Kolejne zmodyfikowane ataki "na znajomego" z Facebooka

O atakach „na znajomego” z Facebooka  pisałem już w październiku 2016.

Atak polegał na namawianiu nas przez "znajomego" a tak naprawdę przez osobę, która przejęła jego konto na Facebooku do wykonania drobnej transakcji. Osoba ta podawała nam link to wykonania transakcji.  Link prowadził na fałszywą stronę firmy pośredniczącej w płatnościach internetowych w celu przejęcia  naszych danych bankowych. 

http://ebezpieczny.blogspot.com/2016_10_01_archive.html.

Nowa wersja ataku polega na przekonaniu nas przez „naszego znajomego” do zapłacenia za jego transakcje internetową z obietnicą zwrotu tych środków jak to ma miejsce poniżej:

Realizując prośbę "znajomego" kupujemy oszustowi bitcoiny!

Kolejną wersję tego ataku opisuje Adam na Z3S gdzie "znajomy" prosi nas o zakup karty podarunkowej

https://zaufanatrzeciastrona.pl/post/jak-sprytni-oszusci-okradaja-ludzi-za-posrednictwem-facebooka/  

Starajmy się sprawdzać taką prośbę np. za pomocą telefonu do znajomego! 

Secure 2016

Miałem przyjemność brać udział w konferencji Secure 2016 jako prelegent. 

Poniżej link  do opublikowanej na stronach YouTube prezentacji
"Złośliwe oprogramowanie w bankowości internetowej w Polsce"

Kilka rad na Nowy Rok 2017

Czyli jak być bezpiecznym w Internecie

1.   Dobre hasła

Nie używaj tego samego hasła na więcej niż jednej stronie czy w jednej aplikacji. Jeśli atakujący uzyskają jedno hasło, od razu spróbują je do wszystkich innych Twoich kont.

Korzystaj z haseł, długich i skomplikowanych.

Najlepiej rozważ użycie menedżera haseł, który pozwoli Ci na stosowanie silnych i unikalnych haseł do różnych aplikacji czy stron internetowych.

2.   Zmiana domyślnych haseł przed użyciem nowych urządzeń

Jeśli nie zmienisz domyślnego hasła ułatwisz cyberprzestępcom włamanie do twojego urządzenia. Na przykład po włamaniu do kamery atakujący może obserwować Ciebie lub twój dom. Ostatnio Internet Urządzeń, czyli IoT (Internet of Things) jest wykorzystywany do różnego rodzaju ataków.

3.   Aktualizacja oprogramowania na nowych urządzeniach przed ich użyciem

Nawet "nowe" komputery czy inne urządzenia zazwyczaj potrzebują aktualizacji. Od momentu ich produkcji do pierwszego ich wykorzystania, oszuści mieli czas na znalezienie luk.

Jeśli chcesz chronić swoje nowe urządzenia, zawsze zaktualizuj oprogramowanie przed ich użyciem.

Gdy pokaże się luka zaraz jest wykorzystywana przez przestępców.

Nie odkładaj aktualizacji, ponieważ "potem będzie za późno". Korzystaj z automatycznej aktualizacji, jeżeli jest to możliwa.

4.   Antywirus na każdym urządzeniu

Pamiętaj o instalacji programu antywirusowego nie tylko na komputerze i o ciągłej aktualizacji sygnatur. Pozwala to zabezpieczyć urządzenie przed złośliwym oprogramowaniem i wieloma innymi zagrożeniami.

5.   Uważaj na fałszywe maile

Gdy w mailu jesteś proszony o skorzystanie z linku, najprawdopodobniej oszuści próbują przekierować Cię na fałszywą stronę, która będzie wyglądać dokładnie tak jak prawdziwa by uzyskać twoje hasło oraz inne dane.

Jeśli chcesz się gdzieś zalogować, należy otworzyć przeglądarkę i przejść na stronę internetową podając prawidłowy adres.

Osoby podszywające się pod różne firmy wysyłają fałszywe wiadomości na przykład o problemach z dostawą. Chcą one zmusić Cię do skorzystania z linku lub otwarcia załączonego pliku.

