Kiberlaikapstākļi (AUGUSTS)
Pieejami kiberlaikapstākļi par 2023.gada augustu. Kiberlaikapstākļi ir CERT.LV speciālistu apkopots pārskats īsā un pārskatāmā formā par Latvijas kibertelpā svarīgākajiem notikumiem pagājušajā mēnesī. Kiberlaikapstākļi tiek noteikti piecās dažādās kategorijās.
Kiberlaikapstākļos minētās krāpnieciskās saites, ko iesūtījuši iedzīvotāji un identificējusi CERT.LV, operatīvi tiek ievietotas DNS ugunsmūrī dnsmuris.lv, tādējādi pasargājot no uzbrukuma DNS ugunsmūra lietotājus. DNS ugunsmūris bez maksas ir pieejams ikvienam Latvijas iedzīvotājam un uzņēmumam.
Krāpšana
Kiberkrāpnieku “topā” augustā – SMS īsziņas
Augustā kā liels nokrišņu daudzums tika novērots apjomīgs krāpniecisku īsziņu (SMS) birums.
Saņemot viltvāržu sūtītas īsziņas it kā Latvijas Pasts vārdā, īsziņu saņēmēji tika informēti, ka pasta sūtījumam ir kļūdaina adrese un nepieciešams ievadīt maksājumu karšu datus īsziņā iekļautajā adresē, lai it kā veiktu maksājumu par atkārtotu piegādi.
Ievērojams krāpnieciska rakstura SMS īsziņu skaits, kurās krāpnieki, uzdodoties par Elietas.lv, informē upuri par it kā paredzēto tiesas sēdi un mudina atvērt pievienoto saiti papildu informācijai. Sekojot pievienotajai saitei, krāpniecības upuri nonāca viltus tīmekļa vietnē, kas vizuāli līdzinājās VISS vienotās pieteikšanās modulim. Tajā ievadot internetbankas piekļuves datus, tie automātiski tika pārsūtīti krāpniekam. Iegūtie dati bieži tika izmantoti, lai paralēli pieslēgtos internetbankai un, ja upuris “uzķērās” un ievadīja savu Smart-ID PIN2 kodu, tad veiktu naudas pārskatījumu.
Kā sevi pasargāt? CERT.LV aicina būt uzmanīgiem un vērīgiem! Ja ziņojuma saturs šķiet aizdomīgs, nekādā gadījumā neklikšķiniet uz pievienotajām saitēm un neievadiet datus. Šaubu gadījumā vienmēr pārliecinieties par informācijas patiesumu, sazinoties ar konkrēto iestādi pa oficiālajiem saziņas kanāliem.
Krāpnieki izliekas par CERT.LV darbiniekiem
Kā nokrišņu mākoņi augustā aktivizējušies arī krāpnieki, kas zvanīja un izlikās par dažādu iestāžu vai organizāciju darbiniekiem, tostarp Valsts policijas un CERT.LV pārstāvjiem, tādējādi mēģinot iegūt datus vai pierunāt uzstādīt attālinātās piekļuves programmas.
Izliekoties par CERT.LV darbiniekiem, krāpnieki zvanīja un krievu valodā informēja par it kā bīstamu iekārtas apdraudējumu un piedāvāja uzinstalēt speciālu programmatūru, lai šo apdraudējumu novērstu.
CERT. LV atgādina, ka saziņa no CERT.LV puses vienmēr notiek latviešu valodā, kā arī CERT.LV nekad tieši nesazinās ar interneta galalietotājiem, ja pats lietotājs šo saziņu sākotnēji nav uzsācis pirmais.
Informāciju par apdraudētām IP adresēm CERT.LV nosūta interneta pakalpojuma sniedzējiem, kas to apstrādā un elektroniski nogādā saviem klientiem. CERT.LV rīcībā nav informācijas, kas ļautu identificēt apdraudēto IP adrešu galalietotājus.
Konstatējot informācijas tehnoloģiju drošības incidentu CERT.LV tieši komunicē tikai ar iestāžu un pakalpojumu sniedzēju atbildīgajām personām.
Vairāk: https://cert.lv/lv/2023/08/krapnieki-izliekas-par-cert-lv-darbiniekiem
“Čau, mammu! Man pilnīgi salūza telefons…”
Augusta pēdējās nedēļas laikā Valsts policijā tika saņemti iesniegumi par jaunu krāpšanas veidu.
