Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

С разницей буквально в несколько дней команда, поддерживающая Python Package Index (каталог программного обеспечения, написанного на Python) и Mozilla (организация, стоящая за разработкой браузера Firefox), выпустили крайне похожие предупреждения о фишинговых атаках. Неизвестные злоумышленники пытаются заманить Python-разработчиков, использующих PyPi и создателей плагинов для Firefox, имеющих аккаунты addons.mozilla.org, на фальшивые сайты площадок, с целью выманить их учетные данные. В связи с чем мы рекомендуем разработчиков ПО с открытым исходным кодом (не только пользователей PyPi и AMO) быть особенно внимательными при переходе по ссылкам из писем.

Эти две атаки не обязательно связаны между собой (все-таки методы у фишеров несколько различаются). Однако вместе они демонстрируют повышенный интерес киберпреступников к репозиториям кода и магазинам приложений. Вероятнее всего, их конечная цель — организация атак на цепочку поставок, или перепродажа учетных данных другим преступникам, которые смогут организовать такую атаку. Ведь получив доступ к аккаунту разработчика, злоумышленники могут внедрить вредоносный код в пакеты или плагины.

Детали фишинговой атаки на разработчиков PyPi

Фишинговые письма, адресованные пользователям Python Package Index, рассылаются по адресам, указанным в метаданных пакетов, опубликованных на сайте. В заголовке находится фраза [PyPI] Email verification. Письма отправлены с адресов на домене @pypj.org, который всего на одну букву отличается от реального домена каталога — @pypi.org, то есть используют строчную j вместо строчной i.

В письме говорится, что разработчикам необходимо подтвердить адрес электронной почты, для чего следует перейти по ссылке на сайт, имитирующий дизайн легитимного PyPi. Интересно, что фишинговый сайт не только собирает учетные данные жертв, но и передает их на реальный сайт каталога, так что после завершения «верификации» жертва оказывается на легитимном сайте и зачастую даже не понимает, что у нее только что похитили учетные данные.

Команда, поддерживающая Python Package Index, рекомендует всем кликнувшим на ссылку из письма немедленно сменить пароль, а также проверить раздел Security History в своем личном кабинете.

 

View the full article

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      Чаще всего фишинговые письма застревают в папке «Спам», потому что сегодня большинство из них легко распознаются почтовыми защитными системами. Но иногда эти системы ошибаются и в корзину попадают настоящие, не мошеннические сообщения. Сегодня расскажем, как распознать фишинговые письма и что с ними делать.
      Признаки фишинговых писем
      Существуют несколько общепринятых признаков, которые могут явно указывать на то, что письмо прислано мошенниками. Вот некоторые из них:
      Яркий заголовок. Фишинговое письмо, вероятнее всего, будет каплей в море вашего почтового ящика. Именно поэтому мошенники обычно стараются выделиться в наименовании словами-триггерами вроде «срочно», «приз», «деньги», «розыгрыш» и всем похожим, что должно побудить вас как можно скорее открыть письмо. Призыв к действию. Разумеется, в таком письме вас будут просить сделать хотя бы что-то из этого списка: перейти по ссылке, оплатить какую-нибудь ненужную вещь, посмотреть подробности во вложении. Главная цель злоумышленников — выманить жертву из почты в небезопасное пространство и заставить тратить деньги или терять доступы к аккаунтам. «Истекающий» таймер. В письме может быть таймер: «Перейдите по ссылке, она активна в течение 24 часов». Все подобные уловки — чушь, мошенникам выгодно торопить жертву, чтобы она начала паниковать и менее бережно относиться к своим деньгам. Ошибки в тексте письма. В последний год участились случаи, когда фишинговое письмо приходит сразу на нескольких языках, причем со странными ошибками. Странный адрес отправителя. Если вы живете, например, в России и вам пришло письмо с итальянского адреса — это повод насторожиться и полностью проигнорировать его содержимое. Раньше еще одним верным признаком фишингового письма было обезличенное обращение вроде «Уважаемый пользователь», но мошенники сделали шаг вперед. Теперь все чаще письма приходят адресные, с упоминанием имени жертвы. Их тоже нужно игнорировать.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Подключенную к компьютеру веб-камеру обычно подозревают в подглядывании, но теперь ей придумали роль в традиционных кибератаках. На конференции Black Hat описали атаку BadCam, которая позволяет перепрошить камеру, а затем выполнять на компьютере, к которому она подключена, вредоносные действия. По сути это вариант давно известной атаки типа BadUSB, однако главное отличие BadCam заключается в том, что атакующим необязательно заранее готовить вредоносное устройство — они могут использовать изначально «чистую» и уже подключенную к компьютеру камеру. Еще одно неприятное новшество — атака может быть произведена полностью дистанционно. Хотя исследование провели этичные хакеры и BadCam еще не используется в реальных атаках, злоумышленникам будет несложно разобраться в ней и воспроизвести нужные действия. Поэтому организациям стоит понять механику BadCam и принять защитные меры.
      Возвращение BadUSB
      Атаку BadUSВ тоже представили на Black Hat, правда в 2014 году. Ее суть в том, что безобидное на вид устройство, например USB-накопитель, перепрограммируют, дополняя его прошивку. При подключении к компьютеру этот вредоносный гаджет «представляется» составным USB-устройством, имеющим несколько компонентов, таких как USB-накопитель, клавиатура или сетевой адаптер. Функции накопителя продолжают исправно работать, пользователь работает с флешкой как обычно. Одновременно скрытая часть прошивки, имитирующая клавиатуру, отправляет на компьютер команды, например клавиатурную комбинацию для запуска PowerShell и последующего ввода команд для загрузки из Сети вредоносных файлов или запуска туннеля к серверу атакующих. Функции BadUSB часто используют в работе современных red team, для этого обычно применяются специализированные «хакерские мультитулы» вроде Hak5 Rubber Ducky или Flipper Zero.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Попытки поставить целевой фишинг на поток мы наблюдаем уже достаточно давно. Как правило, они ограничиваются чуть лучшей стилизацией писем под конкретную компанию, имитацией корпоративного отправителя при помощи методики Ghost Spoofing и персонализацией послания (которая в лучшем случае заключается в обращении к жертве по имени). Однако в марте этого года мы начали регистрировать крайне любопытную рассылку, в которой персонализирован был не только текст в теле писем, но и вложенный документ. Да и сама схема была не совсем типичной — в ней жертву пытались заставить ввести корпоративные учетные данные от почты под предлогом изменений HR-политики.
      Письмо от злоумышленников: просьба ознакомиться с новыми HR-гайдлайнами
      Итак, жертва получает письмо, в котором якобы представители HR, обращаясь по имени, просят ознакомиться с изменениями HR-политики, касающимися протоколов удаленной работы, доступных рабочих льгот и стандартов безопасности. Разумеется, любому сотруднику важны изменения такого рода, курсор так и тянет к приложенному документу (в названии которого, к слову, тоже есть имя получателя). Тем более в письме такая красивая плашка, в которой сказано, что отправитель подтвержденный, сообщение пришло из листа безопасных адресатов. Но как показывает практика, именно в таких случаях к письму стоит присмотреться повнимательнее.
       
