Asociația Română pentru Asigurarea Securității Informației (ARASEC), cu sprijinul Ambasadei Statelor Unite în România, lansează cursul "Analiza atacurilor cibernetice împotriva instituțiilor financiare", pe data de 19 noiembrie 2020, ora 17:00 (ora locală în București). Cursul este dezvoltat în cadrul proiectului "Îmbunătățirea capacității cibernetice a României pentru prevenirea și combaterea fenomenului criminalității cibernetice", finanțat parțial printr-un grant de la Departamentul de Stat al S.U.A. și promovat de Poliția Română, Institutul Națonal al Magistraturii și Academia de Poliție “Al. I. Cuza”.

Obiectivul cursului “Analiza atacurilor cibernetice împotriva instituțiilor financiare” este de a conștientiza noile tipuri de atacuri cibernetice împotriva instituțiilor financiare și de a îmbunătăți cunoștințele reprezentanților forțelor de ordine cu privire la metodele de investigare a acestor cazuri.

Cursul se va desfășura online prin platforma Microsoft Teams.
Acest curs se adresează personalului din forțele de ordine, sistemul judiciar și mediul academic.
Participanții la acest curs vor obține un Certificat de participare eliberat de Asociația Română pentru Asigurarea Securității Informației (ARASEC).

Pentru mai multe detalii accesați rezumatul și programa cursului.

Jumătate dintre utilizatorii de computere spun că au fost victima unei forme sau alta de infracțiune cibernetică, potrivit unui raport în materie de securitate cibernetică realizat de NordLocker.

Infracțiunile cibernetice nu au limită și, cu toate că campaniile de conștientizare cu privire la spațiul cibernetic s-au înmulțit în ultimele luni, atacurile care vizează utilizatorii de internet au crescut, atât numeric, cât și din punct de vedere al sofisticării. Persoanele rău-intenționate nu apelează doar la îngrijorările create de pandemia de coronavirus pentru a-și umple buzunarele, folosind fiecare metodă pe care o cunosc pentru a face o nouă victimă.

În luna aprilie, compania a efectuat un sondaj la care au participat 1.400 de utilizatori de internet din SUA și Regatul Unit, iar rezultatele au arătat că 50% dintre participanți au fost victimele activităților periculoase din spațiul cibernetic.

În rândul britanicilor, procentul este de 55%, pe când, în cazul americanilor, 67% au recunoscut că au identificat activități periculoase în spațiul cibernetic în timp ce utilizau dispozitive cu conexiune la internet. Virușii, tentativele de phishing și furtul de parole s-au numărat printre cele mai comune incidente din spațiul cibernetic pe care le-au menționat utilizatorii.

• 33% dintre participanții din Regatul Unit comparativ cu 46% dintre participanții din SUA s-au confruntat cu atacuri malware;
• 20% dintre participanții din Regatul Unit comparativ cu 32% dintre participanții din SUA au fost victimele unei înșelătorii prin e-mail;
• 14% dintre participanții din Regatul Unit comparativ cu 23% dintre participanții din SUA spun că le-au fost furate parolele.

În plus, aproximativ 8% dintre utilizatorii din Regatul Unit și SUA au fost victimele unui atac ransomware și li s-a cerut o recompensă pentru a recăpăta accesul la documentele și fișierele lor.

Raportul a mai indicat și câteva aspecte interesante despre părerea publicului larg cu privire la expunerea datelor personale în mediul online. Majoritatea utilizatorilor compară expunerea datelor cu pierderea unui portofel sau a unor documente personale sau cu pătrunderea unui infractor în locuința lor.

„Peste 75% dintre utilizatori au spus că pierderea unui dispozitiv sau aflarea veștii că cineva are acces la computerul lor personal este extrem de îngrijorătoare”, au spus cercetătorii. „76% dintre utilizatorii britanici ar fi extrem de îngrijorați dacă li s-ar fura parola de la email, considerând că ar fi mai rău decât dacă și-ar pierde locul de muncă. În SUA, 72% dintre participanți ar fi îngrijorați — aceștia au spus că ar fi mai rău decât o boală, dar nu la fel de rău ca pierderea locului de muncă.”

