Strona nie została znaleziona – Oficjalny blog Kaspersky https://plblog.kaspersky.com Oficjalny blog Kaspersky to źródło informacji, które pomogą Ci walczyć z wirusami, oprogramowaniem spyware, hakerami, spamem i innymi szkodliwymi programami. Tue, 18 Oct 2022 07:21:57 +0000 pl-PL hourly 1 https://wordpress.org/?v=6.4.3 https://media.kasperskydaily.com/wp-content/uploads/sites/95/2019/06/04144448/cropped-k-favicon-new-32x32.png Strona nie została znaleziona – Oficjalny blog Kaspersky https://plblog.kaspersky.com 32 32 Atak typu „przeglądarka w przeglądarce”: nowa technika phishingu https://plblog.kaspersky.com/browser-in-the-browser-attack/15949/ Tue, 26 Apr 2022 11:47:08 +0000 https://plblog.kaspersky.com/?p=15949

W nieustannym polowaniu na dane uwierzytelniające, tajne klucze i inne cenne informacje cyberprzestępcy wymyślają nowe sposoby oszukiwania użytkowników. Przeważnie są one wymierzone w użytkowników, którzy tracą czujność — i nie ma przy tym znaczenia, jak wyrafinowany jest dany schemat. Jeśli tylko zwrócisz szczególną uwagę na kilka szczegółów — przede wszystkim na adres strony internetowej, na której masz podać swoje dane uwierzytelniające — nie padniesz ofiarą phishingu.

Tak jest prawie zawsze. Ale dzisiaj opowiemy o ataku, który działa inaczej, a adres URL wygląda poprawnie i z punktu widzenia potencjalnej ofiary jest bezpieczny.

Dlaczego w adresach stron wyłudzających informacje występują błędy?

Każdy adres domeny, który widzimy na pasku adresu, jest unikatowy i zawsze przypisany do właściciela. Jeśli ktoś chce stworzyć stronę internetową, musi najpierw skontaktować się ze specjalną organizacją, która rejestruje nazwy domen. Sprawdza ona międzynarodową bazę danych i upewnia się, że adres nie jest już zajęty. Jeśli jest dostępny, zostanie przypisany do wnioskodawcy.

Oznacza to, że nie można zarejestrować fałszywej strony internetowej z tym samym adresem, co prawdziwa strona internetowa. Jednak całkiem możliwe jest utworzenie domeny, która jest bardzo podobna do domeny nabytej przez inną osobę. W tym celu należy wybrać podobną strefę domeny: na przykład Kolumbia (.co) zamiast Kanada (.ca). Tu jednak, jeśli przyjrzysz się uważnie adresowi, łatwo to zauważysz.

Dlatego zamiast rejestrować domeny, ktoś wpadł na pomysł, aby symulować okno przeglądarki z adresem zaufanej witryny.

Na czym polega atak typu „przeglądarka w przeglądarce”?

Ten rodzaj ataku, który stał się znany jako atak „przeglądarka w przeglądarce”, został opisany przez badacza z dziedziny bezpieczeństwa informacji i pentestera przedstawiającego się nickiem mr.d0x. Zauważył on, że nowoczesne sposoby tworzenia stron internetowych (narzędzia HTML, CSS i JavaScript) stały się tak zaawansowane, że mogą wyświetlać na stronie praktycznie wszystko: od pól o dowolnym kolorze lub kształcie po animacje imitujące ruchome elementy interfejsu. Oznacza to, że osoba próbująca wyłudzić informacje może ich użyć do symulacji legalnej strony z innej usługi na swojej własnej stronie.

W eksperymencie mr.d0x przyjrzał się oknom podręcznym służącym do logowania. Pojawiają się one, gdy nie chcesz tworzyć nowego konta i wybierzesz opcję np. „Zaloguj się przez Google” lub „Kontynuuj z Apple”. Jest to wygodne, ponieważ nie trzeba wymyślać i zapamiętywać nowego hasła ani czekać na linki czy kody potwierdzające. Ponadto ta metoda rejestracji jest raczej bezpieczna. Naciśnięcie przycisku „Zaloguj się za pomocą” powoduje otwarcie strony odpowiedniego serwisu, na której należy wprowadzić swoje dane logowania. Strona, do której logujesz się za pomocą tej opcji, nigdy nie otrzyma hasła, nawet tymczasowo.

Prawdziwe okno logowania do innego serwisu

Tak działa też atak typu „przeglądarka w przeglądarce”: cyberprzestępcy rejestrują stronę internetową za pomocą klasycznej techniki phishingu. W tym celu tworzą klon legalnej strony internetowej; alternatywnie mogą wybrać atrakcyjny adres i treści, które zwabią potencjalne ofiary, np. oferty zakupów, oferty pracy lub wiadomości, które użytkownik może chcieć skomentować. Przestępcy tak organizują stronę, że osoby ją odwiedzające muszą się zalogować, jeśli chcą coś kupić, skomentować lub uzyskać dostęp do innych funkcji, które ich interesują. Następnie dodają przyciski, które rzekomo umożliwiają logowanie się za pośrednictwem legalnych serwisów, do których chcą pozyskać hasła.

Jeśli ofiara kliknie taki przycisk, zobaczy znane sobie okno logowania, np. takie jak wyświetlane przez firmę Microsoft, Google czy Apple, z prawidłowym adresem, logo i polami wprowadzania. Mówiąc w skrócie, zawiera ono wszystkie składniki interfejsu, do których użytkownicy internetu są przyzwyczajeni. Okno takie może nawet wyświetlać poprawne adresy, gdy użytkownik umieści kursor myszy na przycisku „Zaloguj się” lub linku „Nie pamiętam hasła”.

W rzeczywistości nie jest to osobne okno — oszustwo jest tak przygotowane, aby pojawiało się bezpośrednio na stronie, która próbuje oszukać użytkownika. Jeśli wprowadzisz w tym oknie swoje dane uwierzytelniające, nie trafią one do firmy Microsoft, Google czy Apple, ale bezpośrednio na serwer należący do cyberprzestępcy. Zobacz, jak to wygląda.

Po czym rozpoznać, że okno logowania jest fałszywe?

Chociaż okno logowania nie wygląda podejrzanie, można zidentyfikować jego prawdziwą naturę.

Prawdziwe okna logowania są oknami przeglądarki: możesz je zmaksymalizować i zminimalizować oraz przenieść w dowolne miejsce na ekranie. Fałszywe okna podręczne są powiązane ze stroną, na której się znajdują. Mogą również swobodnie poruszać się i zakrywać przyciski i obrazy, ale tylko w obrębie okna przeglądarki; nie można ich przesunąć poza jej granice. Ta różnica powinna pomóc ci je rozpoznać.

Aby sprawdzić, czy widoczny na ekranie formularz logowania jest fałszywy:

  • Zminimalizuj okno przeglądarki, które wywołało formularz logowania. Jeśli on również zniknie, oznacza to, że jest fałszywy. Prawdziwe okno powinno pozostać na ekranie.
  • Spróbuj przenieść okno logowania poza granicę okna nadrzędnego. Prawdziwe okno z łatwością umieścisz w innym miejscu, a fałszywe będzie ograniczone do okna przeglądarki.

Jeśli okno z formularzem logowania minimalizuje się z drugim oknem, zatrzymuje się pod paskiem adresu lub znika pod nim — jest fałszywe i nie wolno wprowadzać na nim swoich danych uwierzytelniających.

Czy istnieje łatwiejszy sposób na zapewnienie sobie ochrony?

Atak nie jest tak niebezpieczny, jak może się wydawać. Chociaż człowiekowi może być trudno go wykryć, z pomocą może przyjść komputer. Bez względu na to, co znajduje się w skrypcie niebezpiecznej strony, prawdziwy adres pozostaje taki sam — i to właśnie ma kluczowe znaczenie dla produktu zabezpieczającego.

  • Używaj menedżera haseł dla wszystkich swoich kont. Weryfikuje on adres strony i nigdy nie wprowadzi Twoich danych logowania w polach należących do nieznanej strony internetowej, bez względu na to, że jest ona łudząco podobna do legalnej.
  • Zainstaluj solidne rozwiązanie zabezpieczające z modułem antyphishingowym. Zweryfikuje ono adres URL i natychmiast wyświetli ostrzeżenie, jeśli strona jest niebezpieczna.

I oczywiście pamiętaj o stosowaniu uwierzytelniania dwuskładnikowego. Włącz je wszędzie tam, gdzie masz taką możliwość — także we wszystkich sieciach społecznościowych. Gdy ktoś ukradnie Twoje dane uwierzytelniające, osoba ta nie będzie mogła uzyskać dostępu do Twojego konta bez podania jednorazowego kodu, który zostanie wysłany do Ciebie.

Jeśli chcesz w dodatkowy sposób zabezpieczyć dostęp do swoich cennych kont, skorzystaj z tokenów sprzętowych U2F (najbardziej znany jest YubiKey). System ten sprawdza nie tylko adres strony internetowej, ale także to, czy zna klucz szyfrowania. W rezultacie przejście przez taki system uwierzytelniania, nawet jeśli oryginalna strona i jej kopia wyglądają identycznie, jest niemożliwe.

]]>
full large medium thumbnail
Transparentność w firmie Kaspersky | Oficjalny blog Kaspersky https://plblog.kaspersky.com/transparency-update-2022/15945/ Mon, 25 Apr 2022 13:17:24 +0000 https://plblog.kaspersky.com/?p=15945

W 2017 roku uruchomiliśmy Globalną Inicjatywę Transparentności (GTI). W ramach tego projektu przenieśliśmy część naszej infrastruktury danych do Szwajcarii i otworzyliśmy Centra Transparentności, w których nasi Partnerzy i Klienci mogą przeglądać kod źródłowy naszych produktów; nasze usługi danych i praktyki inżynieryjne zostały ocenione przez niezależne akredytowane organizacje zewnętrzne; a ponadto regularnie ujawniamy informacje dotyczące wniosków, w których agencje rządowe żądają od nas podania danych i wiedzy technicznej (otrzymujemy je w związku z dochodzeniami w sprawie cyberprzestępczości). Dzisiaj opowiemy o nowych krokach podjętych w ramach tej inicjatywy.

Co zostało zrobione w ramach Globalnej Inicjatywy Transparentności?

W ciągu pięciu lat od uruchomienia tego programu otworzyliśmy cztery Centra Transparentności, w których nasi Klienci i Partnerzy mogą przeglądać kod źródłowy naszych produktów, a także aktualizacje oprogramowania, aby upewnić się, że w naszych rozwiązaniach nie ma żadnych ukrytych funkcji ani nieudokumentowanych możliwości. Ponadto udostępniamy również nasze praktyki w zakresie inżynierii i zarządzania danymi na rzecz badań zewnętrznych. Centra Transparentności działają już w Europie, Ameryce Łacińskiej i Azji. Osobom, które nie mogą odwiedzić ich osobiście, zapewniamy wizyty zdalne.

Jako firma z obszaru technologii i cyberbezpieczeństwa przetwarzamy dane, które nasze produkty wykorzystują w celu zwiększenia skuteczności cyberochrony zapewnianej Użytkownikom. Dane te obejmują informacje o cyberzagrożeniach – na przykład podejrzane i szkodliwe pliki, które nasze produkty wysyłają (gdy Użytkownicy wyrażą na to zgodę) do chmury w celu automatycznego przeanalizowania ich. Dzięki temu możemy łatwiej identyfikować nowe i nieznane zagrożenia, stale ulepszać nasze rozwiązania i oferować Użytkownikom lepsze sposoby ochrony.

Od listopada 2018 r. takie związane z cyberzagrożeniami dane pochodzące od naszych Użytkowników w Europie są przechowywane i przetwarzane w naszych centrach danych w Szwajcarii. Niedługo później przenieśliśmy do Szwajcarii przetwarzanie i przechowywanie takich danych związanych z Użytkownikami w Ameryce Północnej, Ameryce Łacińskiej, na Bliskim Wschodzie i w wielu krajach regionu Azji i Pacyfiku.

Otrzymaliśmy również certyfikat zgodności ISO 27001 od niezależnej jednostki certyfikującej TÜV AUSTRIA. Potwierdziło to, że nasza firma posiada skuteczny system zarządzania bezpieczeństwem informacji. Nasi Użytkownicy mogą być pewni, że dane przetwarzane przez Kaspersky są objęte najwyższym poziomem ochrony.

Poza tym uruchomiliśmy szkolenia w ramach programu budowania potencjału cybernetycznego dla firm, organizacji rządowych i środowisk akademickich, aby pomóc im w rozwinięciu umiejętności, których potrzebują do ochrony swoich systemów informatycznych. Niedawno uruchomiliśmy także cyfrową wersję tego szkolenia, do której teraz mają dostęp zarówno organizacje, jak i Użytkownicy indywidualni.

Nowe kroki na rzecz zwiększenia transparentności

Firma Kaspersky wykonała wiele pracy na rzecz większej transparentności i nie planuje na tym poprzestać. Niedawno podjęliśmy nowe kroki w ramach Globalnej Inicjatywy Transparentności (GTI).

Rozbudowa centrum danych w Zurychu

Od początku 2022 roku znacznie zwiększyliśmy pojemność naszych centrów danych w Zurychu, gdzie obecnie przetwarzamy szkodliwe i podejrzane pliki przesyłane przez Użytkowników z Ameryki Łacińskiej i Bliskiego Wschodu. Przenieśliśmy również przetwarzanie i przechowywanie takich danych związanych z cyberzagrożeniami dla krajów Ameryki Północnej, które wcześniej nie były uwzględniane: Meksyku, Panamy, Jamajki i innych krajów wyspiarskich.

Wybraliśmy Szwajcarię , ponieważ w kraju tym obowiązują jedne z najbardziej rygorystycznych przepisów o ochronie danych. W naszych dwóch centrach danych w Zurychu działa światowej klasy sprzęt, który spełnia najwyższe standardy branżowe.

Recertyfikacja ISO 27001

Systemy danych firmy Kaspersky zostały ponownie certyfikowane przez TÜV AUSTRIA zgodnie z wymogami normy ISO 27001. I nie chodzi tylko o odnowienie certyfikatu; tym razem zakres audytu został znacznie rozszerzony. Obecnie wspomniana certyfikacja obejmuje zarówno systemy danych do przetwarzania danych związanych z cyberzagrożeniami (Kaspersky Distributed File System, KLDFS), jak i statystyki (baza danych KSNBuffer).

TÜV AUSTRIA jest niezależną jednostką certyfikującą. Jesteśmy dumni, że podejście firmy Kaspersky do bezpieczeństwa danych po raz kolejny zostało docenione.

