Atak hakerski na Western Digital
Western Digital, producent sprzętu i oprogramowania komputerowego, poinformował o incydencie, który dotknął szereg ich systemów. Nieuprawniona osoba uzyskała dostęp do kilku systemów spółki, co wymusiło podjęcie działań reagowania na incydenty oraz wszczęcie dochodzenia we współpracy z zewnętrznymi ekspertami ds. bezpieczeństwa i analizy incydentów. Western Digital aktywnie współpracuje z organami ścigania w związku z incydentem.
Uwaga na fałszywe e-maile o zwrocie podatku – teraz z kodem QR
Przestępcy coraz częściej wysyłają fałszywe e-maile, podszywając się pod instytucje państwowe lub firmy, w celu wyłudzenia danych osobowych i pieniędzy. Ostatnio pojawia się nowy sposób ataku – wykorzystanie kodów QR. Zamiast tradycyjnego linka, oszuści umieszczają kod QR, który przenosi ofiarę na fałszywą stronę internetową.
W jednym z przykładów przestępcy podszywają się pod PUESC Polska i informują o zatwierdzeniu wniosku o zwrot podatku. W e-mailu znajduje się kod QR, który po zeskanowaniu przenosi ofiarę na fałszywą stronę udającą Krajową Administrację Skarbową. Oszuści proszą o podanie hasła z e-maila oraz innych danych, takich jak PESEL i nazwisko panieńskie matki.
Należy pamiętać, że samo zeskanowanie kodu QR nie stanowi zagrożenia, jednak podanie danych na fałszywej stronie internetowej może skutkować utratą pieniędzy. Dlatego ważne jest, aby zawsze zachować ostrożność i sprawdzać wiarygodność otrzymanych e-maili oraz stron internetowych.
Jeśli doszło już do podania danych na fałszywej stronie, należy jak najszybciej skontaktować się ze swoim bankiem i zastosować się do ich poleceń. Ważne jest również zgłoszenie takiego incydentu na Policję lub do odpowiednich instytucji (cert.pl).
Serwis SKNERUS.pl – skazani za oszustwa przy licytacjach internetowych
Sąd Okręgowy we Wrocławiu wydał wyrok w sprawie serwisu SKNERUS.pl, który miał oferować korzystne licytacje internetowe. Uznano, że aukcje wymagające kupowania tzw. bidów nie były prowadzone zgodnie z regułami ustalonymi w regulaminie serwisu. Operatorzy mieli generować „sztuczne” bidy, co uniemożliwiało ludziom wygrywanie aukcji. Sąd skazał dwóch mężczyzn prowadzących serwis za oszustwo.
Udział w aukcjach na SKNERUS.pl nie był darmowy. Aby podbić cenę przedmiotu, należało wcześniej kupić tzw. bidy. Operatorzy serwisu wprowadzili jednak utrudnienia, które uniemożliwiały wygrywanie aukcji. Sąd Okręgowy uznał, że administratorzy serwisu generowali „sztuczne” bidy, co skutkowało wyłudzeniem mienia wielkiej wartości w postaci pieniędzy, wpłaconych przez użytkowników serwisu. Skazani wyłudzili w ten sposób kwotę łączną nie mniejszą niż 16 882 847,92 zł i działali na szkodę 47 098 osób pokrzywdzonych.
Atak ransomware na bydgoską PESĘ
Firma PESA Bydgoszcz SA poinformowała o naruszeniu bezpieczeństwa systemów informatycznych, które miało miejsce 2 kwietnia 2023 roku. Doszło do ataku ransomware, który spowodował ograniczenie dostępu do części zasobów firmy, ale nie wstrzymał działalności produkcyjnej. Zdarzenie zostało wykryte we wczesnej fazie, a zasoby systemowe dotknięte atakiem zostały odizolowane.
Firma wydała oświadczenie w tej sprawie, ale nie podała szczegółów na temat rodzaju ataku ani jego skutków. Atak ransomware jest jednym z najczęściej stosowanych przez cyberprzestępców sposobów ataku na firmy i instytucje. Oznacza to, że dane ofiar są szyfrowane i blokowane, a następnie żądane jest opłacenie okupu za ich odblokowanie.
Zatrzymano żołnierza, który udostępnił tajne dokumenty na Discordzie
21-letni żołnierz, Airman First Class Jack Douglas Teixeira, został zatrzymany przez władze federalne za udostępnianie poufnych dokumentów wywiadowczych na serwerze Discord o nazwie Thug Shaker Central.
