☰

Kiberlaikapstākļi (AUGUSTS)

Pieejami kiberlaikapstākļi par 2020. gada augustu. Kiberlaikapstākļi ir CERT.LV speciālistu apkopots pārskats īsā un pārskatāmā formā par Latvijas kibertelpā svarīgākajiem notikumiem pagājušajā mēnesī. Kiberlaikapstākļi tiek noteikti piecās dažādās kategorijās.

Krāpšana

Office 365 piekļuves tiesību izkrāpšana

CERT.LV augustā publicēja informāciju par inovatīvu uzbrukumu - Office 365 piekļuves tiesību izkrāpšanai. Lietotājam tika nosūtīta saite uz it kā koplietotu dokumentu. Atverot saiti, lietotājs tika pārvirzīts uz īstu Microsoft vietni un aicināts autentificēties. Pēc autentifikācijas veikšanas ļaunprātīga Microsoft Azure vidē izveidota lietotne (Azure App) aicināja apstiprināt piekļuvi dažādiem lietotājam pieejamiem resursiem. Uzbrukumu ir grūti pamanīt ar tehniskiem līdzekļiem, jo netiek veiktas ļaundabīgas darbības upura iekārtā, bet viss notiek Office 365 vidē.

Vairāk: https://cert.lv/lv/2020/08/piekluves-tiesibu-izkrapsanas-uzbrukumi

Pikšķērēšanas uzbrukumi, kas vērsti pret Facebook lapu īpašniekiem

Augustā tika konstatēti mēģinājumi izkrāpt Facebook piekļuves informāciju no organizāciju Facebook lapu īpašniekiem. Lapu īpašnieki saņēma viltotus paziņojumus par konta bloķēšanu ar saitēm uz viltus vietni, kas tikai vizuāli bija līdzīga Facebook. Ievadot savus datus šajā vietnē, tie automātiski nonāca krāpnieku rīcībā. CERT.LV aicināja būt uzmanīgiem un pirms datu ievades pārbaudīt vietnes adresi!

Krāpšanas mēģinājums, izmantojot ss.com sludinājumu portālu

Augusta otrajā pusē tika saņemts ziņojums no kādas iedzīvotājas par krāpniecības mēģinājumu, izmantojot ss.com portālu. Iedzīvotāja minētajā portālā ievietoja pārdošanai bērnu ratiņus. Pēc sludinājuma ievietošanas ar sievieti telefoniski sazinājās it kā kāda Igaunijas iedzīvotāja, kas uzdeva dažādus precizējošus jautājumus, iegūstot sievietes uzticību. Igauniete palūdza sievietes kontaktinformāciju un rekvizītus pārskaitījumam, kā arī minēja, ka vienojusies ar kurjeru servisu, kurš preci paņems. Uz sievietes e-pastu atnāca ziņa angļu valodā, kurā bija minēts, ka maksājums veikts un nauda ieskaitīta viņas Paypal kontā. Sūtītāja e-pasts neatbilda oriģinālajam Paypal e-pastam, un tika sūtīts no gmail.com. Tā kā sieviete laikus krāpniecību atpazina un komunikāciju pārtrauca, nav precīzi zināma tālākā krāpnieku rīcība, taču varianti ir vairāki. Krāpnieki varēja tālāk lūgt segt daļu no kurjera pakalpojumiem, vai arī nosūtīt atkārtotu e-pastu, kurā minēts, ka, lai saņemtu ienākošo Paypal maksājumu, ir jāsamaksā nodeva utt. CERT.LV atgādina, ka krāpnieku iztēlei nav robežu, un modrība un piesardzība ir jāievēro ne tikai e-pastu komunikācijā, bet arī citos saziņas kanālos.

Pikšķerēšanas uzbrukumi Swedbank vārdā

Augusta izskaņā tika saņemti vairāki ziņojumi par pikšķerēšanas e-pastiem, ļaundariem izliekoties par Swedbank. Aizbildinoties ar drošību un it kā uzlauztu lietotāja kontu, krāpnieki aicināja pārbaudīt atsūtīto informāciju interneta saitē vai pievienotā e-pasta pielikumā. Atverot saiti vai pielikumu, lietotājs tika pārvirzīts un lapu, kas atgādina Swedbank sākumlapu, taču vietnes adresē bija redzams, ka tā ir krāpnieciska. Neuzmanības dēļ ievadot datus šajā vietnē, lietotājs tos brīvprātīgi atdotu krāpniekiem.

Swedbank kārtējo reizi atgādināja, ka banka nekad lietotājam neprasīs internetbankas piekļuves datus zvanot, rakstot e-pastu vai sūtot SMS. Ja tiek saņemta aizdomīga ziņa, nekādā gadījumā neklikšķināt uz saitēm un neievadīt savus datus. Saņemot šādu e-pastu, aicinām ziņot par to bankai.

Vairāk: https://twitter.com/SwedbankLatvia/status/1299241124293414913

Ļaunatūra un ievainojamības

Augustā CERT.LV vairākkārt brīdināja sabiedrību un organizācijas par e-pasta kampaņām, kurās tiek izplatīta Emotet ļaunatūra. Pēc CERT.LV pieejamās informācijas septembra sākumā Latvijā bija inficētas jau vairāk nekā 200 organizācijas un simtiem inficētu lietotāju turpināja vīrusu izplatīt tālāk.

