Phishing preko Facebook Community stranice?

U nedjelju, 18.decembra, oko 19 časova dobila sam na stranicu kojoj sam editor notifikaciju sa fejsbuk stranice "Safety Page", odakle su se slale notifikacije raznim stranicama sa teritorije Srbije i Crne gore, ne profilima, već stranicama tipa “Page”  o tome kako će fejsbuk nalog biti blokiran, ako se ne potvrde kredencijali.

Poruka je izgledala ovako:

Odnosno, kad se otvori: (malo neobično ovo "a" u Safety, zar ne?)

Klikom na link dolazi se do naizgled regularne Facebook stranice podrške   https://www.business.facebook.com/ zapravo to je „community stranica“ visokog kredibiliteta,
(i to je ono što najviše buni, mada postoji i legitimna,  koju kontroliše kompanija Facebook  https://www.facebook.com/business/ ) ,
gdje se u zapisu tipa "Note" kaže da je nalog prijavljen zbog narušavanja politike i pravila fejsbuka, i da će biti ugašen ukoliko se ne „oporavi“ u roku 24 sata, pa onda opet ide link.
Definitivno, sve poslate notifikacije raznim stranicama se usmjeravaju ovamo.

Prvi je problem, ako je prijavljeno zbog sadržaja, zašto onda nije naveden taj sadržaj? I zašto se traži da se oporavi „account“ , kad se radi o stranici koju administrira neko sa ličnim nalogom.
Notifikacija je stigla na stranicu ("page"), a ne na lični profil,  i dobiju je svi administratori i editori te stranice, što znači da svaki može da se "upeca" i ostavi podatke - negdje.

Klikom na link stvari postaju jasnije:

Ovo je mjesto  gdje nipošto ne želite da se prijavite:

Odnosno:

Upisivanjem neke nepostojeće adrese:

Otvara se sledeća strana, i traži se, naravno, broj kreditne kartice, kao podatak za autentifikaciju :):

E sad, kako je napadač sa stranice facebook zajednice https://business.facebook.com/   uspio da objavi legalan link na phishing http://reprt-cust-recvery.esy.es/  i meni ostaje tajna.
Izgleda da je slaba kontrola ko tu šta može da objavi.

Jedini odgovor je da je zloupotrebljena stranica Facebook zajednice, što je vrlo neozbiljno. I zašto su se obrušili na stranice iz Srbije i Crne Gore?

Evo, ovo je prikaz jednog klasičnog phishing algoritma.

Kad budu prijavljeni, i kad im se blokiraju ove stranice, oni će otvoriti novi, i tako u nedogled... vremena imaju, model imaju, a i sjede vjerovatno u nekoj od zemalja gdje se ovo ne kažnjava ...

Zato, oprez: Regularni sajtovi vam nikad, ali NIKAD neće tražiti da se registrujete na nekom sajtu van njihovog domena, i definitivno NIKAD broj kreditne kartice za verifikaciju naloga.

DDoS ponovo napada ili zašto je u petak pao Twitter?

Oktobar je bio mjesec DDoS-a. Taman kad se činilo se da će se ovaj napad povući pred agresivnijim i isplativijim ransomverom i polako otići u tehnološku istoriju ( jer mu motiv nije bio novac, i ne obezbjeđuje brzu i laku zaradu), u junu ove godine pojavila se serija DDoS napada na institucije finansijskog sektora, centralne i poslovne banke. Vraćanjem DDoSa u fokus postalo jasno da ovo više nisu napadi sa samo jednim ciljem: oboriti nekome sajt i onesposobiti servise, već da se često dešava i da je DDoS samo paravan za upad u sistem „na zadnja vrata“ (dok se domaćini bave podizanjem sajta)  i krađu podataka, a zatim i iznuđivanje novca.

fotografija preuzeta sa crebsonsecurity.com

Šta je DDoS? Najkraće rečeno, to je organizovana mreža (botnet) računara (botovi), koji i ne moraju znati da su u mreži što znači može biti bilo koji računar na svijetu, dovoljno da mu se na prevaru ubaci komadić koda, i koji organizovano i istovremeno napadaju (šalju zahtjev) na određenu adresu, odnosno servis. Kad je taj napad dovoljno velik, servis ne može izdržati toliko zahtjeva, tj. ne može dovoljno brzo generisati odgovore, servis pada. Šta je to dovoljno veliki broj zahtjeva? Pa, recimo da su to napadi (istovremeni zahtjevi prema serveru) intenziteta od nekoliko Gbps. Botnet može imati 100, ali i 50.000 računara "na zadatku". 

Postoje uređaji kojima se može braniti od DDoS napada, ali njihovi dometi su uglavnom od jednog do nekoliko desetina Gbps, (računalo se da je 10Gbps sasvim respektabilna granica zaštite), tako da je septembarski napad kojim je oboren sajt kompanije Krebson Security od 629 Gbps zapravo bio neodbranjiv.

Taj, kao i najnovija serija velikih DDoS napada, koji su premašili intenzitet onog na Krebson, pokazao je još jednu važnu stvar: da treba pod hitno inovirati definiciju DDoS-a.

