Nowe zagrożenia i oszustwa internetowe – podsumowanie miesiąca września 2023

Rozpoczęcie roku szkolnego już dawno za nami. Dzieci powoli zapominają o wakacjach, a studenci szykują się na pierwsze zajęcia. Za nami także miesiąc, który obfitował w wiele różnych wydarzeń – głównie w cyberprzestrzeni. Zebraliśmy prawdziwy przestrzał informacji, związanych z zagrożeniami i oszustwami internetowymi. Na co trzeba zwrócić uwagę i jaki morał płynie z tych sytuacji? Przed Tobą 5 różnych, ale bardzo pouczających historii. 

#1 Krytyczna luka w zabezpieczeniach przeglądarek

Google, wraz z najnowszym wydaniem przeglądarki internetowej Chrome (Google Chrome), wprowadziło kluczowe aktualizacje związane z bezpieczeństwem, które miały na celu usunięcie krytycznej luki oznaczonej jako CVE-2023-4863. Ta podatność była związana z przekroczeniem bufora w formacie obrazu WebP, co potencjalnie mogło prowadzić do nieautoryzowanego uruchomienia kodu lub awarii systemu.

Dla zachowania bezpieczeństwa, zaleca się, aby wszyscy użytkownicy przeglądarki Chrome niezwłocznie zaktualizowali ją do najnowszej wersji, tj. 116.0.5845.187/.188 dla systemu Windows oraz 116.0.5845.187 dla systemów macOS i Linux, w celu zminimalizowania ryzyka potencjalnych zagrożeń.

Ale to nie koniec. Podobną lukę pod koniec września odkryto także w przeglądarce Mozilla Firefox. Otrzymała ona kod CVE-2023-4863 oznaczony jako krytyczny i także jest powiązana z formatem plików graficznych WEBP. Błąd został praktycznie natychmiast naprawiony, jednak nic nie dzieje się tutaj automatycznie. Dlatego jeśli korzystasz z Firefoxa lub Thunderbirda, koniecznie zaktualizuj oprogramowanie do najnowszych dostępnych wersji:

• Firefox 117.0.1
• Firefox ESR 115.2.1
• Firefox ESR 102.15.1
• Thunderbird 102.15.1
• Thunderbird 115.2.2

Zajmie to kilka minut, jednak zdecydowanie lepiej poświęcić je na aktualizację, niż później na czyszczenie systemu z ataku hakerskiego.

#2 Niebezpieczny mObywatel

I niestety nie chodzi tutaj o pomysł streamowania meczów przez tę aplikację. Jednak fakt, że zrobiło się o niej głośno, stał się wystarczającym powodem do… wykorzystania technik socjologicznych przez hakerów w celu uzyskania dostępu do prywatnych danych.

Dla wyjaśnienia, kto nie miał jeszcze przyjemności z mObywatelem – to aplikacja bezpłatna aplikacja rządowa, która umożliwia dostęp do kluczowych dokumentów w wybranych sytuacjach. Dzięki niej zyskujesz możliwość wglądu w istotne dane, takie jak dowód osobisty, prawo jazdy czy recepta, co pozwala na potwierdzenie swojej tożsamości w wielu różnych kontekstach. Aplikacja mObywatel przydaje się szczególnie podczas wizyt w banku, kontroli w pociągu, w urzędzie, u notariusza czy na poczcie, a także wtedy, gdy musisz odebrać przesyłkę poleconą. Dzięki niej nie musisz nosić dokumentów ze sobą – wystarczy telefon. I właśnie to stało się smacznym kąskiem dla hakerów.

Wielu Polaków otrzymało SMSy od “mOBYWATEL” z prośbą o zalogowanie się do swojej aplikacji:

“UWAGA

W skrzynce odbiorczej portalu mObywatel znajduje sie nowa wiadomosc. Zaloguj sie do profilu mObywatel uzywajac linku ponizej:

https://rb.gy/XXXXXXXXX”

Link obecnie nie działa (podany przez nas format, też nie pozwala na jego otwarcie – rozwinięcie linku zastąpiliśmy „X”), jednak wielce prawdopodobne jest, że miał służyć do pozyskania danych prywatnych, danych logowania i wszystkiego, co mogłoby przydać się cyberprzestępcom np. do uzyskania dostępu do bankowości online. 

