Zaufana Trzecia Strona - Jak ktoś ukradł Radkowi 2000 PLN z konta IKEA Family

Data: 19.05.2020 13:48

Autor: ziemianin

zaufanatrzeciastrona.pl

#IKEA #IKEAFamily #kradziez #wlamanie #wyciek #aktualnosci #codziennaprasowka #informacje #wiadomosci #cyberbezpieczenstwo #zakupy

Czy można kupić płytę indukcyjną za złotówkę zamiast za 1999 PLN? Można, trzeba tylko najpierw włamać się na cudze konto IKEA Family i wykorzystać znaleziony tam kod rabatowy. Posłuchajcie historii ofiary takiej kradzieży.

Zaufana Trzecia Strona – Jak ktoś ukradł Radkowi 2000 PLN z konta IKEA Family

Cztery dni temu opisaliśmy ciekawy atak na konta klientów sklepu IKEA. Ktoś wykorzystywał loginy i hasła wykradzione z innych serwisów, by zdobywać dostęp do kont w programie IKEA Family, a następnie wykradał stamtąd kody rabatowe. IKEA po pewnym czasie atak wykryła i konta zablokowała – jednak wygląda na to, że złodzieje działali już co najmniej od początku maja. Ale po kolei.

Ktoś był na moim koncie, ktoś używał moich kodów

Zgłosił się dzisiaj do nas Radek, który pokazał, jak stracił kod wart 2000 PLN. Nie mamy 100% dowodów, że historia Radka jest związana z tym samym incydentem, ale moment zdarzenia oraz jego przebieg pasują do historii włamań na konta IKEA Family ujawnionej 9 dni po kradzieży.

Radek jest regularnym klientem sklepów IKEA i użytkownikiem karty IKEA Family. Gdy 14 maja dostał powiadomienie o możliwym nieautoryzowanym dostępie do jego konta i konieczności zmiany hasła, zalogował się i hasło zmienił. Jak sam przyznaje, nie przejrzał wtedy historii transakcji. Gdy dwa dni później chciał zrobić zakupy, zauważył, że na koncie brakuje kodu rabatowego na 2000 PLN. W historii transakcji znalazł za to taką, której nie pamiętał. Historia transakcji Radka

Radek był pewien, że nie robił zakupów 4 maja za 1 PLN. Gdy zajrzał w szczegóły transakcji, znalazł tam taki oto widok:

Zakupy Radka

Teraz nie miał już wątpliwości – płyta indukcyjna HÖGKLASSIG, standardowo kosztująca 1999 PLN, została przez kogoś kupiona za 1 PLN (opłacone gotówką w sklepie w Łodzi). W tym samym momencie jego kod rabatowy o wartości 2000 PLN został zredukowany do kwoty 2 PLN, co odpowiada różnicy po nieautoryzowanej transakcji.

Kod rabatowy Radka

Szybki zakup, szybka sprzedaż

Radek bez problemu odnalazł swój towar wystawiony na sprzedaż w internecie. Co ciekawe, ten sam sprzedawca oferuje także inne podobne towary produkowane przez IKEA, wystawione kilka dni po feralnej transakcji.

Radkowi pozostało zgłosić sprawę na policję i reklamację do sklepu IKEA. Niestety z żadnego z tych miejsc na razie nie otrzymał odpowiedzi.

Morał z tej historii

We wszystkich miejscach, gdzie przechowujecie coś stanowiącego instrument płatności lub jego równowartość (serwisy z podpiętą kartą płatniczą, kupony rabatowe czy nawet gry online z wartościowymi przedmiotami), używajcie unikatowych haseł. Unikatowe hasła przechowujcie w menedżerze haseł. A gdy dostajecie informacje o incydencie bezpieczeństwa, sprawdzajcie od razu historię transakcji.

Jak jeszcze zadbać o bezpieczeństwo swoich kont w sieci? Mówimy o tym podczas naszego kursu wideo Bezpieczeństwo Dla Każdego. W prostych słowach tłumaczymy, jak podnieść bezpieczeństwo swoich kont i unikać sytuacji stresowych towarzyszących ofiarom wycieków. Do tego kurs zawiera 23 inne tematy, ważne dla każdego użytkownika sieci – każdy znajdzie tam coś ciekawego.

