Фишинг в 2013 г.: объемы уменьшились, выбор целей стал лучше

Фишинг в 2013 г.: объемы уменьшились, выбор целей стал лучше

По данным Anti-Phishing Working Group (APWG) компании Websense, объем фишинга сократился на 1,12% по сравнению с прошлым годом и сейчас на фишинговые сообщения приходится не более 0,5% электронных писем. В 2013 г. существенно снизилось число крупных фишинговых атак, вероятно, за счет использования хакерами своих ресурсов для других видов деятельности, скажем DDoS.

В то же время фишинг становится более хитроумным и целевым, а это означает, что большая доля получателей открывает прикрепленные файлы или переходит по содержащимся в сообщениях ссылкам. Во многих случаях фишинговые сообщения рассылаются с легитимных доменов, что усложняет их детектирование с помощью репутационных технологий. Достаточно часто используются персонализованные сообщения, поддельные сообщения о невозможности доставки почты, приглашения присоединиться к соцсети LinkedIn, пр. До сих пор популярным у хакеров остается регистрирование поддельных доменов (название которых близко по написанию к доменам популярных брендов), которые затем используются для фишинга.

Лидером в рассылке фишинговых сообщений остается Китай, за ним следуют США, Германия, Великобритания, Канада, Россия, Франция, Гонконг, Нидерланды и Бразилия.

АНБ перечислило $10 млн RSA для принятия стандарта на уязвимый ГСЧ

АНБ перечислило $10 млн RSA для принятия стандарта на уязвимый ГСЧ

В сентябре этого года стало известно, что специалисты АНБ внедряются в комитеты по разработке криптографических стандартов и активно участвуют в процессе утверждения этих стандартов. Вскоре Национальный институт стандартов и технологий (NIST) рекомендовал воздержаться от использования Dual_EC_DRBG — алгоритма генерации псевдослучайных битов, основанном на использовании эллиптических кривых и описанного в стандарте Special Publication 800-90A. Это стандартный ГСЧ, который используется во многих операционных системах, сейчас считается скомпрометированным. Практически наверняка известно, что АНБ умышленно внедрило в него бэкдор, что подрывает стойкость практически всех современных криптосхем с открытым ключом. Вчера с подачи Эдварда Сноудена опубликованы новые документы, которые подтверждают обвинения в адрес АНБ.

В соответствии с новыми документами, АНБ заключило секретный договор с компанией RSA и перечислило ей $10 млн за то, чтобы уязвимый стандарт ГСЧ был принят как стандарт по умолчанию.

Напомним, что в сентябре 2013 года компания RSA предупредила своих клиентов, что скомпрометированный алгоритм используется по умолчанию в во всех версиях набора RSA BSAFE, включая все версии Crypto-C ME, Micro Edition Suite, Crypto-J, Cert-J, SSL-J, Crypto-C, Cert-C и SSL-C, а также во всех версиях серверов и клиентов RSA Data Protection Manager (DPM). Компания рекомендовала клиентам изменить ГСЧ по умолчанию.

Сейчас компания опубликовала официальное объяснение, в котором категорически опровергает тот факт, что ей было известно об уязвимости алгоритма ГСЧ, хотя не отрицает, что взяла деньги за его принятие. Компания якобы была уверена, что принимает более мощный и сильный метод генерации случайных чисел.

На киевлян обрушилось нашествие банковских мошенников

На киевлян обрушилось нашествие банковских мошенников

С приближением праздников все стараются отложить денег на подарки, рождественские каникулы или даже устроить себе небольшой отпуск в горах. В этой связи все сильнее активизируются банковские мошенники: причем для несанкционированного снятия денег не требуется наличие банковской карты – жертва будет только оповещена смс-кой о том, что деньги сняты, сообщает информационно-аналитический портал Inpress.ua.