Przetwarzanie wniosków od rządu i organów ścigania

To wszystko potwierdza, że dane Użytkowników są bezpieczne. Jeśli chodzi o żądania ujawnienia informacji, z którymi zwracają się do nas organy ścigania, regularnie informujemy i swoim podejściu w tej materii, a od zeszłego roku zestawiamy je w raportach. Niedawno opublikowaliśmy raport za drugą połowę 2021 r. Oto kilka najważniejszych informacji:

  • Nasi eksperci otrzymali 109 wniosków od rządu i organów ścigania z 12 krajów.
  • 92 wnioski dotyczyły wiedzy technicznej, a 17 zawierało wniosek o dostęp do danych Użytkowników.
  • Wszystkie 17 wniosków o przekazanie danych Użytkownika zostało odrzuconych. Niektóre z nich nie spełniały wymogów prawnych; inne wymagały podania danych, których nasza firma po prostu nie posiadała.

Ponadto sami Użytkownicy pytają nas, gdzie i jak przechowywane są ich dane osobowe; niektóre osoby proszą o możliwość ich pobrania lub usunięcia. W 2021 roku obsłużyliśmy 2 252 tego typu wnioski.

Nowy poziom programu edukacyjnego

Firma Kaspersky zawsze jest gotowa do dzielenia się swoim doświadczeniem z globalną społecznością. Rozszerzyliśmy nasz program budowania potencjału cybernetycznego, uruchamiając podobny kurs online — teraz może w nim wziąć udział jeszcze więcej Partnerów i Klientów. Szkolenie pomaga organizacjom i osobom fizycznym ocenić bezpieczeństwo oprogramowania, z którego korzystają, oraz zmniejszyć ryzyko i potencjalne konsekwencje cyberataków.

Co dalej?

Zaufanie Użytkowników, Klientów i Partnerów jest naszym najwyższym priorytetem. Nadal udoskonalamy nasze praktyki bezpieczeństwa oraz rozwijamy Globalną Inicjatywę Transparentności. Mamy nadzieję, że pewnego dnia stanie się ona międzynarodowym standardem dla branży cyberbezpieczeństwa.

Jeśli chodzi o jakość ochrony, którą zapewniają nasze rozwiązania bezpieczeństwa, niedawno podsumowaliśmy wyniki kilkudziesięciu testów i recenzji przeprowadzonych przez wiodące niezależne laboratoria, w których brały udział nasze produkty w 2021 roku. Wyniki można sprawdzić tutaj.

]]>
full large medium thumbnail
Narzędzie deszyfrujące dla Yanluowang https://plblog.kaspersky.com/yanlouwang-decryptor/15942/ Fri, 22 Apr 2022 11:20:53 +0000 https://plblog.kaspersky.com/?p=15942

Zwykle radzimy ofiarom ransomware, aby nie rozpaczały i nie usuwały żadnych plików — nawet jeśli nie można ich przywrócić od razu. Kierujemy się zasadą, że pewnego dnia infrastrukturę atakujących może przejąć policja lub badacze odkryją w algorytmach danego szkodliwego oprogramowania błędy. Dobrym przykładem jest tu przeprowadzona przez firmę Kaspersky analiza ransomware o nazwie Yanluowang. Nasi eksperci znaleźli lukę w zabezpieczeniach, która w pewnych okolicznościach umożliwia odzyskiwanie plików bez posiadania klucza.

Jak odszyfrować pliki zaszyfrowane przez Yanluowang?

Wspomniana luka w szkodliwym oprogramowaniu Yanluowang umożliwia odszyfrowanie plików za pomocą znanego ataku wykorzystującego zwykły tekst. Metoda ta pokonuje algorytm szyfrowania, jeśli dostępne są dwie wersje tego samego tekstu: jedna czysta i jedna zaszyfrowana. Jeśli więc ofiara posiada czyste kopie jakichś zaszyfrowanych plików lub wie, skąd je zdobyć, nasz ulepszony deszyfrator Rannoh może je przeanalizować i odzyskać pozostałe dane.

Jest tu jednak jeden szkopuł: Yanluowang uszkadza pliki nieco inaczej w zależności od ich rozmiaru: małe pliki (mniej niż 3 GB) szyfruje całkowicie, a duże częściowo. Tak więc ich odszyfrowanie wymaga posiadania czystych plików o różnych rozmiarach. W przypadku plików mniejszych niż 3 GB wystarczy mieć oryginalną i zaszyfrowaną wersję pliku o rozmiarze 1024 bajtów lub większym. Aby odzyskać pliki większe niż 3 GB, potrzebne są jednak oryginalne pliki o odpowiednim rozmiarze. Jeśli masz czysty plik większy niż 3 GB, prawdopodobnie możliwe będzie odzyskanie wszystkich zajętych danych.

Czym jest Yanluowang i dlaczego stwarza zagrożenie?

Yanluowang to stosunkowo nowe oprogramowanie ransomware, którego nieznane jeszcze osoby używają do atakowania dużych firm. Pierwsze informacje o nim pojawiły się pod koniec ubiegłego roku. Aby uruchomić proces szyfrowania, szkodliwy program musi otrzymać odpowiednie argumenty, co sugeruje, że operator kontroluje atak ręcznie. Do tej pory ofiarami Yanluowang były firmy w Stanach Zjednoczonych, Brazylii i Turcji.

Aby uzyskać szczegółowe informacje techniczne na temat oprogramowania Yanluowang, a także poznać wskaźniki włamania, przeczytaj nasz post w serwisie SecureList.

Jak zapewnić sobie ochronę przed oprogramowaniem przed Yanluowang?

Aby uzyskać podstawową ochronę przed oprogramowaniem ransomware, postępuj zgodnie z naszym standardowym zestawem wskazówek: zawsze aktualizuj oprogramowanie, zapisuj kopie zapasowe danych w magazynie offline, zorganizuj dla pracowników podstawowe szkolenie w zakresie cyberbezpieczeństwa, a na wszystkich urządzeniach łączących się z internetem zainstaluj odpowiednią ochronę przed oprogramowaniem ransomware.

Jednak nie można zapominać również o atakach ukierunkowanych, a nawet sterowanych ręcznie. Z tego względu warto stosować kompleksowe podejście do bezpieczeństwa. Nasi eksperci dodatkowo zalecają więc, aby:

  • monitorować ruch wychodzący w celu szybkiego wykrywania podejrzanych połączeń,
  • regularnie przeprowadzać audyty cyberbezpieczeństwa,
  • dostarczać pracownikom centrum operacji związanych z bezpieczeństwem aktualnych danych o cyberzagrożeniach,
  • w  razie potrzeby zaangażować ekspertów zewnętrznych.
]]>
full large medium thumbnail
Backdoor Lazarus w portfelu DeFi | Oficjalny blog Kaspersky https://plblog.kaspersky.com/lazarus-defi-wallet-backdoor/15938/ Thu, 21 Apr 2022 09:37:36 +0000 https://plblog.kaspersky.com/?p=15938

W połowie grudnia ubiegłego roku do serwisu internetowego VirusTotal, który skanuje pliki w poszukiwaniu szkodliwego oprogramowania, został przesłany podejrzany plik. Na pierwszy rzut oka wyglądało na to, że jest to instalator portfela kryptowalutowego. Jednak nasi eksperci postanowili go przeanalizować. Okazało się, że oprócz portfela instaluje on na urządzeniu użytkownika szkodliwe oprogramowanie. Ponadto wygląda na to, że program nie jest dziełem drobnych oszustów, ale niesławnych cyberprzestępców stojących za Lazarusem.

Czym jest Lazarus?

Lazarus to ugrupowanie APT, czyli organizacja cyberprzestępcza. Zazwyczaj są one dość dobrze finansowane, opracowują skomplikowane szkodliwe oprogramowanie i specjalizują się w atakach ukierunkowanych – na przykład w celu realizowania szpiegostwa przemysłowego lub politycznego. Kradzież pieniędzy zwykle nie jest ich głównym celem.

Lazarus jest jednak ugrupowaniem APT, które aktywnie poszukuje pieniędzy. Na przykład w 2016 r. sporo zarobiło na Banku Centralnym Bangladeszu; w 2018 r. zainfekowało giełdę kryptowalut szkodliwym oprogramowaniem; a w 2020 r. spróbowało swoich sił w wykorzystywaniu ransomware.

Portfel DeFi z backdoorem

Plik, który przyciągnął uwagę naszych badaczy, zawierał zainfekowany instalator legalnego zdecentralizowanego portfela kryptograficznego. DeFi (zdecentralizowane finanse) to model finansowy, w którym nie ma pośredników takich jak banki, a wszystkie transakcje są dokonywane bezpośrednio między użytkownikami. Od kilku lat technologia DeFi zyskuje na popularności. Według organizacji Forbes od maja 2020 r. do maja 2021 r. wartość aktywów ulokowanych w systemach DeFi wzrosła 88-krotnie. Nic więc dziwnego, że DeFi zwraca na siebie uwagę cyberprzestępców.

Nie wiadomo jeszcze, w jaki sposób cyberprzestępcy przekonują ofiary do pobrania i uruchomienia zainfekowanego pliku. Nasi eksperci przypuszczają, że oszuści wysyłają użytkownikom  ukierunkowane wiadomości e-mail lub wiadomości w mediach społecznościowych — w przeciwieństwie do tych wysyłanych masowo, takie wiadomości są dostosowane do konkretnego odbiorcy i mogą wyglądać bardzo wiarygodnie.

Gdy użytkownik uruchomi instalator, tworzone są dwa pliki wykonywalne: pierwszym jest szkodliwy program, a drugim — czysty instalator portfela kryptograficznego. Szkodliwy program podszywa się pod przeglądarkę Google Chrome i próbuje ukryć istnienie zainfekowanego instalatora, kopiując w jego miejsce czysty instalator, który od razu uruchamia, aby użytkownik się nie zorientował. Po pomyślnym zainstalowaniu portfela szkodliwe oprogramowanie nadal działa w tle.

Jak duże jest zagrożenie?

Szkodliwe oprogramowanie, które zostaje umieszczone na komputerze za pomocą portfela DeFi, jest backdoorem. W zależności od intencji operatora backdoor może zbierać informacje lub umożliwiać zdalne sterowanie urządzeniem. W szczególności może:

  • uruchamiać i kończyć procesy,
  • wykonywać na urządzeniu polecenia,
  • pobierać na urządzenie pliki, usuwać je i wysyłać do serwera kontroli.

W przypadku udanego ataku szkodliwy program może wyłączyć program antywirusowy i ukraść wszystko, co mu się podoba: od cennych dokumentów po konta i pieniądze; może również pobierać na komputer inne szkodliwe programy. Jak zawsze, więcej szczegółów na ten temat jest dostępnych w technicznym opisie trojana opublikowanym na naszym blogu SecureList.

Jak nie zostać ofiarą?

Jeśli zajmujesz się finansami, a zwłaszcza kryptowalutami, uważaj na wiadomości, które próbują przekonać Cię do zainstalowania programów z niezaufanych źródeł. Ponadto upewnij się, że Twoje urządzenia są bezpieczne – w szczególności te, których używasz do przeprowadzania transakcji kryptowalutowych. Niezawodne rozwiązanie bezpieczeństwa pomoże tam, gdzie zwykła ostrożność nie wystarczy.

]]>
full large medium thumbnail
Rośnie liczba szkodliwego oprogramowania dostarczanego pocztą e-mail https://plblog.kaspersky.com/qbot-emotet-spam-mailing/15935/ Wed, 20 Apr 2022 18:00:22 +0000 https://plblog.kaspersky.com/?p=15935

Nasi eksperci wykryli znaczny wzrost liczby wiadomości e-mail zawierających szkodliwy spam, których celem są organizacje w różnych krajach. Ich liczba wzrosła z około 3 tys. w lutym 2022 r. do około 30 tys. w marcu. Do tej pory nasze technologie wykryły szkodliwe wiadomości e-mail napisane w językach angielskim, francuskim, węgierskim, włoskim, norweskim, polskim, rosyjskim, słoweńskim i hiszpańskim.

W jaki sposób cyberprzestępcy infekują urządzenia ofiar?

Cyberprzestępcy rzekomo przechwytują aktywne rozmowy biznesowe prowadzone pocztą e-mail i wysyłają odbiorcom wiadomość zawierającą szkodliwy plik lub link w celu zainfekowania ich urządzeń trojanem bankowym. Taki schemat sprawia, że wiadomości te są trudniejsze do wykrycia, a ponadto zwiększa szanse, że odbiorca da się nabrać.

Część wysyłanych przez cyberprzestępców wiadomości zawiera szkodliwy załącznik; w innych przypadkach jest to łącze, które prowadzi do pliku umieszczonego w legalnej popularnej usłudze hostingowej w chmurze. Tymczasem w zaszyfrowanym archiwum, do którego hasło jest podane w treści wiadomości e-mail, często znajduje się szkodliwe oprogramowanie. Aby przekonać adresata do otwarcia załącznika lub pobrania pliku poprzez kliknięcie linku, atakujący zwykle twierdzą, że zawiera on ważne informacje, np. ofertę handlową.

Nasi eksperci doszli do wniosku, że wspomniane wiadomości e-mail są dystrybuowane w ramach skoordynowanej kampanii mającej na celu rozprzestrzenianie trojanów bankowych.

Jakiego rodzaju szkodliwego oprogramowania używają cyberprzestępcy i jakie stwarzają one zagrożenie?

Gdy ofiara otwiera zainfekowany dokument, przeważnie pobiera on i uruchamia szkodliwe oprogramowanie Qbot, ale nasi eksperci zaobserwowali również, że czasami pobierany jest Emotet. Oba szczepy szkodliwego oprogramowania potrafią kraść dane użytkowników, zbierać dane z zainfekowanej sieci korporacyjnej, rozprzestrzeniać się niej i instalować ransomware lub inne trojany na innych łączących się z nią urządzeniach. Qbot może również uzyskiwać dostęp do wiadomości e-mail i je kraść.

Jak zadbać o swoje bezpieczeństwo?

Aby zapewnić sobie ochronę przed atakami z użyciem oprogramowaniem Qbot i Emotet (lub innym rozprzestrzeniającym się za pośrednictwem poczty e-mail):

  • Zainstaluj niezawodne rozwiązanie zabezpieczające na poziomie bramy pocztowej — automatycznie odfiltruje ono spam i szkodliwe wiadomości, zanim użytkownicy końcowi będą mieli szansę popełnić błąd.
  • Zapewnij pracownikom podstawowe szkolenie w zakresie cyberhigieny, podczas którego będą mogli nauczyć się wykrywania zachowania cyberprzestępców (na przykład: hasło podane w tej samej wiadomości e-mail co zaszyfrowane archiwum służy tylko do oszukania technologii ochrony przed szkodliwym kodem).
  • Przeprowadź symulacje ataków, aby sprawdzić, czy pracownicy potrafią odróżnić phishing i szkodliwe wiadomości e-mail od prawdziwych.
  • Na każdym punkcie końcowym połączonym z internetem stosuj rozwiązanie zabezpieczające. Jeśli któryś z pracowników padnie ofiarą ataku, program uniemożliwi otwarcie pliku lub łącza.
]]>
full large medium thumbnail
Fakecalls: trojan, który rozmawia z ofiarami https://plblog.kaspersky.com/fakecalls-banking-trojan/15925/ Tue, 19 Apr 2022 11:22:02 +0000 https://plblog.kaspersky.com/?p=15925

Cyberprzestępcy wymyślają coraz to bardziej wyrafinowane szkodliwe oprogramowanie. Na przykład w ubiegłym roku pojawił się nietypowy trojan bankowy o nazwie Fakecalls. Oprócz szpiegowania szkodnik ten potrafi także „rozmawiać” z ofiarą, podszywając się pod pracowników banku. W internecie niewiele jest informacji na jego temat, więc postanowiliśmy opisać część jego możliwości.

