контакт запросил у пользователя пароль от Wi-Fi.

Извлечь из трафика телефонный номер можно не только во время использования AirDrop, но и при использовании других функций, например, во время подключения к сети Wi-Fi.

В прошивке беспроводного модуля мобильного процессора Snapdragon обнаружены опасные уязвимости QualPwn, которые позволяют «по воздуху» взломать модем и ядро Android без взаимодействия с пользователем.

QualPwn содержит три проблемы:

• CVE-2019-10538 и CVE-2019-10539 — переполнение буфера, связанное с компонентом WLAN Qualcomm и ядром ??Android
• CVE-2019-10540 — переполнение буфера в Qualcomm WLAN и прошивке модема, который поставляется с чипами Qualcomm.

Инциденты

Мошенники выманили 3,5 млн рублей у жителя Москвы, позвонив от имени выпустившего его карту банка.

Подробной анализ похожей атаки: Антифишинг-разбор: звонок из «службы безопасности банка»

1. Преступники позвонили с номера банка. Номер был записан в телефоне владельца карты как номер клиентской службы банка.
2. Звонивший представился сотрудником банка, назвал жертву по имени отчеству и сообщил, что с его карты пытаются снять 50 тысяч рублей и предложил подтвердить блокировку этой операции.
3. Для «блокировки» жертву попросили зайти в личный кабинет и выполнить какие-то действия.
4. Мошенник сказал, что для блокировки жертва получит пароли, которые нужно назвать автоинформатору. Жертва знала, что банк предоставляет такую возможность, поэтому подозрений не возникло.
5. Жертве сказали, что придёт ещё один код для разблокировки суммы. Он ожидал его в течение полутора часов, а в это время деньги выводились в разные регионами по 100 тысяч рублей за одну транзакцию.

На хакерских форумах выставлены на продажу данные о 70 тысячах клиентах Бинбанка, похищенные при эксплуатации уязвимости в информационных системах банка.

Стоимость сведений об одном клиенте составляет 5 рублей. Записи содержат ФИО, паспортные данные, номера телефонов и адреса проживания клиентов, подавших заявку на получение кредитной карты.

Кибервымогатели удалили базы данных книжного магазина и потребовали за восстановление информации выкуп в размере 0,05 BTC (38 тысяч рублей по текущему курсу).

База данных содержжала 1,2 миллионами записей о покупках и сведения об 1 миллионе покупателей.

Успех атаки обеспечила незащищённая база MongoDB, администраторы которой не предприняли никаких мер для предотвращения подключения к ней посторонних: из-за того, что они не активировали механизм аутентификации, управлять базой мог любой человек.

Из-за ошибки в коде Twitter передавала данные пользователей без их разрешения.

Если пользователь просматривал или нажимал на рекламу в мобильном приложении либо пользовался им с мая 2018 года, компания делилась его данными с «надежными партнерами» по аналитике и рекламе, даже если пользователь не давал на это согласия. Данные включали код страны, информацию о рекламном объявлении и о взаимодействии с ним.

Атаки и уязвимости

В процессорах AMD и Intel обнаружена новая уязвимость SWAPGS (CVE-2019-1125), позволяющая обойти защиту от Spectre и Meltdown и получить доступ к данным и защищённой памяти ядра.

Атака использует механизм спекулятивного выполнения, реализуя который, процессор пытается предугадать следующую операцию и загружает соответствующую инструкцию в память процессора до того, как она потребуется.

Поскольку спекулятивное выполнение оставляет следы в кеше, злоумышленник может провести атаку по сторонним каналам и получить доступ к данным в защищенных областях памяти. В результате он может собрать информацию из кэша ЦП, анализируя поведение системы в ответ на специально подобранные запросы на загрузку данных.

Например, злоумышленник может попытаться получить доступ к паролю, загружая различные буквы и цифры и определяя, сколько времени требуется системе на их загрузку. Таким образом он может вычислить, присутствуют ли эти буквы и цифры в пароле. При наличии достаточного количества времени злоумышленник может использовать эту технику для сбора огромных объемов конфиденциальных данных.

В стандарте беспроводных подключений WPA3 обнаружены новые уязвимости, которые позволяют злоумышленникам получить доступ к данным, которыми обмениваются точки при открытии канала, а затем подобрать пароль WiFi-сети.

