Kiberlaikapstākļi (JANVĀRIS)
Pieejami kiberlaikapstākļi par 2023.gada janvāri. Kiberlaikapstākļi ir CERT.LV speciālistu apkopots pārskats īsā un pārskatāmā formā par Latvijas kibertelpā svarīgākajiem notikumiem pagājušajā mēnesī. Kiberlaikapstākļi tiek noteikti piecās dažādās kategorijās.
Kiberlaikapstākļos minētās krāpnieciskās saites, ko iesūtījuši iedzīvotāji un identificējusi CERT.LV, operatīvi tiek ievietotas DNS ugunsmūrī dnsmuris.lv, tādējādi pasargājot no uzbrukuma DNS ugunsmūra lietotājus. DNS ugunsmūris bez maksas ir pieejams ikvienam Latvijas iedzīvotājam un uzņēmumam.
Krāpšana
Krāpnieki tīko pēc e-pastu parolēm
Krāpnieki izplatīja e-pastus pakalpojumu sniedzēja SigmaNet vārdā, aicinot sekot saitei, lai it kā saņemtu nepiegādātas vēstules. Krāpnieku e-pasta adrese sarbo@mts.rs skaidri norādīja uz to, ka šis e-pasta sūtījums ir viltots. SigmaNet aicināja klientus būt vērīgiem un uz saites nespiest (pirms noklikšķināšanas novietojot kursoru uz saites, iespējams aplūkot saites vietrādi – vietnes adresi, uz kuru šī saite aizvedīs). Ja e-pastā norādītā saite tika atvērta un tajā ievadīti e-pasta piekļuves dati (lietotājvārds un parole), tad tie nonāca krāpnieku rokās. CERT.LV aicina visās vietnēs, kur vien tas ir iespējams, papildu drošībai izmantot arī divu faktoru autentifikāciju. Tas pasargās datus no uzbrucējiem, ja tomēr tiem būs izdevies izvilināt jūsu lietotājvārdu un paroli.
Vairāk: https://twitter.com/sigmanetlv/status/1613490552347017218
Viltvārži izsūta vēstules PMLP vārdā
Tika saņemti ziņojumi gan no iedzīvotājiem, gan valsts iestāžu darbiniekiem par viltus e-pastiem it kā Pilsonības un migrācijas lietu pārvaldes (PMLP) vārdā. E-pasta saņēmēji tika aicināti aizpildīt pielikumā pievienotu aptaujas anketu par Ukrainas pilsoņiem, kas uzturas Latvijā. CERT.LV aicināja šos e-pastus dzēst un pielikumu vaļā nevērt. Krāpnieku izmantotā e-pasta adrese (@pmlp-gov-lv.online) atgādināja īsto PMLP adresi (@pmlp.gov.lv). Līdzīga kampaņa tika novērota arī Polijā.
Vairāk: https://twitter.com/certlv/status/1616039551931219969
Kārdinošās viltus loterijas
Re:Baltica faktu pārbaudes projekta Re:Check ziņojumā tika norādīts, ka aptuveni 12 000 Facebook lietotāju noticējuši viltus konkursam, kurā piedāvāta iespēja bez maksas tikt pie jauna elektrovelosipēda. Fiktīvā konkursa "organizētājs" bija kāds anonīms konts ar nosaukumu E-bike. Arī CERT.LV brīdināja par nepieciešamību pievērst uzmanību tam, kādi dati un kad tiek prasīti, vai tiešām nepieciešams atklāt personīga rakstura informāciju vai sniegt maksājumu karšu datus konkrētajai vietnei? Nereti šādās viltus vietnēs ievadītie dati tiek izmantoti tālākās krāpniecībās.
