Search the Community
Showing results for tags 'cyberprzestępca'.
Found 24 results
-
Cyberprzestępcy zaatakowali i okradli kancelarię prawną obsługującą m.in. Lady Gagę, Drake'a czy Madonnę. Teraz szantażują ofiarę ujawnieniem 756 gigabajtów ukradzionych danych. Mają wśród nich znajdować się kontrakty, korespondencja prywatna czy umowy poufności. Nowojorska kancelaria Grubman Shire Meiselas & Sacks oferuje swoje usługi przemysłowi rozrywkowemu i mediom. Jak poinformowali badacze z firmy Emsisoft, kancelaria została zaatakowana za pomocą ransomware REvil (Sodinokibi). Przestępcy ukradli m.in. numery telefonów klientów kancelarii, adresy e-mail, ich prywatną korespondencję, umowy podpisane z agencjami reklamowymi i inne dokumenty związane z pracą słynnych osób. Niewielką część tych danych umieszczono w internecie. Są tam zrzuty ekranowe kilku umów czy dane folderów, do których cyberprzestępcy uzyskali dostęp. Grupa twierdzi, że ukradła 756 gigabajtów danych, które opublikuje, jeśli kancelaria im nie zapłaci, mówi Brett Callow, analityk z Emsisoft. Grubman Shire Meiselas & Sacks obsługuje najsławniejszych ze sławnych. Jej klientami są Elton John i Rod Stewart, Lil Nas X i U2 czy tacy giganci jak Facebook, Sony oraz HBO. Możemy potwierdzić, że padliśmy ofiarą cyberataku. Poinformowaliśmy naszych klientów i pracowników. Zatrudniliśmy światowej klasy ekspertów, którzy specjalizują się w takich sprawach i pracujemy nad rozwiązaniem problemu, oświadczyli przedstawiciele firmy. Nie wiadomo, jakiej kwoty domagają się szantażyści. Jednak na poparcie swoich gróźb opublikowali dokumenty, wśród których jest prawdopodobnie kontrakt podpisany w 2019 roku przez agenta Madonny w związku z organizacją jej trasy World Tour 2019-2020 czy inny dokument podpisany przez Christinę Aguilerę. Ujawnienie ukradzionych informacji może prowadzić do kradzieży tożsamości, podszywania się pod kogoś, ataków phishingowych i innych rodzajów oszustw. Niewykluczone też, że przestępcy mogą próbować kontaktować się bezpośrednio z ludźmi, których dane ukradli i żądać od nich pieniędzy, mówi Callow. Ataki z użyciem REvil nie są niczym nowym. W bieżącym roku zaatakowano w ten sposób kilkanaście celów. Przestępcy m.in. ukradli i ujawnili dane z National Eating Disorders Association, organizacji zajmującej się pomocom osobom z zaburzeniami odżywiania. Okradli też giełdę wymiany walut Travelex i wymusili na niej zapłatę ponad 2 milionów dolarów okupu. « powrót do artykułu
-
- cyberprzestępca
- ransomware
-
(and 7 more)
Tagged with:
-
Wskutek pomyłki Microsoftu przewidziany na 13 września zestaw łat publikowanych w ramach comiesięcznego Patch Tuesday ukazał się kilka dni wcześniej. W Sieci pojawiły się odnośniki do biuletynów od MS11-070 do MS11-074. Microsoft szybko usunął biuletyny, ale wcześniej informacja o ich dostępności została opublikowana na niektórych witrynach. Dziennikarze serwisu Threatpost postanowili zapytać w Redmond, jak to się stało, że bardzo dobrze dotychczas działający system publikacji poprawek, zawiódł. Dowiedzieli się, że prawdopodobną przyczyną może być przeprowadzana właśnie zmiana schematu adresów, pod którymi publikowane są biuletyny, by łatwiej można było je wyszukiwać w różnych językach. Wcześniejsze pojawienie się poprawek nie stanowi natychmiastowego zagrożenia dla użytkowników Windows. Jednak należy brać pod uwagę fakt, że cyberprzestępcy korzystają z publikowanych przez Microsoft biuletynów, by dokonać na nich inżynierii wstecznej i dzięki temu dowiedzieć się, gdzie znajdują się łatane przez nie dziury. Jeśli zatem przypadkowo opublikowane biuletyny wpadły w ręce przestępców, zyskali oni dodatkowy czas na odkrycie luk i przygotowanie ataków.
- 5 replies
-
- cyberprzestępca
- biuletyn
-
(and 3 more)
Tagged with:
-
Firma McAffee opisuje, jak cyberprzestępcy przez kilkanaście miesięcy mieli dostęp do sieci komputerowej co najmniej pięciu firm działających w sektorze ropy naftowej i gazu. Atakującym udało się ukraść dokumenty dotyczące wydobycia złóż i zawartych kontraktów. Skoordynowanym działaniom eksperci z McAffee nadali kryptonim Night Dragon. Wszystkie ataki zostały przeprowadzone za pomocą kodu powszechnie dostępnego w cyberprzestępczym podziemiu. Ataki rozpoczęły się w listopadzie 2009 roku. Najpierw przestępcy włamywali się na serwer WWW firmy. Następnie wgrywali tam specjalne narzędzia, dające im dostęp do sieci wewnętrznej. Później łamali hasła i nazwy użytkownika, dostając się jeszcze głębiej do firmowej infrastruktury. Dzięki temu zyskiwali dostęp do danych, które "dla konkurencyjnych firm są warte fortunę". Nie wiadomo, kto stał za atakami. Fakt, że były one przeprowadzane tylko w przypadające w Chinach dni robocze może stanowić pewną wskazówkę, lecz trudno na tej podstawie wyciągać jakiekolwiek wnioski. Tym bardziej, że atakujący nie starali się zbytnio ukryć śladów swojej działalności, co może wskazywać albo na to, że brakowało im umiejętności, albo też, że chcieli skierować podejrzenia na fałszywy trop.
