Хакеры нашли, как завалить iPhone запросами о сбросе пароля, и стали пользоваться этим для фишинга 27.03.2024 [23:52]
Несколько пользователей устройств Apple сообщили, что стали жертвами новой разновидности фишинга — на их устройства злоумышленниками отправлялись десятки системных запросов о смене пароля, не позволявших пользоваться устройством, пока они все не будут закрыты с согласием или отказом. Затем мошенники звонили жертвам, представляясь службой поддержки Apple, и утверждали, что их учётная запись находится под атакой и нужно «проверить» одноразовый код.
Один из пострадавших — Парф Патель [Parth Patel], предприниматель и основатель стартапа в сфере ИИ. 23 марта он рассказал в Twitter/X об атаке, обычно называемой пуш-бомбингом или «MFA-усталостью». Злоумышленники используют уязвимости многофакторной системы аутентификации (MFA), чтобы засыпать устройство запросами о смене логина или пароля.
«Все мои устройства разом сошли с ума: часы, ноутбук, телефон. Эти уведомления выглядели системными запросами подтвердить сброс пароля учётной записи Apple, но я не мог пользоваться телефоном, пока не закрыл их все, а их было больше сотни», — рассказал Патель в интервью KrebsOnSecurity.
После отправки серии уведомлений, злоумышленники звонят жертве, подменяя телефонный номер реально используемым техподдержкой Apple.
«Отвечая на звонок, я был крайне насторожен и спросил, могут ли они назвать мои данные, и после быстрого перестука клавиш они выдали мне абсолютно точные данные», — вспоминает Патель. Кроме настоящего имени. По словам Пателя, ему назвали имя, которое он однажды видел среди выставленных на продажу данных на сайте PeopleDataLabs.
Цель злоумышленников — выманить отправляемый на устройство пользователя одноразовый код сброса Apple ID. Заполучив его, они могут сбросить пароль учётной записи и заблокировать пользователя, а также удалить все данные со всех его устройств.
Патель — не единственная жертва. О такой же атаке в конце февраля сообщил другой пользователь, владеющий криптовалютным хедж-фондом.
«Я отказался от смены пароля, но на меня тут же свалилось ещё 30 уведомлений. Я подумал, что случайно нажал какую-то кнопку и отклонил их все», — рассказал он. По его словам, злоумышленники атаковали его несколько дней, но в какой-то момент ему позвонили из службы поддержки Apple. «Я сказал, что сам перезвоню в Apple. Я так и сделал, и мне сказали, что Apple никогда не звонит клиентам, если только те сами не запросят звонок».
Третьему пользователю при звонке в службу поддержки Apple посоветовали активировать ключ восстановления учётной записи Apple ID — это должно было остановить поток уведомлений раз в несколько дней. Однако и это ему не помогло. Вполне вероятно, что для атаки используется сайт восстановления пароля Apple. Чтобы отправить системное уведомление о смене пароля, достаточно ввести привязанный к Apple ID номер телефона и решить капчу.
«Какая нормально спроектированная система аутентификации отправит десятки запросов на смену пароля в секунду, когда пользователь не отреагировал на предыдущие?» — вопрошает Брайан Кребс (Brian Krebs) из KrebsOnSecurity.
Исследователь безопасности и инженер-любитель Кишан Багария (Kishan Bagari) уверен, что проблема на стороне Apple. В 2019 году Багария сообщил Apple об ошибке, позволявшей рассылать на все ближайшие устройства под управлением iOS системный запрос с предложением обменяться файлами посредством AirDrop. Через четыре месяца Apple исправила ошибку, поблагодарив Багарию в бюллетене безопасности. По его словам, суть исправления заключалась в ограничении количества запросов, поэтому возможно, что кто-то придумал способ обойти его при сбросе пароля.
Хакеры взломали более 10 млн компьютеров на Windows в 2023 году — с каждого в среднем украли по 51 логину и паролю 02.04.2024 [12:06]
Количество случаев заражения вредоносным программным обеспечением, предназначенным для кражи данных с персональных компьютеров и корпоративных устройств, с 2020 года увеличилось на 643 % и в 2023 году составило около 10 млн по всему миру. Об этом пишут «Ведомости» со ссылкой на данные Kaspersky Digital Footprint Intelligence.
Чаще всего в 2023 году злоумышленники использовали вредоносное ПО для кражи сведений об устройстве и хранимой в нём информации о логинах и паролях RedLine — на долю вредоноса приходится более 55 % всех краж, подсчитали специалисты «Лаборатории Касперского». В рамках этого исследования специалисты анализировали статистику заражений устройств с Windows. В среднем с одного заражённого устройства злоумышленникам удавалось похитить 50,9 пары логинов и паролей. Учётные данные могут включать логины от социальных сетей, онлайн-банкинга, криптовалютных кошельков и корпоративных онлайн-сервисов.
