☰

Kiberlaikapstākļi (OKTOBRIS)

Pieejami kiberlaikapstākļi par 2021. gada oktobri. Kiberlaikapstākļi ir CERT.LV speciālistu apkopots pārskats īsā un pārskatāmā formā par Latvijas kibertelpā svarīgākajiem notikumiem pagājušajā mēnesī. Kiberlaikapstākļi tiek noteikti piecās dažādās kategorijās.

Kiberlaikapstākļos minētās krāpnieciskās saites, ko iesūtījuši iedzīvotāji un identificējusi CERT.LV, operatīvi tiek ievietotas DNS ugunsmūrī https://dnsmuris.lv, tādējādi pasargājot no uzbrukuma DNS ugunsmūra lietotājus. DNS ugunsmūris bez maksas ir pieejams ikvienam Latvijas iedzīvotājam un uzņēmumam.

Krāpšana

Biedē ar intīmu materiālu nopludināšanu

Datu valsts inspekcija informēja sabiedrību par krāpnieciskiem e-pastiem Datu inspekcijas vai Drošības inspekcijas vārdā, kuros saņēmējs it kā tiek informēts par noplūdušām intīmām fotogrāfijām, aicina sekot saitei, lai iepazītos ar materiālu un apstiprinātu piederību, kas, savukārt, ļautu šos foto “izņemt no interneta”. Iedzīvotāji tika aicināti, saņemot šādus e-pastus, īpašu uzmanību pievērst sūtītāja kontaktinformācijai, jo valsts pārvaldes iestādēm oficiālais e-pasts sastāv no - pasts@iestādesabreviatūra.gov.lv.

Vairāk: https://www.facebook.com/certlv/posts/238619308307416

WhatsApp kontu pārņemšana

Krāpnieki centās pārņemt WhatsApp kontus, lūdzot pārsūtīt sešciparu kodu, kuru it kā kļūdas pēc nosūtījuši uz ziņas saņēmēja telefona numuru. CERT.LV aicināja kodu nepārsūtīt, lai nezaudētu piekļuvi savam kontam, kā arī ieteica uzstādīt kontam 2 faktoru autentifikāciju: Settings ->Account -> Two-step verification. Ja kods tomēr tika pārsūtīts un piekļuve kontam zaudēta, aicinājums sekot instrukcijām: https://faq.whatsapp.com/general/account-and-profile/stolen-accounts

Krāpnieciski e-pasti grāmatvežiem

Uzņēmumu grāmatveži saņēma krāpnieciskus e-pastus, kuros tika norādīts, ka pielikumā atrodas maksājuma dokuments veiktajam pasūtījumam. CERT.LV aicināja pievērst uzmanību vairākām pazīmēm, kas ļautu atpazīt krāpniecību: 1) sūtītāja adresei - e-pasts tika sūtīts no adreses, kas bija līdzīga oriģinālajai, bet šoreiz tika izmantots citas valsts domēns; 2) e-pastā izmantotajai valodai – vārdu locījumi un kārtība teikumā bija savdabīga; 3) e-pasta pielikuma paplašinājumam (burtu salikumam aiz pēdējā punkta faila nosaukuma labajā galā) – pielikumā atradās .rar fails, kādā rēķinus parasti nesūta. CERT.LV aicināja būt uzmanīgiem un šādus e-pastus ignorēt, kā arī ziņot, ja pielikums tomēr tika atvērts.

Vairāk: https://www.facebook.com/certlv/posts/252940026875344

Datu izkrāpšanas kampaņa

CERT.LV saņēma ziņojumus par kārtējo pikšķerēšanas kampaņu, kuras mērķis bija izgūt lietotāju norēķinu karšu datus. Krāpnieki centās imitēt Latvijas Pastu un biedēt ar aizturētiem sūtījumiem, aicinot veikt maksājumu, lai apstiprinātu sūtījuma piegādi. Saņemot e-pastus, kas aicina steidzami rīkoties, iesakāms rūpīgi pārbaudīt sūtītāja adresi, vai tā nav kļūdaina un patiešām ir saistīta ar iestādi vai uzņēmumu, par kuru uzdodas, kā arī, pirms jebkādu datu ievades, pārbaudīt atvērtās vietnes adresi, vai tā atbilst sagaidāmajai mājas lapai, vai arī vietne ir tikai vizuāli līdzīga (izskatu ir viegli nokopēt).

Vairāk: https://www.facebook.com/certlv/posts/254348610067819

Ļaunatūra un ievainojamības

Apdraudēta ceturtā daļa pasaules tīmekļa vietņu

Tika atklātas jaunas ievainojamības (CVE-2021-41773 un CVE-2021-42013) atvērtā koda tīmekļa serverī Apache 2.4.49. Ievainojamības sniedza uzbrucējiem iespēju piekļūt failiem, kā arī veikt attālinātu koda izpildi. Lietotāji tika aicināti veikt atjauninājumus atkārtoti, atjauninot sistēmu uz 2.4.50 versiju un pēcāk uz 2.4.51 versiju. Apache HTTP serveri tiek izmantoti aptuveni 25% tīmekļa vietņu uzturēšanai visā pasaulē.

