We wrześniu odbyło się wiele wartych opublikowania wydarzeń w dziedzinie bezpieczeństwa w Internecie. Dołącz do nas, gdy zajmiemy się postępami w dziedzinie cyberbezpieczeństwa i ujawnieniem zagrożeń, które miały miejsce w zeszłym miesiącu.
Cyberprzestępca skazany na 12 lat więzienia za kierowanie siedmioletnim programem odblokowywania nielegalnego telefonu
Na 16 września informacja prasowa z Departamentu Sprawiedliwości obywatel Pakistanu Muhammad Fahd został skazany na 12 lat więzienia za zorganizowanie nielegalnego odblokowania milionów telefonów, które w ciągu 7 lat pobierały pieniądze z AT&T. Skomplikowane cyberoszustwa spowodowały, że AT&T straciło ponad 200 milionów dolarów.
Począwszy od 2012 roku, pracownicy centrum telefonicznego AT&T z siedzibą w Waszyngtonie byli przekupywani przez Fahd, aby wykorzystać swoje dane uwierzytelniające firmy i odblokować „odciski palców” telefonu, znane również jako International Mobile Equipment Identity (IMEI). W końcu przekupił wspólników, aby pobrali złośliwe oprogramowanie do systemów komputerowych firmy, umożliwiając mu zdalne odblokowanie telefonów z Pakistanu.
W oszustwie wykorzystano dotacje i plany ratalne oferowane klientom przez AT&T, co miało na celu obniżenie ceny drogich telefonów komórkowych. Klienci mogli kupić telefony po niższej cenie, ale były one związane z sieciami AT&T. Po odblokowaniu telefonów przez Fahda i jego kohorty, AT&T został usunięty jako jedyny przewoźnik, a właściciel konta został zwolniony z wypełniania zobowiązań płatniczych.
Przekupionymi pracownikami AT&T Fahd polecił utworzyć konta bankowe dla fałszywych firm, otrzymywać depozyty na te konta i tworzyć fałszywe dokumenty rozliczeniowe. Następnie nawiązał współpracę ze sprzedawcami internetowymi, aby sprzedawać swoje nielegalne usługi odblokowywania telefonu.
W 2013 roku AT&T zaczęło używać nowego systemu, który stanowił barierę dla schematu odblokowywania Fahda. Aby temu przeciwdziałać, zatrudnił inżyniera oprogramowania, który zaprojektował złośliwe oprogramowanie, które było w stanie ominąć bariery AT&T. Przekonujący pracownicy nakarmili Fahda inteligencją nowego systemu i zainstalowali złośliwe oprogramowanie na komputerach swojej firmy, które zawierały informacje dostępowe innych pracowników.
Program spowodował, że prawie 2 miliony telefonów zostało nielegalnie odblokowanych i nie dokonało płatności na rzecz AT&T. Dopiero w 2018 roku Fahd został aresztowany.
Na wynos SSL.com: Ludzie są podatni na pokusy w obliczu ogromnych nagród pieniężnych. Sposobem na walkę z tym jest inwestowanie przez firmę w silną infrastrukturę cyberbezpieczeństwa, która może ograniczyć ludzkie błędy i posiada systemy, które mogą zapobiec przekupieniu pracowników, którzy pilnują bramki, przez cyberprzestępcę.
Microsoft ujawnia phishing jako usługę (PhaaS)
Zespół ds. cyberbezpieczeństwa firmy Microsoft, 365 Defender Threat Intelligence Team, odkrył nowy sposób przeprowadzania phishingu przez cyberprzestępców.
Model ten, określany jako BulletProofLink lub Anthrax, wydaje się być rozwinięciem zestawów phishingowych – albumów fałszywych szablonów stron internetowych, które kopiują strony logowania docelowych witryn.
