Jeśli otrzymałeś lub zauważyłeś w kalendarzu Twojego smartphone’a dziwne wyglądające wpisy ostrzegające o zagrożeniu, uważaj, bo jest to phishing!
Phishing to najczęstsza i wciąż najbardziej skuteczna broń cyberprzestępców służąca do atakowania swych ofiar w Internecie. Dlatego otwierając maile, wchodząc na strony Internetowe, czy czytając komunikaty SMS lub wiadomości w komunikatorach powinniśmy być bardzo rozważni i przede wszystkim uważać na co „klikamy”. Nieostrożne osoby mogą bowiem wpakować się w duże kłopoty.
Jako, że do złośliwych linków i nieznanych załączników w postaci plików w skrzynce pocztowej zdążyliśmy się przyzwyczaić i nie stanowi to jakiejś nowości, tak dla zaproszeń do Kalendarza niekoniecznie. Okazuje się, że z odpowiednim pomysłem również i one mogą okazać się bardzo pomocne cyberprzestępcom.
Hakerzy wprowadzają zmiany w kalendarzu, dodając do niego nowe wydarzenia zawierające niebezpieczne linki oraz często dodatkowo dbają o odpowiednie powiadomienia.
Nie tak dawno specjaliści z Kaspersky odkryli niezwykłe scenariusze modyfikacji kalendarzy pochodzących z zaufanego źródła: Kalendarza Google.
My w dzisiejszym artykule opiszemy atak na użytkowników urządzeń mobilnych Apple, w nowym wektorze dotyczącym subskrypcji powiadomień w Kalendarzu.
Jak działa taki atak?
Przestępcy wysyłają zestaw zaproszeń na rozmaite wydarzenia bezpośrednio do użytkowników. Wystarczy, że klikniesz na takie zaproszenie, a w Twoim kalendarzu zostanie zasubskrybowany kalendarz o nazwie np. „Events”. Mało tego, możesz takie zaproszenie otrzymać bezpośrednio na skrzynkę pocztowa i jeśli Twój telefon jest nieodpowiednio skonfigurowany otrzymasz automatyczne spotkanie w kalendarzu.
Problem polega również na tym, że domyślne ustawienia na urządzeniach od Apple (iPhone/iPAd) umożliwiają użytkownikom otrzymywanie zaproszeń z kalendarza od kogokolwiek, niezależnie od tego, czy znajdują się na Twojej liście kontaktów
W opisywanym przez nas przypadku użytkownikowi automatycznie po subskrypcji kalendarza Events pojawią się w Kalendarzu iPhone’a następujące wpisy:
„Twój iPhone może mieć wirusa”
„Ktoś może oglądać to, co przeglądasz”
„Twoje IP może zostać ujawnione”
„Ktoś może znać Twój iPhone”
„Połączenie prawdopodobnie nie jest chronione”
oraz inne, o podobnym charakterze. Można spotkać także powiadomienia informujące o decyzjach podjętych przez premiera Morawieckiego w sprawie pandemii Covid-19.
Dodatkowo na głównym ekranie smartphone’a użytkownikowi pojawiają się podobne powiadomienia, które mają za zadanie przyciągnąć jego uwagę.
Jeśli wejdziemy w szczegóły spotkania/powiadomienia zobaczymy, że kryje się w nim dziwny link z adresem kierującym na stronę „load5.biz”
Pamiętajmy, że takie powiadomienia mogą zawierać odnośniki często prowadzące do stron informujących o wygranych, czy oczekujących na przelew lub stron próbujących wyłudzić nasze dane i poświadczenia (np. poprzez próbę zalogowania się do poczty, YouTube itp.).
Oczywiście pod żadnym pozorem nie należe klikać link wewnątrz spotkania, ponieważ czai się za nim złośliwa strona namawiająca do pobrania wirusa (złośliwego oprogramowania)!
Poniżej zamieszczamy ekran, który zobaczyłby użytkownik, gdyby kliknął na taki link w spotkaniu.
W tym konkretnym przypadku otworzy się strona „securitycheck.network”, która ponownie będzie oszukiwać kolejnym, łudząco przypominającym prawdziwy komunikat o zagrożeniu, że urządzenie zostało zainfekowane wirusami oraz prosi o pobranie na nie specjalnej aplikacji służącej do naprawy. Aplikacja do pobrana to oczywiście złośliwe oprogramowanie.
