Автор
KL FC Bot
в Новости и события из мира информационной безопасности
-
Похожий контент
-
Автор KL FC Bot
Тенденция к использованию в массовых рассылках уловок, характерных для целевого фишинга продолжает нарастать. Недавно нам попался образец письма, в котором атакующие использовали целую коллекцию достаточно сложных трюков. Казалось бы, применять их все в массовой фишинговой атаке — смысла не много. И тем не менее злоумышленники не поленились. (Хотя, как выяснилось при подробном анализе, атака была обречена на провал.) Мы решили, что это отличный повод для того, чтобы описать используемые фишерами приемы.
Письмо, имитирующее рассылку корпоративных гайдлайнов
В письме прекрасно практически все. Оно адресовано конкретному человеку в конкретной организации, при этом в имени отправителя используется прием Ghost Spoofing, то есть в поле From забита имитация легитимного адреса компании, в которой работает жертва (но, разумеется, не имеющая отношения к адресу из поля Reply To).
Рассылается письмо через инфраструктуру легитимной маркетинговой компании с хорошей репутацией, что не вызывает подозрений у почтовых фильтров. Вдобавок название этой компании и домен верхнего уровня, на котором размещен ее сайт, подобраны таким образом, чтобы усыплять бдительность получателя, — сайт находится в Индонезии, и домен .id может восприниматься вообще не как часть адреса, а как сокращение от слова идентификатор. Рядом с имитацией адреса, забитой в поле From, это выглядит достаточно натурально.
Письмо, имитирующее рассылку корпоративных гайдлайнов.
View the full article
-
Автор KL FC Bot
Недавно нашему бывшему коллеге пришла подозрительная нотификация от неизвестного ему сервиса GetGhared. Будучи человеком осторожным, он не стал переходить по ссылке, а сразу переслал уведомление нам. Проанализировав письмо, мы выяснили, что это действительно работа мошенников, а судя по статистике наших почтовых защитных решений, сервис для отправки больших файлов GetShared стал использоваться ими достаточно часто. Рассказываем, как выглядит применение GetShared в атаках, зачем злоумышленникам это нужно и как оставаться в безопасности.
Как выглядит атака при помощи GetShared
Жертве приходит вполне обычное, совершенно настоящее уведомление от сервиса GetShared, в котором говорится, что пользователю был прислан файл. В письме указаны название и расширение этого файла — например, в случае с атакой на компанию нашего коллеги это был DESIGN LOGO.rar.
Пример мошеннического письма, распространяемого через уведомление GetShared
В сопровождающем тексте применяется стандартная фишинговая уловка — мошенники запрашивают цены на что-то, якобы перечисленное в приложении, а для большей убедительности просят уточнить время доставки и условия оплаты.
View the full article
-
Автор KL FC Bot
До недавнего времени злоумышленники в основном интересовались криптокошельками исключительно домашних пользователей. Однако, по всей видимости, бизнес все чаще стал использовать криптовалюту — теперь злоумышленники пытаются добраться и до кошельков организаций. За примерами далеко ходить не надо. Недавно исследованный коллегами зловред Efimer, рассылаемый организациям, умеет подменять адреса криптокошельков в буфере обмена. В России организации не имеют права рассчитываться криптовалютой, но, тем не менее, некоторые используют ее в качестве инвестиций. Поэтому функциональность, связанная с криптокошельками, появилась даже в зловредах, используемых в атаках исключительно на российские организации. Вредоносное ПО семейства Pure, например, не только подменяет адреса в буфере, но также охотится и за учетными данными программных криптокошельков. Поэтому мы не очень удивились, когда увидели и криптовалютный фишинг, направленный не только на домашних, но и на корпоративных пользователей. Чему мы удивились, так это легенде и, в целом, качеству этого фишинга.
Фишинговая схема
Сама по себе схема нацелена на пользователей аппаратных криптокошельков Ledger: Nano X и Nano S Plus. Злоумышленники рассылают фишинговое письмо, в котором многословно извиняются за допущенный промах — якобы из-за технического недочета сегменты приватного ключа от криптокошелька были переданы на сервер Ledger. И он в общем-то был очень хорошо защищен и зашифрован, но вот команда обнаружила очень сложную утечку, в ходе которой атакующие эксфильтрировали фрагменты ключей и при помощи крайне продвинутых методов расшифровали их и реконструировали часть ключей, что привело к краже криптоактивов. И чтобы через эту уязвимость не взломали еще и ваш криптокошелек, авторы письма рекомендуют немедленно обновить микропрошивку устройства.
Фишинговое предупреждение о необходимости обновления микропрошивки
View the full article
-
Автор KL FC Bot
Распространение многофакторной аутентификации и популяризация облачных сервисов в организациях вынудили киберпреступников обновить свои тактики и инструменты. С одной стороны, для кражи информации и проведения мошеннических схем им даже необязательно проникать во внутреннюю сеть компании или распространять вредоносное ПО. Достаточно через легитимные учетные записи получить доступ к облачным сервисам, например к почте Microsoft 365 или файловым хранилищам MOVEit. С другой стороны, для этого не хватит украденной или подобранной пары логин-пароль и надо как-то обойти MFA. Большая серия кибератак на крупные организации, зарегистрированных за последнее время, затронувшая более 40 000 жертв, показывает, что злоумышленники освоились в новых условиях — применяют адаптированные к компании-жертве фишинговые техники и инструментарий Adversary-in-the-Middle в промышленных масштабах.
Что такое Adversary-in-the-Middle
Атака adversary-in-the-middle (AitM) является разновидностью известного класса атак Man-in-the-Middle. В коммуникации между легитимными участниками обмена информацией (клиентом и сервером) посередине встраивается атакующий, перехватывая запросы клиента и далее направляя их на сервер, а потом перехватывает ответы сервера и направляет их клиенту. При этом злоумышленник не просто прослушивает чужие коммуникации, а активно в них вмешивается, модифицируя контент в своих интересах.
View the full article
-
Автор KL FC Bot
Компания Dropbox опубликовала в своем блоге результаты расследования взлома в инфраструктуре. Авторы ограничиваются сообщением о том, что атака была замечена сотрудниками компании 24 апреля, не уточняя, когда именно произошел инцидент. Рассказываем, что произошло, какие данные были украдены и как следует защищаться от последствий инцидента.
Взлом Dropbox Sign: как это случилось и что в итоге утекло
Неким злоумышленникам удалось скомпрометировать сервисную учетную запись Dropbox Sign и таким образом получить доступ к внутреннему инструменту автоматической настройки платформы. Используя этот доступ, взломщики смогли наложить руку на базу данных, в которой содержалась информация о пользователях Dropbox Sign.
В итоге были украдены следующие данные зарегистрированных пользователей сервиса Sign:
имена учетных записей; адреса электронной почты; номера телефонов; пароли (в хешированном виде); ключи аутентификации в API Dropbox Sign; токены аутентификации OAuth; токены двухфакторной аутентификации с помощью SMS или приложения. Если пользователи сервиса взаимодействовали с ним без создания аккаунта, то из их данных утекли только имена и адреса электронной почты.
В Dropbox утверждают, что не обнаружили признаков несанкционированного доступа к содержимому пользовательских аккаунтов, то есть документам и соглашениям, а также платежной информации.
В качестве защитной меры в Dropbox сбросили пароли для всех аккаунтов Dropbox Sign и завершили все активные сессии — так что в сервис придется логиниться заново, в процессе устанавливая новый пароль.
Посмотреть статью полностью
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти