Mada ya virusi vya corona leo imejaza mipasho yote ya habari, na pia imekuwa kielelezo kikuu cha shughuli mbalimbali za wavamizi wanaotumia vibaya mada ya COVID-19 na kila kitu kinachohusiana nayo. Katika dokezo hili, ningependa kuzingatia mifano kadhaa ya shughuli mbaya kama hii, ambayo, kwa kweli, sio siri kwa wataalam wengi wa usalama wa habari, lakini muhtasari ambao katika noti moja utafanya iwe rahisi kuandaa ufahamu wako mwenyewe. -kuongeza matukio kwa wafanyakazi, ambao baadhi yao hufanya kazi kwa mbali na wengine huathirika zaidi na matishio mbalimbali ya usalama wa habari kuliko hapo awali.
Dakika ya utunzaji kutoka kwa UFO
Ulimwengu umetangaza rasmi janga la COVID-19, maambukizo hatari ya kupumua kwa papo hapo yanayosababishwa na coronavirus ya SARS-CoV-2 (2019-nCoV). Kuna maelezo mengi kuhusu Habre kuhusu mada hii - kumbuka daima kwamba inaweza kuaminika/kufaa na kinyume chake.
Tunakuhimiza ukosoaji wa habari yoyote iliyochapishwa.
Vyanzo rasmi
- Tovuti na vikundi rasmi vya makao makuu ya kazi katika mikoa
Ikiwa huishi Urusi, tafadhali rejelea tovuti zinazofanana katika nchi yako.
Osha mikono yako, watunze wapendwa wako, kaa nyumbani ikiwezekana na ufanye kazi kwa mbali.Soma machapisho kuhusu: |
Ikumbukwe kwamba hakuna vitisho vipya kabisa vinavyohusishwa na coronavirus leo. Badala yake, tunazungumza juu ya vekta za kushambulia ambazo tayari zimekuwa za kitamaduni, zinazotumiwa tu katika "mchuzi" mpya. Kwa hivyo, ningeita aina kuu za vitisho:
- tovuti za kuhadaa ili kupata maelezo ya kibinafsi na majarida yanayohusiana na virusi vya corona na msimbo hasidi unaohusiana nao
- Ulaghai na taarifa potofu zinazolenga kutumia hofu au taarifa zisizo kamili kuhusu COVID-19
- mashambulizi dhidi ya mashirika yanayohusika katika utafiti wa coronavirus
Huko Urusi, ambapo raia kwa jadi hawaamini mamlaka na wanaamini kuwa wanaficha ukweli kutoka kwao, uwezekano wa "kukuza" tovuti za ulaghai na orodha za barua pepe, pamoja na rasilimali za ulaghai, ni kubwa zaidi kuliko katika nchi zilizo wazi zaidi. mamlaka. Ingawa leo hakuna mtu anayeweza kujiona amelindwa kabisa kutoka kwa wadanganyifu wa ubunifu wa mtandao ambao hutumia udhaifu wote wa kibinadamu wa mtu - hofu, huruma, uchoyo, nk.
Chukua, kwa mfano, tovuti ya ulaghai inayouza barakoa za matibabu.
Tovuti kama hiyo, CoronavirusMedicalkit[.]com, ilifungwa na mamlaka ya Marekani kwa kusambaza chanjo isiyokuwapo ya COVID-19 bila malipo na malipo ya "pekee" ya kusafirisha dawa hiyo. Katika kesi hii, kwa bei ya chini kama hiyo, hesabu ilikuwa kwa mahitaji ya haraka ya dawa katika hali ya hofu huko Merika.
Hili sio tishio la kawaida la cyber, kwani kazi ya washambuliaji katika kesi hii sio kuambukiza watumiaji au kuiba data zao za kibinafsi au habari ya kitambulisho, lakini kwa wimbi la hofu kuwalazimisha kuhama na kununua barakoa za matibabu kwa bei iliyoongezeka. kwa mara 5-10-30 kuzidi gharama halisi. Lakini wazo lenyewe la kuunda tovuti bandia inayotumia mada ya coronavirus pia linatumiwa na wahalifu wa mtandao. Kwa mfano, hapa kuna tovuti ambayo jina lake lina neno msingi "covid19", lakini ambayo pia ni tovuti ya kuhadaa ili kupata maelezo ya kibinafsi.