WhatsApp pozywa do sądu twórców szpiegowskiego Pegasusa

Data: 05.05.2020 21:42

Autor: ziemianin

fudzilla.com

#Pegasus #NSOGroup #WhatsApp #pozew #wlamanie #szpiegostwo #cyberbezpieczenstwo #aktualnosci #codziennaprasowka #informacje #wiadomosci

Firma WhatsApp pozwała do sądu izraelską firmę NSO Group, twórcę oprogramowania szpiegowskiego Pegasus, którą oskarża o przeprowadzenie ataku na swoje serwery i włamanie do telefonów około 1400 użytkowników WhattsAppa, w tym wysokich urzędników rządowych, dziennikarzy i działaczy praw człowieka.

WhatsApp pozywa do sądu twórców szpiegowskiego Pegasusa

Producent WhatsAppa twierdzi, że Izraelczycy ponoszą odpowiedzialność za liczne naruszenia praw człowieka, w tym włamania na telefony dysydentów z Rwandy i dziennikarzy z Indii.

Przez wiele lat NSO Group utrzymywała, że produkowane przez nią oprogramowanie szpiegowskie jest używane przez rządy w walce z terrorystami i kryminalistami. Twierdziła przy tym, że nie wie, w jaki sposób jej klienci, np. rząd Arabii Saudyjskiej, korzysta z Pegasusa.

Tym razem jednak NSO Group mogła posunąć się za daleko. W pozwie sądowym WhatsApp informuje, że prowadzone przez firmę śledztwo wykazało, że to serwery NSO Group, a nie jej klientów, brały udział w ataku na 1400 użytkowników aplikacji WhatsApp. Jak dowiadujemy się z dokumentów, ofiary najpierw odebrały połączenie telefoniczne z aplikacji i w tym momencie zostały zainfekowane szkodliwym kodem. Następnie NSO wykorzystała sieć komputerów do monitorowania i aktualizacji Pegasusa zaimplementowanego na telefonach użytkowników. Te kontrolowane przez NSO serwery stanowiło centralny węzeł, za pomocą którego NSO kontroluje operacje prowadzone przez swoich klientów oraz sposób wykorzystania Pegasusa.

WhatsApp twierdzi, że NSO uzyskała nieautoryzowany dostęp do jej serwerów dokonując inżynierii wstecznej aplikacji i omijając dzięki temu zastosowane w niej zabezpieczenia, które uniemożliwiają manipulowaniem mechanizmem połączeń. Jeden z inżynierów WhatsAppa złożył zaprzysiężone zeznanie, w którym stwierdza, że w 720 przypadkach w szkodliwym kodzie, jakim zainfekowany telefony, zawarty był adres IP serwera, z którym miały się one łączyć. Serwer ten znajduje się w Los Angeles i należy do firmy, której centrum bazodanowe jest używane przez NSO.

NSO utrzymuje, że nie wie, w jaki sposób klienci tej firmy wykorzystują Pegasusa, ani kto jest celem ataków. Jednak John Scott-Railton z Citizen Lab, który pomagał WhatsApp przy tej sprawie mówi, że NSO kontroluje serwery biorące udział w ataku, zatem zna logi oraz adresy IP ofiar ataków.

Zaufana Trzecia Strona - Różowe Pantery, czyli jak zostać złym Robin Hoodem

Data: 19.04.2020 13:33

Autor: ziemianin

zaufanatrzeciastrona.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #zaufanatrzeciastrona #Europol #interpol #napad #PinkPanther #RozowaPantera #wlamanie

Różowe Pantery okradają bogatych i nie oddają biednym. Kochają diamenty, są bezczelne, szybkie i skuteczne. 20 lat działalności, podejrzanych kilkaset osób, skradziony łup wart setki milionów dolarów albo i więcej.

Zaufana Trzecia Strona – Różowe Pantery, czyli jak zostać złym Robin Hoodem

Gdy zaproponowałam historię Różowej Pantery jako temat kolejnego artykułu, naczelny wzruszył ramionami i powiedział, że to nieprawdopodobne. 20 lat? 800 nieuchwytnych sprawców? Miejska legenda! A jednak działalność Pink Panthers jest autentyczna.