- 2 replies
-
- ropa naftowa
- hacker
-
(and 5 more)
Tagged with:
-
Przed cyberprzestępcami coraz trudniej jest się uchronić. Cóż bowiem może zrobić przeciętny użytkownik internetu, skoro niedawno odkryto, że ich ofiarą padł sam szef Interpolu. Sekretarz generalny Ronald K. Noble powiedział podczas niedawnej Interpol Information Security Conference w Hongkongu, że cyberprzestępcy wykorzystali jego tożsamość do założenia dwóch kont w serwisie Facebook. Udało im się dzięki temu dotrzeć do poufnych informacji dotyczących globalnej akcji Interpolu o nazwie "Operation Infra-Red". W jej ramach pomiędzy majem a lipcem prowadzono szczególnie intensywne poszukiwania osób podejrzewanych o morderstwa, pedofilię, defraudację, korupcję, przemyt narkotyków i pranie brudnych pieniędzy. Udało się aresztować 130 osób. Przestępcy, którzy założyli fałszywe profile Noble'a na Facebooku zdobyli dzięki nim m.in. informację o tym, kogo Interpol poszukuje. Cyberprzestępczość to konkretny problem. Biorąc pod uwagę anonimowość w cyberprzestrzeni, może to być najpoważniejsze zagrożenie kryminalne, z jakim się dotychczas zetknęliśmy - stwierdził Noble.
- 4 replies
-
- Operation Infra-Red
- Ronald K. Noble
- (and 4 more)
-
Specjaliści ds. bezpieczeństwa ostrzegają internautów, by szukając informacji o katastrofie samolotu z prezydentem Kaczyńskim na pokładzie nie używali wyszukiwarek. Już w kilka godzin po tragedii cyberprzestępcy zaczęli wykorzystywać ją do swoich celów. Jerome Segura, analityk z firmy ParetoLogic znalazł "zatrute" wyniki wyszukiwań w Google'u. Odnośniki prowadzą do szkodliwych witryn, na których może dojść do ataku na komputer użytkownika. Za pomocą innych linków internauci mogą trafić na witryny reklamujące fałszywe oprogramowanie antywirusowe lub wręcz na strony, na których otrzymają nieprawdziwą informację o wykryciu infekcji, z poradą, by zainstalowali dostępny na danej witrynie rzekomy program antywirusowy. Najczęściej tego typu oprogramowanie zawiera konie trojańskie, a infekcja kończy się podłączeniem komputera do botnetu oraz kradzieżą danych jego właściciela. Segura zaleca, byśmy odwiedzali tylko zaufane witryny znanych mediów, na których znajdziemy informacje o katastrofie. Cyberprzestępcy od lat "zatruwają" wyniki wyszukiwarek i korzystają z każdej nadarzającej się okazji, by zaatakować internautów szukających informacji na temat aktualnych wydarzeń.
- 25 replies
-
- cyberprzestępca
- Lech Kaczyński
-
(and 5 more)
Tagged with:
-
Firma Foreground Security odkryła w Adobe Flash błąd, który naraża na niebezpieczeństwo użytkowników olbrzymiej liczby witryn WWW. Dzięki tej dziurze przestępcy mogą zaatakować osoby korzystające z takich stron, które umożliwiają użytkownikom wgrywanie doń własnej zawartości. Mike Bailey z Foreground mówi, że problem leży w polityce bezpieczeństwa Flash. Daje ona dostęp plikom tego typu tylko do obiektów znajdujących się w tej samej domenie. To jednak oznacza, że przestępca może załadować odpowiednio spreparowany szkodliwy plik Flash np. na swoje konto w serwisie społecznościowym i zaatakować innych użytkowników tego serwisu. Odkrywcy dziury mówią, że łatwo ją wykorzystać. Przygotowali też prototypowy atak i wyjaśnili jego działanie. Posłużyli się tutaj przykładem forum, na którym użytkownicy mogą umieszczać własne avatary. Cyberprzestępca może zatem wgrać na serwer szkodliwy plik Flash, który wygląda jak avatar. Każdy, kto otworzy stronę z tym avatarem będzie narażony na atak. Przedstawiciele Adobe, producenta Flasha, mówią, że problemu nie można usunąć wydając łatkę do Flasha. Ich zdaniem, problem leży w samym wykorzystywaniu aktywnych skryptów na witrynach WWW. Jeśli tylko użytkownicy mają prawo do wgrywania na witrynie własnych plików, mechanizm taki może zostać wykorzystany do przeprowadzenia ataku. Bezpieczeństwo można zwiększyć przechowując pliki użytkowników w innej domenie, rezygnując z Flasha lub stosując mechanizmy blokujące tego typu elementy na stronie.