Kwa ujumla, ufuatiliaji wa kila siku huduma yetu ya uchunguzi wa matukio , unaona ni vikoa vingapi vinaundwa ambavyo majina yao yana maneno covid, covid19, coronavirus, n.k. Na wengi wao ni wabaya.
Katika mazingira ambapo baadhi ya wafanyakazi wa kampuni wanahamishwa kwenda kufanya kazi kutoka nyumbani na hawajalindwa na hatua za usalama za shirika, ni muhimu zaidi kuliko hapo awali kufuatilia rasilimali zinazopatikana kutoka kwa vifaa vya rununu na vya mezani vya wafanyikazi, kwa kujua au bila wao. maarifa. Ikiwa hutumii huduma kugundua na kuzuia vikoa kama hivyo (na Cisco muunganisho wa huduma hii sasa haulipishwi), kisha usanidi masuluhisho yako ya ufuatiliaji wa ufikiaji wa Wavuti ili kufuatilia vikoa vilivyo na maneno muhimu yanayofaa. Wakati huo huo, kumbuka kuwa mbinu ya jadi ya kuorodhesha vikoa, na pia kutumia hifadhidata za sifa, inaweza kushindwa, kwani vikoa vibaya huundwa haraka sana na hutumiwa katika shambulio 1-2 tu kwa muda usiozidi masaa machache - basi. washambuliaji hubadilisha hadi vikoa vipya vya muda mfupi. Kampuni za usalama wa habari hazina wakati wa kusasisha haraka misingi yao ya maarifa na kuzisambaza kwa wateja wao wote.
Wavamizi wanaendelea kutumia njia ya barua pepe kikamilifu ili kusambaza viungo vya kuhadaa ili kupata maelezo ya kibinafsi na programu hasidi katika viambatisho. Na ufanisi wao ni wa juu sana, kwani watumiaji, wanapopokea barua pepe za habari za kisheria kabisa kuhusu coronavirus, hawawezi kila wakati kutambua kitu kibaya katika sauti yao. Na wakati idadi ya watu walioambukizwa inakua tu, anuwai ya vitisho kama hivyo pia itakua tu.
Kwa mfano, hivi ndivyo mfano wa barua pepe ya hadaa kwa niaba ya CDC unavyoonekana:
Kufuatia kiunga, kwa kweli, hakuelekezi kwa wavuti ya CDC, lakini kwa ukurasa bandia ambao huiba kuingia na nenosiri la mwathirika:
Huu hapa ni mfano wa barua pepe ya kuhadaa ili kupata maelezo ya kibinafsi kwa niaba ya Shirika la Afya Ulimwenguni:
Na katika mfano huu, washambuliaji wanahesabu ukweli kwamba watu wengi wanaamini kuwa mamlaka inaficha kiwango cha kweli cha maambukizi kutoka kwao, na kwa hiyo watumiaji kwa furaha na karibu bila kusita bonyeza aina hizi za barua na viungo vibaya au viambatisho ambavyo. eti itafichua siri zote.
Kwa njia, kuna tovuti kama hiyo , ambayo inakuwezesha kufuatilia viashiria mbalimbali, kwa mfano, vifo, idadi ya wavuta sigara, idadi ya watu katika nchi tofauti, nk. Tovuti pia ina ukurasa maalum kwa coronavirus. Na kwa hivyo nilipoiendea mnamo Machi 16, niliona ukurasa ambao kwa muda ulinifanya nitilie shaka kuwa viongozi walikuwa wakituambia ukweli (sijui sababu ya nambari hizi ni nini, labda makosa tu):
Mojawapo ya miundomsingi maarufu ambayo wavamizi hutumia kutuma barua pepe sawia ni Emotet, mojawapo ya matishio hatari na maarufu ya siku za hivi majuzi. Hati za maneno zilizoambatishwa kwa barua pepe zina vipakuzi vya Emotet, ambavyo hupakia moduli mpya hasidi kwenye kompyuta ya mwathiriwa. Hapo awali Emotet ilitumiwa kukuza viungo vya tovuti za ulaghai zinazouza barakoa za matibabu, zikilenga wakazi wa Japani. Hapo chini unaona matokeo ya kuchambua faili mbaya kwa kutumia sandboxing , ambayo huchambua faili kwa nia mbaya.