Trojan w przebraniu

Fakecalls udaje aplikacje mobilne popularnych koreańskich banków, takich jak KB (Kookmin Bank) czyi KakaoBank. Co ciekawe, na ekranie wyświetla nie tylko logotyp danego banku, ale także jego numer pomocy technicznej, który wygląda na prawdziwy — na przykład numer 1599-3333 można znaleźć na głównej stronie oficjalnej strony internetowej KakaoBank.

Trojan imituje aplikacje bankowe KB (po lewej) i KakaoBank (po prawej)

Po zainstalowaniu trojan natychmiast żąda całego wachlarza uprawnień, w tym dostępu do kontaktów, mikrofonu, kamery, geolokalizacji, aplikacji do obsługi połączeń itd.

Telefon do banku

W przeciwieństwie do innych trojanów bankowych Fakecalls może imitować rozmowy telefoniczne z obsługą klienta. Jeśli ofiara zadzwoni na infolinię banku, trojan dyskretnie przerwie połączenie i otworzy własny, fałszywy ekran połączenia zamiast zwykłej aplikacji do połączeń. Połączenie nie wzbudzi podejrzeń, a w rzeczywistości atakujący ma już nad nim kontrolę.

Trojana może zdradzić fałszywy ekran połączenia. Fakecalls ma tylko jeden język interfejsu: koreański. Oznacza to, że jeśli w telefonie zostanie wybrany inny język systemu — np. angielski — ofiara prawdopodobnie zorientuje się, że coś nie gra.

Po przechwyceniu połączenia istnieją dwa możliwe scenariusze. W pierwszym Fakecalls łączy ofiarę bezpośrednio z cyberprzestępcami, ponieważ aplikacja ma uprawnienia do wykonywania połączeń wychodzących. W drugim przypadku trojan odtwarza nagrany wcześniej dźwięk imitujący standardowe powitanie z banku.

Fragment kodu Fakecalls, który odtwarza wstępnie nagrany dźwięk podczas połączenia wychodzącego

Aby trojan utrzymywał realistyczny dialog z ofiarą, cyberprzestępcy nagrali kilka zwrotów (w języku koreańskim), które zwykle wypowiadają pracownicy call center lub które odtwarza automatyczna sekretarka. Na przykład ofiara może usłyszeć standardowy komunikat typu: „Dzień dobry. Dziękujemy za kontakt telefoniczny z KakaoBank. Aktualnie mamy bardzo dużo połączeń. Nasz konsultant skontaktuje się z Tobą tak szybko, jak to możliwe. <… > Aby poprawić jakość usług, rozmowa będzie nagrywana”. Lub: „Witamy w Kookmin Bank. Informujemy, że rozmowa będzie nagrywana. Za chwilę nastąpi połączenie z operatorem”.

Następnie podszywający się pod pracownika banku atakujący mogą próbować nakłonić rozmówcę do ujawnienia im danych dotyczących płatności lub innych poufnych informacji.

Oprócz połączeń wychodzących Fakecalls może również fałszować połączenia przychodzące. Gdy cyberprzestępcy kontaktują się z ofiarą, trojan wyświetla własny ekran nałożony na ekran systemowy. W rezultacie zamiast prawdziwego numeru używanego przez cyberprzestępców użytkownik widzi ten, który wyświetla mu trojan, np. numer telefonu pomocy technicznej banku.

Zestaw narzędzi szpiegujących

Oprócz podszywania się pod telefoniczną obsługę klienta Fakecalls zawiera funkcje typowe dla trojanów bankowych. Na przykład na polecenie atakujących może on włączyć mikrofon w telefonie ofiary i wysyłać z niego nagrania na serwer, a także potajemnie transmitować dźwięk i obraz z telefonu w czasie rzeczywistym.

To nie wszystko. Cyberprzestępcy mogą wykorzystać uprawnienia, o które trojan prosił podczas instalacji, do określenia lokalizacji urządzenia, skopiowania listy kontaktów lub plików (w tym zdjęć i filmów) z telefonu na serwer oraz uzyskania dostępu do historii połączeń i wiadomości tekstowych.

Dzięki tym uprawnieniom szkodliwe oprogramowanie może nie tylko szpiegować użytkownika, ale także kontrolować jego urządzenie do pewnego stopnia; trojan może na przykład odrzucać połączenia przychodzące i usuwać je z historii. Dzięki temu oszuści mogą między innymi blokować i ukrywać prawdziwe połączenia z banków.

Rozwiązania firmy Kaspersky wykrywają to szkodliwe oprogramowanie i opatrują je werdyktem Trojan-Banker.AndroidOS.Fakecalls, chroniąc przed nimi urządzenie.

Jak zadbać o swoje bezpieczeństwo?

Aby Twoje dane osobowe i pieniądze nie wpadły w ręce cyberprzestępców, postępuj zgodnie z poniższymi prostymi wskazówkami:

  • Aplikacje pobieraj tylko z oficjalnych sklepów i nie zezwalaj na instalacje z nieznanych źródeł. Oficjalne sklepy sprawdzają wszystkie programy, a nawet jeśli szkodliwe oprogramowanie zdoła się prześlizgnąć, zwykle jest natychmiast usuwane.
  • Zwróć uwagę na uprawnienia, o które prosi dana aplikacja. Zastanów się, czy naprawdę ich potrzebuje. Nie bój się odmawiać uprawnień, szczególnie potencjalnie niebezpiecznych, takich jak dostęp do połączeń, wiadomości tekstowych, funkcji dostępności itp.
  • Nigdy nie podawaj poufnych informacji przez telefon. Prawdziwi pracownicy banku nigdy nie poproszą o dane logowania do bankowości internetowej, kod PIN, kod bezpieczeństwa karty ani kody potwierdzające odebrane w wiadomościach tekstowych. W razie wątpliwości wejdź na oficjalną stronę banku i dowiedz się, o co pracownicy mogą pytać.
  • Zainstaluj solidne rozwiązanie, które chroni wszystkie Twoje urządzenia przed trojanami bankowymi i innym szkodliwym oprogramowaniem.
]]>
full large medium thumbnail
Strategia ochrony przed oprogramowaniem ransomware https://plblog.kaspersky.com/anti-ransomware-strategy/15919/ Fri, 15 Apr 2022 10:24:21 +0000 https://plblog.kaspersky.com/?p=15919

Ataki z użyciem oprogramowania ransomware nie wywołują już takiej sensacji jak dawniej. Doniesienia o nowych ofiarach pojawiają się niemal każdego dnia. Dlatego teraz tak ważne jest, aby firmy miały dobrze przemyślaną wielopoziomową strategię ochrony przed tym zagrożeniem.

Zamknij punkty wejścia

Większość ataków ransomware jest dość standardowa: albo pracownik daje się nabrać na socjotechnikę i otwiera załącznik do wiadomości e-mail, albo atakujący uzyskują zdalny dostęp do systemów firmy (źródłem danych są wycieki, siłowe łamanie haseł lub kupowanie ich od brokerów). W niektórych przypadkach wykorzystywane są luki w oprogramowaniu po stronie serwera. Dlatego większość problemów można wyeliminować poprzez:

  • Szkolenie pracowników w zakresie bezpieczeństwa informacji i higieny cyfrowej. Jeśli ludzie są w stanie odróżnić wiadomość phishingową od prawdziwej i zadbać o bezpieczeństwo haseł, w znaczący sposób zwiększają poziom ochrony w firmie.
  • Posiadanie ścisłej polityki haseł, która uniemożliwia stosowanie słabych i zduplikowanych haseł i wymaga użycia menedżera haseł.
  • Nieużywanie usług pulpitu zdalnego (takich jak RDP) w sieciach publicznych, chyba że jest to absolutnie konieczne. W takim przypadku skonfiguruj dostęp zdalny tylko za pośrednictwem bezpiecznego kanału VPN.
  • Priorytetowe instalowanie aktualizacji na wszystkich urządzeniach połączonych z internetem – przede wszystkim tych dla krytycznego oprogramowania (systemy operacyjne, przeglądarki, pakiety biurowe, klienty VPN, aplikacje serwerowe) oraz tych, które eliminują luki umożliwiające zdalne wykonanie kodu (RCE) i eskalację uprawnień.

Przygotuj swój zespół ds. bezpieczeństwa informacji na najnowsze cyberzagrożenia

Narzędzia i technologie ochrony wykorzystywane przez zespół ds. bezpieczeństwa informacji muszą być dostosowane do najnowszych zagrożeń; z kolei sami eksperci powinni mieć dostęp do aktualnych informacji na temat zmieniającego się krajobrazu zagrożeń. Dlatego warto zastosować się do poniższych wskazówek:

  • Korzystaj z najnowszych analiz zagrożeń, aby eksperci mieli bieżące informacje dotyczące taktyk, technik i procedur stosowanych przez cyberprzestępców.
  • Nie zwlekaj z instalowaniem aktualizacji rozwiązania zabezpieczającego, tak aby zapewniało ono kompleksową ochronę przed zagrożeniami dostarczającymi oprogramowanie ransomware (trojany zdalnego dostępu (RAT), exploity, aktywność botnetów).
  • Korzystaj z narzędzi, które nie tylko wykrywają szkodliwe oprogramowanie, ale także śledzą podejrzaną aktywność w infrastrukturze firmy (rozwiązania klasy Extended Detection and Response).
  • Jeśli masz ograniczone zasoby wewnętrzne, zatrudnij ekspertów zewnętrznych (lub zacznij korzystać z rozwiązań typu Managed Detection and Response).
  • Monitoruj ruch wychodzący w celu wykrycia nieautoryzowanych połączeń spoza infrastruktury korporacyjnej.
  • Ściśle monitoruj wykorzystanie języków skryptowych i narzędzi do ruchu poprzecznego w sieci firmy.
  • Bądź na bieżąco z wiadomościami dotyczącymi oprogramowania ransomware i upewnij się, że używane technologie ochrony poradzą sobie z nowymi wariantami.

Opracuj strategię działania na wypadek, gdyby atak ransomware się powiódł

Chociaż na technologiach wykrywania i ochrony przed oprogramowaniem ransomware możesz polegać, zawsze lepiej jest mieć plan B — na wypadek, gdyby jednak zawiodły. Na przykład ktoś, kto jest firmie nieprzychylny (i w dodatku ma uprawnienia administratora), może wyłączyć system zabezpieczeń. Zadbaj o to, aby incydent Cię nie zaskoczył. Aby uniknąć przestojów spowodowanych cyberincydentami:

  • regularne twórz kopie zapasowe danych — zwłaszcza jeśli mają kluczowe znaczenie dla ciągłości działania firmy,
  • zapewnij szybki dostęp do nich w nagłych wypadkach.
]]>
full large medium thumbnail
Sporo luk w systemie Windows; jedna jest już wykorzystywana https://plblog.kaspersky.com/microsoft-patches-128-vulnerabilities/15915/ Thu, 14 Apr 2022 10:07:00 +0000 https://plblog.kaspersky.com/?p=15915

W tradycyjnej aktualizacji wtorkowej firma Microsoft zamknęła w sumie 128 luk w różnych produktach i komponentach. Co najmniej 10 z nich ma charakter krytyczny, co najmniej dwie były znane przed wydaniem łatek, a co najmniej jedna była już aktywnie wykorzystywana przez nieznane osoby. Dlatego należy jak najszybciej zaktualizować system ten operacyjny oraz pozostałe produkty.

Najbardziej niebezpieczne luki w zabezpieczeniach

Zgodnie z dostępnymi w tej chwili informacjami najbardziej niebezpieczna jest luka w zabezpieczeniach oznaczona jako CVE-2022-24521. Jest ona związana ze sterownikiem CLFS (Common Log File System) systemu Windows i odpowiada za podnoszenie uprawnień. Pomimo niezbyt imponującej oceny w klasyfikacji CVSS: 3.1 (7.8), dość łatwo można ją wykorzystać — co w rzeczywistości robią już nieznane osoby.

CVE-2022-26904, kolejna luka w zabezpieczeniach umożliwiająca podniesienie uprawnień, znajduje się w usłudze systemowej Profile użytkowników systemu Windows. Ona również otrzymała stosunkowo niską ocenę w klasyfikacji CVSS: 3.1 (7.0), jednak było o niej wiadomo jeszcze przed wydaniem aktualizacji, dlatego można założyć, że potencjalni atakujący mogą zacząć wykorzystywać ją szybciej niż inni.

Wszystkie luki o charakterze krytycznym w systemie Windows, które są eliminowane przez wspomnianą wyżej dużą aktualizację, są związane ze zdalnym wykonywaniem kodu (RCE). Najwyższy wskaźnik ważności — 9,8 punktu — otrzymały luki CVE-2022-26809 w bibliotece uruchomieniowej protokołu zdalnego wywołania procedury, a także CVE-2022-24491 i CVE-2022-24497 w protokole dostępu do plików sieciowych.

Niektórzy eksperci uważają, że trzy ostatnie luki mogą zostać wykorzystane do uruchamiania samorozprzestrzeniających się exploitów w sieci.

Podsumowując, Microsoft opublikował aktualizacje dla 128 luk w wielu różnych produktach i składnikach, w tym przeglądarki Edge, programu Defender, pakietu Office, programów Exchange, Sharepoint Server, Visual Studio i wielu innych. Zalecamy zapoznanie się z pełną listą produktów, których dotyczy problem (uwaga, jest ona dość długa) i załatanie w pierwszej kolejności tych, które są najczęściej używane.

Jak zapewnić sobie bezpieczeństwo?

W idealnym świecie najbardziej logicznym krokiem byłoby natychmiastowe zainstalowanie wszystkich aktualizacji. Oczywiście w prawdziwym życiu nie zawsze jest to możliwe — niektóre firmy muszą najpierw przetestować aktualizacje, zanim wdrożą je w swojej infrastrukturze. W takim przypadku należy zapoznać się z opisem środków zaradczych dostępnym w oficjalnym biuletynie firmy Microsoft. Pełna lista luk w zabezpieczeniach oraz bardziej szczegółowe informacje na ich temat dostępne są w opisie aktualizacji na stronie internetowej firmy.

Z naszej strony zalecamy stosowanie niezawodnych rozwiązań bezpieczeństwa na wszystkich komputerach i serwerach połączonych z internetem, najlepiej takich, które wykorzystują technologie wykrywające próbę wykorzystania luk w zabezpieczeniach, zarówno już odkrytych, jak i wciąż nieznanych.

