Tag: Phishing

  • Gmail vartotojai įspėjami: hakeriai masiškai grobia paskyras – kaip apsisaugoti šiandien

    Gmail vartotojai įspėjami: hakeriai masiškai grobia paskyras – kaip apsisaugoti šiandien

    Pastaraisiais mėnesiais fiksuojama suaktyvėjusi sukčiavimo kampanija, nukreipta į „Google“ pašto „Gmail“ vartotojus. Kibernetiniai nusikaltėliai siunčia įtikinamai atrodančius saugumo pranešimus ir taip bando perimti prisijungimus bei paskyras.

    Kampanija siejama su grupe UNC1151, kuri tarptautiniuose kibernetinio saugumo vertinimuose minima kaip aktyviai naudojanti socialinę inžineriją. Tokios atakos dažniausiai remiasi ne techninėmis spragomis, o žmogaus klaida, kai paspaudžiama nuoroda ir suvedami duomenys netikrame puslapyje.

    Sukčiai paprastai imituoja skubius įspėjimus apie tariamai įtartiną prisijungimą, bandymą pakeisti slaptažodį ar užblokuotą paskyrą. Laiškuose kuriamas spaudimas veikti nedelsiant, nes tai didina tikimybę, kad žmogus nepastebės ženklų, išduodančių apgavystę.

    Dažniausiai nuoroda nuveda į puslapį, vizualiai panašų į „Google“ prisijungimo langą, kur prašoma įvesti el. pašto adresą ir slaptažodį. Kai kuriais atvejais bandoma išvilioti ir dviejų veiksnių patvirtinimo kodus, kad užpuolikai galėtų prisijungti realiu laiku.

    Norint sumažinti riziką, svarbiausia taisyklė yra nespausti nuorodų iš netikėtų saugumo laiškų ir prisijungimą tikrinti tik atsidarius „Gmail“ ar „Google“ paskyros nustatymus tiesiogiai. Taip pat verta įsijungti dviejų veiksnių autentifikavimą ir, jei įmanoma, rinktis patikimesnį būdą nei SMS, pavyzdžiui, autentifikavimo programėlę arba saugumo raktą.

    Jei kyla įtarimų, rekomenduojama nedelsiant pakeisti slaptažodį į unikalų ir ilgą, patikrinti paskyros prisijungimų istoriją, pašalinti nepažįstamus įrenginius ir peržiūrėti paskyros atkūrimo el. paštą bei telefono numerį. Papildomai verta patikrinti, ar neįjungti persiuntimai ir filtrai, nes užpuolikai kartais juos naudoja, kad paslėptų įspėjimus apie įsilaužimą.

    Kibernetinio saugumo ekspertai pabrėžia, kad tokios kampanijos nuolat kinta ir dažnėja, o ypač taikosi į plačiai naudojamas paslaugas. Todėl kasdienės higienos įpročiai, atidumas laiškams ir nuoseklūs paskyros saugos nustatymai išlieka efektyviausia gynyba.

  • Gmail vartotojai perspėjami: „Google“ vardu plinta klastotės, taip perimamos paskyros

    Gmail vartotojai perspėjami: „Google“ vardu plinta klastotės, taip perimamos paskyros

    Kas vyksta ir kodėl svarbu

    Nuo pavasario suaktyvėjo sukčiavimo laiškai, kurie apsimeta „Google“ pranešimais ir taikosi į „Gmail“ naudotojų prisijungimo duomenis. Saugumo specialistai nurodo, kad tokios kampanijos siekia ne tik pavienių žmonių, bet ir jautrių profesijų atstovų paskyrų.

    Apgaulės esmė paprasta: žmogus gauna pranešimą apie tariamai įtartiną prisijungimą ar taisyklių pažeidimą ir raginamas skubiai patvirtinti tapatybę. Skubos jausmas ir tariamas oficialumas padidina tikimybę, kad nuoroda bus paspausta.

    Kaip atrodo ataka

    Tokiuose laiškuose dažnai naudojama taisyklinga vietos kalba, o dizainas primena įprastus „Google“ pranešimus. Paspaudus nuorodą, atidaromas puslapis, vizualiai panašus į tikrą „Google“ prisijungimo langą.

    Aukos paprašoma įvesti el. paštą ir slaptažodį, o vėliau ir vienkartinį kodą, atsiųstą SMS žinute ar sugeneruotą autentifikavimo programėlėje. Įvedus kodą netikrame puslapyje, nusikaltėliai gali iš karto prisijungti prie paskyros ir perimti jos valdymą.

    Specialistai atkreipia dėmesį, kad masinėms siuntoms neretai pasitelkiamas BCC laukas, todėl gavėjas nemato, kiek žmonių gavo tą patį laišką. Taip pat nuorodos gali vesti į dažnai keičiamus domenus ar talpinimo platformas, kuriose apgaulingi puslapiai greitai perkeliami į naujus adresus.

