Според разследване на BleepingComputer, измамните имейли се представят за съобщения от популярни доставчици на cloud услуги и предупреждават потребителите, че абонаментът им изтича или вече е бил подновен. Получателите са подканвани да кликнат върху линкове за „управление“ или „отказ“ на плана, които всъщност водят към фишинг страници, създадени да събират данни за кредитни карти и потребителски акаунти.

Експертите по сигурността отбелязват, че ефективността на измамата се дължи на правилния тайминг и познатия контекст. Тъй като милиони хора разчитат на cloud услуги за работа и лични файлове, подобни известия изглеждат рутинни и често не предизвикват подозрение. Много от съобщенията използват и чувство за спешност — заплахи за прекъсване на услугата или неочаквани такси — за да подтикнат жертвите да реагират прибързано.

Нарастването на подобни измами отразява по-широка тенденция в киберпрестъпността: преминаване от чисто технически атаки към социално инженерство, при което човешкото доверие се превръща в основна уязвимост. С разрастването на абонаментната дигитална икономика експертите предупреждават, че подобни кампании ще стават все по-мащабни и по-усъвършенствани.

Потребителите се съветват да не кликват върху линкове в непоискани имейли, да проверяват статуса на абонаментите си директно през официалните сайтове или приложения и да активират многофакторна автентикация, когато е възможно. Случаят подчертава необходимостта от повишена дигитална бдителност в условията на еволюиращи киберзаплахи.

Изображение: Freepik

НЕ ПРОПУСКАЙТЕ: Курс по Софтуерно Тестване с Възможност за Работа в Euro Games Technology

Технологичния гигант създава Safe Browsing още през 2005 г., за да защити потребителите от уеб фишинг атаки, като през годините тя не спира да я актуализира и подобрява. Освен, че открива потенциално опасни сайтове, Safe Browsing изготвя и списък с тях, за да може потребителят да направи справка при евентуални съмнения относно безопасността на определен сайт, който иска да посети.

Понастоящем стандартната функция за безопасно сърфиране проверява сайтове, изтегляния и разширения спрямо локален списък със злонамерени URL адреси, изтеглени от сървърите на Google, на всеки 30 до 60 минути.

С последната си актуализация Google въвежда защита в реално време към стандартния режим на защита, за да предотврати опасността от временните злонамерени сайтове, които се появяват и изчезват за по-малко от 10 минути.

С новия режим на защита в реално време опасните сайтове ще се добавят към този списък веднага след като бъдат открити.

Според Google това се прави по начин, който запазва неприкосновеността на личния живот, като URL адресът се преобразува в 32-байтови пълни хешове и се изпращат префиксите на хешовете към сървър за поверителност, за да се премахне информацията, която може да се използва за идентифициране на потребителя, преди да се изпрати към сървъра за безопасно сърфиране.

“Safe Browsing вижда хеш префиксите на вашия URL адрес, но не и вашия IP адрес, а сървърът за поверителност вижда вашия IP адрес, но не и хеш префиксите. Нито една страна няма достъп както до вашата самоличност, така и до хеш префиксите. По този начин сърфирането ви остава поверително”, пишат изследователите от Google Chrome Security и Google Safe Browsing в публикация в блога.

След като попаднат в сървъра за безопасно сърфиране, хеш префиксите се декриптират и се сравняват с базата данни от страна на сървъра, която предоставя пълните хешове на всички съвпадения. Това позволява на Chrome да показва предупреждение за този сайт, без да се нарушава поверителността на потребителя.

ГЛЕДАЙТЕ: Къде Инвестират ИТ Специалистите? Успешните Стратегии – Част 1

ГЛЕДАЙТЕ: ИТ Индустрията във Варна – част 2 | Епизод 2 | The BIG TECH #BG | DevStyleR

Прочетете още:
1. CircleCI Пусна Нова Функция за Управление на Версиите
2. Завърши Десетото Юбилейно Издание на Hack TUES
3. Лъчезар Топалов: Проектите, Практиката и Състезанията са Тези, които ни Правят Истински Програмисти

Последвайте ни във Facebook, Instagram, LinkedIn и YouTube.

