Drogi pacjencie, wpadnij do szpitala na update!

Ostatnio w mediach coraz więcej uwagi poświęca się “inteligentnym” implantom medycznym. Dla wygody pacjentów, wiele tego typu urządzeń jest wyposażonych w interfejsy bezprzewodowej komunikacji. Problem w tym, że interfejsy nie służą jedynie do “zgrywania” danych z urządzenia. Czasem za ich pomocą można implant przeprogramować. A to może oznaczać poważne kłopoty dla człowieka, któremu implant pomaga pozostać przy życiu.

Niebezpiecznik.pl już w roku 2011 pisał o możliwości “hakowania ludzi” opisując ataki na urządzenia (implanty) medyczne. Wtedy był to nowy temat, ale teraz żyjemy już w czasach “IoT”, gdzie wszystko jest podpinane do internetu. Niedawno w USA sąd rozstrzygał pozew związany z przetwarzaniem danych przez inteligentny wibrator (sic!). Wydaje się, że w takich czasach bezpieczeństwo rozruszników też powinno wskoczyć na wyższy poziom. Ale niestety tak nie jest…
Dziś chcieliśmy bardziej szczegółowo opisać rozruszniki serca. Mogą one łączyć się z programatorami i domowymi monitorami, a jak się okazuje, te urządzenia mają tysiące błędów w oprogramowaniu i różne luki konstrukcyjne. Co gorsza, producenci niespecjalnie się tym przejmują…
Niepokojący raport.
Dr. Jonathan Butts oraz Billy Rios z firmy Whitescope opublikowali jakiś czas temu dość obszerny raport na temat rozruszników serca. Na wstępie trzeba zaznaczyć, że badacze mogli uważniej zbadać problem dzięki temu, że w roku 2016 przyjęto w USA zmiany dotyczące wyjątków w DMCA (ustawie, która zawiera m.in. zapisy zabraniające łamania rozwiązań DRM). Mówiąc prościej badacze mogli legalnie obejść pewne zabezpieczenia, aby zobaczyć (i ujawnić) jak rozruszniki działają. W ramach swoich badań Butts i Rios nabyli rozruszniki, programatory do rozruszników oraz sprzęt do monitorowania rozruszników w domu. Szczególnie ciekawym obiektem były programatory — urządzenia służące do programowania rozrusznika u lekarza. Zwykle mają one formę urządzenia z ekranem i klawiaturą, które przypomina trochę starego laptopa, a trochę zabawkę dla dzieci. Oto przykładowy programator, którego fotografię wrzucamy w celach wizualizacji programatora — nie sugerujemy, że to jego dotyczą błędy.

Problemy z programatorami.
W celu zakupienia urządzeń badacze nie musieli udawać się do specjalistycznych sprzedawców. Jak wiadomo, na eBay da się dostać wszystko …
Po zbadaniu urządzeń ustalono m.in., że w 4 programatorach od 4 różnych dostawców było aż 8 tysięcy znanych luk wynikających ze stosowania przestarzałych bibliotek w oprogramowaniu. Większość programatorów miało szyfrowany dysk, ale nie wszystkie. Pracowały one pod kontrolą różnych systemów, najczęściej starych jak np. Windows XP. Jedno z urządzeń miało nawet OS/2!
Badane urządzenia włączały oprogramowanie programujące nie wymagając żadnego loginu i hasła. Co więcej: „dowolny programator może programować dowolny rozrusznik danego dostawcy”
Komunikacja rozrusznika z programatorem odbywa się przez “aplikację” uruchomioną na programatorze. Aplikacja zawiera komendy wspierane przez konkretny model rozrusznika (czyli może być kilka takich aplikacji na jednym programatorze). Aplikacja może zmieniać nie tylko ustawienia terapii, ale nawet firmware rozrusznika, a ten firmware nie jest w żaden sposób kryptograficznie podpisany. Teoretycznie możliwe jest wrzucenie na rozrusznik “złośliwego” firmware’u. Czyli takiego który nie zareaguje wtedy kiedy powinien albo zareaguje wtedy kiedy nie powinien.

