Hlavní navigace

Postřehy z bezpečnosti: návnada na uživatele zjišťuje informace o e-mailu

15. 11. 2021
Doba čtení: 5 minut

Sdílet

 Autor: Depositphotos
V aktuálním díle Postřehů se podíváme na útoky typu e-mail Bait, na novou úroveň smishingu, na podvody využívající QR kódy a bankomaty s kryptoměnou, na nové zranitelnosti a několik dalších zajímavostí.

Získání informací pomocí e-mailu

Útoky typu e-mail Bait, slouží k získávání informací, které jsou dále použity k phishingovým, nebo cíleným útokům. E-mail tohoto typu neobsahuje odkazy, ani přílohy se škodlivým obsahem, ale jen nějakou jednoduchou otázku a mnohdy je úplně prázdný. K čemu tedy slouží?

  • k ověření, že je cílová adresa správná,
  • k ověření, že je adresa aktivně využívána,
  • k ověření „citlivosti" cíle k nevyžádaným e-mailům,
  • k testování efektivnosti antispamového řešení.

Podle aktuálního výzkumu firmy Barracuda pochází 91 % těchto e-mailů z čerstvě vytvořených gmailových účtů. Pravděpodobně je to proto, že platforma Gmail je považována za důvěryhodnou s dobrou pověstí, umožňuje snadné vytvoření účtu, který lze považovat za pseudoanonymní a podporuje funkcionalitu „read receipt", která útočníkovi umožňuje zjistit, že adresát otevřel e-mail, aniž by na něj odpověděl. Výzkum ukazuje, že 48 hodin po odpovědi na takový e-mail došlo k cílenému phishingovému útoku.

Jak se bránit?

  • Implementací dokonalejších detekčních mechanismů.
  • Tréninkem uživatelů v rozpoznávání útoků tohoto typu.
  • Pokud je bait útok detekován, je vhodné inkriminované zprávy smazat z poštovních schránek dříve, než jsou uživatelem otevřeny.

Smishing o úroveň výš

Byla zaznamenána další úroveň smishingu, tedy falešného posílání textových zpráv za účelem vylákání osobních údajů. Čeští telefonisté jsou žel již dobře obeznámeni s falešnými odkazy na spediční služby. KrebsOnSecurity popisuje, jaký další trik mohou útočníci přidat, aby působili věrohodněji.

Na telefonní číslo oběti nepřijde v textové zprávě žádný odkaz, pouze upozornění na smyšlený podvod – platili jste tu a tu částku? Možné odpovědi byly ano, ne a odhlásit. Jakmile oběť odpověděla, že danou částku platit nechtěla a že se mohlo jednat o podvod, útočníci jí ihned zavolali a vydávali se za banku. Zlaté pravidlo? Nejsi-li si jist, zavěs, ověř, zavolej zpátky. Když totiž oběť zavolá zpět do své banky, ihned se ukáže, že k žádnému podvodu nedošlo, ale dojít mohlo.

Blogpost popisuje i příběh člověka, který chtěl útočníky přechytračit. Hovor s nimi pozdržel, zavolal do své banky a ptal se, zda-li s ním někdo v bance právě telefonuje. Banka překvapivě potvrdila, že ano! Jak je to možné? Útočníci byli o krok napřed a zatímco volali své oběti, současně jako za ni volali i do banky.

FBI varuje před podvody QR kódy a bankomaty s kryptoměnou

FBI vydala varování před podvodnými schématy využívajícími bankomaty s kryptoměnami a QR kódy. Podvodná schémata se klasicky týkají vydávání se za známou entitu (vládu, OČTŘ, právnickou kancelář) nebo se jedná o „romance scam” a různé „výhry”. Ve všech případech pak podvodník dá uživateli QR kód s kryptoměnovou peněženkou a instruuje ji k provedení převodu ve fyzickém bankomatu, kde oběť vloží peníze a takto získanou kryptoměnu s pomocí QR kódu rovnou převede podvodníkovi. Podle FBI je v těchto případech mnohem těžší získat peníze zpět, protože kryptoměna je převedena okamžitě a útočník ji okamžitě převádí dál.

Zranitelnost GlobalProtect VPN

Společnost Palo Alto Networks varuje před novou „zero-day” zranitelností objevující se u produktu GlobalProtect VPN. Verze PAN-OS 8.1 a nižší, může útočníkovi umožnit spuštění libovolného kódu s oprávěním roota. Zranitelnost s označením CVE-2021–3064 a se skórem 9,8, byla odhalena společností Randori, která se zabývá kybernetickou bezpečností.

