Блог компании Антифишинг

как поведение людей влияет на безопасность

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 16 по 22 августа 2019 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Мошенники похищают учётные данные пользователей Microsoft 365 c помощью фишинговых страниц, брендированных в стиле целевой организации.

  1. Атака начинается с фишингового письма, сообщающего о непрочитанных сообщениях. Чтобы прочитать их, нужно перейти по ссылке.
  2. Фишинговые страницы размещаются в облачных хранилищах Microsoft Azure Blob Storage и Microsoft Azure Web Sites, чтобы замаскировать сайт под официальную страницу входа Microsoft, защищённую сертификатом SSL.
  3. Для каждой из потенциальных жертв мошенники сверяют адреса пользователей со своей базой данных, чтобы добавить на фишинговую страницу логотип и фирменный фон компании-владельца почтового домена. Таким образом создаётся довольно убедительная страницу сбора учетных данных, привычную для пользователя:

Авторы другой атаки выманивают учётные данные пользователей Office 365 с помощью специальных страниц для отображения ошибок 404.

  1. Мошенники регистрируют домен, но размещают на нём не обычную фишинговую страницу, а специальную страницу 404, которая отображается, если веб-сервер не может найти запрошенный адрес.
  2. Вместо сообщения 404 Not Found показывается фишинговая страница в форме поддельного окна аутентификации в учетной записи Microsoft, которое совпадает с легитимной страницей вплоть до мельчайших деталей.
  3. Единственные элементы, которых нет на фишинговой странице — ссылка «Параметры входа» над кнопкой «Далее» и уведомление о файлах cookie в верхней части.
  4. В результате злоумышленники имеют бесконечное количество URL-адресов фишинговых страниц, созданных с помощью одного зарегистрированного домена.

В еще одной атаке против пользователей Office 365 киберпреступники рассылают электронные письма, замаскированные под сообщения голосовой почты и перенаправляют жертву на скомпрометированный сайт при помощи механизма «MetaMorph Obfuscation».

Атака начинается с электронного письма, имитирующего уведомление голосовой почты Office 365:

Чтобы затруднить выявление опасного контента, большая часть текста в теле сообщения располагается в изображениях, а получателю предлагают открыть приложенный к письму HTML-файл, чтобы прослушать послание.

Обычно злоумышленники размещают адрес страницы в специализированных HTML-тегах типа «a href» (ссылка) или «script» (JavaScript-сценарий). Документы с подобными вложениями легко выявляются и блокируются встроенными в MS Office средствами защиты. В случае с MetaMorph Obfuscation киберпреступники используют оператор «meta» с параметром http-equiv=«refresh», который позволяет принудительно открыть целевой сайт:

Вредоносный документ запускается в браузере и переадресует жертву на принадлежащий мошенникам ресурс.

Сайт, копирующий оформление страницы авторизации Office 365, предлагает посетителю ввести логин и пароль своей учетной записи.

Чтобы убедиться, что логин и пароль введены правильно, страница запрашивает повторный ввод пароля, уведомляя о том, что в первый раз что-то введено неправильно. Полученные данные пересылаются на сервер злоумышленников.

Весь алгоритм не вызывает подозрения у защитных систем, поскольку вредоносная ссылка скрыта в метатеге документа.

В рамках фишинговой атаки против энергетической компании преступники воспользовались легитимной функцией Google Drive, что обойти защитные системы и заманить сотрудников на вредоносную страницу.

Злоумышленники разместили на облачном сервисе Google сообщение якобы от главы атакуемой организации с описанием бизнес-проекта, к обсуждению которого приглашались сотрудники. За подробностями обсуждения нужно было перейти на страницу с фишинговой формой и ввести свои учётные данные.

Ссылку на файл отправили всем пользователям через функцию Google Drive «Поделиться». Этот легитимный механизм не вызывает вопросов у почтовых фильтров, а системы защиты от фишинга не могут проверить контент, на который ведут такие уведомления.

Кибермошенники воруют учетные записи Steam с помощью фишингового сайта с «бесплатными раздачами игр».

Преступники рассылают сообщения о возможности получить бесплатную игру в Steam. Для этого предлагается зайти на сайт steamsafe.fun и ввести промо-код:

Сайт steamsafe.fun перенаправляет жертву на один из сайтов злоумышленников с бесплатными раздачами игр в Steam.