- 7 replies
-
- cyberprzestępca
- skrypt
-
(and 2 more)
Tagged with:
-
Internetowy Wielki Brat obchodzi dzisiaj 14. urodziny. Dnia 23 października 1995 w USA wydano pierwszą sądową zgodę na podsłuch sieci komputerowej. Podsłuch prowadzony był do grudnia przez Biuro Prokuratora USA dla Okręgu Massachusetts. Wszystko zaczęło się kilka miesięcy wcześniej. W sierpniu 1995 roku Marynarka Wojenna odkryła włamanie do swojej sieci komputerowej, w której były przechowywane ważne - ale nie tajne - informacje na temat budowy satelitów, samolotów i radarów. Ustalono, że napastnik zainstalował w systemie sniffera, który zbierał loginy i hasła użytkowników, a więc umożliwiał przestępcy zalogowanie się do systemu. Administratorzy ustalili też, że włamania dokonano z systemu komputerowego Wydziału Nauk i Sztuk Pięknych Uniwersytetu Harvarda. Śledztwo prowadzone przez Służbę Kryminalną Marynarki Wojennej we współpracy z administratorami Harvarda wykazało, że wcześniej doszło do włamania do sieci uniwersytetu, a napastnik wykorzystał konta jej użytkowników do dalszych ataków na liczne sieci wojskowe i akademickie. W związku z tym, że napastnik dobrze się maskował, konieczne było podsłuchanie jego komunikacji. Wcześniej wojskowi podsłuchiwali sieci komputerowe, jednak zawsze działo się to za zgodą użytkowników monitorowanego systemu. Tym razem, po raz pierwszy w historii USA, wydano sądową zgodę na podsłuch sieci. Śledczy szybko dowiedzieli się, że podejrzany posługuje się pseudonimem El Gritón (hiszp. krzykacz) i łączy się z Buenos Aires. Dzięki pomocy Telecom Argentina, z której sieci korzystał griton, namierzono mieszkanie cyberwłamywacza. Argentyńczycy aresztowali tam ojca i trzech synów. O aresztowaniu na pierwszej stronie pisał najważniejszy argentyński dziennik, a dalsze śledztwo wykazało, że przestępcą jest 21-letni Julio Cesar Ardita. Okazało się, że włamywał się on do sieci Departamentu Obrony i uzyskał dostęp do ważnych informacji związanych z Marynarką Wojenną, Armią i NASA. Mimo, iż jego ojcec był emerytowanym wojskowym i konsultantem argentyńskiego Senatu, amerykańscy śledczy wykluczyli, by włamywacz miał związki z rządem Argentyny. W marcu 1996 roku w USA przygotowano akt oskarżenia. Ardita przez dwa lata odwoływał się od kolejnych wyroków argentyńskich sądów, próbując uniknąć ekstradycji do USA. W końcu w maju 1998 roku stanął przed sądem w Bostonie i przyznał się do winy. Został skazany na 50 000 dolarów grzywny i trzy lata dozoru sądowego. Obecnie Julio Cesar Ardita pracuje w firmie Cybsec, która specjalizuje się w zapewnieniu bezpieczeństwa ponad 400 klientom na całym świecie.
- 6 replies
-
- Marynarka Wojenna
- NASA
- (and 7 more)
-
Cyberprzestępcy, którzy atakują innych użytkowników, starają się jednocześnie sami zabezpieczyć przed atakami. Jak poinformował Paul Royal, analityk firmy Purewire, niezwykle popularną przeglądarką wśród cyberprzestępców jest Opera. Norweski produkt jest używany przez około 2% internautów, jednak wśród cyfrowych włamywaczy odsetek ten sięga 26 procent. Użytkownicy cyberprzestępczych narzędzi używają zwykłych przeglądarek, ale są znacznie bardziej skłonni używać Opery, gdyż wiedzą, że nie jest ona atakowana przez innych cyberprzestępców - mówi Royal. Niewielka popularność Opery powoduje, że nie opłaca się jej atakować. Trzeba jednak zauważyć, że swoje badania Royal przeprowadził na bardzo małej próbce cyberprzestępców. Ekspert wykorzystał dziurę w jednym z hakerskich narzędzi do infiltracji systemów jego użytkowników. W ten sposób trafił do 51 cyberprzestępców, z czego udało mu się zidentyfikować adresy IP i dane o używanych programach w przypadku 15 z nich. Wykonaliśmy po prostu audyt kodu. Nawet przestępcy, którzy atakują innych nie są w stanie stworzyć bezbłędnego oprogramowania - wyjaśnia Royal. Ekspert stwierdził też, że przestępcy starają się przebywać jak najdalej od serwerów, na których składują wykorzystywane przez siebie narzędzia. Zauważył, że spośród 15 zidentyfikowanych przez siebie hakerów tylko dwóch Łotyszy mieszkało w tym samym kraju, w którym znajdował się używany przez nich serwer. Większość włamywaczy stara się, by od serwera dzieliły ich co najmniej dwie granice.
- 4 replies
-
- atak
- cyberprzestępca
-
(and 1 more)
Tagged with:
-
W krajach Europy Wschodniej zaatakowano 20 bankomatów z systemem Windows XP. Firma TrustWave uważa, że to tylko test i wkrótce można spodziewać się dużej fali ataków w USA i na zachodzie Europy. Zaatakowane maszyny zostały zarażone szkodliwym kodem, który przechwytuje dane z kart bankomatowych oraz numery PIN. Kod zawiera również własny interfejs użytkownika, który pozwala cyberprzestępcy na odczytanie ukradzionych danych za pomocą specjalnej karty. Analizy wykazały, że szkodliwy kod najprawdopodobniej nie ma możliwości wysyłania ukradzionych danych przez Sieć, ale pozwala na ich zapisanie na magnetycznym nośniku włożonym do bankomatowego czytnika karta. Okazało się również, że przestępcy wyposażyli swój program w funkcję, dzięki której możliwe jest wyjęcie z bankomatu kasetki z pieniędzmi. To oprogramowanie jest niepodobne do żadnego innego. Daje atakującemu całkowitą kontrolę nad bankomatem, pozwala zdobyć wszystkie dane, numery PIN i pieniądze z każdej maszyny. Sądzimy, że to dopiero początek, a przyszłe wersje szkodliwego kodu zostaną wyposażone w nowe funkcje, takie jak np. zarażanie kolejnych bankomatów przez Sieć. Jeśli przestępca uzyska dostęp do jednej maszyny, szkodliwy kod będzie ewoluował i automatycznie rozprzestrzeniał się na inne systemy - napisali specjaliści z TrustWave. Infekcja jest przeprowadzana za pomocą pliku isadmin.exe, który stanowi część oprogramowania Borland Delphi Rapid Application Development. Po jego uruchomieniu właściwy szkodliwy kod jest istalowany w pliku lsass.exe w katalogu głównym systemu Windows. Następnie dochodzi do manipulacji usługę Protected Storage, wskutek czego fałszywy lsass.exe jest uznawany za prawdziwy, w miejsce autentycznego pliku znajdującego się w podkatalogu system32. Szkodliwe pliki wyposażono też w mechanizm autostartu na wypadek awarii, dzięki czemu zawsze pozostają aktywne.
