Witajcie w pierwszy wydaniu Centrum Bezpieczeństwa w roku 2020. Jesteśmy pewni, że cyberprzestępcy sprawią, że będzie to bardzo „wyjątkowy” okres. Mamy jednak nadzieję, że nasze newsy i porady uczynią Was jeszcze bardziej ostrożnymi w sieci i nie tylko. Co przygotowaliśmy na początek? 9 wyzwań jakie niesie za sobą wdrożenie IoT w firmie (dużo więcej przeczytacie na ten temat w naszym nadchodzącym raporcie). Hackerzy z Black Hat celują w osoby pragnące zmienić nasz świat na lepsze. Shitcoin Wallet z chęcią przygarnie Twoje krypto-fundusze. Aplikacja Twitter znów ma problemy. W jaki sposób hackerzy omijają weryfikację dwuetapową? A na koniec, nowe Gwiezdne Wojny – dlaczego bezpieczniej obejrzeć je w kinie.
1. Kilka słów nt. Smart Device, które Mikołaj podrzucił pod firmową choinkę…
Kamery monitoringu, czujniki, routery… Otaczające nas urządzenia są coraz bardziej Smart. Jednak IoT – w zasadzie jak każda inna technologia – posiada również wady. Największą z nich jest niestety bezpieczeństwo. Do listy noworocznych postanowień dopiszmy więc odpowiednie ich zabezpieczenie. Ale od czego zacząć? Sprawdźmy na początek, z czym administratorzy mają zwykle największe problemy?
- Słabe, łatwe do odgadnięcia hasła.
- Niezabezpieczone usługi sieciowe.
- Brak bezpiecznych mechanizmów aktualizacji.
- Korzystanie z niepewnych lub nieaktualnych już komponentów.
- Niewystarczająca ochrona prywatności.
- Brak szyfrowania danych oraz kanałów komunikacji pomiędzy urządzeniami.
- Brak możliwości zarządzania urządzeniem i jego ustawieniami.
- Niewystarczające fizyczne zabezpieczenie urządzeń.
- W jaki sposób zminimalizować ryzyko płynące z wykorzystywania IoT?
W środowisku IT już jakiś czas temu pojawiły się głosy za tym, by urządzenia IoT miały efemeryczny charakter. Innymi słowy, powinny mieć dokładnie określoną, krótką żywotność. Czy są za tym sensowne przesłanki? IoT nie otrzymują regularnych (lub jakichkolwiek) aktualizacji. Należy je więc wyłączyć, zanim staną się zagrożeniem dla organizacji. Jednak tak rozumiany „recykling” nie usprawni cyberbezpieczeństwa. Wygasłe urządzenie, zastąpimy nowym – obarczonym tymi samymi błędami producenta. Dlatego zabezpieczenie IoT to jedno z głównych wyzwań jakie stoi przed specjalistami od bezpieczeństwa. Więcej na ten temat przeczytacie w raporcie Cyberbezpieczeństwo: Trendy 2020. Dostępny już wkrótce!
2. Microsoft przejął domeny wykorzystywane do zakrojonych na szeroką skalę cyberataków
Microsoft przejął 50 domen, które z dużym prawdopodobieństwem posłużyły północnokoreańskiej grupie hackerów Black Hat do przeprowadzenia licznych cyberataków.
Kto był ich celem? Pracownicy rządowi, think tanks, pracownicy uniwersytetów, organizacji działających na rzecz utrzymania pokoju na świecie, praw człowieka, a także osoby działające na rzecz nierozprzestrzeniania broni jądrowej.
Ataki miały wyjątkowo wyrafinowaną formę. Przestępcy posłużyli się tzw. białym wywiadem, czyli danymi pochodzącymi z publicznie dostępnych źródeł. W ten sposób opracowali kampanię phishingową, na którą dało się złapać wiele osób. Atakujący poświęcili czas na to, aby maile sprawiały wrażenie wiarygodnych – to nie był „codzienny” malspam.
Po kliknięciu w link i podaniu danych logowania, hackerzy przejmowali konto użytkownika oraz wszystkie powiązane z nim dane. Na tym nie koniec. Przestępcy ustanowili dodatkowo regułę umożliwiającą przekierowywanie każdego maila przesłanego na adres ofiary. Nie musieli więc monitorować przejętych kont. Na koniec instalowali na urządzeniu malware – BabyShark oraz KimJongRAT – z pomocą których wykradali kolejne dane.
3. Shitcoin Wallet kradnie klucze prywatne posiadaczy krypto-fortun
Pierwsze wrażenie jest najistotniejsze. Tak przynajmniej się mówi… W tym wypadku “Shitcoin Wallet” nie wzbudza naszego zaufania. Jednak od czasu publikacji rozszerzenia w Chrome Web Store, pobrano je ponad 625 razy.
Nazwa to nie wszystko. Jeśli produkt spisuje się prawidłowo, wszystko jest OK, nieprawdaż? Kolejny błąd. Rozszerzenie wstrzykuje złośliwy kod JavaScript, który wykrada hasła oraz klucze prywatne z portfeli oraz platform wymiany kryptowalut.
Co obiecuje vendor, programista, hacker? Shitcoin Wallet umożliwia zarządzanie walutą Ether (ETH) oraz tokenami opartymi na Ethereum ERC20. Użytkownik może pobrać rozszerzenie i zarządzać zasobami z poziomu przeglądarki lub znacznie bezpieczniej – instalując agenta na własnym komputerze.
