Jak zabezpieczyć router – bezpieczeństwo sieci domowej? (podcast audio)

Data: 19.01.2020 19:42

Autor: ziemianin

youtube.com

#aktualnosci #codziennaprasowka #informacje #wiadomosci #cyberbezpieczenstwo #komputery #router #siecikomputerowe

Domowy router stanowi swoistą pierwszą linię obrony przed atakującymi.

Jak się przed nimi obronić? Na jakie zagrożenia jesteśmy narażeni? Co warto sprawdzić?

Jak zabezpieczyć router – bezpieczeństwo sieci domowej? (podcast audio)

Materiał w formie tekstowej: Jak zabezpieczyć router – bezpieczeństwo sieci domowej?

Spis treści

Wprowadzenie

Serwer DHCP

Dane DNS

DNS hijacking

Atak DDOS

Dyski i drukarki

Udostępnianie plików

WPA2

Sieć lokalna

Lokalizacja WIFI

WPS

UPNP

Port forwarding

Aktualizacje

Błędy bezpieczeństwa

Lista komputerów

Wprowadzenie

Jeżeli słuchasz tego podcastu to znaczy, że posiadasz dostęp do Internetu. Jest więc spora szansa, że w zaciszu Twojego mieszkania znajduje się router, który dostarcza Internet do komputera, telefonu i tabletu. Urządzenia te zazwyczaj są schowane za meblami i przypominamy sobie o nich raz na jakiś czas, gdy potrzeba chwili nakazuje nam ich restart. Ale ich zadanie jest o wiele większe niż tylko rozdzielanie pakietów do odpowiednich miejsc. Możesz sobie z tego nie zdawać sprawy, ale router stanowi swoistą pierwszą linię obrony przed atakującymi, którzy czyhają na nasze wirtualne zasoby.

Cześć. Ja jestem Kacper Szurek i w dzisiejszym odcinku podcastu Szurkogadanie opowiem o bezpieczeństwie domowych routerów. Co może nam grozić, jeżeli przestępca przejmie nad nimi kontrolę? Jakie opcje może wykorzystać przeciwko nam, a także jak możemy się przed tym obronić? Jeżeli materiały tego rodzaju Ci się podobają zapraszam do dołączenia do grupy od 0 do pentestera na Facebooku.

Podcast ten można również znaleźć na Spotify oraz Google i Apple Podcasts oraz Anchor.

Serwer DHCP

Zacznę od wyjaśnienia, jak atakujący może wykorzystać nasz domowy router przeciwko nam. Domowy router nie służy tylko do rozdzielenia Internetu przychodzącego z jednego kabla naszego dostarczyciela usług na wiele komputerów. Posiada wiele innych, wbudowanych funkcji. Jedną z nich jest serwer DHCP. Ten to serwer automatycznie przydziela nam adres IP, którym będzie się posługiwał nasz komputer. Wykorzystując analogię – każdy komputer podłączony do sieci, aby mógł z niej korzystać, musi mieć swój adres IP. Tak jak każde mieszkanie musi mieć swój numer – aby listonosz wiedział, gdzie dostarczyć listy. Po włączeniu komputera, router zazwyczaj przesyła nam pakiet z adresem IP, którego powinniśmy używać.

Dane DNS

Oprócz tego, przekazuje tam również adres serwera DNS. Ludzie są bowiem słabi w zapamiętywaniu liczb – a adres IP to właśnie taki ciąg. Zamiast tego wolimy wykorzystywać nazwy, które coś dla nas znaczą. Jeżeli bowiem chciałbyś odwiedzić moją stronę, prościej jest mi powiedzieć abyś wpisał w przeglądarkę ciąg „szurek.pl”. Wtedy to Twoja przeglądarka i system operacyjny komunikują się z serwerem DNS, pytając jaki adres IP ma serwer „szurek.pl”. Serwer DNS zwraca odpowiedni wynik i dopiero wtedy można połączyć się z odpowiednim komputerem w sieci. Tak działa to normalnie. Ale jeżeli atakujący posiada dostęp do routera – może przeprowadzić atak DNS hijacking.

DNS hijacking

Wtedy nasz komputer otrzyma błędny adres serwera DNS, który jest kontrolowany przez przestępcę. Niesie to za sobą różnorakie konsekwencje. Po pierwsze – osoba po drugiej stronie będzie wiedziała, jakie adresy stron odwiedzamy. Zapytanie o każdy taki adres bowiem trafia do serwera DNS. Po drugie – jeżeli tylko będzie miała na to ochotę – będzie mogła zwrócić nam błędny adres IP serwera, o którego adres prosimy. Czyli zamiast łączyć się z serwerem naszego banku, możemy połączyć się z komputerem atakującego.

Ale atak może się odbywać na innej płaszczyźnie. Przez router przepływa bowiem cały ruch internetowy. Złośliwy aktor może dla przykładu modyfikować treść dowolnej strony, którą przeglądamy – doklejając do niej nowy kawałek kodu. Ten to może wykonywać najróżniejsze czynności. Logować wciśnięte klawisze, kopać kryptowaluty, czy też modyfikować podawane w formularzach dane. Wszystko zależy od inwencji twórcy. Jeżeli ściągamy jakiś plik z serwisu, automatycznie w locie może podmienić jego zawartość na inną, wygenerowaną przez niego. To może prowadzić do dalszej infekcji nie tylko naszego routera, ale także systemu operacyjnego na komputerze. Wszak ściągnęliśmy plik ze strony, której ufamy i nie spodziewaliśmy się, że mogła ona zawierać jakieś złośliwe elementy.

Te ataki są niwelowane przez protokół HTTPS i szyfrowanie połączenia. O ile bowiem atakujący może podmienić adres IP, to nie może stworzyć odpowiedniego certyfikatu. Więcej o tym temacie opowiadam w innym podcaście na temat protokołu HTTPS. Tylko, to zabezpieczenie działa jedynie w przypadku protokołu HTTPS. Musimy więc być tego świadomi.

Atak DDOS

Ale atak może zaszkodzić nie tylko nam. Na świecie istnieją bowiem miliony routerów. Znajdując błąd w jednym z nich – atakujący może zaatakować wszystkie z danej serii, a następnie wykorzystać do niecnych celów. Jednym z takich celów jest atak DDoS – kiedy to wiele różnych routerów wykonuje zmasowany atak na jedną stronę internetową. Cel jest jeden – doprowadzić do tymczasowej awarii strony, tak aby nie mogli z niej korzystać inni użytkownicy. Nie brzmi to jakoś złowrogo, ale zastanówmy się nad potencjalnymi konsekwencjami. Przed nami czarny piątek – jeden z lepszych okresów dla wszystkich sklepów internetowych, gdzie sprzedaż produktów trwa w najlepsze. Kilkuminutowy atak podczas takiego dnia to już realne straty dla sklepów, liczone w setkach złotych. Ale to nie wszystko.

Dyski i drukarki

Do niektórych routerów można podpiąć zewnętrzne dyski twarde oraz drukarki. Dzięki temu wszyscy domownicy mają dostęp do ważnych dla nich plików w obrębie całego mieszkania. To samo tyczy się atakującego, który może wykorzystać tak zebrane informacje do podszycia się pod nas lub do szantażu. Może również dla żartu uruchomić drukowanie 1000 stron w nocy na naszej domowej drukarce. Dalej, routery posiadają wbudowaną zaporę sieciową. Ona to działa trochę jak zawór jednostronny. My – możemy łączyć się z zewnętrznymi stronami i oglądać ich zawartość. Równocześnie zewnętrzne podmioty nie mogą bezpośrednio łączyć się z naszymi komputerami – ponieważ nie pozwoli na to firewall. Atakujący odpowiednio modyfikując konfigurację, może umożliwić dostęp do naszych komputerów.

Udostępnianie plików

Często zdarza się, że w obrębie sieci lokalnej udostępniamy niektóre pliki z naszego komputera, tak aby inni użytkownicy mieli do nich dostęp. Teraz – dostęp do nich jest również możliwy z zewnątrz. Jak widać zagrożeń jest wiele – wszystko zależy od kreatywności przestępców. Wiemy już, że router należy chronić. Ale jak to robić?