Krāpnieki turpina uzdoties par tiesībsargājošo institūciju pārstāvjiem
Valsts policija turpināja saņemt ziņojumus no iedzīvotājiem par zvaniem no krievu valodā runājošiem krāpniekiem, kas uzdevušies par policistiem. Parasti šie viltus policisti apgalvoja, ka zvana saņēmēja bankas kontā ir konstatētas nelikumīgas darbības. Bieži vien pēc brīža iedzīvotājam piezvana jau kāds cits noziedzīgās grupas dalībnieks, kas apgalvoja, ka zvana no bankas. Ar numuru viltošanas tehnoloģiju krāpnieki atdarināja dažādu Valsts policijas struktūrvienību tālruņa numurus - zvana saņēmēja telefona ekrānā tika uzrādīts, ka ienākošais zvans ir no policijas, taču parasti šie krāpnieki atrodas ārvalstīs. Telefonkrāpnieki mēdz uzdoties arī par finanšu uzraugiem un citu iestāžu un uzņēmumu speciālistiem.
Iedzīvotājiem jāatceras, ka ne policijas, ne banku, ne citu valsts iestāžu darbinieki nekad nezvanīs, lai noskaidrotu pieejas datus bankas kontiem – kredītkaršu numurus, PIN kodus, Smart-ID piekļuves kodus, CVV kodus un tamlīdzīgi. Saņemot šādu aizdomīgu zvanu, ieteicams to pārtraukt!
Tāpat nekādā gadījumā pēc svešinieku pieprasījuma nedrīkst savā datorā instalēt tādas programmatūras kā AnyDesk un TeamViewer, ar kuru palīdzību krāpnieki var attālināti pieslēgties datoram un veikt noziedzīgas darbības, tajā skaitā ar finanšu līdzekļiem.
Uzbrucēji izmanto Google reklāmas paroļu izkrāpšanai
Daudzi paroļu pārvaldnieki glabā lietotājvārdus un paroles mākonī. Tas nozīmē, ka šiem datiem var piekļūt, ievadot galveno paroli (Master Password) atbilstošā paroļu pārvaldnieka tīmekļa vietnē. Lai iegūtu piekļuvi paroļu pārvaldnieku saturam, krāpnieki sākuši izmantot Google reklāmas, Tie izveido vietnes, kas vizuāli līdzinās paroļu pārvaldnieku īstajām vietnēm, un ar apmaksātu reklāmu palīdzību panāk, ka šīs viltus vietnes parādās kā pirmais meklējuma rezultāts, meklējot kādu konkrētu paroļu pārvaldnieku. Vienīgā atšķirība būs vietnes adresē, taču krāpnieki paļaujas uz to, ka šo atšķirību pamanīs vien retais. Ja viltus vietnē tiek ievadīta galvenā (Master) parole, un pirms tam nav uzstādīta divu faktoru autentifikācija, tad šī parole un paroļu pārvaldnieka saturs nonāk uzbrucēju rokās. CERT.LV aicina visās vietnēs un lietotnēs, kur vien tas ir iespējams, uzstādīt divu vai vairāku faktoru autentifikāciju (papildus parolei tiek izmantots arī īsziņā vai kā citādi saņemts kods).
Ļaunatūra un ievainojamības
Ļaundabīgas veselīga dzīvesveida lietotnes Google Play platformā
Android oficiālajā lietotņu iegādes platformā Google Play popularitāti ir guvušas ar veselību un veselīgām aktivitātēm saistītas lietotnes. To vidū ir izrādījušās arī vairākas ļaundabīgas. Tās tika reklamētas soļu skaitīšanai vai citu veselīgu ieradumu veicināšanai un solīja dažādus bonusu un balvas, ja lietotājs būs aktīvs un piekops veselīgu dzīvesveidu. Taču solītos bonusus nav iespējams iegūt vai var iegūt tikai daļēji pēc liela apjoma reklāmu noskatīšanās. Šīs ļaunadbīgās lietotnes, tādas kā Lucky Step – Walking Tracker, WalkingJoy un Lucky Habit: health tracker lietotāji kopumā lejupielādējuši 20 miljonus reižu.
Eksperti aicina, konstatējot kādu no kaitīgajām lietotnēm savā viedtālrunī, to nekavējoties no viedtālruņa dzēst.