]]>
full large medium thumbnail
Zawsze uaktualniaj Safari na iPhonie | Oficjalny blog Kaspersky https://plblog.kaspersky.com/always-update-safari-on-iphone/15909/ Wed, 13 Apr 2022 11:48:57 +0000 https://plblog.kaspersky.com/?p=15909

Wielu użytkowników iPhone’ów nie przepada za wbudowaną przeglądarką systemu iOS (Safari) i woli korzystać z alternatywy — Google Chrome, Mozilla Firefox, a nawet czegoś bardziej egzotycznego, takiego jak DuckDuckGo, Brave czy Microsoft Edge (tak, istnieje Edge na iOS!).

Osoby, które wolą alternatywne przeglądarki, myślą czasami, że luki w Safari i silniku WebKit nie stanowią dla nich bezpośredniego zagrożenia. Niestety, to nie prawda. Dziś pokażemy, dlaczego musisz dbać o to, aby Safari i WebKit zawsze były w najnowszej wersji na Twoim iPhonie.

Każda przeglądarka w systemie iOS to Safari

Każda przeglądarka jest oparta na tak zwanym „silniku”. Przetwarza on kod otrzymany z internetu i przekształca go w strony internetowe, które ostatecznie przeglądarka wyświetla użytkownikowi. Oczywiście ma ona kilka innych niezbędnych i przydatnych elementów, które sterują silnikiem i sprawiają, że dodatkowe funkcje działają. Silnik przeglądarki można porównać do silnika samochodu: jest to najważniejsza część przeglądarki i bez niej nigdzie się nie dostaniesz.

Na świecie istnieją trzy główne silniki przeglądarki. Google używa własnego silnika V8 w przeglądarkach Chrome i Chromium, podczas gdy Microsoft Edge i wiele innych przeglądarek są oparte na Chromium. Istnieje również silnik Gecko — jego nowoczesna wersja nazywa się Quantum — który opracowała firma Mozilla. Obsługuje on przeglądarki Firefox i kilka innych.Ttrzecim gigantem nowoczesnej sieci jest silnik od Apple — Webkit, który jest używany w przeglądarce Safari.

Wersje przeglądarek Chrome i Firefox na komputery stacjonarne i Androida są oparte odpowiednio na silniku V8 od Google i silniku Gecko/Quantum od Mozilli. Jednak nieco inaczej wygląda to w przypadku iPhone’ów. Zgodnie z zasadami firmy Apple, w systemie iOS dozwolony jest tylko jeden silnik — WebKit. Oznacza to, że wszystkie przeglądarki dla tego systemu to tak naprawdę Safari z różnymi interfejsami.

Fragment zasad dla programistów aplikacji dla systemu iOS: „Aplikacje, które służą do przeglądania internetu, muszą używać odpowiedniej architektury WebKit i JavaScript WebKit”.

Oznacza to, że wszystkie luki w zabezpieczeniach znalezione w silniku WebKit stanowią zagrożenie dla użytkowników każdej przeglądarki dla systemu iOS. Ponieważ iPhone’y są bardzo kuszącym celem dla hakerów, specjaliści ds. bezpieczeństwa badają silnik WebKit jeszcze dokładniej, w wyniku czego dość często znajdują w nim luki — także takie, które są już wykorzystywane przez hakerów.

Jednym z najbardziej niebezpiecznych rodzajów luk w silniku przeglądarki jest tak zwana luka zero-click, która pozwala zainfekować iPhone’a bez żadnych działań ze strony użytkownika. W przypadku wykorzystania tego rodzaju luki użytkownika nie trzeba przekonywać do pobrania czegoś lub zainstalowania. Wystarczy nakłonić potencjalną ofiarę do odwiedzenia specjalnie przygotowanej strony internetowej zawierającej szkodliwy kod lub zhakować popularną stronę i wstrzyknąć na niej szkodliwy kod. Gdy użytkownik odwiedzi taką witrynę za pośrednictwem podatnej na ataki przeglądarki, hakerzy mogą przejąć kontrolę nad iPhonem.

Jak zaktualizować Safari i WebKit

Należy pamiętać, że aktualizacja silnika WebKit i przeglądarki Safari nie jest związana z aktualizacją używanej aplikacji do przeglądania internetu. Google Chrome automatycznie aktualizuje się ze sklepu App Store — o ile opcja ta nie została wyłączona, czego oczywiście nie zalecamy. Tak naprawdę jest to aktualizacja programu powłoki, a nie silnika, a co za tym idzie, nie rozwiąże problemu luk w silniku WebKit.

Aby wyeliminować luki w zabezpieczeniach zarówno silnika WebKit, jak i przeglądarki Safari, musisz zainstalować odpowiednie aktualizacje dla systemu iOS. W tym celu najlepiej zainstaluj wszystkie poprawki dla systemu operacyjnego — w końcu luki w zabezpieczeniach znajdują się nie tylko w silniku przeglądarki, ale także w innych ważnych komponentach systemu iOS.

Aby zaktualizować iPhone’a, przejdź do opcji Ustawienia → Ogólne → Uaktualnienie oprogramowania. Jeśli na ekranie pojawi się przycisk Pobierz i zainstaluj, stuknij go i postępuj zgodnie z instrukcjami.

Nie bój się aktualizacji systemu iOS

Wielu użytkowników sceptycznie podchodzi do kwestii aktualizacji systemu operacyjnego: niektórzy nie chcą przyzwyczajać się do nowych funkcji w interfejsie, inni martwią się o zmniejszenie dostępnej przestrzeni lub obawiają się, że po aktualizacji iPhone może zacząć działać wolniej lub część starszych aplikacji przestanie działać (nie będą już obsługiwane w nowej wersji).

Te obawy nie są całkowicie bezpodstawne. To prawda: Apple czasami sprawia, że interfejs jest mniej przyjazny dla użytkownika. Prawdą jest również, że każda nowa wersja systemu zajmuje nieco więcej miejsca niż poprzednia i pozostawia mniej miejsca na pliki. Ponadto iPhone’y działają wolniej po aktualizacji — zostało to udokumentowane.

Ale mimo to zalecamy, aby zawsze aktualizować iPhone’a: ma to kluczowe znaczenie dla bezpieczeństwa danych. Niestety, nie istnieje pełnoprawny program antywirusowy dla systemu iOS. Oznacza to, że za całe bezpieczeństwo iPhone’a odpowiadają mechanizmy ochrony wdrożone przez firmę Apple, więc nieaktualizowanie systemu zostawia otwartą furtkę dla hakerów.

]]>
full large medium thumbnail
Jak wybrać dostawcę rozwiązania XDR https://plblog.kaspersky.com/choosing-xdr-vendor/15903/ Thu, 07 Apr 2022 10:40:16 +0000 https://plblog.kaspersky.com/?p=15903

Technologia XDR (Extended Detection and Response), zapewniająca rozszerzone wykrywanie zagrożeń i reagowanie na nie, jest już wyraźnie widoczna na rynku cyberbezpieczeństwa. Jej główną zaletą jest kompleksowe podejście do przeciwdziałania wyrafinowanym cyberatakom. Maksymalizuje ona kontrolę nad potencjalnymi punktami wejścia oraz wykorzystuje najnowocześniejsze narzędzia, aby wykrywać incydenty, polować na zagrożenia, a także dokonywać analizy incydentów i reagować na nie w ramach jednego procesu.

Szczególną uwagę zwracają na nią wiodące agencje badawcze i doradcze w dziedzinie technologii informatycznych, według których jest ona najbardziej obiecująca na najbliższe lata. Nic więc dziwnego, że lista dostawców XDR szybko się wydłuża — na rynek wchodzi wiele nowych firm. Niektórzy dostawcy oferują już pełnoprawne rozwiązania; inni nadal próbują połączyć swoje produkty bezpieczeństwa IT z ekskluzywnymi funkcjami XDR.

Ponieważ koncepcja XDR dopiero się kształtuje, warto się zastanowić, co wziąć pod uwagę podczas wybierania niezawodnego dostawcy takiego rozwiązania. Naszym zdaniem musi być on w stanie zapewnić następujące aspekty:

  1. Synergia między rozwiązaniami EPP i EDR

Rozwiązanie EDR (ang. Endpoint Detection and Response), służące do zaawansowanego wykrywania i reagowania na wyrafinowane cyberzagrożenia na poziomie punktu końcowego, jest kluczowym elementem produktu XDR. Jednak nie może ono prawidłowo działać bez solidnego rozwiązania EPP (ang. Endpoint Protection Platform) — podstawowej technologii ochrony punktów końcowych, która automatycznie zatrzymuje ogromną liczbę zagrożeń masowych. A zatem, wybierając dostawcę XDR, musisz dokładnie przeanalizować funkcje ochrony dla punktów końcowych i upewnić się, że obsługiwane są ich różne rodzaje: komputery PC, laptopy, maszyny wirtualne, urządzenia mobilne i różne systemy operacyjne. Jakość rozwiązania XDR zależy bezpośrednio od synergii między EPP i EDR po stronie dostawcy.

  1. Kompleksowa analiza zagrożeń

Wiarygodna i aktualna analiza zagrożeń ma kluczowe znaczenie w skutecznym przeciwdziałaniu współczesnym cyberzagrożeniom. Stosowna reakcja nie jest możliwa bez pełnego wglądu w taktyki i techniki cyberprzestępcze, dlatego eksperci ds. bezpieczeństwa IT, którzy korzystają z rozwiązania XDR, muszą mieć dostęp do kompleksowej, aktualnej analizy zagrożeń. Dzięki niej mogą usprawnić proces badania incydentów i reagowania na nie — a dokładniej go przyspieszyć.

  1. Interoperacyjność z rozwiązaniami innych firm

Chociaż rozwiązania XDR są zwykle kompletowane od jednego dostawcy, podczas ich porównywania należy zwrócić uwagę, na ile integrują się i współpracują z produktami innych firm. Rozwiązanie XDR, które ma szerokie możliwości w tym zakresie, pomoże nie tylko utrzymać inwestycje w bezpieczeństwo IT, ale także może służyć do gromadzenia, korelowania danych i alertów z wielu komponentów bezpieczeństwa IT oraz dostarczania dodatkowych scenariuszy międzyproduktowych, ulepszając w ten sposób złożone reagowanie na incydenty. Im więcej źródeł danych zbierze rozwiązanie, tym pełniejszy będzie obraz tego, co dzieje się w infrastrukturze.

  1. Technologie weryfikowane przez niezależnych ekspertów i w praktyce

Organizacjom często trudno jest samodzielnie ocenić wydajność wewnętrznie nowych rozwiązań. W przypadku XDR koniecznie należy zrozumieć, że jego celem ma być konsolidacja różnych narzędzi bezpieczeństwa IT. W związku z tym komponenty, które składają się na tę nowatorską technologię, muszą być:

  • pomyślnie wdrożone na całym świecie,
  • szeroko testowane przez niezależne organizacje – takie jak MITRE, SE Labs lub AV-Test,
  • uznane przez międzynarodowe agencje analityczne – takie jak Gartner, Forrester czy IDC.
  1. Wyraźne plany rozwoju

Ponieważ XDR jest wciąż rodzącym się trendem w branży bezpieczeństwa informacji, potencjalni nabywcy muszą zapoznać się z planami dostawców dotyczącymi rozwoju komponentów oraz udoskonalania systemu. Im konkretniejsze i wyraźne są takie zamiary – i im chętniej są udostępniane – tym bardziej godny zaufania jest sprzedawca.

Nasze współpracujące ze sobą rozwiązania bezpieczeństwa dla korporacji zapewniają możliwości XDR. Dzięki bezproblemowej interoperacyjności nasze produkty pozwalają organizacji kontrolować wszystkie kluczowe punkty wejścia do infrastruktury, zwiększają widoczność i zapewniają scentralizowaną ochronę. Więcej informacji znajduje się na stronie rozwiązania Kaspersky Expert Security.

]]>
full large medium thumbnail
Pierwszorzędna ochrona przed zagrożeniami https://plblog.kaspersky.com/top3-awards-2021/15899/ Wed, 06 Apr 2022 10:17:56 +0000 https://plblog.kaspersky.com/?p=15899

Jak wybrać najlepsze rozwiązanie bezpieczeństwa dla firmy lub domu? Opinie użytkowników bywają przecież powierzchowne lub stronnicze. Na szczęście istnieje również wiarygodne źródło informacji w postaci renomowanych laboratoriów, które specjalizują się w testowaniu rozwiązań cyberbezpieczeństwa. Mają one umiejętności i doświadczenie niezbędne do wydania profesjonalnej oceny, a ponadto są niezależne względem uczestniczących w testach firm. Laboratoria te regularnie publikują wyniki swoich badań, a w tym poście postaramy się pomóc je zrozumieć.

Zamiast tysiąca słów

Istnieje wiele renomowanych laboratoriów testowych, które każdego roku przeprowadzają kilkadziesiąt badań. W rezultacie dostępnych jest mnóstwo informacji, które niepoprawnie odczytane mogą zniechęcić. Firma Kaspersky opracowuje własne roczne podsumowanie testów przeprowadzonych przez takie laboratoria jak AV-Test, AV-Comparatives, MRG Effitas czy SE Labs. Ujmujemy w nich zarówno wszechstronne, jak i ściśle ukierunkowane badania – na przykład takie, które sprawdzają, w jaki sposób rozwiązania różnych dostawców radzą sobie z oprogramowaniem żądającym okupu lub szpiegującym.

Wszystkie wyniki przedstawiamy w naszym zestawieniu TOP3. Na infografice można znaleźć ocenę dostawców bezpieczeństwa opartą na trzech kryteriach jednocześnie: (i) jak aktywnie brali udział w testach (oś pozioma), (ii) ile razy znaleźli się w Top 3 (oś pionowa) oraz (iii) ile razy zajęli pierwsze miejsce (średnica koła).

Tak więc ogólny wynik łatwo poznać: im większe koło z nazwą dostawcy oraz im dalej w prawo i wyżej się ono znajduje — tym lepiej jego produkty działały w ciągu ostatniego roku. Łącznie w 2021 roku uczestniczyliśmy w 75 niezależnych testach; w 84% z nich uplasowaliśmy się w pierwszej 3, a w 57 testach nasze produkty zajęły pierwsze miejsce.

Im większe koło, tym częściej rozwiązania firmy zajmowały pierwsze miejsce w niezależnych testach

W 2021 roku rozwiązania firmy Kaspersky znalazły się wśród 3 najczęściej testowanych produktów antywirusowych i zabezpieczających. Nasze rozwiązania osiągnęły więcej miejsc na podium niż jakiekolwiek inne. Ponadto produkty ochronne marki Kaspersky najczęściej zajmowały najlepsze miejsce. Oznacza to, że większość wyspecjalizowanych laboratoriów testowych rozpoznaje wysoką jakość naszych rozwiązań – zarówno dla korporacji, jak i domu.