Monitory też są dziurawe.
W raporcie badaczy jest wiele innych niepokojących ustaleń. Domowe monitory do rozruszników mają porty USB co otwiera drogę do wrzucenia złośliwego oprogramowania na monitor. Ale oczywiście ryzyko tego, że posiadacz implantu będzie sam sobie infekował monitor jest znikome. Niestety, te monitory pobierają aktualizację z internetu i niekoniecznie sprawdzają źródło systemu dystrybuującego firmware. Teoretycznie możliwy jest więc atak man-in-the-middle, w ramach którego atakujący dostarcza spreparowany firmware na monitor.
Producenci urządzeń nie stosują technik, które utrudniałyby reverse engineering firmware’u. System plików nie jest szyfrowany, a niektóre urządzenia mają wymienialne nośniki. Proces rozwijania produktów jest przyśpieszany poprzez korzystanie z dostępnych na rynku układów, a oprogramowanie działa w oparciu o biblioteki od firm trzecich. To wszystko sprawia, że przygotowanie ataku jest łatwiejsze.

Problem jak widać, dotyczy nie tylko rozruszników serca, ale całego ich ekosystememu. Butts i Rios nie podali nazw firm, których produkty są podatne. Badacze zgłosili jedynie luki amerykańskiemu Departamentowi Zdrowia. Zależało im na tym, aby utrzymać dyskusję o urządzeniach medycznych na poziomie merytorycznym. Łatwo bowiem zeskoczyć na poziom emocjonalno-spiskowy, a to nie przyniesie nic dobrego.
To się naprawi… gdy coś się stanie.
W maju 2017 roku pojawił się także raport Ponemon Institute przygotowany wspólnie z firmą Synopsys. W ramach tego badania zrobiono sondaż wśród producentów urządzeń oraz zakładów opieki zdrowotnej. Obie grupy badanach przyznały, że pacjenci i lekarze są narażeni na ataki. Obie grupy zgadzają się również, że używanie urządzeń przenośnych znacząco zwiększa ryzyko.
Czyli będziemy się przejmować dopiero gdy coś się wydarzy! Jak widać, nie tylko Polak mądry po szkodzie. W raporcie znajduje się też przerażający wykres pokazujący odpowiedź na pytanie “Czy Twoja organizacja robi coś, aby zapobiec atakom na urządzenia medyczne?”. Słupki niebieskie oznaczają producentów, a czerwone służbę zdrowia.

Z sondażu wynika również, że 49% producentów nie przejmuje się uwagami US Food and Drug Administration w zakresie tego jak zabezpieczać urządzenia. Podobnie postępuje 56% zakładów opieki zdrowotnej.
Drogi pacjencie, wpadnij do szpitala na update!
Firma Abott, producent rozruszników serca, nie tak dawno przesłała do 500 000 swoich pacjentów list. Proszono, aby w najbliższym czasie pacjent stawił się w szpitalu w celu dokonania “operacji aktualizacji oprogramowania” w wszczepionym rozruszniku.
Aktualizacja musiała być dokonywana pod okiem lekarzy, bo jak oszacowała firma, ok. 1% aktualizacji zakończy się niepowodzeniem. A to oznacza ryzyko śmierci dla ok. 5000 pacjentów. W trakcie niepowodzenia lepiej więc być blisko stołu operacyjnego…
Mam rozrusznik serca. Co robić? Jak żyć?
Trzeba realizować zalecenia lekarza i żyć zdrowo. Najlepiej się nie przejmować. To podobno szkodzi. Ryzyko wystąpienia ataku na medyczny implant nie wydaje się obecnie duże. Zabić człowieka można w końcu na wiele zdecydowanie prostszych sposobów.
Niestety, właściciele rozruszników serca nie mogą ich po prostu nie stosować więc często rozsądniejsze będzie noszenie “dziurawego” rozrusznika niż niestosowanie go wcale. To samo dotyczy wielu innych urządzeń. Najważniejszą pracę w tym zakresie mają do wykonania specjaliści od bezpieczeństwa, producenci oraz – być może – politycy. To nie jest problem jednego czy kilku urządzeń. Problemem są przyjęte na rynku standardy, a tym standardem jest ignorowanie pewnych problemów.
Media póki co tylko “sensacyjnie” opisują tego typu badania i wnioski z nich płynące. To daje lajki dziś, ale jutro wszyscy o problemie zapomną. Tymczasem potrzeba długofalowych zmian, które wprowadzą znaczące usprawnienia w konstrukcji całych ekosystemów urządzeń medycznych.

źródło: niebezpiecznik.pl

Po co handlarzom narkotyków koparki kryptowalut?

