Kiberlaikapstākļi (MAIJS)

Krāpšana

Krāpnieciski e-pasti Latvijas Pasts un AliExpress vārdā

Maija beigās aktivizējās krāpnieki, kas sūtījumu piegādes aizsegā izplatīja krāpnieciskus e-pastus Latvijas Pasts un AliExpress vārdā.

Krāpnieciskajos e-pastos Latvijas Pasts vārdā saņēmēji tika aicināti sniegt papildinformāciju nepiegādāta sūtījuma saņemšanai. Atsūtītajā e-pastā iekļauta saite uz vietni, kas paredzēta maksājumu karšu datu un personīgās informācijas izkrāpšanai.

Savukārt e-pastos AliExpress vārdā saņēmējs tika brīdināts par aizdomīgu pasūtījumu, kas veikts no viņa konta, un tiek aicināts pasūtījumu atcelt, ja nepieciešams. Spiežot uz “Atcelt pasūtījumu” (Cancel Order) pogas, lietotājs tiek aicināts ievadīt savus AliExpress profila datus. Pēc datu ievades lietotājam tiek parādīts kļūdas paziņojums, bet piekļuves dati nosūtīti krāpniekiem.

CERT.LV atgādina - nekad neatklājiet krāpniekiem savus datus! Vienmēr pārliecinieties, ka atpazīstat vietnes domēna vārdu, kuru kāds jūs aicina apmeklēt.

Saite uz cert.lv ar izvērstu informāciju: https://cert.lv/lv/2020/05/tiek-izsutiti-krapnieciski-e-pasti-latvijas-pasts-un-aliexpress-varda

Krāpnieki, kas meklē neuzmanīgus grāmatvežus

Maijā manāmi pieauga krāpnieku aktivitāte, kas par saviem upuriem izraudzījās uzņēmumu un organizāciju grāmatvežus vai tos darbiniekus, kas atbildīgi par finansēm un pārskaitījumiem. Krāpnieku mērķis bija noskaidrot bankas konta atlikumu un panākt, lai grāmatvedis veic neplānotu un steidzamu maksājumu uz krāpnieku norādīto bankas kontu.

Tika novērota arī jauna tendence: e-pasta sarakstē ļaundari izlikās par kādu no uzņēmuma darbiniekiem, nosūtot jautājumu, kurā datumā būs nākamā alga, un lūdzot mainīt bankas kontu, uz kuru šajā datumā algu pārskaitīt.

Saite uz cert.lv ar izvērstu informāciju: https://cert.lv/lv/2020/05/aktivizejusies-krapnieki-kas-mekle-neuzmanigus-gramatvezus

Facebook kontu izkrāpšanas kampaņa

Tika novērota Facebook kontu izkrāpšanas kampaņa – tās ietvaros sociālā tīkla lietotāji saņēma šķietami no drauga vai paziņas (kura konts jau ir uzlauzts) sūtītu saiti uz it kā vimeo video. Mēģinot atvērt saiti, lietotājs tika aicināts autentificēties Facebook Messenger. Ja lietotājvārds un parole tika ievadīti, parādījās kļūdas paziņojums, bet piekļuves dati tika nosūtīti krāpniekiem.

Ja esat cietuši konkrētajā kampaņā – esat savus datus ievadījuši, aicinām nekavējoties nomainīt pieejas paroli un apdomāt iespēju uzstādīt divu faktoru autentifikāciju, ja tas vēl nav izdarīts. Ja pieeja kontam ir zudusi - konta atgūšanai izmantot norādījumus: https://www.facebook.com/help/1306725409382822

Pikšķerēšanas kampaņa Office 365 piekļuves datu izkrāpšanai, kas vērsta uz valsts sektora darbiniekiem

CERT.LV saņēma vairākus ziņojumus par agresīvu pikšķerēšanas kampaņu, kas vērsta pret valsts un pašvaldību iestāžu darbiniekiem. Pikšķerēšanas mērķis - izgūt Office 365 piekļuves datus. E-pasti tika izplatīti no kompromitētām citu valstu iestāžu darbinieku oficiālām e-pastu adresēm, piemēram, no domēniem odp.gov.pl vai mif.gov.me.

Saite uz cert.lv ar izvērstu informāciju: https://cert.lv/lv/2020/05/pikskeresanas-kampana-office-365-piekluves-datu-izkrapsanai-kas-versta-uz-valsts-sektora-darbiniekiem

Krāpniecisks aicinājums par .lv domēna vārda lietošanas tiesību pagarināšanu

Vairāki .lv domēna vārda lietotāji maijā saņēma maldinošus e-pastus no Domain Service (info@shuiaearth.top) ar paziņojumu pagarināt .lv domēna vārda lietošanas tiesības.

