Verizon Data Breach Investigations Report 2017

30/04/2017

Программное обеспечение с вирусом-вымогателем. Взломы. Что дальше?

Согласно последнему ежегодному выпуску отчета нарушения Verizon отмечается рост атак кибершпионажа и всевозможных вирусов-вымогателей.

Главный удар атак шпионажа пришелся на производственные компании, государственный сектор и образование. Наличие персональных данных сделало эти секторы заманчивой целью атак.

Более 90% из 289 подтвержденных атак, связанных со шпионажем, были приписаны конкурентам или бывшим сотрудникам. При этом наиболее распространенной тактикой подобных атак был фишинг.

Сегодня фишинг используется в 21% атак, тогда как в прошлом году он составлял всего 8%. Увеличение распространенности подобных атак, по мнению Verison, происходит благодаря тому, что все большее число злоумышленников успешно применяет данную тактику. Каждая 14-я атака (7,3%) приводит к тому что жертва открывает вредоносную ссылку или почтовое вложение, отправленное атакующими.

Отчет Verizon Data Breach Investigations Report (DBIR) 2017 года основан на анализе более 42 000 инцидентов безопасности и 1 935 утечек из 84 стран.

Наиболее подвержены утечкам следующие отрасли: финансовые услуги (24%), здравоохранение (15%) и государственный сектор (12%). 81% нарушений осуществлен с помощью похищенных и/или слабых или отгадываемых паролей.

Как правило, атаки совершались организованными преступными сообществами (51% нарушений). Наиболее распространенными жертвами были финансовые услуги (24%). При этом преобладающими побуждениями были: финансовая выгода (72%) и шпионаж (21%).

72% всех вредоносных инцидентов в сфере здравоохранения составляли атаки вредоносов-вымогателей.

Кроме того, вызывает опасение качество паролей. 81% атак выполняется с помощью украденных слабых или легко угадываемых паролей. Только вдумайтесь! 81%. Безусловно использование двухфакторной аутентификации помогло бы в этом случае, но увы…

По материалам http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017/

 


Сказки о безопасности: Заячьи заморочки

28/04/2017

— Привет, Потапыч!

— Что случилось, Заяц?

— Да я так, просто поздороваться.

— Не верю. У тебя снова что-то не так. Признавайся.

— Ну вообще-то есть проблема. С недавних пор стал мой смартфон куда-то трафик девать. Резко он увеличился.

— Э-э-э, так ты бот, батенька?

— Стоп, как это я бот?

— А вот так! Ты какие программы ставил в последнее время?

— Игрушки. Ну и программы, которые помогают проходить игрушки. Ничего серьезного.

— А ставил из официального App Store?

— Конечно.

— А антивирус есть?

— Есть, правда бесплатный. Ну ты ж знаешь, все покупать у меня денег нет. Ну ты ж понимаешь!

— Зря, сильно зря! С платным антивирусом выйдет дешевле — кучу времени и сил сэкономишь. Но если уж платить не хочешь — выбирай бесплатный на свой страх и риск, но хотя бы от известной компании. Функционал будет конечно урезанным, но от вирусов защищать все-таки будет. А ты наставил невесть чего!

— Так что делать?

— Что делать? Сбросить все в заводские настройки, а потом установить нормальный антивирус и ставить приложения снова. Ставить и смотреть на трафик. Как только будут непонятные изменения — снова все сбросить и пропустить это приложение.

— Ой, так это ж сколько времени?!!

— Ну, есть еще и кардинальный вариант. Установить только то, что тебе реально нужно, а не все подряд! Короче, Заяц. Думай. Смартфон твой, головная боль тоже твоя. Что ты мне голову морочишь??

Вам и я бы дал тоже такой совет. Не морочьте голову. Устанавливайте только то, что вам реально нужно! И не более!


Сказки о безопасности: Внимательный шпион

26/04/2017

Утро — это всегда испытание. Нужно вставать, нужно одеваться, чашка кофе с круассаном и на службу. Но Иоганн не успел выпить кофе, как зазвонил телефон.

— Доброе утро, Иоганн. Вас беспокоят из департамента внешней разведки. Вас просит приехать наш шеф к себе. Машина у вашего дома. Допивайте кофе и поехали.

Иоганн всегда удивлялся тому, что о его привычках настолько хорошо осведомлены. Вот и сейчас он на ходу допил кофе и выбежал из дома. Что случилось? Зачем он понадобился? Да еще и одному из самых закрытых чиновников империи? Ладно, что гадать. Через 10 минут он все узнает.