Jakiś czas temu media obiegła ciekawa wiadomość: policja rozbiła gang narkotykowy (gratulacje!) a poza narkotykami zabezpieczyła również koparki kryptowalut. Źródłem tej wiadomości jest nota prasowa opublikowana na stronach policji. Materiał policji jest rzetelny i nigdzie nie znajdziemy w nim informacji o odkrytej “kopalnii kryptowalut”. Ale to właśnie ten aspekt “kryptowalut” został podchwycony przez inne media i w dodatku opisany tak, że aż bolą oczy.
Wszystko zaczęło się chyba od tego twitnięcia dziennikarza Radia Zet:

Które chwile później pojawiło się w artykule na łamach portalu Radia Zet. Przytoczmy co ciekawsze fragmenty tego artykułu:

„Kilkanaście połączonych ze sobą komputerów łamało hasła do kryptowalut.”

„Komputery te służyły do łamania hasła kryptowaluty, co potocznie nazywa się ‘kopaniem bitcoinów’. Przestępcy uzyskiwali dzięki temu nowe kryptowaluty, a także prowizje z opłat za dokonywane w nich transakcje. – To pierwszy w kraju przypadek, że przestępcy z narkotyków finansują wyrafinowaną przestępczość internetową – mówi Krzysztof Liedel, ekspert ds. przestępczości.”

„kod kryptograficzny wymieniany między internautami.”

Nie wiemy, czy wypowiedź eksperta jest cytowana dosłownie, czy została przeinaczona przez redaktora, ale na pewno w tej formie wymaga ona mocnego sprostowania.

Czym są koparki kryptowalut?

Zacznijmy od tego, że koparki niczego nie “łamią”, a jedynie obliczają hashe (funkcje skrótu), które muszą spełniać konkretny warunek, jaki w danej chwili stawia sieć Bitcoina. Warunek ten (zwany także zagadką kryptograficzną) jest zmienny w czasie i jego trudność zależy od mocy obliczeniowej całej sieci Bitcoina. I to jeśli mówimy o koparkach bitcoinowych, bo kryptowalut jest wiele i nie każda koparka nadaje się do kopania każdej kryptowaluty.

Na czym polega “kopanie”?

Mówiąc obrazowo, koparki muszą do wartości X (symbolizującej zestaw transakcji w sieci Bitcoin, które będą dodane do Blockchaina) dodać taką wartość Y, aby wygenerowany z tego hash SHA-256 spełniał warunek, np. zaczynał się od 8 zer.

„Sprawdź sam jakie to “łatwe”.

echo „Ale smieszny artykul.x” | shasum -a 256
ffd7a52582fe452157ef48606746c181
08652c3d5a652ee31c916cf095705482

Znajdź takie “x”, które po dodaniu do powyższego zdania spowoduje wygenerowanie hasha zaczynającego się od 00. A jak to zrobisz, spróbuj znaleźć taką wartość x, która generuje hasha z 5 zerami na początku. Łatwe?”

Takie zadania rozwiązują setki koparek na świecie (opartych nie tylko o układy ASIC ale także o karty graficzne). Z tym, że nie doklejają liczb do głupich zdań, a do “bloku” składającego się z metadanych transakcji w sieci Bitcoin. Ten kto pierwszy rozwiąże zagadkę, dostanie od sieci Bitcoina nagrodę — obecnie jest nią 12,5 Bitcoina, czyli prawie 300 tysięcy złotych plus ewentualne opłaty, jakie w celu przyśpieszenia potwierdzenia danej transakcji dodaje do niej zlecający ją użytkownik Bitcoina (o to chyba mogło chodzić w artykule w zdaniu o “prowizjach”). Na marginesie, to obliczanie hashy to tzw. proof-of-work.

Rozwiązanie zagadki powoduje dodanie (“wykopanie”) nowego bloku do blockchaina, czyli wspólnego rejestru wszystkich transakcji w sieci Bitcoin. Obecnie w sieci Bitcoin nowy blok “wykopywany” jest średnio co 10 minut. Pula bitcoinów na nagrody jest skończona i “planowo” wyczerpie się ok. 2140 roku.