- 14 replies
-
- cyberprzestępca
- atak
-
(and 2 more)
Tagged with:
-
Rosyjscy cyberprzestępcy znowu wypowiedzieli wojnę jednemu z państw, które niegdyś stanowiły część Związku Radzieckiego. Tym razem wybrali Litwę. Ich ofiarą padło około 300 witryn, wśród nich strony instytucji publicznych: narodowej komisji etyki czy komisji giełdowej. Zaatakowano również serwery prywatnych przedsiębiorstw. Cyberprzestępcy na zaatakowanych witrynach umieścili flagę ZSRR, a odwiedzający je internauci mogą usłyszeć antylitewskie piosenki. Trudno orzec, co tym razem zdenerwowało miłośników Związku Radzieckiego. Litwa prowadzi coraz bardziej niezależną od Rosji politykę, próbuje uniezależnić się od niej energetycznie, domaga się ukarania winnych zamordowania 14 cywili i 7 strażników granicznych oraz policjantów w 1991 roku, kiedy to była republika walczyła o niepodległość. Ponadto chce, by Rosja wypłaciła odszkodowanie osobom, które zostały wywiezione do gułagów po podbiciu Litwy przez ZSRR. Ponadto przed kilkunastoma tygodniami wprowadzono przepisy zakazujące publicznego prezentowania symboli nazistowskich i sowieckich. W ubiegłym roku rosyjscy cyberprzestępcy zaatakowali Estonię za to, że z centrum Tallina usunięto pomnik Armii Czerwonej.
-
Firma Netcraft informuje o odkryciu wyjątkowo niebezpiecznej metody phishingu. Przypomnijmy, że terminem phishing określamy ataki, których celem jest wyłudzenie danych. Bardzo często phisherzy próbują w ten sposób zdobyć informacje konieczne do skorzystania z kont bankowości elektronicznej swoich ofiar. Nowa technika jest trudna do wykrycia i przez to bardzo niebezpieczna. Podczas wspomnianego ataku cyberprzestępcy skierowali się przeciwko klientom Banca Fideuram. Początek wyglądał dość typowo: do klientów wysłano autentycznie wyglądające maile, których autorzy podszywali się pod wspomnianą firmę. Dzięki nim zachęcali użytkowników do zalogowania się na swoje konto. W e-mailu umieszczano odnośnik do strony, na której należy się zalogować. I tutaj kończą się podobieństwa. Zwykle bowiem w takich przypadkach odnośnik prowadzi na fałszywy serwer, który wyświetla witrynę do złudzenia przypominającą stronę, na której zwykle użytkownik się loguje i dochodzi do kradzieży haseł. Tym razem było inaczej. Cyberprzestępcy użyli... prawdziwego certyfikatu SSL atakowanego banku. Pomimo niego atakującym udało się załadować na witrynę banku własny formularz, w którym następuje logowanie. Cała wyświetlana witryna jest więc autentyczna, z wyjątkiem hostowanego na tajwańskim serwerze formularza. Dowodzi to, jak poważne konsekwencje mogą mieć błędy typu XSS (cross-site scripting) występujące na stronach banków. Przykład ten pokazuje, że bezpieczeństwo nie może być zagwarantowane tylko przez fakt wyświetlenia się symbolu kłódki i nagłówka HTTPS: w pasku adresu czy też przez upewnienie się, że znajduje się tam właściwy adres – mówi Paul Mutton z Netcrafta. Informuje on, że podczas ataku wykorzystano nie tylko popularną lukę IFRAME, ale również błędy w parametrze GET. Ponadto cyberprzestępcy wykorzystali kilka dodatkowych technik, które uczyniły atak bardzo trudnym do wykrycia nawet przez filtry zabezpieczające.
