Ataki Man in the Middle są coraz powszechniejsze. Specjaliści z IBM X-Force szacują, że już ponad 1/3 ataków wykorzystujących przypadkowe słabości to właśnie ataki MitM. Google dostrzegł w tym także spore zagrożenie dla użytkowników Chrome, dlatego w kolejnych miesiącach czekają ich spore zmiany. Miejmy nadzieję, że tylko na lepsze. W tym tygodniu piszemy także nt. nowego (sprytnego) trojana bankowego, źle zabezpieczonych sieci WiFi, które stały się łatwym łupem dla Emotet. Dodatkowo: atak z wykorzystaniem Bluetooth, błąd Google Photos oraz Facebook próbuje odkupić swoje winy związane z naruszaniem prywatności osób. Zaczynamy.
1. Aby wykraść dane, nowy trojan wymusza na użytkownikach wpisanie hasła z ręki
Nowy trojan bankowy atakuje użytkowników z całego świata. Według specjalistów z firmy Fortinet, Metamorfo zaatakował już klientów ponad 20 banków m.in. ze Stanów Zjednoczonych, Kanady, Peru, Chile, Hiszpanii, Brazylii, Ekwadoru oraz Meksyku. Celem przestępców są dane kart płatniczych, dane osobowe ofiar ich oszczędności.
Jak wiele podobnych kampanii, także i ta rozpoczyna się mailem phishingowym – w tym wypadku jest to przekręt na „fakturę”. Po udanej instalacji, program w pierwszym kroku weryfikuje czy nie został zainstalowany przypadkiem na maszynie wirtualnej. Dalej, uruchamia skrypt Autolt, dzięki któremu jest w stanie przechytrzyć program antywirusowy.
Metamorfo następnie zamyka przeglądarkę a po jej ponownym uruchomieniu skutecznie blokuje korzystanie z funkcji autouzupełniania w polach tekstowych. W momencie gdy użytkownik wpisuje ponownie dane logowania, moduł keylogger’a skrzętnie je przechwytuje.
Jak można uniknąć zagrożenia? Przy wszystkich tego typu kampaniach zawsze doradzamy zachowanie czujności. Nie otwierajcie załączników pochodzących z nieznanego źródła, a w przypadku podejrzanego maila otrzymanego od zaufanego kontaktu – zweryfikujcie z autorem, czy aby na pewno przesłał daną wiadomość. Na koniec – nie należy odkładać na później aktualizacji systemu. Łatajcie również na bieżąco podatności w zainstalowanym oprogramowaniu.
2. Masz słabo zabezpieczoną sieć WiFi? Twój komputer może paść łupem Emotet
Potrzebujecie kolejnego argumentu za tym, aby nie korzystać ze słabych haseł? Specjaliści z Binary Defense natrafili na nowy typ malware, który jest w stanie rozprzestrzeniać Emotet w ramach całych sieci bezprzewodowych.
Po tym jak malware zainfekuje komputer z kartą sieciową, wykorzystuje wlanAPI do wykrycia wszystkich dostępnych w pobliżu sieci WiFi: sąsiada, pobliskiej kawiarni lub hotelowej recepcji. Co się dzieje, kiedy wykryta sieć jest zabezpieczona hasłem? Malware sprawdza najpopularniejsze typu – i jeśli trafi – skanuje sieć w poszukiwaniu urządzeń Windows z uruchomioną funkcją współdzielenia plików. Następnie – w ten sam sposób co w przypadku WiFi – „zgaduje” hasła do konta Administratora. Jeśli także i w tym przypadku trafi, program rozpoczyna proces instalacji na urządzeniu. Po jej zakończeniu wysyła informację o gotowości do działania na serwery C&C utożsamiane z Emotet.
3. Chrome z nową ochroną przed atakami Man in the Middle
Google zapowiada, że wraz z wersją Chrome 83 (data wydania to czerwiec), przeglądarka zacznie blokować podejrzane pobierania.
Co twórcy Chrome mają na myśli? Wszystkie pobierania po HTTP, ale ze stron internetowych z certyfikatem HTTPS. Stanowią one zagrożenie dla bezpieczeństwa i prywatności użytkownika. Nieodpowiednio zabezpieczona komunikacja może paść łatwym łupem przestępców, czego najlepszym przykładem jest właśnie atak Man in the Middle (MiTM).
Atak Man in the Middle (MiTM)
Atak kryptologiczny polegający na podsłuchu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzy. Przykładem takiego ataku jest podsunięcie nadawcy własnego klucza przy transmisji chronionej szyfrem asymetrycznym.
Źródło: Wikipedia
W przypadku serwisów HTTP, Google już od pewnego czasu ostrzega że nie są one bezpieczne. Tak więc w tym przypadku nic się nie zmieni.
