Hlavní navigace

Postřehy z bezpečnosti: Bitcoin na falešných investičních webech

22. 2. 2021
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
Pravidelný pondělní přehled novinek z oblasti informační bezpečnosti. Podíváme se na zranitelnost Telegramu, e-mailu, mobilu a platebních automatů. Nové podvodníky láká také stále rostoucí bitcoin.

Pozor na falešné weby s kryptoměnou

Od poloviny prosince výrazně stoupá hodnota bitcoinu na burze. Na vývoj cen reagují i útočníci a přibývá podvodných stránek, které lákají důvěřivé uživatele na investice. Aktuálně už přesáhla padesát tisíc dolarů za bitcoin.

„Kampaně cílené na kryptoměny reagují na vývoj cen na burze s přibližně měsíčním zpožděním. Podobný vývoj jsme predikovali již v lednu,“ popisuje Robert Šuman, vedoucí pražského výzkumného oddělení společnosti Eset.

Uživatelé se mohou setkat s e-maily nebo reklamami na Internetu, které lákají na výhodné zhodnocení investic do bitcoinu. Podvodné stránky se vyskytují ve více než 20 jazykových mutacích, včetně češtiny. Jsou přeložené velice kvalitně a působí poměrně důvěryhodným dojmem.

Smishing v Německu

Během lockdownu jsme si zvykli, že významná část zboží do domácnosti dorazí přes doručovací služby, což nemohlo zůstat nepovšimnuto kriminálníky. Ti se přizpůsobují – němečtí sousedé v Deutsche Telekom zaznamenávají nárůst tzv. smishingu (phishing přes SMS zprávy). Je zřejmě jen otázkou času, kdy se podobný vektor útoku začne výrazněji rozmáhat u nás.

Ve zprávě stojí například: „Zásilka byla odeslána. Prosím, zkontrolujte a potvrďte zaslané položky." Přiložený odkaz potom vede na stránku, kde se zobrazí velký nápis: „Nová verze aplikace Google Chrome je k dispozici" a stáhne se .apk soubor. Jakmile uživatel instalaci potvrdí, prohrál.

Dvě třetiny e-mailů obsahují tzv. sledovací pixely

Použití neviditelných sledovacích technologií v elektronické poště je na vzestupu. Informuje o tom BBC, která si na toto téma vyžádala analýzu od společnosti Basecamp, která loni spustila e-mailovou službu Hey. Ukázalo se, že dvě třetiny e-mailů obsahují sledovací neboli tracking pixel, před kterými uživatele neubrání ani antispamová ochrana.

Dle autorů analýzy technologii užívá řada velkých firem, nikoliv však ty z kategorie „big tech“. Její obhájci tvrdí, že jde o běžný marketingový nástroj, a několik společností, které s ním pracují, zmiňuje, že o tom informují ve svých podmínkách ochrany osobních údajů.

Zranitelnosti v Telegramu

Ve verzích aplikace Telegram pro iOS, Android a macOS byly nalezeny zranitelnosti, jejichž zneužití umožňovalo potenciálnímu útočníkovi dostat se k obsahu klasických i skrytých chatů. Stačilo poslat speciálně upravený „sticker” a útočník získal přístup ke zprávám fotkám i videím v aplikaci Telegram. Zranitelnost byla opravena již v září a říjnu minulého roku, ale se zveřejněním se čekalo, aby mělo opravené verze co nejvíce uživatelů.

Jen týden předtím pak byla objevena chyba, která se týkala pouze uživatelů aplikace Telegram na platformě macOS. Ta spočívala v tom, že umožňovala dostat se k audio a video zprávám s nastavenou autodestrukcí i dlouho poté, co tyto zprávy zmizely z tajného chatu.

Bluetooth skimmer blokující bezdrátovou komunikaci

Brian Krebs popisuje na svém webu skimmer, který byl objeven na platebních automatech v několika obchodech v USA. Celé zařízení vlastně překryje původní klávesnici a PIN je následně s dalšími informacemi o platební kartě přenesen pomocí bluetooth. Kromě toho skimmer blokuje komunikaci mezi platebním terminálem a čipem na kartě, aby tak donutil uživatele načíst magnetický proužek, jehož napodobení je pro zločince jednodušší.


Několik zranitelností v aplikaci SHAREit

SHAREit – populární aplikace s více než jednou miliardou stažení obsahovala několik zranitelností, které mohly útočníkům dovolit získat osobní data uživatelů, spustit libovolný kód, a to i vzdáleně. Na zranitelnosti upozornila společnost Trend Micro, která se zabývá analýzou androidích aplikací na sdílení a přeposílání souborů mezi zařízeními. 

Společnost se rozhodla zveřejnit nahlášené zranitelnosti až tři měsíce poté, co chybu nahlásila vývojářům. Jeden z nedostatků vyplývá ze způsobu, jakým aplikace usnadňuje sdílení souborů (prostřednictvím Androidu FileProvider), což potenciálně umožňuje jakékoliv třetí straně získat dočasná přístupová oprávnění pro čtení a zápis a využít je k přepsání existujících souborů ve složce aplikace.

Trojský kůň MassLogger se zdokonaluje

MassLogger je zákeřný kód, vytvořený v .NET, který je zaměřen na krádeže autentizačních údajů z prohlížečů a také několika často používaných e-mailových klientech. Kód byl dán v rámci černého trhu do oběhu v dubnu 2020 za cenu ve střední cenové hladině. Je navržen tak, aby pracoval pouze v operační paměti a získaná data odesílal pomocí protokolů FTP, HTTP a SMTP. Aktuální zdokonalení spočívá v tom, že se zákeřná příloha e-mailu, pomocí které se malware šíří, tváří jako kompilovaná HTML (.chm) příloha.

UX DAy - tip 2

Příloha je rozesílána v RAR archivu rozděleném na více dílů, počínaje koncovkou .r00. Evidentně se jedná o snahu obejít „hloupější“ antiviry. Sám archiv obsahuje jediný soubor s koncovkou .chm (compiled HTML files). Tento formát je implicitně používán v případě Windows help souborů. Příloha obsahuje lehce kódovaný JavaScript, který generuje HTML stránku, jež dále obsahuje ActiveX objekt s opět lehce kódovaným PowerShell downloaderem. Ten již do paměti napadeného počítače instaluje samotného trojského koně. Analýzu provedla skupina Talos a v jejím blogu lze nalézt podrobný popis způsobu šíření kódu.

Ve zkratce

Pro pobavení


O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.