Biuletyn Harakiri

Biuletyn Harakiri – maj/czerwiec 2022

Szkockie Towarzystwo Zdrowia Psychicznego zaatakowane Ransomware

Szkockie Towarzystwo Zdrowia Psychicznego (Scottish Association for Mental Health) charytatywnie świadczy pomoc w zakresie terapii uzależnień, wsparcia psychicznego itp.

Organizacja została zaatakowana za pomocą Ransomware RansomEXX.

Przestępcy zaszyfrowali oraz wykradli i opublikowali 12 GB danych. Uszkodzili też infrastrukturę stowarzyszenia. 

Wykradzione dokumenty zawierają m.in:

  • kopie dokumentów tożsamości 
  • ankiety wolontariuszy
  • dane kart kredytowych

Wiadomości rekrutacyjne na iMessage z rosyjskich domen

Doszło do masowej wysyłki wiadomości iMessage z treścią informującą o rekrutacji do pracy. Wiadomości zostały wysłane do Polaków, w języku polskim, ale z rosyjskich domen.

Treść wiadomości była następująca:

“Witam, aktualnie poszukujemy 80 pracowników tymczasowych. Możesz pracować z domu i zarabiać 1000-2000 zł dziennie. Zadania są proste i można je wykonać za pomocą telefonu w dowolnym miejscu i czasie. W celu rejestracji prosimy o kontakt Whatsapp: https://api.whatsapp.com/send?phone=48732567275, liczba miejsc jest ograniczona, tylko dzisiaj

(Uwaga: kandydaci muszą mieć co najmniej 20 lat, studenci nie mogą uczestniczyć)”

Prawdopodobnie nie jest to prawdziwa rekrutacja na “rosyjskich trolli”. Podobne wiadomości były wysyłane z nie-rosyjskich adresów, a po kontakcie na Whatsapp osoba nakłaniana jest do rejestracji na stronach phishingowych.

Najprawdopodobniej chodzi więc o  wyłudzanie wrażliwych danych.

Zhackowali Mailchimp, by zhackować firmy z branży kryptowalut

Zaczęło się od socjotechniki, za pomocą której przejęto konta administratorów na platformie mailingowej Mailchimp.

Dzięki temu przestępcom udało się pobrać adresy mailowe oraz klucze API klientów firm z branży kryptowalut. 

Następnie, wykorzystując zdobyte zasoby wysłano maile idealnie podszywając się pod np. firmę Trezor… Z ostrzeżeniem o ataku (kolejna socjotechnika).

W mailu tym proszono o pobranie aktualnej aplikacji (oczywiście podszywającej się) i podanie w niej kodu do odzyskiwania konta. 

W efekcie cyberprzestępcy mogli uzyskać dostęp do portfela kryptowalutowego ofiary.

Predator (konkurencja Pegasusa) podsłuchiwała telefon greckiego dziennikarza

Predator to, podobnie jak Pegasus, zaawansowany system inwigilacji stworzony przez izraelską firmę. Za stworzenie Predatora odpowiada jednak konkurencyjna firma Cytrox.

Cytując raport Citizen Lab:

“Predator umożliwia operatorowi eksportowanie tajnych haseł, plików, zdjęć, historii przeglądania stron internetowych, kontaktów, a także danych identyfikacyjnych (takich jak informacje o urządzeniu mobilnym). Predator może wykonywać zrzuty ekranu, nagrywać wpisy dokonywane przez użytkownika [na jego telefonie komórkowym], a także aktywować mikrofon i kamerę urządzenia. Dzięki temu atakujący mogą monitorować wszelkie działania podejmowane na urządzeniu lub w jego pobliżu, np. rozmowy prowadzone w pomieszczeniu.

Predator umożliwia także operatorowi nagrywanie wysyłanych i odbieranych wiadomości tekstowych (w tym wiadomości wysyłanych za pośrednictwem „szyfrowanych aplikacji” lub aplikacji, które pozwalają na znikanie wiadomości, takich jak WhatsApp czy Telegram), a także prostych rozmów telefonicznych VoIP. (w tym rozmowy telefoniczne prowadzone za pośrednictwem „szyfrowanych” aplikacji).”

Niedawno wypłynęła informacja, że w 2021 roku inwigilowany za pomocą Predatora był grecki dziennikarz Thanasis Koukakis.

Przestępcy udają konsultantów banków i… stosują bruteforce

Niedoszła ofiara donosi, że ktoś zadzwonił do niej z numeru zaczynającego się na 885 i podszył się pod konsultanta z działu cyberbezpieczeństwa banku PKO BP. Oszust poinformował o rzekomej próbie kradzieży pieniędzy z konta ofiary.

Gdy okazało się, że niedoszła ofiara nie ma konta w banku PKO BP, oszust spróbował metody bruteforce, wymieniając jeszcze kilka innych potencjalnych banków. 

Ta metoda działa na zasadzie “powiem losowy bank, może trafię”.

Hiszpańscy politycy w Unii Europejskiej inwigilowani Pegasusem i…

Citizen Lab odkryło operację infekującą telefony komórkowe hiszpańskich polityków w strukturach Unii Europejskiej.

Wykorzystywane były do tego dwa konkurencyjne systemy. Niesławny Pegasus oraz oprogramowanie firmy Candiru.

Cała operacja miała miejsce w latach 2017-2020. Zainfekowanych było 51 urządzeń.

Głównym sposobem infekowania było kliknięcie w link w SMSie wysyłanym po zakupieniu przez ofiarę biletu lotniczego.

Zwrot podatku? Uważaj na oszustwa

Przestępcy wykorzystali ostatnie dni na rozliczanie PIT. Na skrzynki mailowe Polaków trafiły wiadomości od “FINANSE GOV”, podszywające się pod Ministerstwo Finansów. 