    Kas dažniausiai atsiduria taikinyje

    Nors tokius laiškus gali gauti bet kas, dažnesniais taikiniais laikomi žurnalistai, politikos lauko žmonės, viešojo sektoriaus darbuotojai, akademinė bendruomenė, aktyvistai ir su jais susiję kontaktai. Perėmus vieno žmogaus paštą, dažnai bandoma pasiekti platesnį kontaktų ratą.

    Užvaldžius paskyrą, ieškoma kontaktų sąrašų, susirašinėjimų, dokumentų ir kitų paskyrų atkūrimo laiškų. Taip sukuriamas pagrindas perimti ir socialinių tinklų ar kitų paslaugų paskyras.

    Kaip apsisaugoti dabar

    Saugumo ekspertai pabrėžia, kad „Google“ neprašo suvesti slaptažodžių ar patvirtinimo kodų per laiškuose esančias nuorodas, ypač jei pranešimas ateina iš įtartino adreso. Pirmas žingsnis gavus tokį laišką yra ne spausti nuorodą, o savarankiškai atsidaryti naršyklę ir prisijungti prie paskyros įvedant adresą ranka.

    Patikimiausia apsauga nuo tokio tipo sukčiavimo laikomi fiziniai saugumo raktai, pavyzdžiui, „YubiKey“ ar „Google Titan“. Jie sukurti taip, kad prisijungimas būtų patvirtinamas tik tikroje svetainėje, todėl apgaulingas puslapis negali perimti prisijungimo patvirtinimo.

    Taip pat rekomenduojama įjungti dviejų veiksnių autentifikavimą, tačiau vien SMS kodų nepakanka, jei kodas suvedamas į netikrą puslapį. Jei kyla įtarimų, verta nedelsiant pasikeisti slaptažodį, patikrinti prisijungimų istoriją ir atsijungti nuo visų įrenginių, o incidentą pranešti nacionaliniams kibernetinio saugumo specialistams.

  • Įsilaužėliai rado naują triuką: kenkėjišką kodą slepia „ChatGPT“ dalijimosi nuorodose

    Įsilaužėliai rado naują triuką: kenkėjišką kodą slepia „ChatGPT“ dalijimosi nuorodose

    Skaitmeninių grėsmių aplinka sparčiai keičiasi: sukčiai vis dažniau pasitelkia dirbtinis intelektas paremtus įrankius, kad apeitų įprastas apsaugas ir atrodytų patikimi. Kibernetinio saugumo bendrovės pastaruoju metu fiksuoja atvejus, kai piktnaudžiaujama populiarių pokalbių robotų turinio dalijimosi funkcijomis.

    Push Security tyrėjai šį metodą apibūdina kaip LLMShare: nusikaltėliai išnaudoja tai, kad tokios sritys kaip „chatgpt.com“ daugelyje organizacijų laikomos patikimomis. Dėl to nuorodos iš žinomų domenų neretai praslysta pro filtrus, kurie remiasi reputacijos vertinimu.

    Ankstesniuose scenarijuose aukai būdavo pateikiama vieša nuoroda į tariamai oficialią instrukciją, o tuomet siūloma nukopijuoti ir komandinėje eilutėje įklijuoti komandą. Tokie veiksmai gali nepastebimai atsisiųsti ir paleisti duomenis vagiančias programas, ypač taikantis į slaptažodžius, naršyklių saugyklas ir kriptovaliutų pinigines.

    Naujesnė atakos versija tampa dar pavojingesnė, nes mažina poreikį aukai ranka vykdyti komandas. Pasitelkiant programinio kodo generavimą, to paties patikimo domeno aplinkoje gali būti pademonstruojamas suklastotas puslapis, imituojantis sistemos sutrikimą ir raginantis atsisiųsti programą darbui tęsti.

    Paspaudus atsisiuntimo mygtuką vartotojas paprastai nukreipiamas į išorinę svetainę, kuri vizualiai kopijuoja „OpenAI“ atsisiuntimo puslapį ir siūlo diegimo failus „Windows“ ar „macOS“ sistemoms. Diegikliai gali bandyti aptikti saugos programas, tikrinti, ar neveikia virtualioje aplinkoje, o galiausiai įdiegti vadinamąjį infostealer tipo kenkėją, skirtą duomenų vagystei.

    Kad apgaulę būtų sunkiau nustatyti, naudojamas sąlyginis atvaizdavimas: saugumo skeneriams ar automatiniams tikrintuvams rodinys gali būti visai nepavojingas. Tuo tarpu realiam vartotojui pateikiamas kenkėjiškas turinys, todėl incidentą sunkiau atkartoti ir greitai užblokuoti.