Пользователю предлагают нажать кнопку «Roll», чтобы покрутить рулетку и случайно выиграть бесплатную игру. В числе возможных выигрышей PUBG, CSGO, Tropico 4, ARK: Survival Evolved, Assassin's Creed и другие.

После «выигрыша» сайт отобразит часть ключа игры. Для его получения требуется авторизация в Steam.

Как только пользователь нажмет кнопку входа в систему, отобразится поддельная страница авторизации в учетную запись Steam (Steam single sign-on), размещенная на сайте мошенников.

Если жертва введет учетные данные, мошенники используют их для авторизации в учетной записи Steam пользователя, после чего появится окно мобильного аутентификатора Steam Guard и запросит специальный код. Таким образом преступники обоходят двухфакторную аутентификацию и получают полный доступ к аккаунту.

Далее атака выполняется автоматически: мошеннический сайт самостоятельно входит в учетные записи, меняет пароль, привязанный адрес электронной почты и номер телефона. После этого злоумышленники используют украденную учетную запись для дальнейшего распространения мошенничества среди друзей жертвы и для потенциальной кражи предметов из инвентаря пользователей в Steam.

«Умные» устройства

Обнаружена мошенническая кампания с использованием особенностей работы голосовых помощников.

  1. Мошенники создают поддельные номера поддержки для известных брендов и оплачивают их попадание в верхние позиции поисковой выдачи.
  2. Жертва просит Siri, Google Home или Алексу найти номер телефона компании, которой принадлежит бренд.
  3. Голосовой помощник запускает поиск, находит вместо правильного телефона номер мошенников и звонит им.
  4. Мошенники общаются с жертвой, пока не добьются получения денег.

Приводятся реальные случаи:

Женщину, которая пыталась позвонить в авиакомпанию, чтобы поменять место, заставили заплатить 400 долларов США подарочными картами, убедив её, что авиакомпания проводит акцию.

Другой человек с помощью Siri позвонил в «службу технической поддержки», чтобы получить помощь с принтером, но добился лишь уменьшения денег на счёте.

Атаки и уязвимости

Злоумышленники могут перехватить содержимое набираемого на клавиатуре текста, анализируя звук нажатия клавиш с помощью программы на смартфоне.

В эксперименте, воспроизводящем реальную жизненную ситуацию, в конференц-зале разместили несколько человек, которые разговаривали друг с другом и делали заметки на ноутбуке. На одном столе с ноутбуком или компьютером находилось до 8 смартфонов, расположенных на расстоянии от нескольких сантиметров до нескольких метров. Участники эксперимента могли исправлять ошибки набора или исправлять их по своему усмотрению.

Оказалось, что использование стандартных сенсоров смартфона в сочетании со специальной программой позволяет за несколько секунд распознать набираемый текст с точностью до 41%. Для успешной атаки требуется знать, из какого материала изготовлена столешница, на которой размещена клавиатура, поскольку деревянные и металлические поверхности звучат по-разному.

Эта разновидность атак чрезвычайно опасна, поскольку у жертвы нет даже теоретической возможности понять, что набранный ей текст перехвачен.

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Представляем новости об актуальных технологиях фишинга и других атаках на человека c 9 по 15 августа 2019 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Мошенники использовали SMS-фишинг для кражи личной информации, сведений о счетах и кредитных картах жителей Израиля.

Пользователь получал SMS от имени банка с уведомлением о подозрительной активности в аккаунте и просьбой авторизоваться для идентификации, перейдя по ссылке:

По ссылке пользователь попадал на фишинговую страницу банка на скомпрометированном сайте, где предлагается ввести логин и пароль, ФИО, е-мейл, параметры кредитной карты и другую информацию:

После ввода информации фишинговый сайт благодарил пользователя и перенаправлял на настоящую страницу банка:

Вредоносное ПО

Вредонос Varenyky рассылает спам и записывает всё происходящее на заражённом компьютере во время посещения порносайтов.

