Taková zvláštní spamová aktivita. Možná se snažící zlikvidovat něčí zpětné odkazy

Jakási fiktivní Lily posílá mailem tak trochu phishing, který se týká článků odkazujících na www.nytimes.com – snaží se přesvědčit autora článků či blognutí, aby adresu webu New York Times nahradil adresou TheTimeNow.com a asi předpokládá, že někdo bude tak blbý, že mu vůbec nedojde, že je to zcela jiný web. Balí to do řeší o dostupností webu, ale ta s tím nijak nesouvisí.

2016-06-17 18_41_56-Doručená pošta - daniel@justit.cz - JustIT.cz Mail

Celé je to zajímavé ještě i v tom, že adresa  http://www.TheTimeNow.com momentálně není přístupná (ale při pohledu do Google zjistíte, že to byla existující doména a šlo o službu ukazující kde je kolik hodin). Byť doména jako takové je v DNS, ale www adresa v ní není. A pokud se podíváte do doménových záznamů, tak v SOA pro doménu je včerejší aktualizace (2016061602). Čistě teoreticky to tak trochu vypadá na napadenou doménu a nepovedené zneužití.

2016-06-17 19_02_43-nslookup - Far 3.0.3367 x64

O co v tomto případě jde moc jasné není. Může jít o sociální inženýrství likvidující zpětné odkazy, ale nedokážu si moc představit úspěšnost. Může jít čistě o spam, který by vás v případě snahy zjistit o co jde přivedl na phishingovou stránku. Kazí to skutečnost, že ona cílová adresa je nedostupná. Každopádně mám dva exempláře, každý reaguje na články na dvou mých webech, posíláno je to, jak jinak, na kontakt z WHOIS.

E-mailem se šíří viry s „kompenzací“ či „fakturou“. Zip uvnitř skrývá zajímavý JavaScript

E-mailem se opět šíří viry, které se sociálním inženýrstvím snaží dosáhnout otevření přílohy (tou je ZIP soubor) s následným otevřením obsahu. Dvojice souborů v ZIP obsažených ale není ani klasický výkonný soubor či často používaný spořič obrazovky. Najdete tam dva .js (JavaScript) soubory s obsahem, který je hodně důsledně rozdělován do řady rozsekaných textů a blok tak, aby bylo velmi obtížné poznat, co se vlastně bude dít.

2016-03-08 17_59_32-Centrum akcí

 

 

Varianta „kompenzace“. Níže varianta „faktura“.
V obou případech je v příloze ZIP s dvojici JavaScript souborů.
2016-03-08 18_20_08-Spam (421) - daniel@justit.cz - JustIT.cz Mail

 

VirusTotal tenhle vzorek detekuje prozatím alespoň ve dvou případech jako EUR.JS.Trojan.bJS/TrojanDownloader.Nemucod.ID. Windows Defender například nereaguje vůbec, ale to je poměrně obvyklá situace u nových věcí.

2016-03-08 18_02_31-Start

2016-03-08 18_03_01-view letter.865160137.js - Far 3.0.3367 x64

Spuštěním JavaScriptu dojde ke stažení a spuštění souborů z Internetu, samotný JavaScript v počítači žádné změny nedělá, je to opravdu jenom kod pro stažení dalších programů, které poslouží k napadení počítače.

Sociální inženýrství (Infografika)

Sociální inženýrství (social engineering) je dnes jeden ze zásadních nástrojů hackingu, podvodů, zlodějů internetových i těch v reálném světě. Podrobněji se o tom můžete dočíst v Co je to sociální inženýrství? na @365tipu. A podívat se na starší, ale stále dobrou infografiku z The Social Engineering Infographic

SocialEngineeringInfographic

ESET varuje: Firmy čelí útokům na hesla k účtům na Facebooku

Starý známý způsob sociálního inženýrství se vrací. Phishingové maily vinící například z porušování autorských práv na vaší firemní stránce se postarají o to, že heslo k vašemu účtu na Facebooku se dostane do rukou útočníka. Tím získá přístup k Stránkám (firemním) profilům, které máte ve správě.  Podrobnosti viz tisková zpráva Firmy čelí útokům na hesla k účtům na Facebooku.

ESET_Facebook_Phishing4

K doporučením o zvýšení povědomí zaměstnanců a vyvarování klikání se na cokoliv co se jim někde objeví je ještě vhodné doplnit, že dvoufaktorové ověření přihlašování je jedním z nejlepších způsobů jak zabránit někomu dostat se na váš účet i v okamžiku, kdy zjistil heslo. Viz Dvoufaktorové ověření použijte všude tam, kde chcete lépe zabezpečit účet

ESET_Facebook_Phishing1 ESET_Facebook_Phishing3 ESET_Facebook_Phishing2

Kvízy a podvody řádí i na Twitteru, úspěšně

Sophos v Unfollowed Me rogue application spreads virally on Twitter upozorňuje na podvodnou aplikaci, která slibuje zjistit, kdo vás přestal sledovat na Twitteru. Místo toho si vyžádá práva k „update“ pro váš účet a využije je okamžitě pro spam. A nepustí vás dokud nevyplníte dotazník.

Klasické sociální inženýrství fungující spolehlivě na Facebooku najdete i na Twitteru – hlad po zjištění „kdo sleduje můj účet“, „kdo se dívá na moje fotky“, „kdo už není můj přítel“ vede vždy k závratnému množství lidí, kteří se na podobné podvody nachytají – čeká je spam, vyplňování dotazníků (z toho má „útočník“ peníze) a čas od času také viry, trojské koně a vykrádání osobních údajů.

Na Twitteru tolik možností k podvádění není, takže nejčastější téma je „chci vědět kdo mě přestal sledovat“ – k podobnému účelu můžete použít několik skutečně fungujících aplikací. Nebo také naletět na klasický podvod v podobě „find out how many have unfollowed you„.  Aplikaci, která by vám měla být podezřelá už hned po vstupu na webovou adresu, na kterou vám její spam přivede – chce po vás vyplnit dotazníky či stáhnout nějaké software, teprve potom vás „pustí dál“.

V dalším kroku (jste ještě stále v bezpečí) už musíte aplikaci povolit přístup k vašemu účtu na Twitteru – tady si stačí pamatovat, že „ability to access and update your data“ je problematická hlavně přítomností „and update“ – dáváte tím aplikaci právo využít váš účet. Stačilo by jí přitom samozřejmě pouze „to access“.  Jakmile přístup aplikaci schválíte, objeví se na vašem Twitteru účtu spam propagující tuto aplikaci a snažící se ovlivnit trending topics.