Jeśli chcesz skontaktować się z firmą, by sprawdzić dostawę, nie korzystaj z linków lub informacji w mailu. Sam poszukaj firmę w Internecie.

6.   Pomyśl zanim udostępnisz informacje w mediach społecznościowych

Może to brzmi niepopularnie, ale pisanie o wszystkim w mediach społecznościowych nie jest dobrym pomysłem.

Zdjęcia, dane karty kredytowej, czy cokolwiek, co opublikujesz w Internecie nigdy nie będziesz w stanie już z niego usunąć!

7.   Wykonuj kopię zapasową swoich danych

Nie zapomnij, aby wykonywać regularnie kopię zapasową swoich cennych dokumentów ze wszystkich swoich urządzeń.

Jeśli pliki zostaną utracone lub zaszyfrowane, będziesz mógł je odzyskać.

Jak rozmowa ze „znajomym” skończyła się kradzieżą! - Aktualizacja 25.11.2016

5 listopada pisałem o ataku na użytkowników Facebooka. 

Byli oni proszeni przez "znajomych" o wykonanie drobnej płatności, która tak naprawdę kończyła się utratą środków.
Atakujący przesyłał oszukiwanej osobie link prowadzący na stronę udającą "Przelewy24".
Sytuacja się powtarza. Poniżej kolejne strony phishingowe.

Warto przypomnieć (kolejny raz) podstawowe zasady bezpieczeństwa w czasie wykonywania transakcji!

Po pierwsze nie korzystamy z linków, które ktoś nam podaje np. w mailach i nie tylko. Jeżeli skorzystamy z takiego linku to powinniśmy się przyjrzeć czy strona jest bezpieczna i na pewno należy do instytucji, z której chcemy skorzystać.

Po drugie czytamy to, co dostajemy od banku w SMS-ach. Banki przesyłają nie tylko kod, ale również opis, do jakiej czynności jest ten kod, czyli co tak naprawdę trafiło do banku do realizacji. Nie czytanie takich informacji może skończyć się niestety utratą środków.     

Po trzecie warto sprawdzić w systemie, co tak naprawdę się zadziało w systemie bankowym? Jeżeli jest coś nie tak poprawić to w tym przypadku usunąć wpisy i zmienić hasło. Warto również skontaktować się z bankiem. 

Jak rozmowa ze „znajomym” skończyła się kradzieżą! - Aktualizacja

Udało się pozyskać strony www podszywające się pod  Przelewy24. 

Osoba atakująca prosi o podanie wszystkich danych potrzebnych do założenia wzorcowego przelewu lub zaufanego kontrahenta. Później wykonywana jest serie transakcji na zapisane dane. Transakcje te nie wymagają już dodatkowego zabezpieczenia przez bank np. przez kod przesłany SMS-em!

  

Warto przypomnieć podstawowe zasady bezpieczeństwa w czasie wykonywania transakcji

Po pierwsze nie korzystamy z linków, które ktoś nam podaje np. w mailach i nie tylko. Jeżeli skorzystamy z takiego linku to powinniśmy się przyjrzeć czy strona jest bezpieczna i na pewno należy do instytucji, z której chcemy skorzystać.

Po drugie czytamy to, co dostajemy od banku w SMS-ach. Banki przesyłają nie tylko kod, ale również opis, do jakiej czynności jest ten kod, czyli co tak naprawdę trafiło do banku do realizacji. Nie czytanie takich informacji może skończyć się niestety utratą środków.     

Po trzecie warto sprawdzić w systemie, co tak naprawdę się zadziało w systemie i jeżeli jest coś nie tak poprawić to w tym przypadku usunąć wpisy i zmienić hasło. Warto również skontaktować się z bankiem. 

Jak rozmowa ze „znajomym” skończyła się kradzieżą!

Niedawno miał miejsce ciekawy przypadek kradzieży środków z rachunku bankowego klienta gdzie osoba atakująca wykorzystała komunikator z jednego z portali społecznościowych.