-
- cyberprzestępca
- Netcraft
- (and 4 more)
-
Do Sieci wyciekł materiał wideo pokazujący skutki ataku cyberprzestępców na sieci energetyczne. Materiał został przygotowany przez amerykański Departament Bezpieczeństwa Wewnętrznego, który prowadził symulowane próby takich ataków. Zwykle myśląc o bezpieczeństwie informatycznym skupiamy uwagę na komputerach indywidualnych użytkowników, serwerach firmowych lub rządowych. Obawiamy się kradzieży danych, pieniędzy czy zablokowania pracy sieci. Okazuje się jednak, że możliwe jest również fizyczne uszkodzenie drogich, skomplikowanych urządzeń i pozbawienie kraju energii elektrycznej. W ramach tego samego programu przeprowadzano symulowane ataki na zakłady produkujące wodę czy fabryki chemiczne. To bardzo obrazowe. Samo rozmawianie o bitach i bajtach nie ma takiego wpływu, co oglądanie płonącego urządzenia – mówi Amit Yoran, były doradca prezydenta Busha ds. cyberbezpieczeństwa. Na razie, przynajmniej w USA, nigdy nie doszło do podobnego ataku. Autorzy symulacji ostrzegają jednak, że niebezpieczeństwo grożące systemowi energetycznemu jest bardzo realna i słabo rozumiane. Dlatego też infrastruktura IT używana np. w energetyce nie jest tak ściśle monitorowana, jak w innych przypadkach np. w bankowości. Dlatego też dojdzie do ataku znacznie trudniej będzie przeanalizować sposób jego przeprowadzenia i zapobiegać podobnym zdarzeniom w przyszłości. Atak na turbinę można .
- 3 replies
-
- turbina
- cyberprzestępca
-
(and 1 more)
Tagged with:
-
IBM-owski zespół X-Force informuje o gwałtownym wzroście liczby witryn zajmujących się phishingiem, czyli wyłudzaniem informacji. Pomiędzy 12 a 18 czerwca znaleziono 114 013 nowych witryn tego typu. Aż 85% ataków było skierowanych przeciwko bankowi Regions. Działający na południu i środkowym zachodzie USA bank zarządza aktywami wartości 140 miliardów dolarów. Specjaliści IBM-a znaleźli też dowody na to, że wśród cyberprzestępców bardzo popularne są automatyczne narzędzia do tworzenia szkodliwych witryn. Aż 99% stron phishingowych zostało stworzonych przy pomocy komercyjnie dostępnych zestawów takich narzędzi. X-Force uważa, że za atakami stoi stosunkowo niewielka grupa ludzi. Wszystkie 114 tysięcy witryn znajdowało się w zaledwie 111 domenach. Połowa z nich byłą hostowana w Chinach i na Tajwanie.
-
Program antywirusowy NOD32 może posłużyć cyberprzestępcom do przejęcia kontroli nad atakowanym komputerem. Aby tego dokonać cyberprzestępca musi wgrać odpowiedni plik do katalogu z długą ścieżką dostępu. Błąd pozwalający na przejęcie kontroli nad systemem występuje we wszystkich edycjach NOD32 wcześniejszych od 2.70.37.0. Podczas przetwarzania długich ścieżek dochodzi do błędu przepełnienia bufora. Ma on miejsce gdy skaner antywirusowy dokonuje operacji na folderze, w którym znajduje się wspomniany plik. Ponadto szkodliwy kod musi być tak napisany, by wyglądał jak nazwa katalogu zapisana w Unikodzie. Wszystkie te warunki są trudne do spełnienia, jednak istnieje już ponoć kod, który wykorzystuje lukę w programie NOD32.
-
- cyberprzestępca
- włamanie
-
(and 1 more)
Tagged with:
-
Specjaliści ds. bezpieczeństwa zwracają uwagę, iż cyberprzestępcy stosują coraz bardziej zaawansowane technologie, by przeprowadzić atak na przedsiębiorstwa. Mikko Hypponen z F-Secure zauważa, że szkodliwy kod tworzony jest coraz częściej pod kątem zaatakowania konkretnej firmy. O tyle trudno jest przed nim się bronić, że od złapania szkodnika do wyprodukowania szczepionki musi minąć pewien czas. Jeśli natomiast szkodliwy kod pojawia się po raz pierwszy i od razu atakuje konkretną firmę, to jej system antywirusowy często jest bezbronny. Ponadto nie są przeprowadzane zmasowane ataki. Poczta z zainfekowanymi plikami trafić może tylko i wyłącznie do kilku konkretnym pracowników, a sam list i szkodliwe pliki mogą zostać zatutułowane tak, że nie będą budziły podejrzeń. Cyberprzestępcy starają się bowiem dowiedzieć o firmie jak najwięcej i zbierają informacje o profilu jej działalności czy nazwiskach szefów. Ostrzeżenie nadeszło też ze strony firmy MessageLabs. W raporcie Targeted Attack March 2007 przedsiębiorstwo zauważa, że rośnie liczba ataków przeprowadzanych za pomocą zainfekowanych plików Excela, Worda czy PowerPointa. Po ich otwarciu szkodliwy kod instaluje się na komputerze ofiary i wykrada tajemnice firmowe oraz szpieguje sieć korporacyjną. W raporcie zauważono, że na największe niebezpieczeństwo narażony jest przemysł elektroniczny, obronny, producenci urządzeń do elektrowni atomowych oraz agendy rządowe USA. Najwięcej tego typu ataków przeprowadzanych jest z terytorium Chin i Tajwanu. Jeszcze na początku 2006 roku notowano średnio 2 tego typu ataki w tygodniu. W marcu 2007 przeprowadzono ich 716 i były one skierowane przeciwko 216 różnym firmom. Pochodziły natomiast z 249 źródeł. Najczęściej wykorzystywanymi plikami były dokumenty PowerPointa, z którymi programy antywirusowe mają największe problemy.