La ce țin utilizatorii cel mai mult? Utilizatorii din ambele țări țin la dosarele medicale, registrele fiscale, fotografiile personale și fișierele al căror conținut este legat de muncă, toate acestea fiind informații cu caracter personal care sunt, de obicei, stocate pe computerele utilizatorilor. Cu toate acestea, dispozitivele respective sunt de multe ori folosite și de soți (în jur de 40%), copii (20%), părinți (6%) și colegi de muncă (3%).

În perioada restricțiilor determinate de răspândirea pandemiei COVID-19, la nivel mondial a crescut numărul persoanelor care lucrează de la distanță, pentru compania sau instituția unde sunt angajate. În acest scop, utilizatorii folosesc adesea conexiuni Remote Desktop, care permit conectarea la distanță.

Numărul de atacuri de tip brute-force care vizează aceste conexiuni a crescut, deoarece atacatorii văd situația specială în care ne aflăm ca pe o oportunitate de a lansa diferite forme de atacuri. Principala atracție pentru infractorii cibernetici sunt datele confidențiale ale companiei, de pe urma cărora încearcă să obțină foloase financiare.

Sesiunile RDP funcționează pe un canal criptat, împiedicând pe oricine să vadă sesiunea dvs. Cu toate acestea, există o vulnerabilitate în metoda folosită pentru criptarea sesiunilor, în versiunile anterioare ale RDP. Această vulnerabilitate poate permite accesul neautorizat la sesiunea dvs., folosind un atac de tipul  man-in-the-middle.

Odată ce compromit conexiunile Remote Desktop, atacatorii pot să distribuie malware, să fure date sau să se deplaseze lateral într-o rețea, pentru recunoaștere și atacuri ulterioare. În ultimele săptămâni, CERT-RO a fost sesizat de o serie de companii și instituții din România cu privire la acest gen de atacuri (ransomware), care le-au produs prejudicii de ordin financiar.

Pentru a evita producerea unor asemenea incidente, administratorii de rețea ar trebui să țină seama de o serie de recomandări de securitate, astfel:

• Actualizarea software-ului;
• Schimbarea portului de ascultare implicit (3389). RDP foloseste ca port implicit 3389. Modificarea portului de ascultare va ajuta la ascunderea conexiunii de la distanță de atacatorii care scanează rețeaua pentru stații care ascultă portul implicit Desktop Remote (TCP 3389);
• Folosirea unor parole puternice;
• Restricționarea accesului prin firewall;
• Activarea NLA (Network Level Authentication);
• Limitarea numărului de utilizatori care se pot conecta via RDP;
• Stabilirea unei politici clare de blocare a contului (în cazul multiplelor eșuări în procesul de conectare).

În luna aprilie a anului în curs a fost identificată o campanie de atacuri cibernetice a unei grupări de criminalitate cibernetică care utilizează troianul bancar Qbot (QakBot, Plinkslipbot, QuakBot). În diferitele variante identificate, troianul vizează preponderent clienții organizațiilor din domeniul financiar-bancar din SUA, România, Canada și Grecia. Într-o măsură mai redusă, Qbot a vizat și clienți ai organizațiilor din domeniul tehnologic, comercial și al telecomunicațiilor.

În România, campania a vizat clienții unor platforme care utilizează servicii de internet banking prin browser (Chrome, FireFox, Microsoft Edge) și nu prin aplicații dedicate.

Prin transmiterea unor e-mail-uri capcană (spear-phishing), Qbot este programat să sustragă credențiale de acces pentru platforme specifice companiilor financiar-bancare și serviciilor de e-mail și date financiare.