Microsoft twierdzi, że istnieją dostawcy usług phishingowych, którzy oferują ofertę pakietową – od stworzenia szablonu phishingu, hostingu i faktycznego prowadzenia phishingu. Osoby, które podpiszą się na tę ofertę, nie muszą aktywnie infiltrować systemów komputerowych. Zamiast tego dogodnie otrzymują skradzione dane logowania wysłane do nich przez dostawców PhAAS.
W bezpieczeństwie Microsoftu blog, opisują, w jaki sposób infrastruktura phishingowa BulletProofLink ma podobnie alarmujące zagrożenia jak Ransomware as a Service (Raas):
„Model roboczy PhaaS, jaki opisaliśmy do tej pory, przypomina model oprogramowania ransomware jako usługi (RaaS), który obejmuje podwójne wymuszenie. Metoda wymuszenia stosowana w ransomware zazwyczaj polega na eksfiltrowaniu i publicznym udostępnianiu danych przez atakujących, a także ich szyfrowaniu na zhakowanych urządzeniach, aby wywrzeć presję na organizacje, aby zapłaciły okup. Pozwala to napastnikom na wiele sposobów zapewnienia płatności, podczas gdy ujawnione dane mogą zostać następnie wykorzystane w przyszłych atakach przez innych operatorów. W scenariuszu RaaS operator oprogramowania ransomware nie ma obowiązku usunięcia skradzionych danych, nawet jeśli okup został już zapłacony.
Ten sam przepływ pracy zaobserwowaliśmy w gospodarce skradzionych danych uwierzytelniających w przypadku phishingu jako usługi. W przypadku zestawów phishingowych operatorzy bardzo łatwo dołączają dodatkową lokalizację, do której mają być wysyłane dane uwierzytelniające, i mają nadzieję, że nabywca zestawu nie zmieni kodu, aby go usunąć. Dotyczy to zestawu phishingowego BulletProofLink, a w przypadkach, gdy osoby atakujące korzystające z usługi otrzymywały dane uwierzytelniające i logi pod koniec tygodnia, zamiast samodzielnie przeprowadzać kampanie, operator PhaaS utrzymywał kontrolę nad wszystkimi danymi uwierzytelniającymi, które odsprzedawał”.
Microsoft twierdzi, że usługa BulletProofLink jest odpowiedzialna za oszałamiający atak na 300,000 XNUMX subdomen i obecnie oferuje strony phishingowe dla znanych firm, w tym American Express, Dropbox, AT&T, Alibaba i AOL.
Dania na wynos SSL.com: Zwiększenie możliwości i wiedzy pracowników firmy w zakresie cyberbezpieczeństwa pomoże w zwalczaniu ataków phishingowych. Rozważ „The Puzzle of Monogamous Marriage” przeprowadzone przez Uniwersytet Stanforda i Tessian, które ujawniły, że 88% naruszeń danych jest spowodowanych przez pracowników, którzy klikają wiadomości e-mail hakerów, myśląc, że pochodzą one z legalnych źródeł.
Rosyjscy hakerzy atakują dużą spółdzielnię rolniczą w Iowa
Poczta w Waszyngtonie artykuł donosi o przypadku spółdzielni rolniczej z siedzibą w stanie Iowa, NEW Cooperative, która została zaatakowana przez rosyjski gang ransomware nazywający siebie BlackMatter. Cyberprzestępcy zażądali zapłaty 5.9 miliona dolarów w zamian za nieujawnienie prywatnych informacji, które, jak twierdzą, ukradli, oraz za przywrócenie spółdzielni dostępu do ich systemów komputerowych, których używają do karmienia milionów bydła, kurczaków i świń.
NEW Cooperative jest własnością członków i posiada 60 nieruchomości operacyjnych w środkowej, zachodniej i północnej części stanu Iowa. Prowadzą elewatory do przechowywania zboża, sprzedają nawozy, pasze i nasiona. Zapewniają również mapowanie gleby i zarządzanie polami.