-
- F-Secure
- Mikko Hypponen
-
(and 4 more)
Tagged with:
-
Firma Juniper Networks informuje o nowym typie ataku, który jest skierowany przeciwko systemom wbudowanym, a więc ruterom, telefonom komórkowym czy... kuchenkom mikrofalowym. Atak możliwy jest dzięki lukom w procesorach ARM i XScale, które są powszechnie wykorzystywane w takich urządzeniach. Znaleźliśmy bardzo interesujące błędy w architekturach ARM i XScale, które czynią ataki bardzo łatwymi – mówi Barnaby Jack z Junipera. Zapewnia, że opracowana przez niego technika ataku jest w 100 procentach skuteczna i pozwala na uruchomienie dowolnego kodu na zaatakowanym urządzeniu. Cyberprzestępcy mogą więc zainstalować i uruchomić szkodliwy kod na ruterach, telefonach komórkowych, palmtopach i innych urządzeniach, które łączą się z Internetem. Systemy wbudowane otaczają nas od dawna i są tak powszechne, że nawet ich nie zauważamy. Stosuje się je w silnikach samochodów, bankomatach, klimatyzatorach, systemach alarmowych, telewizorach, drukarkach, dyskach twardych czy kalkulatorach. Dzięki włamaniu do nich cyberprzestępcy mogą wejść w posiadanie poufnych informacji lub przekierować ruch z zaatakowanego urządzenia tak, by np. łączyło się ono nie z bankiem, a z fałszywą stroną, na której zostanie dokonana kradzież danych. Barnaby Jack jeszcze w bieżącym miesiącu podczas konferencji CanSewWest ujawni szczegóły luk oraz sposoby na zabezpieczenie się przed nimi. Specjalista Junipera zauważył luki testując urządzenia za pomocą narzędzi JTAG (Joint Test Action Group). JTAG to standard IEEE 1149.1, który opisuje protokół wykorzystywany podczas testowania połączeń na płytkach drukowanych. Układy scalone, które są poddawane takim testom, muszą mieć wbudowane odpowiednie obwody. Tak więc producenci układów celowo produkują je w ten sposób, by można było je później przetestować odpowiednimi narzędziami. Teraz, jak się okazuje, można to wykorzystać do włamania. Jack informuje, że niektórzy developerzy wyłączają w gotowych urządzeniach możliwość jego użycia, jednak był w stanie włamać się do 90% testowanych przez siebie urządzeń. Wyłączanie dostępu do JTAG nie jest jednak powszechnie stosowane, gdyż dla wielu producentów urządzeń jest to zbyt droga procedura. Dotychczas nie stwarzało to większego problemu. Urządzenia pozwalające na dokonywanie włamań do systemów wbudowanych były bardzo drogie, więc cyberprzestępcy nie interesowali się nimi. Obecnie jednak tanieją i w związku z zaczyna rozwijać się przestępcze podziemie specjalistów, którzy potrafią nie tylko przełamać zabezpieczenia oprogramowania, ale pokonują też i sprzęt. Joe Grant, haker specjalizujący się właśnie w wyszukiwaniu luk w sprzęcie i szef firmy Grand Idea Studio mówi: Dla społeczności hakerów to bardzo interesujące. Stwierdzą: mamy już dość włamywania się do programów. Przyjrzyjmy się sprzętowi.
-
- cyberprzestępca
- Joint Test Action Group
-
(and 5 more)
Tagged with:
-
Specjaliści informują, że google’owski serwis blogowy Blogger jest wykorzystywany przez cyberprzestępców do rozpowszechniania szkodliwego kodu. Według firmy Fortinet, przestępcy założyli na Bloggerze setki blogów, na które wejście kończy się zarażeniem komputera szkodliwym oprogramowaniem. Odróżnienie ich od blogów tworzonych przez uczciwe osoby jest dla przeciętnego internauty niemożliwe. Jeden z takich fałszywych blogów został rzekomo założony przez miłośnika motocykla Honda CR450 i próbuje zarazić komputer wizytującego koniem trojańskim Wonka. Inny rzekomy blog przekierowuje swoje ofiary na stronę Pharmacy Express, która z jednej strony wyłudza dane osobowe, a z drugiej zaraża rozsyłającym spam koniem trojańskim Stration. To nie są prawdziwe blogi, które padły ofiarą cyberprzestępcą. To fałszywe blogi zajmujące się phishingiem – mówi przedstawiciel Google’a. Zapowiada śledztwo i usunięcie rzekomych blogów. Ataki na Bloggera to kolejny przykład, w jaki sposób sieci społecznościowe są wykorzystywane przez cyberprzestępców. Warto tu przypomnieć, że przed kilkoma miesiącami poinformowano o podobnych atakach na YouTube czy MySpace.
-
- koń trojański
- phishing
-
(and 4 more)
Tagged with:
-
Po raz drugi w ciągu ostatniego tygodnia okazuje się, że Google Desktop jest dziurawy. Tym razem specjaliści znaleźli lukę, która powoduje, iż program jest podatny na pewien mało znany rodzaj ataku zwany anti-DNS pinning. Daje on cyberprzestępcy dostęp do wszystkich danych zaindeksowanych przez Google Desktop. Robert Hansen, niezależny specjalista ds. bezpieczeństwa, który odkrył lukę, ostrzega, że wszystkie dane z Google Desktop mogą zostać pobrane na komputer atakującego. Niestety, nie ujawnił on szczegółów dotyczących sposobu, w jaki można przeprowadzić atak. Zapewnił, że przetestował wszystkie możliwe scenariusze i atak jest skuteczny. Hansen poinformował o znalezionej luce Google’a, a koncern oświadczył, że bada doniesienia. Anti-DNS pinning to metoda ataku znana niewielkiej grupie specjalistów. Hansen wykorzystał jej odmianę, która polega na takim zmanipulowaniu sposobu, w jaki przeglądarka internetowa korzysta z serwera nazw (DNS), by wysyłała ona dane na komputer cyberprzestępcy. Na szczęście atak jest trudny do przeprowadzenia i niewiele osób potrafi go wykonać. Specjaliści uważają jednak, że nie wolno tej metody lekceważyć, gdyż jest bardzo skuteczna i w przyszłości może być szerzej wykorzystywana przez cyberprzestępców. Tym bardziej, że niewiele można zrobić, by go uniknąć.
