Kiberlaikapstākļi (MAIJS)
Pieejami kiberlaikapstākļi par 2023.gada maiju. Kiberlaikapstākļi ir CERT.LV speciālistu apkopots pārskats īsā un pārskatāmā formā par Latvijas kibertelpā svarīgākajiem notikumiem pagājušajā mēnesī. Kiberlaikapstākļi tiek noteikti piecās dažādās kategorijās.
Kiberlaikapstākļos minētās krāpnieciskās saites, ko iesūtījuši iedzīvotāji un identificējusi CERT.LV, operatīvi tiek ievietotas DNS ugunsmūrī dnsmuris.lv, tādējādi pasargājot no uzbrukuma DNS ugunsmūra lietotājus. DNS ugunsmūris bez maksas ir pieejams ikvienam Latvijas iedzīvotājam un uzņēmumam.
Krāpšana
Krāpnieki masveidā izsūta SMS, izliekoties par Latvijas Pastu
Maija sākumā Latvijas Pasta vārdā krāpnieki turpināja izsūtīt krāpnieciska rakstura īsziņas, šoreiz - no ārvalstu tālruņa numuriem, aicinot apmaksāt muitas nodokli! Krāpnieku mērķis bija nozagt lietotāja bankas piekļuves datus. Latvijas Pasts un CERT.LV aicināja iedzīvotājus nekādā gadījumā neklikšķināt uz īsziņās iekļautajām saitēm un saņemtās ziņas dzēst!
Atgādinām, ka informāciju vienmēr vari pārbaudīt, sazinoties ar Latvijas Pasta klientu centru: 67008001, 27008001 vai info@pasts.lv.
Vairāki iedzīvotāji uzķērušies uz krāpnieciskiem e-pastiem it kā VID vārdā
Maijā CERT.LV turpināja saņemt ziņojumus par krāpnieciskiem e-pastiem it kā Valsts ieņēmumu dienesta vārdā. E-pastā tika minēts, ka lietotājs veiksmīgi saņēmis nodokļu atmaksu "Nodokļu portālā", un ticamībai atsūtīta arī pagaidu parole, lai piekļūtu šim portālam. Tālāk, pēc pieslēgšanās portālam, tika prasīts ievadīt arī personas kodu un telefona numuru. Pēdējā solī krāpnieki lūdza ievadīt arī bankas piekļuves datus, lai it kā lietotājs varētu saņemt nodokļu atmaksu uz savu bankas kontu, taču patiesībā šie pieejas dati nonāca krāpnieku rokās. Tika saņemtas ziņas arī par cietušajiem, kas steigā un citu apstākļu sakritības rezultātā iekrituši krāpnieku izliktajās lamatās. CERT.LV aicināja iedzīvotājus saglabāt modrību, savukārt cietušajiem ieteica operatīvi sazināties ar savu banku un vērsties Valsts policijā ar iesniegumu!
Jums ir pozitīvs HIV tests
Maija vidū šādas šokējošas ziņas par pozitīvu HIV testu SMS veidā saņēma vairāki Latvijas iedzīvotāji. Īsziņas šķietami sūtītas no E-veselības portāla, taču patiesībā aiz tām slēpās krāpnieki, kas vēlējās izgūt lietotāju bankas piekļuves datus. Kaut arī ziņu saturs nošokēja daudzus, CERT.LV rīcībā nav informācijas, ka kāds iedzīvotājs būtu tiešām uzķēries un cietis zaudējumus. CERT.LV aicināja iedzīvotājus saglabāt modrību, un saņemtās īsziņas ignorēt un dzēst.