    Tokios nuorodos dažnai išplatinamos per paieškos sistemų reklamą ir SEO, kai sukčiai taikosi į populiarias užklausas bei dažnas rašybos klaidas. Dėl to paieškos rezultatuose matomas adresas gali atrodyti visiškai normalus, nors veda į kruopščiai suklastotą puslapį.

    Ekspertai pabrėžia platesnę tendenciją: nusikaltėliai vis dažniau naudojasi teisėtomis platformomis ir globalių technologijų prekės ženklų infrastruktūra, kad jų veiksmai atrodytų patikimi. Tai apima ir el. pašto siuntimo paslaugų, ir teisėtų talpinimo sprendimų išnaudojimą, kai tradiciniai filtrai automatiškai suteikia pasitikėjimo kreditą.

    Praktinė apsauga prasideda nuo elgsenos higienos: nepasitikėti instrukcijomis, raginančiomis vykdyti komandas terminale, net jei jos pateikiamos kaip pagalbos centro patarimai. Taip pat verta tikrinti tikrąjį atsisiuntimo adresą, diegti atnaujinimus, naudoti daugiafaktorį prisijungimą ir organizacijose taikyti saugumo priemones, kurios vertina ne tik domeno reputaciją, bet ir turinio bei elgsenos požymius.

  • Cyberprieš nusikaltėlių korporacijos: HR, premijos ir „antriniai“ sukčiai, taikantys į aukas

    Už romantinių apgavysčių, fiktyvių investicijų ar sukčiavimo skelbimų portaluose vis dažniau stovi ne pavieniai „hakeriai“, o gerai organizuotos grupuotės, veikiančios kaip korporacijos. Kibernetinio nusikalstamumo rinka turi aiškiai pasidalytas roles, vidines taisykles ir infrastruktūrą, kuri leidžia masiškai atakuoti žmones skirtingais kanalais.

    Ekspertai, tyrinėjantys šias grupes, pabrėžia, kad jos kuria darbo procesus panašiai kaip verslas: planuoja kampanijas, skaičiuoja „rezultatus“, testuoja scenarijus ir nuolat ieško naujų „darbuotojų“. Tam pasitelkiami uždari kanalai ir pokalbių grupės, kur aptariamos operacijos, dalijamasi instrukcijomis ir sprendžiamos vidinės problemos.

    Kaip veikia nusikaltėlių „organizacija“

    Tokiose struktūrose galima sutikti „personalo“ funkcijas primenančių veiklų: atrankas, kandidatų patikras ir įvedimą į „pareigas“. Naujokams siūlomos konkrečios rolės, pavyzdžiui, pinigų išgrynintojai, kurie prie bankomatų išima apgaule gautas lėšas, arba žmonės, vykdantys masines žinučių siuntimo kampanijas.

    Skiriamoji „korporacinio“ modelio detalė yra motyvavimo sistemos ir vidinė drausmė. Tyrėjai pasakoja, kad aprašymuose gali atsirasti užuominų apie premijas už „planą“, o kartu ir taisyklės, skirtos mažinti riziką būti išaiškintiems.

    Vis dėlto net ir tokios grupės daro klaidų: kartais neatsargiai atskleidžia buvimo vietą, supainioja detales, palieka identifikuojamus pėdsakus ar per viešai aptarinėja sulaikymus. Tai tampa signalais teisėsaugai ir kibernetinio saugumo specialistams, kurie stebi schemų evoliuciją ir bando infiltruotis į komunikacijos kanalus.

    Antriniai sukčiai ir aukų duomenų rinka

    Vienas pavojingiausių reiškinių yra vadinamasis antrinis sukčiavimas, kai žmogus apgaunamas antrą kartą po jau patirtų nuostolių. Tipinis scenarijus atrodo taip: nusikaltėliai susisiekia su auka ir prisistato „pagalbos“ teikėjais, kurie neva gali padėti susigrąžinti prarastus pinigus.

    Tokios apgavystės dažnai remiasi aukų duomenų pakartotiniu panaudojimu. Jau apgautas žmogus tampa vertingu įrašu duomenų bazėje: svarbu žinoti, kokiu būdu jis buvo įtikintas, kokia suma prarasta ir kokie argumentai veikė, todėl informacija gali būti platinama tarp skirtingų grupių.

    Ekspertai atkreipia dėmesį, kad antriniame etape emocinis spaudimas dar stipresnis, nes žmogus jaučia gėdą, nerimą ir skubą „atgauti prarastą“. Dėl to didėja tikimybė vėl priimti skubotus sprendimus, ypač jei žadama greita „teisinė“ ar „techninė“ pagalba.