Lakini washambuliaji hutumia sio tu uwezo wa kuzindua katika MS Word, lakini pia katika programu zingine za Microsoft, kwa mfano, katika MS Excel (hivi ndivyo kikundi cha wadukuzi wa APT36 kilifanya), kutuma mapendekezo juu ya kupambana na coronavirus kutoka kwa Serikali ya India iliyo na Crimson. PANYA:
Kampeni nyingine hasidi inayotumia mada ya coronavirus ni Nanocore RAT, ambayo hukuruhusu kusakinisha programu kwenye kompyuta za mwathirika kwa ufikiaji wa mbali, kunasa viboko vya kibodi, kunasa picha za skrini, kufikia faili, n.k.
Na Nanocore RAT kawaida hutolewa kwa barua pepe. Kwa mfano, hapa chini unaona mfano wa ujumbe wa barua ulio na kumbukumbu ya ZIP iliyoambatishwa ambayo ina faili ya PIF inayoweza kutekelezeka. Kwa kubofya faili inayoweza kutekelezwa, mwathirika huweka programu ya kufikia kijijini (Zana ya Ufikiaji wa Mbali, RAT) kwenye kompyuta yake.
Huu hapa ni mfano mwingine wa vimelea vya kampeni kwenye mada ya COVID-19. Mtumiaji hupokea barua kuhusu kinachotarajiwa kucheleweshwa kwa sababu ya coronavirus na ankara iliyoambatishwa yenye kiendelezi cha .pdf.ace. Ndani ya kumbukumbu iliyobanwa kuna maudhui yanayoweza kutekelezwa ambayo huanzisha muunganisho kwa seva ya amri na udhibiti ili kupokea amri za ziada na kutekeleza malengo mengine ya mshambuliaji.
Parallax RAT ina utendakazi sawa, ambayo husambaza faili iitwayo "CORONAVIRUS anga 03.02.2020/XNUMX/XNUMX.pif" na ambayo husakinisha programu hasidi inayoingiliana na seva yake ya amri kupitia itifaki ya DNS. Zana za ulinzi wa darasa la EDR, mfano ambao ni , na ama NGFW itasaidia kufuatilia mawasiliano na seva za amri (kwa mfano, ), au zana za ufuatiliaji za DNS (kwa mfano, ).
Katika mfano ulio hapa chini, programu hasidi ya ufikiaji wa mbali ilisakinishwa kwenye kompyuta ya mwathiriwa ambaye, kwa sababu isiyojulikana, alinunua katika utangazaji kwamba programu ya kawaida ya kuzuia virusi iliyosakinishwa kwenye Kompyuta inaweza kumlinda dhidi ya COVID-19 halisi. Na baada ya yote, mtu alianguka kwa utani kama huo.
Lakini kati ya programu hasidi pia kuna mambo ya kushangaza sana. Kwa mfano, faili za utani zinazoiga kazi ya ransomware. Katika kesi moja, mgawanyiko wetu wa Cisco Talos faili inayoitwa CoronaVirus.exe, ambayo ilizuia skrini wakati wa utekelezaji na kuanzisha kipima muda na ujumbe "kufuta faili na folda zote kwenye kompyuta hii - coronavirus."
Baada ya kumaliza kuhesabu, kitufe kilicho chini kilianza kufanya kazi na kilipobonyezwa, ujumbe ufuatao ulionyeshwa, ukisema kuwa hii yote ni utani na unapaswa kubonyeza Alt+F12 ili kumaliza programu.