Vairāk: https://www.bleepingcomputer.com/news/security/apache-emergency-update-fixes-incomplete-patch-for-exploited-bug

Inficēta populāra JavaScript bibliotēka

Uzbrucēji inficēja populāro UA-Parser-JS NMP bibliotēku, kas tiek plaši izmantota dažādos IT risinājumos lietotāja pārlūkprogrammas, operētājsistēmas, iekārtas tipa un modeļa atpazīšanai. Uzbrukuma rezultātā miljoniem Linux un Windows iekārtu tika inficētas ar ļaunatūru, kas paredzēta paroļu pārtveršanai un nesankcionētai iekārtas resursu izmantošanai kriptovalūtu ieguvē. Šo JavaScript bibliotēku izmanto arī Facebook, Microsoft, Amazon, Instagram, Google, Slack, Mozilla, Discord, Elastic un daudzas citas kompānijas. Ja projektā tiek izmantota augstākminētā bibliotēka, ieteicams sekot norādēm un pārbaudīt, vai sistēma nav kompromitēta.

Vairāk: https://www.bleepingcomputer.com/news/security/popular-npm-library-hijacked-to-install-password-stealers-miners/

Sociālajos tīklos tiek reklamētas ļaundabīgas lietotnes

Vismaz 150 dažādas ļaundabīgas lietotnes, kas uzdevās par QR koda skeneriem, attēlu un video rediģēšanas lietotnēm, kameras filtriem, krāpniecisku zvanu bloķētājiem, pielāgojamām klaviatūrām, spēlēm un daudz ko citu, bija atrodamas Google Play Store un apdraudēja Android lietotājus. Ļaundabīgās lietotnes tika reklamētas sociālajos tīklos Facebook, Instagram un TikTok, kā rezultātā tika lejupielādētas vairāk nekā 10 miljonus reižu 80 dažādās valstīs, nodrošinot inficēto iekārtu lietotājiem apjomīgus telefona rēķinus. Lai izvairītos no ļaundabīgām lietotnēm, aicinām pirms lejupielādēšanas pārbaudīt izstrādātāju informāciju, iepazīties ar lietotnes izmantošanas noteikumiem, kā arī ar citu lietotāju atsauksmēm. Ja mobilais operators sniedz iespēju atslēgt paaugstinātas maksas īsziņu (sms) sūtīšanu, aicinām to izmantot, jo īpaši, ja telefons tiek nodots bērnu lietošanai.

Vairāk: https://threatpost.com/android-scammed-sms-fraud-tik-tok/175739/

Aita vai tomēr vilks?

Tika atklāts tīmekļa pārlūkprogrammas Chrome paplašinājums (extension) AllBlock, kurš, lai arī bija pieejams Chrome oficiālajā vietnē Chrome’s Web Store ar norādi, ka paredzēts reklāmu bloķēšanai vietnēs YouTube un Facebook, pārvirzīja lietotājus uz reklāmas vietnēm, kuras kontrolēja paši paplašinājuma izstrādātāji, tādējādi nodrošinot tiem peļņu.

Vairāk: https://www.bleepingcomputer.com/news/security/malicious-chrome-ad-blocker-injects-ads-behind-the-scenes/

Pieejamas vairāku vīrusu atšifrēšanas atslēgas

Oktobrī kļuva pieejamas Babuk, AtomSilo un LockFile šifrējošo izspiedējvīrusu atšifrēšanas atslēgas, kas ļauj atgūt sašifrētos failus bez izpirkuma maksas. Visas trīs atslēgas, kā arī daudzu citu šifrējošo izspiedējvīrusu atšifrēšanas rīki pieejami vietnē www.nomoreransom.org. Pirms atšifrēšanas atslēgu izmantošanas obligāti jāiepazīstas ar attiecīgās atslēgas lietošanas instrukciju.

Vairāk: https://www.securityweek.com/free-decryption-tools-available-babuk-atomsilo-and-lockfile-ransomware

Pakalpojuma pieejamība

Piecas stundas klusuma

Oktobra sākumā Facebook un ar to saistītie produkti Instagram un WhatsApp uz vairāk nekā 5 stundām nebija pieejami. Facebook kalpo ne tikai par saziņas platformu 3.5 miljardiem lietotāju, bet tiek plaši izmantots arī kā pierakstīšanās rīks citās vietnēs un tiešsaistes pakalpojumos, piemēram, tirdzniecības vietnēs vai viedtelevīzijā. Kompānija publiski pauda, ka problēmas radīja kļūme konfigurācijā, un nav pamata domāt, ka būtu ietekmēti vai kompromitēti lietotāju dati.

Vairāk: https://eu.usatoday.com/story/tech/2021/10/04/facebook-instagram-outage-whatsapp-down-october-2021/5991289001/

Lietu internets

Apdraudētas Dahua kameras

Dahua kamerām tika atklātas divas ievainojamības (CVE-2021-33044 un CVE-2021-33045), kas sniedza uzbrucējam iespēju apiet autentifikācijas procesu un attālināti pieslēgties kamerai. Lai novērstu apdraudējumu, kameru lietotāji tika aicināti nekavējoties atjaunināt kameru programmnodrošinājumu. Papildu drošībai iesakāms nomainīt ražotāja iestatīto noklusējuma paroli uz unikālu un drošu (vairāk kā 14 simbolus garu, kas satur gan lielos, gan mazos burtus, gan ciparus, gan speciālos simbolus), kā arī iespējot WPA2 šifrēšanu, ja tā ir bezvadu kamera.

Vairāk: https://www.bleepingcomputer.com/news/security/unpatched-dahua-cams-vulnerable-to-unauthenticated-remote-access/

Ielaušanās un datu noplūde

Būtiski incidenti netika reģistrēti.