Treść przeznaczona dla osób powyżej 18 roku życia...
Autorom trzech najbardziej plusowanych pytań wyślemy nasz zestaw gadżetów: kubek + koszulka + torba.
@certpl: Prosicie się o całkiem zabawne AMA ( ͡° ͜ʖ ͡°)
Uwaga! Ostrzegamy przed nową odsłoną znanego szantażu prywatnymi nagraniami z kamery internetowej. Cybeprzestępcom udało się pozyskać rozszerzone dane o ofierze (w tym PESEL, numer telefonu, lokalizacja ofiary), aby zwiększyć skuteczność kampanii. Oczywiście żadnych nagrań nie ma i jest to zwyczajna próba wyłudzenia pieniędzy.
Jesteśmy na etapie pozyskiwania informacji o tym, jak napastnikom udało się uzyskać dostęp do tak szczegółowych danych o ofiarach. Prosimy wszystkie osoby, które otrzymają podobny mailing o przesłanie wiadomości
Jesteśmy na etapie pozyskiwania informacji o tym, jak napastnikom udało się uzyskać dostęp do tak szczegółowych danych o ofiarach. Prosimy wszystkie osoby, które otrzymają podobny mailing o przesłanie wiadomości
źródło: comment_MxjFUaKQamdsmijAPgXvnQpiQDixfqWo.jpg
Pobierz
Wrześniowe wydanie biuletynu OUCH!, a w nim: Oszustwa za pośrednictwem mediów społecznościowych. Zapraszamy do lektury, plusowania i przekazania linka mniej technicznym Mirkom i Mirabelkom.
https://www.sans.org/sites/default/files/2019-09/201909-OUCH-September-Polish.pdf
#polska #cert #ouch #oszukujo #scam #komputery #informatyka #cybersecurity #bezpieczenstwo #socialmedia
https://www.sans.org/sites/default/files/2019-09/201909-OUCH-September-Polish.pdf
#polska #cert #ouch #oszukujo #scam #komputery #informatyka #cybersecurity #bezpieczenstwo #socialmedia
Mireczki i Mirabelki! Ostrzegamy przed bardzo dobrze przygotowanym atakiem, mającym na celu pozyskanie przez przestępców kodu do utworzenia odbiorcy zaufanego i w konsekwencji kradzieży środków z konta. Atakujący wykorzystując technikę podszywania się pod numer telefonu, dzwonią do ofiar z fałszywym numerem infolinii banku i proszą o kod SMS, najczęściej w sposób bardzo nachalny. Numer infolinii nie jest pod kontrolą przestępców - wykorzystują oni słabości standardu GSM poprzez serwisy internetowe oferujące funkcjonalność spoofingu
@NoNameNoName:
Przestępcy mają bogaty wachlarz możliwości pozyskania tych danych: malware, fałszywe sklepy i panele płatności DotPay / PayU, kampanie phishingowe lub też wszystkie metody po trochu.
W jaki sposób przestępcy mają możliwość wygenerowania takiego kodu? Skąd mają nr telefonu ofiary?
Przestępcy mają bogaty wachlarz możliwości pozyskania tych danych: malware, fałszywe sklepy i panele płatności DotPay / PayU, kampanie phishingowe lub też wszystkie metody po trochu.
@NoNameNoName: Cóż zrobić... Człowiek zawsze jest najsłabszym ogniwem w security, no może, poza starym Wordpressem ( ͡~ ͜ʖ ͡°)
Treść przeznaczona dla osób powyżej 18 roku życia...
@certpl: czy udostępniacie gdzieś listę domen które zweryfikowaliście jako malwarowe? chciałem podpiąć do PiHole.