Legendą jest nazwa grupy. W 2007 roku wymyślili ją funkcjonariusze Interpolu, żeby – działając w 188 krajach członkowskich – łatwiej rozpracowywać gang. Interpolowski zespół zakończył swoją pracę w 2016 roku, jego miejsce zajął projekt „Brylant”, prowadzony przez Europol i rozszerzający swą działalność na gangi konkurencyjne dla Różowej Pantery.

Dopóki istnieją diamenty, będzie warto je kraść. Można zrywać biżuterię z rąk i karków bogaczy, można napadać na skarbce, można też po prostu okradać jubilerów.

Diamenty są wieczne

. . . zaciekawiło? pozostała treść na stronie źródła

Włamanie na witrynę www Narodowego Banku Polskiego

Data: 27.02.2020 01:08

Autor: ziemianin

zaufanatrzeciastrona.pl

#aktualnosci #codziennaprasowka #informacje #wiadomosci #haker #wlamanie #cyberbezpieczenstwo #nbp

Czy można włamać się na stronę jednego z najważniejszych polskich urzędów i zamieścić tam pozdrowienia dla kolegów? Okazuje się, że dla azjatyckich nastolatków to nic trudnego. Na szczęście nie mieli innych pomysłów…

Włamanie na witrynę www Narodowego Banku Polskiego

Pewien Anonimowy Anonim podesłał nam link do ciekawej informacji. W repozytorium dowodów włamań, znanym ze swojej rzetelności, znaleźć można [ślad po ciekawym włamaniu]()https://www.zone-h.org/mirror/id/33228784?hz=2, do którego doszło przed 21 lutego 2020. Ofiarą ataku była strona Narodowego Banku Polskiego, a włamywacz postanowił zamieścić tam krótki tekst na dowód swoich umiejętności.

W całej tej katastrofie głównym elementem optymizmu jest tożsamość włamywacza czy też ich grupy. Pobieżne przejrzenie osiągnięć autorów kryjących się pod pseudonimem lulzkid wskazuje, że mogą oni pochodzić z Azji i należą do wymierającego gatunku hakerów. Na przejętych witrynach zamieszczają swoje apele do świata lub pozdrowienia dla znajomych, podczas gdy w rzeczywistości mogli narobić sporo bałaganu na polskim rynku finansowym.

. . . reszta tekstu na stronie źródła

Włamał się do banku, ukradł pieniądze, opublikował raport z włamania

Data: 17.11.2019 22:07

Autor: ziemianin

zaufanatrzeciastrona.pl

#codziennaprasowka #informacje #wiadomosci #zaufanatrzeciastrona #cyberbezpieczenstwo #bank #Kajmany #PhineasFisher #PwC #wlamanie #wyciek

Rzadko mamy okazję czytać profesjonalne raporty z udanego włamania do banku. Jeszcze rzadziej raporty te publikuje sam włamywacz, nie mówiąc o bug bounty dla innych hakerów za kolejne włamania.

Włamał się do banku, ukradł pieniądze, opublikował raport z włamania

To jest jedna z ciekawszych historii, jakie przydarzyły się w ostatnich latach w naszej branży. Pamiętacie Phineasa Fishera, który włamał się do sieci producentów oprogramowania szpiegowskiego takich jak Gamma Group czy Hacking Team? Włamywacz nie poprzestał na tych atakach – jak twierdzi, w roku 2016 włamał się także do pewnego banku na Wyspie Man. Nie tylko ukradł stamtąd ponad 2 TB danych, ale wśród opublikowanych dokumentów zamieścił raport firmy PwC ze swojego włamania. Do tego ogłosił nagrodę dla innych włamywaczy, prawdopodobnie finansowaną ze środków wykradzionych z zaatakowanego banku. Co za historia! Ale po kolei.

2 TB danych z banku obsługującego bogaczy

Na Twitterze pojawił się wpis organizacji „Distributed Denial of Secrets” zawierający link do informacji wykradzionych z banku Cayman National Bank and Trust, który rzekomo brał udział w praniu pieniędzy rosyjskich oligarchów.

RELEASE: Sherwood – Copies of the servers of Cayman National Bank and Trust (CNBT), which has allegedly been used for money laundering by Russian oligarchs and others.



