I Got Phished to nowa usługa, która powiadomi Cię jeśli jeden z pracowników padnie ofiarą phishingu. W tym tygodniu jeszcze o „zatuszowanym” ataku na ONZ i ciąg dalszy sprawy dotyczącej zbierania danych użytkowników przez Avast (teraz w grę wchodzi już także ich sprzedaż). Dodatkowo: malspam, który straszy koronowirusem, top wyciek danych 2019 i nowy YouTube phishing.
1. Avast nie tylko zbierał dane, ale również sprzedawał je za grube miliony
Jeden z bardziej popularnych producentów rozwiązań antywirusowych sprzedawał wrażliwe dane klientów w sposób, który znacząco naraża ich prywatność – czytamy w raporcie przygotowanym przez Vice oraz PCMag.
Początek. Cztery wtyczki należące do Avast [oraz AVG] zbierały w ukryciu dane o użytkownikach bez ich zgody. Problematyczne rozszerzenia to Avast Online Security, AVG Online Security, Avast SafePrice oraz AVG SafePrice. Wtyczka Avast oraz AVG Online Security informuje użytkownika o potencjalnych zagrożeniach takich jak próba phishingu, cyber-scam czy też powstrzymuje otwarcie złośliwej witryny. SafePrice wyświetla informację o lepszych cenach produktu, który w danym momencie przegląda użytkownik. Jednak oprócz danych potrzebnych do tych operacji, wszystkie wtyczki zbierają sporo innych informacji – w tym historię przeglądarki. Podejrzliwość developerów wzbudziła właśnie ilość danych przesyłanych na adres: https://uib[.]ff.avast.com/v5/urlinfo. Po tych doniesieniach, Mozilla usunęłą rozszerzenia z Mozilla Addons Site (tutaj poznasz więcej szczegółów).
Ciąg dalszy nastąpił…
Zdaniem Forbes firma wykorzystywała wtyczki do obserwowania i zbierania danych na temat aktywności swoich użytkowników w sieci. Następnie pakiety były sprzedawane klientom korporacyjnym m.in. Google, Microsoft, PepsiCo czy McKinsey. Transakcje opiewały na miliony dolarów.
Anonimizacja danych – tak Avast tłumaczy, że nie doszło do naruszenia bezpieczeństwa użytkowników. Jednak – zawsze jest jakieś jednak – wg PCMag wszystkie dane można połączyć z powrotem z użytkownikami. Zebrane dane są tak szczegółowe, że klienci mogą dosłownie zobaczyć poszczególne kliknięcia, które dokonali podczas sesji przeglądania (co do milisekundy). Chociaż dane nie można powiązać z imieniem użytkownika, adresem e-mail oraz adresem IP, każda historia użytkownika posiada identyfikator – ID urządzenia. Nie zniknie on tak długo, dopóki użytkownik nie odinstaluje Avast ze swojego komputera.
Aktualizacja: w ostatni czwartek Avast opublikował informację o zaprzestaniu zbierania danych. ogłosił, że zaprzestaje zbierania danych. Pod tym linkiem znajdziecie oryginalny komunikat.
2. Hackerzy zarabiają na lęku przed koronawirusem
Emotet uaktywnił się po raz kolejny. Tym razem pod odstrzałem znaleźli się mieszkańcy Kraju Kwitnącej Wiśni. Na skrzynki Japończyków trafiła wiadomość o pojawieniu się nowych ognisk choroby w wielu rejonach ich kraju – Gifu, w Osace czy Tottori.
Przestępcy naprawdę się postarali. Wiarygodności ich akcji dodaje fakt, że maile zostały “rozesłane” przez publiczne ośrodki zdrowia. Oczywiście z załączniku znajdowały się szczegółowe informacje o tym w jaki sposób można zabezpieczyć się przed infekcją koronawirusem… Ale za to złapać coś innego.
