Události za uplynulý měsíc v oblasti kybernetické bezpečnosti.
Android: Gooligan krade účty Googlu
Malware pro Android nazvaný Gooligan už stačil napadnout více než milion účtů Googlu. Šíří se prostřednictvím infikované aplikace.
Bezpečnostní společnost Check Point vydala varování ohledně androidového malwaru Gooligan, který se zaměřuje na bezpečnostní tokeny společnosti Google. Ty se používají k přihlášení k různým službám Googlu (včetně Gmailu, Play, Disk a Dokumentů). Pokud se dostanou do nesprávných rukou, mohou být tokeny použity k obcházení bezpečnostních funkcí, jako je dvoufaktorová autentizace. Gooligan se šíří prostřednictvím infikovaných aplikací. Potenciální oběti si tyto aplikace buď přímo stáhnou z webu jako APK soubor (tedy ne z ochodu Google Play), nebo je dostanou od třetích stran. Poté, co je systém infikován, Gooligan kontaktuje řídicí server Command and Control.
Pak si stáhne potřebné datové pakety s cílem využít známé zranitelnosti pro získání práv. Malware potom může získat plný přístup ke všem funkcím tabletu nebo smartphonu. Tvůrci malwaru také mohou řídicí server použít ke spuštění dalších operací - například mohou ukrást důležitá data a instalovat programy s cílem získat jejich lepší hodnocení v obchodě Google Play. Malware pronikne do operačního systému tak hluboko, že jedinou možností, jak se ho zbavit, je znovu nainstalovat na zařízení čistý operační systém Android.
Foto popis| Není na vašem smartphonu nainstalovaný Gooligan? Firma Check Point nabízí na gooligan.checkpoint.com bezplatný nástroj, který můžete použít ke kontrole svého účtu.
BlackNurse: DDoS útok zvládne jeden počítač
Tzv. DDoS útoky většinou vyžadují pro dosažení úspěchu co nejvíce systémů a obrovské datové toky. Díky metodě nazvané BlackNurse to jde i s mnohem menšími zdroji a pro útok na firewall tak v podstatě stačí jediný notebook. Až donedávna se předpokládalo, že k provedení úspěšného útoku jsou nutné datové toky v řádech stovek megabitů za sekundu. Nový typ útoku umožňuje DoS útok i s použitím relativně slabého provozu 15-18 Mb/s. Cílem útoku jsou v tomto případě firewally, které je možné přetížit použitím tzv. ICMP (Internet Control Message Protocol) paketů typu 3 (cíl nedosažitelný), při jejichž zpracování spotřebují některé firewally velké množství zdrojů. K přetížení pak stačí zhruba 40 až 50 tisíc paketů za sekundu. Experti útok úspěšně otestovali na firewallech Cisco ASA (Adaptive Security Appliance) ve výchozí konfiguraci.
Android pod palbou malwaru
Android je nejrozšířenější mobilní operační systém. Díky tomu je zajímavý i pro zločince, kteří tak mohou s menším úsilím zasáhnout více cílů. Tato skutečnost se odráží i v rostoucím počtu objeveného malwaru - viz. graf.
Comeback virů pro Windows
Mezi zločinci jsou nyní viry populárnější než červi. Většinou jsou napsané pro 32bitové systémy, takže jsou rovněž schopné napadnout starší operační systémy.
Podvodná aplikace v obchodě Mac App Store
Oficiální obchody s aplikacemi, jaké provozuje například Google nebo Apple, slibují pohodlí a bezpečnost. Tu se ale bohužel ne vždy podaří zajistit a v obchodech se najdou i škodlivé aplikace. Portál HowToGeek například zdokumentoval několik podvodných aplikací na Mac App Store, které uživatelům sdělí, že mají zaplatit nějaké peníze. Následně však slíbené funkce nabídnou v omezeném rozsahu, nebo vůbec. Populární jsou zavádějící popisky programů, které slibují produkty ze sady Microsoft Office. Uživatel však v mnoha případech získá pouze šablony nebo speciální prohlížeče pro přístup k MS Office on-line. Aplikace parazitují i na jménech Adobe nebo Firefox. Uživatelé by si tedy před zakoupením aplikace na Mac App Store měli přečíst recenze a případné podvodné aplikace nahlásit.