Jego kumple rozpowszechniali dokumenty dalej, co doprowadziło do dramatycznej operacji policyjnej, podczas której dookoła miejsca zamieszkania Teixeiry zgromadziły się jednostki z ciężką bronią. W okolicy latały również helikoptery, które transmitowały całą akcję na żywo.
Żołnierz został namierzony dzięki profilowi na serwisie Steam i koncie na Instagramie, gdzie były dostępne zdjęcia z jego domu. Połączono zdjęcia z domu z dokumentem widocznym na zdjęciu, co pozwoliło na ustalenie, że to właśnie Teixeira udostępnił tajne dokumenty.
Uwaga na wiadomości podszywające się pod MON
W ostatnim czasie wiele osób otrzymało wiadomości SMS i Telegram rzekomo pochodzące od Ministerstwa Obrony Narodowej, zachęcające do składania wniosków o rekrutację do Litewsko-Polsko-Ukraińskiego Korpusu. Jednakże, oficjalne kanały komunikacji MON nie przekazywały informacji o takiej rekrutacji.
Wojska Obrony Cyberprzestrzeni dementowały również możliwość, że podszywacze mieli na celu przechwycenie danych rekrutów, ponieważ w wiadomościach podali poprawny adres e-mail Litewsko-Polsko-Ukraińskiej Brygady (LIT-POL-UKR), co sugeruje, że celem dezinformacyjnej akcji było coś innego.
Możliwe, że celem fałszywej rekrutacji było wprowadzenie podkładki pod propagandowe treści, które wkrótce mogą pojawić się w rosyjskich mediach. Rosyjskie media często fałszywie przedstawiają informacje, zwłaszcza z zagranicy, celowo wypaczając ich sens. Mogą również wykorzystać te fałszywe informacje, aby wypromować propagandę i wprowadzić opinię publiczną w błąd.
Fałszywe rekrutacje na LinkedIn. Celem użytkownicy Linuksa
Północnokoreańska grupa APT zaatakowała infrastrukturę firmy 3CX i zainfekowała ich klientów. Ostatnio grupa ta rozpoczęła również kampanię fałszywych rekrutacji na platformie LinkedIn, której ofiarą mogą paść użytkownicy Linuksa.
Eksperci z ESET wykryli, że atakujący wysyłają fałszywe wymagania w PDF, które mogą czasem spowodować wykonanie złośliwego kodu po otwarciu pliku. W przypadku kampanii APT, plik ten zawierał binarny plik Linuxa, napisany w języku Go i nazwany „HSBC job offer․pdf”. Co ciekawe, rozszerzenie pliku nie jest .pdf, ale wykorzystuje znak lidera w nazwie pliku, reprezentowany przez znak Unicode U+2024. Użycie lidera w nazwie pliku było prawdopodobnie próbą wprowadzenia w błąd menedżera plików i przekonania go do traktowania pliku jako pliku wykonywalnego zamiast pliku PDF. To może spowodować uruchomienie pliku po dwukrotnym kliknięciu zamiast otwarcia go w przeglądarce PDF. Po uruchomieniu, użytkownikowi wyświetlany jest fałszywy plik PDF przy użyciu xdg-open.
Podszywają się pod InPost i kradną dane kart płatniczych
Ostatnio zauważono zwiększoną aktywność oszustów, którzy wysyłają fałszywe SMS-y na polskie numery telefonów podszywając się pod firmę InPost. Wiadomości te zawierają skrócone linki, które po kliknięciu przekierowują użytkowników na stronę Poczty Polskiej. W rzeczywistości oszuści próbują wyłudzić dane karty płatniczej ofiar.
Teksty wiadomości sugerują, że paczki nie mogą zostać dostarczone ze względu na błędnie podany adres lub brak numeru ulicy na paczce, co ma skłonić odbiorców do kliknięcia w link i aktualizacji swoich danych. Oszuści wykorzystują także inne napisy, takie jak błędny numer domu, aby nakłonić użytkowników do podania swoich danych.
Warto zauważyć, że oszuści zmieniają markę podczas ataku, co czyni tę kampanię jeszcze bardziej niebezpieczną. Po kliknięciu w link, użytkownik zostaje przekierowany na fałszywą stronę Poczty Polskiej, gdzie proszony jest o podanie danych karty płatniczej. Oszuści mają na celu wykradzenie danych i wykorzystanie ich w celach przestępczych.
W przypadku otrzymania podejrzanej wiadomości, zaleca się ostrożność przy klikaniu w linki oraz kontakt z bankiem w przypadku podania danych karty płatniczej. Kampania ta stanowi zagrożenie dla bezpieczeństwa użytkowników, a więc należy zachować szczególną ostrożność i nie udostępniać swoich danych w niepewnych sytuacjach.
