Добро пожаловать в открытый канал Антифишинга.

Здесь мы публикуем анонсы наших дайджестов, собственные исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей, а также другие материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

www.antiphish.ru
blog.antiphish.ru

Классификация цифровых атак: www.antiphish.ru/classification
Стадии цифровой атаки: www.antiphish.ru/stages

Новости о технологиях фишинга и других атаках на человека с 9 по 15 августа: SMS-фишинг против жителей Израиля, вредоносная программа Varenyky против французских пользователей, новый троян для контроля над Android-устройствами, а также уязвимости в Canon, которые позволяют заразить фотокамеру

https://blog.antiphish.ru/all/digest-132/

#фишинг #дайджест

Любопытное мошенничество с использованием особенностей голосовых помощников

1. Мошенники создают поддельные номера поддержки для известных брендов и оплачивают их попадание в верхние позиции поисковой выдачи.
2. Жертва просит Siri, Google Home или Алексу найти номер телефона компании.
3. Голосовой помощник запускает поиск, находит вместо правильного телефона номер мошенников и звонит им.
4. Мошенники общаются с жертвой, пока не добьются получения денег.

В докладе Better Business Bureau приводятся реальные случаи.

Женщину, которая пыталась позвонить в авиакомпанию, чтобы поменять место, заставили заплатить 400 долларов США подарочными картами, убедив её, что авиакомпания проводит акцию.

Другой человек с помощью Siri позвонил в «службу технической поддержки», чтобы получить помощь с принтером, но добился лишь уменьшения денег на счёте.

https://nakedsecurity.sophos.com/2019/08/20/scammers-use-bogus-search-results-to-fool-voice-assistants/

Законодатели и Росреестр оперативно отреагировали на инцидент с мошенническим дарением квартиры при помощи ЭЦП.

2 августа 2019 года был принят Федеральный закон №286-ФЗ «О внесении изменений в Федеральный закон «О государственной регистрации недвижимости».

В соответствии с изменениями, вступившими в действие уже 13 августа 2019 года, чтобы продать или подарить квартиру с использованием ЭЦП, собственник должен передать в Росреестр бумажное заявление о возможности таких действий, причём сделать это нужно лично или по почте.

На основании заявление Росреестр вносит в ЕГРН запись о возможности регистрации документов, подписанных ЭЦП. Если такой записи нет, все документы на электронную регистрацию сделки будут возвращаться без рассмотрения.

Передача заявления с использованием почтовой связи оставляет свободу манёвра для мошенников, поскольку бумажное заявление и личную подпись на нём подделать не просто легко, а очень легко.

Чтобы ещё больше защитить граждан, Росреестр предлагает написать заявление о том, чтобы сделки с имуществом производились только при личном участии владельца. В этом случае электронная регистрация перехода права собственности без визита в подразделение Росреестра становится невозможной.

Конечно, при этом теряются все преимущества и смысл использования ЭЦП для регистрации сделок, но зато мошенники не смогут завладеть вашей квартирой.

Мошенники придумали способ получить бесконечное количество адресов для фишинговых страниц.

Для этого они регистрируют домен и создают на нём всего одну пользовательскую страницу для отображения сообщения 404. Эту страницу показывает веб-сервер, если не может найти адрес, запрошенный пользователем.

На странице 404 размещается фишинговая форма, имитирующая легитимную страницу аутентификации в учетной записи Microsoft.

Теперь достаточно разослать фишинговые письма со ссылкой на несуществующий документ на этом сайте, и вуаля — все, кто перейдёт по ссылке, попадут на страницу, где их попросят ввести логин и пароль. Можно для каждого письма сделать уникальную ссылку, чтобы обойти спам-фильтры, результат будет один и тот же — введённые учётные данные улетят к мошенникам.

Трудозатраты минимальны, эффективность атаки максимальна.

https://twitter.com/MsftSecIntel/status/1161426693795414016

Новости о технологиях фишинга и других атаках на человека с 16 по 22 августа: сразу несколько фишинговых атак на пользователей Office 365, фальшивые письма от имени руководителя через Google Drive для обхода антиспам-фильтров, кража аккаунтов Steam с обходом двухфакторной аутентификации, а также атаки по телефону на пользователей Siri, Google Home и Алексы

https://blog.antiphish.ru/all/digest-133/

#фишинг #дайджест

Тот самый случай, когда защитное решение хуже опасности. Следуя этому принципу, лучше сразу отключить интернет, потому что в нём бесконечно много угроз.

"Специалисты Unit 42 компании Palo Alto Networks предлагают блокировать пользователям доступ к доменам, существующим менее 32 дней."

https://unit42.paloaltonetworks.com/newly-registered-domains-malicious-abuse-by-bad-actors/

Атаки на сотрудников и клиентов. Технологии, психология и меры противодействия.

4 и 5 июля этого года мы выступали на конференции PaymentSecurity 2019 в Санкт-Петербурге.