Chyba zabezpečení byla způsobena špatnou konfigurací ve vyrovnávací paměti, ke které mohlo docházet při analýze uživatelem zadaného řetězce. Doporučujeme všem uživatelům provést aktualizaci na nejnovější verzi.

Zranitelnosti BusyBoxu

Celkem 14 zranitelností nástroje BusyBox odhalili pracovníci firem JFrog a Claroty. BusyBox je nástroj, který sdružuje řadu obvyklých unixových utilit (ls, cp, grep, ..) do jednoho spustitelného souboru. Je velmi často využíván v embedded systémech, kde pomáhá šetřit zdroje.

Zranitelnosti dostaly za sebou jdoucí označení od CVE-2021–42373 až do CVE-2021–42386 a týkají se verzí BusyBoxu 1.16 až 1.33.1. Oprava všech zranitelností je dostupná v BusyBoxu verze 1.34.0. Zranitelnosti mohou vést k denial-of-service (DoS), úniku informací nebo i ke spuštění kódu. 

Upozornění na zranitelnost MS Exchange Server a MS Excel

NÚKIB na svých stránkách dne 10. listopadu upozornil na více zranitelností, které se týkají produktů společnosti Microsoft, konkrétně MS Exchange Server a MS Excel. Jedná se o zranitelnosti s tímto označením:

  • Microsoft Exchange Server (CVE-2021–42321) a Microsoft Excel (CVE-2021–42292)
  • Microsoft Office 2013, 2016, 2019, LTSC, Microsoft 365 (CVE-2021–42292)
  • Exchange Server 2016 a 2019 (CVE-2021–42321)

NÚKIB všem provozovatelům doporučuje bezodkladnou instalaci bezpečnostních aktualizací. Na prioritní aktualizaci je apelováno zejména v případě, pokud server dosud nebyl aktualizován na poslední kumulativní update opravující i předchozí zranitelnosti (tzv. Proxyshell), které jsou taktéž stále aktivně zneužívané.

Kybernetické incidenty pohledem NÚKIB: říjen 2021

Říjen se co do počtu incidentů stal druhým nejrušnějším měsícem tohoto roku. NÚKIB evidoval 14 kybernetických incidentů. Většina z nich nicméně neměla vážné následky a podařilo se je rychle vyřešit. Podobně jako v předchozích měsících se v hlášeních objevovaly DDoS útoky, phishingové kampaně nebo škodlivé kódy v sítích českých organizací. Mezi incidenty byl také jeden ransomware, který zašifroval část infrastruktury oběti a následně na svých stránkách vyhrožoval zveřejněním jejích dat. Více informací si můžete přečíst v podrobné zprávě [PDF].

Skončí podpora OneDrive na Windows 7 a 8

Příští rok v březnu Microsoft přestane podporovat aplikace OneDrive na starších verzích Windows. Microsoft chce přimět uživatele starších verzí Windows k přechodu na ty novější prostřednictvím cloudového úložiště OneDrive. K 1. březnu 2022 ukončí podporu desktopové aplikace OneDrive pro operační systémy Windows 7, Windows 8 a Windows 8.1.

Pokud si uživatelé budou chtít přístup ke svým zálohovaným datům uchovat, stejně jako synchronizační funkce aplikace, budou muset přejít na Windows 10 nebo Windows 11. Nepoužitelným se ale OneDrive na starších Windows nestane: Data nikam nezmizí a platforma OneDrive bude i nadále přístupná přes účet Microsoft v online prostředí.

Shadow IT

S tímto typem phishingu jste se ještě nemuseli setkat. Vyvstává z potřeby využít specifický software, v našem případě pro sdílení souborů, který ve firmě nemáte k dispozici. Váš zaměstnanec, než aby se pídil po IT oddělení, zda je nějaký oficiální způsob, jak si přesdílet soubory přes cloud, hodí věc za hlavu a použije některý z volně dostupných nástrojů a cloudů.

Když si zvykne, možná mu pak nepřijde divné, když mu falešný kontakt pošle odkaz na cloudovou platformu na podezřelé doméně, kterou nezná. Všechny pokusy o stažení nastrčených souborů končí formulářem, kam oběť zadá uživatelské jméno a heslo. Heslo musí mít alespoň pět znaků, útočníci chtějí opravdová hesla, nejen krátký překlep.

root_podpora

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.