Obecnie nagrody zgarniają nie pojedyncze osoby, a tzw. poole, czyli zrzeszenia wielu osób posiadających po jednej lub setki koparek. Pool który jako pierwszy obliczy poprawną akceptowalną wartość hasha, dostaje kryptowalutę i dzieli ją między swoich członków proporcjonalnie do włożonej mocy obliczeniowej.
Kopanie bitcoinów inaczej niż w poolach jest obecnie ze względu na trudność nieopłacalne. Jeśli założymy, że zdjęcia policji pokazują wszystkie zabezpieczone koparki, to jest ich ok. 50. To niewiele. Kokosów panowie przestępcy więc na nich nie zbijali (przynajmniej ostatnio).Koparki, które widać na zdjęciach policji, to najprawdopodobniej Antminery, czyli oparte na ASIC urządzenia, które służą do wydajnego licznia hashy. Jeśli to Antminer S9, przeznaczony do “kopania” Bitcoinów, to jego wydajność to 14.5TH/s (Tera haszy SHA-256 na sekundę). Koszty różnych wersji Antminera wahają się między 500 PLN a 10 000 PLN. Oto jak wygląda Antminer:
A to zdjęcia koparek wykonane przez Policję:

Po co to przestępcom?

Po co w ogóle przestępcom koparki, a raczej kryptowaluta? Bo wbrew pozorom Bitcoin nie jest anonimowy. Jeśli chcecie go pozyskać (wymieniając zwykłe waluty na bitcoiny w internetowych giełdach i kantorach), to zostanie po tym ślad, który może na was wskazać. Ale jeśli bitcoina wykopiecie, to ten ślad będzie zdecydowanie mniejszy. Dzięki samodzielnemu kopaniu kryptowaluty możecie “bardziej anonimowo” kupować różne rzeczy, np. półprodukty czy sprzęt potrzebny do produkcji narkotyków. Ale także broń i inne wyposażenie jakim powinna dysponować grupa przestępcza.Możliwy jest też wariant z praniem pięniędzy z narkobiznesu. W uproszczeniu: pozyskane “brudne” pieniądze są przeznaczane na zakup koparek. Te kopią kryptowalutę i “legalizują” pieniądze wypłacane z giełdy. Odejmujemy podateczek (albo przy bardziej skomplikowanych wariantach prania tego nie robimy) i mamy przepraną kasę. Ciekawe tylko na ile taki proceder jest “wydajny”. Koparka zwraca się obecnie po ok. 10 miesiącach (plus minus cena prądu i kurs BTC). Nie jest jednak wykluczone, że przestępcy są z tych cierpliwszych… Bohaterowie Ozark mogliby się uczyć!Niektórzy żartują też, że ciepło generowane przez koparki kryptowalut przestępcy mogli wykorzystywać do ogrzewania plantacji marihuany. Ale my ekspertami od narkotyków nie jesteśmy, więc ciężko jest nam ocenić wiarygodność tej tezy. Zwłaszcza, że w materiałach policji nie ma ani słowa o plantacji na miejscu ujawnienia kryptowalut.

Przed Polakami na kryptowalutach poślizgnęli się rosyjscy szpiedzy.

Dzięki blockchainowym potknięciom służb specjalnych Rosji, Amerykanom udało się powiązać infrastrukturę DC Leaks i Guciffera (który zarzekał się że jest Rumunem) z Rosjanami. Rosjanie, którzy zostali oskarżeni o ingerencje w wybory prezydenckie w USA dostarczyli Amerykanom dowodów na swoją przestępczą działalność m.in. dlatego, że niedbale obchodzili się z kryptowalutami. Bitcoin ich zgubił.

Co prawda część kryptowaluty wykopali sami (brawo za opsec!) i była ona nienamierzalna. Ale tych anonimowych środków użyli w taki sposób, że dało się je powiązać z innymi środkami, które ujawniły faktycznych “właścicieli”. Transakcje kryptowalutami to ciężka sprawa, a w przypadku Bitcoina wcale nie taka anonimowa, jak mogłoby się niektórym wydawać. Tu jednak trzeba dodać, że pośród ponad 1600 różnych kryptowalut są także takie, które mocno stawiają na prywatność i anonimowość transakcji, np. Monero.

Czy kopanie to dobry interes?