WPA2

Jeżeli korzystasz z Wi-Fi – włącz szyfrowanie WPA2 z AES. Co więcej, hasło tam używane powinno być długie i skomplikowane. Dlaczego? Ktoś, kto to będzie chciał skorzystać z Twojego Wi-Fi do niecnych celów nie musi cały tydzień siedzieć w samochodzie pod Twoim blokiem. Wystarczy, że raz pójdzie wyprowadzić psa z odpowiednim sprzętem. Ten sprzęt pobierze odpowiedni pakiet. Można go potem wykorzystać do przeprowadzania ataków siłowych w domu – bez dostępu do routera. Jeżeli więc nasze hasło ma tylko kilka znaków – szybko zostanie złamane. Atakujący będzie próbował wszystkich możliwych kombinacji. Nowoczesny sprzęt jest w stanie sprawdzić kilkaset tysięcy takich haseł na sekundę. Równie dobrze, jeżeli nie wykazaliśmy się kreatywnością – hasło może znajdować się w jednym z wcześniejszych wycieków danych. Wtedy złamanie go to tylko czysta formalność.

Sieć lokalna

Dzięki temu ktoś otrzyma dostęp do naszej sieci lokalnej. A to oznacza, że ma bezpośredni dostęp do naszych komputerów. Jeżeli ich nie aktualizujemy, bądź znajdują się tam stare wersje podatnych programów – możemy być narażeni. Co więcej, ktoś może wykorzystać nasz Internet i przeprowadzić jakąś nielegalną czynność. A wtedy to do naszych drzwi zapuka policja z prośbą o wyjaśnienia. Nazwa sieci nie powinna bezpośrednio wskazywać na naszą osobę. Sieć Kowalskiego to niekoniecznie dobry pomysł.

Lokalizacja WIFI

Zwłaszcza, że istnieją projekty, które zbierają informacje na temat dostępnych w danej lokalizacji sieci Wi-Fi. Informacje te służą niektórym usługom do geolokalizacji użytkownika, w sytuacji w której sygnał GPS nie jest dostępny. Okazuje się bowiem, że skanując listę dostępnych sieci i porównując ją z wirtualną bazą, możemy z dużą dozą prawdopodobieństwa określić, gdzie znajduje się dany użytkownik. Nazwy sieci w skali świata rzeczywiście się powtarzają. Ale już ich kombinacje – czyli fakt, że w danym miejscu użytkownik widzi sygnał sieci kowalski, test i kwiatek niekoniecznie. Pozostając w temacie haseł. Warto zmienić login i hasło do interfejsu graficznego urządzenia, tak aby przestała działać standardowa kombinacja admin/admin. Równocześnie dostęp do interfejsu graficznego powinien być dostępny tylko od strony portów LAN. Tłumacząc to nieco prościej – tylko z poziomu naszego mieszkania powinniśmy móc zalogować się do panelu admina. Można to łatwo sprawdzić, korzystając na moment z Internetu mobilnego w naszym telefonie. Jeżeli w przeglądarce podamy adres IP domowego Internetu, nie będąc równocześnie do niego podłączonymi – i otrzymamy możliwość wpisania hasła – koniecznie warto wyłączyć odpowiednią opcję.

WPS

Jeżeli nasz router posiada opcję WPS – wyłączmy ją. W teorii miała przyspieszyć parowanie komputera z nową siecią Wi-Fi. Zamiast przepisywać długie i skomplikowane hasła – wystarczył krótki pin lub wciśnięcie przycisku na obudowie urządzenia. Obecnie, standard ten uznawany jest za niebezpieczny i powinno się go wyłączyć. Możemy również zmienić adres serwera DNS na taki, który zapewni nam odpowiednią dawkę prywatności. Jednym z wyborów może być 1.1.1.1 należący do Cloudflare.

UPNP

Kolejny protokół, który należy wyłączyć to UPnP. Został on stworzony dla wszystkich urządzeń IOT, które znajdują się w naszym mieszkaniu. Mowa tu więc o wszystkich inteligentnych czajnikach, oczyszczaczach powietrza czy też odkurzaczach. One to wysyłając odpowiednie dane do routera, mogą odblokować odpowiednie porty na firewallu– tak aby mogły działać prawidłowo. Tylko, że urządzenia IOT nie słyną z dobrego bezpieczeństwa. Umożliwianie dostępu do nich z zewnątrz niekoniecznie jest najlepszym pomysłem. Zwłaszcza, jeżeli nie jesteśmy w pełni świadomi tego faktu a czynność ta dzieje się bez naszego udziału. Porty te można również odblokować samemu.

Port forwarding

Zazwyczaj opcja ta kryje się pod nazwą “port forwarding”. Jeżeli nigdy z niej nie korzystałeś – sprawdź czy nie znajdują się tam dziwne wpisy. Droższe routery pozwalają na stworzenie dodatkowej sieci Wi-Fi – tak zwanej sieci gościa. Zazwyczaj, jest ona odseparowana od normalnej sieci WIFI – to znaczy, że urządzenia z jednej sieci nie widzą tych z tej drugiej. Teoretycznie sieć taka powstała, abyśmy mogli udostępnić domowy Internet naszym gościom, którzy przyszli na kilkugodzinną imprezę na nasze mieszkanie. Ale równie dobrze, można wykorzystać tą funkcję do udzielenia dostępu do Internetu urządzeniom, którym nie za bardzo ufamy. Chociażby urządzeniom IOT.

Aktualizacje

Pamiętajmy o aktualizacjach. Niektóre routery (chociażby firmy Mikrotik) mogą same zaktualizować swój system – tak jak robi to Windows. Warto umieścić router w niedostępnym dla postronnych osób miejscu.

Dlaczego? Niektóre urządzenia posiadają na swoich obudowach porty USB, do których można wpiąć routery LTE lub też inne kompatybilne nośniki. Wtedy cały nasz ruch może trafiać do serwera kontrolowanego przez atakującego. Co więcej, routery posiadają przycisk resetu, który usuwa wszystkie hasła i przywraca urządzenie do stanu fabrycznego. Stąd też, bezpieczeństwo zależy także od braku fizycznego dostępu do urządzenia.

Wyłącz również opcję odpowiadania na pakiety ping. W przypadku niektórych routerów warto “przeklikać”” się przez dostępne w panelu opcje. Dla przykładu NetGear zbiera anonimowe statystyki, które to można wyłączyć z poziomu odpowiedniej opcji. Jeżeli widzisz nazwę, której nie rozumiesz – najprawdopodobniej jej nie potrzebujesz.

Błędy bezpieczeństwa

A takich dodatkowych usług może być wiele: SSH, telnet, SNMP. Jeżeli dopiero stoisz przed wyborem odpowiedniego dla siebie urządzenia, warto przed zakupem przeprowadzić na jego temat krótkie poszukiwania. Wystarczy w wyszukiwarce użyć nazwy modelu i dodać słowo kluczowe „exploits”, „bug”, „vulnerability”. Dowiesz się wtedy czy na urządzenie nie ma obecnie jakiejś znanej, a nienaprawionej przez producenta luki.

Urządzenia tego typu często mają dość krótki czas życia. Zdarza się zatem, że błąd istnieje – został zgłoszony, ale producent nie zamierza go naprawić. Dlatego też warto sprawdzić, czy producent wydaje regularne aktualizacje oprogramowania. Samo istnienie błędu to nie koniec świata. Błędy bezpieczeństwa zdarzają się każdemu.

Ważne jest natomiast jak szybko producent na nie reaguje i czy udostępnia odpowiednie łatki bezpieczeństwa. Większość urządzeń pozwala na zapisywanie logów ze swojego działania: w tym zdarzeń dotyczących bezpieczeństwa. Ale nie oszukujmy się, panel sterowania routerem to nie jest pierwsze miejsce, do którego trafiamy każdego poranka. Można więc rozważyć opcję wysyłania emaila – w przypadku specjalnych zdarzeń.

Lista komputerów

Sporo urządzeń pozwala na podgląd aktualnie podpiętych poprzez Wi-Fi komputerów – w tym nazw, którymi się one posługują. Jeżeli widzisz tam zbyt dużą liczbę laptopów, bądź też nie rozpoznajesz któregoś z nich – może pora na zmianę hasła? Nigdy nie wiadomo czy sąsiad nie wykorzystuje naszego połączenia.

Na koniec całej tej konfiguracji warto potwierdzić, czy rzeczywiście nic nam nie umknęło. Serwisy takie jak Shodan czy też Censys nieustannie skanują wszystkie adresy w Internecie, sprawdzając, co się na nich znajduje. Jeżeli w daną wyszukiwarkę wpiszemy nasz publiczny adres IP – powinniśmy otrzymać puste wyniki. Oznacza to bowiem, że żadna usługa nie jest dostępna z zewnątrz.