-
- cyberprzestępca
- Robert Hansen
-
(and 4 more)
Tagged with:
-
Naukowcy obliczyli, że każdy podłączony do Sieci komputer jest atakowany średnio co 39 sekund. Michael Cukier z University of Maryland, autor badań, stwierdził: Nasze dane dowodzą, że komputery podłączone do Internetu są atakowane bez przerwy. Maszyny, które wykorzystaliśmy w naszym badaniu były w ciągu doby atakowane średnio 2244 razy. Chcąc sprawdzić, w jaki sposób przebiega atak, Cukier i jego zespół podłączyli do sieci cztery słabo zabezpieczone maszyny z systemem Linux. Komputery były niemal bez przerwy atakowane przez automatyczne oprogramowanie (tzw. boty), które przeczesuje Sieć w poszukiwaniu źle zabezpieczonych maszyn i próbuje się do nich włamać. Najczęściej takie boty korzystają z ataków słownikowych. Polegają one na próbach odgadnięcia, w oparciu o zestawy powszechnie używanych wyrazów, haseł dających dostęp do atakowanej maszyny. Wyniki uzyskane przez Cukiera mogą przerażać. Z innych badań wiadomo bowiem, że olbrzymia część internautów korzysta z takich właśnie, łatwych do odgadnięcia słów. Tymczasem dobrze skonstruowane hasło powinno być długie, zawierać litery i cyfry oraz nie przypominać żadnych wyrazów występujących w jakimkolwiek słowniku i nie być związane z użytkownikiem komputera. Nie powinno to być więc np. imię, data urodzin czy numer telefonu. Po uzyskaniu dostępu do komputera cyberprzestępcy najczęściej zmieniali hasła, sprawdzali konfigurację sprzętową i programową maszyny, oraz instalowali i uruchamiali na niej potrzebne im programy, dzięki którym uzyskiwali kontrolę nad komputerem. Takie maszyny stają się częścią botnetów, czyli sieci komputerów-zombie, i służą, bez wiedzy właściciela, do rozsyłania spamu, szkodliwego oprogramowania czy przeprowadzania ataków DDoS.
-
- Michael Cukier
- botnet
-
(and 3 more)
Tagged with:
-
Kradzieże tożsamości i związane z nimi straty stają się coraz poważniejszym problemem. W przyszłym tygodniu podczas RSA Conference urzędnicy amerykańskiej Federalej Komisji Handlu (FTC) przedstawią zebrane na ten temat informacje. Zgromadzone one zostały bazie danych o nazwie Consumer Sentinel i pochodzą od samych klientów, którzy składali skargi. Surowe dane poznamy już wkrótce, a pełen raport, podobny do tego z 2003 roku, zostanie przygotowany w ciągu kilku miesięcy. Już teraz wiadomo, że informacje są przerażające dla przeciętnego internauty, a bardzo zachęcające dla cyberprzestępców. Jeśli weźmiemy pod uwagę fakt, że np. w 2005 roku do FTC złożono 650 000 skarg, a straty skarżących wyniosły około 680 milionów dolarów, to przestajemy się dziwić, że działające w Internecie gangi coraz chętniej budują botnety i dokonują ataków phishingowych. Specjaliści nie ustalili jeszcze metodologii badań nad kradzieżami tożsamości. Jeśli bowiem zastosować metodologię przyjętą w raporcie FTC w 2003 roku to, jak informuje firma Javelin Strategy & Research, należałoby przyznać, że w 2006 roku spadła liczba ataków phishingowych. Opierając się na tej metodologii Javeli uważa, że w minionym roku na całym świecie straty spowodowane kradzieżą tożsamości spadły o 12% i wyniosły 49,3 miliarda dolarów. W samych Stanach Zjednoczonych poszkodowanych zostało o 500 000 osób mniej, niż w roku 2005. Z wnioskami tymi nie zgadza sie Avivah Litan z firmy Gartner. Otrzymante przez Javelin wyniki są sprzeczne z obserwowanymi trendami – mówi Litan. Brytyjskie banki właśnie opublikowały raport, z którego wynika, że liczba defraudacji związanych z kradzieżą tożsamości wzrosła o 20 procent.
-
- cyberprzestępca
- kradzież tożsamości
- (and 3 more)
-
Specjaliści informują o olbrzymim wzroście liczby wirusów. Według firmy Postini obecnie zauważyć można 20-krotnie większą niż zwykle aktywność szkodliwego kodu. W ostatnim czasie pojawiły się liczne e-maile, których autorzy próbowali zachęcić odbiorców do uruchomienia załączonego pliku, w którym rzekomo miał się znajdować film obrazujący zniszczenia, dokonane w Europie przez ostatnie burze. W rzeczywistości znajdował się tam szkodliwy kod, który dołączał zainfekowany komputer do botnetu (sieci komputerów-zombie). Problem stał się na tyle duży, że Vint Cerf, jeden z twórców Internetu, stwierdził, że obecnie aż 25% podłączonych do Sieci komputerów jest częścią jakiegoś botnetu. Specjaliści są zdzania, że gwałtownie rosnąca liczba botnetów zagraża Internetowi jako całości. Takie sieci wykorzystywane są do przeprowadzania ataków DDoS, rozsyłania spamu i szkodliwego kodu. Ponadto obserwowane są niespotykane dotąd zjawiska. W poprzednich latach zauważano w okolicach świąt Bożego Narodzenia wzrost liczby ataków na osoby prywatne, sklepy i instytucje finansowe. Cyberprzestępcy usiłowali kraść dane osobowe i finansowe internautów. Po nowym roku mieliśmy jednak zawsze do czynienia ze spadkiem ich aktywności. Tym razem jest inaczej. Zagrożenie utrzymuje się na niezwykle wysokim poziomie i w najbliższym czasie nie należy spodziewać się spadku – zbliżają się bowiem Walentynki. A te są dla przestępców kolejną okazją do rozsyłania setek milionów e-maili zawierających niechciane reklamy czy szkodliwy kod. Niestety, użytkownicy Internetu wciąż są bardzo nieostrożni. Wielu z nich nie używa nawet oprogramowania antywirusowego i firewalla, a liczni otwierają większość załączników, jakie przychodzą do nich pocztą elektroniczną.