Includes a HackBack readme explaining Phineas Fisher's hack and exfiltration of funds. https://t.co/xoQLSjBFX3



— Distributed Denial of Secrets (@DDoSecrets) November 17, 2019

Pod linkiem znajdziemy ogromne zbiory danych, rzekomo wykradzione z ww. banku i zawierające nie tylko historię rachunków jego klientów, ale także kopię korespondencji elektronicznej pracowników banku. Dane te zostały wcześniej udostępnione konsorcjum dziennikarzy śledczych, a wkrótce zbiór ma zostać dołączony do publicznie dostępnej wyszukiwarki informacji.

Równocześnie w sieci pojawił się manifest Phineasa Fishera, który poinformował, że stał za tym włamaniem (tu krótsza wersja po angielsku – oryginał napisano po hiszpańsku). Phineas nie tylko opisuje okoliczności ataku (miał rzekomo użyć tego samego exploita, którym pokonał zabezpieczenia Hacking Teamu, o czym w kolejnym akapicie), ale także informuje, że ukradł kilkaset tysięcy dolarów, z których zamierza finansować nagrody dla innych włamywaczy, atakujących podobne cele. Pisze, że maksymalna nagroda może wynosić nawet 100 000 dolarów. Czas pokaże, czy przekona to innych napastników.

Przebieg włamania

W ustaleniu, jak doszło do włamania, pomogą nam dwa źródła – wpis Phineasa oraz ujawniony przy okazji raport z włamania, opracowany przez PwC. Pomoże też Google Translate, ponieważ Phineas pisze po hiszpańsku.

Raport PwC podkreśla dwa istotne elementy, ograniczające jego poziom szczegółowości. Pierwszy to niewielka dostępność logów – wiele informacji nie było przez bank w żaden sposób rejestrowanych, a pozostałe były dość szybko nadpisywane, przez co nie zachowała się pełna historia wydarzeń. Drugim ograniczeniem był budżet i zakres projektu – w wielu miejscach analitycy PwC wskazują, że danego wątku nie analizowali ze względu na ograniczenia projektowe.

Podczas gdy Phineas informuje, że dostał się do sieci za pomocą exploita na urządzenie sieciowe, PwC wskazuje, że nie znalazło oczywistych śladów pierwotnej infekcji z uwagi na brak logów. Informuje za to, że w przeskanowanej poczcie banku znalazło kilka przykładów ogólnych ataków oraz co najmniej jeden atak dedykowany – złośliwy kod dołączony do wiadomości poczty elektronicznej, korzystający z domeny sterującej założonej tuż przed atakiem. Sam Phineas komentuje, że być może nie był jedynym włamywaczem w sieci banku.

Co do kolejnych kroków obie strony w pełni się zgadzają – Phineas przeszedł do klasycznego działania włamywacza, czyli rozpoznania sieci i penetracji jej dodatkowych obszarów.

7 stycznia 2016 bank zorientował się, że kilka przelewów SWIFT zawiera błędy. To pozwoliło zidentyfikować fakt, że ktoś buszuje w jego sieci. 19 stycznia 2016 do analizy incydentu wynajęto PwC. Z 10 kluczowych systemów banku aż 7 znajdowało się pod kontrolą włamywacza. Atakującemu chodziło zarówno o kradzież informacji, jak i pieniędzy. Zgadza się to z wersją przedstawioną przez włamywacza. Sam Phineas przyznaje, że nie miał żadnego doświadczenia z systemem SWIFT i aby nauczyć się jego obsługi, zaczął od wyszukania plików z ciągiem „SWIFT” w nazwie i ich pobrania. Nie znalazł tam jednak wystarczająco szczegółowych instrukcji, dlatego na stacjach roboczych pracowników zajmujących się przelewami zainstalował złośliwe oprogramowanie, które zapisywało naciskane klawisze i robiło zrzuty ekranów. Jak twierdzi, zgromadzona w ten sposób wiedza bardzo mu pomogła. Pracownicy używali Citrixa, by łączyć się do usługi firmy Bottomline, gdzie obsługiwali interfejs systemu SWIFT. Do autoryzacji przelewu potrzebne były potwierdzenia trzech osób, ale Phineas przejął kontrolę nad wszystkimi trzema kontami.