Grupa stojąca za trojanem Emotet jest znana z tego, że wykorzystuje aktualne trendy do zwiększania swojego zasięgu. Zapewne pamiętacie jeszcze kampanię wykorzystującą osobę Grety Thunberg lub nawiązującą do firmowych wigilii.
Jak walczyć z Emotet i innymi zagrożeniami czającymi się w skrzynce mailowej?
- zablokuj załączniki zwykle wiązane ze złośliwym oprogramowanie np. Dll i .exe,
- zablokuj załączniki, które nie mogą zostać przeskanowane przez programy antywirusowe np. pliki .zip,
- ustal reguły dla zapory sieciowej,
- zainstaluj program antywirusowy i stwórz program aktualizacji oprogramowania, systemów itp,
- zainstaluj filtry w bramie poczty oraz blokuj podejrzane adresy IP,
- ograniczaj niepotrzebne przywileje,
- wdróż walidację opartą na DMARC (Domain-Based Message Authentication, Reporting & Conformance),
- podziel sieć na segmenty.
3. Korzystasz z „Have I Been Pwned”? W takim razie wypróbuj „I Got Phished”
I Got Phished (link) to nazwa nowej usługi, dzięki której administrator dowie się, jeśli jeden z pracowników padł ofiarą phishingu.
Wszystko zaczęło się od trójki specjalistów ds. bezpieczeństwa – JayTHL, MalwareHunterTeam oraz Daniela Gallagher’a – którzy przez lata informowali firmy o tym, że ich pracownicy padli ofiarą phishingu. I chociaż przez cały ten czas wykonali naprawdę kawał dobrej roboty, stwierdzili że mogliby zrobić znacznie więcej. Zaprosili więc do współpracy serwis Abuse.ch, który dysponował wtedy bazą ponad 3400 przechwyconych adresów e-mail oraz 2700 domen. I tak właśnie narodziło się I Got Phished.
I Got Phished – jak ustawić powiadomienie
Aby zarejestrować się w usłudze I Got Phished, użytkownik musi posiadać w swojej domenie jeden z następujących adresów: abuse@, postmaster@, noc@ lub security@. W kolejnym kroku konto zostanie zweryfikowane i to już koniec. Jeśli w przyszłości którykolwiek z adresów z danej domeny zostanie przechwycony, administrator otrzyma wiadomość zawierającą m.in. adres email, długość hasła, adres IP użytkownika.
4. TOP Wyciek 2019 – 31 mln rekordów kart płatniczych na sprzedaż
Przed Państwem jeden ze zwycięzców w kategorii “Największy wyciek 2019”. Mowa o…31 milionach rekordów kart płatniczych, które wyciekły z amerykańskiej sieci sklepów Wawa. Od poniedziałku zaczęły one pojawiać się na stronie Jocker’s Stash – jednym z najbardziej popularnych nielegalnych serwisów do handlu danymi finansowymi. Ich zrzut, nazwany BIGBADABOOM-III został powiązany z wyciekiem sieci Wawa. Do tej pory pojawiło się już ponad 100 tys. rekordów zawierających m.in. dane o geolokalizacji.
Choć incydent został wykryty 10 grudnia 2019 roku, podejrzewa się, że przestępcy działali w sieci potajemnie od marca, co pozwoliło im skolekcjonować tak potężną bazę danych kart płatniczych. 31 milionów rekordów z 850 sklepów – to zasługuje na miano jednego z największych wycieków danych płatniczych nie tylko w 2019 roku, ale i w historii. Można porównać go z przypadkami wycieków z Home Depot’s z 2014 (50 milionów danych klientów) i Target’s z 2013 roku (40 milionów danych płatniczych).
Firma zapewnia, że żaden z numerów PIN ani CV2 użytkowników nie dostał się w ręce przestępców. To samo tyczy się transakcji w sklepowych bankomatach. Ostrzega klientów, aby monitorowali historię swoich kont i zgłaszali każde nieautoryzowane użycie karty swojej instytucji finansowej. Ci, którzy chcą być bezpieczni na 100% – powinni jednak jak najszybciej wymienić kartę na nową.
5. Przemilczany atak na ONZ – dziennikarze ujawniają tajny raport
Mamy lipiec 2019 roku. Hakerzy włamują się na ponad 40 serwerów w biurach w Genewie i Wiedniu. Biurach Organizacji Narodów Zjednoczonych. Atak dotknął także Wysokiego Komisarza Narodów Zjednoczonych ds. Praw Człowieka (OHCHR). Instytucja nie informuje opinii publicznej, a zamiata sprawę pod dywan. Mija kilka miesięcy i dziennikarze z The New Humanitarian docierają do poufnego raportu ONZ w tej sprawie. I choć trwa zima, robi się gorąco…
Jak doszło do ataku? Według raportu przestępcy wykorzystali podatność CVE-2019-0604 – lukę bezpieczeństwa w Microsoft SharePoint załataną w…lutym 2019. Ale nie zaktualizowaną przez specjalistów IT w ONZ, pomimo tego, że minęło pięć miesięcy od wydania łatki.
Wersja oficjalna. Rzecznik ONZ przyznaje, że rzeczywiście doszło do naruszenia “kluczowych komponentów infrastruktury”. Pracownicy IT i szefowie zaatakowanych biur zostali o nim poinformowani. Wyciekły dane pracowników oraz rzekomo niewrażliwe dane z serwera OHCHR.
Wersja top-secret
Jeden ze specjalistów IT w ONZ udzielił anonimowego wywiadu The New Humanitarian, w którym zdradził prawdziwą skalę ataku. 400GB pobranych danych, w tym list użytkowników, które mogą zostać wykorzystane do zdobycia przez przestępców wyższych uprawnień i dalszych ataków. W dodatku – wyciek e-maili, informacji handlowych, danych osobowych i dokumentów wewnętrznych. Ciężko nawet przewidzieć, jakie konsekwencje za tym idą.
W biurach ONZ pracuje ponad 4 tys. osób. W tym 1,6 tys. w Genewie, która ucierpiała najmocniej. Wśród ujawnionych informacji były nie tylko informacje osobowe, ale i np. dane ubezpieczeń zdrowotnych.
Nie pierwszy, nie ostatni raz. Atak na ONZ to nic nowego. Można powiedzieć, że z racji swojej rangi, instytucja jest pod ciągłym obstrzałem. Tym razem jednak bardzo mocno zależało jej na utrzymaniu go w tajemnicy. Nie pomaga tu również fakt, że ataku dokonano z wykorzystaniem luki, której łatka dostępna była od kilku miesięcy. Aktualizowanie systemu i aplikacji to jedna z podstawowych zasad bezpieczeństwa – powtarzamy to do znudzenia.
6. Phishing na YouTube – pomysłowa kradzież kryptowalut
Ledger – producent portfeli sprzętowych dla kryptowalut ostrzega swoich klientów przed kontami YouTube stworzonymi w celach phishingu. W tweecie opublikowanym 27 stycznia Ledger twierdzi, że w sieci pojawiła się seria wideo, której celem jest wyłudzanie informacji i zdobycie dostępu do kont użytkowników poprzez oferowanie fałszywych bonusów bitcoin.
Twórca portfela sprzętowego opublikował również przewodnik pomagający klientom identyfikować i unikać oszustw związanych z wyłudzaniem informacji. Podkreśla, aby nie podawać frazy odzyskiwania składającej się z 24 wyrazów w innym miejscu, niż w portfelu. Jej uzyskanie pozwoli bowiem atakującym na przejęcie konta i zasobów. Jeżeli nie chcesz stracić swoich środków, lepiej się tego trzymaj.
Jak donosi portal CryptoGlobe, oszustwa mające na celu przejęcie kont do portfeli kryptowalut poprzez phishing na YouTube to już popularne zjawisko. W jednym zgłoszonym przypadku hakerowi, podszywającemu się pod dyrektora generalnego Ripple, udało się ukraść XRP o wartości ponad 15 000 USD.