Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

tirsdag 10. april 2018

Svært overbevisende automatisert phishing-svindel

Like før påske ble e-posten under sendt ut til noen hundre mottakere i Norge, blant annet mange i Telenor. E-posten ble sendt fra en administrerende direktør i et norsk firma til alle hans kontakter.



Angriperne har mest sannsynlig fått tak i brukernavn og passord fra offeret ved hjelp av phishing. Så snart de får tilgang, brukes kontoen til å spre angrepet videre ved å sende e-poster til alle kontaktene til offeret. Dette er som oftest automatisert og gjør det umulig å skille svindel-e-postene fra vanlige e-poster fra offeret.

E-posten har også et bilde av en forminsket kopi av en faktura som typisk vil gjøre mottakeren nysgjerrig på hva fakturaen gjelder, siden skriften er for liten til å lese.

Dersom en trykker på bildet av fakturaen, blir en sendt videre til en falsk innloggingsside for tjenesten Office 365. Dette er en tjeneste for e-post fra Microsoft som brukes av mange bedrifter.


Det er flere ting som gjør at denne siden kan overbevise mottakeren av svindel-eposten om at dette er ekte vare:

  • Siden er en tro kopi av Office 365 sin ekte innloggings-side. Veldig mange brukere er vant med å logge inn på denne tjenesten.
  • Siden er kryptert med HTTPS og har grønn hengelås. Mange ser på en slik grønn hengelås som et slags “godkjent-stempel”, men det betyr i realiteten bare at siden er kryptert mellom din PC og serveren som sender den. Hengelåsen antyder ikke at siden er ekte eller at avsender er den den gir seg ut for å være.
  • E-post-adressen til mottakeren er allerede fyllt inn slik at bare passordet mangler. Dette kan få det til å virke som om siden allerede er “kjent” med mottakeren og at den har vært brukt før. Svindlerne fyller imidlertid inn adressen automatisk, siden de allerede har den.

Det aller viktigste før en skal skrive inn brukernavn og passord på en nettside er følgende: Sjekk adressefeltet til siden! Er du på den adressen du skal være? I dette tilfellet er adressen til siden følgende:



Selve domenet er markert i blått. Adressen “abcd08ge. download” er ikke en adresse som rimer med at dette er en tjeneste fra Microsoft eller har noe med Office å gjøre.

Ikke følg linker i e-poster for å logge på tjenester. Skriv heller inn adressen eller følg bokmerket ditt i nettleseren som vanlig. Da unngår du at svindlere får tak i din personlige informasjon ved å lure deg inn på falske nettsider.

Dersom du blir lurt til å gi fra deg innloggings-info til denne typen svindel-sider, er det i neste omgang dine kontakter som får phishing-epost “fra deg”. Bakmennene vil også sitte på en enda større liste med brukernavn og passord som kan brukes til forskjellige typer lovbrudd.

Dersom du skulle bli lurt, skifte passord så fort som mulig!

fredag 6. april 2018

Oppsummering av nyhetsbildet innen datasikkerhet for mars 2018

Vår tjeneste Sikkerhetsovervåking oppdaget 121 alvorlige hendelser i mars. Dette var en svak oppgang fra 115 i februar. Typen hendelser gjelder særlig browser-hijackere, forsøk på å logge inn ved å prøve mange brukernavn/passord og crypto-mining.

Det var 441 bekreftede DDoS-angrep i mars. 142 av disse ble mitigert. Et gjennomsnittlig angrep var på 2,22 Gbps og varte typisk 21 minutter. Det største angrepet observert i denne perioden var på 23,2 Gbps og varte i 44 minutter. Ni av TSOCs kunder ble utsatt for angrep denne måneden, noe som er et uvanlig høyt tall.