Уязвимость CVE-2019-13377 содержится в механизме рукопожатия WPA3 Dragonfly с использованием эллиптических кривых. Dragonfly — это механизм обмена ключами шифрования, с помощью которого маршрутизатор или точка доступа с поддержкой WPA3 осуществляет аутентификацию пользователя. Выяснилось, что механизм обмена ключами с использованием эллиптических кривых P-521 можно откатить до использования менее надежных P-256.

Уязвимость CVE-2019-13456 относится к реализации EAP-pwd во фреймворке FreeRADIUS. Как и первая уязвимость, она приводит к утечке данных, воспользовавшись которыми, злоумышленник может получить пароль для авторизации в сети Wi-Fi.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Мошенники придумывают всё новые способы обмануть людей. Вместе с психологом мы разбираем, почему эти способы бывают успешны и что делать, чтобы не стать жертвой.

Андрей Жаркевич
редактор


Ольга Лимонова
психолог

Один из массовых и популярных в последнее время способов — звонок из «службы безопасности банка».

Пример №1

Вариант такой атаки — с подделкой исходящего номера, когда у жертвы на телефоне высвечивается настоящий номер банка:

Послушайте, как разговаривают мошенники:

Пример №2

Таким же способом пытались обмануть Андрея Золотова, который не только не поддался на обман, но и рассказал эту историю на своей странице а соцсети.

рассказал эту историю на своей Facebook-странице)):

Разбор

Мы разобрали атаку мошенников по стадиям воздействия в соответствии с психологической моделью, которая разработана и используется специалистами Антифишинга:

Ниже — детальные результаты:

1. Внешний вид

• Узнаваемый авторитетный бренд, правдоподобное оформление: Номер телефона мошенников маскируется под настоящий. Во втором эпизоде у жертвы он был сохранен в записной книжке как «Поддержка ВТБ». Представляются службой безопасности банка. Используют классические шаблонные фразы сотрудников банка.
• Личное обращение: Персональное — «Золотов Андрей Васильевич», знают дату рождения.
• Атрибуция: Личная — Жертва является клиентом банка.

2. Эмоциональное воздействие

Вызываемые эмоции:

• Страх: «Вы сейчас переводили 42 тысячи Кузнецовой Марии в Самарскую область?», «Вам нужно заблокировать и перевыпустить все карты, сменить компьютер. В личный кабинет сейчас не заходите, доступ к нему мы тоже заблокировали в целях безопасности»,
• Радость/Благодарность: «Так как платеж был помечен, как сомнительный, он заморожен».

Усилители:

• Авторитет: звонок от службы безопасности крупного банка
• Срочность — платеж заморожен только на 10 минут.
• Ситуация-катастрофа: «Злоумышленники получили доступ к вашему интернет-банку и сейчас пытаются оттуда вывести деньги!»

3. Личностные черты и опыт пользователя

• Личностные черты: Нельзя определить точно. Можно лишь отметить, что бдительность автора была усыплена? и он был достаточно доброжелателен в беседе, лишь под конец проявив подозрительность. Следование исключительно собственным правилам, вне зависимости от ситуации.
• Актуальная потребность: Безопасность. Ею пытаются манипулировать сначала со стороны заботы (наиболее оптимальная тактика), затем используя уговаривание, а далее и вовсе угрозы.
• Демографические характеристики: Взрослый мужчина, программист — не лучшая аудитория среди жертв.
• Опыт столкновения с цифровыми атаками: Технически подкован и знаком с основами информационной безопасности

4. Активация внимания и мышления

• Генерализация гипотезы: Возможно это мошенники?
• Проверка гипотезы: Для этого стоит перезвонить в банк самому, прежде чем куда либо вводить код
• Оценка рисков: Перезвонить — затрата меньше чем в одну минуту. Передача данных мошенникам — потери в денежном эквиваленте.
• Глобальная оценка: Не стоит вестись на угрозы и срочность, лучше самому перезвонить в банк.

5. Реакция

• Звонок на официальный номер банка с уточнением ситуации
• Зафиксировали, с какого ip действовал мошенник, и составили заявку в службу безопасности банка

Чем хороши мошенники?

• Первичная манипуляция действиями: «проверьте свои карты — все ли они на месте». Если человек выполнил действие по указке раз, то шанс, что выполнит повторно, повышается.
• Выстраивание отношения/транзакции «Родитель» (управляющий мошенник) — «Ребенок» (подчиняющаяся, следующая указам жертва).
• Маскировка под официальный телефонный номер
• Использование классических шаблонных фраз сотрудников банка
• Ввод кода в тоновом режиме, а не голосом оператору. Это вызывает меньше подозрений, поскольку практически не используется.