Mapambano dhidi ya barua pepe mbaya inaweza kuwa otomatiki, kwa mfano, kutumia , ambayo hukuruhusu kugundua sio tu yaliyomo hasidi kwenye viambatisho, lakini pia kufuatilia viungo vya ulaghai na kubofya. Lakini hata katika kesi hii, usipaswi kusahau kuhusu watumiaji wa mafunzo na kufanya mara kwa mara simuleringar za ulaghai na mazoezi ya mtandao, ambayo itatayarisha watumiaji kwa hila mbalimbali za washambuliaji zinazolenga watumiaji wako. Hasa ikiwa wanafanya kazi kwa mbali na kupitia barua pepe zao za kibinafsi, msimbo hasidi unaweza kupenya kwenye mtandao wa shirika au idara. Hapa ningeweza kupendekeza suluhisho mpya , ambayo inaruhusu sio tu kufanya mafunzo madogo na nano ya wafanyikazi juu ya maswala ya usalama wa habari, lakini pia kuandaa maiga ya ulaghai kwao.
Lakini ikiwa kwa sababu fulani hauko tayari kutumia suluhisho kama hizo, basi inafaa kupanga barua za kawaida kwa wafanyikazi wako na ukumbusho wa hatari ya ulaghai, mifano yake na orodha ya sheria za tabia salama (jambo kuu ni kwamba. washambuliaji hawajifichi kama wao). Kwa njia, moja ya hatari zinazowezekana kwa sasa ni barua pepe za ulaghai zinazojifanya kuwa barua kutoka kwa usimamizi wako, ambazo inadaiwa zinazungumza juu ya sheria na taratibu mpya za kazi ya mbali, programu ya lazima ambayo lazima isakinishwe kwenye kompyuta za mbali, nk. Na usisahau kwamba pamoja na barua pepe, wahalifu wa mtandao wanaweza kutumia wajumbe wa papo hapo na mitandao ya kijamii.
Katika aina hii ya programu ya utumaji barua au kukuza ufahamu, unaweza pia kujumuisha mfano wa kawaida wa ramani bandia ya maambukizi ya coronavirus, ambayo ilikuwa sawa na ile Chuo Kikuu cha Johns Hopkins. Tofauti ilikuwa kwamba wakati wa kufikia tovuti ya hadaa, programu hasidi ilisakinishwa kwenye kompyuta ya mtumiaji, ambayo iliiba maelezo ya akaunti ya mtumiaji na kuyatuma kwa wahalifu wa mtandao. Toleo moja la programu kama hiyo pia liliunda miunganisho ya RDP kwa ufikiaji wa mbali kwa kompyuta ya mwathirika.
Kwa njia, kuhusu RDP. Hii ni vector nyingine ya mashambulizi ambayo washambuliaji wanaanza kutumia kikamilifu wakati wa janga la coronavirus. Kampuni nyingi, zinapohamia kazi za mbali, hutumia huduma kama vile RDP, ambayo, ikiwa imesanidiwa vibaya kwa sababu ya haraka, inaweza kusababisha washambuliaji kujipenyeza kwenye kompyuta za watumiaji wa mbali na ndani ya miundombinu ya shirika. Zaidi ya hayo, hata ukiwa na usanidi sahihi, utekelezaji mbalimbali wa RDP unaweza kuwa na udhaifu unaoweza kutumiwa na washambuliaji. Kwa mfano, Cisco Talos udhaifu mwingi katika FreeRDP, na Mei mwaka jana, hatari kubwa ya CVE-2019-0708 iligunduliwa katika huduma ya Microsoft Remote Desktop, ambayo iliruhusu msimbo kiholela kutekelezwa kwenye kompyuta ya mwathiriwa, programu hasidi kuanzishwa, n.k. Jarida kuhusu yeye hata lilisambazwa , na, kwa mfano, Cisco Talos mapendekezo ya ulinzi dhidi yake.
Kuna mfano mwingine wa unyonyaji wa mada ya coronavirus - tishio la kweli la kuambukizwa kwa familia ya mwathirika ikiwa watakataa kulipa fidia kwa bitcoins. Ili kuongeza athari, kutoa umuhimu wa barua na kuunda hisia ya uweza wa mnyang'anyi, nenosiri la mwathirika kutoka kwa moja ya akaunti zake, lililopatikana kutoka kwa hifadhidata za umma za kuingia na nywila, liliingizwa kwenye maandishi ya barua.