Wszechstronna kontrola

Staramy się, aby nasze produkty brały udział w jak największej liczbie testów — a to między innymi dlatego, że cyberzagrożenia są już zbyt różnorodne, aby można było je uwzględnić w jednym wszechstronnym badaniu. Oto część specjalistycznych testów, które przeszły nasze rozwiązania bezpieczeństwa.

Oprogramowanie ransomware

Podczas testów programy antywirusowe mają do czynienia z kilkoma rodzinami oprogramowania ransomware zarówno w konfiguracji korporacyjnej, jak i domowej. Testy te mogą być dość absorbujące — dlatego jednemu z nich poświęciliśmy osobny artykuł.

Zagrożenia bezplikowe

Ataki bezplikowe, jak sama nazwa wskazuje, eliminują własne pliki na urządzeniach użytkowników, przez co są trudne do wykrycia. Takie testy oceniają nie tylko wskaźnik skuteczności, ale także czas potrzebny na wykrycie ataków bezplikowych.

Luki w zabezpieczeniach i exploity

Cyberprzestępcy wykorzystują exploity do atakowania systemu za pomocą luk w zabezpieczeniach, a w testach oceniana jest szybkość ich wykrywania i eliminowania.

Ataki APT

Aby zaatakować daną ofiarę, cyberprzestępcy czasami przeprowadzają wieloetapowe ataki i tworzą unikatowe narzędzia. W testach sprawdzających ochronę przed atakami APT badacze obserwują, na ile rozwiązania potrafią wykrywać i blokować nieznane im oraz zupełnie nowe zagrożenia.

Phishing

Podczas testów związanych z wyłudzaniem informacji eksperci naśladują zachowanie zwykłych użytkowników w internecie i oceniają, jak szybko i skutecznie działa ochrona przed złodziejami danych.

Stalkerware

Stalkerware to półlegalne aplikacje śledzące, które każdy może kupić w internecie. Ludzie często potajemnie instalują je na urządzeniu partnera lub współmałżonka, aby monitorować jego lokalizację, mieć dostęp do kontaktów i wiadomości, przeglądać zdjęcia itp.

Ze względu na swój półlegalny status stalkerware nie może być formalnie sklasyfikowane jako szkodliwe oprogramowanie. Dlatego część dostawców bezpieczeństwa woli przymykać oko i pomijać ochronę przed tą klasą programów. My tymczasem uważamy, że musimy chronić naszych klientów przed aplikacjami śledzącymi, i dokładamy wszelkich starań, aby nasze produkty skutecznie wykrywały stalkerware i ostrzegały przed nim ofiary.

Fałszywe alarmy

Dobry produkt zabezpieczający nie tylko eliminuje zagrożenia, ale także nie zawraca głowy użytkownikowi drobiazgami. To ważne, bo jeśli program antywirusowy ciągle o czymś Cię informuje, przestaniesz traktować jego komunikaty poważnie.

Warto również wspomnieć, że część dostawców bezpieczeństwa próbuje zrekompensować swoje mniej niż doskonałe technologie, wszczynając alarm nawet przy minimalnym ryzyku. W związku z tym liczba fałszywych alarmów jest często dobrym wskaźnikiem prawdziwej jakości ochrony: im jest ich mniej, tym lepiej. W efekcie w większości niezależnych testów liczba fałszywych alarmów występuje zazwyczaj obok możliwości wykrywania zagrożeń.

Opinia ekspertów

Podsumowując, w 2021 roku produkty firmy Kaspersky śpiewająco przeszły liczne testy, a niezależni eksperci po raz kolejny potwierdzili wiodącą pozycję firmy na rynku rozwiązań bezpieczeństwa. Oczywiście nie mamy zamiaru spoczywać na laurach i będziemy nadal rozwijać nasze technologie, aby kompleksowo chronić urządzenia przed wszystkimi zagrożeniami.

]]>
full large medium thumbnail
Spring4Shell: krytyczna luka w frameworku Spring Java https://plblog.kaspersky.com/spring4shell-critical-vulnerability-in-spring-java-framework/15895/ Tue, 05 Apr 2022 10:40:53 +0000 https://plblog.kaspersky.com/?p=15895

Badacze odkryli krytyczną lukę CVE-2022-22965 w szkielecie tworzenia aplikacji dla platformy Java Platform — Spring. Niestety, szczegóły dotyczące wspomnianej luki w zabezpieczeniach wyciekły przed opublikowaniem oficjalnego komunikatu i udostępnieniem stosownych łatek.

Luka natychmiast przyciągnęła uwagę specjalistów ds. bezpieczeństwa informacji, ponieważ może stanowić poważne zagrożenie dla wielu aplikacji internetowych. Nowa podatność została nazwana Spring4Shell, co nawiązuje do przereklamowanej luki Log4Shell.

Firma Vmware, będąca twórcą frameworka Spring, wydała już poprawki naprawiające podatne na ataki aplikacje, dlatego zalecamy, aby wszystkie firmy korzystające ze szkieletu Spring Framework w wersjach 5.3 i 5.2 natychmiast zaktualizowały je do wersji 5.3.18 lub 5.2.20.

Czym jest luka Spring4Shell i dlaczego stwarza duże zagrożenie?

Opisywana luka należy do klasy RCE, co oznacza, że umożliwia osobie atakującej zdalne wykonanie szkodliwego kodu. W klasyfikacji CVSS v3.0 został jej przypisany poziom zagrożenia 9,8 na 10. Błąd zagraża szkieletom Spring MVC i Spring WebFlux działającym w zestawie Java Development Kit w wersji 9 lub nowszej.

Badacze poinformowali o wykrytej luce w zabezpieczeniach firmę VMware we wtorek wieczorem (29 kwietnia 2022 r.), ale już w środę dowód koncepcji jej istnienia został opublikowany w serwisie GitHub. Dowód ten został szybko usunięty, jednak zdążyli go zauważyć eksperci ds. bezpieczeństwa (część z nich potwierdziła, że luka stwarza zagrożenie). W związku z tym istnieje bardzo małe prawdopodobieństwo, że tak potężnego exploita nie zauważyli cyberprzestępcy.

Framework Spring jest dość popularny wśród programistów korzystających z języka Java, a w związku z tym na ataki może być podatnych wiele aplikacji. Zgodnie z postem opublikowanym przez Bleeping Computer aplikacje napisane językiem programowania Java, które są podatne na lukę Spring4Shell, mogą ułatwić złamanie zabezpieczeń ogromnej liczby serwerów. Ponadto w artykule można także przeczytać, że luka jest już aktywnie wykorzystywana.

Warunki wykorzystania luki w zabezpieczeniach Spring4Shell

Aby doszło do wykorzystania luki Spring4Shell, musi zaistnieć szczególny zbieg okoliczności. Aby exploit zadziałał z sukcesem, ofiara musi korzystać z następujących komponentów:

  • oprogramowanie Java Development Kit w wersji 9 lub nowszej,
  • Apache Tomcat jako kontener serwletów,
  • format pliku WAR (Web Application Resource) zamiast domyślnego JAR,
  • zależność od spring-webmvc lub spring-webflux,
  • framework Spring w wersjach od 5.3.0 do 5.3.17, od 5.2.0 do 5.2.19 lub starszych.

Jednak całkiem możliwe jest, że istnieje jeszcze więcej nieznanych opcji i luka ta może zostać wykorzystana w inny sposób.

Więcej szczegółów technicznych oraz wskaźniki naruszenia bezpieczeństwa przez exploity Spring4Shell można znaleźć w poście na blogu w serwisie SecureList. Znajduje się w nim również opis innej krytycznej luki w zabezpieczeniach struktury Spring Java (CVE-2022-22963).

Jak zapewnić sobie bezpieczeństwo przed Spring4Shell?

Każda osoba, która korzysta z frameworka Spring, powinna uaktualnić go do bezpiecznej wersji — 5.3.18 lub 5.2.20.

Firma Apache Software Foundation wydała poprawione wersje kontenera aplikacji sieciowych Apache Tomcat 10.0.20, 9.0.62 i 8.5.78, w których wektor ataku jest zamknięty po stronie Tomcata.

Programiści odpowiedzialni za szkielet Spring wydali poprawione wersje rozszerzeń Spring Boot 2.5.12 i 2.6.6, które zależą od poprawionej wersji Spring Framework 5.3.18.

Jeśli z jakiegoś powodu zaktualizowanie powyższego oprogramowania nie jest możliwe, należy użyć jednego z sposobów obejścia opublikowanych na oficjalnej stronie Spring.

Aby zminimalizować ryzyko udanego ataku, radzimy chronić wszystkie serwery, a także wszelki inny sprzęt połączony z internetem, za pomocą zaufanego rozwiązania bezpieczeństwa. Jeśli korzystasz z produktów zabezpieczających marki Kaspersky, upewnij się, że moduły Zaawansowana ochrona przed exploitami i Blokowanie ataków sieciowych są włączone.

]]>
full large medium thumbnail
10 poważnych luk w Google Chrome | Oficjalny blog Kaspersky https://plblog.kaspersky.com/chrome-ten-high-severity-vulnerabilities/15890/ Mon, 04 Apr 2022 09:24:30 +0000 https://plblog.kaspersky.com/?p=15890

Wydając aktualizację o numerze 100.0.4896.60 dla swojej przeglądarki Chrome, firma Google wyeliminowała 28 luk w zabezpieczeniach. Co najmniej 9 z nich stwarzało duże zagrożenie dla bezpieczeństwa. Zaledwie kilka dni temu osobną aktualizacją firma załatała inną poważną lukę, która otrzymała oznaczenie CVE-2022-1096. W sumie programiści zajmujący się Chromem wydali poprawki dla 10 poważnych luk w niecały tydzień. Jeśli więc Twój komputer lub przeglądarka nie były uruchamiane ponownie od dłuższego czasu, nadszedł czas, aby się nimi zająć.

Luka w zabezpieczeniach CVE-2022-1096

Do tej pory firma Google nie opublikowała szczegółów na temat żadnej ze wspomnianych luk w zabezpieczeniach — zgodnie z jej polityką bezpieczeństwa dostęp do szczegółowego opisu luk pozostaje ograniczony, dopóki większość aktywnych użytkowników nie zainstaluje aktualizacji. Jednak już teraz wiadomo, że luka CVE-2022-1096 (ta, którą Google zamknął osobną łatką w piątek, 25 marca, zaledwie cztery dni przed główną aktualizacją), może powodować poważne problemy.

Luka w zabezpieczeniach, która otrzymała oznaczenie CVE-2022-1096, należy do klasy Type Confusion, co oznacza, że jest związana z błędem w obsłudze typów danych w silniku V8. Jest ona dość niebezpieczna, co potwierdza fakt, że Google ją wyeliminował osobno za pomocą poprawki awaryjnej. Co więcej, jak wynika z komunikatu informującym o wydaniu poprawek, firma Google wiedziała, że exploit dla tej luki istniał już 25 marca. Następnego dnia Microsoft zamknął tę lukę w przeglądarce Edge opartej na silniku Chromium. Podsumowując dostępne informacje, można założyć, że exploit wykorzystujący lukę nie tylko istnieje, ale jest aktywnie wykorzystywany.

Pozostałe 28 nowych luk w zabezpieczeniach

Spośród 28 luk w zabezpieczeniach, które zamyka najnowsza aktualizacja, większość (20 sztuk) została odkryta przez niezależnych badaczy, a pozostałe 8 przez wewnętrznych ekspertów Google’a. W grupie 9 luk o wysokim poziomie ważności 4 sztuki (CVE-2022-1125, CVE-2022-1127, CVE-2022-1131, CVE-2022-1133) należą do klasy use-after-free; 3 kolejne (CVE-2022-1128, CVE-2022-1129, CVE-2022-1132) są związane z nieodpowiednią implementacją w różnych komponentach, kolejna (CVE-2022-1130) ma związek z niewystarczającym poziomem kontroli poprawności niezaufanych danych wejściowych w interfejsie WebOTP, a ostatnia (CVE-2022-1134), podobnie jak wspomniana już CVE-2022-1096, to problem z błędem Type Confusion w silniku V8.

Jak zadbać o swoje bezpieczeństwo?

Najpierw należy zaktualizować przeglądarkę do najnowszej wersji — w chwili pisania tego tekstu jest to 100.0.4896.60. Jeśli Twoja wersja Chrome jest starsza, oznacza to, że Twoja przeglądarka nie została zaktualizowana automatycznie i zalecamy jej ręczną aktualizację, korzystając z naszych instrukcji krok po kroku. Jeśli korzystasz z przeglądarki Microsoft Edge, nie zapomnij jej również zaktualizować — odbywa się to w taki sam sposób, jak w przypadku Google Chrome.

Zalecamy również śledzenie wiadomości i aktualizowanie na bieżąco najbardziej krytycznych programów, w tym programów zabezpieczających, przeglądarek, pakietów biurowych i samego systemu operacyjnego.

Ponadto zalecamy korzystanie z niezawodnych rozwiązań ochronnych, które potrafią automatycznie wykrywać i zapobiegać próbom wykorzystania luk w zabezpieczeniach, dzięki czemu zapewniają ochronę przed atakami, zanim wydane zostaną oficjalne poprawki.

]]>
full large medium thumbnail
Atak na grę — szkodliwy kod w wirtualnym mieście https://plblog.kaspersky.com/cities-skylines-malicious-mods/15881/ Tue, 29 Mar 2022 13:39:09 +0000 https://plblog.kaspersky.com/?p=15881

13 lutego 2022 roku na stronie internetowej EuroGamer opublikowany został post informujący o rozprzestrzenianiu się szkodliwego kodu wśród użytkowników gry „Cities: Skylines”. Dwa dni później artykuł został zaktualizowany: nikt nie ucierpiał, ale jeden z twórców modów do gry próbował przemycić do oficjalnego sklepu backdoora. Przyjrzeliśmy się temu interesującemu przypadkowi, czyli potencjalnie poważnemu ataku na graczy.

Podstawowe informacje o grze „Cities: Skylines”

„Cities: Skylines” to symulator miasta, który wygląda mniej więcej tak:

Zrzut ekranu z gdy „Cities: Skylines”. Źródło

Wspomniana gra jest konkurentem i w pewnym sensie następcą słynnej serii „SimCity” z lat 1990. i 2000. Została ona wydana w 2015 roku — dość dawno temu jak na standardy ciągle zmieniającego się świata wirtualnego.

Zamiast wypuszczać nową serię, jej twórcy woleli stopniowo modyfikować oryginał, wydając oficjalne dodatki mniej więcej co pół roku. Trzynaste wydanie ukazało się niedawno, a każde z rozszerzeń dodaje nowe elementy do wirtualnego świata — np. budynki (które umożliwiają zbudowanie lotniska wg własnego projektu), zjawiska naturalne, scenariusze rozwoju („zielone” miasto) i tak dalej.

