Gang posługujący się nazwiskami 50 000 menedżerów zmienił taktykę działania
dodany przez
KopalniaWiedzy.pl, w Bezpieczeństwo IT
-
Podobna zawartość
-
przez KopalniaWiedzy.pl
Oszustwa mailowe wciąż kojarzą nam się z metodami typu „na nigeryjskiego księcia”, które są tak znane, że pojawiają się nawet w popkulturze. Obecna rzeczywistość prezentuje się jednak inaczej, a przestępcy korzystają z coraz lepiej dopracowanych metod wyłudzania danych. Nikt nie jest stuprocentowo odporny na psychologiczne sztuczki – ofiarami padają nawet eksperci cyberbezpieczeństwa.
Mailowi naciągacze już dawno zauważyli, że metody socjotechniczne niezwykle dobrze sprawdzają się przy wyłudzaniu cennych informacji. Jak podaje portal Security, tylko w pierwszym kwartale 2022 roku zaobserwowano ponad milion ataków phishingowych. Ponad 23% z nich były skierowane w sektory finansowe.
Dlaczego ludzie nabierają się na phishing?
Choć coraz większa liczba osób jest świadoma problemu, jakim jest phishing, ataki są nadal przeprowadzane – wiele z nich skutecznie. Oszuści znajdują coraz kreatywniejsze sposoby na to, by „łowić” ofiary i wyłudzać poufne dane. Jednym z nich jest korzystanie z naturalnego ludzkiego odruchu – ufności w stosunku do autorytetów.
Mnóstwo fałszywych maili to właśnie wiadomości od osób postawionych wysoko w hierarchii. Przestępcy chętnie podszywają się pod kierownictwo albo prezesów firm, a ich ofiarami są zwyczajni pracownicy tychże organizacji. Znalezienie informacji o czyimś miejscu pracy nie stanowi bowiem problemu w dzisiejszym świecie – wiele informacji zawodowych zamieszczamy sami w mediach społecznościowych, na przykład na portalu LinkedIn.
Jak działają oszustwa mailowe?
Dawniej typowa wiadomość phishingowa charakteryzowała się następującymi cechami: liczne błędy ortograficzne, dziwna składnia (pochodząca z automatycznego translatora), ponaglenie do dokonania działania (uiszczenia wpłaty na konto czy podania danych osobowych). Takie maile stanowią teraz rzadkość – są z oczywistych względów nieskuteczne w czasach, kiedy większość z nas umie poruszać się po sieci.
Oszuści wiedzą, że mało kto nabierze się na byle jak skrojoną wiadomość, dlatego dokładają starań, by wzbudzić zaufanie swoich ofiar. Wiele ataków phishingowych łudząco przypomina normalne maile od szefów i współpracowników. Do pozyskiwania informacji o strukturach firmowych przestępcy wykorzystują między innymi portale typu LinkedIn, a ofiary wybierają na podstawie stanowiska pracy, wieku czy relacji z innymi członkami organizacji.
Coraz większym problemem staje się również spearing, czyli phishing skierowany nie do grup odbiorców, lecz konkretnych jednostek. Przestępcy posługujący się spear phishingiem starannie wybierają swoje ofiary, a następnie kierują do nich bardzo spersonalizowane wiadomości. Trudno dziwić się ludziom, którzy się na nie nabierają – maile zawierają często specyficzne dla nich informacje, pozornie trudne do uzyskania przez osoby trzecie. Trzeba jednak pamiętać o tym, że w dobie mediów społecznościowych nawet to, gdzie przebywaliśmy w danym dniu, może przydać się oszustowi.
Jak uniknąć oszustwa?
Chociaż nowoczesne ataki phishingowe stają się coraz bardziej wyrafinowane, istnieje kilka sposobów na to, by się przed nimi chronić.
Ogranicz swoje zaufanie. Zawsze dwa razy sprawdzaj, kto jest nadawcą maila – nawet jeśli na pierwszy rzut oka wiadomość wygląda normalnie. Zwracaj szczególną uwagę na adres nadawcy i nie bój się z nim skontaktować inną drogą niż mailową, jeśli nie jesteś pewien, czy to na pewno on wysłał maila. Korzystaj z usługi VPN. Odpłatny albo darmowy VPN zapewnia większe ogólne bezpieczeństwo w sieci choćby dzięki temu, że szyfruje dane przesyłane przez Internet. Przodujące na rynku rozwiązania zawierają również rozmaite dodatkowe funkcje – mogą na przykład informować użytkownika o tym, że odnośnik, w który próbuje wejść, może być szkodliwy. Uważaj, co publikujesz. W dobie mediów społecznościowych sami dostarczamy przestępcom wielu danych. Jeśli nie chcesz, by jakaś informacja została wykorzystana przeciwko Tobie – nie udostępniaj jej. Zwróć uwagę na to, co znajduje się na Twoim Facebooku, Instagramie czy LinkedInie. Jeśli możliwe jest dowiedzenie się o tym, gdzie i z kim pracujesz, to pamiętaj, że możesz spotkać się z fałszywymi wiadomościami wykorzystującymi te informacje.
