„Szorty” – czyli krótko o bezpieczeństwie (9)
Dzień dobry w Szortach! Czyli krótkim newsowym przewodniku po cyberbezpieczeństwie. Ten tydzień kończymy atakiem na konta Brytyjczyków, wyciekiem wszechczasów oraz opisem ciekawego ataku na Twitterowe konta. Zapraszam!
Elon Musk wstąpił do Brytyjskiej Armii i wychwala kryptowalutę
Znacie taki scam, gdzie na YouTube jesteście namawiani na inwestycje, przynoszące olbrzymie zyski? W tle leci konferencja ze znanymi ludźmi, co chwilę ktoś pisze w komentarzach, że faktycznie zainwestował 900 dolarów, a po kilku minutach ma ich już 14 tysięcy?
Tym razem do promowania tego typu oszustw zostały wykorzystane… oficjalne konta Brytyjskiej Armii! Jak to możliwe? Konta te zmieniły swoje nazwy, zdjęcia profilowe oraz zaczęły emitować przekaz „na żywo” z konferencją promującą krypto inwestycje w rzekomą giełdę Elona Muska. W skrócie – konta zostały przejęte przez oszustów. „Zdajemy sobie sprawę z naruszenia kont wojskowych na Twitterze i YouTube, a dochodzenie jest w toku” – poinformowało na Twitterze Biuro Prasowe Ministerstwa Obrony. „Armia bardzo poważnie traktuje bezpieczeństwo informacji i rozwiązuje ten problem”. Co gorsza, dla osób obsługujących te profile, skasowane zostały niestety również wszystkie filmy umieszczone do tego czasu.
Dla ścisłości przypominamy: Elon Musk nie posiada żadnej krypto platformy do pomnażania pieniędzy, podobnie jak Orlen nie posiada platformy inwestycyjnej tylko dla wybranych, którzy klikną w link, a Maciej Musiał nie przestraszył wielkich banków.
No chyba, że wiecie coś więcej niż my…
Wyciek liczony w miliardach?
W sieci znaleziono ofertę sprzedaży danych… miliarda (!) obywateli Chin. Jeżeli okazałoby się to prawdą, byłby to największy wyciek danych z jakimi mieliśmy do czynienia. W tych kilku bazach danych, ważących łącznie 23 terabajty, według zapewnień sprzedającego możemy znaleźć imiona, nazwiska, miejsce urodzenia, numery dowodów osobistych, numery telefonów oraz kartoteki kryminalne obywateli Chińskiej Republiki Ludowej. Yi Fu-Xiana, chiński naukowiec współpracując z amerykańskim Uniwersytetem Wisconsin-Madison, po przeanalizowaniu próbki potwierdził, że dane w nich zawarte pokrywają się z opisem oferty. Do tej pory Narodowa Policja w Szanghaju, do której rzekomo należą te dane, nie potwierdziła prawdziwości tych doniesień. Cena za dane miliarda Chińczyków? 10 Bitcoinów. Przy obecnie szorujących po glebie cenach kryptowalut to wyjątkowa promocja, zaledwie ok. miliona złotych…
Zawieszamy Twoje konto! Chyba, że podasz nam swoje hasło. Pozdrawiamy, (nie)Twitter
Twitter w dzisiejszych czasach stał się platformą społecznościową, z której bardzo chętnie korzystają politycy, komentatorzy życia, osoby znane, często wpływowe, decyzyjne. Nie budzi zdziwienia fakt, że jest również łakomym kąskiem dla cyberprzestępców. Niejeden raz mieliśmy do czynienia ze sphishingowanymi stronami, bliźniaczo podobnymi do stron logowania się na ten portal, ale tym razem przestępcy poszli o krok dalej.
Zaczyna się od wiadomości o rzekomym zawieszeniu Twojego konta za… szerzenie mowy nienawiści. W treści znajdziemy skrótowiec, w który należy kliknąć i zalogować się – w przeciwnym konto zostanie zawieszone w ciągu 48 godzin. Co ciekawe, strona phishingowa jest powiązana z API Twittera, więc nieprawidłowe dane = komunikat o błędnym logowaniu! A prawidłowe trafiają do rąk przestępców, którzy od razu przejmują konta ofiar.
Wiadomości o zawieszeniu konta są wysyłane ze zweryfikowanych profili – najprawdopodobniej przejętych w wyniku podobnego phishingu. Jedynie ta domena wykorzystywana przez przestępców (https://twitter-safeguard-protection[.]info/appeal/) różni się od tej prawdziwej. Zalecamy rozwagę w podobnych przypadkach.
„Zapłacimy ci, jeśli nas zhakujesz” – Pentagon
Na koniec Szortów – szansa na zysk. Zostało jeszcze kilka dni, by wziąć udział w programie Bug Bounty, uruchomionym przez Departament Obrony Stanów Zjednoczonych. Pentagon stworzył program polegający na odnajdywaniu podatności oraz luk w zabezpieczeniach systemów tej „korporacji”. Dla osób zaangażowanych w przedsięwzięcie, przewidziano nagrody pieniężne. Życzymy powodzenia!
Źródło: https://www.theregister.com/2022/07/05/dod-hackus-bug-bounty/
Dobrego weekendu,
Marek Olszewski
