e-Bezpečnost Kraje Vysočina

Začínají se objevovat podvodné e-maily, které těží ze strachu z terorismu. E-maily se tváří jako oficiální varování před teroristickými útoky. K e-mailu jsou přiloženy tipy, jak se chránit, avšak jedna z příloh obsahuje škodlivý malware, který nainstaluje na počítač zadní vrátka pro vzdálené připojení útočníka.

V poslední době byla zaznamenána nová vlna podvodných e-mailů. "Zákeřnost" těchto e-mailových zpráv tkví v tom, že je záměrně pozměňován údaj o odesílateli. Takový e-mail se pak tváří, že byl odeslán např. z vlastní domény.

Informace o novém podvodném emailu.

Objevila se nová vlna podvodných emailů obsahující v předmětu text Faktura: IMF - N681472/97659138, kdy kód je náhodně generován. V těle emailu se může objevit podobný text jako:
Ahoj Magdi,
V príloze zasílám fakturu za HFT cerven.
Bernice KARON

vždy je uveden nepříliš český text odkazující se na fakturu v příloze ve formátu .doc. V žádném případě přílohu tohoto emailu neotevírejte a email smažte!
Aktuální úroveň detekce AV nástrojů virustotal.com
5.8 - Objevily se nové mutace textů emailu a názvu příloh. Účel zůstává stejný, donutit příjemce k otevření přílohy.

Opět se objevil phishing útok na klienty Komerční banky. Email se tváří jako by byl odeslán ze schránky:
MojeBanka Business business@mojecertwiz.cz
a obsahuje následující sdělení:

Vážení obchodní klient,
Jako bezpečnostní opatření, je třeba aktualizovat váš certifikát.
Přístup CertWiz


Odkaz vás přesměruje na phishingové stránky podobné již dříve popsanému útoku. Pokud Vám bude doručen výše popsaný email, smažte jej!

Osoba, která tvrdí, že je vývojářem známého ransomware Locker publikovala na serveru pastebin.com privátní klíče potřebné k obnově zašifrovaných souborů. Podle informací od uživatelů na fóru Bleeping Computer jsou publikované klíče funkční. Jeden z uživatelů tohoto fóra již také vytvořil program, který by měl díky těmto klíčům pomoci s dešifrováním souborů běžným uživatelům. Zdroj CSIRT.CZ

Objevila se nová vlna podvodných emailů s následujícím textem:

Dobrý den.
Omlouvám se za neúmyslné obtěžování a přeposílám Vám vaše doklady a smlouvu které asi na můj email byly zaslané omylem.
Teda aspoň předpokládám že přeposílám správně jelikož Váš email byl uvedený ve smlouvě.
Veškeré Doklady a smlouvu odesílám přílohou stejně jak jsem to dostal.
Žádám o zjištění důvodu tohoto trapného omylu aby nadal na můj email se nedostávali další zprávy obsahující nějakou citlivou informaci.

S pozdravem,
Štefan
+420 607 861 117

v příloze je soubor s názvem email_adresata.zip, který obsahuje škodlivý kód vice report. Soubor neotvírejte a ihned smažte. Další informace na csirt.cz

Byly zaznamenány podvodné emaily navádějící k aktualizaci přístupového certifikátu internetového bankovnictví MojeBanka Komerční banky. Podrobnosti v přiloženém dokumentu.

Objevil se pokus o phishingový útok cíleny na klienty AirBank. V podvodném emailu, ve znění uvedeném níže, jsou příjemci vyzývaní k zadání přístupových údaju do internetového bankovnictví. V žadném případě přístupové údaje nezadávajte a současně připomínáme základy bezpečné práce s internetovým bankovnictvím.
Aktualizace účtu - AirBank
Vážený zákazníku,
Chtěli bychom Vám zdůraznit, že přístup do Vašeho internetového bankovnictví již brzy vyprší. Aby bylo možné i nadále využívat on-line bankovnictví, žádáme Vás o potvrzení svých údajů pomocí odkazu níže.