Katika mojawapo ya mifano hapo juu, nilionyesha ujumbe wa hadaa kutoka kwa Shirika la Afya Ulimwenguni. Na huu hapa ni mfano mwingine ambao watumiaji huombwa usaidizi wa kifedha ili kupambana na COVID-19 (ingawa kwenye kichwa katika sehemu kuu ya barua, neno βMCHANGOβ linaonekana mara moja). Na wanaomba usaidizi wa kutumia bitcoins ili kujikinga na ugonjwa huo. kufuatilia cryptocurrency.
Na leo kuna mifano mingi kama hii inayotumia huruma ya watumiaji:
Bitcoins zinahusiana na COVID-19 kwa njia nyingine. Kwa mfano, hivi ndivyo barua zinazopokelewa na raia wengi wa Uingereza ambao wameketi nyumbani na hawawezi kupata pesa zinaonekana kama (huko Urusi sasa hii pia itakuwa muhimu).
Yakiwa yanajifanya kuwa magazeti na tovuti zinazojulikana, barua pepe hizi hutoa pesa kwa urahisi kwa kuchimba sarafu za siri kwenye tovuti maalum. Kwa kweli, baada ya muda fulani, unapokea ujumbe kwamba kiasi ulichopata kinaweza kutolewa kwa akaunti maalum, lakini unahitaji kuhamisha kiasi kidogo cha kodi kabla ya hapo. Ni wazi kwamba baada ya kupokea pesa hizi, wadanganyifu hawahamishi chochote kwa malipo, na mtumiaji mwenye udanganyifu hupoteza pesa zilizohamishwa.
Kuna tishio lingine linalohusishwa na Shirika la Afya Ulimwenguni. Wadukuzi walidukua mipangilio ya DNS ya vipanga njia vya D-Link na Linksys, ambazo mara nyingi hutumiwa na watumiaji wa nyumbani na biashara ndogo ndogo, ili kuzielekeza kwenye tovuti bandia yenye onyo ibukizi kuhusu haja ya kusakinisha programu ya WHO, ambayo itawaweka huru. habari za hivi punde kuhusu coronavirus. Kwa kuongezea, programu yenyewe ilikuwa na programu mbaya ya Oski, ambayo huiba habari.
Wazo sawa na programu iliyo na hali ya sasa ya maambukizi ya COVID-19 hutumiwa na Android Trojan CovidLock, ambayo inasambazwa kupitia programu ambayo inasemekana "imeidhinishwa" na Idara ya Elimu ya Marekani, WHO na Kituo cha Kudhibiti Mlipuko ( CDC).
Watumiaji wengi leo wamejitenga na, hawataki au hawawezi kupika, hutumia huduma za utoaji kwa chakula, mboga au bidhaa zingine, kama vile karatasi ya choo. Wavamizi pia wameijua vekta hii kwa madhumuni yao wenyewe. Kwa mfano, hivi ndivyo tovuti hasidi inavyoonekana, sawa na rasilimali halali inayomilikiwa na Canada Post. Kiungo kutoka kwa SMS iliyopokelewa na mwathiriwa huelekeza kwenye tovuti ambayo inaripoti kuwa bidhaa iliyoagizwa haiwezi kuwasilishwa kwa sababu ni $3 pekee ambayo haipo, ambayo lazima ilipwe zaidi. Katika kesi hii, mtumiaji anaelekezwa kwenye ukurasa ambapo lazima aonyeshe maelezo ya kadi yake ya mkopo ... na matokeo yote yanayofuata.