28. februar ble Github offer for et DDOS-angrep på 1.35 terabits per sekund. Dette er det største angrepet registrert noen sinne. Mitigeringstjenesten til Github, Akamai Prolexic, ble automatisk kontaktet i løpet av 10 minutter og gikk inn som mellommann og rutet all trafikk inn og ut fra Github. Trafikken ble sendt gjennom trafikk-filtere for å blokkere ute angrepstrafikken. Etter rundt 20 minutter ga angriperne opp og angrepet avtok. Angrepet var av typen Memcached DDOS, som er en ny type forsterkningsangrep. Angrepet utføres ved at angriper spoofer ip adressen til offeret og sender spesielle pakker til memcached-servere som står åpent ut på nett, eid av bedrifter og institusjoner. Disse sender så pakker som er mangedoblet i størrelse tilbake til offeret. Memcached er egentlig en tjeneste som er ment å ikke være eksponert mot offentlige nettverk.

Noen dager senere meldte Netscout Arbor at en kunde av en amerikansk ISP hadde blitt utsatt for et DDoS-angrep på 1.7 Tbps. I likhet med DDoS-angrepet mot Github var også dette angrepet av typen memcached reflection/amplification.

Firmaet Cambridge Analytica laget detaljerte velgerprofiler på 50 millioner velgere i USA. Dette ble gjort ved å betale 270.000 mennesker for å gjøre en "personlighestest" gjennom en app på Facebook. Appen fikk tilgang til informasjon både fra de som lastet den ned, samt alle kontaktene deres. Informasjonen ble senere brukt til målrettet politisk reklame for Trump-kampanjen. Facebook har nå suspendert firmaet fra å bruke deres plattform. Facebook har i etterkant mottatt kraftig kritikk for slepphendt behandling av brukernes data og datasikkerhetssjefen trakk seg også etter avsløringen.

Forskere har funnet en skadevare som har vært gjemt i 6 år - til tross for at den har infisert mer enn 100 maskiner verden over. Skadevaren har fått navnet Slingshot og er antatt å være utviklet av en nasjonalstat grunnet dens høye kompleksitet og elegans. Den har blant annet en modul for å infisere routere fra Mikrotik. Kaspersky Labs opplyser at skadevaren først og fremst har rammet Asia og Afrika. Senere i måneden viste det seg at det var USAs “Joint Special Operations Command” som skal ha stått bak kampanjen. Den var en del av en anti-terror operasjon, og ment for å infisere maskiner brukt av medlemmer av ISIS.

Den Israelske organisasjonen CTS oppdaget 13 kritiske svakheter i flere moderne AMD prosessor-familier. Svakhetene kan utnyttes til å få tilgang til CPUen sin "Secure Processor", som bl.a. utfører en rekke sikkerhetsrelaterte operasjoner. CTS får kritikk for å ha gitt AMD kun 24-timers frist før offentliggjøring. Flere er også skeptiske til alvorligheten av funnene, samt motivasjonen til CTS for publisering. AMD bekreftet senere i måneden flere av svakhetene og opplyste at de ville komme med fastvareoppdateringer.

Selskapet Recorded Future oppdaget at Kina bevisst manipulerer publiseringsdato for enkelte sårbarheter i landets offentlige sårbarhetsdatabase (CNNVD). Årsaken skal ifølge Recorded Future være at landets "Ministry of State Security" (MSS) vurderer/benytter sårbarhetene i forbindelse med målrettede angrep før de offentliggjøres.

22. mars ble Atlanta offer for et angrep med den kjente ransomwaren SamSam, som tok ned flere av byens systemer og websider. Systemene som ble rammet håndterer blant annet prosessering av innbetalinger og videreformidling av informasjon fra pågående rettssaker. Byens myndigheter jobbet med FBI, Microsoft, og Cisco i forsøk på å rette opp etter angrepet. I følge CBS mottok myndighetene krav om betaling av 6 Bitcoins i bytte mot nøkler som kunne dekryptere de rammede systemene. Det tok over én uke før alle systemene var oppe igjen.

 
>