W innym wypadku – albo dane firmy są nieaktualne albo też musimy przyjrzeć się, dlaczego niektóre porty są dostępne.

Więcej informacji na ten temat można odnaleźć na stronie routersecurity.org1. Znajduje się tam kompletna lista punktów, które powinniśmy sprawdzić na naszym routerze.

I to już wszystko w tym odcinku. Podobało się? Pokaż odcinek znajomym. A ja już dzisiaj zapraszam do kolejnego odcinka. Cześć!

#ZaufanaTrzeciaStrona - Analiza złośliwego kodu dla amatorów na świeżym przykładzie

Data: 16.01.2020 06:19

Autor: ziemianin

zaufanatrzeciastrona.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #komputery #cyberbezpieczenstwo #zlosliwykod #malware #trojan #ZaufanaTrzeciaStrona #informatyka

Chcecie zobaczyć, jak radzimy sobie z analizą ataków, dysponując jedynie przeglądarką i kwadransem wolnego czasu? Pokażemy to na ciekawym przykładzie ataku z dzisiejszego poranka. Doświadczenie w analizie nie jest wymagane ;)

#ZaufanaTrzeciaStrona – Analiza złośliwego kodu dla amatorów na świeżym przykładzie

Czasem widzimy różne ataki i zastanawiamy się, czy są ciekawe (czyli warte opisania), czy też niekoniecznie. Wstępna analiza przebiegu ataku pozwala podjąć szybką decyzję, czy zawracać głowę prawdziwym analitykom malware’u. Oczywiście przedstawiona poniżej metoda obarczona jest sporymi błędami, ale to prawdopodobnie najlepsze, na co stać amatora z przeglądarką jako głównym narzędziem pracy.

Niepozorny e-mail

W nasze ręce trafił wczoraj rano e-mail, który na pierwszy rzut oka wyglądał dość niepozornie. Mieliśmy 3 identyczne kopie i przekonanie, że coś chyba jest nie tak.

Nagłówki wiadomości przekonały nas, że coś jest na rzeczy.

Do: undisclosed-recipients:;

Authentication-Results: server.linux80.papaki.gr; spf=pass (sender IP is ::1) smtp.mailfrom=sekretariat@ppuport.pl smtp.helo=webmail.apricotandsea.com

X-Sender: sekretariat@ppuport.pl

X-Ppp-Message-Id: 20200113082135.31371.26021@server.linux80.papaki.gr

Return-Path: sekretariat@ppuport.pl

X-Ppp-Vhost: apricotandsea.com

Received: from server.linux80.papaki.gr (server.linux80.papaki.gr [138.201.37.101]) by XXX (Postfix) with ESMTPS id 47x64d3QS0z1w7K for XXX@XXX.pl; Mon, 13 Jan 2020 09:21:37 +0100 (CET)

Received: from webmail.apricotandsea.com (localhost.localdomain [IPv6:::1]) by server.linux80.papaki.gr (Postfix) with ESMTPSA id 13E2A1A49E10; Mon, 13 Jan 2020 10:21:34 +0200 (EET)

f6283fe0d66176eac98a83372ac6d088@ppuport.pl

Received-Spf: pass (server.linux80.papaki.gr: connection is authenticated)

Wynika z nich, że choć adres rzekomego nadawcy jest w domenie PL, to serwery pośredniczące w wysyłce były w domenach COM i GR. Po co polska firma miałaby wysyłać wiadomości z greckiego serwera? Badamy dalej.

Cóż to za potwór w załączniku

Plik załącznika to prawdopodobnie kluczowy element pułapki. Nie będziemy go otwierać lokalnie, tylko od razu przekażemy ekspertom online. Wchodzimy zatem na stronę

https://app.any.run/

Wgrywamy plik na serwer i czekamy, co się stanie. A dzieje się całkiem sporo. Pod adresem

https://app.any.run/tasks/2ed4abe1-4021-4fe6-bea6-11f227e792b8/

możecie znaleźć wynik analizy. Ten serwis pozwala nawet obserwować, co dzieje się na ekranie komputera w trakcie uruchamiania załącznika. Widzimy zatem, że uruchomiony zostaje Word (w końcu to plik .DOC). W bocznym pasku po chwili widzimy przebieg wydarzeń.


pozostała treść na stronie źródła

Ransomware ewoluuje – nowa grupa dodaje okup za nieujawnienie danych

Data: 13.01.2020 19:54

Autor: ziemianin

zaufanatrzeciastrona.pl

#codziennaprasowka #informacje #wiadomosci #aktualnosci #cyberbezpieczenstwo #atak #PulseSecure #ransomware #Sodinokibi #Travelex

Cyberprzestrzeń nie lubi pustki. Po zakończeniu świadczenia usługi Ransomware-as-a-Service GrandCrab, pojawia się nowa usługa, nowy malware, jeszcze groźniejszy, jeszcze skuteczniejszy. Każdy ma coś do stracenia – tę zasadę wykorzystują przestępcy.

Ransomware ewoluuje – nowa grupa dodaje okup za nieujawnienie danych

Nauczeni doświadczeniem specjaliści bezpieczeństwa coraz skuteczniej wdrażają mechanizmy ochrony (a w zasadzie odzyskiwania danych) na wypadek ataku ransomware. Przestępcy zauważyli, że ofiary nie chcą płacić. Skuteczne uruchomienie procedur odzyskiwania („Disaster Recovery”) sprawia, że przestępcy musieli znaleźć inny sposób czerpania zysków ze swojej działalności. Jest to kolejny przypadek, w którym stawką jest nie tylko odzyskanie danych, by zapewnić utrzymanie ciągłości działania firmy, ale także ochrona ich poufności.

Zaufana Trzecia Strona - „Płać za zwrot danych” już nieaktualne – teraz jest „Płać albo publikujemy”

Data: 09.01.2020 00:56

Autor: ziemianin

zaufanatrzeciastrona.pl

#codziennaprasowka #informacje #wiadomosci #aktualnosci #cyberbezpieczenstwo #Wlamania #Zlosniki #Maze #ransomware #ryuk #Suthwire #WorldHostingFarmLimited

Autorzy ransomware najwyraźniej zauważyli możliwość zwiększenia konwersji swoich przymusowych klientów – oprócz szyfrowania danych zaczęli je wykradać i grozić upublicznieniem. Jedna grupa nawet założyła w tym celu własny serwis WWW.

Zaufana Trzecia Strona – „Płać za zwrot danych” już nieaktualne – teraz jest „Płać albo publikujemy”

Rok 2019 przyniósł istotne zmiany w krajobrazie ataków ransomware. Coraz częściej widzimy na polskim rynku i poza nim ataki wycelowane w przedsiębiorstwa. Nazwy takie, jak Ryuk, LockerGoga, MegaCortex, Maze czy RobbinHood, budzą niemiłe wspomnienia niejednego prezesa. W ostatnim roku część przestępców porzuciła szyfrowanie dysków osób prywatnych i skoncentrowała się na działalności b2b. Rozpoznają biznes ofiary, szacują potencjalne straty, zdobywają uprawnienia administratora domeny i uruchamiają procedury szyfrowania jednocześnie na setkach lub tysiącach stacji roboczych i serwerów. Odpowiednio do większego wysiłku, który wkładają w swoją działalność, zwiększyli także kwoty oczekiwanych okupów. Stawki zaczynają się od 100 000 – 200 000 PLN, ale widzieliśmy też takie po kilka milionów. Cześć organizacji płaci, część odzyskuje z backupów – i ta druga grupa jest głównym problemem przestępców. Przestępcy postanowili ten problem zaadresować w ciekawy, choć niepokojący sposób.

ciąg dalszy na stronie źródła

Gdy przestępcy brakuje talentu, a też chce kraść pieniądze

Data: 29.12.2019 21:57

Autor: ziemianin

zaufanatrzeciastrona.pl

#codziennaprasowka #informacje #wiadomosci #aktualnosci #zaufanatrzeciastrona #cyberbezpieczenstwo #bank #login #phishing #SmartCare #sms

Czasem trafiamy na naprawdę świetnie przygotowane ataki. Przemyślane scenariusze oszustw, historie wiarygodne i dopracowane, wdrożenia bezbłędne i skuteczne. Nie o takim ataku chcemy wam jednak dzisiaj opowiedzieć.

