32 220 35 21
biuro@omegasoft.pl
Dopiero wkroczyliśmy w Nowy Rok, a pierwszy miesiąc już na nami. Kilka województw skończyło już nawet ferie, inne dopiero rozpoczną, ale jedno jest pewne – nie był to czas odpoczynku dla cyberprzestępców (oni chyba nigdy nie śpią). W każdym razie – przed Tobą najnowsze podsumowanie miesiąca – sprawdź co działo się w dziedzinie zagrożeń i oszustw internetowych w styczniu 2023 roku.
1. Bankowość internetowa nadal zagrożona – fałszywe maile od Santandera
Wszędzie tam, gdzie są pieniądze, tam będą też hakerzy. Nie inaczej ma się sytuacja z ostatnią masową wysyłką maili wycelowaną w klientów banku Santander. Trzeba mieć się baczności, bo dając się nabrać, można stracić nie tylko dane, ale i pieniądze. Na czym polega trik? Hakerzy, mailem przypominającym mocno nieudane tłumaczenie z translatora na polski, informują o blokadzie niektórych funkcji konta i możliwości odblokowania ich poprzez kliknięcie w link i wykonanie kolejnych kroków według instrukcji. Strona logowania przypomina prawdziwą stronę banku, ale wpisanie na niej loginu i hasła może nas bardzo drogo kosztować. Niebezpiecznik.pl podał też oryginalną treść takiego maila:
“Od: Santander Bank Polska S.A. santander-bank-polska@standardweave.com
Temat: Nowa wiadomość
Szanowny Kliencie,
Aby nadal zapewnić bezpieczną sieć płatności, opracowaliśmy nową aplikację bezpieczeństwa urządzeń mobilnych. Dlatego musieliśmy zablokować twoje konto bankowe dla niektórych funkcji. Abyś mógł ponownie użyć wszystkich funkcji, zbieraj wszystkie niezbędne kroki w celu odzyskania. Ukończając go, nasz system automatycznie anuluje wszystkie zamki i możesz kontynuować jak zwykle. Kontynuować
Dziękujemy za zrozumienie i prosimy o wybaczenie niedogodności.
Z poważaniem
Santander Bank © 2023 Santander Bank Polska S.A.”
Zwróć uwagę na adres mailowy, z którego została wysłana wiadomość – od razu widać, że jej autorem nie jest bank. Zdarzają się też maile, które są napisane poprawną polszczyzną i do złudzenia przypominają korespondencję kierowaną z banku – pamiętaj jednak, że bank nigdy nie wysyła tego typu maili do swoich klientów. To ważne, by mieć się na baczności i skrupulatnie sprawdzać źródło pochodzenia wiadomości.
2. Skradziono dane ok. 35 tysięcy użytkowników PayPal
O PayPalu każdy przynajmniej słyszał – to międzynarodowa usługa płatnicza, która umożliwia dokonywanie transakcji praktycznie na całym świecie. Niestety firma poinformowała, że złamano jej zabezpieczenia, a ofiarą mogło paść nawet 35 tysięcy kont użytkowników. Całe szczęście póki co nie ma mowy o stratach materialnych, jednak wszystkim zainteresowanym firma ufundowała dwuletnią subskrypcję Equifax – usługę monitorowania tożsamości.
Użytkownicy PayPal co jakiś czas padają ofiarami działań cyberprzestępców za pośrednictwem phishingu, jednak tym razem nie był to atak skierowany w pojedynczych użytkowników. Hakerzy skorzystali z metody zwanej credential stuffing, która polega na powtórnym wykorzystaniu krążących w sieci, już kiedyś wykradzionych danych. Jeżeli użytkownik nie zmienia systematycznie hasła – staje się w tym przypadku bardzo łatwym celem. A że oszuści korzystają z zaawansowanej automatyzacji działań, sparowanie pasujących do siebie kombinacji loginów i haseł nie zajmuje im wiele czasu. Dlatego tak ważne dla bezpieczeństwa jest używanie różnych haseł do różnych platform i częsta ich zmiana.
3. Masz iPhone’a? Wcale nie jesteś bezpieczny
Urządzenia Apple były jak dotąd uznawane za najbardziej bezpieczne na świecie. Stało się jednak coś, czego nikt się nie spodziewał – około 11 milionów iPhone’ów zostało zainfekowanych przez hakerów za pomocą oszustw reklamowych. Ponad 1,7 tysiąca aplikacji za plecami deweleoperów przemyciło złośliwy kod. Jego zadaniem było otwieranie niewidocznych dla użytkowników reklam video – kod tworzył w aplikacjach nawet do 25 ukrytych odtwarzaczy. To powodowało naliczanie wyświetleń i automatyczne generowanie zysków z reklam.
Dla zwykłych użytkowników problem nie był aż tak uciążliwy – mogli zauważyć jedynie szybsze rozładowywanie się baterii lub wysyłanie większej niż zwykle ilości danych. Gorzej ma się sprawa z reklamodawcami – przez tzw. technikę spoofingu. Mówiąc krótko – cyberprzestępcy przekonali ich, że reklamy za które płacą wyświetlają się na wartościowych aplikacjach. Straty jakie ponieśli w tym procederze szacuje się na miliony dolarów.
4. Dziura w API Żabki – darmowe zakupy i… duże problemy
Aplikacja, jaką mogą zainstalować sobie klienci Żabki pozwala na zbieranie tzw. “żappsów”. To nic innego jak punkty za zakupy, które można potem wymienić na produkty. Okazało się, że aplikacja miała pewną lukę, przez którą można było wysłać żądanie do API i podbić sobie punkty o… nieograniczoną liczbę. Nie mógł tego dokonać klasyczny użytkownik – potrzebna była jednak znajomość środowiska i sposobu działania tokenu i samego API. Do “nabicia” żappsów wystarczyło użyć własnego tokenu – to spore niedopatrzenie zespołu programistycznego i testowego Żabki.
Pojawiło się wielu śmiałków, którzy z wielką radością skorzystali z tej luki i pochwalili się tym w sieci. A jak wiadomo – to co raz wejdzie do internetu już nigdy z niego nie zniknie. Poza tym sklepy Żabki są monitorowane, aplikacja wymaga podania swoich danych przy rejestracji, a i samo API pozostawia po sobie ślady. Firma już zaczęła masowe blokowanie kont z nielegalnie naliczonymi żappsami, a ci którzy połasili się na darmowe zakupy, mogą spodziewać się wizyty policji. I to nie są żarty.
Do zapamiętania
Morał z tego miesiąca można podsumować w tradycyjny sposób: przezorny zawsze ubezpieczony. Dlatego pamiętaj, by zawsze sprawdzać autentyczność maili i bezpieczeństwo linków w jakie klikasz. Staraj się również zmieniać hasła, na silne i unikalne, przynajmniej raz na dwa-trzy miesiące i korzystaj z uwierzytelniania dwuskładnikowego. A gdy znajdziesz lukę w jakimś oprogramowaniu – skontaktuj się z jego właścicielem – to dużo pewniejsze i korzystniejsze rozwiązanie, niż świadome skorzystanie z dziury w zabezpieczeniach. Konsekwencje takiego działania mogą być bardzo nieprzyjemne.
@OmegaSoft