Pro aktualizaci svého on-line bankovního účtu klikněte zde

Bankovní účet bude automaticky obnoven, poté Vás bude kontaktovat jeden z našich zaměstnanců.
Během aktualizace dostan.ete SMS zprávu s informací, že Vaše číslo bylo změněno. Ignorujte tuto zprávu, během 24 hodin po aktualizaci bude vše v pořádk

Dnes (12.1.) se objevila další vlna podvodných emailů. Tváří se jako potvrzení objednávky v internetovém obchodě obchody24.cz. Text je následující:
Vážená paní, vážený pane,
děkujeme za projevenou důvěru v internetové obchody obchody24.cz.
Tímto emailem potvrzujeme, že jsme v pořádku přijali vaši objednávku.
Číslo objednávky (variabilní symbol): N40474470C664B3 Datum a čas objednávky: 11.01.15 25:37 Kontaktní údaje:
Alice Bare
+420 606 216 580

Vaše objednávka:
------------------------------
--popis zboží--
------------------------------
Celková cena nákupu vč. DPH: 41 059,00 Kč Způsob platby: Platba předem – platební karta
Poznámka: Potvrzení platby a fakturu najdete v přiloženém souboru (bill656D653.zip)

V žádném případě neotvírejte uvedenou přílohu obsahuje malware, který aktuálně detekuje pouze několik antivirů.

Bezpečnostní výzkumníci Google odhalili v září 2014 ve Windows 8.1 zranitelnost, která umožňuje eskalaci oprávnění.Po vypršení lhůty 90 dnů byla tato zranitelnost zveřejněna, přestože dosud nebyla společností Microsoft opravena. Doporučujeme nainstalovat patch, který firma Microsoft vydá 13. ledna 2015.
Více informací na http://www.govcert.cz/cs/informacni-servis/zranitelnosti/zranitelnost-ve-windows-81/

Uživatelé operačních systémů Android verzí nižších než 4.4. (cca 66% všech Android OS) by měli okamžitě přestat používat výchozí prohlížeč a v ideálním případě by jej měli deaktivovat a nahradit jiným. Útočníci totiž začali zneužívat již dříve nalezenou chybu v Same Origin Policy (SOP) ve výchozím prohlížeči Androidu.

Prakticky to znamená, že pokud navštívíte útočníkovu stránku, kam jste často podvodné nalákáni, pomocí výchozího prohlížeče, je tento schopen získat veškeré přihlašovací tokeny ke službám, kam jste aktuálně přihlášeni a tedy plný přístup k nim. Může se se jednat např. o Facebook, Webmail, Internet banking aj. Doporučuje se výchozí prohlížeč deaktivovat a místo něj používat jiný.
více informací na http://securityaffairs.co/wordpress/31638/hacking/hackers-same-origin-policy-flaw.html

Opět se objevily podvodné emaily informující o fiktivní pohledávce a odkazující na podrobnosti v příloze emailu. Odesilatelem je "debt@vygenerovana_domena" a v příloze je zip soubor s názvem smlouva_vygenerovany_kod. Tuto přílohu neotvírejete obsahuje malware trojského koně, který aktuálně detekuje pouze malé množství antivirových programů (podrobnosti zde )

13.11. se byla zaznamenána nová vlna podvodných emailů. Emaily se tváří jako odeslané z České pošty (support@cs-post.net, tracktrace@cs-post.net, cpost@cs-post.net, post@cs-post.net, zasilka@cs-post.net) v těle je informace psaná ne příliš kvalitní češtinou o uložení poštovní zásilky a výzvy ke stáhnutí dalších informací formou odkazu. Ten vede na falešné stránky České pošty, kde je uživateli nabídnut soubor ke stažení (exe soubor zabalený v zip). Součástí je ale nebezpečný ransomware, který zašifruje dokumenty na disku a pro rozšifrování požaduje zaplacení výkupného. Většina antivirových řešení doposud nedetekuje v uvedeném souboru možnou hrozbu.
více na http://csirt.cz/page/2516/

