Jak Polski rząd będzie walczył z cyberprzestępstwami?
O tym jak Polski rząd chce walczyć z oszustwami dokonywanymi przez telefon i internet, pisały portale w zeszłym tygodniu, min. RMF 24. Pomysły przedstawił sekretarz stanu ds. cyfryzacji Janusz Cieszyński. Dotyczą dwóch rodzajów przestępstw: „spoofingu” oraz „phishingu”.
W obu przypadkach ciężar odpowiedzialności przerzucony jest na operatorów teleinformatycznych. Ze spoofingiem, który w skrócie polega na wyłudzeniu przez telefon, rząd chce walczyć za pomocą gwiazdki przed numerem telefonu, która ma ostrzegać, że połączenie, które odbieramy może być fałszywe, oraz że ktoś podszywa się pod znany nam numer. Operatorzy telefonii komórkowej mieliby w ten sposób oznaczać każde połączenie wchodzące do sieci z urządzeń internetowych lub od niezaufanych zagranicznych operatorów. W jaki sposób technicznie będzie to rozwiązane, Pan minister nie wyjaśnił.
Rząd chce także walczyć z tzw. phishingiem. W tego rodzaju atakach przestępcy min. wykorzystują strony internetowe znanych instytucji, portali informacyjnych, czy mediów społecznościowych jako “przynętę”, na którą “łowią” swoje ofiary. W ten sposób wyłudzają np. dane osobowe i dane uwierzytelniające.
W tym przypadku operatorzy mają weryfikować sms-y z tzw. nadpisem, czyli informacje wysyłane przez automaty ze zmienioną nazwą nadawcy. W ten sposób przestępcy podszywają się pod firmy kurierskie i platformy sprzedażowe, aby wyłudzić dane osobowe, czy dane uwierzytelniające, potrzebne np. do zalogowania się na konto internetowe w banku.
Aresztowania w Nigerii. Podejrzani odpowiedzialni za 1,8 miliarda USD strat w 2020 r.
Nigeryjskie władze aresztowały 11 osób uważanych za członków „kręgu przestępczego” wyłudzającego pieniądze przez e-maila, określanego jako SilverTerrier.
Podejrzani zostali aresztowani w ramach 10-dniowej operacji (13-22 grudnia 2021 r.), w której nigeryjska policja współpracowała z Interpolem i prywatnymi firmami: Palo Alto Networks i Group-IB.
Uważa się, że osoby te są zaangażowane w ataki wymierzone w ponad 50 000 ofiar. Według Interpolu na laptopie jednego z podejrzanych władze znalazły ponad 800 000 danych uwierzytelniających z domeny potencjalnych ofiar.
Nazywany również gangiem TMT BEC, SilverTerrier działa od 2014 roku, kompromitując tysiące organizacji na całym świecie.
W 2019 r. 480 cyberprzestępców było powiązanych z atakami SilverTerrier i zaobserwowano, że grupa przeprowadzała do 245 637 ataków BEC miesięcznie, uderzając w organizacje w wielu sektorach.
W tej skutecznej kampanii ofiary poniosły straty w wysokości ponad 1,8 miliarda dolarów w 2020 r. i ponad 1,7 miliarda dolarów w 2019 r. Uważa się, że za większość tych strat odpowiadają oszuści SilverTerrier.
Aresztowania dokonano w ramach operacji Falcon II, która nastąpiła po aresztowaniu w listopadzie 2020 r. trzech obywateli Nigerii uważanych za członków SilverTerrier. Szacuje się, że do tego czasu grupa skompromitowała „500 000 firm z sektora rządowego i prywatnego”, twierdzi Group-IB.
Uwaga na produkty McAfee!!!
W produktach McAfee dla przedsiębiorstw zostały załatane dwie luki o wysokim stopniu ważności, które można wykorzystać do eskalacji uprawnień.
Stwierdzono, że luki w zabezpieczeniach dotyczą wersji starszych niż 5.7.5 programu McAfee Agent, składnika ePolicy Orchestrator (ePO), który pobiera i wymusza polityki oraz wykonuje zadania po stronie klienta, takie jak wdrażanie i aktualizowanie. Agent instaluje również i aktualizuje produkty punktu końcowego.
Jedna z wad, oznaczona jako CVE-2022-0166, została odkryta przez Willa Dormanna z Centrum Koordynacji CERT (CERT/CC) na Uniwersytecie Carnegie Mellon. CERT/CC opublikował w czwartek poradnik opisujący ustalenia badacza. Dormann odkrył, że komponent OpenSSL wykorzystywany przez McAfee Agent używa zmiennej określającej lokalizację, w której nieuprzywilejowani użytkownicy systemu Windows mogą umieszczać dowolne pliki. Osoba atakująca, która może umieścić specjalnie spreparowany plik, może wykonać dowolny kod z uprawnieniami SYSTEM.
Druga luka, śledzona jako CVE-2021-31854, może zostać wykorzystana przez lokalnego użytkownika do wstrzyknięcia dowolnego kodu powłoki do pliku. Atakujący może wykorzystać lukę w zabezpieczeniach, aby uzyskać odwróconą powłokę, która umożliwi mu uzyskanie uprawnień administratora. Problem ten został odkryty przez Russella Wellsa z Cyberlinx Security. Wells powiedział, że eksploatacja wymaga dostępu do hosta McAfee ePO — nie samej aplikacji, ale bazowego hosta Windows.
Obie luki otrzymały oceny „wysokiego ważności” i zostały załatane wraz z wydaniem McAfee Agent 5.7.5. Firma McAfee doradzała klientom zainstalowanie aktualizacji.
McAfee Enterprise połączyło się w zeszłym roku z FireEye po tym, jak obie organizacje zostały przejęte przez giganta private equity STG. W tym tygodniu STG ogłosiło uruchomienie Trellix, firmy zajmującej się rozszerzonym wykrywaniem i reagowaniem utworzonej po fuzji tych dwóch podmiotów.