Какво е фишинг?

Фишингът (phishing) представлява злонамерено действие с цел заблуда и прихващане на чувствителни данни като потребителско име и парола, данни за кредитна карта и други. За целта злонамерените лица първо правят копие на външния вид на целевата логин страница. Разполагат копието на страницата на свой сървър и домейн и след това разпращат имейли, в които има препратка към това копие. Когато потребителите кликнат на препратката и им се зареди позната логин форма от познат за тях сайт, въвеждат своите данни, без да обърнат внимание на URL адреса на страницата. Сайтът не е истинският и вместо да се логнат, данните им биват записвани в базата на злонамерените лица и използвани за злонамерени цели.

Винаги гледайте URL адреса на целевата страница. Възможно е само една буква в името на домейна да е различна и ако не обърнете внимание, е много вероятно да станете жертва на подобна фишинг атака.

10-те съвета на СуперХостинг.БГ за предпазване от опити за фишинг

1. Не се доверявайте на полето „От:“ в писмото, което показва имейл адреса на изпращача. Стойността в това поле може да се манипулира. Повече за мейл хедърите на писмото от хостинг компанията ни споделят в статията: Какво са мейл хедърите и каква информация се съдържа в тях?

2. Обърнете внимание на написаното и правописа. Когато писмото е на български език, но има проблемен изказ и правопис, това е сигнал, че има нещо нередно.

3. Писмата, които съдържат важни линкове, които наистина трябва да се кликнат, са в отговор на Ваше действие. Например след регистрация в даден сайт, често е нужно потвърждение чрез кликване на линк в изпратено от сайта писмо. В тези случаи, Вие предварително знаете, че ще получите подобно писмо и знаете, че в него ще има линк. Вие направили ли сте подобно действие?

4. Не кликайте на препратки в писмата, без да сте се уверили, че писмото е от достоверен изпращач. Дори да имате минимално съмнение, първо проверете и помислете за причината да получите подобно писмо.

5. Има бърз начин да проверите къде води препратката, преди още да сте я кликнали. Поставете курсора на мишката върху текста на препратката, без да кликвате. Погледнете долу в левия ъгъл на мейл клиента или на друго място в интерфейса, където се показва допълнителната информация.

6. Ако вече сте кликнали на препратка и се зареди сайт, винаги поглеждайте първо в адресната лента на браузъра – това ли е домейнът на изпращача, същото ли е разширението, липсват ли букви или пък са заменени с други?

7. Дали се използва сигурна връзка със сайта чрез SSL сертификат – има ли катинарче или не. Никога не въвеждайте данните си за логин на страници, които се зареждат по несигурна връзка.

8. Ако имате и най-малки съмнения дори и след тези проверки, свържете се с доставчика, за да сте сигурни, че той е изпращачът на този имейл, а не някое злонамерено лице.

9. Направете ревизия и на паролите, които използвате за достъп до различните си акаунти онлайн. Задължително е те да бъдат различни една от друга, дълги и сложни – с разнообразни символи, малки и големи букви, цифри. По този начин значително намалявате риска злонамерени лица да достъпят един или повече от един Ваш профил в уеб.

10. Активирайте двуфакторно удостоверяване (2FA) за достъп до профилите Ви. По този начин, за да се влезе в някой от тях, ще е нужен допълнителен метод – SMS или код от приложение за удостоверяване, който ще знаете и имате само Вие.

Да бъдете винаги нащрек в дигиталното пространство, ще Ви спести критични ситуации, в които можете да загубите достъп до бизнес сайта си, до финансите си, до рекламните си акаунти и пр. Мислете и проверявайте достоверността на сайтове, имейли и препратки, преди да действате, за да се радвате на спокойствие и дългосрочни успехи.