Emotet vīruss, nonācis datorā, jau pirmajās minūtēs ievāc ļoti daudz informācijas par lietotāju, un nosūta to uz saimniekserveri, lai iegūto informāciju izmantotu mērķētu uzbrukumu sagatavošanā vai pārdotu tālāk. Iegūto datu ļaunprātīga izmantošana ir tikai laika jautājums.

CERT.LV apkopojusi informāciju gan par to, kā atpazīt Emotet vīrusu, gan kā no tā atbrīvoties un kādas preventīvas darbības nepieciešams veikt. Vairāk:

https://cert.lv/lv/2020/09/pulvermuca-latvijas-kibertelpa
https://cert.lv/lv/2020/08/latvijas-kibertelpa-strauji-izplatas-spiegojosais-emotet-viruss
https://cert.lv/lv/2020/08/bridinajums-par-launaturas-emotet-izplatisanu

Latvietis atklāj kritisku ievainojamību Slack programmatūrā

Slack ir amerikāņu radīta un pasaulē plaši izmantota platforma korporatīvai ikdienas saziņai. Februārī šīs programmatūras izstrādātāji publicēja ielāpu kritiskai ievainojamībai, kas ļaundarim ļauj pārņemt kontroli pār programmatūras darbvirsmas (desktop) versiju. Ievainojamību gada sākumā atklāja latvietis Oskars Veģeris, Evolution Gaming IT drošības inženieris. Informācija par ievainojamību tika publiskota š.g. augustā.

Vairāk: https://www.bleepingcomputer.com/news/security/slack-pays-stingy-1-750-reward-for-a-desktop-hijack-vulnerability/

Ielaušanās un datu noplūde

Kompromitētas vairākas valsts iestāžu Facebook lapas

Reaģējot uz CERT.LV izsūtītu brīdinājumu par krāpniekiem, kas mēģina pārņemt organizāciju Facebook lapas, tika saņemts lūgums pēc palīdzības no kādas valsts iestādes. Iestādes Facebook lapa tika kompromitēta, un tas noticis, izmantojot kādas bijušās darbinieces uzlauztu Facebook profilu. Ļaundari lapā veica nesankcionētas darbības – dzēšot lapas vēsturi un ievietojot tajā neatbilstošu saturu. Par notikušo tika informēta arī Valsts kanceleja. Kopīgiem spēkiem lapu izdevās veiksmīgi atgūt. CERT.LV aicina uzņēmumus un iestādes rūpīgi sekot līdzi savu Facebook lapu administratoru sarakstam, un savlaicīgi liegt tiesības tiem darbiniekiem, kas organizācijā vairs nestrādā.

Krāpniekiem veiksmīgi izdevās apmānīt vēl kādas valsts iestādes darbinieci, kura bija arī viena no Facebook lapas administratorēm. Darbiniece uz savu privāto inbox.lv e-pasta adresi saņēma ziņu it kā no Blue Check Mark Support un Facebook palīdzības dienesta par to, ka pārvaldītā iestādes Facebook lapa nav īsta un tiks bloķēta, ja netiks verificēta. Darbiniece krāpnieku norādītajā saitē ievadīja prasīto informāciju un zaudēja kontroli pār izveidoto Fecebook lapu. Pateicoties operatīvai darbinieces un citu kolēģu rīcībai – piekļuves tika atjaunotas. CERT.LV atgādināja, cik svarīga ir divu faktoru autentifikācijas pieslēgšana visiem pārvaldītajiem resursiem, ja vien tā pieejama. Pēc incidenta lapas administratori to iespējoja.

Bez aprakstītajiem diviem gadījumiem, augustā tika konstatētas vēl arī citas kompromitētas valsts iestāžu Facebook lapas, kur datu izkrāpšana notikusi pēc līdzīgiem scenārijiem. Sadarbībā ar Facebook turpinās darbs pie administratoru tiesību atgūšanas šīm lapām.

Lietu internets


Būtiski incidenti netika reģistrēti.
 

Pakalpojuma pieejamība

Viena uzņēmuma tehniskās dabas problēmas izjūt visa pasaule

Augustā viens no lielākajiem ASV telekomunikāciju gigantiem un interneta pakalpojuma sniedzējiem - CenturyLink, piedzīvoja tehniskas dabas problēmas vienā no saviem datu centriem. Tā rezultātā interneta lietotājiem pasaulē uz brīdi nebija piekļuves vairākiem plaši izmantotiem servisiem. Starp tiem minami Amazon, Twitter, Microsoft (Xbox Live), EA, Blizzard, Steam, Discord, Reddit, Hulu, Duo Security, Imperva, NameCheap, OpenDNS un daudzi citi. Problēmas novēršana uzņēmumam prasīja 7h.

Vairāk: https://www.zdnet.com/article/centurylink-outage-led-to-a-3-5-drop-in-global-web-traffic/