febr 12, 2024 | Adatbiztonsági cikkek, hírek
Ahogy a digitális világ rohamos fejlődésen megy keresztül, úgy válnak a kiberbűnözők módszerei is egyre rafináltabbá, különösen a zsarolóvírusok felhasználásával, amelyekkel váltságdíj fejében szereznek hozzáférést az áldozataik adatához. Az utóbbi évek trendjei egyértelműen jelzik, hogy ezek a támadók nem csak megőrzik, hanem fokozzák is műveleteik agresszivitását, ami komoly kihívást jelent a kiberbiztonsági védekezési taktikáknak.
Az elmúlt időszakban gyűjtött adatok konzisztensen azt mutatják, hogy a zsarolóvírus támadások gyakorisága és ezáltal generált illegális bevételük meredeken emelkedett. Ez aggodalomra ad okot, mivel a kiberbiztonsági közösség által bevezetett ellenintézkedések kezdetben úgy tűnt, hogy lassítják ezt a növekedést. Viszont a Chainanalysis legújabb elemzése szerint a 2022-es évben a támadások intenzitása újra növekedésnek indult, és a zsarolóvírusok által erőltetett váltságdíjak összege is jelentősen megugrott, az előző évi 567 millió dollárról 1,1 milliárd dollárra emelkedve, ezzel új mérföldkövet állítva fel.
A zsarolóvírusokat alkalmazó bűnözők nem különböztetnek meg a potenciális célpontokat, így nagyvállalatok, egészségügyi intézmények és oktatási intézmények egyaránt az áldozatok között lehetnek. A Recorded Future és más elemző cégek jelentései alapján az új zsarolóvírus variánsok száma és ezek alkalmazásának gyakorisága folyamatosan nő, ami arra utal, hogy a jelenleg alkalmazott kiberbiztonsági védekezési módszerek nem nyújtanak kielégítő védelmet.
A 2022-es ideiglenes visszaesés után, különösen az orosz és ukrán csoportok esetében, a zsarolóvírus műveletek ismét intenzívebbé váltak. A geopolitikai helyzetek átmeneti változásai nem akadályozták meg, hogy a kiberbűnözők fokozzák támadásaikat mind szám, mind erősség tekintetében.
Ez az elemzés kiemeli, hogy bár vannak előrelépések a zsarolóvírusok elleni küzdelemben, a kiberbiztonsági szakértők továbbra is jelentős kihívásokkal néznek szembe. A dinamikusan változó kiberfenyegetések elleni védekezéshez szükség van átfogó és folyamatosan fejlődő védelmi stratégiákra, amelyek képesek alkalmazkodni az új kihívásokhoz.
Forrás:
febr 6, 2024 | Adatbiztonsági cikkek, hírek
Nigéria elkötelezettsége a kiberbűnözés ellen: Tények és kezdeményezések
A nigériai elnök, Bola Tinubu határozottan elutasítja azt a nézetet, hogy országuk a kiberbűnözők otthona lenne. Ellentétben az „infámus nigériai herceg” által ismertté vált csalásokkal, Tinubu elnök kiemeli Nigéria aktív szerepvállalását a globális közösség érdekében és a kiberbűnözés elleni harcot.
Ez a kihívás évente mintegy 500 millió dollár gazdasági veszteséget okoz Nigériának, de Tinubu hangsúlyozza, hogy a probléma nem korlátozódik csupán hazájára; ez egy világméretű jelenség, amellyel szemben minden lehetséges eszközzel fel kell lépni. Az elnök szerint a digitális világban valós időben kapcsolódunk össze, így a kiberbűnözők nem csak Nigériára, hanem a globális közösségre is veszélyt jelentenek, amely ellen összefogással és határozott fellépéssel lehet a leghatékonyabban harcolni.
Tinubu elnök azt is kihangsúlyozza, hogy Nigéria számos kezdeményezést indított a kiberbűnözés megelőzése és leküzdése érdekében, többek között oktatási programokat, amelyek a digitális tudatosságot és a biztonságos internetezést népszerűsítik.
Az EFCC vezetője, Ola Olukoyede is felhívja a figyelmet arra, hogy a fiatalok egyre nagyobb mértékben vesznek részt kiberbűnöző tevékenységekben, ami aggodalomra ad okot. Olukoyede azt javasolja, hogy a fiatalokat olyan karrierlehetőségek felé kell terelni, amelyek hasznosítják képességeiket konstruktív módon, az akadémiai közösségek mentorálása révén.
Chidiebere Ihediwa, egy elismert nigériai kiberbiztonsági szakértő, szintén hangsúlyozza az online csalók és bűnözők IT szakemberekké történő átképzésének fontosságát, valamint a kiberbiztonsági oktatás és képzés bővítésének szükségességét.
Végül, bár a nigériai kormány és a kiberbiztonsági közösség jelentős erőfeszítéseket tesz a kiberbűnözés elleni küzdelemben, ez a probléma világméretű és határokat nem ismerő jelenség. A technológiai megoldások mellett a társadalmi változások elősegítése és a fiatal generációk oktatása is kulcsfontosságú a biztonságos digitális jövő megteremtéséhez.
Forrás: www.darkreading.com
febr 2, 2024 | Adatbiztonsági cikkek, hírek
Az állandóan változó digitális környezetben a kiberbiztonság szerepe egyre kritikusabbá válik. Az egyre összetettebb kiberfenyegetések elleni védelemhez már a tervezési folyamat kezdetén komoly figyelmet kell fordítani a biztonsági szempontokra. Ennek révén minimalizálhatók a potenciális sebezhetőségek és támadási felületek.
A CISA kiemelt figyelme, különösen a kisvállalatok és otthoni irodai környezetek eszközgyártóira irányulva, rámutat ezeknek a speciális területeknek a biztonsági kihívásaira. Ezek az eszközök gyakran kimaradnak a nagyvállalati biztonsági intézkedések alól, ami sebezhetővé teszi őket az újabb támadásokkal szemben. A tervezési szakaszban való biztonsági megfontolások beépítése nem csak a felhasználókat védi, hanem az egész kiberbiztonsági ökoszisztémát is erősíti.
A CISA által ajánlott irányelvek, amelyek az automatikus frissítések támogatására és a biztonsági beállítások manuális változtatásának lehetőségére összpontosítanak, kulcsfontosságúak a kisvállalatok és otthoni irodák eszközeinek biztonságának növelésében. Az ilyen típusú beépített funkciók segítségével a gyártók csökkenthetik a felhasználókra nehezedő terheket a biztonsági frissítések kezelése terén, és ezzel javíthatják az eszközök általános védelmi szintjét.
A kritikus infrastruktúrák védelmének érdekében elengedhetetlen a köz- és magánszféra szoros együttműködése és koordinációja. A KV-botnet példája rámutat arra, hogy a kibertámadók milyen mértékben kihasználhatják a meglévő technológiai sebezhetőségeket, és mennyire fontos folyamatosan felkészülni és védekezni a kiberfenyegetésekkel szemben.
Ellentmondva a kínai kormány állításainak, melyek tagadják az ilyen típusú támadásokat, a nemzetközi közösségnek összefognia és együttműködnie kell a globális kiberbiztonsági fenyegetések elleni küzdelemben. A nemzetek közötti párbeszéd erősítése és a kibervédelmi normák megszilárdítása kulcsfontosságú a digitális világ biztonságának fenntartásához.