Oszuści podszywają się pod IPKO i próbują wyłudzić pieniądze
W ostatnim czasie pojawiły się informacje o oszustach, którzy dzwonią do ludzi, podszywając się pod IPKO i informując o wniosku o pożyczkę w imieniu osoby odbierającej połączenie. Następnie przestępcy wysyłają fałszywe SMS-y, w których informują o zablokowaniu środków na koncie i uruchomieniu „rachunku rezerwowego”, który tak naprawdę należy do przestępców.
W przypadku tego typu ataków ważne jest, aby zachować ostrożność i nie podawać swoich danych osobowych czy bankowych. Przede wszystkim należy pamiętać, że banki nie proszą o potwierdzenie danych przez telefon czy SMS-a, a jeśli otrzymujemy podejrzane wiadomości lub rozmowy, warto skontaktować się bezpośrednio z bankiem w celu potwierdzenia ich autentyczności.
Warto także korzystać z funkcji weryfikacji rozmówców, dostępnej w aplikacji mobilnej PKO BP, która pozwala na sprawdzenie, czy rozmawiamy z prawdziwym konsultantem czy oszustem.
Oddała telefon do naprawy – straciła 87 tys. euro
O niecodziennym incydencie poinformowała policja w Nysie.
Historia rozpoczyna się, kiedy w maju do lokalnej komendy zgłosiła się pewna kobieta. Stwierdziła, że padła ofiarą oszustwa. Opowiedziała, że podczas pobytu we Włoszech oddała swój telefon do naprawy. Niestety, po jakimś czasie zauważyła, że z jej konta bankowego zniknęło około 87 000 euro. Wszystko wskazuje na to, że do kradzieży doszło podczas naprawy telefonu.
O szczegółach wiemy niewiele, ale mogą one obejmować podanie przez poszkodowaną kobietę swojego PINu czy danych do logowania w czasie naprawy. Istnieje też możliwość, że kod PIN do jej telefonu był taki sam jak do bankowości mobilnej. Alternatywnie, pracownicy serwisu mogli zainstalować aplikację, która pozwoliłaby na zdalne sterowanie urządzeniem.
Warto zauważyć, że funkcjonariusze użyli sformułowania „najprawdopodobniej”, sugerując, że nie ma pewności co do szczegółów zdarzenia. Zastanawiające jest również, dlaczego systemy antyfraudowe banku nie zainterweniowały i jak przestępcom udało się ominąć ewentualne limity kwot przelewów w bankowości mobilnej.
Poważny incydent Toyoty
Toyota Connected poinformowała o poważnym incydencie. Okazało się, że przez błąd w konfiguracji chmury, niektóre dane, którymi firma zarządzała, były dostępne publicznie. Okres, w którym dane były dostępne dla osób trzecich obejmuje prawie 10 lat – od 6 listopada 2013 r. do 17 kwietnia 2023 r.
Czyli przez niemal dziesięć lat, zasób w chmurze był dostępny dla wszystkich, bez konieczności wprowadzania hasła. Zasób ten zawierał identyfikator samochodu (choć trudno jednoznacznie stwierdzić, czy były to numery VIN), lokalizację pojazdu oraz czas, w którym wykonano pomiar.
Co gorsza, zasób ten zawierał również nagrania z zewnętrznych kamer samochodów. Tutaj okres dostępności był nieco krótszy – od listopada 2016 do kwietnia 2023 roku.
Incydent dotyczy użytkowników usług T-Connect, G-Link, G-Link Lite oraz G-BOOK. Klienci tych usług powinni być na bieżąco informowani o postępach śledztwa i ewentualnych krokach, które powinni podjąć w celu ochrony swojej prywatności i bezpieczeństwa.
Modyfikowane firmware w routerach TP-Link: ukryta droga dla atakujących
Router z backdoorem może wyglądać dokładnie tak samo jak jego 'czysty’ odpowiednik. Badacze z Checkpointa odkryli to na własnej skórze, analizując modyfikowane wersje firmware’u do routerów TP-Link, które różnią się od oryginałów jedynie subtelnymi szczegółami.
Nie dajmy się jednak zmylić – te 'drobne’ szczegóły mają ogromne znaczenie dla bezpieczeństwa. Umożliwiają one zdalny dostęp do urządzenia przez atakujących (tzw. dostęp root), a także przekierowywanie komunikacji przez urządzenie (proxy SOCKS).