Gdy przestępcy brakuje talentu, a też chce kraść pieniądze

Nie każdy przestępca jest na tyle inteligenty, by wymyślać nowe, kreatywne ataki (jak np. fałszywe panele Dotpay/PayU) lub skutecznie kopiować metody już sprawdzone (jak np. fałszywe panele Dotpay/PayU). Co zatem robi przestępca, gdy nie potrafi wykazać się finezją, znajomością psychologii i ludzkiego umysłu? Takiemu złodziejowi pozostaje determinacja, a jej efekty możecie podziwiać poniżej.

Usługa, której nie było

Jeden z naszych Czytelników, Paweł, zwrócił naszą uwagę na ciekawą próbę oszustwa. Paweł łączył ją z atakiem na Virgin Mobile, ale na razie nie widzimy związku. Sam atak opisany został tydzień temu na Wykopie (czemu nie tagujesz @BlindHeron?). Do Wykopowicza, jak i do Pawła przyszedł SMS o takiej oto treści:

Przypominamy o korzystaniu z aktywnej uslugi SmartCare dla numeru: [tu numer] Oplata zostanie naliczona automatycznie na numer telefonu dnia: 13.01.2020. Formularz zgloszenia telefonu do naprawy oraz opcja rezygnacji z uslugi dostepne na: smartcare.xn.pl.

Wiadomość wysłana była z bramki internetowej. Co czeka na ofiarę? Obrazki mówią same za siebie.

Krok pierwszy – rzekoma witryna serwisu naprawiającego telefony, gdzie wykupiliśmy podobno pakiet za 59,99 miesięcznie, ale możemy z niego zrezygnować.

Proces rezygnacji zaczyna się od podania numeru telefonu – można wpisać dowolny.

Okazuje się, że za rezygnację musimy zapłacić 10 PLN „w systemie SmartPay”.

Mamy kilka banków do wyboru.

Następnie mamy wprowadzić swój PESEL i nazwisko panieńskie matki.

W zależności od wybranego banku musimy przepisać kod z SMS-a

…lub przepisać kod z wiadomości głosowej.

Na koniec dowiadujemy się, że płatność została przyjęta.

Czy to ma szansę zadziałać

Scenariusz ataku i rodzaj gromadzonych danych wydaje się wskazywać na próbę nieautoryzowanej aktywacji aplikacji mobilnej wybranego banku na cudzym urządzeniu. Po dokonaniu takiej aktywacji złodziej może – w zależności od limitów transakcyjnych dla kanału mobilnego – ukraść ok. 1000 – 2000 PLN.

Samo oszustwo wygląda tak trywialnie, że aż trudno uwierzyć, by było prawdziwe. Gdyby nie dwie relacje osób, które wiadomość otrzymały, to obstawialibyśmy eksperyment naukowy mający na celu weryfikację, jak daleko zajdzie ofiara mimo tak oczywistego oszustwa.

Znamy jednak życie i w związku z tym nie możemy wykluczyć, że ktoś się dał na to złapać. Jeśli macie informacje o skuteczności tego ataku (widzieliście w swoim banku ofiary lub jesteście jego sprawcami), to chętnie dowiemy się, jak wyglądały statystyki. Chyba że to jednak badanie naukowe – wtedy czekamy na publikację.

Co robić?

Skoro czytacie ten artykuł w naszym serwisie, to zapewne nie musimy wam tłumaczyć, jak się przed tym atakiem bronić. Prosimy jednak, byście przy każdej okazji tłumaczyli swoim bliskim i znajomym, że login i hasło do banku można podawać tylko na stronie banku i nigdy nie będzie żadnego powodu, by podać je na jakiejkolwiek innej witrynie. A strona banku musi mieć w adresie domenę banku i nic innego. Może kogoś kiedyś w ten sposób uratujecie.

Technikalia

W chwili pisania tego artykułu witryna wczytywana jest z adresu:

pomoc.kylos.pl

A ciąg URL-i wygląda np. tak:

http://pomoc.kylos.pl/rezygnacja.php

http://pomoc.kylos.pl/sprawdz.php

http://pomoc.kylos.pl/wybor.php

http://pomoc.kylos.pl/santander.php

http://pomoc.kylos.pl/santandersms.php

http://pomoc.kylos.pl/santanderok.php

Ważne dane tysięcy klientów wyciekły z Virgin Mobile Polska

Data: 26.12.2019 14:25

Autor: ziemianin

telepolis.pl

#codziennaprasowka #informacje #wiadomosci #aktualnosci #polska #telefoniakomorkowa #Virginmobile #hakerzy #operatorzykomorkowi #cyberbezpieczenstwo #cyberatak

Hakerzy zyskali dostęp do danych tysięcy klientów Virgin Mobile Polska. Chodzi m.in. o imiona i nazwiska oraz numery PESEL

Ważne dane tysięcy klientów wyciekły z Virgin Mobile Polska

W Virgin Mobile doszło do wycieku danych tysięcy klientów, w tym ich imion i nazwisk oraz numerów PESEL. Jak poinformował operator, wyciek nastąpił na skutek ataku hakerskiego na jedną z aplikacji informatycznych firmy.

Virgin Mobile Polska w oświadczeniu wyjaśniło, że do ataku hakerskiego na firmę doszło w dniach 18-22 grudnia 2019 roku. Zaatakowana aplikacja "umożliwiała dostęp do danych rejestrowych" klientów spółki – chodzi m.in. o imiona i nazwiska oraz numer PESEL lub numer dokumentu potwierdzającego tożsamość.

Atak na Virgin Mobile Polska. Wyciekły dane, klienci informowani są SMS-owo

Operator podkreśla jednak, że chodzi o dane 12,5 proc. klientów prepaid, czyli telefonów "na kartę". Dane abonentów, według Virgin, nie wyciekły – przynajmniej dopóki nie korzystali oni również z kart prepaid. "Osoby, których dane wyciekły, zostały o tym poinformowane SMS-owo" – podkreśla Virgin.

Jeśli jednak ktoś posiada nieaktywny numer w Virgin, powinien skontaktować się z infolinią w celu ustalenia, czy jego dane mogły wyciec. Operator doradza kontakt telefoniczny również klientom, którzy dokonywali cesji numeru na inną osobę.

Spółka zapewniła w oświadczeniu, że od razu po ataku podjęła "działania mające na celu zabezpieczenie danych abonentów przed dalszymi atakami" oraz "złożyła stosowne zawiadomienie do organu nadzoru zgodnie z RODO" i "złoży również zawiadomienie o podejrzeniu popełnienia przestępstwa do organów ścigania".

Spółka wzmocniła również procedury uniemożliwiające wykorzystanie danych abonentów, które zostały nielegalnie pozyskane (wprowadzenie dodatkowych/ponadstandardowych środków weryfikacji tożsamości), do składania dyspozycji dotyczących umów o świadczenie usług telekomunikacyjnych z tymi abonentami.

Virgin Mobile podkreśliło też, że w ramach ataku hakerzy nie uzyskali dostępu ani do baz ani infrastruktury operatora, a jedynie części danych udostępnionych w jednej aplikacji.

Zaufana Trzecia Strona - Nie dajcie się złapać na tę sprytną sztuczkę w czasie zakupów

Data: 02.12.2019 23:15

Autor: ziemianin

zaufanatrzeciastrona.pl

#codziennaprasowka #informacje #wiadomosci #aktualnosci #cyberbezpieczenstwo # #Allegro #falszywysklep #OLX #oszustwo #PayU #platnosc

Black Friday, Cyber Monday, święta tuż za pasem… Nic dziwnego, że przestępcy wszelkiej maści powrócili do oszustw z wykorzystaniem prawdziwych płatności PayU w fałszywych serwisach internetowych. Sprawdźmy, co nowego wymyślili.

Zaufana Trzecia Strona – Nie dajcie się złapać na tę sprytną sztuczkę w czasie zakupów

Oszustwa tego typu spopularyzowały się kilka miesięcy temu. Na z3s opisywaliśmy już okradanie nieświadomych użytkowników zarówno na fałszywym, jak i na prawdziwym Allegro. Sztuczkę tę z powodzeniem stosowali także twórcy stron podszywających się pod różne sklepy internetowe. Na trop kolejnych oszustów wpadli specjaliści działu bezpieczeństwa Ceneo.pl, którzy podzielili się z nami swoimi ustaleniami – za co dziękujemy.