Dakle, botnet nije mreža računara, već uređaja sa IP adresom. Bot može biti bilo šta što ima IP adresu (IoT) i neki, makar i najprimitivniji softver. Malver pod nazivom Mirai je jednostavan kod koji može da se pokrene bukvalno na svakoj stvari povezanoj na Internet. Dokazano. Više puta u posljednjih mjesec dana.

Moja prva misao kad sam za vikend čula za napad na DNS provajder Dyn, što je uzrokovalo pad Twittera, Netflixa i još nekoliko svjetski poznatih servisa je da to nije djelo hakera. (Skromno dodajem, Džon Mekafi dijeli moje mišljenje).  Američka administracija brzo se oglasila da se ne radi o državno vođenom napadu, već je to djelo vandala, a budući da im se baš nije povjerovalo, onda se kao država koja stoji iza toga označila – Sjeverna Koreja.

Bilo kako bilo, ipak mislim da je ovo bila jedna vaspitna ćuška IoT tehnologiji, tj.  proizvođačima uređaja koji se kače na Internet, da malo uspore i da bolje zaštite svoje proizvode. Jer, s obzirom na rizike IoT  na koje se upozoravalo, a proizvođači se oglušili, morala se napraviti jedna javna provjera ranjivosti. Nije čak bila ni teška za izvesti, vrata IoT svijeta nisu bila zaključana.

Nakon ovoga, današnja vijest je da kineska kompanija Hangzhou Xiongmai, povlači sa tržišta milione sigurnosnih kamera prodatih u SAD, jer se ispostavilo da je njihov softver za povezivanje sa uređajem za snimanje i čuvanje zaražen Mirai virusom. Za očekivati je da se u danima koji dolaze objelodani još ovakvih proizvoda, ali vrlo vjerovatno i ponovi još ovakvih i sličnih napada. 

Pokemon, Oops!

Od svoje pojave, igrica Pokemon Go, ima vrlo ozbiljnih “sudara” sa bezbjednošću i privatnošću, od kojih neki i nisu sasvim “virtuelni”.

 foto izvor:gameranx

Ne bih nikom da kvarim zabavu, ali koliko se svijet usijao ovih dana oko jurenja Pokemona, toliko su se i mejl inboksi nas koji se bavimo bezbjednošću usijali od upozorenja.

Dakle, svjetski  hit, igrica Pokemon Go ima i svoju drugu stranu, i mislim da je bitno znati je.

Nova pomama desila se u vidu smartfon aplikacije jedne od virtuelih stvarnosti, tzv “augmented reality” aplikacije zvane Pokemon Go!  Radi se o lokacijski osjetljivoj, geo-keširanoj  igrici, što znači da se koriste stvarne lokacije.

Stvar je u  tome da igrica šalje ljude na ulicu, da pokušaju da uhvate virtuelno stvorenje, Pokemona, na stvarnim lokacijama (zvanim Pokestops), a onda uhvaćenog Pokemona mogu da treniraju za “borbu”, ali i trguju sa njim.

Pretpostavljate na šta to liči: ko ne vjeruje neka izađe na Knez Mihajlovu, ili neku vama najbližu frekventnu ulicu. Ako vidite gužvu na nekom mjestu i puno ljudi koji zure u telefone – tu se pojavio Pokemon.

Mnogo riskantnija situacija je kad se Pokemoni hvataju vozeći automobil, ali izgleda da je i to počelo. Sinoć sam vozila iza mladića koji je vrludao kroz sve tri trake buljeći u telefon, na Bulevaru pored Juge.

Već se čini dovoljno uvrnuto? Čitajte dalje, ovo je još uvijek zabavni dio. Najluđe tek dolazi.

Vrtoglavi uspon ove igrice i njeno brzo širenje planetom nose i svoje rizike: Čim se pojavila, igrica Pokemon Go, imala je vrlo ozbiljnih “sudara” sa bezbjednošću i privatnošću, od kojih neki i nisu sasvim “virtuelni”.

Prvo: Pljačka

U ovoj igri, igrači se mogu sresti u stvarnom životu, na stvarnoj  lokaciji Pokestop, i organizovati “borbu” svojih Pokemona.  Pljačkaši koriste ovu opciju da ljude bukvalno “odvuku” iz stana ili automobila i ostave ih praznim, dok džeparoši to koriste da naprave vještačku gužvu ljudi fokusiranih na nešto drugo, što im olakšava posao. Policija u SAD već ima dosta posla ove vrste.

Naravno, tu su i sve ostale varijante koje neko može iskoristiti znajući vašu stvarnu lokaciju.

Drugo: Problem prijave preko Google naloga

Stručnjaci već danima upozoravaju na ozbiljne bezbjednosne propuste ukoliko se na igricu prijavljujete sa svog Google ili Apple naloga. Bezbjednosni propusti omogućuju da vaš nalog bude otvoren zlonamjernim napadačima.