Podsumowując, jak widzicie, generowanie bitcoinów to żadne “łamanie kryptowaluty”, a po prostu obliczanie hashy, a zatem zamiana mocy obliczeniowej “koparki” (prądu i sprzętu) na kryptowalutę (o ile dany górnik, czyli osoba posiadająca koparkę, rozwiąże zagadkę jako pierwsza). Trzeba w to trochę zainwestować i niekoniecznie musi się to zwrócić. Ale kto bogatemu zabroni…

I na koniec, z kronikarskiego obowiązku: posiadanie, generowanie i handel kryptowalutą jest w Polsce legalny (jeszcze). Posiadanie, generowanie i handel amfetaminą nie.

PS. Autor tego artykułu posiada kryptowaluty, w tym Bitcoina, co nie oznacza, że do ich zakupu (zwłaszcza w bitcoinmatach) lub generowania kogokolwiek zachęca, a już na pewno nie na firmowym sprzęcie (zwłaszcza w elektrownii atomowej). Kryptowaluty można stracić łatwiej niż pieniądze w bankach. Ponad 60% giełd kryptowalutowych pada ofiarą włamań i ataków w których bezpowrotnie giną środki. W Polsce trzy giełdy straciły pieniądze swoich użytkowników, bitcurex, bitextreme i bitomat.

źródło: niebezpiecznik.com

Zostaliście ostrzeżeni. 🙂

Zobacz jak wygląda krakowska kopalnia kryptowalut oparta o 600 koparek…

Google Chrome zaczęło siłą i po cichu logować użytkowników do przeglądarki

Do najnowszej wersji przeglądarki Google Chrome (wersja 69) dodano zaskakującą funkcję. Jeśli korzystając z Chrome zalogujesz się do GMaila (lub innej usługi Google), to — według internetowych doniesień — przeglądarka automatycznie stworzy dla Ciebie lokalne konto w Google Chrome i siłą Cię na nie zaloguje. Twoje zdjęcie pojawi się po prawej stronie paska adresu. Czym grozi logowanie się do przeglądarki Google Chrome i dlaczego lepiej tego nie robić?

Użytkownicy Google Chrome przerażeni

Kiedy to przymusowe logowanie zauważyli internauci, zaczęli się publicznie żalić, zupełnie słusznie obawiając się, że będąc zalogowanym do przeglądarki, na serwery Google zostaną przesłane wszystkie odwiedzane przez nich strony (czyli historia przeglądanych stron) a także ciasteczka i hasła.

Czy rzeczywiście jest się czego obawiać?

Internet, jak to internet, oczywiście kipi teoriami (także spiskowymi), które przede wszystkim sprowadzają się do tego iż Google ma na celu zebranie jeszcze większej ilości danych na temat swoich użytkowników (tu: kradzież historii odwiedzanych przez nich stron i wpisywanych haseł). Do bojkotu przyłączyli się także uznani badacze bezpieczeństwa.Pracownicy Google twierdzą jednak, że powód wprowadzenia wymuszania logowania jest zupełnie inny. Funkcja siłowego logowania do Google Chrome jest według nich nie zagrożeniem dla prywatności i bezpieczeństwa a rozwiązaniem jednego z problemów z bezpieczeństwem i prywatnością związanych. Ma uniemożliwiać przypadkowe przejęcie czyichś danych.
„Google podaje tu przykład osoby A która korzysta z komputera i jest zalogowana na swoje konto na przeglądarce Google Chrome. A następnie wylogowuje się z GMaila (ale dalej jest zalogowana w przeglądarce) i oddaje komputer innemu użytkownikowi. Kiedy użytkownik B zaczyna chodzić po stronach, użytkownik A może mieć dostęp do informacji na temat użytkownika B (np. historii odwiedzanych przez niego stron, czy wpisywanych haseł).”
Powyższy scenariusz jest oczywiście zasadny tylko dla osób, które współdzielą komputer. Znając Google, ten problem “wycieku danych” pomiędzy dwoma użytkownikami współdzielonymi komputer musi być globalnie dość powszechny, bo zazwyczaj inżynierowie Google na małopopularne ataki nie reagują tak drastycznymi zmianami. No chyba, że rzeczywiście mają ukryty powód 😉
Zmiana jest o tyle dziwna, że przecież wspomniany wyżej problem nie dotyczy osób, które w ogóle nie logują się do przeglądarki. Czy zatem sensowne jest rozwiązywanie tego problemu poprzez wymuszanie logowania? To przecież poszerza potencjalną grupę ofiar…
Co więcej, Google dało ciała także z polityką prywatności. Nie została ona w porę zmieniona i wprowadzała użytkowników w błąd… Teraz już lepiej opisuje na czym polega “synchronizacja“.