Jak sam podkreśla, Phineas nie miał bladego pojęcia, jak używać systemu SWIFT i uczył się w trakcie próby kradzieży. Pierwsze przelewy udało mu się zlecić prawidłowo, jednak w kolejnych popełnił błędy, które go zdradziły. Najpierw podał zły kod waluty dla przelewów międzynarodowych, a w kolejnej próbie przekroczył limit transferów dla przelewów przyspieszonych. Oba błędy zostały zauważone przez pracowników banku, którzy zgłosili anomalie i zablokowali możliwość dalszej kradzieży.

Phineas pisze, jak wygodnie pracowało mu się z PowerShellem i raport PwC to potwierdza. Najstarsze wykryte ślady aktywności włamywacza w systemach firmy sięgają 8 grudnia 2015, jednak brak wcześniejszych logów nie wyklucza, że do włamania mogło dojść przed tą datą. Znaleziono między innymi ślady skanowania serwerów przez włamywacza z lipca 2015.

Między godziną pierwszej aktywności na pierwszym z zainfekowanych serwerów a uruchomieniem złośliwego kodu na kontrolerze domeny minęło 39 minut.

Raport PwC potwierdza, że włamywacz pilnie studiował ciekawe dokumenty firmy. Zwróćcie uwagę na nazwy plików.

Raport potwierdza także intensywne korzystanie z keyloggerów i próby dostania się do poczty pracowników. W dokumencie znajdziecie również analizę fragmentów skryptów i narzędzi użytych przez włamywacza.

PwC potwierdza ponadto, że do przelewów SWIFT doszło już 5 stycznia 2016, podczas gdy pierwszy przelew odrzucony został 6 stycznia wieczorem. Nie znajdziemy tam jednak informacji o wysokości strat poniesionych przez bank na skutek nieautoryzowanych transakcji. Raport zawiera oczywiście także sporą sekcję rekomendacji – zalecamy jej lekturę bankowym obrońcom.

Podsumowanie

Nie wiemy, dlaczego do publikacji danych doszło dopiero 3 lata po włamaniu. Nie wiemy też jeszcze, czy wśród klientów banku znajdują się Polacy (wstępny rzut oka na dostępne informacje nie wskazuje na bezpośrednie powiązania klientów z naszym krajem). Wiemy jednak, że to kolejny ciekawy przykład pokazujący, jak prosto jest włamać się do poważnej instytucji i – mamy nadzieję – kolejny wyraźny sygnał, że czas naprawdę zadbać w firmach o podstawy bezpieczeństwa. Lista rekomendacji z raportu PwC niech będzie drogowskazem, w którym kierunku podążać, by nie zostać bohaterami kolejnego wycieku.

Masowy atak na użytkowników iPhone’ów przez dwa lata infekował urządzenia

Data: 30.08.2019 15:40

Autor: ziemianin

zaufanatrzeciastrona.pl

#codziennaprasowka #informacje #wiadomosci #iPhone #0day #atak #exploit #jailbreak #wlamanie #Google #ThreatAnalysisGroup

Mit iPhone’a jako urządzenia znacznie bezpieczniejszego i odporniejszego na ataki właśnie poważnie się zachwiał. Zespół Google Project Zero opisał serię ataków na użytkowników iPhone’ów, w których urządzenia były masowo infekowane złośliwym oprogramowaniem.

To najważniejsza i najciekawsza wiadomość dotycząca bezpieczeństwa systemu iOS, jaką przyszło nam kiedykolwiek czytać i opisywać. Przez dwa lata trwały ataki na użytkowników iPhone’ów z aktualnym oprogramowaniem, którzy odwiedzali pewne strony internetowe. Każdy odwiedzający mógł zostać zainfekowany, a złośliwe oprogramowanie mogło wykradać z telefonów poufne informacje. Oto, co wiemy o tym ataku.

Masowy atak na użytkowników iPhone’ów przez dwa lata infekował urządzenia

Zaskakujące odkrycie

Częścią Google’a jest Threat Analysis Group – zespół monitorujący zagrożenia w sieci. To właśnie TAG odkrył na początku tego roku skuteczne ataki na iPhone’y, przeprowadzane przez pewne internetowe witryny. Niestety nic nie wiemy o tym, jakie były to strony ani kim były ofiary ataków. Wiemy jedynie, że strony te były odwiedzane przez tysiące osób tygodniowo, a każda odwiedzająca je osoba używająca iPhone’a mogła zostać skutecznie zainfekowana złośliwym oprogramowaniem.

reszta tekstu na stronie ze źródła