Acronis, глобалният лидер в киберзащитата, публикува своя най-нов доклад за киберзаплахите и тенденциите за втората половина на 2022 г. Според него, в момента са във възход фишинг атаките и MFA атаките. Докладът е подготвен от Acronis Cyber Protection Operation Center и предлага задълбочен анализ на общия пейзажа на киберзаплахите – включително рансъмуер, фишинг, зловредни сайтове, софтуерни уязвимости – както и прогнози в сферата на сигурността през 2023.

Заплахите от фишинг и зловредни имейли са се увеличили с 60%. Средната цена на пробив в данните се очаква да достигне 5 милиона долара през следващата година. Изследователският екип, който е автор на доклада, наблюдава и нарастване на атаките чрез социален инжинеринг през последните 4 месеца. Те съставлява 3% от всички атаки. Причината за близо половината от докладваните пробиви през първата половина на 2022 година са изтекли или откраднати данни за вписване, позволяващи на атакуващите лесно да осъществяват кибератаки и рансъмуер кампании.

“Последните няколко месеца се доказаха като по-сложни от всякога – постоянно се появяват нови заплахи, а злонамерените лица продължават да използват все същите доказани сценарии, осигуряващи им голяма възвръщаемост “, казва Кандид Уест, вицепрезидент по изследванията в областта на киберзащитата в Acronis. “През новата година организациите трябва да приоритизират всеобхватните решения, когато търсят начин да намалят фишинга и останалите опити за хакване. Атакуващите еволюират, като използват срещу самите нас някои от инструментите, на които ние разчитаме за защита на своите служители и на бизнеса си – например MFA”.

Акценти от доклада: нови предизвикателства сред заплахите

С еволюцията на тактиките за сигурност и на технологиите, асоциирани с тях, еволюират и злонамерените особи, които се опитват да направят пробив в организациите и в техните екосистеми. Постоянният поток от рансъмуер, фишинг и т.н. свидетелства колко критично важно е за бизнеса да преосмисли своите стратегии за сигурност.

Рансъмуер пейзажът продължава да се влошава:

• Рансъмуерът продължава да е номер едно заплаха за организациите, включително правителстен, здравен и други сектори.
• Всеки месец през втората половина на тази година рансъмуер групите са добавяли по 200-300 нови жертви към своите списъци.
• Пазарът на рансъмуер операторите е доминиран от 4-5 играча. До края на третото тримесечие общият брой на компрометираните мишени, известни като жертви на основните оператори за 2022 г., са както следва:
  •  LockBit – 1157
  • Hive – 192
  •  BlackCat – 177
  • Black Basta – 89
• Налице са 576 публично споменати рансъмуер пробива през Q3, което представлява леко увеличение в сравнение с Q2.
• Броят на рансъмуер инцидентите леко е намалял в края на Q3 и началото на Q4, след високи нива през летните месеци. От юли до август Acronis е отчела 49% увеличение на блокираните рансъмуер атаки в глобален мащаб. Следват спад от 12,9% през септември и 4,1% през октомври.
• Налице е известно изместване на вниманието в посока ексфилтриране на данни, тъй като главните изпълнители на атаки продължават да стават все по-добри професионалисти в своите дейности. Повечето от големите играчи са се разгърнали към MacOS и Linux и наред с това се интересуват и от облачните среди.

Фишинг и зловредни имейли продължават да се ползват с успех от атакуващите:

• През третото тримесечие на 2022 най-атакуваните държави по отношение на зловредния софтуер на база потребител са Южна Корея, Йордания и Китай.
• През третото тримесечие на 2022 средно 7,7% от крайните устройства са се опитали да получат достъп до злонамерени URL адреси. Това представлява леко намаление в сравнение с отчетените 8,3% през второто тримесечие.
• Към октомври 2022 страната с най-много клиенти, претърпели пробив чрез злонамерен софтуер, е Съединените щати с 22,1%, следвана от Германия с 8,8% и Бразилия със 7,8%. Данните са много сходни с числата за второто тримесечие, с изключение на това, че при САЩ и Германия се наблюдава леко увеличение, особено при финансовите троянски коне.
• Темповете на спам са се увеличили с над 15%—достигайки 30,6% от целия входящ трафик.
• Атаките по имейл са насочени към почти всички индустрии. Анализирайки 50-те най-атакувани организации, изглежда, че най-нападаните индустрии са:
  • Строителство
  • Търговия на дребно
  • Недвижими имоти
  • Професионални услуги (услуги и компютри и ИТ)
  • Финанси
• Между юли и октомври 2022 г. делът на фишинг атаките се е увеличил 1,3 пъти, достигайки 76% от всички имейл атаки (спрямо 58% през първата половина на 2022 г.). Това нарастване е за сметка на дела на атаките със зловреден софтуер.

Некоригираните уязвимости са плодотворна почва през втората половина на годината:

• Acronis продължава да наблюдава и да предупреждава бизнеса и домашните потребители, че новите, 0-day уязвимости и старите уязвимости, оставени без корекции, са главен вектор на атака за компрометиране на системите.
• Макар че софтуерните доставчици се опитват да поддържат темпото и да осигуряват корекции редовно, твърде често това е недостатъчно – множество атаки имат успех заради некоригирани уязвимости.
• Microsoft:
  • Още една фишинг кампания се представи за дело на „екипа на Microsoft” и се опита да примами получателите да добавят свой цитат във фиктивен онлайн мемориал „в памет на Нейно Величество Кралица Елизабет II”, когато тя почина през септември.
  • Друга широкомащабна фишинг кампания, забелязана през периода, имаше за цел логин данни за имейл услугите на Microsoft M365. Тази атака бе насочена към организации от сферата на финансовите технологии, заемодателите, счетоводството, застраховането, както и организации от Федералния кредитен съюз в САЩ, Великобритания, Нова Зеландия и Австралия.

Копие от пълния доклад на Acronis за киберзаплахите в края на годината може да изтеглите тук.

Всичко това включи в дигиталното пространство множество нови участници без опит и създаде огромен брой нови възможности и предизвикателства. Налага се нуждата от подобряване на т.нар. „информационна хигиена“ както на онлайн предприемачите, така и на потребителите, за да може бизнесът и обществото ни да се възползват по най-добрия начин от тази ускорена дигитализация, без тя да се превръща в сериозен източник на нови рискове.

„В този бързо променящ се свят, в който интернет играе ключова роля, заплахите тепърва ще стават все по-разнообразни и ще засягат все повече сфери на живота ни. Но добрата новина е, че с малко повече усилия от страна на всеки от нас можем да си осигурим спокойно и защитено дигитално пространство. Сигурността на нашите клиенти е от ключово значение за нас и ние инвестираме много в защитата на техните онлайн проекти. Организираме редовно и информационни кампании, тъй като вярваме, че сигурността е двустранен процес и е от ключово значение самите те да познават заплахите и да направят нужните стъпки за да защитят своите сайтове и устройства“ – споделя Любомир Русанов, управляващ партньор на най-голямата българска хостинг компания СуперХостинг.БГ.

Кои обаче са най-значимите тенденции в тази сфера през летните месеци?

Хостинг компаниите се превръщат в доставчици на информационна сигурност

Големите фирми в този сегмент отдавна вече не предлагат просто хостинг параметри, а цялостна услуга и все по-важна част от нея става сигурността на разположените при тях сайтове. СуперХостинг.БГ от своя страна инвестира в цялостна система за сигурност SH Protect, която разпознава и блокира десетки хиляди злонамерени действия всеки ден. В добавка всички сайтове, хоствани в компанията, се проверяват и при нужда се “изчистват” – практика, превърнала се вече в постоянен процес.

„В SH Protect създаваме по няколкостотин правила на година, които разпознават и блокират стотици хиляди злонамерени действия. И всеки ден развиваме нашата система за сигурност, за да повишим нивото на защита. Клиентите ни получават всичко това като част от услугата, без допълнителни инвестиции от тяхна страна“ – добавя мениджърът на СуперХостинг.БГ.