Oszustwo krok po kroku

Zaczyna się od oferty sprzedaży sprzętu elektronicznego, np. iPhone’a, w bardzo atrakcyjnej cenie. Oszust (lub oszustka) publikuje ją w którymś z serwisów ogłoszeniowych – poniżej macie przykład z OLX. Pracownicy Ceneo, którzy badali sprawę, donoszą, że podobne ogłoszenia pojawiały się też w mediach społecznościowych.

Kolejnym krokiem jest rozmowa z potencjalnym klientem – albo telefonicznie, albo z użyciem SMS-ów. Przestępca umawia się na sprzedaż za pośrednictwem stron udających Allegro (takich jak allegro.media.pl i allegro.targi.pl) albo zarejestrowanych na nowo domen po nieistniejących już sklepach (np. rcplus.net.pl), które oszust rekomenduje ofierze.

Obie znane nam domeny prowadzące do fałszywego Allegro zostały zarejestrowane za pośrednictwem 101domain GRS Ltd. z siedzibą w Irlandii. Domenę allegro.targi.pl utworzono 23 listopada, a allegro.media.pl – 20 dni wcześniej i w jej sprawie toczy się już postępowanie wyjaśniające. Dane abonenta, jak to zwykle w takich przypadkach bywa, zostały utajnione. Pod adresem rcplus.net.pl jeszcze w ubiegłym roku funkcjonował sklep dla miłośników modelarstwa i zdalnie sterowanych pojazdów, cieszący się dobrą opinią na Ceneo i Opineo. Według ogólnie dostępnych rejestrów firma zawiesiła działalność pod koniec sierpnia 2018 r. Do ponownej rejestracji domeny – tym razem za pośrednictwem serwisu Domena.pl – doszło 10 października, niestety tutaj również dane abonenta nie są dostępne.

Wróćmy jednak do naszego oszusta. Jeśli ofiara złapie przynętę, zamawia on w legalnie działającym sklepie jakiś produkt, tak by kwota płatności zgadzała się z tą, którą ustalił z klientem. Oczywiście nie płaci za zamówienie, tylko – podobnie jak w opisywanych przez nas wcześniej przypadkach – link do płatności wysyła ofierze lub zamieszcza na podrobionej stronie.

Po zaksięgowaniu płatności legalnie działający sklep wyśle towar na adres, który został podany przez oszusta – chodzi zwykle o paczkomaty. Zdarzało się też, że pod adresem pocztowym paczkomatu osoba działająca na zlecenie przestępcy odbierała przesyłkę od kuriera. Sprawą zainteresowali się już funkcjonariusze z Komendy Wojewódzkiej Policji w Krakowie z Wydziału do Walki z Cyberprzestępczością. W chwili pisania tego artykułu żadna z wymienionych w nim stron nie działała, co nie znaczy, że nie pojawiły się nowe.

Jak się bronić przed takimi oszustwami

Przede wszystkim nie zapominajcie – i uświadomcie swoich znajomych – że jeśli jakaś oferta wygląda na zbyt piękną, by była prawdziwą, to prawdopodobnie prawdziwa nie jest. Inną ważną zasadą jest opłacanie tylko tych zamówień, które zostały przez was samodzielnie wygenerowane na stronach odpowiednich serwisów (uważajcie zwłaszcza na linki wysyłane SMS-em). Przed dokonaniem zakupów w konkretnym sklepie sprawdzajcie, czy aby na pewno korzystacie z właściwej strony – często adresy fałszywych sklepów zawierają drobne literówki lub dodatkowe słowa.

Włamał się do banku, ukradł pieniądze, opublikował raport z włamania

Data: 17.11.2019 22:07

Autor: ziemianin

zaufanatrzeciastrona.pl

#codziennaprasowka #informacje #wiadomosci #zaufanatrzeciastrona #cyberbezpieczenstwo #bank #Kajmany #PhineasFisher #PwC #wlamanie #wyciek

Rzadko mamy okazję czytać profesjonalne raporty z udanego włamania do banku. Jeszcze rzadziej raporty te publikuje sam włamywacz, nie mówiąc o bug bounty dla innych hakerów za kolejne włamania.

Włamał się do banku, ukradł pieniądze, opublikował raport z włamania

To jest jedna z ciekawszych historii, jakie przydarzyły się w ostatnich latach w naszej branży. Pamiętacie Phineasa Fishera, który włamał się do sieci producentów oprogramowania szpiegowskiego takich jak Gamma Group czy Hacking Team? Włamywacz nie poprzestał na tych atakach – jak twierdzi, w roku 2016 włamał się także do pewnego banku na Wyspie Man. Nie tylko ukradł stamtąd ponad 2 TB danych, ale wśród opublikowanych dokumentów zamieścił raport firmy PwC ze swojego włamania. Do tego ogłosił nagrodę dla innych włamywaczy, prawdopodobnie finansowaną ze środków wykradzionych z zaatakowanego banku. Co za historia! Ale po kolei.

2 TB danych z banku obsługującego bogaczy

Na Twitterze pojawił się wpis organizacji „Distributed Denial of Secrets” zawierający link do informacji wykradzionych z banku Cayman National Bank and Trust, który rzekomo brał udział w praniu pieniędzy rosyjskich oligarchów.

RELEASE: Sherwood – Copies of the servers of Cayman National Bank and Trust (CNBT), which has allegedly been used for money laundering by Russian oligarchs and others.



Includes a HackBack readme explaining Phineas Fisher's hack and exfiltration of funds. https://t.co/xoQLSjBFX3



— Distributed Denial of Secrets (@DDoSecrets) November 17, 2019

Pod linkiem znajdziemy ogromne zbiory danych, rzekomo wykradzione z ww. banku i zawierające nie tylko historię rachunków jego klientów, ale także kopię korespondencji elektronicznej pracowników banku. Dane te zostały wcześniej udostępnione konsorcjum dziennikarzy śledczych, a wkrótce zbiór ma zostać dołączony do publicznie dostępnej wyszukiwarki informacji.

Równocześnie w sieci pojawił się manifest Phineasa Fishera, który poinformował, że stał za tym włamaniem (tu krótsza wersja po angielsku – oryginał napisano po hiszpańsku). Phineas nie tylko opisuje okoliczności ataku (miał rzekomo użyć tego samego exploita, którym pokonał zabezpieczenia Hacking Teamu, o czym w kolejnym akapicie), ale także informuje, że ukradł kilkaset tysięcy dolarów, z których zamierza finansować nagrody dla innych włamywaczy, atakujących podobne cele. Pisze, że maksymalna nagroda może wynosić nawet 100 000 dolarów. Czas pokaże, czy przekona to innych napastników.

Przebieg włamania

W ustaleniu, jak doszło do włamania, pomogą nam dwa źródła – wpis Phineasa oraz ujawniony przy okazji raport z włamania, opracowany przez PwC. Pomoże też Google Translate, ponieważ Phineas pisze po hiszpańsku.

Raport PwC podkreśla dwa istotne elementy, ograniczające jego poziom szczegółowości. Pierwszy to niewielka dostępność logów – wiele informacji nie było przez bank w żaden sposób rejestrowanych, a pozostałe były dość szybko nadpisywane, przez co nie zachowała się pełna historia wydarzeń. Drugim ograniczeniem był budżet i zakres projektu – w wielu miejscach analitycy PwC wskazują, że danego wątku nie analizowali ze względu na ograniczenia projektowe.

Podczas gdy Phineas informuje, że dostał się do sieci za pomocą exploita na urządzenie sieciowe, PwC wskazuje, że nie znalazło oczywistych śladów pierwotnej infekcji z uwagi na brak logów. Informuje za to, że w przeskanowanej poczcie banku znalazło kilka przykładów ogólnych ataków oraz co najmniej jeden atak dedykowany – złośliwy kod dołączony do wiadomości poczty elektronicznej, korzystający z domeny sterującej założonej tuż przed atakiem. Sam Phineas komentuje, że być może nie był jedynym włamywaczem w sieci banku.

Co do kolejnych kroków obie strony w pełni się zgadzają – Phineas przeszedł do klasycznego działania włamywacza, czyli rozpoznania sieci i penetracji jej dodatkowych obszarów.