  1. Varenyky распространяется через фишинговые письма, содержащие во вложении поддельные счета на оплату в виде документов MS Word.
  2. Текст письма написан на хорошем французском языке и не вызывает подозрений.
  3. Когда пользователь открывает документ, он получает сообщение, что документ «защищён и требует проверки, что его открывает человек». На экране с этим сообщением имеются указания по поводу того, как пройти эту проверку — нужно отключить защиту и разрешить выполнение макросов:

Сразу после будет выполнен VBA-макрос, который проверяет страну проживания жертвы, и если это Франция, загружает тело вредоноса и запускает его:

Мобильная безопасность

Android-малварь Cerberus позволяет злоумышленникам установить полный контроль над зараженными устройством, делая его частью ботнета, использует оверлеи для хищения данных, контролирует SMS и извлекает список контактов.

Фрагмент административной панели ботнета

Cerberus распространяется по модели «вредонос как сервис». При первом запуске он скрывает свой значок и запрашивает дополнительные права под видом Flash Player Service:

Если жертва предоставляет это разрешение, Cerberus самостоятельно выдает себе права на отправку сообщений и телефонные звонки, а также отключает встроенное защитное решение Google Play Protect, чтобы избежать блокировки.

Cerberus содержит функции кейлоггера и умеет создавать оверлеи — невидимые окна, которые и позволяют ему перехватывать пользовательские данные из более чем 30 приложений, в том числе банковских:

Для противодействия запуску в отладочной среде Cerberus использует акселерометр, начиная свою работу лишь после того, как насчитал определённое количество шагов пользователя.

Атаки и уязвимости

В фотокамерах Canon обнаружено шесть уязвимостей, эксплуатация которых позволяет захватить контроль над устройством и внедрить на устройство вредоносное ПО, в том числе и через Wi-Fi, если камера поддерживает его.

Видео: демонстрация атаки на камеру:

В системе продажи электронных билетов British Airways обнаружена уязвимость, с помощью которой злоумышленник может просмотреть персональные данные пассажира или изменить информацию о бронировании.

  1. Пытаясь упростить пользователям регистрацию, авиакомпания добавляла идентификационный номер пассажира и его имя прямо в параметры URL в ссылках на регистрацию в электронных письмах.
  2. Исследователи утверждают, что «ссылки не были зашифрованы», что давало злоумышленникам возможность перехватить их (например, находясь в одной Wi-Fi-сети с жертвой, которая переходит по ней из письма).

К сожалению, в исследовании не приводится пример исходного письма с «незашифрованной ссылкой». Вероятно, имелась ввиду ссылка на HTTP — хотя в форме регистрации на сайте видно, что используется уже защищенное подключение по протоколу HTTPS:

Инциденты

В открытом доступе обнаружена база данных ElasticSearch, содержащая около 28 млн записей с биометрическими данными.

База данных принадлежит южнокорейской компании Suprema, разработчику системы контроля и управления доступом Biostar 2, которая используется в 6 тысячах организаций из 83 стран мира.

Записи содержали отпечатки пальцев, данные для распознавания лиц, незашифрованные логины и пароли администраторов и другую информацию.

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Представляем новости об актуальных технологиях фишинга и других атаках на человека cо 2 по 8 августа 2019 года.


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Сайты, почта и мессенджеры

Пользователи из Германии стали целью новой фишинговой кампании, в которой для кражи учетных данных используются PDF-документы.

Мошенники рассылают поддельные документы «от Amazon», для просмотра которых пользователю предлагают авторизоваться через свою учетную запись Amazon Seller:

Форма при открытии вложенного в электронное письмо PDF-документа на самом деле создается помощью JavaScript-кода, встроенного в сам документ и отправляет учетные данные пользователя на сервер мошенников:

«Одним из векторов атак, который можно легко упустить из виду, является похищение учетных данных через документы с активированными скриптами JavaScript. Метод атаки основывается не на использовании вредоносных ссылок или спуфинге доменов, а на скриптах в документах, обеспечивающих такой же результат».

Tomislav Pericin, ReversingLabs

На конференции BlackHat 2019 обнародован cпособ взлома WhatsApp, благодаря которому злоумышленник может изменить текст сообщения или личность отправителя этого сообщения.

В процессе исследования эксперты компании CheckPoint сумели воссоздать три сценария атаки:

Первая атака позволяет изменить имя отправителя и текст сообщения в групповом чате:

Вторая атака позволяет подменить цитату ответного сообщения собеседника:

Третья атака позволяла отправить личное сообщение, замаскированное под публичное, причём, когда респондент ответит на него, оно появляется в общем чате. На момент обнародования исследования WhatsApp исправил эту уязвимость.