Végül az FBI és a DoJ által végrehajtott lépések, melyek a KV-botnet felszámolására irányultak, hangsúlyozzák, hogy a kiberfenyegetések kezelése dinamikus és folyamatos erőfeszítéseket igényel. A technológia fejlődésével párhuzamosan a kiberbiztonsági stratégiáknak is alkalmazkodniuk kell az új kihívásokhoz. A biztonságos tervezés, a rendszeres frissítések és a közös kibervédelmi elkötelezettség nélkülözhetetlenek a jövőbeli kiberfenyegetések hatékony kezeléséhez.
Forrás: www.thehackernews.com
febr 1, 2024 | Adatbiztonsági cikkek, hírek
A Cluster25, egy fenyegetéseket elemző cég nemrég felfedte a „Medve és a Shell” nevű spear-phishing kampányt. Ez a kampány elsősorban az orosz kormányt bíráló szervezetekre és az ellenzéki mozgalmakhoz köthető csoportokra irányul. A támadás során a társadalmi mérnökség módszereit alkalmazva látszólag hitelesnek tűnő csalétekkel csapják be az áldozatokat.
Példaként említhető egy NASA-témájú e-mail, amely állítólag egy állásajánlatot rejtő ZIP fájlt tartalmaz. Ennek a fájlnak a megnyitásakor egy több platformon működő reverse shell, az HTTP-Shell aktiválódik, amely lehetővé teszi a támadók számára, hogy távolról hozzáférjenek az áldozat rendszeréhez.
Ez a shell, habár nyílt forráskódú, rosszindulatú célokra is felhasználható, így lehetővé téve a fájlok átvitelét, a könyvtárak böngészését és a kapcsolódást egy parancs- és vezérlő (C&C) szerverhez. Ebben az esetben a C&C szerver egy PDF-szerkesztő oldalnak álcázta magát, hogy elkerülje a felderítést.
Túl a NASA-n: Egy szélesebb csalási háló
A Cluster25 nyomozása többet tárt fel, mint csak egyetlen támadást. További hasonló kampányokat is felfedeztek. Ezek a kampányok ugyanazt a módszertant követték, hasonló parancsikonokat használtak, és néhány csalétek témája is megegyezett. Ezek az adatok egy összehangolt támadási kísérletre utalnak, amely különböző egyének és szervezetek ellen irányul.
A kampány a NASA-témájú csaléteken túl terjeszkedett, különféle témákat felölelve a különböző célpontok megtévesztésére. Egyik taktika az USAID-témájú támadás volt, amely az Egyesült Államok Nemzetközi Fejlesztési Ügynökségének jó hírnevét használta ki. Egy másik cél a hollandiai székhelyű nyomozó újságírói csoport, a Bellingcat volt, ami a kampány nemzetközi jellegét hangsúlyozza.
Független orosz médiumok, mint a The Bell és a Verstka, cikkeit használták csalétekként is, bemutatva a támadók törekvését, hogy behatoljanak azokba a közösségekbe, amelyek kritikusak az orosz kormánnyal szemben.
Attribúció: Nyomok, amelyek a Medvére mutatnak
Bár a pontos elkövetők azonosítása még mindig várat magára, a bizonyítékok egy orosz állami támogatású fenyegető szereplő irányába mutatnak.
A célpontok jellege, valamint a korábbi Sliver beacon aktivitásokhoz kapcsolódó infrastruktúra használata arra utal, hogy az orosz kormány nevében tevékenykedő szereplők állhatnak a háttérben.
Ez aggodalmakat kelt a célzott kibertámadásokkal kapcsolatban, amelyek célja az ellenzéki hangok elnyomása és a kritikus vélemények elhallgattatása.
Forrás: cybersecuritynews.com
jan 31, 2024 | Adatbiztonsági cikkek, hírek
Hackerek megbízható platformok átirányítási hibáit kihasználva hajtanak végre phishing támadásokat
A támadók megbízható platformokat használnak fel átirányítási célokra, ami azt jelenti, hogy legitim weboldalak segítségével irányítják a felhasználókat kártékony URL-címekre.
Az egyre fejlődő kiberfenyegetések világában a phishing kísérletek gyakorisága növekszik, az e-mail pedig az egyik legfőbb célpont. A szakértők jelentős növekedést tapasztaltak azokban a phishing kísérletekben, amelyek kihasználják a nyílt átirányítási sebezhetőségeket.
A fő cél az észlelési mechanizmusok elkerülése és a felhasználók bizalmának kiaknázása, kihasználva a megbízható platformok hírnevét és az ellen-phishing elemzési technikákat, mint például az összetett átirányítási láncok.
Mi az a nyílt URL-átirányítási sebezhetőség?
Egy webalkalmazás olyan felhasználó által irányított adatot kap, amely egy külső oldalra mutató linket tartalmaz, amit aztán átirányításra használnak fel. Ez megkönnyíti a phishing kísérleteket.
A Trustwave SpiderLabs csapata szerint ez a webalkalmazás-sebezhetőség akkor keletkezik, amikor a felhasználók ellenőrizetlen adatok használatával irányíthatók át nem megbízható weboldalakra, ami támadók által üzemeltetett weboldalakra, például phishing oldalakra vezethet.
„A támadók egyre gyakrabban vizsgálják és tesztelik a nyílt átirányításra sebezhető linkeket a megbízható platformokon. Az URL-paramétereket manipulálják, hogy a felhasználókat rosszindulatú oldalakra irányítsák, és ezen linkeket phishing e-mailekbe ágyazzák be. Ez lehetővé teszi számukra a phishing támadások indítását és a felhasználói hitelesítő adatok ellopását”, osztotta meg a SpiderLabs csapat a Cyber Security News-szal.
Email phishing kísérletek
Egy esetben a támadók az IntelliClick tulajdonában lévő alap URL-t használják fel: „hxxps[://]www[.]intelliclicktracking[.]net/”. Az IntelliClick egy megbízható e-mail és weboldal marketing szolgáltató, amelynek domainjét a fenyegető szereplők nyílt átirányításokkal indított phishing támadásokhoz használják fel, noha ez egy legális szolgáltatás.
Van egy URL-paraméter, ami egy rosszindulatú IPFS oldalra mutat, egy e-mail cím részletével. Az InterPlanetary File System, vagy IPFS, egy elosztott, peer-to-peer fájlmegosztó rendszer, amit egyre gyakrabban használnak phishing támadásokhoz.
Az átirányítási lánc bemutatja, hogyan vezet az IPFS URL-re, amely egy hamis bejelentkezési űrlapot tartalmaz, amely a Webmailt utánozza.
A nyílt átirányítási stratégiákat használó phishing kampányok egyre gyakoribbak, az olyan képalapú támadások növekedése miatt, amelyek a Microsoftot és az e-aláírás szolgáltatásokat, mint az Adobe Sign és a DocuSign utánozzák.
A fenyegető szereplők kihasználják a Google szolgáltatásokkal kapcsolatos széles körű bizalmat, a Google domainek rosszindulatú felhasználásával és azok beépítésével a phishing erőfeszítésekbe, hogy elkerüljék az észlelést.
Ez hangsúlyozza a folyamatos éberség szükségességét a kiberfenyegetésekkel szemben, mivel azok továbbra is fejlődnek és új kihívásokat jelentenek.
Forrás: www.cybersecuritynews.com
jan 30, 2024 | Adatbiztonsági cikkek, hírek
A brazil rendvédelmi hatóságok sikeresen letartóztattak több, a Grandoreiro malware mögött álló brazil operatívot.
