Kiberlaikapstākļi (MARTS)
Pieejami kiberlaikapstākļi par 2023.gada martu. Kiberlaikapstākļi ir CERT.LV speciālistu apkopots pārskats īsā un pārskatāmā formā par Latvijas kibertelpā svarīgākajiem notikumiem pagājušajā mēnesī. Kiberlaikapstākļi tiek noteikti piecās dažādās kategorijās.
Kiberlaikapstākļos minētās krāpnieciskās saites, ko iesūtījuši iedzīvotāji un identificējusi CERT.LV, operatīvi tiek ievietotas DNS ugunsmūrī dnsmuris.lv, tādējādi pasargājot no uzbrukuma DNS ugunsmūra lietotājus. DNS ugunsmūris bez maksas ir pieejams ikvienam Latvijas iedzīvotājam un uzņēmumam.
Krāpšana
Krāpnieki izliekas par uzņēmumu un iestāžu darbiniekiem
CERT.LV novēroja vairākus krāpniecības mēģinājumus, kuros ļaundari izlikās par reāliem uzņēmumu vai iestāžu darbiniekiem un lūdza grāmatvedību/ vadību atjaunot informāciju par konkrētā darbinieka algas kontu, nomainot to pret citu. Līdzīgas krāpniecības periodiski ir tikušas novērotas arī iepriekš.
Krāpnieciskas īsziņas Valsts ieņēmumu dienesta vārdā
Tika saņemti ziņojumi par krāpniekiem, kas Valsts ieņēmumu dienests vārdā sūtīja SMS paziņojumus par nodokļu atmaksu. Paziņojumā iekļautā saite veda uz pikšķerēšanas vietni, kas imitēja SEB internetbanku (tika saņemta informācija arī par gadījumiem, kad tika viltotas Luminor un Latvija.lv vietnes). Krāpnieku mērķis bija izgūt bankas piekļuves datus. Krāpnieki, iespējams, seko līdzi aktuālajiem notikumiem valstī un tos izmanto krāpnieciskajās darbībās, piemēram, ka iedzīvotājiem no 1. marta VID iespējams iesniegt gada ienākumu deklarāciju, lai atgūtu pārmaksāto iedzīvotāju ienākuma nodokli.
Turpinājās krāpnieciski e-pasti bankas “Citadele” vārdā
Martā tika novērotas vairākas krāpnieciskas kampaņas, kurās uzbrucēji izplatīja viltus e-pastus bankas “Citadele” vārdā. Līdzīgi kā krāpnieciskajā SMS kampaņā VID vārā, arī viltus “Citadele” e-pastos parādījās nodokļu atmaksas motīvs – e-pasta saņēmēji tika aicināti atvērt pielikumu, lai priekšskatītu informāciju par nodokļu atmaksu. Atsevišķos gadījumos krāpnieki draudēja arī ar konta bloķēšanu vai aicināja apmaksāt muitas nodokli par pasta sūtījumu. Uzbrukumu mērķis bija iegūt lietotāju personīgo informāciju un internetbankas piekļuves datus.
Atkal uzdarbojas investīciju krāpnieki
Šoreiz krāpnieki saziņai izmantoja e-pasta adresi, kas atgādināja kriptovalūtas apmaiņas vietni Binance (krāpnieciskā e-pasta adrese @binanc.co.uk, oficiālā vietnes adrese www.binance.com). Kāds Latvijas iedzīvotājs, paklausot krāpnieku aicinājumam, veica kriptovalūtas iegādi aptuveni 2500 eiro vērtībā un ieguldīja to krāpnieku norādītajā platformā profitrop.com/trading. Brīdī, kad tika izrādīta vēlme “nopelnīto” izņemt, viltus platformas uzturētāji pieprasīja dažādus papildu maksājumus. Tikai šajā posmā krāpšana tika atpazīta. CERT.LV aicināja cietušo vērsties ar iesniegumu Valsts policijā. Papildu aizsardzībai pret kiberapdraudējumiem, tādiem kā krāpnieciskas un vīrusus izplatošas vietnes, CERT.LV iesaka izmantot bezmaksas rīku – DNS ugunsmūri (https://dnsmuris.lv/).