« powrót do artykułu -
przez KopalniaWiedzy.pl
Europejska Agencja Leków (EMA) poinformowała, że podczas grudniowego cyberataku przestępcy uzyskali dostęp do informacji nt. leków i szczepionek przeciwko COVID-19. Teraz dane dotyczące szczepionki Pfizera zostały przez nich udostępnione w internecie
W trakcie prowadzonego śledztwa ws. ataku na EMA stwierdzono, że napastnicy nielegalnie zyskali dostęp do należących do stron trzecich dokumentów związanych z lekami i szczepionkami przeciwko COVID-19. Informacje te wyciekły do internetu. Organy ścigania podjęły odpowiednie działania, oświadczyli przedstawiciele EMA.
To nie pierwszy raz, gdy cyberprzestępcy biorą na cel firmy i organizacje związane z rozwojem i dystrybucją szczepionek przeciwko COVID-19. Już w maju ubiegłego roku brytyjskie Narodowe Centrum Cyberbezpieczeństwa poinformowało, że brytyjskie uniwersytety i instytucje naukowe znalazły się na celowniku cyberprzestępców, a celem ataków jest zdobycie informacji dotyczących badań nad koronawirusem. Wspomniane grupy przestępce były prawdopodobnie powiązane z rządami Rosji, Iranu i Chin. Z kolei w listopadzie Microsoft poinformował, że powiązana z Moskwą grupa Fancy Bear oraz północnokoreańskie grupy Lazarus i Cerium zaatakowały siedem firm farmaceutycznych pracujących nad szczepionkami.
Atak na EMA nie zakłócił działania samej Agencji, nie wpłynął też na dystrybucję szczepionek.
« powrót do artykułu -
przez KopalniaWiedzy.pl
Elon Musk potwierdził, że rosyjski cyberprzestępca próbował przekupić jednego z pracowników firmy, by ten zainstalował ransomware w sieci firmowej Gigafactory w Newadzie. Próbę ataku podjął 27-letni Jegor Igorewicz Kriuczkow, który zaoferował anonimowemu pracownikowi Tesli milion dolarów za zainfekowanie systemu. Jeśli do infekcji by doszło, Kriuczkow i jego wspólnicy mogliby przeprowadzić atak DDoS na system Tesli.
Szczegóły całej operacji poznaliśmy dzięki dokumentom ujawnionym przez FBI po aresztowaniu Kriuczkowa. Z dokumentów wynika, że Kriuczkow przyjechał do USA jako turysta w lipcu bieżącego roku. Wybrał się do miejscowości Sparks w Newadzie, gdzie znajduje się Gigafactory, i wynajął pokój hotelowy. Tam wielokrotnie spotkał się z mówiącym po rosyjsku pracownikiem fabryki. W czasie jednego ze spotkań zaoferował mu pieniądze za wprowadzenie malware'u do sieci. Pracownik zgodził się, a po rozmowie natychmiast poinformował o tym przedstawicieli firmy. Ci z kolei skontaktowali się z FBI. W sierpniu Biuro rozpoczęło tajną operację. W jej ramach pracownik nadal spotykał się z Kriuczkowem, tym razem jednak miał przy sobie podsłuch. Podczas kilku kolejnych spotkań omawiali sposób ataku oraz wynagrodzenie dla pracownika.
Zainstalowane malware miało rozpocząć atak DDoS, który zaalarmowałby systemy bezpieczeństwa i odwrócił uwagę informatyków Tesli. W tym czasie Kriuczkow i jego kompani chcieli ukraść poufne informacje, za zwrot których zażądaliby sowitego okupu. Przestępcy najwyraźniej spodziewali się sporych zysków, skoro oferowali aż milion USD za zainfekowanie systemu firmy Muska.
Kriuczkow został aresztowany 22 sierpnia w Los Angeles, gdy próbował opuścić USA. Postawiono mu zarzuty konspirowania z zamiarem celowego spowodowania szkód w chronionym systemie komputerowym. Za przestępstwo to grozi do 5 lat więzienia oraz wysoka grzywna.
FBI stwierdziło, że Kriuczkow jest jednym z członków rosyjskiej grupy cyberprzestępczej, która już w przeszłości atakowała amerykańskie firmy.
« powrót do artykułu -
przez KopalniaWiedzy.pl
Cyberprzestępcy postanowili wykorzystać pandemię koronawirusa do własnych celów. Wiele firm zajmujących się cyberbezpieczeństwem donosi o rosnącej liczbie ataków, przede wszystkim phishingowych. Szczególnie uaktywnili się przestępcy w Chinach, Rosji i Korei Północnej.