    Ką rodo skaičiai ir kodėl tai svarbu

    Analizuojant kelių tirtų grupių veiklą, minima, kad bendruomenėse buvo 1 672 nariai, iš jų 287 laikyti aktyviais. Tyrėjų pateiktais duomenimis, vidutinės mėnesio pajamos siekė apie 1 150 eurų, o aukoms padaryta žala sudarė maždaug 320 000 eurų.

    Taip pat fiksuota iki 15 000 bandymų išsigryninti nusikalstamu būdu gautas lėšas, pasitelkiant mokėjimo korteles ar momentinius pervedimus. Tokia apimtis rodo ne vienkartinius atvejus, o sisteminę „gamybą“, kur svarbiausia yra mastas, greitis ir nuolatinis metodų tobulinimas.

    Kibernetinio saugumo specialistai pabrėžia, kad geriausia gynyba yra kritinis mąstymas ir procesų laikymasis: neskubėti, tikrinti informaciją, neatskleisti prisijungimų, o sulaukus „pagalbos atgauti pinigus“ pasiūlymų pirmiausia kreiptis į banką ir oficialias institucijas. Nusikaltėlių „korporacijos“ klesti ten, kur žmonės paliekami vieni su problema ir emocijomis.

  • Sukčiai taikosi į „mObywatel“ naudotojus: SMS apie tariamą baudą gali kainuoti pinigus ir duomenis

    Sukčiai taikosi į „mObywatel“ naudotojus: SMS apie tariamą baudą gali kainuoti pinigus ir duomenis

    Lenkijoje fiksuojama nauja sukčių kampanija, nukreipta į valstybės programėlės „mObywatel“ naudotojus. Gyventojai gauna SMS žinutes, kuriose teigiama, esą užfiksuotas Kelių eismo taisyklių pažeidimas ir reikia skubiai sumokėti baudą.

    Žinutės dažnai atrodo įtikinamai, nes siuntėjo pavadinime pateikiamas „mObywatel“, o SMS gali atsirasti net tame pačiame pokalbių gijoje, kur anksčiau buvo realūs pranešimai. Sukčiai naudojasi telefono siuntėjo vardo suklastojimu, todėl vien pagal rodomą pavadinimą spręsti apie autentiškumą nepakanka.

    Didžiausias pavojus slepiasi nuorodoje. Ji gali turėti klaidinančių fragmentų, panašių į oficialius valdžios domenus, tačiau adreso struktūra paprastai neatitinka tikrų valstybinių svetainių, o galutinis puslapis būna sukčių valdomas.

    Kaip veikia schema

    Paspaudus nuorodą, žmogus nukreipiamas į puslapį, vizualiai primenantį oficialią paslaugą. Ten raginama „apmokėti baudą“, o atsiskaitymo lange prašoma įvesti mokėjimo kortelės duomenis ir kitą asmeninę informaciją.

    Tokie duomenys vėliau gali būti panaudoti pinigų vagystėms, neteisėtiems atsiskaitymams ar bandymams perimti prieigą prie banko paskyrų. Kartais atakuotojai siekia ir papildomos informacijos, kuri padeda vykdyti kitas apgaules ar tapatybės vagystes.

    Į ką atkreipti dėmesį

    Pagrindinis požymis, kad žinutė apgaulinga, yra skubinimas ir grasinantis tonas, pavyzdžiui, raginimas „sumokėti nedelsiant“. Oficialios institucijos paprastai nesiunčia netikėtų mokėjimo nuorodų SMS žinutėmis ir neprašo suvesti kortelės duomenų neaiškiuose puslapiuose.

    Taip pat verta įtarti žinutę, jei joje pateikiama neįprasta nuoroda, keistas domenas ar netikslus tekstas. Net jei nuorodoje matote fragmentus, panašius į oficialius, tai dar nereiškia, kad puslapis tikras.

    Gavus tokią SMS, saugiausia jos nuorodos neatidaryti ir jokiu būdu nevesti mokėjimo duomenų. Jei vis dėlto paspaudėte ir suvedėte informaciją, reikėtų nedelsiant susisiekti su banku, blokuoti kortelę ir stebėti sąskaitos operacijas.

    Kur pranešti apie incidentą

    Apie įtartinas žinutes Lenkijoje rekomenduojama pranešti numeriu 8080, o apie kitas kibernetines grėsmes informuoti per CERT Polska kanalus. Kuo daugiau pranešimų gauna incidentų valdymo komandos, tuo greičiau galima blokuoti kenksmingus puslapius ir perspėti visuomenę.

    Ekspertai primena, kad tokios atakos kartojasi bangomis, ypač prieš populiarias valstybines ar finansines paslaugas. Dėl to svarbiausia išlieka paprastas įprotis: bet kokią žinutę apie baudas ar mokėjimus pirmiausia patikrinti oficialiais kanalais, o ne per SMS pateiktą nuorodą.