DDoS заплахите

DDoS (Distributed Denial of Service) представлява интернет атака, целяща да предизвика спиране на дадена услуга чрез затрупването й със заявки от различни машини. Представете си например, че искате да проведете телефонен разговор с даден човек, но някой друг ви се обажда непрекъснато и ви пречи да го направите. Нещо подобно, но на по-сложно технологично ниво се случва при DDoS атаките.

Този тип заплахи за сайтовете вече отдавна са се превърнали в норма, а по-добрите хостинг компании са инвестирали в надеждни системи за защита от тях. Затова най-доброто, което даден собственик на уебсайт може да направи в случая, е да си избере хостинг доставчик, който предлага такава защита. „Системата ни за защита от DDoS атаки работи на цялата ни инфраструктура и предпазва клиентските сайтове от 95% от познатите начини за насочване на изкуствен трафик към трети страни“ – разказва още Любомир Русанов.

ф атаките

Ransomware означава зловреден софтуер, който ограничава достъпа на жертвата до нейното съдържание или приложения чрез криптография и след това автоматично иска от нея да плати откуп, за да си върне контрола. Най-често плащането на откуп се извършва в криптовалута, която е непроследима. Ако той не бъде платен, заплахата е файловете да бъдат унищожени.

Най-често този тип атаки стават възможни чрез фишинг или други традиционни методи – служител на  набелязаната организация бива подмамен да предостави достъп или да кликне на линк, който сваля ransomware софтуера. Това е още един проблем, който се дължи на свързването с интернет на множество нови потребители без достатъчно базови познания. В допълнение напоследък се наблюдава и увеличаването на таргетираните ransomware атаки.

„Интернет на нещата“ и умните автомобили

Броят на свързаните IoT устройства през тази година вероятно ще доближи 20 милиарда и очакванията на повечето специалисти по сигурността са за сериозен ръст на атаките срещу такива обекти. Вероятно не сте очаквали, че вашият умен термостат, гласов асистент или „умна“ битова електроника може да се окаже причината за достъп на неоторизирани лица до домашната или офисна мрежа, но предстои да чуваме за все повече такива случаи. „Интернет на нещата“ увеличава значително броя на допирните точки на мрежата с външния свят, а в добавка често дава инструменти за хакване не просто на нашите файлове, а и на физически обекти около нас. Пример за това са съвременните автомобили, които разполагат с все повече и по-комплексен софтуер, както и Wi-Fi, Bluetooth или друга свързаност, позволяваща те да се ъпдейтват и дори да бъдат отваряни от разстояние.

Човешките грешки

Както вече споменахме, ограниченията, свързани с пандемията, доведоха в интернет огромен брой нови потребители, които нямат необходимия опит и познания в тази област. Това увеличи рисковете от човешки грешки, както и всякакви практики за социално инженерство и други форми на измама. Достатъчно е един служител да се довери на имейл или обаждане от хакер, за да бъдат компрометирани системите на огромна организация с хиляди хора, работещи в нея.

Изкуственият интелект в битка с хакерите

Интелигентните системи навлизат във все повече области на нашия живот и сигурността не прави изключение. AI (Artificial Intelligence) решенията могат да идентифицират рискови модели на поведение, които човек би могъл и да не забележи, предотвратявайки измами и други пробиви в сигурността. Още по-важно е, че те могат да наблюдават системи, в които се случват хиляди събития в секунда, оценявайки процесите в реално време. Затова и очакванията са през следващите месеци да нарастват инвестициите на компаниите в такива решения, включващи машинно обучение и изкуствен интелект. Същевременно обаче вече се наблюдава и тревожната тенденция престъпниците да използват изкуствен интелект при своите атаки.

Какво можем да направим, за да се защитим по-добре?