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      У информационной безопасности есть много уровней сложности. На слуху эффективные, но технически простые атаки с использованием фишинговых рассылок и социального инжиниринга. Мы часто пишем о сложных таргетированных атаках с использованием уязвимостей в корпоративном программном обеспечении и сервисах. Атаки, использующие фундаментальные особенности работы аппаратного обеспечения, можно считать одними из самых сложных. Цена такой атаки высока, но в некоторых случаях это не останавливает злоумышленников.
      Исследователи из двух американских университетов недавно опубликовали научную работу, в которой показан интересный пример атаки на «железо». Используя стандартную функцию операционной системы, позволяющую переключаться между разными задачами, авторы исследования смогли разработать атаку SleepWalk, позволяющую взломать новейший алгоритм шифрования данных.
      Необходимые вводные: атаки по сторонним каналам
      SleepWalk относится к классу атак по сторонним каналам. Под «сторонним каналом» обычно понимается любой способ похитить секретную информацию, используя непрямое наблюдение. Например, представим, что вы не можете наблюдать за человеком, который набирает на клавиатуре пароль, но можете подслушивать. Это реалистичная атака, в которой сторонним каналом выступает звук нажатия на клавиши, — он выдает, какие именно буквы и символы были набраны. Классическим сторонним каналом является наблюдение за изменением энергопотребления вычислительной системы.
      Почему энергопотребление меняется? Здесь все просто: разные вычислительные задачи требуют разных ресурсов. При сложных вычислениях нагрузка на процессор и оперативную память будет максимальной, а при наборе текста в текстовом редакторе компьютер большую часть времени будет находиться в режиме простоя. В некоторых случаях изменение энергопотребления выдает секретную информацию, чаще всего — приватные ключи, используемые для шифрования данных. Точно так же как сейф с кодовым замком может выдавать правильное положение ротора еле слышным щелчком.
      Почему такие атаки сложны? Прежде всего, любой компьютер одновременно выполняет множество задач. Все они как-то влияют на потребление электроэнергии. Выделить из этого шума какую-то полезную информацию крайне непросто. Даже при исследовании простейших вычислительных устройств, таких как ридеры смарт-карт, исследователи делают сотни тысяч измерений за короткий период времени, повторяют эти измерения десятки и сотни раз, применяют сложные методы обработки сигнала, чтобы в итоге подтвердить или опровергнуть возможность атаки по стороннему каналу. Так вот, SleepWalk в некотором смысле упрощает такую работу: исследователи смогли извлечь полезную информацию, измеряя характер энергопотребления только один раз, во время так называемого переключения контекста.
      График изменения напряжения во время переключения контекста центрального процессора. Источник
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      По данным исследовательской компании Juniper Research, оборот электронной торговли в 2024 году превысил 7 триллионов долларов и, по прогнозам, вырастет в полтора раза за следующие пять лет. Но интерес злоумышленников к этой сфере растет еще быстрее. В прошлом году потери от мошенничества превысили $44 млрд, а за пять лет вырастут до $107 млрд.
      Онлайн-площадка любого размера, работающая в любой сфере, может стать жертвой — будь это маркетплейс контента, магазин стройматериалов, бюро путешествий или сайт аквапарка. Если вы принимаете платежи, ведете программу лояльности, поддерживаете личный кабинет клиента — к вам обязательно придут мошенники. Какие схемы атаки наиболее популярны, что за потери несет бизнес и как все это прекратить?
      Кража аккаунтов
      Благодаря инфостилерам и различным утечкам баз данных у злоумышленников на руках есть миллиарды пар e-mail+пароль. Их можно по очереди пробовать на любых сайтах с личным кабинетом, небезосновательно надеясь, что жертва атаки везде использует один и тот же пароль. Эта атака называется credential stuffing, и, если она будет успешна, злоумышленники смогут от имени клиента оплачивать заказы привязанной к аккаунту кредитной картой или использовать баллы лояльности. Также мошенники могут использовать аккаунт для махинаций с покупкой товаров и оплатой сторонними банковскими картами.
       
      View the full article
×
×
  • Создать...