Коллеги из команды организаторов записали наш доклад и опубликовали видео.

О чём доклад?

По данным ФинЦЕРТ, за 2018 год 98% атак на физических лиц и большая часть атак на юридических лиц проводилась с помощью методов социальной инженерии и вредоносного кода. Артём Сычев назвал социальную инженерию самой большой проблемой информационной безопасности.

На докладе, вместе с аудиторией, мы посмотрели примеры и ответили на вопросы:

— Как именно выглядят современные цифровые атаки на сотрудников?
— Что должны знать и понимать сотрудники?
— Достаточно ли повышения осведомленности? Или нужно тренировать навыки?
— Что именно должны уметь делать сотрудники?
— Как службам безопасности могут помочь психологические исследования и собственный отдел кадров?
— Как быть с клиентами финансовых организаций, юридическими и физическими лицами? Можно ли тренировать и обучать их?

В докладе использованы:

— актуальные примеры, которые мы еженедельно собираем в дайджесте;
— наши наблюдения и собственные психологические исследования;
— опыт действующих клиентов Антифишинга.

Приятного просмотра!

#доклад #видео #Антифишинг #paymentsecurity

Свежий пример атаки на сотрудников

Атрибуция: внешняя / письмо от имени контрагента, речь про заказ
Персонификация: анонимная / нет обращния по имени
Психологические вектора: любопытство, желание помочь

#фишинг #почта #вложение

Технические особенности:

архив с паролем — для обхода технических средств защиты;
js–скрипт, который маскируется под документ MS Word;
загрузка вредоносного файла с внешних URL — вероятно, на скомпрометированных ресурсах (на данный момент — определяется большинством антивирусов).

#фишинг #почта #вложение

Новости о технологиях фишинга и других атаках на человека с 23 по 29 августа: вредоносные резюме в файлах MS Word с паролем, фишинг против пользователей Инстаграма, способ узнать чужой пароль через комментарии в Фейсбуке и две новые схемы мошенничества по телефону

https://blog.antiphish.ru/all/digest-134/

#фишинг #дайджест

Новости о технологиях фишинга и других атаках на человека с 30 августа по 5 сентября: новые атаки через Google Docs, вредоносные HTML и JS-файлы, поддельные настройки против пользователей Андроид и звонок с подменой голоса, который стоил жертве 240 тысяч долларов

https://blog.antiphish.ru/all/digest-135/

#фишинг #дайджест

Новости о технологиях фишинга и других атаках на человека с 6 по 12 сентября: мошенническая копия PayPal, фишинг против аккаунтов Microsoft, новые атаки группировки COBALT и одно письмо, с помощью которого мошенники получили 37 миллионов долларов

https://blog.antiphish.ru/all/digest-136/

#фишинг #дайджест

По данным Центра рассмотрения жалоб на киберпреступления ФБР, ущерб от атак с компрометацией деловой переписки (Business Email Compromise, BEC) с мая 2018 по июль 2019 увеличился на 100%.

За три года — с июня 2016 по июль 2019 — BEC-атаки привели к потерям в размере 26 миллиардов долларов США. За этот период центр зафиксировал более 160 тысяч BEC-инцидентов.

https://www.ic3.gov/media/2019/190910.aspx

Business Email Compromise/Email Account Compromise (BEC/EAC) is a sophisticated scam that targets both businesses and individuals who perform legitimate transfer-of-funds requests.

The scam is frequently carried out when a subject compromises legitimate business or personal email accounts through social engineering or computer intrusion to conduct unauthorized transfers of funds.

The scam is not always associated with a transfer-of-funds request. One variation involves compromising legitimate business email accounts and requesting employees’ Personally Identifiable Information or Wage and Tax S

кстати, именно такой инцидент описан в последнем дайджесте

Новости о технологиях фишинга и других атаках на человека с 13 по 19 сентября: фишинг против аккаунтов Microsoft, троян для Android через смс и фальшивый сайт Авито, уязвимость в LastPass и утечка персональных данных всех граждан Эквадора

https://blog.antiphish.ru/all/digest-137/

#фишинг #дайджест

Новости о технологиях фишинга и других атаках на человека с 20 по 26 сентября: целевые атаки через документы MS Word с загрузкой вредоносного шаблона, фишинговые письма против электроэнергетических компаний США, фальшивая версия macOS-приложения для биржевой торговли, а также атаки через WhatsApp и взломы YouTube-блогеров

https://blog.antiphish.ru/all/digest-138/

#фишинг #дайджест

Новости о технологиях фишинга и других атаках на человека с 27 сентября по 3 октября: фишинговые атаки на подрядчиков с целью добраться до крупных клиентов, ODT-файлы как альтернативы MS Office с макросами, атаки на пользователей WhatsApp через GIF-изображения, а также потенциальные утечки персональных данных 60 и 20 миллионов россиян

https://blog.antiphish.ru/all/digest-139/

#фишинг #дайджест