Значението на двуфакторното удостоверяване

Важността на т.нар. 2FA (двуфакторно удостоверяване) се увеличава много през последните месеци и все повече онлайн платформи, хостинг компании и други организации въвеждат такова като метод за ограничаване на неоторизирания достъп. „Нашите клиенти могат да активират двуфакторно удостоверяване в новия интерфейс на акаунтите си. Съветваме да го направят и за своите профили в социалните мрежи и други онлайн платформи, в които са споделили личните си данни“ – посочва още Любомир Русанов.

Ненадеждни плъгини и теми

Отворените платформи за създаване на сайтове като WordPress направиха стартирането на уеб проекти от непрограмисти много по-лесно и достъпно. Това обаче увеличи броя на сайтовете, на които работят огромен брой ненужни инсталации. Става въпрос за WordPress системи, инсталирани в миналото и забравени след това, но също и за всевъзможни плъгини (разширения, модули), както и теми (шаблони), които работят върху нашите сайтове.

Всеки от тях може да добави към сайта ни полезна функционалност, но също и да се превърне в потенциален риск за сигурността. Особено ако добавим и практиката плъгини, теми и самият WordPress да не се обновяват редовно. Затова от хостинг компанията съветват, когато спрем да ползваме даден плъгин, тема или WordPress инсталация, просто да ги изтрием своевременно. Същото важи и за пощенска кутия, която вече не ни е необходима и всичко останало, което създаваме онлайн.

Фишинг

Този тип измами в дигиталното пространство стават все по-комплексни. От хостинг компанията съветват потребителите да възприемат своите профили, проекти и пароли в интернет като дигитални активи и да ги пазят точно както движимата и недвижимата си собственост.

Сред важните принципи, които можем да следваме в това отношение, са: когато получим имейл, да не се доверяваме на написаното в полето за подател, защото то може да се манипулира; да обръщаме внимание на правописа и ако той е с неправилен изказ, да подхождаме с по-голямо внимание; да не кликаме на линкове, които някой ни изпраща по интернет, освен ако не сме напълно сигурни за какъв линк става въпрос и надежден ли е изпращачът.

Екипът на CyberGhost се стреми да даде съвети на родителите относно сигурността на техните деца.

Не е тайна, че интернет е необятно поле, което предлага много възможности. Той обаче крие също толкова опасности, особено за най-малките му потребители.

Има редица потенциални опасности в киберпространството, но ето основните рискове за онлайн сигурността, пред които са изправени повечето деца:

Всяка агресивна дейност или заплаха, извършена чрез електронна комуникация (например имейли, публикации в социалните медии, текстови съобщения и пр.) са разпознати като кибертормоз. Докато повече момчета признават, че тормозят други потребители онлайн, то нежния пол е по-склонен да се превърне в жертва на подобни действия.

Създаването и публикацията на неподходящо съдържание е една от най-честите онлайн заплахи, с които децата могат да се сблъскат. Вулгарен език, реч на омразата, графично насилствени или сексуални изображения – всичко това може да причини вредно въздействие върху подрастващите.

“Онлайн хищници” се наричат всички възрастни, които използват световната мрежа, за да злоупотребяват и експлоатират деца. Възрастта на жертвите може да варира от 1 г. – 17г. Статистиката сочи, че когато става дума за примамване онлайн, момичетата съставляват по-голямата част (78%) от децата-жертви, докато мнозинството (82%) от “онлайн хищниците” са мъже. 98% от тях  никога не постигат целта си.

Какво е онлайн груминг?   

Според изследователския екип на CyberGhost, „онлайн груминг“ е термин, използван за описание на дейността на хищниците. Те се сприятеляват с непълнолетни лица онлайн с цел експлоатация. Грумингът може да се използва за сексуални цели или за радикализиране на младите хора.