A Brazil Szövetségi Rendőrség közölte, hogy öt ideiglenes letartóztatási parancsot és tizenhárom házkutatási és lefoglalási parancsot hajtottak végre São Paulo, Santa Catarina, Pará, Goiás és Mato Grosso államokban.
A szlovák kiberbiztonsági cég, az ESET, amely további segítséget nyújtott az akcióban, azt állítja, hogy felfedezett egy tervezési hibát a Grandoreiro hálózati protokolljában, ami segített azonosítani a támadások mintázatait.
A Grandoreiro egyike azon latin-amerikai banki trójai vírusoknak, mint a Javali, Melcoz, Casabeniero, Mekotio és Vadokrist, amelyek elsősorban Spanyolországot, Mexikót, Brazíliát és Argentínát célozzák meg. 2017 óta aktívnak ismert. 2023 októberében a Proofpoint részleteket közölt egy olyan phishing kampányról, amely frissített változatát terjesztette a malware-nek Mexikóban és Spanyolországban.
Ez a banki trójai vírus képes adatokat lopni billentyűzetfigyelők és képernyőmentések segítségével, valamint bankszámla bejelentkezési információkat ellopni, amikor egy fertőzött áldozat a fenyegetők által meghatározott banki webhelyekre látogat. Hamis felugró ablakokat is megjeleníthet, és blokkolhatja az áldozat képernyőjét.
A támadási láncok tipikusan phishing csalikat használnak, amelyek ál-dokumentumokat vagy rosszindulatú URL-eket tartalmaznak, amelyek megnyitásakor vagy kattintásakor a malware telepítéséhez vezetnek, ami ezután kapcsolatot létesít egy parancs- és vezérlő (C&C) szerverrel, hogy távolról manuálisan irányítsa a gépet.
„A Grandoreiro rendszeresen figyeli az előtérben lévő ablakot, hogy megtaláljon egyet, amely egy webböngésző folyamathoz tartozik,” mondta az ESET. „Amikor egy ilyen ablakot talál, és annak neve egyezik bármelyik, a bankkal kapcsolatos szavakból álló, előre meghatározott listán szereplő szóval, akkor és csak akkor kezdi meg a kommunikációt a C&C szerverrel, legalább másodpercenként küldve kéréseket, amíg azok be nem fejeződnek.”
A malware mögött álló fenyegetők egy domain generáló algoritmust (DGA) is alkalmaznak 2020 októbere óta a C&C forgalom cél-domainjének dinamikus azonosítására, ami megnehezíti a hálózat blokkolását, nyomon követését vagy átvételét.
A C&C IP-címek túlnyomó többségét elsősorban az Amazon Web Services (AWS) és a Microsoft Azure szolgáltatja, az IP-címek élettartama 1 naptól 425 napig terjed. Átlagosan naponta 13 aktív és három új C&C IP-cím található.
Az ESET azt is elmondta, hogy a Grandoreiro hibás RealThinClient (RTC) hálózati protokoll implementációja a C&C-n lehetővé tette az információgyűjtést a C&C szerverhez csatlakozó áldozatok számáról, ami átlagosan naponta 551 egyedi áldozatot jelent, főként Brazíliából, Mexikóból és Spanyolországból.
További vizsgálatok szerint naponta átlagosan 114 új egyedi áldozat csatlakozik a C&C szerverekhez.
„A Brazil Szövetségi Rendőrség vezette felszámoló művelet azokra az egyénekre irányult, akiket a Grandoreiro művelet hierarchiájának magas rangú tagjainak tartanak,” tette hozzá az ESET.
Forrás: www.thehackernews.com
jan 29, 2024 | Adatbiztonsági cikkek, hírek
Az innováció létfontosságú a technológia minden területén, de a mesterséges intelligencia (AI) esetében ez még inkább igaz. Az AI világ gyorsan fejlődik, és számos ország – különösen Kína és Európa – verseng az USA-val az ezen a területen való vezetésért. A verseny győztesei hatalmas előnyöket látnak majd a gyártás, oktatás, orvostudomány és sok más területen, míg a lemaradottak függő helyzetbe kerülnek a vezető nemzetektől, amelyektől a technológiai fejlődésükhöz szükséges eszközöket kell kérniük.
Azonban a Fehér Ház által kiadott új szabályok gátolhatják az innovációt, beleértve a kis- és középvállalkozások által hozott újításokat is. Október 30-án a Fehér Ház egy „Végrehajtói Rendelkezést a Mesterséges Intelligencia Biztonságos, Biztonságos és Megbízható Fejlesztéséről és Használatáról” adott ki, amely számos AI-vel kapcsolatos kérdésre kíván politikát kialakítani. Sokan érvelhetnek amellett, hogy valóban szükség van szabályokra az AI biztonságos és biztonságos használatának biztosítására, de az EO, amely a kormányzati ügynökségeket hívja fel az AI politikájával kapcsolatos ajánlások megtételére, valószínűsíti, hogy az AI cégek közül csak a piacvezetők – mint a Microsoft, az IBM, az Amazon, az Alphabet (Google) és néhány másik – fognak beleszólni ezekbe az ajánlásokba. Az AI egy olyan hatalmas technológia, amely rendkívül fontos a jövő szempontjából, így természetes, hogy a kormányok be akarnak szállni – és az USA éppen ezt tette. De az elnök által javasolt út valószínűleg gátolni fogja, sőt, akár meg is állíthatja az AI innovációját.
Fontos célok rossz megközelítéssel
A 110 oldalas, terjedelmes dokumentum, az EO többek között azt kívánja biztosítani, hogy az AI „biztonságos és biztonságos” legyen, „felelős innovációt, versenyt és együttműködést ösztönözzön”, „támogassa az amerikai munkavállalókat”, „védje az amerikaiak magánéletét és polgári szabadságjogait”, és legyen elkötelezve „az egyenlőség és a polgárjogok előmozdítására”. Az EO bizottságokat állít ki és helyzetjelentéseket ad ki a következő hónapokban, amelyek elősegítik az AI politikájának kialakítását – és ami lényeges, korlátozásokat szab arra, hogy mit fejleszthetnek vagy mit kellene fejleszteniük az AI kutatóknak és vállalatoknak.
Ezek kétségtelenül kívánatos célok, és válaszként születtek az AI közösségen belül és kívül megfogalmazott érvényes aggodalmakra. Senki sem akar olyan AI modelleket, amelyek hamis videókat és képeket generálhatnak, amelyeket a valóditól megkülönböztethetetlenek, mert hogyan hihetnél bármit is? A tömeges munkanélküliség, amelyet az új technológiák okozhatnak, nemkívánatos lenne a társadalom számára, és valószínűleg társadalmi zavargásokhoz vezetne – ami rossz lenne a gazdagok és a szegények számára egyaránt. És az a tény, hogy a javaslatokat tucatnyi bürokratának kell jóváhagynia, semmiképpen sem segít.
Ha a Fehér Ház úgy érzi, szükséges ezeket a szabályokat kivetni az AI iparra, akkor felelőssége biztosítani, hogy minden hangot – nemcsak az iparági vezetőkét – meghallgassanak. Ennek elmulasztása olyan politikákhoz vezethet, amelyek figyelmen kívül hagyják, vagy kifejezetten betiltják azokat a fontos területeket, ahol a kutatásoknak zajlania kellene – területeket, amelyeket versenytársaink nem fognak habozni felfedezni és kiaknázni. Ha előttük akarunk maradni, nem engedhetjük meg az innováció gátlását – és biztosítanunk kell, hogy a startupok hangjai, az innováció motorjai, szerepet kapjanak a politikai ajánlásokban.