W rozmowie z cyberprzestępcami NEW Cooperative zapytało, dlaczego zostali zaatakowani pomimo oświadczenia BlackMatter, że nie będą atakować obiektów infrastruktury krytycznej. BlackMatter odpowiedział, że nie uważa spółdzielni za należącą do tej kategorii.
NEW Cooperative ostrzegła, że atak doprowadzi do zakłóceń w łańcuchu dostaw zboża, wieprzowiny i kurczaka. Ponadto stwierdzili, że ich oprogramowanie zarządza około 40% produkcją zboża w kraju, a ich harmonogramy żywieniowe obejmują 11 milionów zwierząt.
BlackMatter ma silną teorię, że jest wskrzeszoną wersją gangu ransomware DarkSide, który stracił ważność po ogromnym ataku, którego dokonali w maju zeszłego roku. Jak omówiono w naszym poprzedni artykuł, gang DarkSide był odpowiedzialny za atak rurociągu kolonialnego, który osłabił dostawy gazu w stanach południowo-wschodnich.
Wśród danych, które rzekomo zostały skradzione przez BlackMatter, znalazły się informacje finansowe (rachunki, faktury, wyciągi), numery ubezpieczenia społecznego pracowników, dokumenty badawczo-rozwojowe oraz dokumenty prawne.
Dania na wynos SSL.com: Niedawny atak Colonial Pipeline powinien stanowić silne ostrzeżenie dla dużych firm przemysłowych, że nawet jeśli zapłacą okup, nie ma pewności, że cyberprzestępcy w pełni przywrócą im dostęp. Duże firmy przemysłowe i spółdzielnie powinny niezwłocznie skonsultować się z firmami zajmującymi się cyberbezpieczeństwem, aby ocenić ich poziom ryzyka i wzmocnić ich bezpieczeństwo online.
System podpisywania w chmurze SSL.com eSigner zostaje w pełni uruchomiony
Jeśli chodzi o aktualizację naszej własnej firmy, wrzesień 2021 stał się pierwszym miesiącem komercyjnego uruchomienia naszego systemu eSigner Cloud Signing System.
eSigner firmy SSL.com zwiększa infrastrukturę bezpieczeństwa cybernetycznego firm, umożliwiając im umieszczanie podpisów cyfrowych o międzynarodowym zaufaniu do ważnych dokumentów, które wewnętrznie i zewnętrznie komunikują online, w tym dokumentów prawnych, dokumentów chronionych prawem autorskim, rejestrów rozliczeniowych, informacji o pracownikach i innych.
Firmy mogą również chronić oprogramowanie i aplikacje komputerowe, których używają w swojej pracy, za pośrednictwem eSigner. Jeśli sterowniki instalacyjne tych narzędzi muszą zostać przesłane przez Internet, strony otrzymujące mogą mieć pewność, że nie pobierają złośliwego oprogramowania. Dzieje się tak, ponieważ eSigner korzysta z PKI Technologia bezpiecznie szyfruje plik za pomocą klucza prywatnego nadawcy i uniemożliwia dostęp do niego, chyba że strona odbierająca ma odpowiedni klucz publiczny. Dzięki unikatowemu zablokowaniu pliku odbiorca może być pewien, że plik rzeczywiście pochodzi z właściwej jednostki.
Jak wynika z coraz powszechniejszej adaptacji technologii chmury, przechowywanie plików i zabezpieczenia w chmurze okazały się tańsze i zapewniają lepszą ochronę przed kradzieżą i utratą danych w porównaniu z systemami sprzętowymi.
e-podpisujący jest w pełni kompatybilny ze standardem podpisywania w chmurze Cloud Signature Consortium – międzynarodowej grupy organizacji należących do rządu, środowiska akademickiego i branży cyberbezpieczeństwa. Podpisy dokumentów eSigner są również legalne i wykonalne w Stanach Zjednoczonych Podpisy elektroniczne w handlu globalnym i krajowym (ESIGN) działać i prawa wielu innych krajów na calym swiecie.