Útok zjistí údaje Visa karty během několika sekund
Podle výzkumníků z britské Newcastle University mohou útočníci odhadnout údaje k Visa kartě během několika sekund. Vše, co k tomu potřebují, je 16místné číslo (tyto údaje je možné získat za pár centů na dark webu). Doba platnosti karty pak může být určena během asi čtyř sekund a trojmístné bezpečnostní číslo na zadní straně lze získat za další dvě sekundy. Pro zjištění těchto údajů se používá technologie, v rámci které se využívá stovka botnetů, které pak bombardují více než 400 on-line prodejců s dotazy a pro získání dat používají metodu tzv. hrubé síly. Na rozdíl od MasterCard nepoužívá Visa systém sledování a detekování tohoto typu útoků. Uživatelé kreditních karet by tedy měli bedlivě sledovat své účty a podezřelé platby zrušit.
Dešifrovací nástroje pro oběti ransomwaru
Nenechte se vydírat! Využijte bezplatných nástrojů, které vám pomohou získat zašifrované soubory zpět. V roce 2016 nám ransomware opět ukázal, že je aktuálně tou největší bezpečnostní hrozbou. V uplynulém roce bylo objeveno na 200 nových kmenů a počet spatřených ransomware vzorků se oproti předchozímu roku zdvojnásobil. Dobrou zprávou ale je, že stovky milionů uživatelů Avastu a AVG byly proti této rozšířené hrozbě chráněny.
Avast také poskytuje bezplatné dešifrovací nástroje obětem tohoto typu útoku a nyní už jich nabízí celkem 14. Nově jsou to dešifrovací nástroje pro kmeny ransonwaru HiddenTear, Jigsaw a Stampado/ Philadelphia. Všechny tři kmeny jsou stále velmi aktivní. Použité šifrovací klíče a také vnitřní algoritmy se často mění. To znamená, že dešifrovací nástroje je také nutné aktualizovat. Podařilo se také výrazně zrychlit čas dešifrování uzamknutých souborů, přesněji řečeno proces hledání použitého hesla, takže např. některé varianty kmene HiddenTear jsou nyní dešifrovány během několika minut namísto dnů. Nejlepších výsledků je dosaženo, když se soubory dešifrují přímo z infikovaného zařízení. Všechny dešifrovací nástroje společně s detailním popisem naleznete na webové stránce jdem.cz/cyuaw3.
On-line finanční útoky
Každý rok se tisíce internetových uživatelů stanou oběťmi kyberzločinců, kteří je okradou o finanční prostředky. Průzkum společnosti Kaspersky Lab zjistil, že více než polovině okradených uživatelů (52 %) se ukradená částka vrátila pouze zčásti, nebo vůbec.
V důsledku sofistikovanějších a různorodějších on-line finančních hrozeb počítáme v současnosti každoročně peněžní ztráty v řádech miliard korun. Reálné finanční ztráty však mohou být daleko vyšší, protože spousty případů nebyly ani nahlášeny. Průzkum odhalil, na kolik vyjdou internetové útoky koncové uživatele a jak lukrativní činnost to tím pádem je pro kyberzločince. V průměru bylo internetovým uživatelům během jednoho útoku ukradeno 476 dolarů (12 090 Kč), přičemž jeden z deseti dotázaných uvedl částku vyšší než 5 000 dolarů (127 000 Kč).
Převážná většina internetových uživatelů provádí finanční operace on-line (81 %), přičemž necelá polovina (44 %) si svá finanční data ukládá na zařízeních, jejichž prostřednictvím se připojují k internetu. Čím více lidí se připojuje k internetu, aby zde provedli finanční transakce, tím více kyberzločinců vynalézá další způsoby, jak se do těchto transakcí nabourat a vydělat na nich. Proto je velmi důležité, aby uživatelé měli svá zařízení chráněna spolehlivými bezpečnostními řešeními. I přesto svá zařízení takto chrání pouze 60 % uživatelů.
Laxní přístup k on-line zabezpečení může být ovlivněn mylným domněním, že budou uživatelům ukradené peníze automaticky navráceny. Téměř polovina (45 %) si myslí, že budou bez větších problémů odškodněni bankou, ale jak průzkum ukázal, 52 % okradených lidí nebyly veškeré peníze navráceny.
