Kiberlaikapstākļi (MAIJS)

Krāpšana

Krāpnieciskas, banku imitējošas vietnes Google meklētājā

Arī maijā CERT.LV turpināja saņemt informāciju par banku imitējošām krāpnieciskām vietnēm, kas parādās Google meklētājā kā pirmie ieraksti, jo ir krāpnieku apmaksātas Google reklāmas. Reklāmās ievietotais teksts un saites imitē banku tīmekļa vietnes, un pēc saites atvēršanas nogādā apmeklētāju viltus lapā, kas vizuāli līdzinās īstajai bankas mājaslapai, atšķirība slēpjas vien vietnes adresē, kas redzama adrešu logā pārlūka augšpusē. CERT.LV drošības nolūkos aicināja lietotājus bankas mājaslapas adresi pašrocīgi ievadīt interneta pārlūkprogrammā un atkārtotai izmantošanai saglabāt pārlūka grāmatzīmju sarakstā. Kā arī, izmantojot meklēšanu, pievērst uzmanību, vai meklētāja rezultāta priekšā neparādās atzīme “Reklāma” vai “Ad”, kas nozīmē, ka šīs adreses parādīšanu kāds ir apmaksājis.

Par minēto krāpšanas veidu informāciju publicējusi arī Valsts policija: https://www.vp.gov.lv/lv/jaunums/somenes-vairakiem-desmitiem-iedzivotaju-izkrapta-nauda-izmantojot-viltus-luminor-internetbanku

Ar “kredītspējas sertifikātu” apmāna uzņēmējus

Maijā tika saņemta informācija arī par jaunu krāpniecības veidu, kurā uzbrucēju mērķis ir nelieli uzņēmumi, kuriem varētu būt aktuāla papildu investoru un klientu piesaiste. Šiem uzņēmumiem tika zvanīts un piedāvāts iegādāties “kredītspējas sertifikātu”, kas padarītu uzņēmumu pievilcīgāku potenciālo sadarbības partneru acīs. Zvanītāju norādītajā tīmekļa vietnē bija aplūkojama informācija par uzņēmumiem, kas it kā jau šādu sertifikātu ir iegādājušies. Nākamajā dienā, mēģinot apmeklēt norādīto tīmekļa vietni vai atzvanīt uz attiecīgo telefona numuru, tika saņemts paziņojums, ka ne vietne, ne numurs neeksistē. CERT.LV aicināja būt piesardzīgiem un, saņemot šādus piedāvājumus, vērsties ar iesniegumu policijā, bet, ja izdarīts maksājums krāpniekiem, nekavējoties informēt par notikušo savu banku.

Krāpnieki, izliekoties par banku, draud pārtraukt norēķinu kartes darbību

Maija sākumā Latvijas iedzīvotājus sasniedza kārtējā pikšķerēšanas kampaņa, krāpniekiem izliekoties par Citadele banku. Krāpnieku izsūtītajos e-pastos tika draudēts pārtraukt lietotāju norēķinu karšu darbību, ja lietotāji neapstiprinās papildu drošības prasības. Krāpnieciskajā e-pastā tika norādīta arī saite, kurā saņēmējs aicināts šīs prasības apstiprināt, un, lai to varētu paveikt – autentifikācijai nepieciešams ievadīt savas kartes datus. Ievadot datus, lietotāji tos brīvprātīgi nodeva krāpnieku rīcībā. Tāpēc pirms jebkādu datu ievades, CERT.LV vienmēr aicina pārliecināties, vai mājaslapas adreses laukā tiešām ir redzama īstā adrese (vai nav lieki burti, pazuduši burti, svešs domēna vārds utt).

Krāpnieki izliekas par Netflix atbalsta dienestu

Maijā no iedzīvotājiem tika saņemti vairāki ziņojumi par krāpniekiem, kas izliekas par straumēšanas servisa Netflix atbalsta dienestu un sūta brīdinājuma e-pastus latviešu valodā. Minētajos e-pastos tiek apgalvots, ka Netflix ir bloķējis lietotājam pieeju platformai saistībā ar nederīgu maksājuma informāciju, un, lai atkal saņemtu pakalpojumu, nepieciešams no jauna reģistrēties, norādot norēķinu kartes datus. Lietotājam ievadot prasītos datus dotajā saitē, tie automātiski nonāca krāpnieku rokās.