Google zapowiada, że zmiany będą wprowadzane stopniowo. Po marcowej aktualizacji użytkownik otrzyma komunikat o tym, że doszło do “przemieszania” protokołów. Pełen plan wydań poniżej.
Ataki Man in the Middle w Centrum Bezpieczeństwo Xopero: 1 | 2 | 3 | 4
4. Bluetooth na Androidzie – lepiej go wyłącz, aby uniknąć ataku
W podsystemie Bluetooth na Androida wykryto krytyczną lukę (CVE-2020-0022). Atakujący mogą wykorzystać ją, aby bez wiedzy użytkownika wykonać dowolny kod na urządzeniu z podwyższonymi uprawnieniami Bluetooth deamon, w momencie, gdy moduł bezprzewodowy jest aktywny.
Przestępcy mogą więc rozsyłać malware z jednego urządzenia na kolejne, o ile znajdują się one w zasięgu łączności Bluetooth.
Jedynym warunkiem jest znajomość adresu MAC Bluetooth. Nie jest on jednak trudny do znalezienia. W przypadku niektórych urządzeń można go wydedukować z adresu MAC WiFi.
Błąd zagraża w szczególności urządzeniom opartym na Android Oreo (8.0 i 8.1) oraz Pie (9) – to właśnie na nich można wykonać dowolny kod. Na Androida 10 wskaźnik ważności spada do umiarkowanego, ponieważ użytkownikom zagraża co najwyżej awaria Bluetooth deamon. Nie sprawdzono wpływu luki na urządzenia z systemem niższym niż 8.0.
Łatka jest już dostępna, ale operatorzy komórkowi i producenci sprzętu muszą jeszcze udostępnić ją użytkownikom. Gdy tylko się pojawi – zalecamy pilną aktualizację. Do tego czasu – radzimy nie korzystać z Bluetooth jeżeli nie jest to konieczne.
5. Błąd Google Photos – Twoje prywatne filmy mogły trafić w obce ręce
Google zaliczył niezłą “wpadkę”. Przyznał się, że przez kilka dni wysyłał filmy niektórych swoich użytkowników do obcych osób. Jeżeli odkryjesz, że w swojej galerii Zdjęcia Google (Google Photos) brakuje niektórych plików wideo – prawdopodobnie problem dotknął właśnie Ciebie.
Cała sytuacja miała wynikać z problemów technicznych usługi Takeout, która pozwala na pobranie danych z aplikacji giganta z Mountain View lub używanie ich w usłudze innej niż Google. Efektem było wysyłanie prywatnych filmów niektórych użytkowników Zdjęć Google do innych osób. Dotyczyło to tych, którzy w dniach 21-25 listopada skorzystali z usługi Takeout.
Być może cała sprawa nie wyszłaby na jaw, gdyby Google sam nie postanowił poinformować użytkowników, których dotknął ten błąd. Szlachetne działanie. Szkoda, że ma miejsce dopiero teraz.
Takie sytuacje napędzają nieufność do chmury w kwestii bezpieczeństwa. A niesłusznie. W tym miejscu należy zaznaczyć, że warto korzystać z szyfrowanych rozwiązań, które uniemożliwiają odczyt danych przez nieupoważnione osoby, nawet w momencie, gdy zyskają do nich dostęp. Nie warto również wychodzić z założenia, że to wyłącznie na producencie rozwiązań chmurowych spoczywa cała odpowiedzialność za bezpieczeństwo. Firmy powinny również zachować ostrożność. Szerzej piszemy o tym w pierwszym rozdziale Raportu Cyberbezpieczeństwo: Trendy 2020.
6. Off-Facebook Activity – stop przesyłaniu informacji o Twoich działaniach w sieci
W Data Protection Day Facebook postanowił częściowo odkupić swoje liczne winy związane z naruszaniem prywatności osób i ogłosił wydanie narzędzia – Off-Facebook Activity.
Pozwala ono ograniczyć śledzenie Twoich działań przez Facebooka na innych stronach. Możesz także określić, jakie informacje mają być powiązane z Twoim kontem.
W jaki sposób Facebook wie, co robisz na innych stronach? Aplikacje i strony internetowe często same przesyłają informacje o Twojej aktywności w witrynie po to, aby portal mógł wyświetlać odpowiednie dla Ciebie reklamy. W praktyce więc, Facebook wie wszystko o działaniach w internecie swoich użytkowników. Dzięki nowemu narzędziu możesz zobaczyć podsumowanie tych informacji i jeśli chcesz – usunąć je ze swojego konta.
Jak to zrobić? W desktopowej wersji strony przejdź następujące kroki: “Ustawienia” -> “Twoje informacje na Facebooku” -> “Aktywność poza Facebookiem”. W tym miejscu znajdziesz listę firm, które udostępniły informacje o Twoich działaniach, a po kliknięciu pojawi się możliwość wyłączenia przyszłej aktywności z danego źródła.