Malware se šíří v Česku pomocí falešných SMS
Experti společnosti ESET analyzovali malware, který se šíří v Česku pomocí falešných SMS, jež se vydávají za zprávy od České pošty.
Malware typu trojský kůň pro platformu Android, který mobilní ochrana ESET detekuje jako Android/Spy. Banker. HO trojan, má řadu funkcí: především se snaží získat přístup k mobilnímu bankovnictví cílových bank, kromě toho ale umožňuje útočníkovi ovládat mobilní přístroj a dokáže se automaticky přeposlat na všechny kontakty, které najde v adresáři.
Největší nebezpečí představuje tento takzvaný mobilní bankovní trojan pro uživatele mobilního bankovnictví některé z cílových bank. Jak zjistili experti společnosti ESET, takových bankovních ústavů je asi deset, naštěstí pro české oběti tohoto malwaru však mezi nimi není žádná česká banka. Trojan ale dokáže vykrást také účet PayPal nebo získat údaje k platební kartě. Primárním cílem aplikace Pošta Online je dostat se pod nějakou relevantní záminkou (SMS od banky) do telefonu potenciální oběti.
Pokud tato oběť nepoužívá aplikaci německé banky, alespoň se snaží získat informace o kreditní kartě. V konečném důsledku požaduje tato škodlivá aplikace informace o kreditní kartě oběti při každém spuštění aplikace Google Play, což se týká všech uživatelů zařízení s operačním systémem Android. K vykradení bankovního účtu nebo účtu PayPal může dojít tak, že když se uživatel pokusí připojit ke svému účtu, malware mu podsune falešný přihlašovací formulář. Uživatel tedy nezadá své přihlašovací údaje do oficiálního bankovního formuláře, ale prozradí je podvodníkům. Ti se pak připojí k jeho účtu a zadají příkaz k převodu. Potvrzovací SMS si pak z infikovaného přístroje nechají přeposlat, aniž by se uživateli zobrazila. Příkaz tak mohou potvrdit, a nic netušící oběť zjistí krádež peněz až při kontrole účtu, nebo dokonce až z pravidelného výpisu.
Vedle klíčových funkcionalit je Android/Spy. Banker. HO trojan zajímavý i z čistě technického pohledu. Obsahuje například obranu před bezpečnostními aplikacemi. Když takovou aplikaci detekuje, snaží se ji před uživatelem skrýt: neustále zobrazuje domovskou obrazovku, takže minimalizuje okno bezpečnostní aplikace a uživatel v tom případě nemůže manuálně oskenovat přístroj a je obtížné tuto infiltraci odstranit.
Sophos Intercept X: Zabezpečení koncových bodů
Nové řešení pro ochranu koncových bodů představil Sophos. Jeho Sophos Intercept X dokáže zastavit dosud nezveřejněné, tzv. zero-day hrozby, neznámé varianty zranitelností i skryté útoky. Navíc přináší i pokročilou ochranu proti ransomwaru, která i nejnovější varianty detekuje během několika sekund. Sophos Intercept X je možné provozovat paralelně se stávajícím softwarem pro ochranu koncových bodů, a to bez ohledu na značku dosavadního řešení, což přináší zdokonalení ochrany i jistotu odražení útoku ještě před spuštěním škodlivého kódu.
Sophos Intercept X v sobě spojuje čtyři nejdůležitější bezpečnostní komponenty:
1. Detekce hrozeb a zranitelností bez využívání identifikačních vzorů: obrana proti malwaru i hackerům, která si bez skenování souborů poradí s dosud nezveřejněnými, neznámými a v paměti přetrvávajícími útoky a variantami hrozeb.
2. Technologie CryptoGuard proti ransomwaru - umožňuje identifikovat a odhalit nežádoucí šifrovací aktivity a zablokovat ransomware ještě dříve, než zamkne a ochromí počítačové systémy.
3. Analýza prvotních příčin: komplexní a úplná vizuální analýza bezpečnostního incidentu včetně zpřístupnění informací o původu útoku a vstupní brány do síťové infrastruktury, o dopadech na jednotlivé prvky podnikové informační architektury, o místě a úrovni možného zastavení hrozby i o způsobech, jak v budoucnu odrazit další podobné útoky.