Авторы новой мошеннической схемы используют посетителей сайтов знакомств для отмывания преступных средств.

  1. Мошенник знакомится с жертвой на сайте и входит к ней в доверие.
  2. Вскоре он предлагает перейти к общению по электронной почте или на стороннем сервисе, где убеждает жертву, что он гражданин США, но сейчас живёт в другой стране.
  3. Затем мошенник доверительно сообщает, что реализует перспективный бизнес-проект и уже нашёл для него инвестора, но инвестору необходим банковский счёт в США, поэтому без помощи жертвы ему не обойтись.
  4. Жертва открывает банковский счёт, а поступающие на него средства передаёт мошеннику до тех пор, пока банк не заблокирует счёт.

Вредоносное ПО

Вредонос GermanWiper распространяется через вредоносные письма, затирает содержимое файлов нулями и вымогает выкуп в размере 0,15 BTC (около 114 тысяч рублей).

Различные варианты вредоносного письма

  1. Вредоносное письмо замаскировано под заявление о приёме на работу и содержит вложение — zip-файл с резюме.
  2. На самом деле в архиве находится lnk-файл, открытие которого приводит к установке вымогателя.
  3. GermanWiper заменяет содержимое файлов нулями, а также добавляет пострадавшим файлам новое расширение из пяти случайных букв и цифр, например, .08kJA, .AVco3, .OQn1B, .rjzR8:

«Зашифровав» все целевые файлы, GermanWiper открывает HTML-файл с требованием выкупа в браузере по умолчанию:

На оплату выкупа отводится неделя, но платить его бесполезно, поскольку файлы безнадежно испорчены и не подлежат восстановлению.

Мобильная безопасность

Ещё один доклад на BlackHat 2019 рассказывает об уязвимостях Apple iMessage, эксплуатация которых позволяет выполнить вредоносный код и получить доступ к данным пользователя.

Одна из уязвимостей связана с логикой работы приложения iMessage и даёт злоумышленнику возможность отправить пользователю специальное текстовое сообщение, в ответ на которое сервер iMessage отправит данные атакуемой жертвы, среди которых содержимое текстовых сообщений, отправленные и полученные изображения.

Обнаруженная в устройствах Apple уязвимость позволяет узнать номер телефона пользователя, анализируя пакеты BLE — Bluetooth Low Energy.

При включенном Bluetooth устройство Apple отправляет пакеты BLE, передавая в них информацию о положении устройства, версии ОС, заряде батареи и многие другие данные. Такое поведение является частью протокола Apple Wireless Direct Link (AWDL), который может работать либо через Wi-Fi, либо через BLE.

Во время некоторых операций передаваемые устройством пакеты BLE содержат SHA256-хэш номера телефона, AppleID и адрес электронной почты пользователя. Хотя в эфир транслируютсят только первые 3 байта хэша, этого достаточно, чтобы восстановить номер, используя предварительно рассчитанные таблицы хэшей.

BLE-трафик, содержащий хэши телефонных номеров, может быть перехвачен

  • когда пользователь использует AirDrop для передачи файлов;
  • когда телефон пытается поделиться паролем Wi-Fi;
  • когда контакт запросил у пользователя пароль от Wi-Fi.

Извлечь из трафика телефонный номер можно не только во время использования AirDrop, но и при использовании других функций, например, во время подключения к сети Wi-Fi.

В прошивке беспроводного модуля мобильного процессора Snapdragon обнаружены опасные уязвимости QualPwn, которые позволяют «по воздуху» взломать модем и ядро Android без взаимодействия с пользователем.

QualPwn содержит три проблемы:

  • CVE-2019-10538 и CVE-2019-10539 — переполнение буфера, связанное с компонентом WLAN Qualcomm и ядром ​​Android
  • CVE-2019-10540 — переполнение буфера в Qualcomm WLAN и прошивке модема, который поставляется с чипами Qualcomm.

Инциденты

Мошенники выманили 3,5 млн рублей у жителя Москвы, позвонив от имени выпустившего его карту банка.