Viltus inbox.lv atbalsta komanda
Maijā tika saņemti arī vairāki ziņojumi par krāpniekiem, kas izlikās par inbox.lv atbalsta komandu un lūdza verificēt lietotājam savu e-pastu, pretējā gadījumā tā darbība tiktu apturēta pēc 48h. E-pastā bija iekļauta saite, kas lietotāju nogādāja pikšķerēšanas vietnē, kas vizuāli atgādināja īsto inbox.lv mājaslapu. Krāpnieku mērķis šādā veidā bija izvilināt lietotāju e-pastu piekļuves datus.
Kādas medicīnas iestādes darbinieces vārdā krāpnieki lūdz vadībai mainīt algas kontu
Maija vidū tika saņemts ziņojums no kādas satrauktas medicīnas iestādes darbinieces, kuras vārdā krāpnieki sūtījuši viltus e-pastus sievietes darba devējam, un lūguši mainīt bankas kontu algas saņemšanai. Izrādās, ka līdzīgs incidents noticis arī pērnā gada nogalē, kad krāpniekiem tiešām izdevies apmuļķot darba devēju un algu izkrāpt. Šoreiz darba devējs krāpniecību atpazinis un par notikušo informējis arī savu darbinieci. Sieviete lūdza padomu, ko darīt, lai šādas situācijas neatkārtotos. CERT.LV kā vienu no risinājumiem piedāvāja ieviest elektroniski parakstītu dokumentu apriti jeb vienoties ar vadību, ka turpmāk līdzīga veida pieprasījumi tiek sūtīti un pieņemti tikai elektroniski parakstīti.
Drošības pētnieki noraizējušies par jaunākajiem Google augstākā līmeņa domēniem - .zip un .mov
Maija sākumā Google publicēja 8 jaunus augstākā līmeņa domēnus (top-level domains) – paplašinājumus, kas vietnes adresē seko aiz pēdējā punkta līdzīgi kā .com vai .lv. Divi no šiem jaunajiem domēniem - .zip un .mov – ir raisījuši nopietnas bažas kiberdrošības ekspertu aprindās. Tiek prognozēts, ka jaunie domēni tiks plaši izmantoti dažādās jaunās pikšķerēšanas kampaņās, un padarīs tās grūtāk atpazīstamas gala lietotājiem, jo minētie domēni sakrīt arī ar visiem zināmajiem failu paplašinājumiem.
Vairāk: https://www.wired.com/story/google-zip-mov-domains-phishing-risks/
Ļaunatūra un ievainojamības
Rēķina vietā ļaunatūra
Maijā kāda valsts iestāde un arī kāds privātā sektora uzņēmums ziņoja par saņemtu e-pastu no kādas Latvijā bāzētas loģistikas kompānijas par it kā neapmaksātu rēķinu. CERT.LV ekspertiem pārbaudot e-pastu, tika secināts, ka tā pielikumā patiesībā pievienots Woreflint trojānis, kas paredzēts sensitīvas informācijas zagšanai un citu ļaunatūru lejupielādei. Arī sūtītāja e-pasta adrese bija viltota un tā nepiederēja īstajai loģistikas kompānijai. Pateicoties pamatotām aizdomām un saziņai ar CERT.LV, neviens no saņēmējiem uzbrukumā necieta.
Microsoft publicē atjauninājumus, kas novērš 40 ievainojamības
Ikmēneša atjauninājumu otrdienā (Patch Tuesday) Microsoft publicēja atjauninājumu pakotni, kas novērsa vismaz 40 ievainojamības. No tām divas bija jaunatklātas "nulles-dienas" jeb zero-day ievainojamības, bet virkne citu ievainojamību sniedza uzbrucējiem iespēju veikt attālināto koda izpildi (RCE) ievainojamajā sistēmā. CERT.LV aicināja nekavēties ar atjauninājumu uzstādīšanu.