W czasie korzystania z jednego z portali odzywa się do nas znajomy:

siemka  mam prosbe  potrzebuje zrobic przelew na mala  kwote a nie mam nic na koncie  dasz rade mi to zrobic? odeśle Ci z napiwkiem haha 

co za pytanie jak mogę nie udzielić pomocy znajomemu Podaj nr konta

dzieki wielkie  a w jakim banku masz konto to sprawdze czy jest tam na liście bo sie tam płaci przez p24

w eBanku

co miesiac tam płace bo kupuje tam kody na kanały tv a teraz mi braklo na koncie xD  wybiera sie tylko bank i sie loguje i przeważnie sie kilka minut czeka na kod sms z banku potwierdzający i tyle

ok to daje link do mojej płatności

na kod sms sie czeka kilka minut ale jak przyjdzie to od razu wpisz zeby nie wygasł

ok

link  http://sll-p24.abc.pl/payment/index.html

przez tą stronkę mam wejść na swoje konto bankowe?

jak wyskoczy ci juz strona "wpisz kod sms" to zostaw ta strone i czekaj na smsa i wpisz go od razu jak przyjdzie

właśnie czekam

i jak?  

nie przeszło, za późno SMS wpisałem.

to zrob jeszcze raz

robie

ok kolega mi teraz zrobi to nie musisz ale dzieki za chęci

Co tak naprawdę się stało?

Osoba, która się odezwała do nas podszywała się pod naszego znajomego. Najprawdopodobniej ktoś przejął użytkownika z hasłem. Podesłany link prowadził na fałszywą stronę tam klientka została poproszona o hasło i nazwę użytkownika do bankowości internetowej. Atakujący od razu zalogował się do bankowości tworząc tak zwanego zaufanego kontrahenta wymaga to podania kodu SMS. Na fałszywej stronie wyświetla się informacja o przelewie z prośba o kod, ale w SMS-ie idzie informacja, o że zapisujemy zaufanego dostawcę i kod właśnie tego dotyczy. Kod pobiera atakujący i zatwierdza kontrahenta. Teraz mając hasło i użytkownika oraz zapisanego kontrahenta atakujący może wykonywać transakcje bez wiedzy i konieczności potwierdzania przez kody SMS.

Jakie błędy zostały popełnione?

Po pierwsze skorzystano z linku, który prowadził na fałszywą stronę. Co prawda dostaliśmy to od znajomego, ale na tym właśnie polega phishing. Jeżeli skorzystamy z takiego linku to powinniśmy się przyjrzeć czy strona jest bezpieczna i na pewno należy do pośrednika płatności internetowych. Kolejny błąd, który popełniono to, że w tym przypadku bank wysłał kod SMS. Banki przesyłają nie tylko kod, ale również opis, do jakiej czynności jest ten kod, czyli co tak naprawdę trafiło do banku do realizacji. Nie czytanie takich informacji może skończyć się niestety utratą środków     

Kolejne maile z niebezpiecznym załącznikiem!

Tym razem załącznikiem jest java skrypt:

 ORDER-31146.js

SHA256: 94c9a2054abcef3b321cd4b9c614deabdd76686db1d81e7d9a567b2c11bc96ef 

Po jego uruchomieniu następuje połączenie z 

http://jetonlyseath.top/log.php?f=1.dat 

gdzie jest ściągany i uruchamiany program:

C:\Users\<użytkownik>\AppData\Local\Temp\q9x39gfmv.exe

SHA256: 23d2c279aaf12ffc212435306a896485ae7b75abe0d43deed2c09087682f481f  

Następnie program kontaktuje się z http://wjtqjleommc4z46i.xvstbw.bid/ w celu zaszyfrowania nam wybranych plików.

Jesteśmy proszeni o wybranie języka, w którym będziemy informowani

Zabezpieczenie za pomocą capchy przed automatyczną analizą   

Jesteśmy informowani o zaszyfrowaniu naszych plików

Jesteśmy informowani jak pozyskać program Cerber Decryptor