7 stycznia 2016 bank zorientował się, że kilka przelewów SWIFT zawiera błędy. To pozwoliło zidentyfikować fakt, że ktoś buszuje w jego sieci. 19 stycznia 2016 do analizy incydentu wynajęto PwC. Z 10 kluczowych systemów banku aż 7 znajdowało się pod kontrolą włamywacza. Atakującemu chodziło zarówno o kradzież informacji, jak i pieniędzy. Zgadza się to z wersją przedstawioną przez włamywacza. Sam Phineas przyznaje, że nie miał żadnego doświadczenia z systemem SWIFT i aby nauczyć się jego obsługi, zaczął od wyszukania plików z ciągiem „SWIFT” w nazwie i ich pobrania. Nie znalazł tam jednak wystarczająco szczegółowych instrukcji, dlatego na stacjach roboczych pracowników zajmujących się przelewami zainstalował złośliwe oprogramowanie, które zapisywało naciskane klawisze i robiło zrzuty ekranów. Jak twierdzi, zgromadzona w ten sposób wiedza bardzo mu pomogła. Pracownicy używali Citrixa, by łączyć się do usługi firmy Bottomline, gdzie obsługiwali interfejs systemu SWIFT. Do autoryzacji przelewu potrzebne były potwierdzenia trzech osób, ale Phineas przejął kontrolę nad wszystkimi trzema kontami.

Jak sam podkreśla, Phineas nie miał bladego pojęcia, jak używać systemu SWIFT i uczył się w trakcie próby kradzieży. Pierwsze przelewy udało mu się zlecić prawidłowo, jednak w kolejnych popełnił błędy, które go zdradziły. Najpierw podał zły kod waluty dla przelewów międzynarodowych, a w kolejnej próbie przekroczył limit transferów dla przelewów przyspieszonych. Oba błędy zostały zauważone przez pracowników banku, którzy zgłosili anomalie i zablokowali możliwość dalszej kradzieży.

Phineas pisze, jak wygodnie pracowało mu się z PowerShellem i raport PwC to potwierdza. Najstarsze wykryte ślady aktywności włamywacza w systemach firmy sięgają 8 grudnia 2015, jednak brak wcześniejszych logów nie wyklucza, że do włamania mogło dojść przed tą datą. Znaleziono między innymi ślady skanowania serwerów przez włamywacza z lipca 2015.

Między godziną pierwszej aktywności na pierwszym z zainfekowanych serwerów a uruchomieniem złośliwego kodu na kontrolerze domeny minęło 39 minut.

Raport PwC potwierdza, że włamywacz pilnie studiował ciekawe dokumenty firmy. Zwróćcie uwagę na nazwy plików.

Raport potwierdza także intensywne korzystanie z keyloggerów i próby dostania się do poczty pracowników. W dokumencie znajdziecie również analizę fragmentów skryptów i narzędzi użytych przez włamywacza.

PwC potwierdza ponadto, że do przelewów SWIFT doszło już 5 stycznia 2016, podczas gdy pierwszy przelew odrzucony został 6 stycznia wieczorem. Nie znajdziemy tam jednak informacji o wysokości strat poniesionych przez bank na skutek nieautoryzowanych transakcji. Raport zawiera oczywiście także sporą sekcję rekomendacji – zalecamy jej lekturę bankowym obrońcom.

Podsumowanie

Nie wiemy, dlaczego do publikacji danych doszło dopiero 3 lata po włamaniu. Nie wiemy też jeszcze, czy wśród klientów banku znajdują się Polacy (wstępny rzut oka na dostępne informacje nie wskazuje na bezpośrednie powiązania klientów z naszym krajem). Wiemy jednak, że to kolejny ciekawy przykład pokazujący, jak prosto jest włamać się do poważnej instytucji i – mamy nadzieję – kolejny wyraźny sygnał, że czas naprawdę zadbać w firmach o podstawy bezpieczeństwa. Lista rekomendacji z raportu PwC niech będzie drogowskazem, w którym kierunku podążać, by nie zostać bohaterami kolejnego wycieku.

Zrozumieć rosyjski wywiad. Rosnąca rola GRU w mediach społecznościowych

Data: 17.11.2019 11:56

Autor: ziemianin

cyberdefence24.pl

#codziennaprasowka #informacje #wiadomosci #rosja #polska #usa #gru #cyberbezpieczenstwo #cyberataki #socialmedia #mediaspolecznocciowe #facebook #dezinformacja #fakenewsy

Rosyjskie operacje prowadzone na platformach mediów społecznościowych mają swe korzenie w ugruntowanej od dziesięcioleci radzieckiej strategii propagandowej – wynika z raportu opublikowanego przez Stanford. Ich charakter zmieniał się wraz z rozwojem ery cyfrowej oraz ewolucją social mediów.

Zrozumieć rosyjski wywiad. Rosnąca rola GRU w mediach społecznościowych

Na zlecenie Komisji ds. Wywiadu Senatu Stanów Zjednoczonych eksperci Stanford w raporcie „Potemkin Pages & Personas: Assessing GRU Online Operations” przeanalizowali dane, odnoszące się do postów zamieszczanych na platformach mediów społecznościowych, które zostały udostępnione przez władze Facebooka. Wszystko odbyło się w ramach badania operacji wpływu, prowadzonych przez służby rosyjskiego wywiadu GRU.

Raport stworzony przez ekspertów Stanforda i w sposób szczegółowy analizuje zbiór danych przekazanych przez Facebooka. Na podstawie zdobytych informacji specjaliści przeprowadzili ogólny przegląd taktyk i metod działania GRU, a także przedstawili zestaw danych statystycznych pokazujących działalność rosyjskiego wywiadu. Dodatkowo sporządzony został wykaz rodzajów operacji realizowanych przez rosyjskie służby. Wśród nich można wymienić na przykład tworzenie fikcyjnych profili publikujących fake newsy lub inne prorosyjskie treści, działania dezinformacyjne wymierzone w Stany Zjednoczone bądź Ukrainę, a także operacje „hack and leak”, polegające na kradzieży informacji a potem ich publikacji.

Autorzy raportu wskazują, że ich celem jest uświadamianie społeczeństwa na temat złośliwych operacji prowadzonych w ramach social mediów oraz wgląd w działania GRU w kontekście „szerszego środowiska informacyjnego”.

Tło i kontekst

Główny Zarząd Wywiadowczy, zwany potocznie GRU, podlega rosyjskiemu ministrowi obrony i odpowiada za prowadzenie szeroko zakrojonych operacji wywiadowczych. Jest upoważniony do realizacji specjalistycznych zadań przy wykorzystaniu kapitału ludzkiego (np. operacje psychologiczne) oraz technologicznego (m.in. cyberataki).

„Rozprzestrzenianie się dezinformacji jest jedną z podstawowych praktyk działania w ramach walki informacyjnej i częścią szeregu mechanizmów operacji wpływu prowadzonych przez Rosję” – mówi treść raportu. Według autorów dokumentu tego typu działania GRU są w dużej mierze zgodne z ustalonym wzorem taktycznym znanym jako narrative laundering czy information laundering. Polega on na tworzeniu fikcyjnych historii, a następnie ich publikację oraz rozpowszechnianie poprzez tworzenie specyficznego „łańcucha cytatów” (citation chain), co w ostateczności ma sprawić, że dana wiadomość zostanie uznana przez użytkowników za wiarygodną.

Kolejnym sposobem działania rosyjskich służb jest tak zwany „boosterizm”, który charakteryzuje się tworzeniem treści, a następnie ich rozpowszechnieniem, jednak głównym celem tego typu operacji jest stworzenie przekonania, że stanowisko przedstawione w spreparowanej wiadomości reprezentuje „popularny punkt widzenia”.

Przykłady przedstawione w raporcie dobitnie pokazują, w jaki sposób strategie działania służb zmieniały się wraz z rozwojem ery cyfrowej, dostosowując swoje operacje do kolejnych osiągnięć technologicznych. Dzięki pojawieniu się mediów społecznościowych GRU mogło realizować kampanie wpływu na szeroką skalę, tworząc fikcyjne profile rozpowszechniające fake newsy.

„Kolejną praktyką działania GRU są włamania oraz złośliwe kampanie wycieków danych realizowane za pomocą cyberataków” – stwierdzono w raporcie. Według specjalistów Stanford kompetencje GRU w tym zakresie pokrywają się z obowiązkami innych rosyjskich służb specjalnych, co należy mieć na uwadze podczas badania problematyki rosyjskiej działalności w cyberprzestrzeni. „Rozróżnienie między kompetencjami tych służb wydaje się być dostrzegalne tylko dla podmiotów funkcjonujących wewnątrz nich” – czytamy w dokumencie.