Nieoficjalne modyfikacje jeszcze bardziej rozbudowują grę. W rzeczywistości każdy, kto naprawdę polubi grać w „Cities: Skylines”, w końcu zacznie eksperymentować z modami. Pierwotnie celem gry miało być ułatwienie użytkownikom tworzenie i udostępnianie modyfikacji. Każda osoba może przesłać swoje prace do publicznego katalogu Warsztatu Steam.

Dzięki modom i dodatkom „Cities: Skylines” pozwala budować własne miasto. Spróbuj rozdysponować ziemię na część mieszkalną, przemysłową i handlową. Planuj drogi i eliminuj korki. Gra jest tak dobra i tak realistyczna, że została nawet wykorzystana do zaplanowania systemu transportu w prawdziwym mieście!

Przykładem dobrego moda dla „Cities: Skylines” jest Traffic Manager: President Edition. Rozszerza on podstawowe funkcje związane z budową dróg: sygnalizacją świetlną, ustaleniem kierunku pasa ruchu i ograniczeniem prędkości, wprowadzeniem zakazu parkowania itd. Zasadniczo taki mod umożliwia robienie rzeczy, które są niezbędne do poprawy ruchu — zarówno w prawdziwym życiu, jak i w grze.

Podsumowując, w grę „Cities: Skylines” można grać bez rozszerzeń, ale niewiele osób się na to decyduje, ponieważ odpowiednio dobrany zestaw modów znacząco zwiększa frajdę, ale też wygodę. Krótko mówiąc, umożliwiają one wykorzystanie gry w pełni.

Mody zemsty

Przejdźmy teraz bezpośrednio do wydarzeń. 10 lutego 2022 roku twórcy wspomnianego moda „Traffic Manager: President Edition” opublikowali ostrzeżenie o pojawieniu się szkodliwych rozszerzeń do gry:

Twórcy „Traffic Manager: President Edition” zarzucają autorowi innych modów dystrybucję szkodliwego oprogramowania. Źródło

Szkodliwa funkcjonalność była stosunkowo niegroźna: rozszerzenie losowo zmieniało w grze ograniczenia prędkości na drogach. Jednak nie dotyczyło to wszystkich użytkowników, ale tylko tych, którzy znaleźli się na specjalnej liście twórcy tego moda. Wśród nich byli: twórcy moda Traffic Manager, twórcy gry i inne osoby, w odniesieniu do których autor listy miał zasłużone lub bezpodstawne żale.

Ale to nie wszystko. W tym samym poście twórca moda, znany pod pseudonimem Chaos lub Holy Water, celowo uniemożliwiał kompatybilność z innymi modami. Ponieważ do opisywanej tu gry dostępna jest ogromna liczba modyfikacji, potrzebny jest mechanizm, który zapobiega wystąpieniu błędów. Twórcy gry zdecydowali się na bardzo prostą kontrolę zgodności: oczekują, że twórcy modów sami sprawdzą wszystko, a niekompatybilne rozszerzenia dodadzą do specjalnej listy. Chaos/Holy Water wykorzystał tę funkcję i zaczął dodawać inne popularne rozszerzenia do listy niekompatybilności z jego modami.

Kiedy użytkownicy pytali go, dlaczego dany mod jest niekompatybilny z innymi rozszerzeniami i co z tym faktem można zrobić, człowiek ten stwierdzał, że kod od innych programistów jest niskiej jakości i oferował własną wersję innego rozszerzenia, nieznacznie modyfikując oryginał. W ten sposób Chaos starał się spopularyzować swoje modyfikacje i zwiększyć liczbę własnych dodatków dla każdego użytkownika.

Natomiast gdy sam został skrytykowany, mścił się, dodając identyfikatory krytyków na platformie Steam do swojej osobistej „listy wrogów”, co doprowadzało do znaczącego obniżenia wydajności gry. Część fanów mocno to przeżywała, ale ogólnie sytuacji tej nie można było nazwać prawdziwym szkodliwym atakiem. Jednak to nie wszystko!

Stuprocentowy backdoor

14 lutego 2022 roku twórcy gry „Cities: Skylines” opisali incydent w internecie. Według nich rozszerzenia autora zostały usunięte ze strony Warsztatu Steam. Twórcy gry twierdzą, że nie było w nich szkodliwego kodu („Nie znaleziono keyloggerów, wirusów, oprogramowania do generowania kryptowalut itp.”. Jednak w dalszej części tekstu znajduje się krótka wzmianka o rozszerzeniu „Update from GitHub” autorstwa tego samego autora. Co robił ten mod? Przełączał mechanizm aktualizacji dodatku ze standardowego (poprzez Warsztat Steam) na alternatywny, dzięki czemu mody były aktualizowane bezpośrednio z repozytorium twórcy na GitHubie.

I to jest prawdziwy backdoor: na urządzenia użytkowników, którzy zainstalowali tę i kilka innych modyfikacji tego twórcy, można było w każdej chwili pobrać dowolny kod i uruchomić go. W takiej sytuacji można polegać tylko na sumieniu twórcy rozszerzenia (chociaż biorąc pod uwagę „listę wrogów”, najwyraźniej nie jest to dobry pomysł).

Nawet jeśli twórca backdoora nie planuje włamać się do urządzeń użytkowników swoich modów, może ukraść dostęp do ich kont w serwisie GitHub lub sprzedać je (jak to często bywa np. z rozszerzeniami przeglądarki). A jeśli mod jest już zainstalowany, użytkownik najprawdopodobniej musi usunąć go ręcznie — jednak nie wszyscy to zrobią. Na szczęście, jak twierdzą twórcy gry „Cities: Skylines”, tym razem sytuacja ta dotknęła tylko 50 osób.

Po czym rozpoznać niebezpieczne mody do gry?

Istnieje wiele sposobów, aby skłonić użytkownika do pobrania szkodliwego oprogramowania podszywającego się pod oficjalny program lub grę. Jednak w przypadku niestandardowych rozszerzeń sytuacja jest nieco bardziej skomplikowana: są one tworzone samodzielnie przez osoby prywatne, a twórca gry nie jest w stanie sprawdzać wszystkich modyfikacji. Dlatego podczas rozszerzania możliwości swojej ulubionej gry warto zachować czujność. Jeśli to możliwe, instaluj mody z oficjalnych źródeł. A jeśli twórca doradza, aby „w razie problemów wyłączyć antywirusa”, zastanów się dwa razy, zanim go posłuchasz.

Incydent z modami do gry „Cities: Skylines” zakończył się, na szczęście, bez większych strat. Złośliwy deweloper został zbanowany. I chociaż wygląda na to, że nie miał zamiaru wyrządzić poważnych szkód graczom, stworzył dość złożony mechanizm przedostawania się na komputery użytkowników, który wykorzystywał specyfikę społeczności. A co najważniejsze, starał się usunąć użytkowników z kontroli zapewnianej przez oficjalną platformę do dystrybucji modów.

W najgorszym przypadku taki backdoor mógłby zostać wykorzystany do dostarczenia szkodliwego kodu, który mógłby na przykład kraść hasła z usługi z grami lub generować kryptowalutę na komputerze gracza. Śledzenie aktywności takich „programów zmiennokształtnych” jest standardową funkcjonalnością każdego niezawodnego rozwiązania bezpieczeństwa. Ponadto Kaspersky Total Security oferuje specjalny tryb gracza, który zapewnia ochronę przy minimalnym wpływie na wydajność komputera. Eksperymentując z ulubioną grą, nie zapomnij o zachowaniu środków ostrożności.

]]>
full large medium thumbnail
Jakie zagrożenia mobilne atakowały smartfony w 2021 roku? https://plblog.kaspersky.com/mobile-malware-2021/15877/ Mon, 28 Mar 2022 11:51:27 +0000 https://plblog.kaspersky.com/?p=15877

Nieustannie monitorujemy krajobraz zagrożeń mobilnych i informujemy o najważniejszych trendach. Niedawno opublikowaliśmy raport dotyczący najpopularniejszych zagrożeń dla smartfonów i tabletów w 2021 roku. Najważniejszym wnioskiem płynącym z naszego opracowania jest to, że w ubiegłym roku nastąpił znaczny spadek aktywności zagrożeń mobilnych w porównaniu z 2020 r. Mimo to nie możemy o nich zapominać. Po pierwsze dlatego, że liczba ataków na smartfony i tablety spadła tylko w stosunku do rekordowego poziomu z 2020 r. i pozostała na mniej więcej tym samym poziomie, co w 2019 r. A po drugie, cyberprzestępcy stają się coraz bardziej pomysłowi.

Ataki za pośrednictwem oprogramowania wyświetlającego reklamy

W 2021 roku jednym z trendów było umieszczanie szkodliwego kodu w modułach reklamowych innych firm, które często są dołączane do różnych przydatnych aplikacji przez ich przez twórców w celach zarobkowych. Na przykład ubiegłej wiosny cyberprzestępcy wykorzystali szkodliwy zestaw SDK do zainfekowania APKPure — popularnego alternatywnego sklepu z aplikacjami dla systemu Android. Na szczęście jego programiści poważnie podeszli do tego incydentu i wydali nieszkodliwą wersję dzień po tym, jak się z nimi skontaktowaliśmy.

Podobna historia miała miejsce w przypadku popularnego moda do aplikacji WhatsApp, który nosił nazwę FMWhatsApp. W jednej z wersji tej aplikacji wewnątrz zestawu SDK odpowiedzialnego za wyświetlanie reklam znajdował się trojan Triada. Niestety bardzo trudno jest usunąć go z zainfekowanego urządzenia i rzadko działa w pojedynkę — zwykle pobiera na urządzenie ofiary kolejne szkodliwe aplikacje.

Szkodliwe oprogramowanie w sklepie Google Play

Niejednokrotnie pisaliśmy już, że szkodliwe oprogramowanie może wkraść się do oficjalnych sklepów z aplikacjami. Aby przejść wszystkie etapy kontroli i dotrzeć do użytkowników, cyberprzestępcy stosują różnego rodzaju sztuczki, np. umieszczanie w zaakceptowanym już programie szkodliwego kodu pod pozorem nowej aktualizacji. W 2021 roku programy potrafiące dołączać takie funkcje do różnych trojanów zostały znalezione w aplikacjach dostępnych w sklepie Google Play, w tym w szkodliwym oprogramowaniu o nazwach Joker i Facestealer. Joker ukradkiem wykupuje płatne subskrypcje w imieniu użytkownika, a Facestealer, jak sama nazwa wskazuje, specjalizuje się w kradzieży danych logowania do Facebooka.

W większości przypadków, aby rozpowszechniać swoje dzieła za pośrednictwem sklepu Google Play, cyberprzestępcy dodają małe fragmenty szkodliwego kodu do nieszkodliwych aplikacji, które zostały już zatwierdzone przez sklep. Na przykład autorzy trojana Joker wykorzystali popularność koreańskiego serialu telewizyjnego Squid Game i ukryli szkodliwe oprogramowanie w aplikacji oferującej związane z nim tapety. Kiedy odkryto Jokera, w sklepie Google Play dostępnych było już ponad 200 aplikacji poświęconych temu serialowi, a wiele z nich miało wspólne funkcje. Niestety takie małe zmiany w postaci szkodliwego kodu są trudne do wykrycia podczas moderacji, a cyberprzestępcy nieustannie próbują ten fakt wykorzystać.

Jedna z aplikacji w Google Play, która zawierała trojana Joker

Trojany bankowe — kreatywna kradzież

Od kilku lat trojany bankowe polują nie tylko na konta bankowe, ale także na konta w sklepach internetowych i innych usługach cyfrowych. W 2021 roku ich obszar zainteresowań poszerzył się jeszcze bardziej: nasi eksperci odkryli szkodliwe oprogramowanie Gamethief, które kradnie dane logowania do mobilnej wersji gry PlayerUnknown’s Battlegrounds (PUBG). Jest to pierwszy trojan mobilny, który specjalizuje się w kradzieży kont w grach – jeszcze kilka lat temu ten rodzaj szkodliwego oprogramowania był dostępny wyłącznie na komputerach stacjonarnych.

Cyberprzestępcy poprawili również funkcjonalność tworzonych przez siebie produktów. Na przykład trojan bankowy Fakecalls jest w stanie przerwać połączenie, jeśli użytkownik spróbuje skontaktować się ze swoim bankiem, i włączyć wcześniej nagraną odpowiedź udzieloną przez nieprawdziwego przedstawiciela banku. W ten sposób szkodliwe oprogramowanie usypia czujność ofiary, która myśli, że miała kontakt z pracownikiem banku.

Jak chronić smartfon przed szkodliwym oprogramowaniem?

Cyberprzestępcy są sprytni i wykorzystują każdą okazję, aby polować na użytkowników urządzeń mobilnych. A w związku z tym, niezależnie od poziomu ich aktywności, opłaca się być czujnym.

  • Pobieraj aplikacje tylko z oficjalnych źródeł. Chociaż nie da Ci to 100% pewności, że są one bezpieczne, statystyki wskazują, że w oficjalnych sklepach jest znacznie mniej szkodliwych programów, a nawet gdy któryś z nich umknie moderatorom, zwykle stosunkowo szybko jest usuwane ze sklepu.
  • O ile to możliwe, używaj aplikacji pochodzących od zaufanych programistów, cieszących się dobrą reputacją.
  • Nie instaluj aplikacji, które obiecują nietypowy sposób zarabiania lub zbyt hojne nagrody. Zwykle jest to oszustwo.
  • Nie udzielaj aplikacjom uprawnień, których nie potrzebują do działania. Większość szkodliwego oprogramowania nie będzie w stanie działać w pełni, nie mając dostępu do potencjalnie niebezpiecznych uprawnień, na przykład do ułatwień dostępu, wiadomości tekstowych czy możliwości instalowania nieznanych aplikacji.
  • Używaj niezawodnego mobilnego programu antywirusowego, który wykryje i zablokuje szkodliwe oprogramowanie, zanim zdoła ono przedostać się na telefon.
]]>
full large medium thumbnail
Czy Twoja organizacja potrzebuje XDR? https://plblog.kaspersky.com/do-you-need-xdr/15873/ Fri, 25 Mar 2022 11:23:46 +0000 https://plblog.kaspersky.com/?p=15873

Ostatnio coraz powszechniejsze stało się doradzanie dużym organizacjom wyboru rozwiązań XDR w celu ochrony ich infrastruktury. Jednak wiele osób nie do końca rozumie, czym one są i co tak naprawdę robią. Dziś odpowiem na kilka podstawowych pytań dotyczących rozwiązania XDR, dzięki którym dowiesz się, czy Twoja organizacja skorzystałaby na jego wdrożeniu.

Czy tradycyjna ochrona nie wystarczy?