4. Sophos Clean: nástroj, který aktivně odhaluje a odstraňuje jakoukoli stopu po spywaru i do systému hluboce vnořeného a přetrvávajícího malwaru.
Sophos Intercept X je klíčová komponenta pro synchronizovanou ochranu a díky mechanismu Security Heartbeat může sdílet informace o bezpečnostních hrozbách s novou generací firewallů Sophos XG i s bezpečnostním řešením SafeGuard Encryption. Zákazníci tak mohou na útoky a bezpečnostní incidenty reagovat koordinovaně a automaticky. Sophos Intercept X je již v prodeji a k dispozici je i zkušební verze, připravená zdarma ke stažení na www.sophos. com/products/intercept-x.aspx.
Netgear opravuje chyby routerů
Nedávnou objevená chyba v routerech Netgear (viz jdem.cz/cyuas8) je už opravena. Podle oficiálního vyjádření Piotra Dudka, regionálního ředitele společnosti Netgear pro střední a východní Evropu, společnost usilovně pracuje na vývoji nové verze firmwaru, který odstraní bezpečnostní chybu. Již nyní je přístupná beta-verze nového firmwaru (viz jdem.cz/cyuat2), která kritickou zranitelnost odstraňuje na většině zasažených zařízení.
Prozatím byla bezpečnostní chyba zjištěna u routerů R6250, R6400, R6700, R6900, R7000, R7100LG, R7300DST, R7900, R8000, D6220, D6400 a D7000. Společnost NETGEAR nicméně dále prověřuje i všechna zbývající zařízení, která by mohla být dotčena.
Návrat spamu
Na světě je v současné době odesláno 3 500 spamů za sekundu, přičemž téměř každý desátý je škodlivý.
Kybernetičtí útočníci také častěji zneužívají programy zobrazující nevyžádanou reklamu. Ty se vyskytují v zařízeních až u 75 % organizací a mohou se stát základem pro silný útok. S těmito závěry přišla studie Cisco 2017 Annual Cybersecurity Report. Ta se zabývala také konkrétními dopady. Téměř třetina úspěšně napadených organizací zaznamenala nižší tržby, a 38 % z nich dokonce hlásí snížení o více než pětinu. Asi 90 % z nich následně investovalo do zlepšení své kybernetické obrany. I přesto však zůstává 44 % bezpečnostních hlášení bez dalšího zkoumání.
Mezi hlavní body zájmu bezpečnostních manažerů se dostává bezpečnost mobilních zařízení a její zajištění v souvislosti s nárůstem cloudového provozu. Počet cloudových aplikací, které zaměstnanci využívají, se totiž za dva roky více než zdesetinásobil, přitom 27 % z nich představuje vysoké riziko. Studie dále zjistila, že velké procento organizací používá nástroje od více než pěti výrobců. Ne všechna řešení jsou však kompatibilní, čímž zvyšují riziko úspěšného útoku. Navíce ztěžuje organizacím situaci hledání kvalifikovaných odborníků.
Uživatelé Office 365 cílem phishingu
Zajímavou taktiku použili hackeři při novém typu phishingového útoku, před kterým vás nemusí varovat ani pokročilé bezpečnostní nástroje. Hlavním cílem jsou tentokrát uživatelé kancelářského balíku Office 365 pro firmy, kteří od podvodníků nejprve obdrží e-mail maskovaný jako například zpráva od přepravní společnosti FedEx. Ten obsahuje na první pohled autentické URL k získání informací o doručované zásilce.
Pro zamaskování reálné škodlivé adresy útočníci používají kódovací syntaxi, která umožňuje překlad řetězce znaků kódovaných prostřednictvím Unicode do jednoduché ASCII podoby (označovanou jako punycode syntaxe), díky čemuž je toto URL antiphishingovým filtrem obsaženým v Office 365 vyhodnoceno jako bezpečné. Pokud uživatel na URL klikne, je přesměrován na phishingovou stránku, která vypadá jako přihlašovací stránka Office 365, a je vyzván k zadání přihlašovacích údajů. Pokud je zadá, získají tyto údaje podvodníci. Další podrobnosti najdete na jdem.cz/cyuav9.