Treće: Aplikacje zaražene Trojancima

Budući da originalna verzija igre nije dostupna svuda u svijetu, hakeri su se brzo (u roku od 72 sata od prve pojave igrice na Play Storu) dosjetili da u oficijelnu verziju podmetnu virus trojanac, te da ponude to kao pravu verziju igrice nekim drugim kanalima distribucije za sve one koji je ne mogu naći na Play Store lokaciji. Ovaj trojanac je urađen tako da omogući pristup alatu  DroidJack – poznatom i kao  SandroRAT, što napadaču daje mogućnost da preuzme potpunu kontrolu nad telefonom žrtve. Najgore je što se na raznim gejmerskim forumima daju uputstva kako instalirati igricu upravo sa takvih “trećih” lokacija, koje distribuiraju upravo ovu, zaraženu verziju.

Posebno je opasno ukoliko se zaraženi telefon nalazi u korporativnoj mreži ili se sa njega pristupa poslovnim podacima, jer kontrola nad telefonom preko alata DroidRack podrazumjeva i pristup mrežnim uređajima.

Za provjeru, idite u Settings->Apps->PokemonGo i provjerite odobrenja. Ukoliko aplikacija traži nešto od sljedećeg: direktno pozivanje telefonskih brojeve, čitanje SMS poruka, snimanje zvuka, čitanje istorije pretraživanja, modifikovanje i čitanje kontakata, čitanje i ispisivanje istorije poziva i promjena parametara mreže - momentalno je deinstalirajte!
Drugi način (za one nepredne) je da uporedite SHA-1 hash na vašoj igrici sa onim na zvaničnoj. Hash je dugački niz znakova dobijen iz sadržaja fajla, i ukoliko je sadržaj izmijenjen i samo u jednom bitu, hash neće biti isti.

Četvrto, ali takođe važno je psihološki uticaj ove igrice. Virtuelne stvarnosti, pogotovo za djecu i adolescente mogu biti opasne, i granica je tanka. Ukoliko se sve dešava u realnom vremenu i na stvarnim lokacijama, te dovodi do stvarnih susreta sa, do tada nepoznatim ljudima, izazovi su još veći. O ovome u nekom od narednih tekstova ...

Muzej malvera

Ne dirajte eksponate! Šalimo se, možete ih preuzeti, sad su bezopasni.

Muzej malvera? Da, baš tako. Ako ste “ajtijevac” nostalgičar, u ovom muzeju možete pronaći malvere koji su “harali” osamdesetih i devedesetih.  Kako naivno i skoro romantično izgledaju danas te poruke koje su iskakale na ekranima prije 30-ak godina, u poređenju sa današnjim ransomver animacijama .

Muzej nudi i emulacije, svaki od ovih malvera očišćen je od destruktivnih komponenti ostavljena je samo animacija i poruka.

MUZEJ MALVERA

Ovo je smislio jedan  IT bezbednjak, Mikko Hypponen, a malveri su uglavnom djela „angažovanih umjetnika“ i znatiželjnih dječaka, i najviše ih je pisano za DOS.

Jason Scott, kustos ovog muzeja naglašava upravo razliku između tadašnjih, uglavnom društveno angažovanih, i današnjih – kriminalnih i špijunskih malvera. Za njega je ovaj muzej kao povratak u djetinjstvo, u vrijeme igrica i crtanih junaka, u vrijeme odrastanja i prvih psihodeličnih iskustava.

Ali, ne misle svi tako:

Od lansiranja ovog muzeja, iako ima nespornu popularnost, prate ga i kontroverze.  Ira Vinkler , predsednik Secure Mentem  kaže: „ Ovo je glupa ideja. Prvo, mnogi pisci virusa radili su to u svoje ego svrhe. Ovim ih se samo nagrađuje za štetu koju izazivaju, a može i da podstakne nove ljude da pišu nove viruse, samo da bi postali besmrtni na ovom sajtu."

Mnogi veterani IT bezbednosti se slažu sa Irom: Ne treba popularizovati malver, jer to može biti opasno na duže staze. Iako danas gledajući ovi DOS virusi izgledaju bezopasno, čak i simpatično, u vrijeme kad su lansirani zadavali su velike glavobolje i srčane udare vlasnicima zaraženih PC računara.

U svakom slučaju, plan je da se ovaj muzej zatvori kad dostigne milion pregleda ( što je uskoro!), jer je to dovoljno da se vidi koji su virusi po broju preuzimanja bili popularniji od ostalih. Već se sad vidi da na popularnost utiče prvenstveno vizuelni efekat i poruka, tako da kreator, Mikko Hypponen, time zatvara usta svojim kritičarima. Nakon četvrt vijeka sakupljanja eksponata, on kaže:

"Mnogi autori virusa stare škole koristili su svoje viruse kao sredstvo izražavanja. Zato smo dobili sve te interesantne vizuelne prikaze - izraze. Neki bi to nazvali umjetnošću. Sve moje kolege se slažu u tome da ovu umjetnost - kao i svaki drugi vid umjetnosti - treba sačuvati. I to je ono što mi radimo."

Ovdje možete pogledati 10 najpopularnijih eksponata, sa objašnjenjima.

Izvor: http://www.networkworld.com

jedan od najpopularnijih, Coffee Shop iz 1992