— Доброе утро, Иоганн! У нас спешное дело. Как вы знаете, в соседнем королевстве к власти пришел весьма жестокий шах. Мы, к сожалению, не можем пока заслать туда своих людей, приходится опираться на местные кадры. Да какие там кадры… Там кто больше даст, того и люди. И тем ценнее нам те из них, кто работает не только за деньги. Нет, бессребреников там нет. Но все же. Они там находятся в качестве правозащитников, возглавляют различные неправительственные фонды по пропаганде демократии. Безусловно, эти все фонды существуют, лишь пока мы их оплачиваем. Но к делу. У одного из наших высокопоставленных агентов влияния возникло подозрение, что за ним пытаются следить с помощью его же смартфона. Он обратился в одну из компаний по информационной безопасности в своей стране. Естественно, он не знает, что это наша компания. Смартфон передали нам для анализа. Сможете поглядеть, там действительно что-то есть? Только не удаляйте. Если это наше, нужно подправить, чтобы на глаза не попадалось, если не наше — разобраться и тогда можно удалять. Хорошо?

— Конечно. А где смартфон?

— Вот. Только сами понимаете, об этом никто знать не должен.

— Ха. Это как раз понятно. Я поехал, поковыряемся.

Прошел час.

— Мари, пригласи ко мне Майкла, Риту и Карла. И не соединяй меня ни с кем.

— Итак, коллеги. Вот смартфон. Есть подозрение, что он или заражен, или его пытались заразить. Нужно разобраться, что это. Как работает. Наше или чужое. На все про все — неделя. Привлекать людей по минимуму. Никто не должен знать всю задачу в целом. Понятно? Приступайте!

Прошла неделя.

— Да, шеф. Давно такой задачи не было. Судя по всему, была попытка заражения с помощью разработки фирмы N из государства И. Эти ребята разрабатывают шпионское ПО под заказ для кого угодно. Но мы такого не покупали, так что пытались ставить не мы.

— Как оно работает?

— Пользователь получает SMS со ссылкой, при открытии которой и происходит заражение.

— Но ведь компания А заявляет, что ее смартфон заразить невозможно?

— Как видите, можно. Стоит заметить, что зловред эксплуатирует три уязвимости нулевого дня в ОС, которые позволяют по-тихому провести джейлбрейк устройства и установить вредонос. А если учесть, что компания Z предлагала 1 млн. империалов за уязвимость нулевого дня в этой ОС, то нетрудно представить, сколько стоит такой вредонос, ведь он использует не одну, а три подобных уязвимости.

— Н-да… Совсем не массовый продукт.

— Нет, конечно, это продукт для атаки на конкретного пользователя.

— Что будем делать?

— Да ничего. Пользователь на SMS не повелся, заражения не случилось. Просто отдадим смартфон, ведь он не заражен.

Заразить можно все, и даже ваш iPhone. Будьте внимательны.

https://www.pcweek.ru/security/article/detail.php?ID=194940


Утекшие инструменты для взлома от АНБ успешно используются для взлома тысяч Windows PC по врем мире

24/04/2017

Увы, для тысяч онлайн преступников уровня Script Kiddy настали счастливые времена. Они могут использовать инструменты взлома от АНБ, опубликованные в прошлые выходные, для взлома тысяч Windows компьютеров. На прошлой неделе таинственная группа хакеров, известная как Shadow Brokers опубликовала ряд инструментов для взлома Windows XP, Windows Server 2003, Windows 7 и 8 и Windows 2012, предположительно принадлежавших Equation Group NSA.

Microsoft отреагировала быстро, выпустив патчи для всех использованных уязвимостей, однако сколько еще существует систем, на которых патчи, увы, не установлены?

Множество исследователей в области безопасности выполнили массовые интернет-сканирования за прошлые несколько дней и нашли десятки тысяч компьютеров Windows, зараженных DoublePulsar, шпионским ПО от АНБ.

Исследователи швейцарской компании Binary Edge в результате интернет-сканирования обнаружили более 107 000 компьютеров Windows, зараженных DoublePulsar. В ходе сканирования, проведенного Errata Security CEO Rob Graham обнаружили около 41 000 зараженных компьютеров.

И DoublePulsar и EternalBlue, подозреваемые как инструменты Equation Group сегодня доступны любому начинающему взломщику.

В результате те администраторы, кто не установил последние обновления от Microsoft уязвимы для таких инструментов как как EternalBlue, EternalChampion, EternalSynergy, EternalRomance, EmeraldThread и EducatedScholar.