-
- Vint Cerf
- cyberprzestępca
-
(and 3 more)
Tagged with:
-
The Washington Post, opierając się na danych dostarczonych przez Microsoft oraz na wywiadach ze specjalistami ds. bezpieczeństwa informuje, że przeglądarka Internet Explorer była niezałatana przez 284 dni 2006 roku. Tak więc przez 78% ubiegłego roku jej użytkownicy byli narażeni na niebezpieczeństwo. W tym samym roku przez co najmniej 98 dni jedna z luk w Internet Explorerze pozostawała niezałatana i była aktywnie wykorzystywana przez cyberprzestępców do kradzieży danych osobowych i finansowych. Dla porównania, główny konkurent Internet Explorera – przeglądarka Firefox – ma na swoim koncie jeden 9-dniowy okres, w którym istniała poważna, niezałatana dziura. W ciągu ubiegłego roku do Sieci trafiło 10 informacji, szczegółowo opisujących, w jaki sposób można wykorzystać krytyczne dziury w IE, jeszcze zanim zostały one załatane przez Microsoft. Brian Krebs, który ogłosił powyższe dane, informuje, że przed publikacją pokazał wyniki swoich badań Microsoftowi, a przedstawiciele koncernu nie zgłosili do nich żadnych zastrzeżeń.
- 1 reply
-
- cyberprzestępca
- Microsoft
-
(and 4 more)
Tagged with:
-
Portal Gazeta.pl stał się celem ataku typu DoS. Wczoraj (30 listopada) o godzinie 19 administratorzy Gazety zauważyli, że z portalem jednocześnie próbuje połączyć się 80 tysięcy komputerów. Większość z nich to maszyny z Łotwy, Rosji, Hiszpanii, Iranu oraz innych krajów Azji. Portal, wspólnie z Netią i TP SA, rozpoczął blokowanie połączeń z atakującymi komputerami. Władze Gazeta.pl poinformowały, że to pierwszy tego typu atak w historii. Został on przeprowadzony przez sieci tzw. komputerów-zombie, które wykorzystywane są do ataków typu DoS (Denial of Service – odmowa współpracy) czy rozsyłania spamu. Gazeta padła właśnie ofiarą ataku DoS. Jego celem jest wielokrotne łączenie się z atakowaną maszyną, tak by nie nadążała ona z odpowiadaniem na żądania atakujących komputerów. W efekcie może to doprowadzić do całkowitego paraliżu pracy serwera. W związku z atakiem mogą wystąpić kłopoty z korzystaniem z portalu. Za powstawanie sieci komputerów-zombie odpowiedzialni są cyberprzestępcy oraz... nieostrożni użytkownicy. Osoby, które nie zabezpieczają odpowiednio swoich komputerów czy nie posługują się nimi z należytą ostrożnością, narażają się na infekcję szkodliwym oprogramowaniem, którego celem jest przejęcie kontroli nad komputerem. Gdy się to uda, maszyna taka staje się częścią botnetu (sieć komputerów-zombie) i służy do rozsyłania spamu bądź atakowania innych komputerów. Jej użytkownik najczęściej nie jest świadom działań podejmowanych przez jego komputer.
-
- komputer-zombie
- cyberprzestępca
-
(and 4 more)
Tagged with:
-
Przed tygodniem Google udostępnił specjalistom ds. zabezpieczeń swoje narzędzie, które pozwala na wyszukiwanie szkodliwego kodu w serwisach internetowych. Okazało się, że cyberprzestępcom udało się już złamać kod google'owskiego narzędzia. Mechanizm Google'a wykorzystuje, podobnie jak programy antywirusowe, sygnatury szkodliwego oprogramowania i na tej podstawie, znajdując w Sieci charakterystyczne dla danego wirusa fragmenty kodu, jest w stanie go zidentyfikować. Teraz cyberprzestępcy, po uzyskaniu dostępu do narzędzia Google'a, mają ułatwione zadanie. Po co męczyć się i tworzyć nowego wirusa, robaka czy konia trojańskiego gdy może po prostu odnaleźć go za pomocą Google'a, pobrać i wykorzystać? – mówi Paul Henry, wiceprezes w firmie Secure Computing. Cyberprzestępcy, którzy nie mają odpowiednich umiejętności, mogą dzięki Google'owi odnaleźć szkodliwy kod i wykorzystać go do przeprowadzenia ataku – dodał. Obecnie, po złamaniu kodów Google'a i uzyskaniu dostępu do jego narzędzia, przestępcy rozpowszechniają w Internecie fragmenty szkodliwych kodów, dzięki czemu każdy zainteresowany może, korzystając z wyszukiwarki, odnaleźć interesujące go szkodliwe oprogramowanie.