28 ноября сайт Softpedia.com — популярный англоязычный сайт, индексирующий информацию и предлагающий для скачивания ПО — сообщил о том, что некий хакер из Алжира под ником MCA-CRB смог взломать сайты Google (google.ro) и Yahoo! (yahoo.ro), относящиеся к национальному домену Румынии.

Скриншот взломанного сайта Google.ro

В начале прошлой недели несколько банков в восточной Европе начали уведомлять клиентов о блокировке их карт и будущей их замене на новые. Большинство банков не раскрывали причин происходящего и во многих случаях даже не смогли уведомить клиентов прежде, чем их карты были заблокированы. Что это – обычные вещи при проведении платежей? Принимая во внимание поспешную реакцию банков и отсутствие информации о происходящем, я бы ответил отрицательно.

Все началось неделю назад после того, как государственный румынский банк CEC Bank заблокировал ~17,000 карт, чтобы обезопасить своих клиентов от бреши в системе безопасности одной из европейских платежных систем VISA.

В прошлые выходные многие пользователи социальной сети Facebook стали получать от своих друзей вредоносные сообщения в чате. Вот как выглядели сообщения:

“Father crashes and dies because of THIS message posted on his daughters profile wall!” («Отец разбился и умер из-за ЭТОГО сообщения, размещенного на стене дочери») — затем следует сокращенная (с помощью сервиса bit.ly) ссылка. В слове daughter's не хватает апострофа — должно быть «his daughter’s profile wall». Это признак того, что автор сообщения — не тот, за кого себя выдает, или, во всяком случае, что английский — не его родной язык. Давайте посмотрим, каковы последствия для пользователя, «клюнувшего» на этот трюк социальной инженерии.

Мы обнаружили новый XSS-эксплойт для Twitter, только что взятый на вооружение киберпреступниками.

Распространяемый ими вредоносный код на JavaScript достаточно прост и использует уязвимость XSS («межсайтовый скриптинг» — Cross-Site Scripting), чтобы украсть у пользователя социальной сети Twitter файл cookie, который затем передается на два сервера. В результате оказывается взломанной любая учетная запись, пользователь которой кликнул по вредоносной ссылке.

Вопрос в том, сколько нашлось таких пользователей. Собранная сервисом bit.ly статистика по одной из вредоносных ссылок вселяет тревогу: по ссылке прошли более 100 000 человек.

Все улики указывают на то, что источником атаки является Бразилия. Во-первых, оба доменных имени, используемых для сбора краденых файлов cookie, зарегистрированы на бразильских граждан. Во-вторых, один из доменов размещен на бразильском хостинге. И наконец, достаточно просто взглянуть на сообщение в Twitter, с помощью которого распространяется эксплойт:

Pe Lanza da banda Restart sofre acidente tragico — это короткое tweet-сообщение на португальском языке о «трагическом инциденте», в который якобы попала бразильская поп-группа Restart. Похоже, источник атаки сомнений не вызывает.

Данные вредоносные скрипты детектируются нами как Exploit.JS.Twetti.a, а используемые для проведения атаки URL включены в черные списки. Сейчас мы работаем над тем, чтобы вывести из строя эти вредоносные URL и, насколько возможно, минимизировать нанесенный пользователям ущерб. Разумеется, мы проинформировали о проблеме не только Twitter, но и другие крупные социальные сети.

ДОПОЛНЕНИЕ: Twitter подтвердил, что данная уязвимость уже закрыта.

Наконец-то Twitter отменил возможность базовой аутентификации для сторонних приложений, введя обязательную авторизацию по протоколу OAuth для всех приложений, — давно пора. Это событие должно порадовать всех, кто заботится о безопасности своей учетной записи на Twitter.

Таким образом, закрывается потенциальная уязвимость в процессе предоставления доступа считывания/записи сторонним приложениям, что могло привести к взлому учетной записи на Twitter. Теперь это исключено. Вам больше не нужно сообщать имя пользователя и пароль сторонним разработчикам, если вы хотите использовать их приложение в своем аккаунте на Twitter.