Forrás: www.insidebigdata.com
jan 22, 2024 | Adatbiztonsági cikkek, hírek
jan 18, 2024 | Adatbiztonsági cikkek, hírek
Sebezhető Docker szolgáltatásokat céloznak meg egy új kampányban, ahol a fenyegető szereplők XMRig kriptovaluta bányász szoftvert és a 9Hits Viewer alkalmazást telepítik, mint egy többágú pénzszerzési stratégia részét.
„Ez az el
ső dokumentált eset, amikor a 9Hits alkalmazást telepítik kártékony szoftverként,” mondta a Cado felhőbiztonsági cég, hozzátéve, hogy ez a fejlesztés azt jelzi, hogy az ellenfelek folyamatosan új stratégiákat keresnek a kompromittált gazdagépekkel való pénzszerzésre.
A 9Hits magát egy „egyedi webes forgalom-megoldásként” és „automatikus forgalomcserélőként” hirdeti, amely lehetővé teszi a szolgáltatás tagjainak, hogy forgalmat irányítsanak az oldalaikra kreditek vásárlásával. Ezt egy 9Hits Viewer nevű szoftverrel érik el, amely egy fej nélküli Chrome böngésző példányt futtat a többi tag által kért weboldalak meglátogatásához, amivel krediteket szereznek az oldalaikra irányuló forgalom generálásához.
A sebezhető Docker gazdagépekre terjedő kártékony szoftver pontos terjedési módja jelenleg nem világos, de feltételezik, hogy keresőmotorok, mint például a Shodan használatát foglalja magába potenciális célpontok keresésére. A szervereket ezután megtámadják, hogy két rosszindulatú konténert telepítsenek a Docker API-n keresztül, és lehívjanak kész képeket a Docker Hub könyvtárból a 9Hits és XMRig szoftverekhez.
„Ez egy gyakori támadási vektor a Docker célpontokra irányuló kampányokban, ahol az egyedi célra szánt kép helyett általános képet húznak le a Dockerhub-ról (ami majdnem mindig elérhető) és felhasználják a saját céljaikra,” mondta Nate Bill biztonsági kutató.
A 9Hits konténert aztán arra használják, hogy kódot hajtsanak végre a támadó számára kreditek generálásához, a 9Hits-szel való azonosítással a munkamenet-tokenjük használatával és a meglátogatandó oldalak listájának kinyerésével.
A fenyegető szereplők a rendszert úgy konfigurálták, hogy felnőtteknek szóló oldalakat vagy popupokat megjelenítő oldalakat látogassanak, de megakadályozzák a kriptovalutákkal kapcsolatos oldalak látogatását. A másik konténert XMRig bányász szoftver futtatására használják, amely egy privát bányászmedencéhez csatlakozik, ezáltal lehetetlenné téve a kampány méretének és jövedelmezőségének megállapítását.
„A kampány kompromittált gazdagépekre gyakorolt fő hatása az erőforrások kimerülése, mivel az XMRig bányász szoftver minden elérhető CPU erőforrást felhasznál, míg a 9hits nagy mennyiségű sávszélességet, memóriát és a maradék kis CPU-t használja fel,” mondta Bill.
„Ennek eredményeként a fertőzött szervereken futó legitim munkafolyamatok nem tudnak a várt módon teljesíteni. Ezen kívül a kampány frissíthető úgy, hogy távoli shellt hagyjon a rendszeren, ami potenciálisan komolyabb behatolást okozhat.”
Forrás: https://thehackernews.com
jan 16, 2024 | Adatbiztonsági cikkek, hírek
Az Inferno Drainer nevű, immár megszűnt csalói csoport egy év alatt, 2022 és 2023 között több mint 16 000 egyedi kártékony domain nevet hozott létre. A szingapúri székhelyű Group-IB szerint a szervezet „magas minőségű adathalász oldalak segítségével csábította gyanútlan felhasználókat arra, hogy kriptopénz tárcájukat az elkövetők által létrehozott infrastruktúrához kapcsolják, ami Web3 protokollokat utánzott annak érdekében, hogy az áldozatokat megtévessze és tranzakciók jóváhagyására bírja” – áll a The Hacker News-szal megosztott jelentésükben.
A
z Inferno Drainer 2022 novemberétől 2023 novemberéig volt aktív, és több mint 87 millió dolláros törvénytelen nyereséget könyvelt el, több mint 137 000 áldozat becsapásával. A malware része volt egy szélesebb körű, hasonló szolgáltatásoknak, amelyeket a csalók az „átverés-mint-szolgáltatás” (vagy „drainer-mint-szolgáltatás”) modell keretében értékesítettek, a nyereségük 20%-ának cserébe.
Ráadásul az Inferno Drainer ügyfelei választhatnak, hogy feltöltsék a malware-t a saját adathalász oldalaikra, vagy használják a fejlesztő szolgáltatását az adathalász weboldalak létrehozására és tárolására, néhány esetben ingyen, vagy a lopott eszközök 30%-ának díjazásával.
A Group-IB szerint a tevékenység több mint 100 kriptopénz márkát utánzott, különlegesen kialakított oldalakon, amelyeket több mint 16 000 egyedi domainen tároltak. Az ilyen domainek közül 500 elemzése során kiderült, hogy a JavaScript-alapú drainer kezdetben egy GitHub tárházban volt tárolva (kuzdaz.github[.]io/seaport/seaport.js), mielőtt közvetlenül az oldalakra illesztették volna. A „kuzdaz” felhasználó jelenleg nem létezik.
Hasonló módon, további 350 oldal tartalmazott egy „coinbase-wallet-sdk.js” nevű JavaScript fájlt, egy másik GitHub tárházban, a „kasrlorcian.github[.]io”-n. Ezeket az oldalakat olyan helyeken terjesztették, mint a Discord és az X (korábban Twitter), ahol potenciális áldozatokat csábítottak rá, hogy kattintsanak rájuk, azzal a csellel, hogy ingyenes tokeneket (úgynevezett airdropokat) kínáltak, és arra bírták őket, hogy csatlakoztassák a tárcáikat, amikor a tranzakciók jóváhagyása után az eszközeiket elcsatornázták.
A seaport.js, coinbase.js és wallet-connect.js nevű fájlok használatával a cél az volt, hogy népszerű Web3 protokollok, mint a Seaport, a WalletConnect és a Coinbase álruhájába bújjanak, hogy végrehajtsák az engedély nélküli tranzakciókat. Az első ilyen scriptet tartalmazó weboldal 2023. május 15-én jelent meg.
„Az Inferno Drainerhez tartozó adathalász oldalak egy másik jellemzője az volt, hogy a felhasználók nem nyithatták meg a weboldal forráskódját a gyorsbillentyűk vagy az egér jobb gombjának használatával” – mondta Viacheslav Shevchenko, a Group-IB elemzője. „Ez azt jelenti, hogy a bűnözők megpróbálták elrejteni a scriptjeiket és illegális tevékenységüket az áldozataik elől.”
Megjegyzendő, hogy a Google tulajdonában lévő Mandiant X fiókja ebben a hónapban kompromittálódott, és linkeket osztott meg egy adathalász oldalhoz, amely egy CLINKSINK nevű kriptopénz-drainert tárol.