Hakerzy rozsyłają informacje dotyczące koronawirusa, licząc na to, że ofiary klikną na podany link, gdzie dojdzie do ataku na ich komputery. Główne cele ataków znajdują się w USA, Europie i Iranie. Rozsyłane przez przestępców informacje to rzekome komunikaty od wiarygodnych organizacji, takich jak Światowa Organizacja Zdrowia (WHO) czy amerykańskie Centra Kontroli i Zapobiegania Chorobom (CDC).
Eksperci mówią, że przestępcy przygotowali całe kampanie i prowadzą je za pośrednictwem portali społecznościowych oraz poczty elektronicznej. Próbują atakować nie tylko komputery użytkowników indywidualnych, ale również maszyny należące do firm.
Zauważono próby zachęcania firm do przelania pieniędzy na walkę z epidemią czy przekonania ich do zmiany banku. Przestępcy próbują też ukraść dane do logowania na pocztę elektroniczną, serwisy społecznościowe czy przejąć kontrolę nad komputerami użytkowników. Rozsyłane są rzekome komunikaty o wirusie i epidemii czy informacje o zwrocie nadpłaconego podatku oraz różnych nadzwyczajnych działaniach podjętych w związku z pandemią.
« powrót do artykułu -
przez KopalniaWiedzy.pl
Cyberprzestępcy sparaliżowali jedną z tłoczni gazu w USA. W wyniku ataku typu ransomware gazociąg był przez dwa dni nieczynny, tyle bowiem czasu zajęło odzyskiwanie zaatakowanego systemu z kopii zapasowej.
Przestępcy byli w stanie dostać się do części infrastruktury IT tłoczni i manipulować systemem kontroli i komunikacji (OT). Jak poinformowała Cybersecurity and Infrastructure Security Agency (CISA), atak rozpoczęto od phishingu na jednego z pracowników.
Dzięki udanemu atakowi phishingowemu przestępcy mogli umieścić w sieci rancomware, które zaszyfrowało dane i uniemożliwiło dostęp do systemu kontroli. CISA poinformowała również, że takie działanie było możliwe, gdyż nie istniał rozdział pomiędzy elementami IT i OT infrastruktury sieciowej.
Napastnicy nie zyskali jednak możliwości sterowania procesami fizycznymi tłoczni, a atak nie dotknął programowalnych kontrolerów (PLC), które są bezpośrednio odpowiedzialne za sterowanie procesami w środowisku przemysłowym. Stało się tak, gdyż atak był ograniczony wyłącznie do środowiska Windows. Jednak napastnicy sparaliżowali interfejsy umożliwiające obsłudze tłoczni sterowanie urządzeniami. Operatorzy tłoczni, którzy zdalnie nadzorowali jej pracę, mogli jedynie odczytywać parametry jej pracy.
W tej sytuacji zdecydowano się na wyłączenie tłoczni i przywrócenie jej do ostatniej działającej konfiguracji. Przywracanie systemu trwało dwa dni, a jako, że prace kolejnych tłoczni zależą od innych, konieczne było wyłączenie całego gazociągu.
Właściciele tłoczni przyznali, że nie byli przygotowani na tego typu wydarzenie. Wcześniej opracowane plany przewidywały jedynie działania na wypadek fizycznej awarii, a nie cyberataku. W związku z tym pracownicy nie byli odpowiednio przeszkoleni. Zdaniem ekspertów, ujawnia to poważniejszy problem w całym przemyśle. Wiele firm uznaje, że ich systemy kontrolne są dobrze izolowane. Tymczasem łączność z siecią jest coraz bardziej powszechna, pracownicy mają słabą świadomość zagrożeń, pojawiają się ludzkie błędy i infrastruktura przemysłowa jest wystawiona na ataki.
To nie pierwszy przypadek tego typu. W listopadzie ubiegłego roku cyberprzestępcy wykorzystali dziurę w firewallach firmy Cisco i odcięli firmie sPower możliwość zdalnej kontroli jej farm wiatrowych i słonecznych. W ten sposób firma straciła możliwość monitorowania stanu systemów produkujących energię. W przemyśle jest to nazywane „utratą z pola widzenia”. Jeśli napastnicy chcieliby na przykład wyłączyć części sieci, ich pierwszym krokiem mogłyby być właśnie takie działania, gdyż w ten sposób operator sieci nie wiedziałby o kolejnych działaniach przestępców, mówi Phil Neray z firmy CyberX, która specjalizuje się w cyberbezpieczeństwie instalacji przemysłowych.
« powrót do artykułu
-
-
Ostatnio przeglądający 0 użytkowników
Brak zarejestrowanych użytkowników przeglądających tę stronę.