Aceste mesaje pot avea fie un link în conținut, fie un atașament. Atașamentul este un fișier de tip zip, care conține un document MS Word ce rulează un macro prin care se descarcă troianul și se realizează infectarea dispozitivului. Odată instalat, Qbot verifică existența unui anti-virus, își asigură persistența în sistem și utilizează certificate de securitate valide pentru a evita detecția. Ulterior, troianul extrage credențiale de acces și date finanaciare de pe dispozitivul infectat. De asemenea, Qbot are capabilități prin care pot fi infectate și alte dispozitive dintr-o rețea cu un dispozitiv deja compromis.

Pentru a diminua riscul de infectare cu troianul bancar Qbot, recomandăm:

• utilizarea de soluții anti-virus și actualizarea constantă a semnăturilor acestora;
• evitarea deschiderii atașamentelor sub formă de arhivă dacă proveniența acestora este incertă și dacă nu au fost verificate în prealabil cu soluții de detecție anti-virus;
• evitarea deschiderii atașamentelor sau link-urilor din cadrul mesajelor e-mail suspecte;
• actualizarea sistemului de operare și evitarea utilizării sistemelor de operare care nu mai primesc suport din partea producătorului;
• notificarea băncii atunci când observați tranzacții bancare care nu vă aparțin;
• dezactivarea executării automate a unor rutine din MS Office (macro-uri);
• evitarea executării manuale a macro-urilor.

Tentativele de păcăleală prin scam-uri de tip sextortion își fac din nou apariția în e-mail-urile utilizatorilor.

Echipa CERT-RO a primit în ultimele zile multiple plângeri legate de e-mail-uri în care țintele vizate erau anunțate despre faptul că ar fi vizitat site-uri cu conținut pornografic, s-au infectat cu malware, iar acum atacatorii au control total asupra dispozitivelor și a conturilor.

Desigur, sunt amenințați totodată că au fost filmați cu camera web în ipostaze intime, iar clipul urmează a fi trimis către toate contactele din agenda corespondentă adresei de e-mail. Astfel, atacatorii cer o sumă de aproximativ 1000 de euro, plătibili în cirptomonedă, într-un termen de 48 de ore.

Atacatorii ascund identitatea reală a destinatarului, făcând să pară că mesajul vine chiar de pe adresa lui de e-mail, pentru a demonstra existența accesului neautorizat la cont. Prin această metodă se caută panicarea posibilei victime și validarea veridicității informațiilor care urmează.

Practic, atacatorii transmit astfel de mesaje automat, la un număr mare de adrese, așteptând ca unii dintre destinatari să cadă în plasă. În realitate, nimic din ceea ce atacatorii amenință că se va întâmpla nu este valabil. Se mizează exclusiv pe faptul că utilizatorul se va speria și va plăti de rușine, fără a cere o altă opinie din partea unei persoane avizate. Ca bonus, atacatorii oferă și o explicație plauzibilă pentru faptul că o eventuală soluție antivirus nu a identificat infecția.

Evitați sponsorizarea involuntară a criminalității cibernetice! Pentru a monetiza pe seama efortului depus, atacatorii nu au nevoie să convingă fiecare utilizator, ci doar un mic procent. Verificați sursa mesajului primit, de fiecare dată când vi se pare ceva suspect legat de informațiile receptate și totodată acordați o atenție sporită corectitudinii textului din mail.

Atacatorii devin din ce în ce mai sofisticați în crearea unor astfel de texte în limba nativă a utilizatorilor vizați, însă tot apar greșeli de tehnoredactare, așa cum putem observa și din mostra de e-mail publicată – lipsa unor diacritice, greșeli de sintaxă și o exprimare nenaturală (ex: ‘Am o notificare care citește această scrisoare’)

În cazul în care ați efectuat o astfel de plată și acum realizați că totul a fost o păcăleală, vă recomandăm să notificați deopotrivă CERT-RO la alerts@cert.ro și Politia Română (pentru a depune o plângere).

În urma unei investigații derulate de specialiști în securitate cibernetică din cadrul CERT-RO, Cyberint și Bitdefender, s-a constatat că amenințările responsabile de atacurile cibernetice recente  asupra unor spitale din România sunt Maoloa și Phobos.