Šādos gadījumos CERT.LV vienmēr aicina pārbaudīt vēlreiz gan sūtītāja e-pasta adresi, gan pārliecināties par to, vai serviss tiešām atslēgts. Nākotnes drošībai un profilaksei ieteicams izmantot arī CERT.LV un NIC.LV izstrādāto DNS ugunsmūri, kurā CERT.LV regulāri un operatīvi ievieto saites no aktuālajām pikšķerēšanas kampaņām.

Ļaunatūra un ievainojamības

Jauna Microsoft ievainojamība Office produktos – “Follina”

Microsoft maijā publicēja norādījumus saistībā ar jaunu “nulles dienas” ievainojamību – “Follina” (CVE-2022-30190) Office produktos (Office 2013 / 2016 /2019 / 2021 un Professional Plus versijās), ko iespējams izmantot, lai panāktu attālinātā koda izpildi skartajās sistēmās (CVSS 7.8/10). Informācija par ietekmi un novēršanu pieejama šeit: https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

DeadBolt šifrējošais izspiedējvīruss apdraud neatjaunotas QNAP iekārtas

Maijā Taivānas kompānija QNAP publicēja globālu brīdinājumu steidzami atjaunināt tās ražotos datu serverus, kas kļuvuši par aktīvu uzbrucēju mērķi un pakļauti DeadBolt šifrējošā izspiedējvīrusa riskam. Maijā cietušo upuru vidū bija arī kāds Latvijas uzņēmums, kas uzbrukuma rezultātā pazaudēja uzņēmējdarbībai vitāli svarīgu informāciju, jo nebija paguvis veikt QNAP iekārtu atjaunināšanu.

Vairāk: https://www.bleepingcomputer.com/news/security/qnap-alerts-nas-customers-of-new-deadbolt-ransomware-attacks/

Šifrējošā izspiedējvīrusa upuru vidū arī kāds muzejs Latvijā

Maijā šifrējošo vīrusu uzbrukumos cietuši vairāki uzņēmumi un organizācijas Latvijā. To vidū arī kāds Latvijas muzejs, kuram uzbrukuma rezultātā tikusi sašifrēta darbstacija uz kuras glabājās iekšējā biļešu kontroles sistēma. Tā kā muzejam nebija datu rezerves kopijas, tad nācās visu iekārtu instalēt no jauna.

Cietušo vidū bija arī kāds starptautisks Latvijas tirdzniecības uzņēmums, kuram sašifrēti vairāk kā puse no visiem darbinieku datoriem. Abos gadījumos CERT.LV aicināja nemaksāt ļaundariem izpirkumu par datu atgūšanu, jo šāda rīcība ne tikai negarantē datu atgūšanu, bet arī veicina jaunu ļaunatūru izstrādi.

Pakalpojuma pieejamība

Pastiprināti DDoS uzbrukumi Latvijas interneta resursiem

Maijā sadarbībā ar LVRTC un TET sekmīgi atvairīti vairāki desmiti lielapjoma DDoS jeb piekļuves atteices uzbrukumi. Lielākā daļa šo uzbrukumu tika vērsti pret valsts iestādēm un valsts kapitālsabiedrībām, taču atsevišķos gadījumos uzbrukumu mērķi bija arī mediju resursi, finanšu institūcijas un arī uzņēmumi.

Kaut arī lielāko daļu uzbrukumu izdevās veiksmīgi atvairīt, bija arī izņēmuma gadījumi, kuru efektu izjuta lielāka sabiedrības daļa. Vieni no redzamākajiem uzbrukumiem maijā tika veikti pret ziedot.lv, inbox.lv un Mobilly, kā rezultātā šo organizāciju klientiem tika traucēta atsevišķu pakalpojumu saņemšana tiešsaistē.

Atbildību par lielāko daļu uzbrukumu Telegram platformā uzņēmās kiberaktīvistu grupējums “Killnet”, kas atbalsta Krieviju un tās agresīvo politiku un ir veicis uzbrukumus arī Igaunijas, Polijas, Čehijas un citu Eiropas valstu iestāžu un uzņēmumu tīmekļa vietnēm. Uzbrukumu radītie traucējumi pārsvarā bija īslaicīgi un ar minimālu ietekmi.