Следователно следващият въпрос е „Как да защитим нашите близки от онлайн заплахи?“

Центърът за поверителност сподели няколко съвета за това:

• Важно е да научим децата как да сърфират безопасно в интернет пространството;
• Да ги информираме как и къде да търсят информация;
• Да инсталираме защитни стени и блокери на съдържание;

Ето и няколко съвета за онлайн сигурността при родителите:

• Задайте ясни правила и граници;
• Настройте опцията “родителски контрол”;
• Използвайте подходящ VPN (виртуална частна мрежа);
• Поддържайте всички приложения и платформи актуализирани;
• Запознайте децата си с онлайн поверителността;
• Предупредете ги и им обяснете какво значи фишинг имейли;

Пазете се,

Бъдете информирани,

И се наслаждавайте на сърфирането.

Приложението Digital Scouts е достъпно напълно безплатно в двата онлайн магазина App Store и Google Play. Днес то отново оглави класациите, като стана най- сваляното приложение в категорията “Игри” на App Store.

Най-лесен за потребителите се оказа въпрос, свързан с Instagram – “Какво е забранено в Instagram?”, а най-труден въпросът “Кое поведение в интернет НЕ носи никаква опасност?”.

Малките скаути не бяха сами в своите онлайн приключения тази есен. Към кампанията се присъединиха лица като Анди студио, Балан, Haha.bg и Изабел Овчарова, които са част от кампанията от самото ѝ начало. Онлайн безопасността се оказа важна тема и за още инфлуенсъри като геймъра Константин Кънев (nothxtv) и Емил Конрад.

В съботния ден, на 17 октомври, хиляди деца упражниха и обогатиха познанията си за дигиталния свят. Гмурнаха се в приключението на дигиталните скаути и откриха отговорите на добре скрити загадки с помощта на популярни български онлайн звезди. За успешното завършване на играта участниците трябваше да отговарят правилно на въпроси за онлайн безопасността. Интересът към играта успя да я постави сред топ приложенията в App Store и Google Play.

Кампанията тази година успява да докаже, че този проблем представлява интерес за деца от всички възрасти. Участниците под десет години са почти 3000, а между 11 и 17-годишна възраст броят надхвърля 8 000. Това са и най-засегнатите групи, които по време на играта успяха да получат ценни съвети за реакция в различни ситуации, както и как да успяват правилно да отсяват вярна от невярна информация и с лекота да различават фалшивите новини.

С кампанията “Дигитални скаути: На лов за приключения и знания” Теленор се стреми да помогне на децата да изградят навици, които да им помогнат в дългосрочен план да пазят себе си и близките си в дигиталното пространство. В Европейския месец на киберсигурността Теленор пусна на пазара и услугата “Онлайн защита”, която позволява на всеки потребител да се предпази от зловреден софтуер, фишинг, спам и компрометирани сайтове.

Компанията подкрепя такива инициативи от 2006 г. насам, като сред тях са Речник на социалните мрежи и Наръчник за видовете онлайн тормоз. Теленор бе първият телеком в България, който въведе филтър за блокиране на материали в интернет, които съдържат сексуална злоупотреба с деца.

В своя блог в Medium, Хейс описва, че в неговата организация са получили сигнал за атака. На пръв поглед – всичко е точно. Поредният ден на работа за екипа по сигурност, който веднага изолира засегнатия акаунт и започва разследване на случилото се – как точно е станало и какви могат да са потенциалните щети. Само след минути обаче, още сигнали за атаки пристигат във входящата поща. Хейс не се учудва и предполага, че просто фишинг атаката е засегнала и други служители. Но след шестия сигнал, security специалистите разбират, че атаката е по-голяма отколкото предполагат. Моментът, в който успяват да направят оценка на щетите и да възстановят два от засегнатите имейла, се оказва, че са изправени пред огромна вълна от поглъщания на служебни акаунти.

“Виждахме как всички акаунти са достъпни от различни странни места по света и се
изпращаше огромно количество имейли. За да бъде направен такъв голям удар наведнъж, то това е наистина ефективна фишинг атака” казва Хейс.