Despre Maoloa

Maoloa este o familie de malware relative nouă în peisajul amenințărilor informatice. Apărut în februarie 2019, Maoloa e inspirat dintr-o familie de ransomware numită GlobeImposter, cu care împărtășește numeroase caracteristici comune.

Maoloa se răspândește prin e-mailuri cu atașamente infectate, precum și prin accesarea de către hackeri a instanțelor neprotejate de Remote Desktop Protocol (un serviciu de asistență de la distanță). Odată pronită infecția, Maoloa criptează fișiere create cu suita Office, OpenOffice, documente PDF, fișiere text, baze de date și fișiere multimedia.

Despre Phobos

Ransomware-ul Phobos e una din multele variante ale prolificei familii Crysys. Phobos se răspândește cu precădere prin infecții manuale pe care hackerii le inițiază după pătrunderea în organizație prin instanțe expuse ale Remote Desktop Protocol.După criptarea documentelor, victimei i se solicită să trimită un mesaj la o adresă de e-mail anonimă pentru stabilirea prețului de decriptare, preț care variază în funcție de profilul companiei și cifra de afaceri estimată.

CERT-RO, Cyberint și Bitdefender, precum și instituțiile cu competențe în domeniul securității cibernetice sfătuiesc utilizatorii infectați să nu plătească atacatorilor taxele de decriptare solicitate, ci să creeze copii ale datelor compromise și să se adreseze organelor de poliție. Odată ce plătesc recompensa, victimele nu au nicio garanție că infractorii își vor onora promisiunea și le vor reda accesul la date și, în plus, ar putea fi țintite din nou de aceeași grupare, întrucât au deja un istoric de bun platnici. Nu în ultimul rând, încasările îi vor ajuta pe atacatori să dezvolte amenințări informatice din ce în ce mai sofisticate, ceea ce va duce pe termen lung la și mai multe victime infectate.

Pentru a preveni infectarea cu ransomware, utilizatorilor li se recomandă să păstreze copii ale datelor importante, să folosească o soluție de securitate performantă și să evite să acceseze linkuri sau fișiere din email-uri nesolicitate.

Din notificările primite, CERT-RO a identificat o creștere semnificativă a atacurilor cu aplicații malițioase de tip ransomware la nivel național în ultima perioadă, observându-se că, pe lângă utilizatorii casnici, atacatorii și-au îndreptat atenția în special către instituții din domeniul sănătății, numărul entităților afectate fiind în creștere.

CERT-RO atrage atenția, atât utilizatorilor cât și personalului care se ocupa de serviciile IT, asupra următoarelor măsuri imediate ce pot fi luate pentru a preveni infectarea cu aceste tipuri de aplicații malițioase:

• nu deschideți fișierele primite prin e-mail decât în situația în care cunoașteți expeditorul iar în cazul unei suspiciuni adresați-vă personalului de specialitate;
• evitați accesarea ”ofertelor ” irezistibile din mediul online, indiferent de forma prin care le primiți (email, whatsapp, messenger, facebook etc.);
• asigurați-vă că aveți un backup al fișierelor pe un dispozitiv care nu este conectat la rețea;
• asigurați-vă că dispozitivele pe care le utilizați atunci când navigați online sunt updatate și au instalate soluții de securitate (firewall, antivirus, antimalware etc.);
• apelați numărul unic 1911 pentru raportarea acestor incidente;
• accesați ghidurile puse la dispozție pe site-ul CERT-RO.

În ultimele luni, utilizatori din România sunt vizați de diverse campanii de phishing prin intermediul apelurilor telefonice.

Acest tip de atac poartă denumirea de vishing (voice + phishing = vishing), iar metodele utilizate de către atacatori sunt inspirate din tehnici de inginerie socială (social engineering).

Descriere

Atacul debutează cu un apel telefonic. În cadrul acestuia, atacatorul pretinde că reprezintă o anumită companie sau autoritate. Pentru a da veridicitate apelului, atacatorii folosesc date despre victimă care sunt de obicei disponibile online (nume, prenume, adresă de e-mail etc.).