Krāpnieki izmanto atpazīstamus zīmolus
Tika saņemta virkne ziņojumu par krāpnieku aktivitātēm, kurās izmantoti sabiedrībā atpazīstamu uzņēmumu zīmoli. Krāpnieki gan imitēja portālu un izvietoja maldinošu informāciju, gan publicēja viltus loterijas un reklāmas sociālajos tīklos. Uzbrucēju mērķis bija iedzīvotāju datu iegūšana. CERT.LV aicina pirms jebkādu datu ievades pārliecināties, vai vietnes adrese atbilst sagaidāmajai (neiztrūkst vai nav lieki burti/ simboli vietnes adresē, dažreiz adrese pat attāli nav līdzīga oriģinālajai, jo krāpnieki savām darbībām izmanto kādu uzlauztu vietni) un vai loterija, kurā gatavojaties piedalīties, eksistē (to vislabāk pārbaudīt attiecīgā uzņēmuma oficiālajā mājas lapā un sociālo tīklu kontos, uz kuriem nokļūsiet no mājas lapas).
Ļaunatūra un ievainojamības
Kritiska Microsoft Outlook ievainojamība apdraud paroļu drošību
Microsoft publicēja atjauninājumus kritiskai Microsoft Outlook “nulles dienas” ievainojamībai (CVE-2023-23397), kas kopš pagājušā gada tiek aktīvi izmantota arī no Krievijas APT grupējumu puses. Saskaņā ar Microsoft rīcībā esošo informāciju, minētā ievainojamība izmantota ne tikai uzbrukumos Ukrainas resursiem, bet arī pret vairākām organizācijām Eiropā, to vidū arī valsts iestādēm un kritiskās infrastruktūras resursiem. Uzbrucējs var izgūt lietotāja paroles Net-NTLMv2 jaucējvērtību (hash), kura var tikt izmantota tālākos uzbrukumos, nosūtot lietotājam speciāli sagatavotu e-pastu. Lietotāja iesaiste uzbrukuma procesā nav nepieciešama jeb uzbrukums var būt veiksmīgs arī, lietotājam inficēto e-pastu neatverot.
Vairāk: https://cert.lv/lv/2023/03/kritiska-microsoft-outlook-ievainojamiba-cve-2023-23397-windows-sistemam
Microsoft Word dokuments sniedz uzbrucējam attālinātu piekļuvi
Tika publiskots metodes apraksts (PoC), kā izveidot dokumentu ar aktīvo kodu, lai ekspluatētu kritisku Microsoft Word ievainojamību (CVE-2023-21716, CVSS 9.8 ) un iegūtu attālinātu piekļuvi upura iekārtai. CERT.LV aicināja pārliecināties, ka ir uzstādīti jaunākie Microsoft atjauninājumi.
Vairāk: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21716
Bīstamie attēli
Tika saņemts ziņojums no kāda uzņēmuma par darbiniekiem masveidā iesūtītu kaitīgu e-pastu, kura pielikumā tika pievienots vīrusu saturošs attēls (.IMG fails). Uzņēmuma izmantotais antivīruss kaitīgo saturu neatpazina, taču uzņēmuma iekšējā drošības politika noteica .IMG failu bloķēšanu, kas nodrošināja potenciālā kaitējuma novēršanu. E-pasta pielikumā ieslēptā ļaunatūra tika identificēta kā TrojanCryxos, kas inficētajā iekārtā lejupielādē citas ļaunatūras, tai skaitā šifrējošos izspiedējvīrusus.
Dārgie drošības caurumi
Kāda uzņēmuma grāmatvedības datorā tika sašifrēti visi faili, kā arī tika konstatēts, ka visi servera faili ir šifrēti. Lai arī uzņēmumā izmantotā attālinātā piekļuve (RDP) tiek aizsargāta pret paroļu minēšanas uzbrukumiem (brutforce), pārējās uzņēmuma izmantotās tehnoloģijas uzskatāmas par novecojušām un tām netiek nodrošināts atbilstošs drošības līmenis un drošības ielāpi (Windows XP un Windows Server 2003). Uzņēmums vērsās ar iesniegumu policijā.
Pakalpojuma pieejamība
Turpinās DDoS uzbrukumi
Krievijas agresīvo politiku atbalstošo haktīvistu aktivitātes turpinājās arī martā, intensitātei samazinoties mēneša beigās. DDoS uzbrukumus piedzīvoja transporta nozare un virkne valsts iestāžu resursu, to vidū arī Ārlietu ministrija, Finanšu izlūkošanas dienests, Sabiedrisko pakalpojumu regulēšanas komisija, Centrālā finanšu un līgumu aģentūra un Nacionālais veselības dienests.