„Bár az Inferno Drainer tevékenysége megszűnt, jelentősége 2023 folyamán kiemeli a kriptopénz tulajdonosok számára jelentkező súlyos kockázatokat, mivel a drainerek tovább fejlődnek” – mondta Andrey Kolmakov, a Group-IB High-Tech Crime Investigation Department vezetője.
Forrás: https://thehackernews.com
jan 10, 2024 | Adatbiztonsági cikkek, hírek
Az albán szervezeteket célzó legutóbbi kibertámadásokban a „No-Justice” nevű törlőprogramot alkalmazták.
A ClearSky kiberbiztonsági vállalat szerint ez a Windows-alapú kártevő úgy okoz összeomlást az operációs rendszerben, hogy annak újraindítása lehetetlenné válik.
Ezeket a betöréseket egy iráni „pszichológiai hadműveleti csoport”, a Homeland Justice végrehajtásának tulajdonítják, mely 2022 júliusa óta aktív, kifejezetten pusztító támadásokat hajt végre Albánia ellen.
2023. decem
ber 24-én az ellenfél egy szünet után újra megjelent, kijelentve, hogy „visszatérnek a terroristák támogatóinak megsemmisítésére”, legutóbbi hadjáratukat #DestroyDurresMilitaryCamp-ként aposztrofálva. Az albán Durrës város jelenleg az Iráni Népi Mudzsahedin Szervezetnek, azaz a MEK-nek ad otthont.
A támadás célpontjai közé tartozik az ONE Albánia, az Eagle Mobile Albánia, az Air Albánia és az albán parlament.
A kampány során két fő eszközt vetettek be: egy futtatható törlőprogramot és egy PowerShell szkriptet, amelynek célja, hogy az előbb említett programot terjessze tovább a célpont hálózatának többi gépére, a Windows Távoli Kezelést, azaz a WinRM-et engedélyezve. A No-Justice törlőprogram, a NACL.exe egy 220,34 KB-os bináris állomány, mely rendszergazdai jogosultságot igényel a számítógépen lévő adatok törléséhez.
Ezt úgy érik el, hogy eltávolítják a boot aláírást a Mesterindító Rekordból, az MBR-ből, ami az első szektort jelenti minden merevlemezen, amely azonosítja, hol helyezkedik el az operációs rendszer a lemezen, így betölthető a számítógép RAM-jába.
A támadás során további, legitim eszközöket is használtak, mint például a Plinket, más néven a PuTTY Linket, a RevSockset és a Windows 2000 erőforráskészletet a felderítés, az oldalirányú mozgás és a tartós távoli hozzáférés elősegítésére. Ez a fejlemény összefügg az iráni fenyegető szereplők, mint például a Cyber Av3ngers, a Cyber Toufan, a Haghjoyan és a YareGomnam Team egyre növekvő figyelmével Izrael és az Egyesült Államok felé a Közel-Keleten folytatódó geopolitikai feszültségek közepette.
„Olyan csoportok, mint a Cyber Av3ngers és a Cyber Toufan úgy tűnik, hogy visszavágó narratívát alkalmaznak kibertámadásaikban,” tájékoztatott a Check Point a múlt hónapban.
„Az Egyesült Államokban tevékenykedő entitásokat célzó támadásokkal, izraeli technológiát kihasználva, ezek a hacktivista csoportok egy kettős visszavágási stratégiát próbálnak megvalósítani – állítólag egyszerre Izraelt és az Egyesült Államokat megcélzó, összehangolt kibertámadással.”
A Cyber Toufan különösen több mint 100 szervezetet célzó hackelési és adatszivárogtatási műveletekhez kapcsolódik, fertőzött gazdagépeket törölve és az ellopott adatokat a Telegram csatornájukon közzétéve.
„Annyi kárt okoztak, hogy a szervezetek majdnem egyharmada – valójában – nem tudott helyreállni,” mondta Kevin Beaumont biztonsági kutató. „Néhányuk még több mint egy hónappal később is teljesen offline, és az eltörölt áldozatok magánvállalatok és izraeli állami kormányzati entitások keverékét jelentik.”
A múlt hónapban az Izraeli Nemzeti Kiber Direktorátus, az INCD kijelentette, hogy jelenleg körülbelül 15, Iránnal, a Hamásszal és a Hezbollahhal kapcsolatban álló hackercsoportot követ nyomon, amelyek rosszindulatúan működnek az izraeli kibertérben az izraeli-hamási háború kezdete óta 2023 októberében.
Az ügynökség továbbá megjegyezte, hogy az alkalmazott technikák és taktikák hasonlóságot mutatnak azokkal, amelyeket az Ukrajna-Oroszország háborúban használtak, pszichológiai hadviselést és törlő kártevőket alkalmazva az érzékeny információk megsemmisítésére.
Forrás: https://thehackernews.com
jan 5, 2024 | Adatbiztonsági cikkek, hírek
Az ukrán kiberbiztonsági hatóságok bejelentették, hogy a Sandworm nevű orosz állami támogatású fenyegető szereplő legalább 2023 májusa óta jelen volt a Kyivstar telekommunikációs operátor rendszereiben.
Az eseményt először a Reuters jelentette.
Az incidens, amit „erőteljes hackertámadásnak” neveztek, először múlt hónapban került nyilvánosságra, milliók számára okozva a mobil- és internet szolgáltatásokhoz való hozzáférés elvesztését. Az incidens után röviddel egy oroszhoz köthető hackercsoport, a Solntsepyok vállalta magára a támadást.
A Solntsepyok egy olyan orosz fenyegető csoport, amelynek kapcsolatai vannak az Orosz Föderáció Főparancsnokságának (GRU) Hadügyi Stábjának Főparancsnokságával is, amely a Sandwormot is működteti.
Az előrehaladott tartós fenyegetés (APT) szereplő hírnevét olyan zavaró kibertámadások szervezésében szerezte, amelyeket Dánia vádolt meg azzal, hogy tavaly 22 energiaipari vállalatot célozta meg.
Illia Vitiuk, Ukrajna Biztonsági Szolgálata (SBU) kiberbiztonsági osztályának vezetője elmondta, hogy a Kyivstar elleni támadás majdnem mindent eltörölt ezer virtuális szerverről és számítógépről.
Az incidens, amit „egy telekommunikációs operátor magjának teljes megsemmisülése” jelentett, azt mutatta, hogy a támadók valószínűleg legalább november óta teljes hozzáféréssel rendelkeztek a vállalat infrastruktúrájához, miután megkapta az első lábnyomot a cég infrastruktúrájához.
„A támadás hónapokig gondosan előkészítve volt” – mondta Vitiuk egy olyan nyilatkozatban, amit az SBU weboldalán osztottak meg.
A Kyivstar, amely azóta helyreállította működését, azt mondta, nincs bizonyíték arra, hogy az előfizetők személyes adatai kompromittálva lettek volna. Jelenleg nem ismert, hogyan jutott be a fenyegető szereplő a hálózatába. Érdemes megjegyezni, hogy a vállalat korábban elutasította a találgatásokat, miszerint a támadók elpusztították volna számítógépeiket és szervereiket, mint „hamis” információkat.
Ezen bejelentés előtt az SBU még ezen a héten azt állította, hogy két online megfigyelő kamerát állított le, amelyeket állítólag orosz hírszerzési ügynökségek hekkeltek meg azzal a céllal, hogy megfigyeljék a védelmi erőket és a kritikus infrastruktúrát Kyiv fővárosában.
Az ügynökség szerint a kompromittálás lehetővé tette az ellenfélnek, hogy távolról irányítsa a kamerákat, beállítsa a látószögüket, és csatlakoztassa őket a YouTube-hoz, hogy „minden vizuális információt rögzítsenek a kamera hatótávolságában”.