NIC.LV norāda, ka šis nav paziņojums par .lv domēna vārda lietošanas tiesību pagarināšanu, bet gan aicinājumu samaksāt rēķinu par .lv domēna vārdam piesaistītajiem apšaubāmiem SEO (Search Engine Optimization) pakalpojumiem.

Saite uz nic.lv ar izvērstu informāciju: https://www.nic.lv/lv/jauns-uzbrukums-nic-lv-aicina-neuzkerties?fbclid=IwAR2FVZ5UBVWu2eopIJzADd6p5FX5d73oJsUCoaImeqHRUduObWotUKiMf3Y

Ļaunatūra un ievainojamības

Šifrējošā izspiedējvīrusa uzbrukumā cietusi kāda veselības iestāde

CERT.LV maijā saņēma ziņojumu no kādas veselības iestādes, kas cietusi šifrējošā izspiedējvīrusa uzbrukumā – skarti faili uz divām iekārtām. Sašifrētajiem failiem konstatēts paplašinājums “.corona-lock” – tas ir jauns vīrusa paveids, kas aktualizējies pandēmijas laikā. Pēc incidenta analīzes tika secināts, ka ļaunatūra lejupielādēta, atverot e-pasta pielikumu. Organizācijai bija pieejamas datu rezerves kopijas un informācija tika atgūta.

Ar veselības aprūpi saistīta tīmekļa vietne pakļauta datu izgūšanai

Tika saņemts ziņojums par ievainojamībām kādā ar veselības aprūpi saistītā tīmekļa vietnē. Ievainojamības pakļāva vietni XSS tipa uzbrukumiem, kas ļāva no vietnes izgūt personas datus, vietnē izvietotajos datu ievades laukos ierakstot atbilstoši sagatavotus pieprasījumus. Vietnes uzturētāji tika informēti par atklātajām ievainojamībām. CERT.LV koordinēja ievainojamību novēršanu.

Draudu e-pasts palīdz atklāt ievainojamības

Kāda valsts iestāde ziņoja par iespējamu uzbrukumu iestādes tīmekļa vietnei, kurā, iespējams izgūta datubāze, par kuru uzbrucēji pieprasa izpirkumu. Veicot pārbaudi, tika konstatēts, ka vietne nav kompromitēta un šantāžas e-pasts ir krāpniecības mēģinājums, bet pārbaužu rezultātā tika atklātas arī vairākas ievainojamības attiecīgajā tīmekļa vietnē, kas pakļauj vietni reālam uzbrukuma riskam. Iestāde tika informēta par atklātajiem draudiem, CERT.LV veica ievainojamību novēršanas koordinēšanu.

Jau zināmas, bet nenovērstas ievainojamības pakļauj uzbrukuma riskam gandrīz 1 miljonu WordPress vietņu

Maija sākumā globālajā kibertelpā izskanēja ziņas par apjomīgu uzbrukumu kampaņu, kas vērsta pret 900 tūkst. WordPress vietņu, kurās izmantoti novecojuši un “cauri” spraudņi (plugins) un tēmas (themes). Kampaņas mērķis bija vietnes inficēt ar ļaundabīgu JavaScript kodu, kas paredzēts, lai vietņu apmeklētājus novirzītu uz kaitnieciskām saitēm.

CERT.LV aicina WordPress vietņu uzturētājus un īpašniekus būt atbildīgiem un regulāri veikt gan pašas vietnes, gan tajā izmantoto spraudņu un tēmu atjauninājumus.

Avots: https://www.securityweek.com/nearly-1-million-wordpress-sites-targeted-old-vulnerabilities

CERT.LV aicina interneta pakalpojumu sniedzējus ierobežot UPnP servisa izmantošanu

CERT.LV aicināja interneta pakalpojumu sniedzējus (IPS) informēt klientus par nekorekti pieslēgtām UPnP iekārtām, kā arī rekomendēja tīkla līmenī ierobežot piekļuvi SSDP servisam,  bloķējot UDP 1900 portu vai centralizēti izslēdzot UPnP funkcionalitāti vadāmajās klientu interneta piekļuves iekārtās. Nepareizi konfigurētas iekārtas ar internetā atvērtu UDP 1900 portu var tikt izmantotas apjomīgu DoS uzbrukumu veikšanai pret uzņēmumiem, tiešsaistes tirdzniecības vietnēm un valsts iestādēm. Porta bloķēšana neietekmēs individuālo galalietotāju iekārtu darbību, bet būtiski novērsīs apjomīgu DoS uzbrukumu risku.

Saite uz cert.lv ar izvērstu informāciju: https://cert.lv/lv/2020/05/cert-lv-aicina-ips-ierobezot-upnp-servisa-izmantosanu