@blackphoenix: W tym momencie udostępniamy dane w ramach platformy N6 (https://n6.cert.pl/) dla użytkowników administrujących sieciami, posiadającymi własny AS. Na razie nie mamy feedu dla użytkowników prywatnych, lecz w niedalekiej przyszłości taki planujemy. Z naszej strony polecamy URLe malware'owe z https://urlhaus.abuse.ch/browse/
Mireczki i Mirabelki, ostatnio głośno jest na mirko o wyłudzaniu kodów BLIK - a czy wiecie jak Wasi znajomi tracą konta? My wiemy i powiemy ( ͡° ͜ʖ ͡°)
Scenariusz ataku jest następujący: strona z sensacyjnym fake newsem (porwanie dziecka, wypadek samochodowy) podszywa się pod popularny portal informacyjny - w tym wypadku FAKT24.pl pod domenami fakty24-porwanie[.]pl oraz nataliaporwana[.]biz.
Na samym końcu strony znajduje się nagranie z kamery, które do odtworzenia wymaga weryfikacji
Scenariusz ataku jest następujący: strona z sensacyjnym fake newsem (porwanie dziecka, wypadek samochodowy) podszywa się pod popularny portal informacyjny - w tym wypadku FAKT24.pl pod domenami fakty24-porwanie[.]pl oraz nataliaporwana[.]biz.
Na samym końcu strony znajduje się nagranie z kamery, które do odtworzenia wymaga weryfikacji
źródło: comment_4ecMITyHTZLL0I8h4ztkLEG6RAw5moQj.jpg
Pobierz@szymon465: Jak widać po wpisach na mirko i po zgłoszeniach do nas, całkiem sporo osób.
@certpl: a ja wam jeszcze napiszę jak to wygląda dalej. Złodziej uaktywnia się po paru godzinach od przejęcia hasła, albo po zmroku by bankomat był nieoświetlony. Skryptem pisze do wszystkich znajomych, więc połowa odpisuje, druga połowa oddzwania messangerem, a trzecia połowa oddzwania na telefon - możecie sobie wyobrazić co się dzieje z telefonem ofiary. Można śledzić rozmowe złodzieja bo nie zmienia hasła, i można mu tylko wejść w słowo pisząc
#programista15k i reszta Mireczków / Mirabelek na B2B uważajcie na phishing na usługę Fakturowo.pl. Złośliwe domeny używane do ataków to: fakturowo.cf i afaktury.cf.
Cybeprzestępcy po pozyskaniu danych dostępowych mogą modyfikować hasło i numer konta, który jest wysyłany na fakturach do klientów. Jeżeli natkniecie się na coś takiego w sieci to wołajcie nas lub zgłaszajcie na https://incydent.cert.pl ( ͡° ͜ʖ ͡°)
#polska #cert
Cybeprzestępcy po pozyskaniu danych dostępowych mogą modyfikować hasło i numer konta, który jest wysyłany na fakturach do klientów. Jeżeli natkniecie się na coś takiego w sieci to wołajcie nas lub zgłaszajcie na https://incydent.cert.pl ( ͡° ͜ʖ ͡°)
#polska #cert
źródło: comment_KcSbexGlM8b5bBzyRsLqX3HJzF13Q0Ap.jpg
Pobierz
Ostrzegamy przed bardzo prostą, lecz skuteczną kampanią infekującą złośliwym oprogramowaniem KPOT. Malware wykrada dane logowania, ciasteczka do stron internetowych oraz informacje zapisane w aplikacjach (Outlook, Skype, Steam, Discord, przeglądarki internetowe). Załącznik (dokument.htm) zawiera prostą stronę internetową informującą o tym, że plik jest bezpieczny i link do droppera łączącego się z domeną ptcspy[.]com - na chwilę obecną widzimy 32 ofiary z Polski, po jednej z Japonii i Korei Południowej.