Iedzīvotāji saņēma īsziņas no krāpniekiem, kuri lūdza pārskaitīt naudu telefona remontam, uzdodoties par īsziņas saņēmēja bērnu. Kopumā nedēļas laikā no iedzīvotājiem tika izkrāpti aptuveni 20 000 eiro.
Ko darīt gadījumā, ja saziņas lietotnē WhatsApp gluži kā lielgraudu krusa Jums ir iekritusi īsziņa it kā no sava bērna ar tekstu “Čau, mammu! Man pilnīgi salūza telefons.. Šis būs man jaunais nr., saglabā un uzraksti man WhatsApp lūdzu…”? CERT.LV vērš uzmanību uz to, ka pirms veikt jebkādas darbības, ir jāpārliecinās par informācijas patiesumu, piemēram, piezvanot bērnam! Savukārt, ja nauda ir izkrāpta, pēc iespējas ātrāk par to ir jāziņo bankai un jāvēršas ar iesniegumu Valsts policijā.
Vairāk: https://www.vp.gov.lv/lv/jaunums/krapnieki-no-iedzivotajiem-ar-viltu-iegust-20-tukstosus-eiro
Krāpnieku mērķī arī Facebook Marketplace lietotāji
Līdz šim krāpnieki, lai izmānītu maksājumu karšu datus ar viltus Omniva vai DPD vietņu palīdzību, uzrunāja pārdevējus, kas ievietoja savas preces pārdošanai vietnē ss.lv. Augustā tika saņemti vairāki ziņojumi no iedzīvotājiem par viltus pircējiem, kas uzrunā savus upurus Facebook Marketplace platformā.
Saziņas lietotnē uzbrucēji nosūta pārdevējam ziņu, it kā izrādot interesi par preci, un apgalvojot, ka preces piegādei un apmaksai izmantos Omniva vai DPD. Pārdevējam tiek nosūtīta viltus Omniva vai DPD vietnes saite, kurā krāpniecības upuris tiek aicināts ievadīt maksājumu kartes datus (arī CVV kodu) maksājuma saņemšanai par preci.
CERT.LV vērš uzmanību uz to, ka CVV kods maksājumu saņemšanai nav nepieciešams, tāpēc šajā situācijā prasība ievadīt CVV kodu skaidri signalizē par krāpšanu. Diemžēl šādi gadījumi notiek.
Lai izsargātos no kiberapdraudējumiem (viltus banku lapas, krāpnieciskas tirdzniecības platformas, vīrusus izplatošas vietnes u.c.), CERT.LV aicina ikvienu uzstādīt bezmaksas DNS ugunsmūri https://dnsmuris.lv/.
Ļaunatūra un ievainojamības
Neitralizēta ļaunatūras “Qakbot” infrastruktūra
Starptautiskā kiberoperācijā “Duck Hunt”, kas notika ASV, Francijā, Vācijā, Nīderlandē, Lielbritānijā, Rumānijā un Latvijā, veiksmīgi tika neitralizēta ļaunatūras “Qakbot” infrastruktūra, kuru kibernoziedznieki izmantoja datu vākšanas, izspiešanas un finanšu krāpšanas darbību veikšanai. No Latvijas kiberoperācijā iesaistījās Valsts policija, SigmaNet un CERT.LV.
Ļaunatūru “Qakbot”, sauktu arī par “Qbot” un “Pinkslipbot”, kontrolēja kibernoziedznieku organizācija, kuras lokā bija arī liels skaits Krievijas izcelsmes hakeru. “Qakbot” tika izmantota nolūkā uzbrukt kritiskajai infrastruktūrai visā pasaulē, galvenokārt inficējot upuru datorus ar mēstulēm, kurās bija inficēti pielikumi vai saites.
Vairāk: https://www.justice.gov/usao-cdca/pr/qakbot-malware-disrupted-international-cyber-takedown
Jauni drošības atjauninājumi Microsoft Exchange 2019 un 2016 serveros
Šovasar kibertelpu kā nokrišņu mākoņi šķērsoja atklātās ievainojamības Microsoft Exchange 2019 un 2016 serveros. Augustā Microsoft publicēja drošības atjauninājumus, kas novērsa vairākas kritiskas ievainojamības šajos serveros. No tām viena bija privilēģijas eskalācijas ievainojamība, bet virkne citu sniedza uzbrucējiem iespēju veikt attālinātā koda izpildi (RCE) ievainojamajā sistēmā. CERT.LV aicina nekavēties ar atjauninājumu uzstādīšanu.