Czytaj dalej źródło: niebezpiecznik.com

Jak, prawdopodobnie hakowano bez ograniczeń kody PIN iPhone’ów

Od kilku miesięcy na rynku dostępne są technologie umożliwiające odgadywanie kodów PIN iPhone’ów z ominięciem wszystkich systemowych ograniczeń. Właśnie opublikowano informacje o tym, na czym polega sztuczka.
Zarówno weteran rynku analizy śledczej urządzeń komórkowych, firma Cellebrite, jak i nowy gracz na tym polu, firma GrayKey, od kilku miesięcy sprzedawały (i to pewnie w sporych ilościach) urządzenia umożliwiające odblokowanie większości mobilnych urządzeń Apple’a, działające skutecznie i w czasie kilkunastu godzin odgadujące kod PIN, którym zabezpieczony był telefon. Sposób przeprowadzenia tego ataku nie był publicznie znany – lecz chyba właśnie został odkryty.

 

Wszystkie PIN-y naraz.
Jak donosi ZDNet, badacz Matthew Hickey, znany na Twitterze jako @hackerfantastic, opublikował informacje o działającym kodzie pozwalającym na odblokowywanie telefonów Apple’a. Na tym filmie widać że, za pomocą podłączonego kabla wysyłane są kolejne kody PIN, a telefon, mimo aktualnego oprogramowania i aktywnej opcji kasowania zawartości urządzenia po 10 nieudanych próbach, nadal działa i pozwala na kolejne próby odgadnięcia PIN-u. Jak to możliwe?
Metoda jest tak prosta, że aż trudno w to uwierzyć. Okazuje się, że sposobem na ominięcie zabezpieczeń Apple’a jest wysłanie wszystkich kodów PIN do sprawdzenia w postaci jednego bardzo długiego ciągu znaków. Sprawia to, że procedury weryfikacji liczby podawanych PIN-ów nie zdążą się nigdy uruchomić, ponieważ nadal priorytet ma proces przyjmowania znaków z „klawiatury”. Dzięki temu kolejne kody PIN są wpisywane bez przerwy, a telefon po prostu czeka, aż pojawi się ten prawidłowy.
Nie mamy pewności, czy odnaleziony sposób ataku faktycznie był używany w opisywanych wcześniej urządzeniach, lecz obstawiamy, że tak właśnie było. Wskazuje na to między innymi czas potrzebny do odgadnięcia hasła – w przypadku czterocyfrowego kodu PIN GrayKey miał rzekomo odgadywać go w ciągu kilkunastu godzin, a właśnie kilkunastu godzin potrzeba na sprawdzenie czterocyfrowego PIN-u metodą przedstawioną przez Hickeya.
Warto także zauważyć, że aktualizacje iOS-u zawierają bardzo istotne ograniczenia w dostępie do portu Lightning – użycie go do czegokolwiek innego niż ładowania telefonu będzie wymagało, by telefon był odblokowany prawidłowym kodem najwyżej godzinę wcześniej. To sprawia, że ataki podobne to opisanego powyżej będą dużo trudniejsze do przeprowadzenia. Nawet jeśli policja uzyska natychmiastowy dostęp do telefonu, to nie zdąży przetestować wszystkich możliwych kombinacji kodu PIN.
Jak się bronić przed takimi atakami?
Nawet nieznacznie dłuższy PIN jest już solidną przeszkodą – sześć cyfr sprawia, że atak trwa sto razy dłużej, czyli wiele tygodni. Wygląda zatem na to, że ośmiocyfrowy PIN powinien w zupełności wystarczyć, zakładając, że nikt nie zna lepszego ataku niż opisany powyżej.

 

źródło: zaufanatrzeciastrona.pl

Uwaga na sklep MojeKlocki.com i nietypową sztuczkę przestępców.

Robicie zakupy w internetowym sklepie. Towar nie dociera, a z Waszego konta znikają wszystkie pieniądze. Niemożliwe? Niestety to może być rezultat najnowszego pomysłu przestępców atakujących polskich internautów.
Opisywaliśmy już zarówno fałszywe sklepy, jak i fałszywe strony pośredników płatności. Tym razem złodzieje połączyli dwa pomysły i chcąc złapać okazję, można stracić nie tylko kwotę równą cenie produktu, ale wszystkie pieniądze z konta. Poniżej opisujemy dwa scenariusze takich ataków.
Przerwa techniczna
Jeśli szukacie w Google klocków LEGO, to możecie bardzo łatwo trafić na fałszywy sklep mojeklocki.com. Na poniższym zrzucie ekranu to pierwsza (!) opcja.