Z punktu widzenia użytkownika, zmiany mogą wydawać się nieznaczne. Na przykład, ekran aktualizacji firmware’u został 'zablokowany’. Ale całość operacji ma na celu przede wszystkim zbudowanie dużej sieci, przez którą atakujący mogą tunelować ruch, co znacznie utrudnia wyśledzenie prawdziwych adresów IP atakujących. Bo przecież, kto z nas przeprowadza szczegółowe analizy śledcze swojego domowego routera?
Badacze z Checkpointa przypisują te działania chińskiej grupie APT Camaro Dragon. Obecnie wśród celów grupy wymienia się m.in. ministerstwa spraw zagranicznych krajów europejskich.
Ale jak ten 'implant’ dostaje się do naszych urządzeń? Tutaj raczej wykorzystywane są standardowe techniki. Narażone na ataki są urządzenia połączone z Internetem i udostępniające panele administracyjne. Czasem bywa jeszcze prościej – wystarczy pozostawić domyślny login / hasło do panelu administracyjnego urządzenia. Więc pamiętaj, zawsze zmieniaj domyślne hasła!
Fałszywi policjanci nie odpuszczają – kolejne okradzione seniorki
Oszustwa na „policjanta” są wciąż popularną metodą wyłudzania pieniędzy, zwłaszcza od osób starszych.
83-letnia kobieta otrzymała telefon od mężczyzny, który twierdził, że jest policjantem. Fałszywy funkcjonariusz poinformował ją, że razem z prokuratorem rozpracowują grupę przestępczą, która kradnie pieniądze z kont bankowych. Twierdził, że oszczędności seniorki są zagrożone. Kobieta odłożyła słuchawkę aby oddzwonić na Policję w celu potwierdzenia. Nie zrobił tego jednak oszust. W efekcie po podniesieniu słuchawki i wybraniu numeru kobieta wróciła do trwającego połączenia będąc jednocześnie przekonania, że połączyła się z Policją.
Następnie, mężczyzna poprosił 83-latkę, aby udała się do swojego banku i wypłaciła zgromadzone oszczędności. Kobieta, słuchając instrukcji, wypłaciła z banku 128 tys. złotych, zapakowała pieniądze do papierowej torby i przekazała je „policjantowi uczestniczącemu w akcji” na progu swojego domu.
W innym przypadku 85-letnia kobieta została powiadomiona przez fałszywego policjanta o konieczności zabezpieczenia swoich oszczędności. Została zmanipulowana do wyrzucenia przez okno saszetki z ponad 16 tysiącami złotych.
Inny, interesujący wątek obejmuje 71-letnią kobietę, która została przekonana przez fałszywego policjanta, że pracownik jej banku jest członkiem szajki przestępczej. Aby pomóc w schwytaniu przestępców i zapobiec kradzieży pieniędzy z jej konta, kobieta poszła do banku i wypłaciła 45 tysięcy złotych. Ten szczegół pokazuje, jak przemyślane mogą być takie oszustwa – wskazanie pracownika banku jako potencjalnego przestępcy może sprawić, że ofiara będzie ignorować próby powstrzymania jej przed wypłatą pieniędzy, traktując je jako część oszustwa.
Szeroko zakrojone ataki cybernetyczne na kluczowe sektory w USA
Różne organizacje w USA z sektorów takich jak komunikacja, produkcja, energetyka, transport, budownictwo, sektor morski, rządowy, technologia informacyjna i edukacja, padły ofiarą ataku. Obserwowane zachowanie sugeruje, że sprawca ma na celu przeprowadzenie działań szpiegowskich i utrzymanie dostępu do systemów ofiar jak najdłużej, pozostając niewykrytym.
Źródłem infekcji jest malware, który dostaje się do systemów poprzez niezałatane lub nieznane luki w urządzeniach Fortinet. Sprawca ataku stara się wykorzystać wszelkie uprawnienia przypisane do urządzenia Fortinet, wydobywa dane uwierzytelniające konta Active Directory wykorzystywane przez urządzenie, a następnie próbuje uwierzytelnić się w innych urządzeniach w sieci za pomocą tych danych uwierzytelniających.
Sprawca ataku, aby zamaskować swoje działania, wykorzystuje przejęte domowe urządzenia. Mowa tu o urządzeniach takich producentów jak ASUS, Cisco, D-Link, NETGEAR, Zyxel. Wykorzystując te urządzenia, sprawca buduje sieć anonimizującą, która utrudnia wykrycie i śledzenie jego działań. Czy nasze domowe routery mogą nieświadomie stać się narzędziem w rękach przestępców? To pytanie powinno zwrócić naszą uwagę na znaczenie bieżących aktualizacji oprogramowania i zabezpieczeń naszych urządzeń.
