Tym razem o phishingu doniosła gazeta.pl. Mechanizm klasyczny. Masowo rozsyłane wiadomości z linkiem na stronę i prośbą o podanie numeru karty kredytowej. Strona oczywiście spreparowana tak, żeby przypominała bankową, tylko umieszczona pod dziwnym adresem www. Więcej na ten temat tutaj.

Po raz kolejny warto podkreślić, że banki nigdy nie wysyłają wiadomości e-mail z tego typu prośbami. Korzystając z bankowości internetowej nie wolno klikać w linki, wysyłać e-maili z numerami PIN, czy kart itp. W ten sposób sami podajemy złodziejowi nasze pieniądze na tacy! To tak jakbyśmy znaleźli w naszej tradycyjnej skrzynce pocztowej list od ubezpieczyciela z informacją, że weryfikuje zabezpieczenia naszego mieszkania i prosi o wywieszenie kluczy do niego obok drzwi! Do komunikacji z bankiem służą tylko i wyłącznie oficjalne kanały dostępu. Najbezpieczniej jest samemu wpisać adres w przeglądarce a potem upewnić się, czy elektroniczne certyfikaty używane w połączeniu szyfrowanym są wystawione faktycznie dla naszego banku.

Mechanizm ataku jest prosty i znany już z poprzednich przypadków. Przestępcy masowo rozsyłają wiadomości z zainfekowanym załącznikiem pdf. Po jego otwarciu w programie Adobe Reader następuje wykonanie złośliwego kodu i zarażenie komputera.

Na atak narażeni są wszyscy użytkownicy programu Adobe Reader w systemie Windows XP i Mac OS X. Więcej o zagrożeniu można poczytać na stronie Security Focus.

Producent oprogramowania zapowiada wydanie aktualizacji łatającej tą lukę na 13-10-2009. Po jej pojawieniu należy ją niezwłocznie zainstalować. Do tego czasu użytkownicy korzystający z tego oprogramowania powinni szczególnie uważać i powstrzymać się od otwierania plików pdf z nieznanych źródeł.

To już nie pierwszy raz, kiedy zostaje wykryta poważna luka w czytniku Adobe. Może najwyższy czas, żeby zastanowić się na zmianę na jeden z alternatywnych programów. Lista polecanych przez nas znajduje się tutaj.

Działa w bardzo wyrafinowany sposób. Czeka aż użytkownik zaloguje się na stronę banku. Najpierw zczytuje stan konta i dopiero potem dokonuje przelewu. Nigdy nie zabiera wszystkich środków. Cała operacja jest wykonywana bez wiedzy i informowania użytkownika (bez komunikatów o wykonanym przelewie). Następnie podstawia fałszywe dane, tak, żeby użytkownik nie zorientował się o kradzieży.

Jego obecna wersja jest przystosowana do ataku na jeden z niemieckich e-banków, ale w każdej chwili może się pojawić mutacja “obsługująca” polskie czy inne banki.

URLzone rozprzestrzenia się poprzez zainfekowane strony (naliczono ich ponad kilkaset). Wykorzystuje znane, wykryte i załatane dziury w przeglądarkach internetowych. Dlatego niezwykle ważne jest, aby używać najnowszej dostępnej przeglądarki (IE8, FF3,5) ze wszystkimi aktualizacjami!

Exploit już został opracowany i zanotowano pierwsze ataki z jego wykorzystaniem. Atak przeprowadzany jest z wykorzystaniem odpowiednio spreparowanego pliku ppt, luka nie dotyczy plików pptx. W związku z tym do czasu wydania i zainstalowania odpowiedniej poprawki zalecamy zdecydowaną ostrożność przy otwieraniu prezentacji PowerPoint (w szczególności tych wysyłanych drogą elektroniczną w różnych “łańcuszkach”).

Wiadomość publikujemy za vortalem dobreprogramy.pl.

Na nasza-klasa.pl zostało założonych około 20 specjalnych kont użytkowników, z których wysyłano wiadomości o treści: “Cześć, wydaje mi się, że chyba mam twoje stare zdjęcie. Czy to ty?” lub innych proponujących testy IQ, informujących o wykorzystaniu zdjęć danego użytkownika przez kogoś innego.

Poniżej przykładowe wiadomości:

W treści wiadomości pojawiał się najczęściej link do jakiejś, spreparowanej wcześniej strony, umieszczonej w popularnych, niewzbudzających podejrzeń portalach. Gdy użytkownik próbował sprawdzić co kryje się pod danym linkiem i np. obejrzeć swoje rzekome zdjęcie na jego komputerze instalował się złośliwy rootkit. Program przejmuje kontrolę nad naszym komputerem, przechwytuje nasze hasła, numery kart kredytowych, kody dostępów itp.