Tytuł informował o rzekomym zwrocie podatku w wysokości 375,10 zł.

Po kliknięciu w link “Odbierz teraz” ofiara zostaje przekierowana na stronę wyłudzającą dane karty płatniczej.

Facebook, Google, Apple, Twitter i inni udostępniają dane użytkowników… fałszywym policjantom

Jak opisuje serwis Bloomerang, grupa przestępców podszywająca się pod policję pozyskuje informacje na temat użytkowników wielkich portali. Ukradzione informacje są następnie używane do oszustw finansowych, szantaży i prześladowań. 

Oszuści wykorzystują do tego tzw. “ścieżki przyspieszonego wnioskowania” udostępnione przez serwisy do sytuacji wymagających natychmiastowego działania. Ponadto korzystają z prawdziwych maili funkcjonariuszy policji.

Według serwisu Bloomerang przestępcy wyłudzają dane największych serwisów społecznościowych i firm technologicznych. Ofiarami padają użytkownicy Facebooka/Instagrama, Google, Apple, Twittera, Discorda czy Snapchata.

Wykradł 23,5 miliona dolarów z… Departamentu Obrony USA

Sercan Oyuntur, 40-latek z Kalifornii, który wykradł 23,5 miliona dolarów z Departamentu Obrony USA został namierzony i skazany.

Korporacja, która miała kontrakt z DoD na dostawę paliwa lotniczego dla wojska zatrudniała osobę, która była odpowiedzialna za komunikację z rządem za pośrednictwem rządowego systemu komputerowego. 

Za pomocą phishingu przestępca wraz z pomocnikami uzyskali dostęp do kont dostawców. W ten sposób ukradł pieniądze, które Departament Obrony zamierzał zapłacić korporacji za dostarczenie paliwa lotniczego.

SMS-y dotyczące przesyłek – nowa fala ataków

W maju Polacy padali ofiarą nowej fali ataków SMS. 

Ofiary dostają wiadomość informującą o “braku możliwości wysłania paczki z centrum dystrybucji, ze względu na niezweryfikowany adres”.

Po kliknięciu w link przechodzimy na stronę wyłudzającą dane osobowe. Ofiara zostaje zapisana na subskrypcję w wysokości 44 zł miesięcznie. 

7000 komputerów bułgarskiej poczty zaszyfrowane

Do bardzo rozległego incydentu cyberbezpieczeństwa doszło w Bułgarii. Atak ransomware objął zarówno ośrodek główny jak i zapasowe bułgarskiej poczty. 

Do ataku doszło w gorącym okresie przed prawosławnymi świętami Wielkanocnymi. 

Atak uniemożliwił nie tylko obsługę świątecznych przesyłek. Niemożliwe było również wypłacanie świadczeń emerytalnych. Świadczenia trzeba było wypłacać analogowo.

Tajemnicze chińskie SMS-y? Nie ma się czego bać

W maju Polacy (prawdopodobnie tylko użytkownicy Samsungów i Huawei w sieci Play) dostawali dziwne SMS-y w języku chińskim. Po przetłumaczeniu wiadomości okazuje się, że oznacza “Puk puk”. 

Nadawca wiadomości to równie dziwne “0c0”. 

Nieznana jest przyczyna ani cel wiadomości, jednak wiadomo, że odbiorcom nic nie grozi. Za otrzymanie ani odpisanie na takiego SMS-a nie zostaje naliczona opłata.

Następca “Pegasusa” na celowniku Google

“Predator” to stworzony przez macedońską firmę rządowy trojan przypominający niesławnego Pegasusa. 

Google potwierdziło, że został użyty na użytkownikach androida w Hiszpanii, Egipcie, Grecji, Indonezji, Armeni, Serbii, Madagaskarze i Wybrzeżu Kości Słoniowej.

Maile brytyjskich polityków ujawniane przez Rosjan

“Very English Coop d’Etat“ to uruchomiona przez Rosjan strona, na której publikowane są wiadomości skradzione ze skrzynek e-mail brytyjskich polityków i VIP-ów. 

Jedną z ofiar jest były szef MI6, Richard Dearlove.

Najprawdopodobniej głównym sposobem pozyskiwania maili były ataki phishingowe.

Powiązanie strony z Rosją potwierdził zespół cyberbezpieczeństwa Google.

Celem procederu jest prawdopodobnie element tzw. wojny hybrydowej. Rosjanom zależy na polaryzacji brytyjskiego społeczeństwa.

Autorzy SMS-ów podszywających się pod PGE zatrzymani przez policję

Kampania SMS podszywająca się pod PGE była bardzo intensywna. Oszuści wysłali ponad milion wiadomości informujących o rzekomym odłączeniu prądu lub konieczności dopłaty.

Dwaj mężczyźni podejrzani o ten atak phishingowy zostali zatrzymani przez funkcjonariuszy z Komendy Głównej Policji we współpracy z Komendą Wojewódzką Policji w Katowicach.

Znowu SMS-y o rzekomych paczkach. Tym razem InPost

Cyberprzestępcy ostatnimi czasu są mało kreatywni. Polacy znowu otrzymują SMS-y informujące o rzekomej dopłacie do paczki w wysokości kilku złotych. 

Tym razem oszuści podszywają się pod firmę InPost.

Link wysyłany w wiadomości prowadzi do fałszywej bramki płatności.

***

Jeśli chciałbyś otrzymywać Biuletyn Harakiri na maila, pozostaw poniżej swój adres. Otrzymasz też dostęp do darmowego szkolenia z bezpieczeństwa haseł.

Poprzednie wydania biuletynu znajdziesz tutaj.

Leave a Reply

Twój adres e-mail nie zostanie opublikowany.

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.