Alarmujące odkrycie: Plugin Beautiful Cookie Consent Banner podatny na ataki
Jednym z ostatnich odkryć w dziedzinie cyberbezpieczeństwa jest podatność pluginu Beautiful Cookie Consent Banner, popularnego rozszerzenia dla stron internetowych. Choć zdecydowanie jest „piękny”, jak wynika z jego nazwy, nie jest – lub raczej nie był – bezpieczny. Bezpieczeństwo tego pluginu zostało naruszone poprzez eksploitację podatności typu persistent XSS.
Podsumowując, mechanizm ataku wygląda następująco: atakujący może bez uwierzytelnienia zmienić link, który pojawia się na banerze zgody na pliki cookie. Do linku można dołączyć kod JavaScript.
JavaScript może wykonywać różne czynności, takie jak przekierowywanie na dowolne strony, zmianę zawartości strony dla odwiedzającego, a nawet przejęcie kontroli nad całą instancją WordPressa, jeśli na stronę wejdzie zalogowany administrator.
Przedmiotowa podatność jest aktywnie wykorzystywana do ataków. Od 5 lutego 2023 roku zarejestrowano liczne ataki, ale największe nasilenie zauważono od 23 maja 2023 roku. Zablokowano niemal 3 miliony ataków na ponad 1,5 miliona stron, pochodzących z niemal 14 000 adresów IP. Ataki nadal trwają.
Potencjalny wyciek danych kart płatniczych: ING i CSIRT KNF odpowiadają
Na fali niepokoju wywołanego przez doniesienia o potencjalnym wycieku danych kart płatniczych, zarówno ING, jak i CSIRT KNF udzielili dodatkowych informacji na temat sytuacji.
ING udzielił informacji na swoim czacie, informując, że alert o potencjalnym wycieku danych dotyczy jednego z sprzedawców, z którym współpracuje. W ramach działań prewencyjnych bank wysłał do swoich klientów wiadomości SMS i zablokował karty płatnicze. Niemniej jednak, bank nie jest w stanie na ten moment poinformować, z którego źródła nastąpił wyciek danych.
Rzecznik ING, Piotr Utrata, dodatkowo wyjaśnił: „Otrzymaliśmy informację z organizacji płatniczej o możliwym wycieku danych kart płatniczych z zewnętrznego serwisu internetowego. […] Na tym etapie nie możemy przekazać szczegółów z jakiego serwisu internetowego nastąpił ten wyciek ani w jakim zakresie wyciek dotyczył kart wydanych przez inne banki.”
CSIRT KNF również podał wyjaśnienia, informując, że otrzymana od VISA informacja dotyczyła wycieku danych kartowych u zewnętrznego sprzedawcy. Nie ma jednak potwierdzenia, że dane kartowe mogłyby być dostępne dla osób trzecich, ani nie ma informacji o próbach oszukańczych transakcji na wskazanych kartach. Pomimo braku potwierdzenia, banki zdecydowały się zabezpieczyć karty płatnicze wskazane przez VISA i wydać nowe w ich miejsce.
Reasumując, osoby, które otrzymały informację o konieczności wymiany kart, powinny podjąć takie działania. Pozostali użytkownicy kart nie mają powodów do obaw – ich karty nie uczestniczyły w omawianym zdarzeniu.
Oszuści podszywali się pod szefa – firma straciła 12 tys. zł
Scammerzy podszyli się pod prezesa siedleckiej firmy, stworzyli adres e-mail, który był bardzo podobny do prawdziwego, a następnie wysłali spreparowaną fakturę do zapłaty na kwotę ponad 12 tys. złotych do księgowej firmy.
Księgowa, która była przyzwyczajona do otrzymywania takich poleceń od prezesa drogą mailową, nie zauważyła niczego niepokojącego. Postąpiła zgodnie z procedurami i przelała wymaganą kwotę.
Ten incydent jest kolejnym przypomnieniem o konieczności utrzymania czujności podczas pracy, zwłaszcza w kontekście komunikacji elektronicznej.
Cyber Orient Express
Na koniec zapoznajcie się z ostatnim odcinkiem Cyber Orient Expressu, czyli przeglądu zagrożeń w polskim Internecie:
***
Jeśli chciałbyś otrzymywać Biuletyn Harakiri na maila, pozostaw poniżej swój adres. Otrzymasz też dostęp do darmowego szkolenia z bezpieczeństwa haseł.
Poprzednie wydania biuletynu znajdziesz tutaj.