Vairāk: https://www.bleepingcomputer.com/news/security/shady-reward-apps-on-google-play-amass-20-million-downloads/
https://www.apollo.lv/7706273/mobilo-talrunu-lietotajiem-rekomendets-dzest-12-android-lietotnes
Uzbrucēji izmanto moderno tehnoloģiju priekšrocības
NFT tokeni ir blokķēdēs bāzēta tehnoloģija (līdzīgi kā kriptovalūta), kas sniedz iespēju radīt un pārdot digitālas vērtības (attēlus, video materiālus, mākslas darbus u.c.), pārdevējam gūstot peļņu, bet pircējam investējot lietā, kas potenciāli sniegs peļņu nākotnē. NFT rod arvien plašāku pielietojumu, tajā skaitā arī virtuālo kolekcionējamo kāršu spēļu (trading card game) lauciņā. Šo aspektu izmantoja arī uzbrucēji. Piesaistot apmeklētājus ar viltus Pokemon NFT kāršu spēli, kuru varēja lejupielādēt uzbrucēju izveidotajā vietnē, tie izplatīja vīrusu. Vīruss sniedza uzbrucējiem pilnīgu kontroli pār inficēto iekārtu.
Microsoft pārtrauc Windows 7 Professional un Enterprise atbalstu
No šī gada 10. janvāra Windows 7 Professional un Enterprise versijas turpmāk vairs nesaņems iepriekš pagarinātos drošības atjauninājumus (extended security updates) kritiskām un svarīgām ievainojamībām. Pirms pārejas uz Windows 10 versiju, ir svarīgi ņemt vērā, ka atbalsts šai versijai tiks pārtraukts 2025. gada 14. oktobrī, un vecākas iekārtas var nebūt savietojamas ar jauno Windows 11 operētājsistēmu. Šī informācija ir svarīga arī, ja plānojat investīcijas jaunās iekārtās.
Vairāk: https://twitter.com/certlv/status/1613099822592196608
https://www.bleepingcomputer.com/news/microsoft/microsoft-ends-windows-7-extended-security-updates-on-tuesday
Jauna sudoedit ievainojamība
Sudo publicēja atjauninājumus, kas novērsa bīstamu ievainojamību (CVE-2023-22809). Tā sniedza iespēju lietotājam ar piekļuvi sudoedit patvaļīgi rediģēt sistēmas failus. Tika skartas versijas no 1.8.0 līdz 1.9.12p1.
Vairāk: https://twitter.com/certlv/status/1616427853947486215
Apdraudētas Qnap datu uzglabāšanas iekārtas
Tika atklāta jauna ievainojamība (CVE-2022-27596 ), kas skāra Qnap datu serverus un ļāva uzbrucējiem veikt attālinātu koda izpildi bez autorizācijas (unauthorized RCE). Tā ietekmēja QTS 5.0.1, QuTS hero h5.0.1 versijas. Qnap datu serveru lietotāji tika aicināti uzstādīt atjauninājumus.
Vairāk: https://twitter.com/certlv/status/1620346523505532929
Pakalpojuma pieejamība
Tehniskas kļūdas dēļ traucēti mobilie sakari
Sakarā ar tehnoloģisku avāriju LVRTC infrastruktūrā nebija pieejami vai pieejamība bija ierobežota LVRTC datu centra un uzticamības pakalpojumiem, kā arī nepilnu stundu tika traucēti gandrīz visu mobilo sakaru un interneta operatoru darbība.
Vairāk: https://twitter.com/LVRTC_TVtornis/status/1612430159629488131
https://neatkariga.nra.lv/izpete/402368-avarija-lvrtc-siks-incidents-vai-drauds-valsts-drosibai
Piecu stundu garumā traucēta Microsoft 365 pakalpojumu pieejamība
Negaidīti darbības traucējumi ierobežoja piekļuvi vairākiem Microsoft 365 pakalpojumiem. Ietekmētie pakalpojumi bija Microsoft Teams, Exchange Online, Outlook, SharePoint Online, OneDrive for Business, Microsoft 365 Admin Center u.c. Traucējumi skāra arī Minecraft un Xbox Live lietotājus. Darbības traucējumi tika novērsti piecu stundu laikā.
