Kiberlaikapstākļi (MAIJS)
Pieejami kiberlaikapstākļi par 2022.gada maiju. Kiberlaikapstākļi ir CERT.LV speciālistu apkopots pārskats īsā un pārskatāmā formā par Latvijas kibertelpā svarīgākajiem notikumiem pagājušajā mēnesī. Kiberlaikapstākļi tiek noteikti piecās dažādās kategorijās.
Kiberlaikapstākļos minētās krāpnieciskās saites, ko iesūtījuši iedzīvotāji un identificējusi CERT.LV, operatīvi tiek ievietotas DNS ugunsmūrī https://dnsmuris.lv, tādējādi pasargājot no uzbrukuma DNS ugunsmūra lietotājus. DNS ugunsmūris bez maksas ir pieejams ikvienam Latvijas iedzīvotājam un uzņēmumam.
Krāpšana
Krāpnieciskas, banku imitējošas vietnes Google meklētājā
Arī maijā CERT.LV turpināja saņemt informāciju par banku imitējošām krāpnieciskām vietnēm, kas parādās Google meklētājā kā pirmie ieraksti, jo ir krāpnieku apmaksātas Google reklāmas. Reklāmās ievietotais teksts un saites imitē banku tīmekļa vietnes, un pēc saites atvēršanas nogādā apmeklētāju viltus lapā, kas vizuāli līdzinās īstajai bankas mājaslapai, atšķirība slēpjas vien vietnes adresē, kas redzama adrešu logā pārlūka augšpusē. CERT.LV drošības nolūkos aicināja lietotājus bankas mājaslapas adresi pašrocīgi ievadīt interneta pārlūkprogrammā un atkārtotai izmantošanai saglabāt pārlūka grāmatzīmju sarakstā. Kā arī, izmantojot meklēšanu, pievērst uzmanību, vai meklētāja rezultāta priekšā neparādās atzīme “Reklāma” vai “Ad”, kas nozīmē, ka šīs adreses parādīšanu kāds ir apmaksājis.
Par minēto krāpšanas veidu informāciju publicējusi arī Valsts policija: https://www.vp.gov.lv/lv/jaunums/somenes-vairakiem-desmitiem-iedzivotaju-izkrapta-nauda-izmantojot-viltus-luminor-internetbanku
Ar “kredītspējas sertifikātu” apmāna uzņēmējus
Maijā tika saņemta informācija arī par jaunu krāpniecības veidu, kurā uzbrucēju mērķis ir nelieli uzņēmumi, kuriem varētu būt aktuāla papildu investoru un klientu piesaiste. Šiem uzņēmumiem tika zvanīts un piedāvāts iegādāties “kredītspējas sertifikātu”, kas padarītu uzņēmumu pievilcīgāku potenciālo sadarbības partneru acīs. Zvanītāju norādītajā tīmekļa vietnē bija aplūkojama informācija par uzņēmumiem, kas it kā jau šādu sertifikātu ir iegādājušies. Nākamajā dienā, mēģinot apmeklēt norādīto tīmekļa vietni vai atzvanīt uz attiecīgo telefona numuru, tika saņemts paziņojums, ka ne vietne, ne numurs neeksistē. CERT.LV aicināja būt piesardzīgiem un, saņemot šādus piedāvājumus, vērsties ar iesniegumu policijā, bet, ja izdarīts maksājums krāpniekiem, nekavējoties informēt par notikušo savu banku.
Krāpnieki, izliekoties par banku, draud pārtraukt norēķinu kartes darbību
Maija sākumā Latvijas iedzīvotājus sasniedza kārtējā pikšķerēšanas kampaņa, krāpniekiem izliekoties par Citadele banku. Krāpnieku izsūtītajos e-pastos tika draudēts pārtraukt lietotāju norēķinu karšu darbību, ja lietotāji neapstiprinās papildu drošības prasības. Krāpnieciskajā e-pastā tika norādīta arī saite, kurā saņēmējs aicināts šīs prasības apstiprināt, un, lai to varētu paveikt – autentifikācijai nepieciešams ievadīt savas kartes datus. Ievadot datus, lietotāji tos brīvprātīgi nodeva krāpnieku rīcībā. Tāpēc pirms jebkādu datu ievades, CERT.LV vienmēr aicina pārliecināties, vai mājaslapas adreses laukā tiešām ir redzama īstā adrese (vai nav lieki burti, pazuduši burti, svešs domēna vārds utt).
Krāpnieki izliekas par Netflix atbalsta dienestu
Maijā no iedzīvotājiem tika saņemti vairāki ziņojumi par krāpniekiem, kas izliekas par straumēšanas servisa Netflix atbalsta dienestu un sūta brīdinājuma e-pastus latviešu valodā. Minētajos e-pastos tiek apgalvots, ka Netflix ir bloķējis lietotājam pieeju platformai saistībā ar nederīgu maksājuma informāciju, un, lai atkal saņemtu pakalpojumu, nepieciešams no jauna reģistrēties, norādot norēķinu kartes datus. Lietotājam ievadot prasītos datus dotajā saitē, tie automātiski nonāca krāpnieku rokās.
Šādos gadījumos CERT.LV vienmēr aicina pārbaudīt vēlreiz gan sūtītāja e-pasta adresi, gan pārliecināties par to, vai serviss tiešām atslēgts. Nākotnes drošībai un profilaksei ieteicams izmantot arī CERT.LV un NIC.LV izstrādāto DNS ugunsmūri, kurā CERT.LV regulāri un operatīvi ievieto saites no aktuālajām pikšķerēšanas kampaņām.