Меня всегда интересовали вопросы безопасности, и я приветствую переход Twitter на OAuth. Это позволяет мне использовать приложение без необходимости сообщать имя пользователя и пароль на Twitter неизвестно кому. Также честь и хвала всем разработчикам, которые вовремя обновили свои приложения и сделали это максимально безболезненно для большинства пользователей.

Однако не стоит забывать, что OAuth не обеспечивает защиту от локальных атак, т.е. от кражи паролей непосредственно с компьютеров пользователей. При входе на Twitter убедитесь, что ваш компьютер не заражен. Также предлагаю вашему вниманию свое краткое руководство на сайте Threatpost, How to Avoid Getting Your Twitter Account Hacked («Как избежать хакерской атаки на Twitter-аккаунт»), где можно найти дополнительные советы по безопасности.

С каждым днем я вижу все больше жалоб на то, как социальная сеть Facebook обращается с личной информацией своих пользователей:

Я хотел бы убрать список своих друзей из общего доступа. Не могу.
Я хотел бы сделать так, чтобы мой профиль был доступен моим друзьям и недоступен моему боссу. Не могу.
Я хотел бы поддерживать группу противников абортов и при этом не сообщать об этом своей маме и всему свету. Не могу.

Всю эту информацию Facebook делает доступной широкой публике, пользуясь предварительным согласием пользователей на ее разглашение.

Дальше – хуже. Возможны ведь и утечки данных, которые нежелательны для всех – как для Facebook, так и для пользователей. Достаточно посмотреть на новейшую уязвимость Facebook, ставшую достоянием гласности. Именно так: содержимое чата могло попасть в руки злоумышленников, равно как и списки друзей и прочие персональные данные. Хорошего мало!

Даже если вы очень захотите взять ситуацию под контроль, вам это не удастся. Представьте себе на минуту, что все стало идеальным. У Facebook появились на 100% точные и настраиваемые установки, определяющие раскрытие личных данных, и лишь ваши немногочисленные друзья теперь могут увидеть ваш номер телефона или фотографии того, как вы напились на вчерашней вечеринке. Представьте себе также, что платформа, на которой построена социальная сеть, стала технически безупречной, без единой уязвимости. Я знаю, что это утопия, но надо довести вопрос до его логического завершения. Даже в таком совершенном мире, где все безупречно, можно представить себе, что у одного из ваших верных друзей по Facebook компьютер оказался заражен, а его параметры входа на сайт социальной сети украдены. С этого момента вся информация, которую вы так заботливо оберегали от посторонних глаз, может стать доступна любой аудитории. И в этом даже не будет вашей вины!

У этой проблемы есть простое решение. Просто удалите свою учетную запись. И все. Просто, не так ли? Конечно, но посмотрим правде в глаза: подобного развития событий вряд ли стоит ожидать в обозримом будущем. Мы будем продолжать жаловаться – только для того, чтобы, вернувшись домой, снова войти в свою учетную запись на Facebook.

Я предлагаю нечто иное. Этот совет я даю всем, кто спрашивает мое мнение о защите частной информации в социальных сетях: если уж вы завели учетную запись, стройте свое поведение исходя из того, что рано или поздно то, что вы делаете в онлайне, станет доступно всем. Ожидайте лучшего, но готовьтесь к худшему. Не загружайте на сайт картинку, не размещайте ссылку или комментарий, если не готовы нести ответственность за свои действия. Я знаю, что иногда трудно принять решение, но если вы не уверены в правильности поступка, не совершайте его. Не размещайте информацию, если не готовы поделиться ей с любым человеком из своей прошлой, настоящей и будущей жизни. Будьте честны прежде всего с собой – и у вас не будет проблем. Мне кажется, это вопрос здравого смысла.

Читая статью на сайте Wired.com об Альберто Гонсалесе, хакере, взломавшем систему безопасности розничной сети TJX, укравшем данные о более чем 90 млн кредитных и дебетовых карт покупателей и приговоренном к 20 годам тюрьмы, я наткнулся на интересную кампанию «черной» оптимизации для поисковых систем (SEO). Цель этой кампании — распространение фальшивых антивирусов через Google.