În momentul în care posibila victimă crede că acel apel este legitim, șansele de a oferi telefonic date sensibile (personale sau bancare) cresc exponențial. Totodată,  atacatorii pot profita de credulitatea victimelor, pentru a îi convinge să instaleze software malițios sau aplicații de control la distanță (remote desktop), pe dispozitivele utilizate.

Metode de vishing

Scopul acestor apeluri diferă, în funcție de tipul vishing-ului:

• Frauda cu apeluri pierdute

Un utilizator găsește un apel pierdut de la un număr de telefon din afara țării. În momentul în care încearcă să contacteze înapoi acel număr, pentru a înțelege scopul apelului, victima sună de obicei la un număr de telefon cu suprataxă. Mai departe, scopul atacatorilor este să mențină apelul activ un timp cât mai îndelungat.

• Frauda ‘cont bancar blocat’

Utilizatorii nu trebuie să fie vigilenți doar în privința apelurilor pierdute. O altă metodă utilizată de infractorii cibernetici presupune apelarea directă a posibilei victime.

Folosindu-se de o înregistrate automată, realizată de obicei prin intermediul unei aplicații de tipul text-to-speech, atacatorii pun în aplicare un scenariu automatizat, în care victimei i se cer date personale sau bancare.

Spre exemplu, interlocutorii pot spune că sună din partea băncii al cărei client sunteți, pentru a vă notifica despre blocarea contului dvs. Pentru deblocare vi se recomandă să apelați un alt număr.

Este foarte probabil ca numărul apelat ulterior să fie unul cu suprataxă. Astfel, pe lângă culegerea de date personale și financiare, scopul atacatorilor este ca să țină victima un timp cât mai îndelungat la telefon. Mai târziu, la sosirea facturii telefonice, utilizatorii realizează că au fost păgubiți.

• Apelurile false de suport

O altă metodă prin care atacatorii încearcă să obțină date sau bani de la posibile victime sunt apelurile care simulează contactarea pentru suport tehnic.

Concret, posibila victimă este apelată de un atacator care pretinde că sună din partea unori companii cunoscute, cum ar fi Microsoft sau IBM. Utilizatorul este notificat despre faptul că dispozitivul utilizat a fost compromis.

După solicitarea unor date despre sistemul de operare utilizat, apelantul oferă instrucțiuni pentru accesarea aplicației Windows Event Viewer. Ca și în cazurile expuse anterior, scopul este disiparea oricăror suspiciuni legate de legitimitatea apelului.

Imediat, așa-zisul reprezentant Microsoft avertizează victima despre existența unor alerte generate de sistemul de operare. În realitate, aceste alerte sunt o serie de mesaje de eroare inofensive, generate de către sistem într-un regim normal de funcționare.

Pasul următor presupune convingerea utilizatorului că acele erori apar în urma unei posibile compromiteri a dispozitivului cu malware. Pentru remedierea problemei, acestuia i se cere să instaleze o aplicație care permite controlul de la distanță (Remote Access Tool). Prin instalarea acestui software, utilizatorilor li se promite rezolvarea problemei de securitate.

Mai departe, atacatorii pot cere o anumită sumă de bani de la victime, pentru serviciul abia prestat și totodată pot extrage de pe dispozitiv informații private, parole, date personale și/sau bancare.

Modele de numere de telefon raportate până în prezent la CERT-RO sunt: +212662004621, +40201272539, 02162094975 sau 02191873368, 90402100236098, 90402115760299, 90402147789383, 9040201272539, 90402144983743, 0017743771248. Sigur, este posibil ca aceste numere de telefon să fie generate aleatoriu, prin intermediul unei aplicații de tipul fake-a-call.

Astfel de servicii care permit efectuarea  unor apeluri telefonice cu afișarea unui număr diferit pe telefonul celeilalte persoane, încă există pe internet. După cum se poate observa, atacatorii aleg de regulă numere care par familiare pentru utilizatori. Prefixul (021) este unul extrem de utilizat în România.