Ļaunatūra un ievainojamības
Jauna Microsoft ievainojamība Office produktos – “Follina”
Microsoft maijā publicēja norādījumus saistībā ar jaunu “nulles dienas” ievainojamību – “Follina” (CVE-2022-30190) Office produktos (Office 2013 / 2016 /2019 / 2021 un Professional Plus versijās), ko iespējams izmantot, lai panāktu attālinātā koda izpildi skartajās sistēmās (CVSS 7.8/10). Informācija par ietekmi un novēršanu pieejama šeit: https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
DeadBolt šifrējošais izspiedējvīruss apdraud neatjaunotas QNAP iekārtas
Maijā Taivānas kompānija QNAP publicēja globālu brīdinājumu steidzami atjaunināt tās ražotos datu serverus, kas kļuvuši par aktīvu uzbrucēju mērķi un pakļauti DeadBolt šifrējošā izspiedējvīrusa riskam. Maijā cietušo upuru vidū bija arī kāds Latvijas uzņēmums, kas uzbrukuma rezultātā pazaudēja uzņēmējdarbībai vitāli svarīgu informāciju, jo nebija paguvis veikt QNAP iekārtu atjaunināšanu.
Šifrējošā izspiedējvīrusa upuru vidū arī kāds muzejs Latvijā
Maijā šifrējošo vīrusu uzbrukumos cietuši vairāki uzņēmumi un organizācijas Latvijā. To vidū arī kāds Latvijas muzejs, kuram uzbrukuma rezultātā tikusi sašifrēta darbstacija uz kuras glabājās iekšējā biļešu kontroles sistēma. Tā kā muzejam nebija datu rezerves kopijas, tad nācās visu iekārtu instalēt no jauna.
Cietušo vidū bija arī kāds starptautisks Latvijas tirdzniecības uzņēmums, kuram sašifrēti vairāk kā puse no visiem darbinieku datoriem. Abos gadījumos CERT.LV aicināja nemaksāt ļaundariem izpirkumu par datu atgūšanu, jo šāda rīcība ne tikai negarantē datu atgūšanu, bet arī veicina jaunu ļaunatūru izstrādi.
Pakalpojuma pieejamība
Pastiprināti DDoS uzbrukumi Latvijas interneta resursiem
Maijā sadarbībā ar LVRTC un TET sekmīgi atvairīti vairāki desmiti lielapjoma DDoS jeb piekļuves atteices uzbrukumi. Lielākā daļa šo uzbrukumu tika vērsti pret valsts iestādēm un valsts kapitālsabiedrībām, taču atsevišķos gadījumos uzbrukumu mērķi bija arī mediju resursi, finanšu institūcijas un arī uzņēmumi.
Kaut arī lielāko daļu uzbrukumu izdevās veiksmīgi atvairīt, bija arī izņēmuma gadījumi, kuru efektu izjuta lielāka sabiedrības daļa. Vieni no redzamākajiem uzbrukumiem maijā tika veikti pret ziedot.lv, inbox.lv un Mobilly, kā rezultātā šo organizāciju klientiem tika traucēta atsevišķu pakalpojumu saņemšana tiešsaistē.
Atbildību par lielāko daļu uzbrukumu Telegram platformā uzņēmās kiberaktīvistu grupējums “Killnet”, kas atbalsta Krieviju un tās agresīvo politiku un ir veicis uzbrukumus arī Igaunijas, Polijas, Čehijas un citu Eiropas valstu iestāžu un uzņēmumu tīmekļa vietnēm. Uzbrukumu radītie traucējumi pārsvarā bija īslaicīgi un ar minimālu ietekmi.
Ielaušanās un datu noplūde
Uzlauzti vairāki iedzīvotāju Facebook konti
Maijā vairāki iedzīvotāji ziņojuši par uzlauztiem un nozagtiem Facebook kontiem. Pēc uzlaušanas krāpnieki nomainījuši ne tikai paroles, bet arī atgūšanās e-pastus, lai apgrūtinātu īpašniekiem kontu atgūšanu. Pēc tam krāpnieki izmantoja uzlauztos profilus, lai reklamētu dažādas apšaubāmas finanšu shēmas. Vienā no gadījumiem kāda sieviete zaudēja pieeju arī Facebook Messanger lietotnei, caur kuru ikdienā norit dažādas biznesa sarakstes.
CERT.LV ieteica cietušajiem par notikušo operatīvi ziņot Facebook atbalsta dienestam - tam paredzētajā kārtībā, kā arī, lai izvairītos no līdzīgām situācijām nākotnē, iestatīt Facebook kontam divu faktoru autentifikāciju. Ja uzlauztā Facebook parole izmantota arī citiem resursiem, tad visos šajos resursos arī nepieciešams pēc iespējas ātrāk nomainīt paroles.
Kompromitēta kādas mācību iestādes tīmekļa vietne
Maijā tika saņemta informācija arī par kādu mācību iestādi, kuras tīmekļa vietne tikusi kompromitēta un tajā ievietots Krieviju slavinošs saturs. CERT.LV sazinājās ar mācību iestādi un incidents tika operatīvi novērsts. Pēc incidenta izpētes tika secināts, ka pie vainas visticamāk šoreiz bijusi kāda mācību iestādes audzēkņa ļaunprātīga rīcība.
Lietu internets
Būtiski incidenti netika reģistrēti.