Кроме того, следует отметить, что те, кто все еще используют такие платформы как Windows XP, Windows Server 2003 и IIS 6.0, чья поддержка уже окончена, уязвимы для данных атак.


Сказки о безопасности: Unicode для фишинга

21/04/2017

— Доброе утро, шеф! У нас новости, — сияющее лицо Риты казалось светится радостью.

— Что случилось, Рита? Уж больно ты радостная.

— Да, увидела весьма интересный метод проведения фишинговой атаки. Организовывается подставной сайт под именем известного домена. Внешне адрес неотличим. Работает приблизительно на половине известных браузеров.

— Ух ты! Но как?

— Атака основывается на возможности указания unicode-символов в домене, но отличается от давно известных атак, которые манипулируют интернационализированными доменами. Для обхода существующей защиты (смешивания символов из разных кодировок) достаточно зарегистрировать домен, состоящий только из unicode-символов.

— Погоди, но ведь в таком случае отличить адреса внешне невозможно!

— Да в том и дело! Мы уже отправили описание найденной уязвимости производителям браузеров. Ждем исправления.

— Рита, ваш исследовательский отдел вполне оправдывает вложенные деньги! Вы меня порадовали. Спасибо!

Увы, такая атака не фантастика. Сегодня метод работает в актуальных версиях Chrome, Firefox и Opera. Проблеме не подвержены Edge, IE, Safari, Vivaldi и Brave. Патч для Chrome разрабатывается.


Сказки о безопасности: Фотографии-шпионы

20/04/2017

Утро выдалось солнечным. Казалось и не было вчерашней бури. Умытое небо сияло синевой. Ранним утром в парке практически не было людей. Только изредка можно было встретить владельцев собак со своими питомцами.

В тишине было легко и приятно обдумывать планы на день. Перед Иоганном стояла сложная задача. Нужно было подсунуть шпионское ПО для отслеживания координат на сматфон наркодилера. Но проблема была в том, что ни номера телефона, ни фамилии наркодилера не было. Все свои сделки он осуществлял исключительно через Интернет. И платили ему также, на электронный кошелек. Единственное что знали полицейские — его ник в социальной сети.

Приехав на работу, Иоганн позвал к себе Риту, руководителя исследовательского подразделения.

— Рита, доброе утро! Кофе будешь?

— Конечно! Вы знаете, как подкупить молодую женщину. Кофе с печеньем, пожалуйста!

— Знаю, с миндальным. И все же, увы, о работе. Нам предстоит заразить трояном смартфон наркодилера, чтобы выяснить его координаты и типовые маршруты. Увы, у нас нет ни имени, ни номера телефона. Только его ник в социальной сети.

— Мы уже проанализировали его круг интересов?

— Да, конечно. Он обожает знакомиться с молодыми девушками и просит их присылать ему фотографии.

— Отлично! Дальше можете не продолжать. Я пойду составлять план операции. Думаю, что максимум завтра мы сможем это выполнить.

— Но как?

— Я воспользуюсь одним из наших ботов, созданных именно для этой цели. Используем маркетинговую технику, известную как «пикселы отслеживания» (или скрытый пиксел) для сбора информации.

— А можно подробнее?

— Как вы знаете, скрытый пиксел представляет собой прозрачную картинку размером 1×1 с фрагментом кода Java Script, который ведет отслеживание. Он может быть внедрен не только в HTML5-банеры, но и на веб-страницы или в электронные письма.

— И что нам это даст?

— После того как жертва получит электронное письмо, содержащее скрытый пиксел, с сервера отправителя загрузится пиксел-трекер. Таким образом, мы узнаем, что пользователь открыл одно из отправленных сообщений. Трекеры собирают и загружают на сервер различную информацию о пользователе, включая данные об адресе электронной почты, IP-адресе, имени хоста, установленной операционной системе, куки, почтовом клиенте, дате и времени, когда письмо было открыто, и прочие сведения.

— Рита, приступайте, нам нужно максимум сведений об этом человеке. А если получится взять его с поличным, я гарантирую вам как минимум благодарность департамента полиции.

А вы всегда открываете письма из неизвестных источников?

http://www.pcweek.ru/themes/detail.php?ID=194753


Сказки о безопасности: Тотализатор

19/04/2017

Еще вчера казалось в город окончательно пришла весна. Медленно отцветающие абрикосы сменились буйно цветущими вишнями. Однако, увы, это было вчера. А сегодня на город надвинулся ураган. Бурные струи дождя хлестали по окнам, выдувая остатки тепла. Такое впечатление что в город вернулась заблудившаяся осень. Одинокие прохожие передвигались перебежками от одного укрытия к другому. Ни один зонт не спасает в такую погоду, они просто летят вслед за ветром.

