{
    "version": "https:\/\/jsonfeed.org\/version\/1",
    "title": "Блог Start X: заметки с тегом й",
    "_rss_description": "как поведение людей влияет на безопасность Наши продукты • Дайджесты • Статьи • Список постов",
    "_rss_language": "ru",
    "_itunes_email": "",
    "_itunes_categories_xml": "",
    "_itunes_image": "",
    "_itunes_explicit": "",
    "home_page_url": "https:\/\/blog.startx.team\/tags\/y\/",
    "feed_url": "https:\/\/blog.startx.team\/tags\/y\/json\/",
    "icon": "https:\/\/blog.startx.team\/user\/userpic@2x.jpg?1687861408",
    "author": {
        "name": "Start X",
        "url": "https:\/\/blog.startx.team\/",
        "avatar": "https:\/\/blog.startx.team\/user\/userpic@2x.jpg?1687861408"
    },
    "items": [
        {
            "id": "183",
            "url": "https:\/\/blog.startx.team\/all\/digest-167\/",
            "title": "Антифишинг-дайджест № 167 с 17 по 23 апреля 2020 года",
            "content_html": "<p main>\r\n    <i>Представляем новости об актуальных технологиях фишинга и других атаках на человека c 17 по 23 апреля 2020 года<\/i>\r\n    <br \/>\r\n<\/p>\n<p aside style=\"opacity: 1; text-align: center;\">\r\n    <img src=\"\/pictures\/andrey2.jpg\" width=\"40%\" \/> <br \/>\r\n    <a href=\"mailto:digest@antiphish.ru\">Андрей Жаркевич<\/a><br \/> редактор<br \/><br \/>\r\n<img src=\"https:\/\/blog.antiphish.ru\/pictures\/artemy.png\" width=\"40%\"\/> <br \/>\r\n<a href=\"mailto:ab@antiphish.ru\">Артемий Богданов<\/a><br \/>технический директор<br \/><br \/>\r\n<img src=\"https:\/\/blog.antiphish.ru\/pictures\/svoldokhin_new.jpg\" width=\"40%\"\/> <br \/>\r\n<a href=\"mailto:sv@antiphish.ru\">Сергей Волдохин<\/a> <br \/>\r\nвыпускающий редактор\r\n<\/p>\n<style>\r\n    ._line {\r\n        margin: 1em 0;\r\n        height: 1px;\r\n        background: black;\r\n        background: -webkit-gradient(linear, 0 0, 100% 0, from(#fff), color-stop(20%, #d9d9d9), color-stop(80%, #d9d9d9), to(#fff));\r\n        width: 80%;\r\n    }\r\n.vk_groups {\r\n         overflow: hidden;\r\n}\r\n<\/style>\n<h2>Атаки и уязвимости<\/h2>\n<p><a href=\"https:\/\/blog.zecops.com\/vulnerabilities\/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild\/\">В iOS обнаружены уязвимости, эксплуатация которых позволяет получить доступ к устройству, просто отправив жертве вредоносное письмо<\/a>.<\/p>\n<p><img src=\"\/pictures\/iphone-hacking-CR.jpg\"><\/p>\n<p>Обе уязвимости находятся в библиотеке приложения «Почта». Для проведения атаки злоумышленникам достаточно отправить жертве вредоносное письмо. Как только Apple Mail получит почту в фоновом режиме или пользователь откроет Apple Mail, вредоносный код сработает.<\/p>\n<div class=\"e2-text-picture\">\n<img src=\"https:\/\/blog.startx.team\/pictures\/iOS-0Day-infographic-v3@2x.jpg\" width=\"2374\" height=\"976\" alt=\"\" \/>\n<\/div>\n<p>У пользователя нет возможности узнать, что он стал жертвой атаки, поскольку злоумышленники удаляют вредоносные письма сразу после успешной атаки и получения удаленного доступа к устройству.<\/p>\n<p>Gmail и другие почтовые клиенты атаке не подвержены, поэтому пока Apple не выпустила исправление для ошибки, рекомендуется <a href=\"https:\/\/blog.malwarebytes.com\/mac\/2020\/04\/ios-mail-bug-allows-remote-zero-click-attacks\/\">отключить Mail в настройках устройства<\/a>.