Перед праздниками банковские карточки подверглись настоящей атаке. Стоит вставить карту в «неправильный» банкомат – и пиши пропало…

В ночь на 18 декабря с карточки киевлянина Романа Тугашева за считанные минуты пропало 12 тыс. грн. «Около двенадцати одно за другим начали приходить сообщения о том, что я снимаю деньги с карточки, – рассказывает Роман. – Но я был дома, а карточка лежала в кошельке!», сообщает Взгляд.

В тот же вечер подобная история произошла и с Натальей Никольской. Пропало 1,9 тыс. грн – все, что было на счету. «Через несколько минут мне позвонил сотрудник банка и спросил, снимала ли я деньги. На мое «нет» ответил: «Значит, ограбили». Вскоре сотрудникам банка удалось выяснить, что деньги сняли из банкомата на ул. Терещенковская», – рассказала она.

Наталье посоветовали написать заявление в банке, но она решила обратиться еще и в милицию. В райотделе выяснилось, что она такая не одна: заявление писал парень, которого «обчистили» на 1 тыс. грн. За вечер в Голосеевский райотдел пришло 6 пострадавших от мошенников.

Подтвердить разгул банковских мошенников в милиции не смогли, мол, нужно время, чтобы собрать статистику. Но все же посоветовали чуть что, бежать к ним. «В любом случае нужно писать заявление в милицию: нужно понять, действовал мошенник, или же была допущена техническая ошибка, – объяснила начальник пресс-службы столичной милиции Ольга Билык. – Кроме того, некоторую информацию банк предоставит только в случае расследования. В случае суда это важно».

Боты используют большую часть интернет трафика

Боты используют большую часть интернет трафика

Согласно последним исследования Сети от компании Incapsula, именно боты, а не люди, в 2013 году составили большую часть интернет-трафика.

В прошлом году это соотношение было практически равно единице, но в этом году автоматизированные системы сгенерировали на 20% больше данных, чем люди. Исследователи, проанализировав данных из сетей 20 тысяч своих клиентов, сделали заключение, что в 2013 году за 61,5% трафика ответственны боты. Остальные 38,5% интернет трафика создано людьми.

Статистика интернет трафика

И такое разделение может говорить о проблеме. Хотя большинство ботов являются лишь различными сборщиками информации, например пауками поисковых систем, пытающихся проиндексировать веб ресурсы, всё же треть трафика созданного ботами носит подозрительный характер.

Другой важной особенностью активности ботов стало уменьшение количества ботов-спаммеров, которые оставляли рекламные ссылки в комментариях и на форумах. Однако после того как их количество резко сократилось им на смену пришли боты «самозванцы другого вида». Эти самозванцы, по данным Incapsula, включают агентов по сборке маркетинговых данных, инструменты DDoS и прочих программ, занимающих канал связи и препятствующих нормальной функциональности веб ресурсов.

Подражатель Cryptolocker использует слабую криптографию

Подражатель Cryptolocker использует слабую криптографию

У криптографического трояна-вымогателя Cryptolocker, как у маньяка-убийцы, появляются свои подражатели, которые выдают себя за оригинал. Они пытаются копировать «почерк мастера», используя его фирменные приемы. При этом не гнушаются работать в новых регионах, в том числе в России, которые обходил стороной оригинальный Cryptolocker.

Для пользователей это означает, что в случае шифрования файлов с требованием выкупа появляется шанс спасти информацию бесплатно. Дело в том, что подражатель использует слабые криптографические стандарты, объяснил Андрей Комаров, исполнительный директор стартапа IntelCrawler.

Распространение нового трояна началось в декабре 2013 года. С тех пор обнаружено более 50 различных билдов, купленных на подпольных форумах. Основная часть заражений приходится на Россию.

После заражения компьютера троян копирует документы пользователя, зашифровывает копии с добавлением расширения .perfect и удаляет оригиналы. В каждой папке с документами размещается файл contact.txt с адресом электронной почты хозяина трояна, у которого есть ключ для расшифровки файлов.