Remediere

Cum ne putem proteja în cazul unor astfel de apeluri?

• Fiți vigilenți cu privire la apelurile pierdute venite din afara țării. Dacă ați observat un apel pierdut din Mali sau Guineea (spre exemplu), gândiți-vă dacă aveți cunoscuți în zonă care v-ar putea apela.
• Totodată, așa cum am observat anterior, astfel de apeluri de vishing pot fi mascate ca apeluri legitime, cu numere de telefon familiare. Manifestați prudență la apelurile telefonice primite de la necunoscuți. Cereți numele apelantului și spuneți-i că veți reveni cu un apel cât de curând.
• Ulterior, verificați identitatea acestuia cu organizația din partea căruia a specificat că vă apelează.
• Rețineți că autorii unor astfel de atacuri pot găsi online informații despre dvs., mai ales de pe rețelele de socializare. Nu investiți încrederea în orice apelant, doar pentru că acesta are anumite informații veridice despre dvs.
• Nu transmiteți date financiare, parole sau coduri de acces prin intermediul apelurilor telefonice. Banca niciodată nu va solicita informații sensibile în acest mod.
• Nu transferați bani către necunoscuți, dacă vi se solicită acest lucru.
• Verificați mereu cu banca orice solicitare de informații suspectă.
• Dacă nu mai doriți să fiți agasați de astfel de apeluri pe dispozitivele dvs. mobile, puteți bloca orice număr de telefon din meniul telefonului. Acțiunea este posibilă deopotrivă de pe Android și iOS. Totodată, dacă faceți acest lucru, trebuie să luați în considerare faptul că acele identitatea afișată a acelor numere poate fi falsă (fake-a-call) sau poate fi vorba despre numere închiriate de către atacatori pe o perioadă determinată.
• Indiferent cât de gravă sau șocantă poate părea situația prezentată de apelant(accident al unui cunoscut, furt, calamitate naturală, urgență a băncii etc.), nu reacționați la primul impuls. Liniștiți-vă, sunați mai întâi pentru a verifica veridicitatea situației. Țineți cont de faptul că atacatorii mizează în primul rând pe reacția dvs. emoțională și pe faptul că nu aveți când să verificați cele comunicate de ei, atât timp cât vă țin de vorbă.
• Luați în calcul că scenariul atacatorilor se poate modifica, dar principiul rămâne același – sunteți mințiți cu dibăcie pentru ca infractorii să obțină de la dvs. date personale și/sau financiare. Nu dați credit apelurilor cu caracter urgent din partea persoanelor necunoscute.

Cum procedăm în cazul în care am căzut în capcană?

• În cazul în care v-ați dat seama că ați devenit victima unui astfel de atac, notați orice date vă amintiți din apelul respectiv: numărul sau numerele de telefon cu care ați luat contact în cadrul acestei scheme de vishing, data și durata apelului, ce date ați furnizat, ce software vi s-a sugerat să instalați, orice date furnizate de atacator și mai ales ce acțiuni ați făcut, la cererea interlocutorului.
• Ulterior, mergeți la cea mai apropiată secție de poliție pentru a depune o plângere și specificați aceste detalii. Sesizați poliția la orice încercare de fraudă, chiar dacă nu ați devenit victima acesteia.
• În cazul în care ați oferit detalii legate de contul dvs., internet banking sau date de card, contactați cât mai curând banca pentru a bloca orice tranzacție suspectă. Rapiditatea cu care faceți acest pas este esențială.
• Atenție la tentativele viitoare! Dacă ai fost victima unei fraude, foarte probabil autorii te vor ținti din nou sau iți vor vinde datele altor infractori.
• Notificați echipa CERT-RO via e-mail (alerts@cert.ro) sau prin intermediul site-ului cert.ro.

În cadrul Lunii Europene a Securității Cibernetice 2018, Europol, European Banking Forum și Poliția Română a pus la dispoziția utilizatorilor un pliant cu informații esențiale și sfaturi de luat în considerare în cazul celor mai întâlnite tentative de fraudă din online.