Подробной анализ похожей атаки: Антифишинг-разбор: звонок из «службы безопасности банка»

  1. Преступники позвонили с номера банка. Номер был записан в телефоне владельца карты как номер клиентской службы банка.
  2. Звонивший представился сотрудником банка, назвал жертву по имени отчеству и сообщил, что с его карты пытаются снять 50 тысяч рублей и предложил подтвердить блокировку этой операции.
  3. Для «блокировки» жертву попросили зайти в личный кабинет и выполнить какие-то действия.
  4. Мошенник сказал, что для блокировки жертва получит пароли, которые нужно назвать автоинформатору. Жертва знала, что банк предоставляет такую возможность, поэтому подозрений не возникло.
  5. Жертве сказали, что придёт ещё один код для разблокировки суммы. Он ожидал его в течение полутора часов, а в это время деньги выводились в разные регионами по 100 тысяч рублей за одну транзакцию.

На хакерских форумах выставлены на продажу данные о 70 тысячах клиентах Бинбанка, похищенные при эксплуатации уязвимости в информационных системах банка.

Стоимость сведений об одном клиенте составляет 5 рублей. Записи содержат ФИО, паспортные данные, номера телефонов и адреса проживания клиентов, подавших заявку на получение кредитной карты.

Кибервымогатели удалили базы данных книжного магазина и потребовали за восстановление информации выкуп в размере 0,05 BTC (38 тысяч рублей по текущему курсу).

База данных содержжала 1,2 миллионами записей о покупках и сведения об 1 миллионе покупателей.

Успех атаки обеспечила незащищённая база MongoDB, администраторы которой не предприняли никаких мер для предотвращения подключения к ней посторонних: из-за того, что они не активировали механизм аутентификации, управлять базой мог любой человек.

Из-за ошибки в коде Twitter передавала данные пользователей без их разрешения.

Если пользователь просматривал или нажимал на рекламу в мобильном приложении либо пользовался им с мая 2018 года, компания делилась его данными с «надежными партнерами» по аналитике и рекламе, даже если пользователь не давал на это согласия. Данные включали код страны, информацию о рекламном объявлении и о взаимодействии с ним.

Атаки и уязвимости

В процессорах AMD и Intel обнаружена новая уязвимость SWAPGS (CVE-2019-1125), позволяющая обойти защиту от Spectre и Meltdown и получить доступ к данным и защищённой памяти ядра.

Атака использует механизм спекулятивного выполнения, реализуя который, процессор пытается предугадать следующую операцию и загружает соответствующую инструкцию в память процессора до того, как она потребуется.

Поскольку спекулятивное выполнение оставляет следы в кеше, злоумышленник может провести атаку по сторонним каналам и получить доступ к данным в защищенных областях памяти. В результате он может собрать информацию из кэша ЦП, анализируя поведение системы в ответ на специально подобранные запросы на загрузку данных.

Например, злоумышленник может попытаться получить доступ к паролю, загружая различные буквы и цифры и определяя, сколько времени требуется системе на их загрузку. Таким образом он может вычислить, присутствуют ли эти буквы и цифры в пароле. При наличии достаточного количества времени злоумышленник может использовать эту технику для сбора огромных объемов конфиденциальных данных.

В стандарте беспроводных подключений WPA3 обнаружены новые уязвимости, которые позволяют злоумышленникам получить доступ к данным, которыми обмениваются точки при открытии канала, а затем подобрать пароль WiFi-сети.

Уязвимость CVE-2019-13377 содержится в механизме рукопожатия WPA3 Dragonfly с использованием эллиптических кривых. Dragonfly — это механизм обмена ключами шифрования, с помощью которого маршрутизатор или точка доступа с поддержкой WPA3 осуществляет аутентификацию пользователя. Выяснилось, что механизм обмена ключами с использованием эллиптических кривых P-521 можно откатить до использования менее надежных P-256.

Уязвимость CVE-2019-13456 относится к реализации EAP-pwd во фреймворке FreeRADIUS. Как и первая уязвимость, она приводит к утечке данных, воспользовавшись которыми, злоумышленник может получить пароль для авторизации в сети Wi-Fi.

О компании «Антифишинг»
Мы делаем систему, которая помогает обучить сотрудников и контролировать их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.
Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.



Ctrl + ↓ Ранее