Сделав невинный поисковый запрос об Альберте Гонсалесе, я получил следующие результаты:

Как видите, на первых местах — ссылки довольно странного вида, причем они появились на страничке результатов Google совсем недавно, не раньше, чем час назад. Ссылка, появившаяся всего лишь 9 минут назад, стала второй по популярности в системе Google, сразу вслед за статьей на сайте Wired.com. Судя по всему, киберпреступники проявляют чудеса изобретательности, чтобы обойти алгоритмы Google.

А куда же ведут эти ссылки? Для неискушенного глаза они выглядят как ссылки на вполне себе законные статьи на Wikipedia, но на поверку таковыми не являются. А ведут они на PHP-скрипты со случайными названиями, которые были загружены на взломанные сайты и затем раскручены методами «черного SEO», так что ссылки на них вышли на первые места на страничке результатов поиска Google.

Ссылки выглядят так:

h**p://*****ms.net/yvmay.php
h**p://***************ring.com/cedxz.php
h**p://*****m.org/apyhe.php
h**p://*****w.com/johzs.php
h**p://*****pod.com/oagnz.php
h**p://**********arm.com/lekgz.php, и т.д.

Все эти ссылки сами по себе вредоносными не являются, но служат для переадресации запросов на один и тот же вредоносный сайт, расположенный по адресу h**p://************.**rg.pl. Сайт распространяет фальшивые антивирусы и выглядит так:

Разумеется, это — всего лишь еще один пример того, как киберпреступники используют хорошие или плохие горячие новости для того, чтобы распространить свои зловреды.

Как всегда, безопасность в интернете во многом зависит от нас с вами. Так что будьте осторожны и не нажимайте на подозрительные ссылки! :)

Во вчерашнем блоге мы писали, что на этой неделе ожидаем увеличения количества командных серверов червя Koobface:

«Киберпреступники заинтересованы в том, чтобы количество командных серверов не падало ниже определенной величины, иначе они могут потерять контроль над ботнетом. Поэтому, видимо, в скором времени злоумышленники активизируют новые командные центры Koobface-ботнета».

Догадайтесь, что произошло? Вчера вечером Koobface начал добавлять новые серверы:

Общее количество активных командных серверов Koobface значительно увеличилось по сравнению с минимумом, зафиксированным вчера — 65 серверов — и на данный момент составляет 225. Это самое большое количество командных серверов Koobface, зафиксированное нами в течение суток, и мы продолжаем находить все новые и новые серверы.

Мы уже начали контактировать с владельцами зараженных сайтов для того, чтобы как можно быстрее отключить C&C и очистить сайты от вредоносного контента.

Привет всем с Ближнего Востока! Я в Кувейт-Сити, выступаю с презентацией на форуме Kuwait ICT Security. О чем моя презентация? Конечно же, на злобу дня — об угрозах Web 2.0.

В разговоре об угрозах Web 2.0 ключевая тема — это социальная инженерия, или попросту психологические атаки, и её роль в заражении компьютеров невинных пользователей. Понятие психологических атак существовало всегда, или по крайней мере задолго до появления социально-сетевых сайтов. Однако в наши дни, когда абсолютно все, включая любимую собаку, ходят на сайты типа Facebook, Twitter или тех же «Одноклассников», эти два понятия, похоже, стали ассоциироваться друг с другом. Социальные сети и социальная инженерия — звучит похоже, не так ли?

В последнее время нами был зафиксирован всплеск фишинговых атак на страницу авторизации Facebook. Через систему обмена сообщениями этого сайта злоумышленники стали рассылать ссылки на www.fbaction.net — сайт, специально разработанный как клон страницы авторизации Facebook.

Зачем злоумышленникам понадобились пароли к Facebook? Очень просто: рассылаемый через социальные сети вредоносный код распространяется в десять раз более эффективно, чем вредоносный код, рассылаемый через электронную почту. Пользователь гораздо охотнее щелкнет по ссылке, если она пришла к нему от друга, которому пользователь доверяет (ну или от любимой собаки), а не в случайном спам-письме.

Защитите себя: создайте закладку на входную страницу любимого сайта, или вручную набирайте www.facebook.com в адресной строке браузера. Или, еще лучше, используйте HTTPS, особенно если вы выходите в сеть с публичного компьютера: https://www.facebook.com.

Этот совет, естественно, актуален не только для Facebook. Так что удачно вам пообщаться! Или, лучше сказать, безопасного общения!