Vairāk: https://cert.lv/lv/2023/05/microsoft-publice-atjauninajumus-kas-novers-40-ievainojamibas
Bankas SEB vārdā tiek izplatīta ļaunatūra
Maija izskaņā tika saņemti vairāki ziņojumi par ļaundabīgiem e-pastiem, kas šķietami sūtīti SEB bankas vārdā. E-pasta tēmā bija norādīts – “Paziņojums Par ienākošo Bankas Maksājumu”, un tālāk tekstā apgalvots, ka kāds no lietotāja paziņu / klientu loka pieteicis bankai nosūtīt lietotājam šo ziņu. Tālāk lietotājs tiek aicināts papildu informāciju lasīt pielikumā pievienotajā “maksājuma dokumentā”, kas patiesībā saturēja ļaunatūru. Pielikumā pievienotais vīruss bija paredzēts sensitīvas informācijas zagšanai no upura iekārtas.
Android lietotnes, kas lejupielādētas vairāk nekā 421 miljonu reižu, saturējušas ļaunatūru
Kiberdrošības pētnieki atklājuši jaunu Android ļaunatūru, kas izplatīta kā reklāmas SDK (Software Development Kit), un kuras klātbūtne konstatēta vairākās lietotnēs. Daudzas no šīm lietotnēm iepriekš bijušas pieejamas Google Play veikalā.
Drošības pētnieki brīdina, ka šī ļaunatūra var nozagt lietotāju ierīcēs saglabātos privātos datus un nosūtīt tos uz kontrolserveri. Ļaunatūra atrasta vismaz 101 lietotnē, kas visas kopā lejupielādētas Google Play pakalpojumā 421 290 300 reižu. Populārāko lietotņu vidū bija: Noizz, Zapya, VFly, MVBit, Biugo, Crazy Drop, Cashzine, Fizzo Novel, CashEM, Tick u.c.
Ievainojamība populārā WordPress spraudnī apdraud vismaz 1 miljonu mājaslapu visā pasaulē
WordPress, atvērtā pirmkoda platforma, ko izmanto vietņu izveidei un pārvaldībai, ir ziņojusi par kritisku ievainojamību spraudnī Essential Addons for Elementor versijās līdz pat 5.7.1. Šī ievainojamība (CVE-2023-32243) ir novērtēta ar 9,8 CVSS skalā, un tā sniedz iespēju uzbrucējam veikt neautentificētu patvaļīgu paroles atiestatīšanu administratora panelī. Tas nozīmē, ka uzbrucēji, kuriem nav vajadzīgās pieejas, var atiestatīt administratora paroli vietnē, kurā tiek izmantots šis spraudnis. Ļaundariem ir nepieciešama tikai e-pasta adrese un lietotājvārds, kas saistīts ar mērķa kontu.
Sākot ar Essential Addons for Elementor versiju 5.7.2, augstāk minētā ievainojamība ir labota.
Pakalpojuma pieejamība
Turpinās DDoS uzbrukumi
Krievijas agresīvo politiku atbalstošo haktīvistu aktivitātes turpinājās arī maijā. DDoS uzbrukumus piedzīvoja gan finanšu un transporta nozare, gan virkne valsts iestāžu resursu, to vidū arī Ārlietu ministrija, Valsts ieņēmumu dienests, Latvijas dzelzceļš un citi. Uzbrukumi sadarbībā ar LVRTC un SIA Tet tika veiksmīgi atvairīti un neradīja būtiskus traucējumus sistēmu pieejamībai.
Pastiprinātus DDoS uzbrukumus 31.maijā pēc jaunā Latvijas Valsts prezidenta Edgara Rinkēviča ievēlēšanas amatā piedzīvoja arī Saeimas resursi. Haktīvisti savos uzturētajos Telegram kanālos aicināja savus sekotājus jauno prezidentu “apsveikt” kā pienākas jeb ar DDoS uzbrukumu Saeimas mājaslapai. Uzbrukums bija neveiksmīgs un mājaslapas darbība netika traucēta.
Ielaušanās un datu noplūde
Būtiski incidenti netika reģistrēti.
Lietu internets
Būtiski incidenti netika reģistrēti.