В «Лаборатории Касперского» отметили, что за последние пять лет злоумышленникам удалось скомпрометировать учётные данные на 443 тыс. веб-сайтов по всему миру. Злоумышленники либо использовали похищенные данные для проведения кибератак, либо для продажи и распространения на теневых форумах и Telegram-каналах. Лидером по количеству скомпрометированных данных является домен .com. В прошлом году было взломано около 326 тыс. пар логинов и паролей для веб-сайтов в этом домене. Следом за ним идут доменная зона Бразилии (.br), в которой злоумышленники скомпрометировали 28,9 млн учётных записей, Индии (.in) — 8,2 млн учётных записей, Колумбии (.co) — 6 млн учётных записей и Вьетнам (.vn) — 5,5 млн учётных записей. Доменная зона .ru заняла 21-е место по количеству взломанных аккаунтов в 2023 году (2,5 млн украденных учётных записей). Количество скомпрометированных учётных записей в зонах .org и .net за тот же период составило 11 млн и 20 млн соответственно.
Источник отмечает, что экспертные оценки масштабов взлома аккаунтов сильно отличаются. По информации F.A.C.C.T. Threat Intelligence (бывшая Group IB), по итогам прошлого года в России было скомпрометировано около 700 тыс. уникальных аккаунтов. Руководитель направления аналитики киберугроз ГК «Солар» Дарья Кошкина считает, что на Россию едва ли приходится 5 % от общего количества украденных учётных данных. «Мы не исключаем, что некоторые учётные данные, скомпрометированные в 2023 году, окажутся в теневом сегменте только в 2024 году. Поэтому реальное число заражений, по нашим оценкам, может достичь 16 млн», — прокомментировал данный вопрос эксперт по кибербезопасности «Лаборатории Касперского» Сергей Щербель.
Мошенники с помощью голосового дипфейка пытались выдать себя за гендира LastPass 12.04.2024 [19:39]
Менеджер паролей LastPass подвергся атаке мошенников, которые применили технологии искусственного интеллекта, пытаясь выдать себя за генерального директора LastPass Карима Туббу (Karim Toubba). Злоумышленники создали поддельную учётную запись Туббы в WhatsApp и начали переписку с одним из сотрудников компании. В процессе они отправляли голосовые сообщения, в которых имитировали голос руководителя Last Pass.
Подвергшийся атаке сотрудник LastPass оказался достаточно опытным и стрессоустойчивым, поэтому попытка обмана силами дипфейка не удалась. Сотрудника насторожило то, что сообщения WhatsApp «выходили за пределы обычных каналов делового общения». Дополнительным поводом усомниться в реальности аудиосообщения от руководителя стало излишнее давление со стороны мошенников, тактика под названием «вынужденная срочность», которую преступники часто используют для манипулирования жертвами. Это окончательно убедило сотрудника LastPass, что вся переписка была фикцией.
LastPass сообщила, что попытка мошенничества не увенчалась успехом и сейчас расследованием инцидента занимается служба безопасности компании. Тем не менее, компания решила поделиться подробностями этого инцидента, чтобы привлечь внимание к тому, что дипфейки всё чаще используются для мошеннических кампаний с выдачей себя за руководителей.
За последнее время многие компании, в том числе криптовалютная биржа Binance, столкнулись с мошенниками, выдающими себя за руководителей компаний при помощи искусственного интеллекта. Недавно в Гонконге занятый в финансовой сфере сотрудник международной компании, думая, что участвует в сеансе одновременной видеосвязи со своими коллегами, по указанию «финансового директора предприятия из Великобритании» перевёл $25,6 млн на указанный ему счёт.
С 8 февраля 2024 года в США коммерческим компаниям запретили использовать голосовых ИИ-ботов в ходе автоматизированных «холодных звонков» потенциальным клиентам.
Вредоносное ПО распространяется хакерами через GitHub, якобы из репозитория Microsoft
Хакеры нашли способ загрузить вредоносное ПО на платформу GitHub и даже создать впечатление, будто оно размещается и распространяется другими разработчиками, заслуживающими доверия. Об этом сообщила специализирующаяся на информационной безопасности компания McAfee.
Как подчеркнули в McAfee, большая часть вредоносного ПО использует URL-адреса Microsoft GitHub, более того, этот «недостаток» системы безопасности можно использовать в любом общедоступном репозитории на GitHub.