<\/p>\n<div class=\"_line\"><\/div><p><a href=\"https:\/\/www.volexity.com\/blog\/2020\/04\/21\/evil-eye-threat-actor-resurfaces-with-ios-exploit-and-updated-implant\/\">Ещё одна уязвимость в iOS получившая название Insomnia, предоставляла злоумышленникам неограниченный доступ к устройству<\/a>.<\/p>\n<div class=\"e2-text-picture\">\n<img src=\"https:\/\/blog.startx.team\/pictures\/Uyghur-iPhone-Diagram-R1.png\" width=\"2560\" height=\"1285.3556485356\" alt=\"\" \/>\n<\/div>\n<p>Для заражения достаточно было посетить вредоносный сайт, код которого эксплуатировал уязвимость в движке WebKit, который используют мобильные браузеры Apple Safari, Google Chrome и Microsoft Edge. Получив доступ к устройству, злоумышленники похищали незашифрованные сообщения из различных мессенджеров и электронной почты, фотографии, списки контактов и данные о местоположении.<\/p>\n<p>Insomnia работает против iOS версий 12.3, 12.3.1 и 12.3.2. Компания Apple исправила уязвимость в июле 2019 года в iOS 12.4.<\/p>\n<div class=\"_line\"><\/div><p><a href=\"https:\/\/insinuator.net\/2020\/04\/cve-2020-0022-an-android-8-0-9-0-bluetooth-zero-click-rce-bluefrag\/\">В реализации Bluetooth-протокола в Android 8 и 9 обнаружена уязвимость BlueFrag (CVE-2020-0022). которая позволяет взломать устройство незаметно для пользователя<\/a>.<\/p>\n<div class=\"e2-text-video\">\n<iframe src=\"https:\/\/www.youtube.com\/embed\/lrZnZNyEqFg?enablejsapi=1\" allow=\"autoplay\" frameborder=\"0\" allowfullscreen><\/iframe>\n<\/div>\n<p>Для атаки используется тот факт, что в большинстве реализаций Bluetooth устройства отвечают на Bluetooth-пинг. Но даже если устройство не даёт ответа, оно всё-таки принимает соединения, адресованные ему. Таким образом, получив адрес устройства и используя утилиту l2ping, которая устанавливает L2CAP-соединение, достаточно отправить эхо-запросы c фрагментированными пакетами большого размера, чтобы вызвать переполнение буфера и выполнить код, причём владелец устройства ничего не заметит.<\/p>\n<div class=\"_line\"><\/div><p><a href=\"https:\/\/github.blog\/2020-04-14-sawfish-phishing-campaign-targets-github-users\/\">Организаторы фишинговой кампании Sawfish против пользователей GitHub научились перехватывать коды двухфакторной аутентификации<\/a>.<\/p>\n<p><img src=\"\/pictures\/GitHub-phish-Alert.png\"><\/p>\n<ol start=\"1\">\n<li>В качестве цели выбираются активные пользователи из крупных технологических компаний.<\/li>\n<li>Атака начинается с фишингового письма с фальшивым предупреждением о подозрительной активности учётной записи или о странных изменениях в репозитории.<\/li>\n<li>Письма обычно приходят с легитимных доменов, которые были взломаны. В списке присутствуют: git-hub[.]co, githb[.]co, glthub[.]net, glthubs[.]com и corp-github[.]com.<\/li>\n<li>Чтобы разобраться с ситуацией, нужно перейти по ссылке в письме.<\/li>\n<li>Ссылка ведёт на фальшивую страницу входа в GitHub, которая собирает учётные данные жертвы и отправляет их злоумышленникам.<\/li>\n<li>Страница перехватывает коды двухфакторной аутентификации, созданные с помощью TOTP-приложения (time-based one-time password). Пользователи, использующие аппаратные ключи безопасности, для атаки неуязвимы.<\/li>\n<\/ol>\n<div class=\"_line\"><\/div><p><a href=\"https:\/\/blog.talosintelligence.com\/2020\/04\/poetrat-covid-19-lures.html\">Киберпреступники используют фишинговые письма на тему пандемии COVID-19 для проведения целевых атак на государственный и энергетический секторы Азербайджана<\/a>.