Чем выдали себя мошенники?

• Срочность
• Техническая неграмотность. Устрашение «покупкой нового компьютера» — это ориентировано на пенсионеров, которые слабо ориентируются в технической среде и действительно готовы поверить и испугаться денежных затрат.
• Путаница в словах
• Эмоциональная реакция самого мошенника, проступающая на вербальном уровне

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 26 июля по 1 августа 2019 года.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Фишеры заманивают российских пользователей на сайты мошеннических опросов с помощью таргетированной рекламы на YouTube.

В ленте пользователя отображается рекламное видео с привлекательным содержанием. Это может быть платный опрос, подарки от известного бренда и другие темы.

В комментариях к видео указывается, что, хотя в интернете множество мошенников, этот сайт не такой и всё выплачивает:

В самом ролике демонстрируется прохождение всех этапов для получения денег. В процессе отмечается, что всё сделать очень просто, но для получения всей суммы обязательно нужно заплатить небольшую комиссию — «закрепительный платёж», «комиссию SWIFT-перевода» и т. п.

В конце видео — скриншот со смартфона, на котором SMS от банка о зачислении денег.

В описании к видео содержится ссылка на мошеннический сайт. Если пользователь перейдёт на него и выполнит показанные в видео действия, всё будет в точности как в ролике за исключением того, что несмотря на отправку «закрепительного платежа» или «комиссии SWIFT-перевода» желанной суммы на счёт жертва не получит.

Киберпреступная группировка Magecart использует поддельные домены Google для размещения и загрузки скиммера с поддержкой нескольких платежных шлюзов.

Пример фальшивого домена — google-аnalyt?cs[.]com. В имени этого домена одна из латинских букв «а» заменена на аналогичную по начертанию кириллическую «a». Используя такие замены, злоумышленники маскируют серверы, на которых размещается вредоносный контент, и их под пакеты, доставляемые с легитимных сайтов.

Попавшийся на удочку пользователь вместо легитимного сайта попадает на его вредоносную копию, которая похищает введённую им личную и финансовую информацию.

Отличительная черта скиммера Magecart — автоматическая подстройка под браузер: если сайт открывается в Google Chrome или Mozilla Firefox, во избежание обнаружения скиммер не будет отправлять собранные данные на C&C-сервер.

Мобильная безопасность

В iMessage обнаружена уязвимость, которая позволяет удалённо читать файлы на устройстве без участия пользователя.

Уже доступен демонстрационный эксплойт для устройств под управлением iOS 12 или более новых версий. Проблема исправлена в выпущенной на прошлой неделе iOS 12.4.

В протоколе Apple Wireless Direct Link (AWDL) обнаружены уязвимости, эксплуатация которых позволяет злоумышленникам отслеживать пользователей, вызывать сбой в работе устройств и перехватывать файлы между устройствами с помощью атаки «человек посередине» (man-in-the-middle, MitM).

AWDL лежит в основе таких сервисов Apple, как AirPlay и AirDrop, и производитель по умолчанию включает AWDL практически во всех продуктах компании — Mac, iPhone, iPad, Apple Watch, Apple TV и HomePods.

На видео: установка вредоносного ПО путём перехвата и подмены файла, передаваемого через AirDrop

Эксперты, проводившие изучение протокола, обнаружили, что

• MitM-атаки позволяют перехватывать и изменять файлы, передаваемые через AirDrop, что может использоваться для установки малвари;
• уязвимые устройства можно отслеживать, несмотря на рандомизацию MAC-адресов. Более чем в 75% случаев это раскрывает личные данные, в том числе имя владельца устройства;
• возможно проведение DoS-атак, направленных на выборный механизм AWDL, что позволит помешать установлению связи с другими AWDL-устройствами;
• две классические DoS-атаки могут быть нацелены на реализации Apple AWDL в ??драйвере Wi-Fi.Такие атаки позволят вызывать отказ в обслуживании у ближайших устройств Apple. Атаки могут быть направлены как на одну жертву, так и одновременно воздействовать на все ближайшие устройства.