Mamy tutaj klasyczny przykład phishing-u. Jak zawsze, najlepszą metodą obrony jest nie odwiedzanie zainfekowanych stron.

W Białymstoku Policja wytropiła miejsce, z którego rozsyłano złośliwe oprogramowanie, ale jak widać, ataki nie ustały. W weekend wiadomości były rozsyłane nadal.

Niestety jedyną metodą pozbycia się złośliwej aplikacji jest przeinstalowanie systemu operacyjnego.

Sama wiadomość wygląda następująco:

Pod żadnym pozorem nie wolno postępować wg instrukcji zawartych w wiadomości. Najlepiej ją od razu usunąć.

Proszę pamiętać, że Microsoft nie dystrybuuje informacji o aktualizacjach drogą mailową. A jeśli ktoś zaleca w mailach ściągać i instalować aktualizacje z podanych linków, to należy do takiej informacji podejść z głęboką podejrzliwością.

W tym przypadku mamy bardzo wredną metodę phishingu. Przecież większość specjalistów zaleca bieżącą aktualizację systemu operacyjnego. A tu ktoś nam przysyła informację o krytycznych aktualizacjach. A do tego na pierwszy rzut oka wiadomość jest wysłana od Microsoft-u. Nie dajmy się nabrać i do aktualizacji używajmy dedykowanych do tego narzędzi!

Bierze się to ze zmasowanych ataków na serwery. Hakerzy po włamaniu nie zostawiają już tylko informacji o swojej obecności. Nie dokonują zmian w wyglądzie, czy treści strony. Zostawiają po sobie tylko robaka w kodzie strony, który próbuje zainfekować komputery klienckie.

Więcej na ten temat tutaj.

Złośliwe oprogramowanie rozsyłane przy okazji “święta zakochanych” pojawia się co roku. I za każdym razem są osoby które wpadają w pułapkę.

Mechanizm jest prosty. Dostajemy wiadomość z tematem w stylu “I love you” albo podobnym, a w treści jest odnośnik do strony, na której rzekomo czeka na nas kartka. Sama witryna jest bardzo prosta i wyglądem przypomina romantyczną kartkę z życzeniami (serduszka i te sprawy). Po wejściu na stronę może nastąpić infekcja systemu. I z naszego komputera zostaną zczytane adresy z książki adresowej i robak roześle się dalej.

Bywa, że w samej wiadomości pojawia się zainfekowany załącznik. Jego otwarcie powoduje instalację wirusa.

Bywają takie robaki, które poza rozsyłaniem własnej kopii, ingerują w ustawienia systemu (np. zmiana ustawień pulpitu).

Metoda ochrony to tradycyjnie. Nie zaglądać w niepewne odnośniki. Nie otwierać załączników od nieznajomych zakochanych.

Oznacza to tyle, że w opublikowanych niedawno poprawkach wykryto pewne błędy. Niewdając się w szczegóły, zalecam dokonania aktalizacji jak najszybszej aktualizacji systemów Windows Server 2003 i Windows Home Server.

Domowi użytkownicy mogą być spokojni.

Więcej na ten temat np tutaj.

Ostatnio firma InfoProf w trakcie testów konsumenckich odkryła nowego wirusa, którego nie wykrył żaden program antywirusowy.

W tym przypadku, był to trojan będący nową mutacją szkodnika Zlob i czatował na darmowych stronach pornograficznych. Po kliknięciu na wybrany film pojawiało się żądanie o uruchomienie właściwego kodeka. No i w tym momencie doprowadzamy do infekcji.

Cały proces instalacji szkodnika bardzo ładnie został opisany tutaj, więc powtarzał po autorach nie będę. Przypomnę tylko o najważniejszej zasadzie. Nigdy nie wolno ufać bezgranicznie temu co proponują nam różne strony internetowe. Jeśli nie jesteśmy pewni, polecam zaniechać instalacji, czy przeglądania podejrzanej strony i poszukać interesujacych nas rzeczy gdzie indziej.

Pełne zainstalowanie jakiemukolwiek oprogramowaniu antywirusowemu wcześniej, czy później skończy się większym lub mniejszym nieszczęściem. Warto pamiętać, że twórcy szkodliwego oprogramowania są prawie zawsze przed twórcami antywirusów!