Nazwa sklepu jest podobna do innych sklepów z klockami. Sama strona sklepu nie wygląda szczególnie podejrzanie – ot, zwykły sklep internetowy.

Cały proces zakupu wygląda normalnie. Ciekawie robi się dopiero przy płatności. Dowiadujemy się tam, że trwa przerwa techniczna a „moduł płatności będzie włączony do 10h”. Nie dostajemy więc ani możliwości zapłacenia szybkim przelewem, ani kartą, ani nawet zwykłym przelewem. Jak zatem zarabiają przestępcy? Odpowiedź pojawia się po pewnym czasie w naszym telefonie – w formie SMSa od złodziei.

Pod adresem z SMSa czeka fałszywy panel płatności Dotpaya. Za jego pomocą przestępcy wyłudzają login i hasło do banku oraz kod jednorazowy potwierdzający zdefiniowanie przelewu zaufanego na koncie ofiary. Zrzuty ekranu tej części ataku zobaczycie w opisie drugiego scenariusza ataku. Obecnie przestępcy używają domeny dtpay.info.
Strona mojeklocki.com korzysta także z fałszywego serwisu Opineo, zamieszczonego pod adresem oppineo.com – to popularna sztuczka przestępców, mająca przekonać osoby niezdecydowane, szukające opinii o podejrzanym sklepie w Google.

Drugi scenariusz ataku
W tym scenariuszu posłużymy się przykładem już nieczynnego sklepu creative-impact.pl. Strona główna sklepu:

Wybieramy produkt i kupujemy:

Wybieramy sposób dostawy i metodę płatności:

Super, mamy link do szybkich płatności! Jak wygodnie. Klikamy.

Wygląda prawie jak prawdziwy, prawda? Obsługuje oczywiście strony logowania różnych banków.

Po podaniu loginu i hasła są one prawdopodobnie weryfikowane pod kątem poprawności a następnie operator serwisu zleca zdefiniowanie przelewu zaufanego i wyświetla prośbę o przepisanie kodu z wiadomości SMS. Po zatwierdzeniu przelewu przez ofiarę jej konto jest czyszczone do zera.
Ostrzeżcie swoich znajomych.
Wiemy już o co najmniej kilku ofiarach działań sprytnych przestępców. Choć zarówno fałszywe sklepy jak i fałszywe strony pośredników płatności były już wcześniej znane, to pierwszy raz zostały w te sposoby połączone przez złodziei. Warto być świadomym nowych zagrożeń.

źródło: zaufanatrzeciastrona.pl

Wiem co wieczorem robisz przed swoim komputerem, zapłać mi tysiaka to nikomu nie powiem

niebezpiecznik.pl

Od kilku tygodni dostajemy od Was mniej lub bardziej pełne rozpaczy prośby o pomoc. Wszystkie zaczynają się od tego, że ktoś włamał się Wam na komputer, pozyskał kompromitujące Was dane i Was szantażuje. Brzmi poważnie. Rozumiemy stres i Wasze roztrzęsienie. Dlatego tym bardziej cieszy nas, że większość z tych szantaży nie jest prawdziwa. To tak naprawdę bardzo bezczelne próby oszustwa. I to nie takie znowu oryginalne, bo o tym problemie pisaliśmy po raz pierwszy pół roku temu. Ale wygląda na to, że zjawisko znów się nasiliło — dlatego ostrzegamy: nie dajcie się nabrać i zobaczcie na czym polega to oszustwo.
Mówią, że oglądałem porno… a kto dziś Panie nie ogląda!?
Oddajmy głos jednemu z naszych Czytelników:
(…) otrzymałem podobnego maila po oglądaniu strony porno (niechcący kliknąłem w niej w jakąś reklamę, ale zaraz cofnąłem) jak pisaliście o tym w październiku i teraz jestem szantażowany. Bardzo mnie to przestraszyło, tym bardziej, że mail przyszedł na firmową pocztę, a ja jestem prezesem i nie wiem co począć, jeśli szantażysta swojego dzieła dokona. Nie ściągnąłem żadnej aplikacji ani plików, czy faktycznie może posiadać dostęp do wszystkich adresów w poczcie? Faktem jest, że mail przyszedł zaraz po oglądaniu strony, więc to mnie tym bardziej przeraża. Treść maila też wyglądała tym razem trochę inaczej niż na waszej stronie, szczególnie jeśli chodzi o nagłówek, bo jest tam też godzina rzekomego uruchomienia kamery. Poradźcie, co powinienem zrobić? Poniżej wklejam treść maila z nagłówkiem, proszę o dyskrecję.”
Czytaj dalej

