Ogarnęła cię gorączka świątecznych zakupów? Czekasz na to, aż dotrze do ciebie upragniona przesyłka? Lepiej więc uważaj, gdyż brak cierpliwości jest złym doradcą i wiedzą o tym również jednostki o wątpliwej moralności. Stracić można dużo, nie tylko zimną krew.
Flubot
O co chodzi? Od Czarnego Piątku z rosnącą intensywnością trwa kampania rozsyłania SMS-ów z fałszywą informacją o przesyłkach. Wiadomości rozsyłane są z numerów komórkowych należących do przypadkowych użytkowników i wyglądają tak:
Nowa paczka :js: zostala * wyslana, prosze sledzic ja na naszej stronie ; internetowej::2e: hxxps://eurobatideco.com/ad/?j1gb&zg0
Znalezlismy dla Ciebie paczke z * sierpnia. Potwierdz dostawe tutaj: :cs: hxxp://monochmo.jp/5/?oowsn6.nej3
Twoja paczka moze byc opozniona, potwierdz dostawe tutaj:””d”” / hxxp://kleingarten-haberlandstrasse.de/7/?im2nr&ba
To tylko kilka ze spotykanych wzorów takich wiadomości. Kliknięcie w link prowadzi do fałszywej strony firmy kurierskiej, na której jest informacja, że aby sprawdzić status przesyłki, niezbędne jest pobranie aplikacji, która rzekomo ma służyć do monitorowania przesyłki. Plik instalacyjny umieszczony jest oczywiście poza Sklepem Play, a jego uruchomienie wymaga wyłączenia zabezpieczenia blokującego instalację z autoryzowanego kanału. Zagrożone są tylko urządzenia z systemem Android – użytkownicy iPhone’ów nie muszą się go obawiać.
Po instalacji fałszywej aplikacji prosi nas o dodatkowe uprawnienia i rozpoczyna w tle śledzenie poczynań użytkownika. Przechwytuje także naszą książę telefoniczną w celu dalszego rozprzestrzeniania się (jednak nie wprost, zatem żaden znajomy nie dostanie wiadomości o przesyłce z naszego numeru).
Flubot należy do kategorii tak zwanych Trojanów bankowych, zatem jej celem jest kradzież danych dostępowych do naszego konta i w konsekwencji opróżnienie go ze środków. Trojan jest w stanie wykraść dane zarówno z aplikacji, jak i stron bankowych, podstawiając własne ekrany logowania. Jeśli podejrzewamy, że doszło do instalacji, należy natychmiast wyłączyć telefon i poinformować bank (z innego telefonu) o incydencie, by zapobiec nieautoryzowanym operacjom na koncie.
O otrzymaniu takiej lub podobnej wiadomości warto też poinformować CERT Orange (cert.orage.pl), niezależnie czy doszło do bezpośredniego zagrożenia, czy też nie – szybka reakcja operatorów pozwala na zablokowanie fałszywych stron zawierających instalatory Flubota, a po dokładniejszej analizie także lokalizację i deaktywację serwerów kontrolujących malware, zmniejszając skalę ataku i jego konsekwencje.
Skala zagrożenia jest ogromna, w chwili obecnej kampanią Flubota objętych jest 28 krajów z całego świata. Usunięcie Flubota ze smartfona niestety może nie być łatwe i szczególnie mniej zaawansowani użytkownicy powinni wykonać reset telefonu do ustawień fabrycznych. Warto także na przyszłość zwrócić uwagę na CyberTarczę Orange – analizuje ona ruch sieciowy z terminala użytkownika pod kątem znanych wzorców ataku. W przypadku rozpoznania zagrożenia atak blokowany jest automatycznie. Zaletą CyberTarczy jest także to, że nie wymaga instalacji żadnego oprogramowania na urządzeniach użytkownika, zatem w żaden sposób nie wpływa na wydajność smartfona, a potencjalnie szkodliwy program nie ma żadnej możliwości jej wyłączenia.
Preinstalowany malware
Infekcja z linków nie jest jedyną możliwością. Zwłaszcza w okresie przedświątecznym warto uważać na oferty zakupu sprzętu z nieznanych źródeł i w wyjątkowo korzystnych cenach. Wbrew pozorom nie musi tu wcale chodzić o sprzęt z kradzieży czy spoza oficjalnej dystrybucji. Wciąż zdarzają się tu „okazje”, w których sprzęt zaraz po wyjęciu z pudełka zainfekowany jest niepożądanych oprogramowaniem lub instaluje go bez wiedzy użytkownika już po uruchomieniu.
Jakie mogą się z tym wiązać zagrożenia? Irytujący spam reklamowy, nieautoryzowane wysyłanie SMS premium (zwykle zagranicznych), a nawet połączenia międzynarodowe z numerami premium, które nie są widoczne w systemie, a ujawniają się dopiero na rachunku – szczególnie zagrożeni stratami są użytkownicy usług abonamentowych, którzy nie mają wyłączonych usług premium.
W mniejszym stopniu tego typu zagrożenia dotyczą usług prepaid, gdyż strata tu ujawnia się z reguły dość szybko i nie przekroczy na pewno stanu konta. Użytkownicy usług Flex mogą się czuć dość bezpiecznie – tutaj na usługi międzynarodowe i premium wykorzystywane są osobne pule środków, które trzeba ręcznie doładować, by z nich skorzystać i potencjalna strata nie przekroczy na pewno tych środków.
Najlepiej jednak przede wszystkim nie dać ponieść się entuzjazmowi i nie wierzyć bezkrytycznie w superokazje.
Emotet
Kolejnym zagrożeniem, o którym warto pamiętać, jest Emotet. W przeciwieństwie do Flubota, rozsyła się za pomocą poczty elektronicznej, ma też więcej różnorodnych odmian i ukierunkowany jest głównie na użytkowników komputerów. Znane są wersje atakujące w celu kradzieży danych bankowych, jednak obecnie Emotet – ze względu na modularność – służy także jako kanał do ataków ransomware, czyli polegających na szyfrowaniu danych i żądaniu zapłaty okupu za ich odszyfrowanie bądź za zaniechanie ich ujawnienia.
Warto pamiętać o zachowaniu ostrożności przy otwieraniu niezidentyfikowanych załączników z poczty i o upewnieniu się czy posiadamy aktualny program antywirusowy. Częścią zabezpieczenia może być CyberTarcza Orange, blokująca zidentyfikowane zagrożenia już po stronie operatora. Problem dotyczy nie tylko użytkowników indywidualnych, ale również firm. Zainfekowanie służbowego telefonu powoduje, iż dane firmowe (m.in. kontakty, SMS-sy, wiadomości email, dokumenty) mogą zostać pobrane przez przestępców i nastąpi ich wyciek z firmy. Przed tym zagrożeniem chroni np. usługa CyberWatch.
Na zakończenie
Katalog zagrożeń, tak jak i środków ochrony przed zagrożeniami, jest spory. Powyżej wspomniałem zaledwie o kilku z nich. Na każdy miecz znajdzie się prędzej czy później odpowiednia tarcza. Niezależnie od zastosowanych środków ochronnych po stronie oprogramowania czy dostawcy Internetu, pierwszą linią obrony jest przede wszystkim nasz umysł – zachowajmy ostrożność i trochę podejrzliwości, szczególnie w tak gorącym okresie, jak przedświąteczny.
Wpis powstał przy współpracy z Orange