UWAGA! Złośliwy link w spotkaniu może kierować do innej strony np. próbującej wykraść nasze dane i niekoniecznie musimy na niej pobierać oprogramowanie.
Przypominamy, że wszystko rozpoczęło się od złośliwego zaproszenia ze strony load5.biz, którego klikniecie zasubskrybowało w urządzeniu w specjalnym kalendarzu „Events” wydarzenia ze złośliwymi linkami. Jak się go pozbyć „złośliwego kalendarza” opiszemy poniżej.
Uwaga na Load5.biz
Load5.biz to jedna z wielu podejrzanych witryn, które próbują nakłonić użytkowników do zasubskrybowania powiadomień typu push (nowe dane będą „wypychane” z serwera do urządzania, gdy będzie to możliwe) z tych witryn. Najczęściej do zarażenia powiadomieniami z Load5.biz dochodzi w sytuacji, kiedy użytkownik zezwala na otrzymywanie z witryn powiadomień lub jeśli ma udowodnić, że jest człowiekiem a nie robotem (podszywanie się pod mechanizmy CAPTCHA) lub rozpocząć pobieranie pliku lub usunąć reklamy lub też z innego powodu. Subskrybcja takiego kalendarza jest naprawdę bardzo łatwa, zważywszy na często pojawiające się na współczesnych stronach, w grach, komunikatorach komunikaty, które pojawiają się, aby coś potwierdzić.
Jeśli ktoś włączy powiadomienia z Load2.biz, te powiadomienia będą pojawiać się na jego ekranie raz za razem z reklamami, linkami do podejrzanych stron, monitami o pobranie niektórych programów itp.
Takie powiadomienia mogą się również pojawiać wśród użytkowników komputerów. Najczęściej w prawym dolnym rogu ekranu w systemie Windows, w prawym górnym rogu ekranu w systemie macOS oraz na ekranie blokady w systemie Android/iOS.
Jak sobie poradzić z problemem?
Jeśli zauważyłeś(aś) na swoim urządzeniu opisywane powyżej lub podobne komunikaty, to jak najszybciej powinieneś usunąć taką subskrypcję ze swojego Kalendarza. Dla wielu użytkowników urządzeń z systemem iOS może nie być to łatwe zadanie, dlatego poniżej opisujemy kilka przydatnych kroków.
Na urządzeniu z systemem iOS (iPhone/iPad) wejdź w „Ustawienia”, następnie przejdź na dół do „Kalendarz” i wybierz opcję ”Konta”. Powinna się pojawić pozycja „Kalendarze subskrybowane”. Wchodzimy w nią. W naszym przypadku winowajcą wszystkiego jest kalendarz o nazwie „Events”. Poniżej widzimy jego ustawienia oraz parametr „Server” skąd są pobierane (push) nowe spotkania oraz powiadomienia. Na samym dole powinniśmy znaleźć przycisk „Usuń kalendarz”. I po kłopocie.
Dla własnego spokoju i bezpieczeństwa warto też zmienić ustawienia Kalendarza, które domyślnie mają ustawione automatyczne dodawanie zaproszeń. We wcześniejszych wersjach systemu iOS do 13.5.1 należało wejść w opcję „Ustawienia”-> kliknąć na „Poczta, Kalendarze, Kontakty” i wyłączyć suwakiem opcję „Zdarzenia znalezione w poczcie”. We wcześniejszych wersjach iOS Apple zrezygnowało z tej opcji i jedynym sposobem na wyłączenie automatycznego dodawania do kalendarza zaproszeń z poczty jest otwarcie aplikacji Kalendarz, a następnie stuknięcie: Kalendarze” w środkowej dolnej części ekranu, przewinięcie w dół, a następnie odznaczenie opcji kalendarza „Sugestie Siri”. Warto także odznaczyć funkcję „Pokazuj odrzucone wydarzenia”. Możesz także zarządzać sugestiami Siri zarówno dla aplikacji Kalendarz, jak i Poczta, wykonując następujące https://support.apple.com/pl-pl/HT209055″>czynności.