Uzbrukumi sadarbībā ar LVRTC un SIA Tet tika veiksmīgi atvairīti un neradīja būtiskus traucējumus to pakļauto sistēmu darbībai.
Ielaušanās un datu noplūde
TikTok un datu drošība mobilajās ierīcēs
Martā daudzviet pasaulē un arī Latvijā aktualizējās sociālās lietotnes TikTok izmantošanas un datu drošības jautājumi. Taču, pārskatot ierīču drošības politiku iestādēs, CERT.LV aicināja nekoncentrēties tikai uz TikTok izmantošanu. Lai izveidotā politika būtu ilgtspējīga, būtu svarīgi noteikt, ka iestādes valdījumā esošās mobilās ierīces centralizēti tiek pakļautas drošības politikai, kas liedz jebkādu lieku programmatūru (nav nepieciešamas iekārtas darbībai kā arī darbinieka darba pienākumu veikšanai) uzstādīšanu. Tādā veidā riski tiek kontrolēti kvalitatīvi un pēc būtības.
Vairāk: https://cert.lv/lv/2023/03/par-tiktok-izmantosanu
Traucēta vietnes pārlūkošanas sesijas funkcionalitāte kādā valsts pārvaldes resursā
Tika saņemta informācija par kādu valsts pārvaldes resursu, kura lietotāji novērojuši traucējumus lietotāja darba sesijas pārtraukšanā. Lai arī lietotājs izdarīja izvēli pārtraukt darbu un izrakstīties, atkārtoti atverot vietni, tika novērots, ka lietotāja sesija joprojām bija aktīva un darbu bija iespējams turpināt. Tas potenciāli radīja apdraudējumu lietotāja datiem, ja resurss tiktu izmantots uz koplietojamas iekārtas. Resursa uzturētāji tika informēti par konstatēto resursa darbības nepilnību, un tiek veiktas darbības nepilnību novēršanai.
Izmantojot koplietojamas iekārtas, lietotājiem būtu ieteicams lietot tīmekļa pārlūkā iebūvēto funkciju “Private browsing” jeb inkognito režīmu (nosaukums atkarīgs no izmantotā pārlūka / valodas), tad pēc pārlūka aizvēršanas, tajā netiks saglabāta vietnēs ievadītā informācija un sīkfaili (cookies), kas asociējami ar konkrēto tīmekļa pārlūkošanas sesiju.
Attēls, kas atklāj vairāk
Microsoft publicēja ārkārtas atjauninājumus privātuma ievainojamībai (CVE-2023-28303), kas pakļāva informācijas noplūdes riskam bilžu apstrādātājus. Ja attēla manipulācijas, piemēram, potenciāli sensitīvas informācijas nogriešana no ekrānuzņēmuma, tika veiktas, izmantojot Snipping tool rīku Windows 10 vai Windows 11 sistēmā, tad šo šķietami dzēsto informāciju no jaunizveidotā attēla bija iespējams izgūt.
Datu drošība un mākslīgais intelekts
Ievainojamība atvērtā koda bibliotēkā redis-py sniedza iespēju ChatGPT lietotājiem piekļūt citu lietotāju informācijai: sarunu tematiem, lietotāja vārdam, uzvārdam, adresei, un daļējiem maksājumu kartes datiem. Taču nereti lietotāji mēdz paši pakļaut riskam savus datus, nekritiski izmantojot ChatGPT un citus analītiskos rīkus. Darbinieki mēdz augšupielādēt apstrādei sensitīvu informāciju, piemēram, ierobežotas pieejamības uzņēmuma datus, lai sagatavotu prezentāciju, vai pacientu veselības informāciju, lai sagatavotu atzinumu, un pastāv risks, ka šī informācija tiek iekļauta izmantotā rīka datu modelī un vēlāk ir izgūstama, veicot atbilstošus vaicājumus. Riski palielinās, ChatGPT kļūstot par aizvien populārāku produktivitātes rīku.
Tiek lēsts, ka ChatGPT ikmēneša lietotāju apjoms divus mēnešus pēc projekta publiskošanas sasniedza 100 miljonus lietotāju.
Vairāk:
https://www.helpnetsecurity.com/2023/03/27/chatgpt-data-leak/
https://www.darkreading.com/risk/employees-feeding-sensitive-business-data-chatgpt-raising-security-fears
Lietu internets
Būtiski incidenti netika reģistrēti.