Byly uveřejněny výsledky dva roky trvající studie, zabývající se podvody v prostředí sociální sítě Facebook. Během ní bylo společnosti Bitdefender analyzováno více než 850000 Facebookových podvodů a byly identifikovány nejbežnější druhy FB podvodů.
Top 5 nejpouživánějších FB podvodů je následující:

1. Informace o prohlížení Vašeho profilu.(Možnost zobrazení uživatelů, kteří prohlíželi konkretní FB profil) - 45,50%
2. Falešná funcionalita Facebooku(změna barev, nová tlačítka ap.) - 29.53%
3. Podvody založené na slibu získání něčeho zdarma (peněz, zařízení, benefitu ve hrách ap.) - 16,51%
4. Exkluzivní obsah tykající se celebrit - 7,53%
5. Video obsahující násilí - 0,93%

Více informací na http://securityaffairs.co/wordpress/29931/cyber-crime/facebook-scams-study.html

Švédský hacker Emil Kvarnhammar z bezpečnostní firmy Truesec objevil zranitelnost eskalace privilegií v OS X. Tato zranitelnost umožňuje útočníkovi získat přístup na úrovni root na cílové stanici.

Doporučuje se omezit obvyklé denní spouštění systému s administrátorskými právy, ale využívat spíše běžné uživatelské účty. Dále je vhodné využít nástroje pro šifrování a dešifrování dat na disku za běhu systému, jako například Apple FileVault. Společnost Apple plánuje záplatovat chybu v nejbližší době, nejpozději do ledna 2015, kdy budou zveřejněny detaily zranitelnosti..

více na:
http://www.govcert.cz/cs/informacni-servis/zranitelnosti/rootpipe---kriticka-zranitelnost-mac-os-x/

Byla popsána závažná zranitelnost nultého dne ve službě Samsungu FindMyMobile. Útočníkovi umožňuje vzdálené uzamknutí telefonu Samsung a změnu PIN kódu k jeho odblokování.

Pro minimalizaci rizika se po práci s portálem FindMyMobile, korektně odhlašujte a následně uzavřete veškerá okna webového prohlížeče, dále nepoužívejte možnost trvalého přihlášení. Neklikejte na podezřelé odkazy popř. nenavštěvujte podezřelé stránky, pokud jste zároveň do jiného informačního systému přihlášeni!
To je obecné doporučení pro práci s citlivými informačními systémy, zejména internetovým bankovnictvím.

Více informací včetně videa na http://securityaffairs.co/wordpress/29607/security/zero-day-samsung-findmymobile.html

Objevila se nová verze ransomware pro mobilní telefony. Ten se šíří prostřednictvím SMS na všechny kontakty v seznamu. Součástí SMS je odkaz na malware po jehož spuštění dojde k zablokování mobilního zařízení a zobrazení žádosti o "výkupné".

více informací na stránce:
http://www.govcert.cz/cs/informacni-servis/zranitelnosti/wormkoler---nova-varianta-ransomwaru-pro-mobilni-telefony/

Podvodná zpráva informuje adresáta o novém vyúčtování za mobilní služby. Přitom se odkazuje na přiložený soubor, který má údajně obsahovat platební údaje. Ve skutečnosti však obsahuje spustitelný soubor, který podle dosavadního zkoumání s vysokou pravděpodobností obsahuje virus. Důrazně proto varujeme uživatele před spouštěním přílohy u této zprávy.

podrobnosti na:
http://csirt.cz/page/2458/

Společnost Seznam.cz v úterý varovala před podvodnými fakturami, které zneužívají jméno společnosti. Podvodníci se v nich dožadují uhrazení za prezentace firmy na službách Sklik.cz a Firmy.cz

Falešná faktura, která se může objevit v e-mailových schránkách, přichází z účtu seznam-fakturace@seznam.cz

http://www.novinky.cz/internet-a-pc/bezpecnost/350522-podvodnici-zkouseji-novy-trik-jak-vylakat-z-lidi-penize-vydavaji-se-za-zastupce-seznam-cz.html