Vairāk: https://www.bleepingcomputer.com/news/microsoft/microsoft-365-outage-takes-down-teams-exchange-online-outlook/
https://www.databreachtoday.com/microsoft-365-cloud-service-outage-disrupts-users-worldwide-a-21017
Turpinās DDoS uzbrukumi
Krievijas agresīvo politiku atbalstošo haktīvistu aktivitātes turpinājās arī janvārī. Tika piedzīvoti DDoS uzbrukumi gan finanšu sektoram, gan valsts pārvaldes iestādēm. Uzbrukumi sadarbībā ar LVRTC un Tet tika veiksmīgi atvairīti un to ietekme uz mērķa sistēmām bija nebūtiska.
Ielaušanās un datu noplūde
Krievijas atbalstīts datu izgūšanas uzbrukums Aizsardzības ministrijai
Vairāki Aizsardzības ministrijas darbinieki saņēma e-pastus, kas tika izsūtīti it kā Ukrainas valsts iestāžu vārdā. E-pasts saturēja ļaundabīgu .html pielikumu (HTML smuggling). Uzbrukuma pazīmes liecināja, ka tas varētu būt saistīts ar uzbrucēju grupējuma Gamaredon aktivitātēm. Gamaredon mērķis ir informācijas izgūšana. Uzbrukums nebija veiksmīgs, neviens darbinieks saņemto pielikumu neatvēra.
Uzbrucējiem iespēja iegūt visas KeePas glabātās paroles
KeePass ir populārs atvērtā koda paroļu pārvaldnieks, kas ļauj uzglabāt paroles un lietotājvārdus lokālā, uz iekārtas glabātā datubāzē, pretēji daudziem citiem paroļu pārvaldniekiem, kas datus glabā mākonī (piemēram, LastPass vai Bitwarden). Ievainojamība (CVE-2023-24055) sniedza iespēju uzbrucējam nešifrētā veidā lejupielādēt visus KeePass paroļu pārvaldniekā saglabātos lietotājvārdus un paroles no inficētas iekārtas, pār kuru tas ir ieguvis kontroli.
Paroļu atkārtota izmantošana apdraud lietotājus
Uzbrucējiem izdevies piekļūt gandrīz 35 000 maksājumu platformas PayPal lietotāju kontu. Tas veikts, izmantojot lietotājvārdus un paroles no citām datu noplūdēm. Šādi uzbrukumi parasti ir efektīvi gadījumos, ja lietotāji izmanto vienu un to pašu lietotājvārdu un paroli vairākās vietnēs vai lietotnēs un nav pieslēgta vairāku faktoru autentifikācija. Ja esat saņēmuši PayPal aicinājumu nomainīt paroli, aicinām to izdarīt, kā arī uzstādīt divu faktoru autentifikāciju, ja tas vēl nav izdarīts.
Uzbrucēji piekļuvuši Air France un KLM pasažieru datiem
Lidsabiedrības Air France un KLM ziņoja, ka uzbrucēji piekļuvuši vairāku aviokompāniju izmantotās lojalitātes programmas Flying Blue lietotāju datiem, potenciāli iegūstot lietotāju vārdus, e-pasta adreses, telefona numurus un lojalitātes programmu informāciju. Lietotāju konti, kuros tika novērotas aizdomīgas darbības, tika bloķēti, un lietotāji brīdināti, aicinot arī nomainīt konta paroli. Šādās datu noplūdēs iegūtā informācija tālāk var tikt izmantota krāpnieciskās aktivitātēs. To, vai jūsu dati nav ietverti kādā no datu noplūdēm, iespējams pārbaudīt vietnē https://haveibeenpwned.com/ vai https://monitor.firefox.com/, ievadot savu e-pasta adresi.
Vairāk: https://www.bleepingcomputer.com/news/security/air-france-and-klm-notify-customers-of-account-hacks/
Lietu internets
Būtiski incidenti netika reģistrēti.