<\/p>\n<p><img src=\"\/pictures\/azer-image14.png\"><\/p>\n<p>Письма содержат вложения в формате Word, при открытии которых возникают различные сложности. Например, текст документа может быть размыт, а для того, чтобы прочитать его, необходимо разрешить макросы. Когда жертва делает это, на компьютер загружается и устанавливается программа для удалённого управления компьютером PoetRAT, которая даёт оператору полный контроль над системой, позволяя копировать конфиденциальные документы, перехватывать нажатия клавиш, пароли и снимки веб-камеры.<\/p>\n<h2>Хроники киберпандемии<\/h2>\n<p><a href=\"https:\/\/labs.bitdefender.com\/2020\/04\/oil-&-gas-spearphishing-campaigns-drop-agent-tesla-spyware-in-advance-of-historic-opec+-deal\/\">Инфостилер Agent Tesla использует целевой фишинг для атак на нефтегазовые предприятия<\/a>.<\/p>\n<p>Злоумышленники отправляют жертвам электронные письма от имени логистических компаний и инженерных подрядчиков. После успешного заражения Agent Tesla собирает информацию о системе, похищает данные из буфера обмена, отключает антивирусы решения и «убивает» другие процессы, которые могут представлять для него угрозу.<\/p>\n<div class=\"e2-text-picture\">\n<img src=\"https:\/\/blog.startx.team\/pictures\/Enppi_phishing-1.png\" width=\"1024\" height=\"815\" alt=\"\" \/>\n<\/div>\n<p><img src=\"\/pictures\/Rosetta_Sharing.png\"><\/p>\n<p>В одном из случаев злоумышленники отправляли жертвам фишинговые письма от имени египетской государственной нефтяной компании ENPPI (Engineering for Petroleum and Process Industries).<\/p>\n<div class=\"e2-text-picture\">\n<img src=\"https:\/\/blog.startx.team\/pictures\/Sinar_Maluku_Phishing-1.png\" width=\"1024\" height=\"490\" alt=\"\" \/>\n<\/div>\n<div class=\"e2-text-picture\">\n<img src=\"https:\/\/blog.startx.team\/pictures\/Sinar_Maluku_Tanker.png\" width=\"967\" height=\"756\" alt=\"\" \/>\n<\/div>\n<p>В другом случае фишеры имитировали компанию-перевозчика, использовав в письме достоверную информацию о танкере и профессиональный жаргон.<\/p>\n<div class=\"_line\"><\/div><p><a href=\"https:\/\/maxkersten.nl\/binary-analysis-course\/malware-analysis\/corona-locker\/\">Блокировщик CoronaLocker распространяется вод видом программы для взлома Wi-Fi<\/a>.<\/p>\n<p><img src=\"\/pictures\/CoronaLockerlegal-notice.jpg\"><\/p>\n<p>После загрузки и запуска файла winhacker.exe на компьютер извлекается множество VBS-файлов, обеспечивающих целый набор раздражающих функций CoronaLocker. Например, файл speakwh.vbs использует синтез речи для постоянного повторения слова «coronavirus». После установки компьютер перезагружается и блокировщик сообщает, что «вы заражены коронавирусом»:<\/p>\n<div class=\"e2-text-video\">\n<iframe src=\"https:\/\/player.vimeo.com\/video\/409974286\" allow=\"autoplay\" frameborder=\"0\" allowfullscreen><\/iframe>\n<\/div>\n<h2>Инциденты<\/h2>\n<p>В результате целевой атаки с компрометацией деловой переписки (BEC) <a href=\"https:\/\/thehackernews.com\/2020\/04\/bec-scam-wire-transfer-money.html\">три британские инвестиционные компании перевели мошенникам 1,3 миллиона долларов США<\/a>.