Forrás: https://thehackernews.com
jan 4, 2024 | Adatbiztonsági cikkek, hírek
A cyberbűnözők elfoglalják az X közösségi média szolgáltatás ellenőrzött „Gold” fiókjait, melyek korábban a Twitter nevet viselték, és eladják azokat a Dark Weben akár 2 000 dollárért is.
Ezt a CloudSEK kutatása támasztja alá, amely felfedezett egyfajta „Aranylázat” ezeknek a fiókoknak az előbukkanását az underground piacokon.
Az X-en a Gold jelvény azt jelenti, hogy a szolgáltatás függetlenül igazolta, hogy a fiók ténylegesen egy magas profilú szervezethez vagy hírességhez tartozik. Ezt egy éve vezették be fizetős opcióként, miután az X a kék pipát – korábban az igazságosság jelölése – egy olyan jelvényre cserélte, amelyet bárki felvehetett a profiljára, érvényesítés nélkül.
A cyberbűnözők most brute-force támadásokat hajtanak végre jelszavakon, és malware segítségével lopják el az azonosítókat a meglévő Gold fiókokhoz való hozzáférés érdekében – állapították meg a CloudSEK kutatói. Gyakran át is veszik azokat a nem-Gold fiókokat, amelyek hónapok óta nem voltak használatban, és felminősítik azokat ellenőrzött státuszba. Összességében százakat kínálnak fel ezekből a fiókokból underground fórumokon.
Azok, akik hajlandók fizetni, ezeket a fiókokat arra használhatják, hogy phishing linkeket helyezzenek el, elindítsanak dezinformációs kampányokat és pénzügyi csalásokat, vagy márkaimázsra gyakoroljanak negatív hatást káros tartalmak közzététele révén.
„A Dark Web piacokat elárasztották azok a hirdetések, melyek Twitter Gold fiókokat kínálnak,” – áll a cég ezen a héten közzétett kutatásában. „Az árak 35 dollártól kezdődnek egy alap fiókért, és akár 2 000 dollárig is terjednek azokért, amelyeknek nagy a követőtáboruk.”
A kutatók a veszélyt az szervezetekre nézve egy szeptemberi példával szemléltették: Kiber-támadók képesek voltak átvenni egy X fiókot, amely Vitalik Buterin, az Ethereum társalapítójáé volt. Ezután tweeteltek egy állítólag ingyenes nonfungibilis tokenek (NFT-k) kínálatával, egy beágyazott rosszindulatú linkkel, amely átirányította a felhasználókat egy hamis weboldalra, hogy kiürítse a kriptovalutákat a pénztárcájukból.
„A hackerek a hamis bejegyzés eltávolítása előtt körülbelül 20 percig aktívak voltak, és hihetetlen 691 000 dollárt szippantottak el digitális eszközeikből” – áll az elemzésben.
Hogyan védekezhetünk az X fiókok átvétele ellen?
A bűnözők számára az ilyen nagy fiókokba való beszivárgás értéke legalább 2020 óta ismert, amikor a hackerek képesek voltak feltörni az akkori Twitter belső hálózatait, hozzáférést szerezve ellenőrzött fiókokhoz, és tweeteket küldtek ki több magas profilú személy nevében.
Az szervezetek védelmében ajánlott rendszeresen figyelni a Twitteren megjelenő márkanév említéseket, és erős jelszópolitikákat alkalmazni a fiókok átvételének megelőzése érdekében – ajánlotta a CloudSEK. Az eredményes márkanévfigyelés magában foglalja a hamis profilok, engedély nélküli terméklisták, félrevezető hirdetések és rosszindulatú tartalmak azonosítását.
dec 20, 2023 | Adatbiztonsági cikkek, hírek
A HAECHI-IV nevű hat hónapos nemzetközi rendőrségi művelet eredményeként közel 3 500 személyt tartóztattak le, és 300 millió dollár értékű vagyont foglaltak le 34 országban.
A 2023. júliustól decemberig tartó gyakorlat különböző pénzügyi bűncselekmények ellen irányult, mint például a hangos csalás, románcos átverések, online szextorzió, befektetési csalások, a törvénytelen online szerencsejátékhoz kapcsolódó pénzmosás, vállalati e-mail átverés és az e-kereskedelemi csalások.
Ezen kívül a hatóságok lefagyasztották az érintett banki és virtuális eszközszolgáltató (VASP) számlákat annak érdekében, hogy megakadályozzák a bűnügyi eredményekhez való hozzáférést. Összesen 82 112 gyanús banki számlát blokkoltak, 199 millió dollárt készpénzben és 101 millió dollárt virtuális eszközökben elkoboztak.
„A Fülöp-szigeteki és a koreai hatóságok közötti együttműködés eredményeként egy magas rangú online szerencsejáték-bűnözőt tartóztattak le Manilában, miután a Koreai Nemzeti Rendőrügynökség két éves hajszája után sikerrel járt” – közölte az Interpol, egy nemzetközi rendőrségi szervezet.
A befektetési csalások, vállalati e-mail átverések és e-kereskedelmi csalások az esetek 75%-át tették ki, az ügynökség hozzátéve, hogy Dél-Koreában észlelt egy új csalást, amely nem fungibilis tokenek (NFT-k) eladásával járt, óriási hozamokat ígérve, csak az üzemeltetőknek, hogy váratlanul megszűntessék a projektet.
Egy másik új trend az volt, hogy mesterséges intelligencia (MI) és deepfake technológiát alkalmaztak a csalások hitelességének növelésére, lehetővé téve a bűnözőknek, hogy az áldozatok által ismert személyeket színleljenek meg, és álarcos csalások, online szexuális zsarolás és befektetési csalások által átverjenek, zaklassanak és zsaroljanak áldozatokat.
A HAECHI-IV több mint egy évvel a HAECHI-III után jött, amely 130 millió dollár értékű virtuális eszköz elkobzásához vezetett egy globális fellépés részeként a kibereszközökkel támogatott pénzügyi bűncselekmények és pénzmosás ellen.
„Az 300 millió dollár elkobzása egy hihetetlen összeg, és egyértelműen mutatja a mai transznacionális szervezett bűn robbanásszerű növekedése mögötti ösztönzőt” – mondta az Interpol Stephen Kavanagh. „Ez az illegális vagyon hatalmas felhalmozása komoly fenyegetést jelent a globális biztonságra, és gyengíti a világszerte lévő nemzetek gazdasági stabilitását.”
Forrás: www.thehackernews.com
nov 29, 2023 | Adatbiztonsági cikkek, hírek
A közelmúltban számos Google Drive felhasználó számolt be súlyos adatvesztési eseményekről, ami a Google felhőalapú tároló rendszerének megbízhatóságát kérdőjelezi meg. Több esetben felhasználók ezrei tapasztalták dokumentumaik váratlan eltűnését. Az első ilyen esetről Yeonjoong nevű felhasználó számolt be, aki fél évnyi adatainak eltűnését észlelte. További felhasználók is hasonlóan drámai adatvesztésről tettek jelentést, többek között értékes dokumentumok és munkaanyagok elvesztéséről.
Jelentések alapján a Google Drive asztali kliensében is problémák adódtak, ami az adatok szinkronizációjában okozott zavart a felhőszolgáltatás és a felhasználók személyes számítógépei között. Ez a hiba különösen aggasztó, mivel a felhasználók napi munkavégzéséhez elengedhetetlen a megbízható adatkapcsolat. Egyelőre nem áll rendelkezésre konkrét információ a hiba forrásáról és arról, hogy a elveszett adatok visszaállíthatók-e.