Vairāk: https://cert.lv/lv/2023/08/microsoft-exchange-server-2019-un-2016-ievainojamibas
Pakalpojuma pieejamība
Vējains augusts ar DDoS uzbrukumiem
Pūšot brāzmainam austrumu puses vējam, Krievijas agresīvo režīmu atbalstošo haktīvistu grupējumu aktivitātes augustā bija vērstas galvenokārt pret valsts iestādēm, kā arī finanšu, transporta un enerģētikas nozaru uzņēmumiem, taču mērķu infrastruktūra bija gatava uzbrukumus atvairīt, un tie neradīja ietekmi.
Kopumā situācija vērtējama kā stabila. CERT.LV turpina aktīvi monitorēt Latvijas kibertelpu un iespējamos apdraudējumus.
Ielaušanās un datu noplūde
Kiberuzbrucēji uzlauž Facebook kontus
Vai augustā mūsu kibertelpu šķērsoja aukstā atmosfēras fronte, nesot spēcīgu lietu un pērkona negaisu? Vairāki ziņojumi par uzlauztiem Facebook kontiem tika saņemti gan no privātpersonām, gan iestādēm.
Augusta vidū, kā zibens spēriena ķerts, tika uzlauzts Valmieras drāmas teātra Facebook konts, ar mērķi izkrāpt finanšu līdzekļus (https://www.lsm.lv/raksts/kultura/teatris-un-deja/14.08.2023-valmieras-teatra-facebook-konts-ir-atguts-teatrim-izkrapti-1000-eiro.a520084/). Kaut arī nedēļu vēlāk kontu izdevās atgūt, šī incidenta rezultātā teātrim tika izkrāpti 1000 eiro.
Daļā gadījumu par virtuālo krāpnieku upuriem kļuva Facebook kontu īpašnieki, kuri administrē savam kontam piesaistītas vairākas Facebook lapas. Dažos gadījumos iedzīvotāji ziņoja, ka ir saņēmuši ļaundaru sūtītas ziņas no uzlauztiem Facebook kontiem. Šo kiberuzbrucēju mērķis bija paplašināt kompromitēto kontu tīklu, lūdzot kompromitētā Facebook konta īpašnieka draugiem telefona numurus un prasot Facebook atkopšanās kodus, kas tiek nosūtīti uz šiem numuriem, lai pārņemtu kontroli pār kontiem, pievienojot tos krāpnieku pārvaldītām ierīcēm.
Ko darīt, ja Facebook konts ir uzlauzts vai ļaundari ieguvuši pieejas datus? Lai atgūtu savu Facebook kontu, īpašniekam nekavējoties jāsazinās ar šī tīkla atbalsta dienestu, izmantojot Facebook formu (https://www.facebook.com/hacked ), kā arī jāvēršas Valsts policijā, nosūtot elektroniski parakstītu iesniegumu uz kiap@vp.gov.lv .
CERT. LV stingri rekomendē nodrošināt papildu drošību, gan aktivizējot divfaktoru autentifikāciju (2FA) Facebook un e-pasta kontiem, gan nomainot paroles uz drošām un unikālām.
Lietu internets
Spuldzīte ļauj hakerim nozagt WiFi paroli
Pilnībā skaidrs kā zilas debesis ir tas, ka ierīču skaits, kas katru dienu tiek pievienots lietu internetam, turpina strauji pieaugt. Tiek prognozēts*, ka līdz 2024. gadam 22,3 miljardi ierīču visā pasaulē jau būs pievienotas lietu internetam, kas palielinās potenciālo kiberuzbrukumu un kibernoziegumu skaitu.
Kiberlaikapstākļi nelutina - lietus ir ielavījies arī lietu interneta pasaulē. Eksperti no Itālijas un Apvienotās Karalistes ir atklājuši, ka populārās TP-Link Tapo L530E viedās spuldzes un TP-Link Tapo lietotne, kura Google Play vietnē lejupielādēta 10 miljonus reižu, sniedz kiberuzbrucējam iespēju iegūt upura WiFi piekļuves informāciju, lai pēcāk pieslēgtos WiFi tīklam. Tas ļauj iegūt piekļuvi arī citām šajā tīklā esošajām iekārtām.
Izvēloties uzstādīt viedās ierīces, CERT.LV aicina ikvienu ievērot labo praksi un izveidot tām atsevišķu WiFi tīklu, kuram nav pievienotas kritiskas sistēmas vai ierīces, tādējādi samazinot svarīgo sistēmu kompromitēšanas risku. Papildu drošībai – vairāku faktoru autentifikācija (MFA ) un spēcīga, unikāla parole.
*Avots: https://www.consilium.europa.eu/lv/policies/cybersecurity/