Nowe zagrożenia i oszustwa internetowe – podsumowanie miesiąca

Najkrótszy miesiąc w roku za nami – jednak to, że był najkrótszy, wcale nie oznacza, że dostarczył najmniej cyber-wrażeń. Przed Tobą kolejna porcja wieści ze świata internetowych zagrożeń.

#1 Producent gier zhakowany

Całe wydarzenie miało miejsce w grudniu ubiegłego roku, jednak dopiero teraz ujrzało światło dzienne. Pracownik firmy Activision padł ofiarą hakerskiej gry psychologicznej. Mimo, że firma zabezpieczyła się uwierzytelnianiem dwuskładnikowym, niczego nieświadomy pracownik przesłał uwierzytelniający kod SMS hakerowi podającemu się za firmowy system komunikacji. 

Tyle wystarczyło, by dostał się do Slacka, który przepełniony był poufnymi informacjami. Haker wykradł też nowinki związane z nadchodzącą premierą najnowszej wersji gry Call of Duty. Po wycieku tych wieści w internecie, Activision oświadczyła, że atak nie spowodował ujawnienia żadnych danych wrażliwych klientów ani kodów źródłowych znanych i lubianych gier. 

Phishing to podstępna forma działania. Okazało się jednak, że nie wszyscy pracownicy tej firmy dali się tak podejść (co wskazuje na próbę pozyskania kodu SMS od większej ilości osób):

/Źródło: niebezpiecznik.pl

#2 Jak ukraść auto za pomocą kabla USB?

TikTok stał się prawdziwą kopalnią wiedzy dla złodziei. Kia i Hyundai mają z tego powodu nie lada kłopoty – w trybie pilnym wprowadzają awaryjną aktualizację oprogramowania kilku modeli wyprodukowanych w latach 2010-2021 (4,5 mln egzemplarzy) przez Kia i 2015-2021 (3,8 mln sztuk) przez Hyundaia.

Metoda kradzieży omówiona na wspomnianej platformie stała się viralem, a niedługo potem zyskała miano challengu – ukradziono w ten sposób tysiące aut, a 14 kradzieży skończyło się tragicznymi wypadkami, w których śmierć poniosło aż 8 osób. Filmy pokazywały w jaki sposób zdjąć osłonę kolumny kierownicy, aby odsłonić gniazdo USB-A, którego można użyć do zapalenia samochodu (z pominięciem immobilizera). Przypadek dotyczy rynku amerykańskiego, jednak… warto mieć się na baczności. 

#3 Dzień dobry, tu Policja!

W lutym wielu Polaków mógł zaskoczyć e-mail od… policji. A w nim informacje o możliwej sprawie sądowej w razie braku kontaktu – bo sama wiadomość dotyczyła wezwania na przesłuchanie. Oczywiście kontakt kierował na różne adresy mailowe, zupełnie niezwiązane z urzędowymi, policyjnymi adresami. 

Fakt, maile raczej nie budziły zaufania przez łamaną polszczyznę, jednak logotypy i nazwiska znanych z tv policjantów mogły zmylić wiele osób. Szczególnie, że kontakt z organami ścigania zwykle wyłącza racjonalne myślenie – nawet, gdy w rzeczywistości nic nie przeskrobaliśmy. Tego rodzaju scam to częsta praktyka wśród cyberprzestępców, dlatego zawsze czytaj takie maile zachowując zimną krew – w ten sposób uchronisz się przed poważnymi konsekwencjami. 

#4 Poważne zagrożenie w Joomla!

W połowie lutego okazało się, że serwisy postawione na jakiejkolwiek wersji Joomla! (od 4.0.0 do 4.2.7) podatne są na włamania do API. Można dostać się do nich bez jakiegokolwiek uwierzytelnienia i wyciągnąć np. login i hasło do bazy danych. 

W sieci pojawiły się exploity, które pokazywały w jaki sposób wyświetlić parametry konfiguracyjne za pomocą prostego żądania z przeglądarki. Całe szczęście łatkę przygotowano już dla wersji Joomla! 4.2.8 – więc korzystającym z Joomli nie pozostało nic innego, jak aktualizacja.

#5 Twitter wyłącza dwustopniowe uwierzytelnienie?