Główne podejścia

Współczesne operacje wpływów realizowane przez Moskwę mają swoje korzenie w ugruntowanej od dziesięcioleci radzieckiej strategii propagandowej, polegającej na rozpowszechnianiu ujednoliconych publikacji. Tego typu operacje koncentrowały się przede wszystkim na tworzeniu długiej formy tekstu lub innego materiału zorientowanego na państwo, a następnie skutecznej kampanii rozpowszechniającej, wykorzystującej między innymi lokalne media.

W tym miejscu należy również podkreślić, że strategia działania GRU obejmuje także tworzenie think tanków i stron z „alternatywnymi wiadomościami”. Jak wskazano w raporcie – „te ośrodki analityczne i witryny medialne opierały się na tzw. personach, czyli fałszywych tożsamościach internetowych, które były utrzymywane przez określony czas lub działały na wielu innych platformach, próbując stworzyć wrażenie, że dany profil osoby jest w pełni prawdziwy”.

Następnie autorzy dokumentu podkreślają znaczenie operacji dezinformacyjnych prowadzonych przez Moskwę. „Zbiór kampanii dezinformacyjnych opisanych w tym dokumencie wydaje się być w dużej mierze porażką służb (…) GRU nie zrobiła nawet absolutnego minimum, aby osiągnąć wysoki poziom wiarygodności, z wyjątkiem niektórych treści zamieszczanych za pomocą Twittera” – wynika z raportu. To wszystko sugeruje, że w wielu przypadkach albo funkcjonariusze GRU nie koncertowali się na „dystrybucji społecznej” spreparowanych materiałów albo nie posiadali wystarczającego doświadczenia do prowadzenia tego typu operacji.

Jednak z drugiej strony eksperci zauważyli, że część kampanii zakończyła się sukcesem Moskwy. Mowa tutaj na przykład o operacjach propagandowych, mających na celu wykorzystanie środowiska medialnego do dystrybuowania propaństwowych treści za pomocą tradycyjnych źródeł informacji. Współcześnie zdecydowanie większą rolę odgrywają media społecznościowe, dzięki którym potencjalna wiadomość może dotrzeć do milionów odbiorców w niedługim czasie od jej publikacji.

W odniesieniu do złośliwych operacji GRU, w których wykorzystane zostały cyberataki specjaliści przywołali przykład amerykańskich wyborów prezydenckich z 2016 roku. Wówczas funkcjonariusze rosyjskiego wywiadu włamali się do systemów DNC z zamiarem zakłócenia przebiegu całej kampanii wyborczej. Podczas operacji próbowali wpłynąć również na nastroje społeczne oraz amerykańską scenę polityczną za pomocą manipulacji i wywierania wpływu na lokalne media. To wszystko obrazuje skalę zaangażowania GRU w ramach realizacji zadań na rzecz Kremla.

Złośliwy kod na stronach internetowych potrafi zawieszać Firefoxa

Data: 06.11.2019 22:29

Autor: ziemianin

purepc.pl

#codziennaprasowka #informacje #wiadomosci #cyberataki #cyberbezpieczenstwo #firefox #malware #mozilla

Złośliwy kod oparty na JavaScripcie służy do zamrażania przeglądarki Firefox. Mozilla nie wystosowała jeszcze łatki eliminującej lukę bezpieczeństwa. Prawdopodobnie otrzymamy ją w wersji 71 lub 72.

Złośliwy kod na stronach internetowych potrafi zawieszać Firefoxa

Jednym z najskuteczniejszych metod ataku użytkowników komputerów są socjotechniki. Osoby dokonujące cyber-ataków skrupulatnie kalkulują swoje działania, licząc na błąd lub naiwność użytkownika. Jak podkreślił niegdyś Kevin Mitnick: "czynnik ludzki jest najsłabszym ogniwem". Powyższy opis tyczy się sytuacji, gdy wymagana jest interakcja drugiej osoby. Jeszcze gorzej jest jednak w przypadku, gdy wszystko odbywa się bez żadnej interakcji użytkownika. Jak podaje portal Ars Technica, przeglądarka Mozilla Firefox narażona jest obecnie na złośliwy kod, który może być zamieszczony na dowolnej stronie. Powoduje on zablokowanie Firefoxa bez możliwości zamknięcia okna z rzeczoną stroną, ani wyjścia z przeglądarki.

Złośliwy kod zaraportował Mozilli badacz zabezpieczeń z Malwarebytes, Jérôme Segura. Został on stworzony w JavaScript i wykorzystuje lukę zabezpieczeń w najnowszej wersji Firefoxa (70). Dzięki niemu cyber-atakujący mogą "zamrozić" przeglądarkę bez interakcji użytkownika. Ten natomiast widzi komunikat o posiadaniu nielegalnej wersji Windowsa i zablokowaniu komputera dla własnego bezpieczeństwa. W fałszywym okienku podany jest również numer telefonu do rzekomego wsparcia technicznego Windowsa. Taka sytuacja może się przydarzyć zarówno posiadaczom komputerów z systemem Windows, jak i macOS. W przypadku otrzymania takiego komunikatu, jedynym sposobem na wyjście z przeglądarki jest wymuszone zamknięcie procesu Firefox (albo stary dobry Alt-F4, bądź menedżer zadań). Jeśli użytkownik ustawił opcję przywracania kart, będzie musiał albo odłączyć dostęp do internetu, albo szybko usunąć kartę, zanim złośliwy kod wczyta się ponownie.

Ten exploit wykorzystuje mechanizm blokowania przeglądarki poprzez wyświetlanie monitu z uwierzytelnieniem. Jest on o tyle groźny, że może się pojawić na wielu stronach, jeśli tylko zostanie zainfekowany serwer. Ponadto, aktywuje się on automatycznie, a odbiorca straszony jest komunikatem o zablokowaniu komputera w przeciągu 5 minut jeśli nie zadzwoni na wskazany numer (który prawdopodobnie jest także częścią scamu). Co ciekawe Mozilla w marcu 2019 wydała obszerną łatkę zapobiegającą tego typu atakom, datującym się od 2006 roku. Najwidoczniej mamy do czynienia z niespotykaną dotąd wariacją. Mozilla zadeklarowała, że pracuje nad rozwiązaniem problemu. Nie wiemy jednak, jak długo zajmie wyeliminowanie tej luki bezpieczeństwa. Firma przewiduje, że upora się ze złośliwym kodem w wersji 71 lub 72.

Największy bank w Polsce ostrzega przed oszustwami na PSD2

Data: 30.09.2019 02:28

Autor: ziemianin

businessinsider.com.pl

#codziennaprasowka #informacje #wiadomosci #polska #banki #cyberbezpieczenstwo #pkobp

Oszuści dzwonią do klientów i udając pracowników PKO BP, proszą o zainstalowanie specjalnego oprogramowania w związku z wejściem w życie dyrektywy PSD2. Bank apeluje, by tego nie robić.

Największy bank w Polsce ostrzega przed oszustwami na PSD2

PKO BP ostrzega przed możliwymi oszustwami na PSD2. Przestępcy dzwonią do klientów banku, udając pracowników i proszą o zainstalowanie specjalnego oprogramowania w związku z wejściem w życie dyrektywy PSD

14 września weszła w życie dyrektywa PSD2

PKO BP, czyli największy bank w Polsce ostrzega klientów przed możliwymi oszustwami

Oszuści dzwonią do klientów i proszą o zainstalowanie specjalnego oprogramowania. Bank podkreśla, by tego nie robić

PKO BP na swojej stronie internetowej opublikował specjalny komunikat w tej sprawie.

"Oszuści udają pracowników PKO Banku Polskiego, powołują się na dyrektywę PSD2 i proszą o zainstalowanie dodatkowego oprogramowania, które prześlą mailem. Oprogramowanie to ma pozornie służyć autoryzacji transakcji, a tak naprawdę może wyłudzać dane logowania i kody autoryzacyjne" – czytamy w nim.

Bank apeluje, by nie podawać rozmówcy żadnych danych, nie zgadzać się na przesłanie oprogramowania. Prosi też o natychmiastowe poinformowanie o tej sytuacji.