В отчёте McAfee рассказывается о новом загрузчике вредоносного ПО LUA, распространяемом через, по всей видимости, репозиторий Microsoft GitHub. URL-адреса установщиков вредоносных программ, указывают на их принадлежность к репозиторию Microsoft, что, однако, не соответствует действительности. Как оказалось, таким образом можно подделать связь не только с репозиторием Microsoft, но и любого другого разработчика или компании с хорошей репутацией.
Злоумышленники использовали необычную схему, задействуя механизм загрузки файлов в комментариях GitHub. При этом компании-жертвы мало что могут сделать, чтобы защитить себя от подобного. Единственное пока решение — вообще отключить комментарии, но это приносит больше проблем, чем решает. Не связанные с вредоносным ПО пользователи часто заходят в раздел комментариев, чтобы сообщить об ошибках или сделать предложения по проекту. Более того, комментарии можно отключить максимум на шесть месяцев за один раз.
GitHub — крупнейший веб-сервис для хостинга IT-проектов и их совместной разработки, в 2018 году перешедший под крыло Microsoft.
На IT-компании и телеком пришлось 39,5% всех отраженных DDoS-атак
МТС Red подвела итоги первого квартала 2024 года. Из него следует, что всего с января по март текущего года компания отразила более 6200 DDoS-атак на веб-ресурсы заказчиков, пишет Forbes со ссылкой на отчетность МТС Red.
Отмечается, что в указанный период также был побит рекорд мощности среди всех ранее отраженных специалистами МТС Red атак на веб-ресурсы заказчиков. Таким образом, самая интенсивная атака составила 207 Гбит/с — это сразу вдвое превышает интенсивность предыдущего мощнейшего инцидента, зарегистрированного в декабре 2023 года.
Уточняется, что самой распространенной мишенью в первом квартале стали IT-компании и телеком. В общей сложности на них пришлось 39,5% всех отраженных атак. На втором месте оказался госсектор (29,9%). На третьем — промышленные предприятия (9,3%). Реже всего (лишь в 1,7% случаев) злоумышленники пытались атаковать ресурсы финансовых организаций.
Напомним, как ранее писал "Кабельщик", операторы связи чаще других подвергались кибер-атакам в 3 квартале 2023 года. Аналитики компании "Гарда" объясняют это тем, что операторы, борясь с DDoS-атаками, защищают как собственные объекты, так и ресурсы своих клиентов, которые размещены в той же сетевой инфраструктуре. Также эксперты отметили, что хакеры все чаще организуют атаки, которым сложнее противодействовать.
Хакеры атакуют правительственные сети через дыры в оборудовании Cisco 29.04.2024 [10:54]
Канадский центр кибербезопасности (CCCS), Отдел кибербезопасности Управления радиотехнической обороны Австралии (ASD) и Национальный центр кибербезопасности Великобритании (NCSC) предупреждают о том, что неизвестная хакерская группировка, предположительно поддерживаемая на государственном уровне, атакует правительственные сети по всему миру.
Известно, что нападения проводятся через уязвимости в межсетевых экранах Cisco и, возможно, через дыры в сетевом оборудовании, которое поставляется другими компаниями, включая Microsoft. Корпорация Cisco присвоила кибератакам кодовое имя ArcaneDoor (другие названия — UAT4356 и STORM-1849).
Вредоносная активность впервые была обнаружена в январе нынешнего года, когда о подозрительных действиях в своей IT-инфраструктуре сообщил один из клиентов Cisco. Последующее расследование показало, что кибератаки осуществлялись как минимум с ноября 2023-го. Выявлены несколько жертв — все они связаны с правительственными организациями разных стран.
Говорится, что загадочная хакерская группировка использовала специальные инструменты, «демонстрирующие чёткую направленность на шпионаж» и глубокое понимание архитектуры и принципов работы целевых устройств. Это, по мнению экспертов, является отличительными особенностями опытных киберпреступников, спонсируемых на государственном уровне.
Атаки, в частности, осуществляются через уязвимости в оборудовании Cisco Adaptive Security Appliance (ASA) и Firepower Threat Defense (FTD). Информация о дырах содержится в бюллетенях CVE-2024-20353 и CVE-2024-20359 с рейтингом опасности CVSS 8.6 и 6.0 соответственно. Первая из уязвимостей позволяет неаутентифицированному удалённому злоумышленнику организовать DoS-атаку. Вторая брешь даёт возможность локальному нападающему, прошедшему проверку подлинности, выполнить произвольный код с root-привилегиями.
После компрометации устройств жертв злоумышленники внедряют два вредоносных имплантата — Line Dancer и Line Runner для загрузки и выполнения произвольного шелл-кода, а также обхода систем безопасности. Компания Cisco уже выпустила исправления для указанных уязвимостей.