Tradycyjnie to punkty końcowe – serwery i stacje robocze – były chronione przed cyberzagrożeniami, jednak teraz takie podejście to zaledwie podstawy, jeśli chodzi o walkę ze skomplikowanymi cyberatakami. Organizacje skupiały się na podstawowej ochronie sieci lub instalowały zaawansowane narzędzia ochrony, aby wyeliminować tylko jeden potencjalny wektor ataku — na przykład tylko punkty końcowe (rozwiązanie EDR) lub sieć (rozwiązanie NTA). Tymczasem dziś cyberprzestępcy coraz częściej stosują wielowektorowe podejście do realizacji swoich ataków i wykorzystują wiele punktów wejścia do infrastruktury, ruch boczny w sieci, rozmaite taktyki i techniki ataków oraz socjotechnikę. Wszystko to zwiększa powierzchnię ataku i utrudnia analizę i podjęcie działań w ramach reagowania. Aby zapewnić sobie ochronę przed tego rodzaju cyberatakami, organizacje potrzebowały nowego narzędzia zapewniającego kompleksowe podejście do budowania ochrony.

Co to jest XDR?

Skrótowiec XDR pochodzi od angielskiego określenia „Extended Detection and Response”, które oznacza rozszerzone możliwości wykrywania i reagowania. „Rozszerzone”, bo zagrożenia są wykrywane i unieszkodliwiane nie tylko na poziomie punktów końcowych (komputery, laptopy i serwery), ale także poza nimi. W takim podejściu rozwiązanie klasy Endpoint Detection and Response (EDR) – podstawowy element technologii XDR – jest uzupełniane różnymi narzędziami bezpieczeństwa informacji od tego samego dostawcy. Ponadto narzędzia te są ze sobą ściśle zintegrowane i rozszerzają liczbę scenariuszy, wzmacniając ochronę przed złożonymi cyberzagrożeniami.

Co zawiera rozwiązanie XDR?

Rodzaj i liczba narzędzi, które są połączone z rozwiązaniem XDR, zależą bezpośrednio od tego, ile narzędzi znajduje się w portfolio danego dostawcy i jak bardzo są one ze sobą zintegrowane. Mogą to być na przykład produkty służące do ochrony poczty, internetu, sieci firmowej, infrastruktury chmury, czy tożsamości. XDR można również zintegrować z narzędziami dłużącymi do analizy zagrożeń — na przykład źródłami danych o zagrożeniach i platformą do zarządzania tymi danymi (Threat Intelligence Platform). XDR może również obejmować portal umożliwiający wyszukiwanie szczegółów dotyczących cyberzagrożeń i wyszukiwania zależności. Dzięki temu ekspert ds. bezpieczeństwa IT ma dodatkowe informacje przydatne podczas badania cyberincydentów. Dziś koncepcja XDR jest ucieleśnieniem nowoczesnego trendu gospodarczego w zakresie bezpieczeństwa informacji — ekosystemów.

Czy wdrożenie XDR oznacza, że dotychczasowa praca związana z zabezpieczeniami poszła na marne?

Niekoniecznie. Na rynku dostępne są dwa rodzaje rozwiązań XDR: natywne i hybrydowe. Rozwiązania natywne będą dobrym wyborem, jeśli tworzysz ochronę od podstaw lub kontynuujesz skalowanie produktów pochodzących od jednego dostawcy. Rozwiązania hybrydowe pozwalają na integrację z rozwiązaniami bezpieczeństwa informacji od dostawców zewnętrznych, więc jakiekolwiek pieniądze wydane wcześniej nie zostaną zmarnowane.

A może XDR to kolejna sztuczka marketingowa wymyślona przez analityków?

Nie, wręcz przeciwnie: wiodące firmy analityczne uznały koncepcję i określenie „XDR”, gdy ta kategoria rozwiązań pojawiła się na rynku. Było to wynikiem ewolucji produktów bezpieczeństwa informacji i potrzeb rynkowych. Dziś klienci potrzebują czegoś więcej niż ujednoliconego zestawu narzędzi do ochrony informacji tego samego dostawcy; oczekują również innych korzyści z tej unifikacji – na przykład w postaci scenariuszy uwzględniających różne produkty, automatyzacji procesów, oszczędzania zasobów i redukcji zobowiązań. Rozwiązanie XDR łączy wszystkie te funkcje.

Jaką wartość niesie ze sobą rozwiązanie XDR dla firm?

Po pierwsze, w obliczu globalnego niedoboru ekspertów ds. bezpieczeństwa informacji rozwiązanie XDR zapewnia kompleksową ochronę ewoluującej infrastruktury IT przed szybko zmieniającym się krajobrazem cyberzagrożeń.

Po drugie, rozwiązanie XDR upraszcza pracę specjalistów ds. bezpieczeństwa IT, dzięki czemu mogą oni zająć się incydentami.

Po trzecie, rozwiązanie XDR pomaga zminimalizować średni czas wykrywania i średni czas reakcji (MTTD i MTTR). Ma to kluczowe znaczenie w walce ze złożonymi zagrożeniami i atakami ukierunkowanymi, w których szybkie działania podejmowane przez ekspertów ds. bezpieczeństwa IT zmniejszają szanse atakujących na osiągnięcie celu i wyrządzenie szkody finansowej lub wizerunkowej organizacji. A zatem, nawet jeśli masz do dyspozycji ograniczoną liczbę ekspertów, możesz chronić swoją organizację przed złożonymi cyberatakami, ponieważ XDR oferuje:

  • zwiększoną automatyzację,
  • korzystanie z jednej konsoli,
  • środowisko pojedynczego jeziora danych,
  • ścisłą interakcję między narzędziami bezpieczeństwa IT w ramach rozwiązania XDR i wspólnych scenariuszy,
  • spójny obraz tego, co dzieje się w infrastrukturze,
  • wiarygodne i istotne dane pomagające w analizie zagrożeń,
  • doskonałą priorytetyzację incydentów,
  • zmniejszenie liczby fałszywych alarmów.

Czy korzystasz z rozwiązania XDR?

Nasze rozwiązania bezpieczeństwa na poziomie korporacyjnym współpracują ze sobą i umożliwiają ekspertom ds. cyberbezpieczeństwa wykrywanie i reagowanie na rozszerzonym poziomie. Dzięki bezproblemowej współpracy nasze produkty pozwalają organizacji kontrolować wszystkie kluczowe punkty wejścia do infrastruktury, zwiększać widoczność i zapewniać scentralizowaną ochronę. Więcej informacji dotyczących rozwiązań znajduje się na stronie Kaspersky Expert Security.

]]>
full large medium thumbnail
Jakie są możliwe konsekwencje złamania zabezpieczeń firmy Okta? https://plblog.kaspersky.com/okta-hack-consequences/15866/ Thu, 24 Mar 2022 14:16:29 +0000 https://plblog.kaspersky.com/?p=15866

Hakerzy należący do ugrupowania cyberprzestępczego LAPSUS$ opublikowali zrzuty ekranu, które rzekomo zrobione zostały z wnętrza systemów informatycznych Okta. Jeśli to prawda, przestępcy mają dostęp nie tylko do strony internetowej firmy, ale także do wielu innych systemów wewnętrznych, w tym tych o znaczeniu krytycznym.

LAPSUS$ twierdzi, że nie ukradł żadnych danych z samej firmy, a jego celem byli głównie klienci Okty. Sądząc po datach widocznych na zrzutach ekranu, atakujący mieli dostęp do systemów już w styczniu 2022 roku.

Czym jest Okta i dlaczego złamanie zabezpieczeń może być tak niebezpieczne?

Firma Okta tworzy i utrzymuje systemy zarządzania tożsamością i dostępem, w szczególności rozwiązanie do jednorazowego logowania. Z rozwiązań marki Okta korzysta ogromna liczba dużych firm.

Eksperci z firmy Kaspersky uważają, że dostęp do systemów Okta może wyjaśniać wiele dość głośnych wycieków danych z dużych firm, do których hakerzy z organizacji cyberprzestępczej LAPSUS$ już się przyznali.

W jaki sposób cyberprzestępcy uzyskują dostęp do systemów Okta?

W tej chwili nie ma jednoznacznych dowodów na to, że hakerzy naprawdę uzyskali dostęp. W oficjalnym oświadczeniu firmy Okta można przeczytać, że jej specjaliści prowadzą obecnie dochodzenie, a wszelkie szczegóły zostaną udostępnione po jego zakończeniu. Być może opublikowane zrzuty ekranu są związane z incydentem, który miał miejsce w styczniu, gdy nieznana osoba próbowała włamać się na konto inżyniera pomocy technicznej pracującego dla zewnętrznego podwykonawcy.

Aktualizacja, 23 marca 2022 r.: Organizacja LAPSUS$ opublikowała odpowiedź na oficjalne oświadczenie Okty, w którym oskarża tę firmę o próbę bagatelizowania znaczenia złamania zabezpieczeń.

Co wiadomo o ugrupowaniu LAPSUS$?

O ugrupowaniu LAPSUS$ zrobiło się głośno w 2020 r., kiedy włamało się ono do systemów brazylijskiego Ministerstwa Zdrowia. Najprawdopodobniej jest to latynoamerykańska grupa hakerów, którzy kradną informacje od dużych firm, a następnie żądają za nie okupu. Jeśli ofiary odmówią zapłaty, hakerzy publikują skradzione informacje w internecie. W przeciwieństwie do wielu innych ugrupowań ransomware, LAPSUS$ nie szyfruje danych, ale grozi wyciekiem danych w przypadku niepłacenia okupu.

Wśród znanych ofiar ugrupowania LAPSUS$ znajdują się takie firmy jak Nvidia, Samsung czy Ubisoft. Ponadto niedawno opublikowało ono 37 GB kodu, który może mieć związek z wewnętrznymi projektami Microsoftu.

Jak zadbać o swoje bezpieczeństwo?

W tej chwili nie można powiedzieć z absolutną pewnością, że incydent naprawdę miał miejsce. Samo opublikowanie zrzutów ekranu jest dość dziwnym posunięciem, które może mieć na celu autopromocję hakerów, być atakiem na reputację Okty lub próbą ukrycia prawdziwej metody, dzięki której grupa LAPSUS$ uzyskała dostęp do jednego z klientów Okty.

Nasi eksperci zalecają klientom Okta stosowanie następujących środków zabezpieczających:

  • Rygorystyczne monitorowanie aktywności sieciowej, w szczególności wszelkiej aktywności związanej z uwierzytelnianiem w systemach wewnętrznych.
  • Zapewnienie pracownikom dodatkowego szkolenia w zakresie cyberhigieny, przygotowanie ich do zachowania czujności i zobowiązanie do zgłaszania wszelkich podejrzanych działań.
  • Przeprowadzenie audytu bezpieczeństwa infrastruktury IT organizacji, który ujawni luki i podatne na ataki systemy.
  • Ograniczenie dostępu do narzędzi do zdalnego zarządzania z zewnętrznych adresów IP.
  • Upewnienie się, że dostęp do interfejsów zdalnego sterowania można uzyskać tylko z ograniczonej liczby punktów końcowych.
  • Udzielanie pracownikom wyłącznie ograniczonych uprawnień i zwracanie uwagi na to, aby były one adekwatne do zakresu wykonywanej pracy.
  • Korzystanie z rozwiązań do monitorowania, analizy i wykrywania ruchu sieciowego ICS, aby lepiej chronić się przed atakami, które potencjalnie zagrażają procesom technologicznym i głównym zasobom przedsiębiorstwa.

Firmy, które nie dysponują wewnętrznymi zasobami do monitorowania podejrzanych działań w swojej infrastrukturze IT, mogą skorzystać z pomocy zewnętrznych ekspertów.

]]>
full large medium thumbnail
MetaMask na celowniku oszustów: jak nie dać się zwieść? https://plblog.kaspersky.com/metamask-wallets-scam/15859/ Wed, 23 Mar 2022 13:05:19 +0000 https://plblog.kaspersky.com/?p=15859

Oszustwa związane z kryptowalutami istnieją od dawna. Kusząc ofiary darmowymi przelewami, bitcoinami, danymi logowania należącymi do innych osób i rzadkim sprzętem do generowania kryptowalut, cyberprzestępcy mają nadzieję, że uda im się zdobyć kryptowaluty zgromadzone na czyimś koncie. Przyjrzyjmy się kolejnemu schematowi oszustwa, które tym razem jest wymierzone we właścicieli kryptoportfeli MetaMask.

Czym jest MetaMask?

MetaMask to portfel dla łańcucha bloków Ethereum, który obsługuje wszystkie typy bazujących na nim tokenów (zarówno zwykłych, jak i niezamiennych, zwanych również NFT). Portfel występuje w postaci rozszerzenia dla przeglądarek Google Chrome, Firefox, Microsoft Edge i Brave, a także aplikacji dla systemów iOS i Android. Portfel MetaMask może być używany do dokonywania zakupów oraz tworzenia i zarabiania na treściach w zdecentralizowanej sieci.

Podobnie jak w przypadku podobnych portfeli, dostęp do niego jest zabezpieczony hasłem użytkownika utworzonym podczas rejestracji oraz wygenerowanym przez aplikację kluczem prywatnym składającym się z 64 znaków alfanumerycznych oraz tzw. seed phrase, czyli zestawu 12 (rzadziej 24) słów.

Znakomita większość właścicieli kryptoportfeli rozumie, że hasła ani klucza prywatnego nie można nikomu udostępniać, jednak osoby początkujące w tej materii często nie są tej zasady świadome. Seed phrase to zasadniczo słowne odzwierciedlenie klucza prywatnego, które umożliwia przywrócenie dostępu do konta. Innymi słowy, jeśli ktoś ją pozna, będzie mógł zalogować się na Twoje konto i zdobyć zgromadzone tam kryptowaluty. To sprawia, że mocno interesują się nią oszuści.

E-mail z groźbą zablokowania Twojego konta

Oszustwo zaczyna się od masowego wysłania wiadomości e-mail, w której wykorzystywana jest jedna z ulubionych sztuczek psychologicznych cyberprzestępców — zastraszanie. Ofierze grozi się, że jeśli natychmiast nie zweryfikuje swojego konta w MetaMask, zostanie ono zawieszone.

Aby wiadomość wydawała się bardziej wiarygodna, cyberprzestępcy umieszczają w niej nazwę i logo firmy, a w polu nadawcy wpisują pomoc techniczną. Pewne wątpliwości może wzbudzać tylko adres, z którego pochodzi e-mail.

Oszuści proszą ofiarę o zweryfikowanie konta

Pierwszą oznaką, że mamy do czynienia z oszustwem, jest literówka w nazwie firmy widoczna w adresie e-mail (metamasks zamiast metamask). Drugą oznaką jest domena — część adresu widoczna za symbolem @. Szanowane firmy zwykle używają swojej nazwy jako domeny, na przykład account-security-noreply@microsoft.com. W opisywanym przypadku domena nie ma żadnego związku z firmą MetaMask. Co więcej, adres zakończony „.de” wskazuje, że adres jest zarejestrowany w Niemczech, co również jest dziwne, zważywszy na to, że MetaMask jest firmą amerykańską.

Aby zweryfikować konto, ofiara ma kliknąć umieszczony w wiadomości e-mail link. Jednak nieprawidłowa domena, dodatkowe słowa i nazwy zagranicznych marek wyraźnie sugerują, że z wiadomością jest coś nie tak.

