Hlavní navigace

Postřehy z bezpečnosti: zaměstnanec jako nechtěný komplic phishingových útoků

CSIRT.CZ

V dnešním díle Postřehů se podíváme na phishingové útoky, malware schopný krást 2FA kódy, zranitelný OpenSMTPD, zranitelnosti Zyxel zařízení a v neposlední řadě na nelehký úděl maminek penetračních testerů.

Doba čtení: 4 minuty

Sdílet

Cílený phishing

Phishingové útoky patří k velmi oblíbeným praktikám podvodníků. Za poslední dobu můžeme pozorovat nejen zvýšenou aktivitu, ale také sofistikovanější podvodné praktiky. Podle „Anti-Phishing Working Group“ bylo identifikováno přes 266 000 aktivních podvodných webů. Ačkoliv se stále zlepšují bezpečnostní programy, stále se zde vyskytuje riziko selhání lidského faktoru.

V roce 2019 se až 33 % případů úniku dat stalo v důsledku sociálního inženýrství. Hackeři navíc stále vylepšují své pokusy, takže kromě klasického phishingového útoku se můžeme setkat s takzvaným „spear phishingem“, který cílí na konkrétní skupinu, což útočníkům umožňuje například vystupovat pod jménem manažera dané firmy. Podle zprávy společnosti Symantec 66 % zaměstnanců otevřelo přílohu obsahující malware či rozkliklo podvodný odkaz, který je přesměroval na falešné webové stránky.

Organizace intenzivně investují do podnikových bezpečnostních řešení, aby zabezpečily každý možný vektor útoku, jako jsou zabezpečení koncových stanic, brány firewallu a filtry proti spamu. Ale i přes velké investice je stále mnoho firem zranitelných právě kvůli riziku lidské chyby. Podle společnosti Kaspersky je nedbalost zaměstnanců druhou nejčastější příčinou úniku dat. Někteří zaměstnanci například nepřikládají důležitost aktualizacím a nechávají své pracovní počítače neaktualizované.

Velké množství bezpečnostních nástrojů ve firmách může u zaměstnanců vytvořit falešný pocit bezpečí, a tak můžou ztrácet ostražitost. Proto je důležité pravidelně školit své zaměstnance v oblasti bezpečnosti. Jednou z možností můžou být školení pomocí simulovaných phishingových útoků.

Své o tom ví i hvězda investičního pořadu Shark Tank, Barbara Corcoranová. Její účetní dorazila předminulý pátek výzva k platbě, která se tvářila jako přímý pokyn od Barbařina výkonného asistenta. Přestože požadovaná částka na renovaci nemovitosti se dotýkala čtyř set tisíc dolarů, nebylo na samotné transakci nic podezřelého, neboť Barbařina firma často investuje do realit. Účetní byla navíc bdělá a vyžádala si doplňující informace, ale přehlédla změnu jediného písmenka v e-mailové adrese, a tak místo asistentovi odepsala zpátky zločincům. Ti ji ubezpečili, že je vše v pořádku a peníze změnily majitele.

Malware schopný krást 2FA kódy z Google Authenticator

Společnost ThreatFabric upozornila tento týden na malware pro Android, který může extrahovat a krást jednorázové přístupové kódy (OTP) generované prostřednictvím Google Authenticator – mobilní aplikace, která se používá pro dvoufaktorovou autentizaci (2FA) u mnoha online služeb.

Google Authenticator slouží jako alternativa k jednorázovým přístupovým kódům založeným na SMS. Kódy jsou generovány na chytrém telefonu uživatele, nejsou přenášeny přes nezabezpečené mobilní sítě, a proto jsou považovány za bezpečnější než SMS kódy. Ve vzorcích bankovního trojského koně Cerberus, který byl uveden na trh v červnu 2019, byla nyní odhalena schopnost ukrást OTP.

Při spuštění aplikace může trojan získat obsah a odeslat jej na server. ThreadFabric zdůrazňuje, že současná verze tohoto trojského koně je velmi pokročilá, přestože se stále vyvíjí a testuje. Mezi další schopnosti tohoto malwaru patří schopnost pořizovat snímky obrazovky, nahrávat audio, odesílat, přijímat a mazat SMS, krást kontakt listy, přesměrovat zvonění a řada dalších.

Zranitelný OpenSMTPD

OpenSMTPD obsahuje kritickou zranitelnost, která by mohla vzdáleným útočníkům umožnit převzít úplnou kontrolu nad e-mailovými servery s operačními systémy BSD nebo Linux. OpenSMTPD je open-source implementace protokolu SMTP, který doručuje zprávy na místním počítači nebo je odesílá na jiné SMTP servery.

Chyba s označením CVE-2020–8794 byla součástí kódu v klientu, který byl představen téměř před pěti lety. Zranitelnost může zneužít jak místní, tak vzdálený útočník a to zasláním dvou speciálních SMTP zpráv. Jedna funguje se základní konfigurací softwaru a druhá funguje v případě, že odesílaný e-mail nemůže být doručen.

Přichází Microsoft Defender na Linuxu

Microsoft oznámil, že v nejbližších dnech zpřístupní veřejnou ukázku antivirového řešení pro Linux jako součást Microsoft Defender Advanced Threat Protection (mdapt) s plnou podporou textového rozhraní. V prvotním vydání se nástroj zaměří na ochranu linuxových serverů a bude podporovat většinu majoritních distribucí.

Microsoft tak reaguje na potřeby zákazníků, kteří provozují heterogenní prostředí a mají zájem o jednotnou bezpečnostní správu zařízení. Pro vyzkoušení bude nutné v Microsoft Defender Security Center povolit preview features. V následujících měsících by pak měla přibýt i ochrana pro koncová zařízení a pracuje se také na ochraně pro mobilní systémy Android a iOS.

Zranitelnost na zařízeních Zyxel

Zranitelnost, která umožňuje vzdálené spuštění kódu, byla nalezena v NAS zařízeních společnosti Zyxel. Po vydání opravy se ovšem přišlo na to, že se tato zranitelnost vztahuje i na další zařízení, jako jsou třeba dedikované firewally. Podle všeho zranitelnost je velmi snadno zneužitelná a má CVSS skóre 10.

Objevují se spekulace o snaze našroubovat Emotet na danou zranitelnost, což by mohlo vést k velice zajímavým výsledkům. Emotet typicky známe z příloh phishingových e-mailů, ale počátkem tohoto měsíce u tohoto malwaru byla objevena schopnost šířit se i pomocí bezdrátových sítí.

Pentesting maminkou

Penetrační tester poslal do nápravného zařízení v Jižní Dakotě místo sebe mámu. Dáma se vydávala za zdravotní inspekci s falešným odznakem a profesní vizitkou za účelem získání přístupu do objektu.

Měla letité zkušenosti v oblasti potravinářství, které zúročila – kontrolovala teplotu ledniček, mrazáků, expiraci jídla či třeba stěr bakterií, fotila si umístění, mimo jiné také stěžejní věci pro fyzické zabezpečení. Při rozhovoru s ředitelem mu podala USB s dokumentem ve Wordu, ve kterém se nacházel vypracovaný hodnotící check-list a mimo jiné také škodlivý kód, umožňující synovi a jeho kolegům přístup do vězeňského systému.

Ve zkratce

Pro pobavení


https://www.facebook.com/trust.itguy

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…