Kwa kumalizia, ningependa kutoa mifano miwili zaidi ya vitisho vya mtandao vinavyohusiana na COVID-19. Kwa mfano, programu-jalizi za "COVID-19 Coronavirus - Programu-jalizi ya WordPress ya Ramani Moja kwa Moja", "Grafu za Utabiri wa Kuenea kwa Coronavirus" au "Covid-19" zimeundwa katika tovuti kwa kutumia injini maarufu ya WordPress na, pamoja na kuonyesha ramani ya kuenea kwa coronavirus, pia ina programu hasidi ya WP-VCD. Na kampuni ya Zoom, ambayo, baada ya kuongezeka kwa idadi ya matukio ya mtandaoni, ikawa maarufu sana, ilikabiliwa na kile wataalam waliita "Zoombombing." Washambuliaji, lakini kwa kweli ni wachezaji wa kawaida wa ponografia, waliunganishwa kwenye gumzo za mtandaoni na mikutano ya mtandaoni na walionyesha video mbalimbali chafu. Kwa njia, tishio kama hilo linakabiliwa leo na makampuni ya Kirusi.
Nadhani wengi wetu huangalia rasilimali anuwai mara kwa mara, zote rasmi na sio rasmi, juu ya hali ya sasa ya janga hili. Wavamizi wanatumia mada hii vibaya, wakitupa taarifa "za hivi punde" kuhusu virusi vya corona, ikiwa ni pamoja na taarifa "ambayo mamlaka inakuficha." Lakini hata watumiaji wa kawaida wa kawaida hivi majuzi mara nyingi wamesaidia washambuliaji kwa kutuma misimbo ya ukweli uliothibitishwa kutoka kwa "marafiki" na "marafiki." Wanasaikolojia wanasema kwamba shughuli kama hizo za watumiaji wa "alarmist" ambao hutuma kila kitu kinachokuja kwenye uwanja wao wa maono (haswa katika mitandao ya kijamii na wajumbe wa papo hapo, ambao hawana njia za ulinzi dhidi ya vitisho kama hivyo), huwawezesha kujisikia kuhusika katika vita dhidi ya tishio la kimataifa na , hata kuhisi kama mashujaa wanaookoa ulimwengu kutoka kwa coronavirus. Lakini, kwa bahati mbaya, ukosefu wa ujuzi maalum husababisha ukweli kwamba nia hizi nzuri "huongoza kila mtu kuzimu," na kuunda vitisho vipya vya usalama wa mtandao na kupanua idadi ya waathirika.
Kwa kweli, ningeweza kuendelea na mifano ya vitisho vya mtandao vinavyohusiana na coronavirus; Isitoshe, wahalifu wa mtandao hawasimami na kuja na njia mpya zaidi za kutumia tamaa za kibinadamu. Lakini nadhani tunaweza kuacha hapo. Picha tayari iko wazi na inatuambia kwamba katika siku za usoni hali itakuwa mbaya zaidi. Jana, viongozi wa Moscow waliweka jiji la watu milioni kumi chini ya kujitenga. Mamlaka ya mkoa wa Moscow na mikoa mingine mingi ya Urusi, pamoja na majirani zetu wa karibu katika nafasi ya zamani ya baada ya Soviet, walifanya vivyo hivyo. Hii ina maana kwamba idadi ya waathiriwa wanaoweza kulengwa na wahalifu wa mtandao itaongezeka mara nyingi zaidi. Kwa hivyo, inafaa sio tu kufikiria tena mkakati wako wa usalama, ambao hadi hivi karibuni ulilenga kulinda mtandao wa ushirika au idara tu, na kutathmini ni zana gani za ulinzi ambazo huna, lakini pia kwa kuzingatia mifano iliyotolewa katika mpango wako wa uhamasishaji wa wafanyikazi, ambayo ni. kuwa sehemu muhimu ya mfumo wa usalama wa habari kwa wafanyikazi wa mbali. A tayari kukusaidia na hili!
PS. Katika kuandaa nyenzo hii, nyenzo kutoka kwa Cisco Talos, Usalama wa Uchi, Kupambana na Hadaa, Malwarebytes Lab, ZoneAlarm, Reason Security na kampuni za RiskIQ, Idara ya Sheria ya Merika, rasilimali za Kompyuta ya Kulala, Masuala ya Usalama, n.k. zilitumika. P.
Chanzo: mapenzi.com