Ez a váratlan incidens kiemeli a rendszeres és sokrétű biztonsági mentés fontosságát, különösen azok számára, akik munkájuk során nélkülözhetetlen adatokat tárolnak a felhőben. Sokan nem rendelkeznek elegendő biztonsági mentéssel, amely kritikus lehet ilyen esetekben. A biztonsági mentési módszerek közé tartoznak a külső merevlemezek, SSD-k, NAS rendszerek RAID1 vagy RAID5 konfigurációban, optikai lemezek, memóriakártyák, pendrive-ok, valamint a különböző felhőszolgáltatások kombinált használata.
A Google műszaki csapata elismerte a problémát és jelenleg azon dolgoznak, hogy feltárják az okokat és megoldást találjanak. A felhasználók sürgős beavatkozást várnak, hiszen a Google Drive kulcsfontosságú része a mindennapi munkafolyamataiknak. A széles felhasználói bázis miatt a hiba globális hatásokkal bírhat.
A Google számára létfontosságú a hiba gyors feltárása és megoldása, hogy megakadályozzák a jövőbeni hasonló incidenseket. A felhasználók számára elengedhetetlen, hogy adataik biztonságosan legyenek tárolva és mindig elérhetőek maradjanak. A vállalatnak kidolgozott stratégiát kell alkalmaznia az ilyen típusú események elkerülésére és a felhasználói adatok biztonságának garantálására.
A fejleményeket folyamatosan figyelemmel kísérjük, és amint újabb információk érkeznek a probléma megoldásával vagy lehetséges következményeivel kapcsolatban, friss híreket közlünk. Bár reménykedünk a Google gyors és hatékony válaszában, és abban, hogy a lehető legtöbb elveszett adat helyreállítható lesz, sajnálatos módon fennáll az a veszély is, hogy egyes adatvesztések véglegessé válhatnak.
nov 22, 2023 | Adatbiztonsági cikkek, hírek
A Mustang Panda Támadásai: Kibertérben Kibontakozó Fülöp-szigeteki Konfliktusok
A Mustang Panda, egy Kínával összefüggésbe hozható hackercsoport, Fülöp-szigeteki kormányzati célpontokat támadott meg, kihasználva a Dél-kínai-tengeri területi viták által keltett feszültségeket. A Palo Alto Networks Unit 42 elemzése szerint 2023 augusztusában három külön kampány során a csoport célba vette a Dél-Csendes-óceáni térség szervezeteit.
A támadások során a hackerek hiteles szoftvereket, mint például a Solid PDF Creator-t és az indonéz SmadavProtect antivírust használták fel, hogy rosszindulatú fájlokat juttassanak be a rendszerekbe. A csoport ügyesen manipulálta ezeket a szoftvereket, hogy Microsoft hálózati forgalmat utánozzanak, ezzel biztosítva a parancs- és vezérlési (C2) kapcsolatokat.
A Mustang Panda csoportot sok néven ismerik, mint például Bronz Előlnök, Camaro Sárkány, Föld Preta, RedDelta és Állami Taurus, és mint egy kínai fejlett állandó fenyegetést (APT) jelölő csoportot tartják számon, mely 2012 óta aktívan folytat kiberspionázs kampányokat világszerte.
2023 szeptemberében a Unit 42 szakértői a csoportot egy délkelet-ázsiai kormányzati szervezet elleni támadással hozták összefüggésbe, melyben a TONESHELL nevű hátsó ajtót használták.
A legfrissebb támadások dárda-phishing email-ekkel kezdődtek, melyek rosszindulatú ZIP fájlokat tartalmaztak, egy rosszindulatú dinamikus könyvtárral (DLL). Az offenzíva célja egy távoli szerverhez való csatlakozás volt, amelynek során kompromittálták a Fülöp-szigeteki kormányzati entitásokat egy ötnapos időszak alatt, 2023 augusztus 10. és 15. között.
A Mustang Panda ismert a SmadavProtect program használatáról, amelyet a biztonsági rendszerek kijátszására terveztek. „Állami Taurus továbbra is bizonyítja a hatékony és tartós kiberspionázs műveletek végrehajtásában való jártasságát, mint az egyik legaktívabb kínai APT,” jegyezték meg a kutatók.
Az esetek globális célpontjai összhangban állnak a kínai kormány geopolitikai érdeklődési körével. A felfedezés egyidejűleg történt egy dél-koreai APT csoport, a Higaisa aktivitásának feltárásával, amely kínai felhasználókat célozott meg, OpenVPN-hez hasonló adathalász weboldalakon keresztül.
„Ezek a támadások Rust alapú kártékony szoftvereket telepítettek és futtattak a rendszereken, aktiválva egy shellcode-ot,” tájékoztatott a Cyble. „A shellcode anti-debugging és dekódoló műveleteket hajt végre, majd titkosított parancs-és-vezérlés (C&C) kommunikációt hoz létre a távoli fenyegető szereplővel.”
nov 13, 2023 | Adatbiztonsági cikkek, hírek
nov 1, 2023 | Adatbiztonsági cikkek, hírek
Digitális csalások elleni harcban gyakran kiemelik a kétlépcsős azonosítás és bonyolult jelszavak fontosságát. Azonban ezek az intézkedések sem nyújtanak teljes körű védelmet az agyafúrt hackerekkel szemben, akik rafinált módszereket alkalmaznak. Egy apró figyelmetlenség is elegendő lehet a bajhoz, amit egy magyar marketingügynökség dolgozója is megtapasztalt. A kiberbiztonsággal foglalkozó G Data vállalattal szoros kapcsolatot ápoló személy esete komoly figyelmeztetést jelent. A probléma felmerülésekor az illető azonnal értesítette a G Data-t, aki részletesen elemezte és publikálta az eseményeket, rámutatva a Facebook biztonsági réseire is.
A csapda
A közösségi média, különösen a Facebook, fontos szerepet játszik a reklámszakmában. Marketingügynökségek gyakran használják ezeket a platformokat, vállalati bankkártyáikat összekapcsolva a hirdetésekkel. Így nem meglepő, hogy adathalászok gyakran célozzák meg ezeket a cégeket, ügyfeleknek álcázva magukat.
Egy nyári esetben a csalók egy magyar ügynökséget vettek célba, látszólag több létező ruhamárka nevében felkeresve őket. Egy kommunikációs kampányhoz kerestek partnert, információs anyagokat küldve részben emailben, részben az ügynökség online felületén keresztül. Gyanút keltő jel volt, hogy a céges domain nem szerepelt a levelekben. Például az „O My Bag” táskagyártó nevében küldött email nem a cég hivatalos email címéről, hanem egy Gmail-es fiókból érkezett, az anyagok pedig OneDrive-ra lettek feltöltve. A csalók hitelesnek tűnő levelet és jelszóval védett .zip fájlt küldtek, amely 11 ártalmatlan médiafájlt és egy kártékony .scr fájlt tartalmazott. Az ügynökség dolgozója megnyitotta a fájlt, aktiválva ezzel a malware-t.
A betörés
A kártevő első lépése a Windows rendszerben egy indítófájl létrehozása volt, hogy minden indításkor aktív legyen. Ez lehetővé tette a böngészőben tárolt session tokenek és a Facebook-fiókhoz való hozzáférést. Az adathalászok hamarosan hozzájutottak a munkatárs Facebook-fiókjának és hirdetéskezelési felületének adataihoz, így saját hirdetéseiket indítva el a magyar ügynökség fiókjából.