Więcej informacji o tej rodzinie
Więcej informacji o tej rodzinie
źródło: comment_MEV7C6qjjTVh2k3qLjXVGaeI95Q7mRBt.jpg
Pobierz
Mireczki i mirabelki uważajcie dzisiaj na phishingi na Pocztę WP i Facebook, hostowane w darmowych hostingach. Znaleźliśmy dzisiaj domeny: wplogin.5v[.]pl, facebook.5v[.]pl, faccebook.5v[.]pl, facebbook.5v[.]pl, facebook-login.5v[.]pl facebook-profile.5v[.]pl oraz facebook547341.5v[.]pl ( ͡° ͜ʖ ͡°)
Przestępcy usiłują pozyskać Wasze dane logowania do kont, aby potem wyłudzać kody BLIK lub wystawiać ogłoszenia na marketplace, prowadzące do fałszywych paneli DotPay. Jeżeli natkniecie się na coś takiego w sieci, koniecznie dajcie nam znać pod adresem
Przestępcy usiłują pozyskać Wasze dane logowania do kont, aby potem wyłudzać kody BLIK lub wystawiać ogłoszenia na marketplace, prowadzące do fałszywych paneli DotPay. Jeżeli natkniecie się na coś takiego w sieci, koniecznie dajcie nam znać pod adresem
źródło: comment_6kh5DOg92XdIHMiTvPrhfeFNjuKlHfsz.jpg
PobierzSiemka, dzisiaj uważajcie na KAS (tzn. zawsze uważajcie ( ͡° ͜ʖ ͡°)). Maile z tytułem "Podatek Vat" pochodzące z adresu skarbowa@policja24[.]pl zachęcały do zapłaty zaległego podatku VAT i otwarcia droppera złośliwego oprogramowania Danabot. Malware jest pobierany z adresu 23.83.133[.]186/Podatek VAT.PDF.exe. Pamiętajcie, że prawidłowa domena KAS to https://www.gov.pl/web/kas.
SHA256 #danabot: a94d45ce10fcda63c7ac25c5c0f0471e2986be0ea710d68af367726b0b83eacf
Konfiguracja statyczna #danabot z naszej bazy
SHA256 #danabot: a94d45ce10fcda63c7ac25c5c0f0471e2986be0ea710d68af367726b0b83eacf
Konfiguracja statyczna #danabot z naszej bazy
źródło: comment_qk4eZDo2Brd6qaxXTyPhJOsaaAKeIL74.jpg
Pobierz
@certpl: brak polskich znaków, powtarzane przy takiej próbie oszustwa
Mireczki i mirabelki nie klikajcie dzisiaj w faktury od Orange, jeżeli wiadomość wygląda jak poniżej ( ͡° ͜ʖ ͡°) Załącznik zawiera droppera #malware o nazwie Brushaloader i łączy się do domeny fernanosood[.]info.
SHA256 droppera: c449e2bee554da79f09ba2b67562d1276d82a3442d78a7a355a54575a19371e0
Konfiguracja statyczna #brushaloader z naszej bazy MWDB
SHA256 droppera: c449e2bee554da79f09ba2b67562d1276d82a3442d78a7a355a54575a19371e0
Konfiguracja statyczna #brushaloader z naszej bazy MWDB
źródło: comment_CggX42KztptDAObwncsfU4j0DqJseZsb.jpg
Pobierz
konto usunięte via Wykop Mobilny (Android)
@certpl: z jakiego maila przychodzi?
@Invisible22: Adresy z domeny gmx[.]com.
FaceApp - analiza aplikacji oraz rekomendacje dotyczące zachowania...
W ostatnim czasie opinię publiczną w Internecie rozpalił temat aplikacji FaceApp. Pojawiły się doniesienia, że producent aplikacji może naruszać prywatność użytkowników, którzy zdecydowali się ją zainstalować. Jako zespół CERT Polska przeanalizowaliśmy to oprogramowanie, aby sprawdzić,...
z- 89
- #
- #
- #
- #
- #
- #
Trojan oraz ransomware w kampanii podszywającej się pod InPost
Przez kilka ostatnich dni obserwujemy kampanię e-mailową, w której fałszywi nadawcy podają się za firmę kurierską InPost. Wiadomości informują o przesyłce gotowej do odbioru w jednym z paczkomatów. Adres paczkomatu oraz pin potrzebny do odbioru przesyłki ma być dostępny po pobraniu pliku...
z- 1
- #
- #
- #
- #
- #
- #
https://www.sans.org/sites/default/files/2019-09/201910-OUCH-October-Polish.pdf
#polska #cert #ouch #oszukujo #scam #komputery #informatyka #cybersecurity #bezpieczenstwo #cybersecurity