#3 Fałszywe wiadomości od Meta

Od dłuższego czasu właściciele firmowych fanpage na Facebooku dostają wiadomości z różnych kont, które informują o dezaktywacji profilu. Jedna z takich trafiła także na naszą skrzynkę:

Cyberprzestępcy robią wszystko, by przejąć dostępy do kont. Szczególnie tych, które kiedykolwiek umieszczały reklamy i mają podpięte karty kredytowe. Przejęcie takich profili to łakomy kąsek – często hakerzy włączają z takich profili reklamy, za które płaci ofiara. 

Pamiętaj – META nie wysyła prywatnych wiadomości za pomocą messengera i nie kieruje do weryfikacji na żadne podejrzanie wyglądające linki. Jeśli chcesz sprawdzić, czy Twój fanpage jest aktywny, zrobisz to w jego ustawieniach – czyli narzędziach do tego przeznaczonych. 

#4 Gigantyczna kara dla TikToka – a poszło o dzieci

TikTok to bardzo popularna platforma – zwłaszcza wśród młodzieży. Znaleźć można tam wszystko – od pouczających filmików po śmieszne nagrania, a nawet przerażające treści. Aby korzystać z niego w pełni, trzeba utworzyć tam konto. Jednak dostęp do filmików osób poniżej 18 roku życia, automatycznie ustawiony był na publiczny – obejrzeć mógł je każdy i to poza platformą – nawet nie posiadając tam profilu. Okazuje się, że nie było to zgodne z kilkoma punktami RODO (Ogólnego Rozporządzenia o Ochronie Danych Unii Europejskiej).

Irlandzka Komisja Ochrony Danych (w skrócie DPC) nałożyła na platformę karę w kwocie 368 milionów dolarów i konieczność zmiany praktyk dotyczących przetwarzania danych osobowych w ciągu trzech miesięcy od wydania wyroku. Ta gigantyczna wartość związana jest z naruszeniem przepisów związanych z przetwarzaniem danych dzieci w wieku od 13 do 17 lat – nie byli oni dostatecznie dobrze informowani o tym, co dzieje się z informacjami o nich. 

Zarzuty dotyczyły także działania funkcji łączenia kont z członkiem rodziny. Polegała ona na możliwości parowania kont dorosłych z dziećmi. Jednak funkcja pozbawiona była jakiejkolwiek weryfikacji – podsumowując – każdy mógł połączyć konto z dowolnym dorosłym lub dzieckiem, niezależnie od tego, czy rzeczywiście była to relacja rodzic (opiekun prawny)  dziecko, czy też nie. 

To niestety nie pierwsza i być może nie ostatnia kara dla chińskiego giganta. Wcześniej inne kraje ukarały platformę za stosowanie tzw. dark patterns, które zachęcało do wybierania opcji niekorzystnych (z punktu widzenia prywatności) dla użytkowników. Ponadto zgoda na pliki cookies była szybka do zaakceptowania, ale gdy świadomie nie chciałeś się na nie godzić, musiałeś się trochę naklikać, by móc je odrzucić. 

Ponadto w kwietniu tego roku wyszło na jaw, że TikTok wykorzystuje do celów biznesowych dane dzieci poniżej 13 roku życia, bez zgody i wiedzy ich opiekunów prawnych. Co oczywiście także zostało objęte karą grzywny w wysokości aż 12,7 mln funtów.

Piszemy o tym, jako o zagrożeniu, ponieważ dzieci często zakładają samodzielnie konta na różnych platformach. A prywatność – szczególnie najmłodszych – powinna być pod szczególną ochroną. To wystarczajaca przesłanka do zaopatrzenia się w dobrej jakości program do Kontroli Rodzicielskiej. 