Wprowadź seed phrase

Jeśli ofiara nie zauważy tych znaków ostrzegawczych i kliknie link, zostanie przeniesiona na fałszywą stronę logowania, która przypomina oficjalną stronę MetaMask.

Ofiara jest proszona o wpisanie hasła do portfela

Oszuści nakłaniają ofiarę do wpisania w formularzu swojego tajnego zestawu słów, rzekomo w celu odblokowania portfela. Jeśli użytkownik je wprowadzi, zostanie przekierowany na prawdziwą stronę MetaMask, jednak od tej pory jego portfel będzie już w rękach cyberprzestępców.

Jak chronić swój portfel?

Cyberprzestępcy nieustannie wymyślają nowe i coraz bardziej wyrafinowane sposoby oszukiwania osób inwestujących w kryptowaluty. Jednak większość szwindli charakteryzuje kilka wspólnych cech, po których można je rozpoznać. Aby nie wpaść w zastawioną na nas pułapkę, zwykle wystarczy przestrzegać kilku prostych zasad bezpieczeństwa:

  • Uważaj na e-maile i wiadomości zawierające prośbę o zapłatę lub w których ktoś grozi Ci zablokowaniem konta, ewentualnie oferuje szybkie wzbogacenie się.
  • Zwróć uwagę na adres nadawcy. Jeśli nazwa firmy jest napisana niepoprawnie lub domena wygląda jak zestaw losowych znaków, prawie na pewno jest to oszustwo.
  • Pilnie strzeż informacji o sobie oraz danych logowania do konta i uzyskiwania dostępu do pieniędzy. Dowiedz się, jak działa system bezpieczeństwa kryptoportfeli, jakich informacji może wymagać od Ciebie usługa pomocy technicznej oraz czego nigdy nie należy nikomu udostępniać.
  • Korzystaj z niezawodnego rozwiązania zapewniającego ochronę przed oszustwami internetowymi i phishingiem, aby chronić swoje pieniądze przed wszelkiego rodzaju oszustwami.
]]>
full large medium thumbnail
Szkody poboczne – w dziedzinie cyberbezpieczeństwa https://plblog.kaspersky.com/collateral-damage-on-cybersecurity/15851/ Thu, 17 Mar 2022 09:14:22 +0000 https://plblog.kaspersky.com/?p=15851

W ciągu ostatnich trzech tygodni wojna w Ukrainie zniszczyła świat, który znaliśmy. W jej efekcie ucierpiały rodziny, relacje, partnerstwa i więzi na całym świecie. Lawina tych tragicznych wydarzeń dotyka nas wszystkich.

Dotknęła również moje przedsiębiorstwo — największą na świecie prywatną firmę zajmującą się cyberbezpieczeństwem, która nosi moje nazwisko. W tym tygodniu niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) wydał ostrzeżenie dotyczące korzystania z produktów i rozwiązań firmy Kaspersky, powołując się na potencjalne zagrożenia dla bezpieczeństwa IT. Nie wdając się w szczegóły, mogę stwierdzić, że są to spekulacje — tezy te nie są poparte żadnymi obiektywnymi dowodami ani szczegółami technicznymi. Powód jest prosty. W ciągu 25-letniej historii firmy nigdy nie przedstawiono żadnych dowodów, które potwierdzałyby zasadność niezliczonych oskarżeń, jakoby była ona wykorzystywana do szkodliwych celów lub jej działalność była w jakikolwiek sposób nadużywana.

Z uwagi na brak takich dowodów mogę jedynie stwierdzić, że decyzja BSI została podjęta wyłącznie z powodów politycznych. To smutna ironia, że organizacja opowiadająca się za obiektywnością, transparentnością i kompetencjami technicznymi – tymi samymi wartościami, które firma Kaspersky wspiera od lat wraz z BSI i innymi europejskimi organami regulacyjnymi i branżowymi – zdecydowała lub została zmuszona do porzucenia swoich zasad dosłownie z dnia na dzień. Kaspersky, wieloletni partner i współpracownik BSI i niemieckiej branży cyberbezpieczeństwa, otrzymał zaledwie kilka godzin na zajęcie się tymi fałszywymi i bezpodstawnymi zarzutami. To nie jest zaproszenie do dialogu – to zniewaga.

Pomimo nieustannych propozycji ze strony firmy Kaspersky do przeprowadzenia szczegółowego audytu naszego kodu źródłowego, aktualizacji, architektury i procesów w naszych centrach transparentności w Europie, BSI nigdy tego nie zrobiło. Decyzja ta wygodnie pomija również fakt, że firma Kaspersky od lat jest pionierem w zwiększaniu transparentności poprzez poświęcenie wielu milionów euro na przeniesienie danych o zagrożeniach pochodzących od naszych europejskich Klientów do Szwajcarii w ramach naszej globalnej inicjatywy transparentności. Dlatego decyzję BSI uważam za nieuzasadniony i niesprawiedliwy atak na moją firmę, a w szczególności na pracowników firmy Kaspersky w Niemczech i Europie. Co ważniejsze, jest to również atak na dużą grupę konsumentów w Niemczech, którzy ufają firmie Kaspersky — dwa tygodnie temu zostaliśmy nagrodzeni za najlepszy produkt zabezpieczający (przez organizację AV-Test). Jest to również atak na stanowiska tysięcy niemieckich specjalistów ds. bezpieczeństwa IT, na funkcjonariuszy organów ścigania, których przeszkoliliśmy w zakresie walki z najnowocześniejszą cyberprzestępczością, na niemieckich studentów informatyki, którym pomogliśmy zdobyć umiejętności dające im gotowość do pracy, na naszych partnerów w projektach badawczych w najbardziej krytycznych obszarach cyberbezpieczeństwa oraz na dziesiątki tysięcy niemieckich i europejskich firm każdej wielkości, które chronimy przed całym spektrum cyberataków.

Uszczerbek dla reputacji i biznesu wynikający z decyzji BSI jest już ogromny. Mam tylko jedno pytanie – jaki jest cel takiego działania? Wycofanie marki Kaspersky w Niemczech nie sprawi, że Niemcy czy Europa będą bezpieczniejsze. Wręcz przeciwnie. Zgodnie z decyzją BSI niemieckim użytkownikom zdecydowanie zaleca się natychmiastowe odinstalowanie jedynego programu antywirusowego, który według AV-Test — niezależnego niemieckiego instytutu bezpieczeństwa IT — gwarantuje 100% ochronę przed oprogramowaniem ransomware. Oznacza to, że czołowi niemieccy producenci sprzętu przemysłowego nie będą już otrzymywać informacji o krytycznych lukach w oprogramowaniu i sprzęcie od zespołu Kaspersky ICS-CERT — organizacji, która jest znana z odpowiedzialnego ujawniania takich danych. Oznacza to, że niemieccy giganci motoryzacyjni pozostaną nieświadomi błędów, które mogą umożliwiać zaatakowanie całego pokładowego systemu komputerowego i zmianę jego logiki. Skutkiem będzie pojawienie się ogromnego martwego punktu na powierzchni ataków, z którym będą musiały poradzić sobie osoby odpowiedzialne za reagowanie na incydenty i operatorzy centrów operacji bezpieczeństwa w Europie, którzy nie będą już otrzymywać danych o zagrożeniach z całego świata – a w szczególności z Rosji.

Moja wiadomość dla BSI, które obecnie wydaje się unikać kontaktów z naszym niemieckim oddziałem, jest następująca: uważamy tę decyzję za niesprawiedliwą i całkowicie błędną. Niemniej jednak pozostajemy otwarci na rozwiązywanie wszelkich problemów w sposób obiektywny, techniczny i uczciwy. Jesteśmy wdzięczni europejskim organom regulacyjnym i ekspertom branżowym, którzy przyjęli bardziej zrównoważone podejście i nawołują do przeprowadzenia dodatkowej analizy technicznej oraz kontroli rozwiązań bezpieczeństwa i łańcucha dostaw IT. Ja jestem w pełni zaangażowany we współpracę i dostarczanie wszystkich informacji wymaganych od firmy Kaspersky w trakcie tego procesu. Naszym niemieckim i europejskim Klientom chcę powiedzieć, że jesteśmy niezmiernie wdzięczni za wybór firmy Kaspersky i że będziemy nadal robić to, co robimy najlepiej – chronić Państwa przed wszystkimi cyberzagrożeniami, bez względu na to, skąd pochodzą, zachowując jednocześnie pełną transparentność w odniesieniu do naszej technologii i działalności.

Wojna w Ukrainie może zakończyć się tylko poprzez dyplomację. Wszyscy mamy nadzieję na zaprzestanie działań wojennych i kontynuowanie dialogu. Ta wojna jest tragedią, która już przyniosła cierpienie niewinnym ludziom i reperkusje w całym naszym hiperpołączonym świecie. Globalna branża cyberbezpieczeństwa, która została zbudowana w oparciu o zaufanie i współpracę w celu ochrony łączących nas ze sobą cyfrowych powiązań, może doświadczyć niezamierzonych szkód pobocznych – a tym samym sprawić, że wszyscy będą jeszcze mniej bezpieczni.

]]>
full large medium thumbnail
Oświadczenie firmy Kaspersky | Oficjalny blog Kaspersky https://plblog.kaspersky.com/oswiadczenie-firmy-kaspersky/15847/ Wed, 16 Mar 2022 12:37:13 +0000 https://plblog.kaspersky.com/?p=15847 Firma Kaspersky z zadowoleniem przyjmuje wszystkie decyzje oparte na walidacjach technicznych. Jesteśmy zawsze otwarci na oceny techniczne produktów firmy Kaspersky i niezmiennie opowiadamy się za takim podejściem, stosowanym przez organy regulacyjne ds. cyberbezpieczeństwa w całej Europie. Po raz kolejny zapraszamy organy regulacyjne i Klientów do naszych Centrów transparentności, w których można uzyskać dostęp do kodu źródłowego naszych rozwiązań, aktualizacji oprogramowania i procesów wewnętrznych w celu przeprowadzenia ich dokładnej kontroli.

Podtrzymujemy swoje zapewnienia dla naszych Partnerów i Klientów, że jakość, bezpieczeństwo i integralność naszych produktów nie uległy zmianie. Ponadto uważamy, że transparentność i nieustanne wdrażanie konkretnych środków potwierdzają nasze stałe zaangażowanie w uczciwość i wiarygodność wobec naszych Klientów i mają kluczowe znaczenie. Kaspersky jest prywatną firmą globalną zajmującą się cyberbezpieczeństwem i nie ma żadnych powiązań z rządem rosyjskim ani żadnym innym.

]]>
full large medium thumbnail
Linki podczas głośnych wydarzeń: klikać czy nie klikać https://plblog.kaspersky.com/geopolitics-opportunistic-malware-phishing/15842/ Wed, 16 Mar 2022 11:45:48 +0000 https://plblog.kaspersky.com/?p=15842 Na tym blogu często publikujemy posty, w których opisujemy, w jaki sposób cyberprzestępcy wykorzystują każdą okazję, aby szybko zarobić lub przeniknąć do infrastruktury jakiejś firmy. Przeżyliśmy już cyberataki wykorzystujące tematykę koronawirusa, Mistrzostw Świata, Igrzysk Olimpijskich, wyborów i wielu innych dużych wydarzeń.

Dlaczego tak się dzieje? Chodzi o to, że takie tematy są bardzo popularne i wzbudzają zainteresowanie. A my czasami tracimy zdrowy rozsądek i klikamy oraz udostępniamy wszystko, co widzimy, znajomym, rodzinie, współpracownikom i prawie każdej osobie w mediach społecznościowych.

Dziś oczy świata zwrócone są w stronę geopolitycznego konfliktu na Ukrainie. Coraz więcej osób zastanawia się, co może z tym zrobić – ale wśród nich znajdują się także cyberprzestępcy, którzy chcą szybko zarobić.

W różnych sieciach społecznościowych niezmiernie popularne są konkretne hashtagi i informacje o bieżących wydarzeniach. Czasami może się wydawać, że osoby, które znasz od lat, zamieniły się w boty, które automatycznie udostępniają dalej wszystko, o czym mówi w danej chwili świat.

Są też tacy, którzy chcą zrobić coś więcej. Coraz więcej osób chce dołączyć do ugrupowań zajmujących się haktywizmem i nie przeszkadza im nawet brak umiejętności technicznych. Bardziej doświadczeni technicznie haktywiści pomagają swoim mniej technicznym braciom, podsuwając im linki umożliwiające dołączanie do takich ugrupowań i pisząc dla nich skrypty.

To zrozumiałe, że ludzie chcą się zaangażować i pomagać, jednak równocześnie nie można zapominać, że takie działania mogą być nielegalne. Jeśli chcesz brać udział w tego typu akcjach, upewnij się, że rozumiesz, co robisz — zarówno pod względem etycznym i prawnym, jak i w zgodzie ze swoim sumieniem.

Co więcej, pamiętaj o cyberzagrożeniach. Nasi koledzy z firmy Talos przeprowadzili niedawno badanie, z którego można się dowiedzieć, że aktualnie oszuści tworzą wiele rzekomo przydatnych narzędzi, będących w rzeczywistości szkodliwym oprogramowaniem.

Wezwania do podjęcia działań są również popularne wśród przestępców, a wszelkie kampanie mogą być elementem ataków typu phishing ukierunkowany.

Jak zachować bezpieczeństwo?

Myśl samodzielnie. Niech nikt nie mówi Ci, co masz robić. Pamiętaj, że każda decyzja, którą podejmujesz, musi opierać się na solidnych faktach, a nie na fałszywych wiadomościach. Zawsze przeprowadzaj własne rozeznanie i staraj się w jak najszerszym stopniu zrozumieć pełne konsekwencje swoich działań.

Sprawdzaj nadawców wiadomości e-mail. Aby zminimalizować ryzyko, że padniesz ofiarą szkodliwej wiadomości e-mail, zawsze sprawdzaj, kim jest nadawca. Nawet jeśli nazwa w polu nadawcy wydaje Ci się znajoma, upewnij się, że wiadomość e-mail pochodzi z zaufanego źródła lub legalnej firmy/osoby, która się z Tobą kontaktuje.

Sprawdź linki. Zanim klikniesz jakieś łącze, upewnij się, że prowadzi ono do legalnej strony internetowej. Działając w emocjach, możesz coś przeoczyć, więc lepiej zachowaj czujność w odniesieniu do wszystkich łączy i przycisków widocznych w wiadomości e-mail.

Nie instaluj podejrzanych pakietów. Każdy chyba słyszał o tym, że nie wolno brać cukierków od osób nieznajomych. Analogicznie nie należy pobierać czegokolwiek za pośrednictwem wiadomości e-mail lub strony, co do których nie masz pewności, czy są godne zaufania. A jeśli zamierzasz coś pobrać, przynajmniej wykonaj skanowanie za pomocą niezawodnego programu antywirusowego.

]]>
full large medium thumbnail