Internet wzburzyła wieść o wyłączeniu przez Twittera kodów 2FA wysyłanych SMS-owo wszystkim, którzy nie subskrybują Twitter Blue. Komunikat okazał się o tyle niefortunny, że większość użytkowników uznała, że portal całkowicie rezygnuje z uwierzytelniania dwuskładnikowego dla darmowych kont. Jednak nic bardziej mylnego.

Możesz stracić dostęp do platformy, jeśli nie zmienisz ustawień uwierzytelniania dwuskładnikowego z kodu SMS na inne lub zwyczajnie nie wykupisz subskrypcji, która umożliwia pozostawienie tego rodzaju zabezpieczenia (wyznaczona data do podjęcia działań to 19 marca 2023 r.). 

Z tego wynika, że wystarczy zrobić tylko jedną rzecz, aby nadal mieć darmowy dostęp do Twittera – zmienić 2FA na klucz U2F (czyli zakupiony przez Ciebie fizyczny token – jego zdecydowanym plusem jest odporność na ataki phishingowe) lub pobrać na smartfona aplikację generującą kody uwierzytelniające np. (Google Authenticator). 

Co Twitter zrobi z nieposłusznymi użytkownikami? No tego jeszcze nie wiadomo, jednak pod uwagę brać trzeba dwie opcje – albo stracą swoje konta (zostaną usunięte lub zablokowane do momentu zmiany), albo uwierzytelnianie za pomocą kodów SMS zostanie im zwyczajnie wyłączone. 

Pozostało jeszcze jedno pytanie: skąd taki pomysł? Nie, to nie jest zwykła fanaberia. Twitter traci ponad 60 milionów dolarów rocznie na nieuczciwe praktyki operatorów telekomunikacyjnych (i tych realnych i tych wirtualnych, których łącznie uzbierało się już 390). Co to za praktyki? Otóż operatorzy zakładają darmowe konta z uwierzytelnianiem 2FA za pomocą kodów SMS i wymuszają ich wysyłkę (czyli ciągle ponawiają proces logowania i wylogowania, aby “nabić” jak największą liczbę wysłanych SMSów). Bo to nie jest tak, że Twitter zarabia na tych SMSach – wręcz przeciwnie. Płaci temu operatorowi, na którego numery wysyłane są SMSy. Sprytne, prawda? 

#6 Uwaga na kuszące propozycje z… LinkedIn

Pojawia się coraz więcej sygnałów od użytkowników LinkedIna, na temat propozycji współpracy wysyłanej w prywatnych wiadomościach. Szczególnym celem są marketerzy. Wiadomość w języku angielskim, zwykle od wysoko postawionego managera globalnej firmy. Profil – mimo niewielkiej aktywności – wygląda wiarygodnie. 

Sama wiadomość dotyczy konsultacji kampanii reklamowych na Facebooku – manager opisuje, że współpracował już z kilkoma osobami, ale bez oczekiwanych efektów. Pierwsza lampka zapala się przy miesięcznym budżecie reklamowym jaki podaje: 100.000-150.000 dolarów amerykańskich. Następnie podsyła linki do stron swojej firmy w sieci i mediach społecznościowych z kolejnymi wyjaśnieniami co do ewentualnej współpracy (to serio wygląda bardzo wiarygodnie). 

Punktem kulminacyjnym jest przesłanie spakowanego pliku z informacjami o kampaniach za pośrednictwem linka z iCloud. Niby nic takiego, ale po pobraniu i rozpakowaniu paczki okazuje się, że poza zdjęciami produktowymi, znajdują się tam pliki video, ale z rozszerzeniem .exe – co wskazuje na program a nie film. I rzeczywiście – skan antywirusem wykrył trojana. Tylko wyobraźcie sobie co może się stać, gdy taką grą psychologiczną udałoby się zwieść np. programistę jakiegoś banku…

Do zapamiętania

Jedno słowo przewija się w tym podsumowaniu bardzo mocno: phishing. Tego typu oszustwa znane są od bardzo dawna, mówi się o nich wszędzie, a mimo wszystko nadal to bardzo popularne i bardzo skuteczne działanie cyberprzestępców. Nie ma znaczenia, czy pracujesz w firmie związanej z IT, czy komputer to dla Ciebie forma spędzania wolnego czasu. Na wyłudzenie danych musi uważać każdy. I będziemy chyba o tym przypominać bez końca :) Czy można ustrzec się przed phishingiem? Można. A do tego zdecydowanie przyda się antyphishing.