Aplikacja „Bankowość uniwersalna Polska” oszustwem!

źródło: wirtalnemedia.pl

Hakerzy umieścili w sklepie Google Play aplikację „Bankowość uniwersalna Polska”, która agregowała formularze logowania do 21 polskich banków. Z jej poziomu nieświadomi użytkownicy, podając swoje prawdziwe loginy oraz hasła, mogli sądzić, że logują się do swoich rachunków. Za jej pośrednictwem hakerzy kradli te dane, by wyprowadzać pieniądze z kont klientów.
Fałszywą aplikację „Bankowość uniwersalna Polska” odkryto 20 marca br. Jak wskazują eksperci, mogła w sposób znaczący pozbawić pieniędzy wielu nieświadomych użytkowników. – Za jej pomocą użytkownik spośród aż 21 polskich banków mógł wybrać ten, w którym posiada swój rachunek bankowy. Następnie był proszony o dane uwierzytelniające, czyli login i hasło. Te dane były wysyłane do hakera, a proces logowania do rachunku w ogóle nie miał miejsca. Aplikacja potrafiła omijać dwuskładnikowe uwierzytelnienie – użytkownik nie widział SMS-ów z banku, natomiast dostęp do nich zyskiwał cyberprzestępca. Z ich pomocą mógł wyprowadzić pieniądze z rachunków swoich użytkowników – tłumaczy Lukas Stefanko, badacz zagrożeń z ESET. Ekspert dodaje, że aplikacja została pobrana nie więcej niż sto razy i usunięta z Google Play w dniu jej odkrycia. Nadal jest jednak dostępna w tzw. drugim obiegu, czyli w nieautoryzowanych sklepach z aplikacjami. Poniżej lista banków, których klienci mogli paść ofiarami oszustwa.

Do podobnego ataku doszło w listopadzie zeszłego roku. Dotyczył on wówczas użytkowników czternastu polskich banków. Został przeprowadzony za pomocą aplikacji dostępnych w oficjalnym sklepie Google Play: CryptoMonitor oraz StorySaver. Obie aplikacje, oprócz obiecywanych funkcjonalności, wyświetlały swoim ofiarom fałszywe powiadomienia systemowe, które wyglądały identycznie jak te generowane przez popularne w Polsce aplikacje bankowe. Dodatkowo złośliwe aplikacje podsuwały swoim ofiarom fałszywe formularze logowania do rachunków bankowych, by docelowo przechwycić wprowadzane za ich pośrednictwem loginy i hasła.

źródło: wirtualnemedia.pl

Przekleństwo zielonej kłódki.

zaufanatrzeciastrona.pl
zaufanatrzeciastrona.pl

Płacisz za zakupy kartą kredytową. Co byś jednak zrobił, gdyby po zakupie online okazało się, że Twoje konto zostało obciążone kilkoma dodatkowymi operacjami z wypłatą gotówki w Meksyku włącznie ?
Zapewne przeżyłbyś szok i niedowierzanie, bo przecież na stronie widniał znany wszystkim symbol zielonej kłódki. Przekleństwo zielonej kłódki polega na tym, że paradoksalnie oznaczenie to często obniża poziom cyberbezpieczeństwa, powodując uśpienie czujności klientów sklepów. Użytkownik strony wykorzystującej HTTPS został nauczony i przyzwyczajony do weryfikacji, czy dana strona jest oznaczona tym charakterystycznym symbolem, a sama obecność kłódki stała się dla niego ewidentnym dowodem na brak jakichkolwiek zagrożeń. Niestety rzeczywistość jest inna. Przestępcy – świadomi takiego podejścia użytkowników – wykorzystują ich nadmierną ufność w bezpieczeństwo strony w różny sposób.

Czytaj dalej