<\/p>\n<p><img src=\"\/pictures\/business-email-compromise-cyberattack.jpg\"><\/p>\n<p>В процессе атаки преступники направляли руководителям компаний письма с доменов, имена которых похожи на домены нескольких перспективных стартапов, а затем, используя социальную инженерию, убедили их перевести деньги на свои счета.<\/p>\n<p>Злоумышленники успели получить лишь 700 тыс. долларов США, перевод остальных средств был заблокирован.<\/p>\n<div class=\"_line\"><\/div><p><a href=\"https:\/\/www.infosecurity-magazine.com\/news\/unicredit-workers-data-for-sale\/\">На продажу в Даркнете выставлена база с данными тысяч сотрудников банка UniCredit<\/a>.<\/p>\n<p><img src=\"\/pictures\/immagine.png\"><\/p>\n<p>Тестовый фрагмент, предлагаемый неизвестным румынским хакером «для ознакомления» за 1000 долларов США, содержит сведения о 3000 сотрудников. За все 150 тыс. записей преступник требует 10 тыс. долларов США.<\/p>\n<p><img src=\"\/pictures\/immagine-1.png\"><\/p>\n<p>Каждая запись включает имена, адреса электронной почты, номера телефонов и зашифрованные пароли.<\/p>\n<div style=\"padding: 2em; background-color: cornsilk; width: 80%; margin-bottom: 1em;\" class=\"wrapper\"><div class=\"castom-wrapper\"><div class=\"castom-img\"><p><a href=\"https:\/\/www.antiphish.ru\/\"><br \/>\n<img src=\"https:\/\/blog.antiphish.ru\/pictures\/af-logo-blue-200.png\" class=\"ico-antph\"><br \/>\n<\/a><\/p>\n<\/div><div class=\"castom-text\"><p><b>О компании «<a href=\"https:\/\/www.antiphish.ru\/\">Антифишинг<\/a>»<\/b><br \/>\n<br>Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.<br \/>\n<br><br><br \/>\nЗаполните <a href=\"https:\/\/www.antiphish.ru\/\">форму на сайте<\/a> или <a href=\"mailto:ask@antiphish.ru\">напишите нам<\/a>, чтобы обучить и проверить своих сотрудников.<\/p>\n<\/div><\/div><\/div><link href=\"\/\/cdn-images.mailchimp.com\/embedcode\/classic-10_7.css\" rel=\"stylesheet\" type=\"text\/css\">\r\n    <style type=\"text\/css\">\r\n        #mc_embed_signup{background:#fff;clear:left;font:14px Helvetica,Arial,sans-serif;width:600px;max-width: 100%;}\r\n        .castom-wrapper {display: flex;}\r\n        .castom-img {order: 1;width: 20%;}\r\n        .castom-img > a {border: none;display: block;}\r\n        .castom-text {width: 80%;padding: 0 1em .6em 0;}\r\n        .ico-antph {max-width: none;height: 200px;width: 163px;}\r\n        @media screen and (max-width: 800px) {\r\n            .castom-wrapper {display: block;}\r\n            .castom-img {float: right;width: 20%;}\r\n            .castom-text {width: 100%;padding: 0 1em .6em 0;}\r\n            .wrapper {width: 100% !important;}\r\n            .ico-antph {max-width: 100%;}\r\n        }\r\n    <\/style>\r\n    <div style=\"padding: 2em; border: 2px solid #1996D4; width: 80%;\" class=\"wrapper\">\r\n        <b>\r\n            <a href=\"tg:\/\/resolve\/?domain=antph\">Телеграм-канал Антифишинга<\/a>\r\n            <br>\r\n        <\/b>\r\n        <div class=\"castom-wrapper\">\r\n            <div class=\"castom-img\">\r\n                <a href=\"tg:\/\/resolve\/?domain=antph\">\r\n                    <img src=\"https:\/\/blog.antiphish.ru\/pictures\/iconfinder_social-56_1591869.png\" \r\n                    style=\"max-width: 100%;\">\r\n                <\/a>\r\n            <\/div>\r\n            <div class=\"castom-text\">\r\n                <span>Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.<\/span>\r\n                <br><br>\r\n                <span>Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.