Глядя за окно понимаешь, что нет, не хочется идти на работу. Но придется. Иоганн понял, что идти пешком, даже ради утренней прогулки он просто не может себя заставить и потому попросил дежурного по департаменту прислать дежурную машину. Обычно он старался этого не делать, но в такую погоду уж точно можно.

Через пятнадцать минут, вешая промокший плащ в шкаф, он попросил Мари:

— Мари, милая, будьте добры, приготовьте мне большую чашку черного чаю с сахаром.

— Не кофе, шеф?

— Нет! В такую погоду нужно пить чай. Черный с сахаром и коньяком.

— С коньяком, шеф? Вы уверены?

— Да. И тебе предлагаю сделать то же самое. Ведь ты замерзла и промокла, верно?

— Да.

Зайдя в кабинет, Мари увидела, как Иоганн достал из шкафчика заветную бутылку коньяка, который он открывал только в особых случаях и долил в чашку пару чайных ложек коньяка. То же самое он сделал и для Мари.

— А вот теперь можно спокойно попить чаю. Попробуй, запаха спиртного ты не почувствуешь, впрочем, как его не почувствует никто иной. Зато мгновенно согреешься. Попробуй!

— Ой, шеф, вы чай пьете? – в кабинетную дверь заглянула мокрая голова Майкла.

— А ты тоже хочешь?

— Ха, ну конечно. Вашего со знаменитым коньяком!

— Закрывай дверь, а то тут скоро будет конференц-зал, а не кабинет! Вон уже Мишель бежит! Мишель, заходи, ты же к нам на чай?

— Ну конечно! Да вот у меня не только чай, но и новости!

— Рассказывай! Только чай бери! С печеньем! Что там у тебя нового?

— Я вам рассказывала, что мой папа обожает футбол. Причем скрываясь от мамы, он делает ставки на игры. Не большие. Правда мама об этом знает, но виу не подает, говорит, что у папы должны быть свои небольшие секреты.

— И что?

— Он нашел в интернете специальный сайт, на котором предлагают приобрести «достоверные и проверенные сведения об исходе спортивных состязаний». Впоследствии с помощью этой информации можно делать якобы гарантированно выигрышные ставки в букмекерских конторах. Создатели таких сайтов представляются отставными тренерами или спортивными аналитиками. На самом деле часть клиентов подобных сервисов получает один спортивный прогноз, другая часть — прямо противоположный. Если кто-то из пострадавших и возмутится, жулики предложат ему получить следующий прогноз бесплатно в качестве компенсации за проигрыш.

— Да, я помню, мы писали о таком.

— Так вот, мошенники внесли в эту схему некоторые изменения. Ему для подтверждения качества своих услуг предложили скачать самораспаковывающийся архив, якобы содержащий текстовый файл с результатами того или иного матча. Пароль для архива жулики высылают после завершения состязания. Предполагается, что таким образом пользователь сможет сравнить предсказанный результат с реальным.

— А что посылают на самом деле?

— На самом деле отправляют потенциальной жертве написанную ими программу, полностью имитирующую интерфейс и поведение самораспаковывающегося архива. Она не только внешне практически неотличима от обычного архива, но и схожим образом реагирует на попытку ввести неправильный пароль и на другие действия пользователя. Этот поддельный «архив» содержит шаблон текстового файла, в который с помощью специального алгоритма подставляются нужные результаты матча в зависимости от того, какой пароль введет пользователь. Таким образом, после окончания спортивного соревнования жуликам достаточно отправить своей жертве соответствующий пароль, и из «архива» будет «извлечен» текстовый файл с правильным результатом (на самом деле он будет сгенерирован троянцем на основе шаблона).

— Да-а-а. Неужели ваш отец не понимает, что всевозможные предсказания исхода спортивных состязаний — это мошенничество, жертвой которого может стать любой пользователь. Не стоит доверять сайтам, предлагающим разбогатеть благодаря ставкам на тотализаторе с использованием какой-либо инсайдерской информации, даже если обещания жуликов выглядят очень убедительными.

— Мой-то как раз понимает. Не зря первое что он сделал – передал письмо мне. И сказал, что лучше на деньги, которые у него просят, он купит нам с мамой пирожные.

А вы понимаете, что бесплатным не бывает ничего? Нельзя выиграть на инсайдерской информации. Вы заплатите, но выиграете ли? Ой не знаю. Мошенники выиграют точно, а вот вы…

https://www.pcweek.ru/security/article/detail.php?ID=194706