Жертвам предлагают перевести до $150 на счет Perfect Money или QIWI VISA Virtual Card. Они должны сообщить имя хоста и уникальный идентификатор компьютера, который указан в том же файле contact.txt.

По мнению специалистов, троян разработали любители. Его невозможно сравнить с профессиональной разработкой авторов Cryptolocker. Те задействовали сеть C&C-серверов и используют для зашифровки файлов нерушимую комбинацию AES 256 бит и RSA 2048 бит.

Подражателю хватило ума только на библиотеку TurboPower LockBox, это криптографическая библиотека для Delphi. В частности, они использовали уязвимый шифр AES-CTR. Андрей Комаров говорит, что сейчас пишет универсальную программу для расшифровки файлов, она будет работать на любом компьютере. До ее выхода рекомендуется переименовать зашифрованные файлы и сменить имя хоста у компьютера.

Госдума разрешила ФСБ заниматься информационной безопасностью страны

Госдума разрешила ФСБ заниматься информационной безопасностью страны

Госдума единогласно приняла во втором и третьем чтении законопроект, который позволит ФСБ заниматься оперативно-розыскной деятельностью в сфере информационной безопасности. При этом депутаты отмечают, что служба безопасности занималась этим и раньше, а проект лишь призван узаконить подобные методы работы.

Государственная Дума за один день приняла сразу во втором и третьем чтении проект федерального закона, который расширяет полномочия ФСБ в сфере защиты информационной безопасности РФ.

«Принятие указанного федерального закона создаст условия для проведения оперативно-розыскных мероприятий, направленных на добывание информации о событиях, действиях или бездействии, создающих угрозы информационной безопасности Российской Федерации, что позволит более эффективно противодействовать этим угрозам в условиях масштабной информатизации всех сфер общественной жизни», — отметил во время доклада при втором чтении Николай Ковалев, член Комитета Госдумы по безопасности и противодействию коррупции.

В Украине наблюдается рост финансовой киберпреступности

В Украине наблюдается рост финансовой киберпреступности

В 2013 году отмечается рост киберпреступлений с использованием систем дистанционного банковского обслуживания (ДБО) и мошенничества в интернете, сообщили в Независимой ассоциации банков Украины (НАБУ).
Сотрудник службы безопасности Альфа-Банка Сергей Досенко отмечает, что 2013-й год банки могут назвать годом кибертерроризма.

По данным Украинской межбанковской ассоциации членов платежных систем ЕМА, за январь-сентябрь 2013 г. было предпринято 257 попыток списания средств со счетов клиентов банков (их общая сумма 108,7 млн грн), в 2012 г. таких попыток было 179 (150,1 млн грн), в 2011 г. — всего шесть (14,9 млн грн).

По словам директора департамента противодействия кибермошенничеству МВД Украины Максима Литвинова, в нынешнем году правоохранительные органы зафиксировали 270 попыток взлома систем ДБО на сумму свыше 100 млн грн. Из зарегистрированных списаний на 67 млн грн получилось заблокировать и вернуть около 47 млн грн.

Руководитель проекта Противодействие кибермошенничеству НАБУ Татьяна Самсонюк отметила, что преступники используют низкий уровень осведомленности украинских граждан в вопросах безопасности и конфиденциальности информации.

Основными причинами утечки информации в большинстве случаев являются вирусы, констатируют в ЕМА. Программ, с помощью которых мошенники отбирают деньги у населения и банков, множество. Одни из таких вредоносителей — вирусы Gamker и Carberp, банковские трояны для кражи информации.

Trojan.Zadved.1 демонстрирует навязчивую рекламу

Trojan.Zadved.1 демонстрирует навязчивую рекламу

Александр Панасенко

Компания «Доктор Веб» сообщает о распространении вредоносной программы Trojan.Zadved.1, представляющей собой плагин к браузерам, который якобы должен защищать пользователя от вредоносных и потенциально опасных сайтов. На самом деле это приложение выполняет прямо противоположную функцию: троянец предназначен для подмены поисковой выдачи, перенаправления пользователя на сайты рекламодателей по щелчку мыши в окне браузера и демонстрации назойливой рекламы.