#5 Atak phishingowy z wykorzystaniem nazwa.pl

Uważać muszą szczególnie osoby, którym rzeczywiście we wrześniu/październiku kończą się umowy w nazwa.pl. Poniższy screen to mail, jaki otrzymała nasza czytelniczka, która korzysta z usług tej firmy. 

Po czym poznała, że mail jest fałszywy? Od razu kilka rzeczy rzuca się w oczy:

1. Napis na przycisku w innym języku.
2. Nie zgadzała się (o kilka dni) data wygaśnięcia subskrypcji.
3. Kwota również powinna być zupełnie inna.
4. Oprócz przycisku, żaden inny link nie jest aktywny – mimo pomarańczowych oznaczeń, nie ma tu żadnego linkowania.

Adres mailowy nadawcy również wyglądał podejrzanie: “info@majellaosullivan-nazwa.pl”.

Dziś link z przycisku zostaje automatycznie zablokowany jako zagrożenie, ze względu na brak SSL (co dodatkowo powinno wzbudzić czujność):

Poszperaliśmy też trochę w internecie i okazuje się, że to tylko jedna z kilku form maili, jakie zostały wycelowane w klientów nazwa.pl. W każdym jednak oszuści informują o rzekomym wygaśnięciu domeny w rejestrze (w przypadku naszej czytelniczki to rzeczywiście miało miejsce, jednak wygląda na to, że to czysty przypadek). Oczywiście w rzeczywistości chodzi o wyłudzenie danych karty płatniczej.

Jeśli chodzi o ten sposób działania (phishing) koniecznie zachowaj ostrożność. Hakerzy mogą podszyć się praktycznie pod każdą firmę, dlatego zawsze sprawdzaj u źródła, czy taki mailing rzeczywiście był wysłany, albo czy naprawdę wygasają teraz jakieś usługi, z których korzystasz.

Do zapamiętania

Morał z ostatniego miesiąca to znów walka z poważnymi zagrożeniami w cyberprzestrzeni. O czym musisz pamiętać? Po pierwsze o tym, że przeglądarki internetowe jak Google Chrome i Mozilla Firefox były podatne na ataki związane z formatem obrazu WebP. A w przyszłości mogą to być także inne podatności, dlatego pamiętaj o dokonywaniu regularnych i pilnych aktualizacji.

Po drugie, że aplikacje rządowe też są narażone na ataki. Aplikacja  mObywatel stała się celem hakerów, którzy podszywając się pod nią, próbowali wyłudzić prywatne dane od użytkowników. Po trzecie, użytkownicy fanpage’ów na Facebooku otrzymywali fałszywe wiadomości o dezaktywacji kont, które stanowiły próby przejęcia kont przez oszustów. Pamiętaj, że META nigdy nie kontaktuje się w ten sposób z właścicielami fanpage.

Po czwarte, pamiętaj że TikTok został ukarany rekordową karą w wysokości 368 milionów dolarów za naruszenia RODO, głównie związane z przetwarzaniem danych nieletnich użytkowników. Jeśli masz dzieci – zawsze kontroluj co robią w internecie i na jakich portalach zakładają konta. W końcu chodzi o ich bezpieczeństwo. 

Ostatnia rzecz do zapamiętania to atak phishingowy z użyciem nazwa.pl, który miał na celu wyłudzenie danych płatniczych od klientów. Pamiętaj, aby zawsze weryfikować maile, które dotyczą zaległych płatności – może się okazać, że to fałszywa wiadomość, a Twoje pieniądze dostaną się w ręce niepowołanych osób.

Jeszcze raz podkreślamy pilną potrzebę ostrożności wobec fałszywych wiadomości, regularnych aktualizacji oprogramowania oraz sprawdzania autentyczności przesyłanych informacji. W internecie trzeba być uważnym – uczulaj też na to swoje dzieci i osoby starsze. Wszystko po to, aby unikać kradzieży danych, pieniędzy i innych zagrożeń związanych z bezpieczeństwem online.