Złośliwe oprogramowanie ukradnie dane

PKO BP tłumaczy, że otworzenia załącznika od oszusta prawdopodobnie spowoduje zainstalowanie złośliwego oprogramowania. Pozwoli ono przestępcom zdobyć poufne dane logowania do bankowości elektronicznej oraz autoryzacji transakcji. W ten sposób oszuści mogą przejąć kontrolę nad rachunkiem.

PKO BP przypomina klientom:

Bank nie prosi o instalację żadnego dodatkowego oprogramowania w związku z wejściem w życie dyrektywy PSD2.

Nie otwieraj załączników z niepewnych źródeł i nie klikaj w podejrzane linki.

Bank nigdy nie wymaga podania kodu jednorazowego w trakcie rozmowy telefonicznej nawiązanej przez pracownika banku, chyba że kontakt telefoniczny następuje z Twojej inicjatywy.

Podanie kodu z narzędzia autoryzacyjnego jest niezbędne wyłącznie do zatwierdzenia zleconej przez Ciebie dyspozycji, np. zlecenia przelewu, założenia lokaty, zmiany danych korespondencyjnych, zdefiniowania płatności, zlecenia stałego i przeglądania historii.

Czym jest PSD2?

PSD2 (ang. Payment Services Directive) to unijna dyrektywa dotycząca usług płatniczych, do której musiały dostosować się wszystkie kraje Wspólnoty. Zrobiła to także Polska poprzez nowelizację ustawy o usługach płatniczych, która weszła w życie 20 czerwca 2018 roku. Zapisano w niej, że banki i inne instytucje finansowe mają czas na wdrożenie przepisów właśnie do 14 września 2019 roku.

Głównymi założeniami dyrektywy PSD2 jest zwiększenie bezpieczeństwa konsumentów i lepsze chronienie ich przed nadużyciami finansowymi w obrocie bezgotówkowym. Ma także zwiększyć szybkość realizacji płatności bezgotówkowych.

Tak wygląda sieć izraelskich firm, tworzących narzędzia do cyfrowych ataków. To stamtąd . . .

Data: 10.09.2019 06:51

Autor: ziemianin

businessinsider.com

#codziennaprasowka #informacje #wiadomosci #inwigilacja #haker #cyberbezpieczenstwo #cyberataki #technologia

Za system Pegasus odpowiada firma NSO Group. Jej założyciele twierdzą, że technologia, która koncentruje się na zbieraniu informacji ze smartfonów, została zaprojektowana w szlachetnym celu, jakim jest pomoc rządom w walce z terroryzmem i przestępczością

Źródło: BiPrime (wymagany angielski)

Tak wygląda sieć izraelskich firm, tworzących narzędzia do cyfrowych ataków. To stamtąd pochodzi Pegasus

Jeśli spędzisz trochę czasu w sekretnym świecie firm, sprzedających "ofensywne cybermożliwości" – tajne narzędzia, które pozwalają włamywać się do telefonów, komputerów i innych urządzeń cyfrowych, aby szpiegować ich użytkowników – to zauważysz, że jedna organizacja wydaje się szczególnie duża i ważna.

Izraelska firma NSO Group zajmująca się cyberbezpieczeństwem została oskarżona o sprzedaż zaawansowanej technologii nadzoru cyfrowego Arabii Saudyjskiej i innym krajom, które są podejrzane o wykorzystywanie jej do ataków na dysydentów i dziennikarzy

Pomimo kontrowersji, firma jest niezwykle dochodowa. Zarobiła około 125 milionów dolarów zysku w 2018 roku, według jednego ze źródeł

Założyciele i byli pracownicy NSO Group stworzyli sieć kilkunastu podobnych startupów, z których wiele działa w tajemnicy. Sprzedają narzędzia do ataków na routery, komputery, inteligentne głośniki i inne urządzenia cyfrowe

Na razie większość tradycyjnych firm typu venture capital trzyma się z dala od firm sprzedających "cyberofensywne możliwości", powołując się na ryzyko dot. prawa i utraty reputacji

Znajduje się w centrum tętniącego życiem, ale i dyskretnego, ekosystemu izraelskich startupów, które specjalizują się w omijaniu i przeciwdziałaniu funkcjom bezpieczeństwa naszego środowiska cyfrowego. W ten sposób klienci, w niektórych przypadkach, otrzymują niemal nieograniczony dostęp do wiadomości i połączeń niemal każdej osoby, którą obrano za cel.


reszta artykułu na stronie [źródł]()https://www.businessinsider.com/inside-the-israel-offensive-cybersecurity-world-funded-by-nso-group-2019-8?IR=T

Przerobiony kabel Lightning do iPhone'a pozwala zdalnie przejąć komputer Apple Mac

Data: 14.08.2019 16:05

Autor: ziemianin

ithardware.pl

#wiadomosci #codziennaprasowka #Apple #iPhone #cyberbezpieczenstwo #bezpieczenstwoit #haker

Specjalnie spreparowany przez hakerów kabel Lightning do iPhone'a pozwala przejąć komputer, do którego zostanie podłączony. W ramach demonstracji (szukać samemu, jest video w sieci) edukacyjnej zaprezentował go specjalista ds. cyberbezpieczeństwa, który w internecie posługuje się pseudonimem MG.

Przerobiony kabel Lightning do iPhone'a pozwala zdalnie przejąć komputer Apple Mac

Taki kabel można podrzucić albo podarować niczego nie podejrzewającej ofierze.

Komputery i smartfony Apple posiadają reputację sprzętu bezpieczniejszego nić ich odpowiedniki na Androidzie, Windowsie czy innych systemach, nie są jednak odporne na wszystko. Zwykły kabel Lightning może zostać podmieniony na spreparowaną wersję i za jej pomocą haker może uzyskać dostęp do sprzętu ofiary. Już wcześniej w tym roku pojawiały się pierwsze informacje na temat kabli O.MG, ale teraz podczas corocznej konferencji Def Con, badacz bezpieczeństwa i twórca zmodyfikowanych kabli, który znany jest jako MG, postanowił nieco przybliżyć swój wynalazek.

"To wygląda jak prawdziwy kabel i działa tak samo. Nawet komputer nie zauważy różnicy. Dopóki ja, jako atakujący, zdalnie nie przejmę kontroli nad kablem" – powiedział MG. Ponieważ odróżnienie kabla od oryginalnego produktu Apple jest prawie niemożliwe, łatwo można zamienić zmodyfikowaną wersję z wersją oryginalną, nie wzbudzając niczyich podejrzeń. Kabel może być również podarowany nieświadomej ofierze. Kabel zawiera implant, który umożliwia hakowanie. Kabel oczywiście spełnia podstawowe funkcje, ale po podłączeniu do komputera Mac hakerzy mogą uzyskać dostęp do sprzętu za pośrednictwem utworzonego hotspotu Wi-Fi. Mają także zdalny kill switch, aby ukryć swoją obecność.

Atakujący mogą znajdować się w odległości do 100 metrów od kabla i nadal móc włamać się do komputera Mac. Odległość można zwiększyć za pomocą anteny. MG powiedział również, że "kabel można skonfigurować tak, aby działał jako klient pobliskiej sieci bezprzewodowej. A jeśli ta sieć bezprzewodowa ma połączenie z internetem, odległość w zasadzie staje się nieograniczona". MG chce stworzyć kable O.MG jako legalne produkty bezpieczeństwa i mówi, że firma Hak5 jest gotowa je sprzedawać – chociaż będą tworzone od zera, a nie przerabiane na bazie kabli Apple. Klienci Def Con otrzymają wczesny dostęp do narzędzi, których cena wynosi 200 USD.

Wyciek danych osobowych ponad 2 tysięcy uczestników E3!

Data: 04.08.2019 12:19

Autor: JuliaMay

gry-online.pl

ESA zaliczyło wpadkę na niewyobrażalną skalę. Niezabezpieczony plik z wszystkimi danymi kontaktowymi dziennikarzy czy YouTuberów krąży sobie po sieci, co na pewno będzie służyło nadużyciom. Taka wpadka odbije się bardzo źle na E3 i wiele firm oraz reprezentantów mediów może za rok nie chcieć się dzielić swoimi danymi, a w rezultacie nie pojawi się na imprezie- mówi Michał Mańka uczestnik E3 i redaktor GryOnLine.

#gry #technologia #cyberbezpieczenstwo #e3