Bohater drugiego planu? Rozszerzenie wysyła klucze prywatne na adres erc20wallet[.]tk. Trafiają na niego także dane wykradzione za pomocą złośliwego skryptu JS. Trudno powiedzieć, czy developerzy Shitcoin Wallet są odpowiedzialni za umieszczenie złośliwego kodu w rozszerzeniu Chrome. Być może sami padli ofiarą cyberprzestępców. Jedno jest pewne – rzecznik prasowy grupy milczy. Czy był to kolejny kot w worku?
4. Aplikacja Twittera pozwoliła dopasować numery 17 mln użytkowników do kont
Aplikacja Twittera na Androida miała kolejny błąd, który ujawniał numery telefonów użytkowników. Wykorzystując tę lukę, badaczowi udało się dopasować 17 milionów numerów do kont na Twitterze.
Błąd występował w przypadku funkcji przesyłania kontaktów na Twitterze, która akceptowała całe listy numerów telefonów. Chociaż funkcja nie zezwalała na listy w formacie sekwencyjnym, akceptowała losowe. Na potrzeby testu badacz wygenerował więc taką listę dwóch miliardów numerów telefonów. Następnie przesłał je na Twittera za pośrednictwem aplikacji na Androida. W rezultacie mógł dopasować 17 milionów kontaktów do kont w ciągu dwóch miesięcy. Należały głównie do użytkowników z Izraela, Grecji, Armenii, Iranu, Turcji, Niemiec i Francji.
Zamiast poinformować Twittera, badacz zaczął bezpośrednio ostrzegać użytkowników, udostępniając kilka numerów w grupie WhatsApp. W czasie, gdy dopasowywał numery telefonów użytkowników, firma załatała jednak podatność.
Ostatnio ptaszki nie ćwierkały o Twitterze najlepiej. Wcześniej ujawniono lukę, która pozwalała osobie atakującej przejąć kontrolę nad kontami użytkowników. Nie wydaje się jednak, aby oba błędy były ze sobą powiązane.
5. Hakerzy omijają weryfikację dwuetapową i kradną dane korporacji z 10 państw
Weryfikacja dwuetapowa to środek bezpieczeństwa, który nakłada dodatkową warstwę ochrony na proces logowania się do konta, usługi lub urządzenia. Korzystają z niego m.in. Google, Whatsapp, Instagram itp., ale również wszystkie banki. Nic dziwnego, że uniknięcie dwuetapowej weryfikacji przez grupę hakerów z Chin, znaną pod nazwą APT20, wywołało globalne zaniepokojenie.
Po pomyślnym przerwaniu przez cyberprzestępców procesu weryfikacji, mogli oni uzyskać dostęp do danych niektórych agencji rządowych i korporacji oraz serwerów firm z różnych branż. Ich działanie zostało odkryte przez Fox-It, holenderskiego specjalistę ds. bezpieczeństwa. Otrzymał on skargę od jednej z ofiar i przeprowadził własne śledztwo, które doprowadziło go na trop APT20.
Korporacje, które dotknął atak pochodzą z co najmniej z 10 państw, w tym Niemiec, Wielkiej Brytanii, Francji, Stanów Zjednoczonych i Chin. Działają w takich sektorach jak IoT, architektura, bankowość, energetyka, bezpieczeństwo, transport czy HR.
6. Uważaj na Gwiezdne Wojny w sieci. Lepiej wybierz się do kina
Widziałeś już Gwiezdne Wojny? Jeżeli nie, dobrze radzimy – lepiej wybierz się do kina. Za próbę oglądania w nielegalnych źródłach można słono zapłacić.
Cyberprzestępcy wykorzystują popularne tytuły, jakim niewątpliwie są Gwiezdne Wojny, aby zachęcić użytkowników do pobrania złośliwego oprogramowania celem obejrzenia rzekomo ekskluzywnych scen lub całego filmu.
Tuż przed oficjalną premierą, 20 grudnia, cyberprzestępcy zalali sieci społecznościowe i Internet złośliwymi stronami internetowymi i plikami oferującymi teasery filmu oraz darmowe pirackie wersje „Skywalker. Odrodzenie”. Badacze z Kaspersky Lab odkryli ponad 30 fałszywych i zainfekowanych stron streamingowych i profili w mediach społecznościowych, które podszywają się pod oficjalne konta filmowe oraz 65 złośliwych plików zamaskowanych jako kopie filmu. Te liczby mogą być jednak zdecydowanie wyższe. Cel? Instalacja złośliwego oprogramowania, phishing i kradzież danych kart kredytowych, które użytkownicy muszą podać podczas rejestracji w fałszywym portalu.
Uwaga! Kampania jest nadal aktywna, a strony ze złośliwymi kopiami pojawiają się na szczycie wyników wyszukiwania w sieci.
Jak uniknąć tego typu oszustw? Zwracaj uwagę na oficjalne daty premiery filmów – ich przedwczesna publikacja w sieci już powinna zapalić czerwoną lampkę w Twojej głowie. Sprawdzaj witryny, z których chcesz pobrać plik – zacznij od weryfikacji posiadania certyfikatu “https”. Zweryfikuj pisownię adresu pod kątem literówek/zmiany szyku, zwróć uwagę na format URL, sprawdź dane rejestracyjne domeny. Jeżeli naprawdę chcesz pobrać plik – upewnij się, że posiada format .mp4, .avi lub .mkv. Pod żadnym pozorem nie pobieraj tych z rozszerzeniem .exe! Ponadto, zawsze korzystaj ze sprawdzonego antywirusa i nie zapominaj o backupie danych.