Перспективной с точки зрения внедоносного применения выглядит уязвимость, позволяющая шпионить за пользователями, поскольку даёт возможность узнать имя хоста и его реальный MAC-адрес, определить, к какой точке доступа подключено устройство, выяснить его класс (iOS, watchOS, macOS, tvOS) и версию протокола AWDL. Используя эти данные, можно создать профили, а затем отслеживать людей с помощью их устройств и продавать эти данные рекламодателям и сервисам аналитики.

Протокол реализован на более чем 1,2 млрд устройств Apple.

В ОС Android обнаружена критическая уязвимость, позволяющая злоумышленникам получить доступ к устройствам пользователей с помощью вредоносного видеофайла.

1. Злоумышленник может скомпрометировать устройство с помощью вредоносного видеофайла, отправив его по электронной почте.
2. Как только пользователь откроет файл во встроенном видеоплеере, злоумышленник получит доступ к устройству жертвы.
3. Источник проблем — ошибки в медиафреймворке, которые позволяют выполнить произвольный код в контексте привилегированного процесса.
4. Успешная эксплуатация уязвимости возможна при условии, что пользователь загрузит вредоносное видео в исходном виде, а не через мессенджеры или сервисы, которые которые перекодируют видео — YouTube, WhatsApp, Viber и другие.

Атаке подвержены устройства с Android версий с 7.0 до 9.0 (Nougat, Oreo и Pie).

Атаки и уязвимости

Обнаружена уязвимость, которая позволяет злоумышленникам обойти ограничение на списание крупных сумм бесконтактным способом с карт Visa.

Как правило, бесконтактные карты при оплате суммы, превышающей установленный лимит, требуют ввести PIN-код. Например, в Великобритании этот лимит составляет 30 фунтов стерлингов. Если украсть карту и попытаться провести несколько транзакций на большие суммы, то банк её заблокирует.

Выяснилось, что существует два способа обойти это ограничение

1. Использование специального аппарата для перехвата и замены сообщений в канале связи между картой и считывающим устройством. С его помощью на карту посылался ложный сигнал о списании суммы менее лимита, а на терминал — сообщение о верификации, проведенной другим способом. Данная уязвимость затрагивает только карты Visa, поскольку в других платежных системах большие транзакции подтверждаются только PIN-кодом.
2. Два мобильных телефона. Один телефон собирал с карты так называемую криптограмму платежа, гарантирующую подлинность будущих транзакций. Второй — принимал криптограмму и имитировал карту.

Инциденты

Неизвестный мошенник похитил личные данные 106 млн клиентов американского банковского холдинга Capital One.

Из-за неправильной настройки облачного хранилища в руках преступника оказались истории транзакций, кредитные рейтинги и номера социального страхования жертв. Помимо финансовых, злоумышленник завладел личными данными: телефонными номерами, именами, адресами, почтовыми индексами, датами рождения и сведениями о доходах.

Жертвами атаки стали около 100 млн человек в США и примерно 6 млн — в Канаде. Преступник также узнал номера социального страхования 140 тыс. клиентов банка в США и порядка 1 млн канадских граждан.

Компания оценила ущерб от атаки в 100—150 млн долларов США.

Арестованы хакеры, взломавшие более чем 1000 учетных записей Telegram.

В числе пострадавших от взломов были высокопоставленные правительственные чиновники, включая президента Бразилии Жаира Болсонару, а также министра юстиции Сержиу Мору и министра экономики Пауло Гуэдеса. Другие политики более низкого ранга, такие как конгрессмен Джойс Хассельманн тоже утверждают, что подвергались атакам.

Атака базируется на том, что мессенджеры позволяют пользователям получать одноразовые коды доступа по SMS и виде голосовых сообщений. Если номер занят другим вызовом, или пользователь не отвечает на вызов три раза подряд, одноразовый код перенаправляется на учетную запись голосовой почты пользователя, откуда его легко извлечь, поскольку большая часть людей не меняет установленный по умолчанию пароль «0000» «1234».

1. Хакеры установили на свои устройства Telegram, указав номера телефонов известных политиков.
2. Затем они запрашивали аутентификацию посредством голосового сообщения, и в это время принимались звонить на телефоны получателей, чтобы одноразовый код доступа точно был направлен в голосовую почту.
3. Далее мошенники имитировали телефонные номера жертв с помощью VoIP, использовали пароль по умолчанию для доступа к учетной записи голосовой почты, получали одноразовый код и привязывали учетную запись Telegram жертвы к своему устройству, получая доступ к аккаунту и всей истории его сообщений.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.