A megoldás
A G Data szakértői szerint a legfontosabb védekezés a gyanakvás és az alapos figyelem. A kétlépcsős azonosítás segíthet, de ha a gép már fertőzött, nem nyújt teljes védelmet. Javasolt a gyanús email-ek és fájlok azonnali törlése, valamint egy megbízható víruskereső használata.
A következmények
A magyar ügynökség esete nem egyedülálló, az internetes csalások világszerte növekvő tendenciát mutatnak. A legjobb védekezés a folyamatos tájékozódás és a kiberbiztonsági megoldások használata. Fontos, hogy minden internetező tudatában legyen a digitális világ veszélyeinek és mindig éber maradjon az új fenyegetésekkel szemben.
Forrás: www.telex.hu
okt 27, 2023 | Adatbiztonsági cikkek, hírek
A WinRAR szoftver jelenleg nem rendelkezik automatikus frissítési lehetőséggel, ami előnyt jelenthet az államilag támogatott hackerek számára, mivel ezáltal könnyen kihasználhatják a programban fellelhető ismert hibákat. Sok felhasználó mulasztja el telepíteni az elérhető javításokat, ami a szoftver egy adott gyengeségének további terjedéséhez vezet – állapította meg a Google.
A cég most arra figyelmeztet, hogy „több államilag támogatott hackercsoport” használja ezt a CVE-2023-3883 kóddal jelölt hibát kártékony szoftverek terjesztésére.
„A WinRAR hibájának széleskörű kiaknázása felhívja a figyelmet arra, hogy az ismert sebezhetőségek ellenére is gyakoriak lehetnek a támadások, még ha a javítás elérhető is” – említi a Google blogposztjában.
Bár a WinRAR már javította ezt a hibát a 6.23-as verziójában augusztus 2-án, a hackerek április óta kiaknázzák azt. Mivel nincs beépített frissítési lehetőség, a felhasználóknak saját kezűleg kell letölteniük és telepíteniük a frissítéseket a WinRAR honlapjáról.
„A javítás ugyan elérhető, de számos felhasználó még mindig sebezhető” – hangsúlyozza a Google.
A cég továbbá rámutatott, hogy számos államilag támogatott hackercsoport, beleértve az orosz „Sandworm” csoportot, kihasználja ezt a hibát. A Google egy olyan phishing e-mailt is felfedezett, amely úgy tűnik, egy ukrán drónháborús oktatási intézménytől származik, célja pedig kifejezetten az ukrán felhasználók megcélzása.
Az e-mail egy linket tartalmaz, ami a fex[.]net nevű fájlmegosztóra mutat, benne egy álcázott PDF dokumentummal és egy kártékony ZIP fájllal, amely kihasználja a CVE-2023-3883 hibát – teszi hozzá a Google. Egy dokumentum megnyitása ebben a ZIP fájlban egy „infostealer” nevű kártékony szoftvert aktivál, amely képes ellopni a bejelentkezési adatokat.
Egy másik esetben a „Fancy Bear” néven ismert orosz hackercsoport egy phishing weboldalt hozott létre, hogy ukrán felhasználókat ösztönözzön egy ZIP fájl letöltésére, ami szintén kiaknázza a WinRAR hibáját.
„Az álcázott dokumentum egy meghívásnak tűnik a Razumkov Központ egyik eseményére, ami egy közpolitikai gondolkodó műhely Ukrajnában” – említi a Google.
Kínai hackerek is kihasználták ezt a hibát. Az APT40 névre hallgató csoport egy phishing támadást indított Pápua Új-Guinea felhasználói ellen.
„Az e-mailek Dropbox linket tartalmaznak egy ZIP archívumhoz, mely a CVE-2023-3883 kiaknázását, egy jelszóval védett álcázott PDF-et és egy LNK fájlt tartalmaz” – tájékoztat a Google.
Ezért a Google arra sürgeti a WinRAR felhasználókat, hogy frissítsék a programjukat.
„Ezek a támadások, amelyek a WinRAR hibáját célozzák meg, hangsúlyozzák a frissítések fontosságát, és arra figyelmeztetnek, hogy a felhasználóknak még sok teendője van a szoftvereik naprakészen és biztonságosan tartásához” – jelenti ki.
Felvettük a kapcsolatot a WinRAR-rel, hogy megtudjuk, terveznek-e automatikus frissítési funkciót bevezetni, és frissítjük a cikket, amint választ kapunk. Addig is fontos megjegyezni, hogy a WinRAR weboldala szerint a programnak világszerte több mint 500 millió felhasználója van.
szept 20, 2023 | Adatbiztonsági cikkek, hírek
REKORD BÍRSÁG A TIKTOKNAK GDPR MEGSÉRTÉSE MIATT
A TikTok számára komoly anyagi terhet jelenthet az írek által kiszabott bírság, de mégis kérdéses, hogy ez elrettentő hatással lesz-e rájuk.
A nagy közösségi médiaplatformokat sokszor vizsgálják különböző okokból, de csak ritkán kapnak milliárdos büntetéseket. A TikTok esetében azonban ez most másképp alakult, bár a bírság kevesebb, mint amit más tech óriások már kaptak korábban.
A Ír Adatvédelmi Bizottság (DPC) döntése alapján a TikTok 345 millió eurós büntetést kapott.
Az eljárás évek óta tartott, és a 2020-ban elkövetett adatvédelmi jogsértések miatt indult. A hatóság szerint a TikTok nem kezelte helyesen a fiatalkorúak adatait. Az írek 2021-ben indították az eljárást, mely során a TikTok próbálta késleltetni az ügy menetét.
Már augusztusban hallottunk arról a Politico-tól, hogy a DPC esetleges büntetést szabhat ki. A vizsgálat során a hatóság a TikTok gyermekekkel kapcsolatos adatvédelmi gyakorlatait értékelte. Kiemelendő, hogy a TikTokot különösen sok fiatal használta ebben az időszakban.
A vizsgálat során többek között a „Family Pairing” felügyeleti funkciót, az alapértelmezett beállításokat és az életkor-ellenőrzést vették górcső alá. A vizsgálat során több hiányosságot is találtak, és kiderült, hogy a TikTok alapértelmezésben minden profilt nyilvánosságra állított, ami ellentmond a GDPR szabályozásnak.
Az ír hatóság az Európai Adatvédelmi Testülettel is egyeztetett, így széleskörű szakértelmet alkalmaztak. A vizsgálat rávilágított arra is, hogy bár a platformon csak 13 éven felülieknek lett volna szabad regisztrálni, mégis sok fiatalabb felhasználója volt.
A 345 millió eurós büntetés nem elhanyagolható. Ezelőtt a TikTok még nem kapott ekkora büntetést. A platform azonban a közelmúltban több szabályozást is igyekezett betartani, így az elrettentő hatás kérdéses.
2020-ban a Meta 405 millió eurós büntetést kapott, mivel az Instagram nem kezelt helyesen bizonyos adatokat. Ezen kívül már láthattunk 1,2 milliárd eurós bírságot is, amit a Meta kapott.
A GDPR alapján a legnagyobb büntetés a cég előző éves bevételének 4%-a lehet. Nagy tech cégek esetében ez jelentős összeg lehet, de kisebb vállalatoknál a maximum büntetés 10 és 20 millió euró között mozog.