Проблемът е, че начинът на кражба на данни не е очевиден, като нито една от жертвите не е получила имейл от нов контакт през деня – какъвто е традиционният подход. Но след продължителна проверка се оказва, че фишинг имейлите са се изпращали като отговори на истински такива, “обменяни между нашите служители, доставчици, клиенти, вътрешно между колеги и т.н.,” казва Хейс.

След като един имейл акаунт е компрометиран, данните от него биват прехвърлени на бот, който след това се логва и анализира всичко изпратено в последните няколко дни. “За всяка открита от него уникална имейл верига той отговаря на последния имейл с връзка към фишинг страница, за да събере идентификационни данни,” казва Хейс. “Формулировката на написаното в имейла е достатъчно общо, за да се намести във всеки сценарий на разговор, а връзката към документа не изглежда по никакъв начин съмнителна”.

Наистина е сложно да се разграничи бота от истинския собственик на акаунта, тъй като ботът използва “reply-all”, има легитимен акаунт и имейлът му е поставен в контекста на вече протичаща комуникация. Хейс споделя и, че тази техника, успяла да достигне до “феноменално количество профили”, го е оставила в състояние на страхопочитание в продължение на часове. Но и това не е всичко. След целия брой акаунти, то е ясно, че фишинг имейлът е абсолютно неконтролируем и логично, успява да излезе извън комуникацията на организацията, следователно – достига до други компании. Фишинг атаката е извън контрол и единственият начин, по който екипът успява да я възпрепятства, е като открива модел в URL-a на фишинг страниците, позволяващ поставяне под карантина.

Докато Хейс нарича зловредната кампания “гениална” и “най-любимата атака, която съм виждал лично”, той също така отбелязва и един недостатък в бота – прекалено е ефективен и нетърпелив да достигне до целта, поради което бързо настройва червени знамена и сигнали за опасност, което му пречи да достигне пълния си потенциал.

Вследствие на атаката, в организацията е въведено многофакторно удостоверяване за имейл акаунтите без допълнителна мярка за сигурност.

“Целта на този нападател вероятно е да събере идентификационни данни, които да се продават в dark web пространството. Определено целта беше на прав път – събра много информация, но в процеса бе твърде шумен и задейства алармите, което го лиши от цялото предимство, с което разполагаше,” коментира Хейс.

Досега са открити, че 10 уникални файла, свързани с разпространението на коронавирус (PDF, MP4 и Docx), се споделят из мрежата и са със злонамерени технологии, като софтуер за криптиране на файлове и  добавки за браузъра с достъп към чувствителни данни.

Регистрирани са около 4000 домейна, свързани с името на вируса, от които 50% са с вируси по данни на израелската компания за киберсигурност CheckPoint.

Списък с опасните сайтове и файлове ще намерите тук:

• фишинг имейли, които използват Microsoft Office документи
• CoronaVirusSafetyMeasures_pdf  
• Corona-Virus-Map.exe
• украинския corona.doc
• неофициални съобщения от центровете за зарази и контрол
• копирани сайтове на държавни администрации
• coronavirusstatus[.]space – не влизайте
• coronavirus-map[.]com – не влизайте
• blogcoronacl.canalcero[.]digital – не влизайте
• coronavirus[.]zone – не влизайте
• coronavirus-realtime[.]com – не влизайте
• coronavirus[.]app – не влизайте
• bgvfr.coronavirusaware[.]xyz – не влизайте
• coronavirusaware[.]xyz – не влизайте
• corona-virus[.]healthcare – не влизайте
• survivecoronavirus[.]org – не влизайте
• vaccine-coronavirus[.]com – не влизайте
• coronavirus[.]cc – не влизайте
• bestcoronavirusprotect[.]tk – не влизайте
• coronavirusupdate[.]tk – не влизайте
• имейли и кампании от @coronavirusstatus[.]space

В изрънредно съобщение на сайта им ГДБОП ни уведомява, че заради ситуацията сигнали за извършени киберпрестъпления е препоръчително да се изпращат чрез формата за сигнализация на адрес https://www.cybercrime.bg/bg/contacts.

Материала подготви Атанас Нейчев