\r\n                <\/span>\r\n            <\/div>\r\n        <\/div>\r\n    <\/div>\r\n    <br>\r\n    <div style=\"padding: 2em; border: 2px solid #4CAF50; width: 80%;\" class=\"wrapper\">\r\n        <b>Оставайтесь в безопасности<\/b>\r\n        <p>Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.<\/p>\n<div id=\"mc_embed_signup\"><p><form action=\"https:\/\/antiphish.us12.list-manage.com\/subscribe\/post?u=5bc2379b1c3f318ccd3523105&amp;id=9663ee2d1b\" method=\"post\" id=\"mc-embedded-subscribe-form\" name=\"mc-embedded-subscribe-form\" class=\"validate\" target=\"_blank\" novalidate=\"\" style=\"padding: 0px;\"><\/p>\n<div id=\"mc_embed_signup_scroll\"><div class=\"mc-field-group\"><p><label for=\"mce-EMAIL\">Эл. почта: <\/label><br \/>\n<input type=\"email\" value=\"\" name=\"EMAIL\" class=\"required email\" id=\"mce-EMAIL\"><\/p>\n<\/div><div id=\"mce-responses\" class=\"clear\"><div class=\"response\" id=\"mce-error-response\" style=\"display:none\"><\/div><div class=\"response\" id=\"mce-success-response\" style=\"display:none\"><\/div><\/div><!-- real people should not fill this in and expect good things - do not remove this or risk form bot signups--><div style=\"position: absolute; left: -5000px;\" aria-hidden=\"true\"><p><input type=\"text\" name=\"b_5bc2379b1c3f318ccd3523105_9663ee2d1b\" tabindex=\"-1\" value=\"\"><\/p>\n<\/div><div class=\"clear\"><p><input type=\"submit\" value=\"Подписаться\" name=\"subscribe\" id=\"mc-embedded-subscribe\" class=\"button\"><\/p>\n<\/div><\/div><p><\/p>\n<p><\/form><br><\/p>\n<\/div><p><br><\/p>\n<\/div><p><br \/><\/p>\n<script type=\"text\/javascript\" src=\"https:\/\/vk.com\/js\/api\/openapi.js?162\"><\/script>\n<!-- VK Widget --><div id=\"vk_groups\" class=\"vk_groups\" style=\"overflow:hidden\"><\/div><script type=\"text\/javascript\">\r\nVK.Widgets.Group(\"vk_groups\", {mode: 1, width: \"400\", overflow: \"hidden\"}, 185030667);\r\n<\/script>\n",
            "date_published": "2020-04-23T21:53:16+03:00",
            "date_modified": "2020-07-24T15:43:07+03:00",
            "image": "https:\/\/blog.startx.team\/pictures\/iOS-0Day-infographic-v3@2x.jpg",
            "_date_published_rfc2822": "Thu, 23 Apr 2020 21:53:16 +0300",
            "_rss_guid_is_permalink": "false",
            "_rss_guid": "183",
            "_e2_data": {
                "is_favourite": false,
                "links_required": [
                    "system\/library\/jquery\/jquery.js",
                    "system\/library\/media-seek\/media-seek.js"
                ],
                "og_images": [
                    "https:\/\/blog.startx.team\/pictures\/iOS-0Day-infographic-v3@2x.jpg",
                    "https:\/\/blog.startx.team\/pictures\/Uyghur-iPhone-Diagram-R1.png",
                    "https:\/\/blog.startx.team\/pictures\/remote\/youtube-lrZnZNyEqFg-cover.jpg",
                    "https:\/\/blog.startx.team\/pictures\/Enppi_phishing-1.png",
                    "https:\/\/blog.startx.team\/pictures\/Sinar_Maluku_Phishing-1.png",
                    "https:\/\/blog.startx.team\/pictures\/Sinar_Maluku_Tanker.png",
                    "https:\/\/blog.startx.team\/pictures\/remote\/vimeo-409974286-cover.jpg"
                ]
            }
        }
    ],
    "_e2_version": 3820,
    "_e2_ua_string": "E2 (v3820; Aegea)"
}