Первые образцы вредоносной программы Trojan.Zadved.1 были добавлены в вирусные базы «Доктор Веб» еще в начале ноября. Этот троянец распространяется в виде надстройки к браузерам под названием SafeWeb. Согласно сообщениям ее разработчиков данная надстройка предназначена для «обеспечения безопасности пользователя в Интернете». После загрузки и запуска приложения на экране появляется окно инсталлятора, устанавливающего расширение на компьютер потенциальной жертвы. Наиболее актуальная версия инсталлятора Trojan.Zadved.1недавно появилась в раздаче вредоносной партнерской программы installmonster.ru (организованной создателями другой партнерской программы — zipmonster.ru, в рамках которой распространяются троянцы семейства Trojan.SmsSend). Следует отметить, что троянские приложения появляются в раздаче installmonster с завидной регулярностью.

АНБ использует куки Google для идентификации пользователей

АНБ использует куки Google для идентификации пользователей

Газета The Washington Post опубликовала фрагменты нескольких секретных презентаций АНБ (pdf, зеркало). В них идет речь о разных методах аналитической работы АНБ. В частности, о технологии определения личностей граждан, которые сопровождают грузы на контейнеровозах, по данным с вышек сотовой связи. Упоминается об программе HAPPYFOOT, которая собирает и анализирует данные о координатах мобильных устройств.

Но самое интересное находится на странице, где говорится об эксплуатации для компьютерных сетей (CNE: computer-network exploitation). Там АНБ вкратце перечисляет методы взлома компьютерного оборудования.

АНБ признается в пассивном мониторинге интернет-трафика с автоматизацией, где это возможно. Элитное спецподразделение хакеров (TAO), которое осуществляет непосредственные взломы удаленных компьютеров, снабжается необходимой информацией для работы, в том числе идентификаторами WLLid и учетными данными для DSL-аккаунтов, куками, идентификаторами Google PREFID.

PREF — это следящие куки от компании Google. Они обычно не содержат имени пользователя, но содержат уникальные номера PREFID для идентификации пользователя на разных сайтах. Как видим, АНБ тоже извлекает пользу из идентификационных куков, чтобы проще фильтровать трафик конкретных людей в общем потоке. Аналитическая платформа Google Analytics и следящие куки Google используются на 60-65% популярных сайтов в интернете.

Новые угрозы для Android превращают гаджеты в инфицированных ботов

Новые угрозы для Android превращают гаджеты в инфицированных ботов

Обнаружены новые угрозы, превращающие Android-смартфоны в следящие устройства с множеством ошибок. Так, по данным исследователей из компании Bitdefender, одна из угроз исходит от ПО под названием Widdit, которое используют разработчики более 1000 приложений. Widdit включает в себя загрузчик, который в момент установки требует огромное количество ненужных ему привилегий.

«Эти привилегии необязательно используются в наборе ПО разработчика (software development kit, SDK), однако эти запросы гарантируют, что в дальнейшем любой компонент, введенный в SDK, будет работать из коробки, — отметил эксперт компании Bitdefender Влад Бордиану в блоге. – Среди таких привилегий мы обнаружили разрешение на отключение экрана блокировки, запись аудио, а также доступ к истории браузера и закладкам».

Приложения, использующие Widdit, также могут исполнять специальный код при перезагрузке устройства, получать текстовые сообщения или совершать звонки в момент установки или удаления приложения. Помимо этого, Widdit использует незашифрованный HTTP-канал для загрузки обновлений, что, по мнению специалистов, позволяет злоумышленникам заменять легитимные обновления вредоносными файлами, а также осуществлять атаки человек-посередине.