Cisco Romania Blog

Atenție, poți fi “fericitul” câștigător al unui malware!

3 min read



Majoritatea dintre noi suntem utilizatori de internet și, implicit, de informații și servicii furnizate de companii care activează în diverse ramuri economice. Companii în care avem încredere, prin urmare nu punem la îndoială unele mesaje pe care le primim pe mail, ce par perfect legitime.

Trebuie să ținem cont, însă, de faptul că există persoane și grupuri care încearcă să ne păcălească pentru propriul profit. În ultimii 20 de ani, criminalii cibernetici și-au dezvoltat tehnicile de phishing. Oricine poate deveni o țintă.

În ultimele trei luni, soluția Cisco Cognitive Threat Analytics a detectat o creștere bruscă a numărului de utilizatori care accesează un anumit tip de campanie de phishing, pe care o vom numi simplu, „Lucky Winner”. Prin această campanie, utilizatorii sunt ademeniți să răspundă la câteva întrebări pentru a câștiga un premiu special, de obicei cel mai recent model de telefon iPhone sau Samsung. Companii importante, precum Google, Facebook, Microsoft și Apple au fost folosite pentru a câștiga încrederea utilizatorilor, criminalii cibernetici reușind să fure astfel informații personale sau să infecteze utilizatorii cu aplicații nedorite sau programe malware.

Vă voi explica în continuare cum funcționează campania „Lucky Winner” și cum vă puteți proteja împotriva acestei amenințări de securitate.

Felicitări, ați câștigat!

Campania „Lucky Winner” utilizează domenii (vezi Figura 1) care imită adrese web ale unor companii cunoscute, bazându-se pe faptul că, în prezent, barele de adrese din browserul mobil sunt mici, iar utilizatorii nu văd adresa URL completă, ci doar prima parte, elaborată astfel încât să arate ca un site legitim (a se vedea Figura 2).

Figura 1

Figura 2

Când utilizatorul accesează adresa URL, pe ecran îi apare o notificare privind câștigarea unui premiu, pe care îl poate obține dacă răspunde la niște întrebări. Întrebările se schimbă, în funcție de compania pe care criminalii cibernetici o folosesc în atac. De exemplu: „Cine a fondat Facebook” (Mark Zuckerberg, Warren Buffet sau Bill Gates) sau „Cine a fondat Apple” (Mark Zuckerberg, Bill Gates sau Steve Jobs).

După ce utilizatorul răspunde la cele trei întrebări, pe ecran apar trei cufere care conțin „Premiul”, din care ar trebui să aleagă utilizatorul. Odată premiul ales, apare o fereastră de dialog care îi cere utilizatorului să revendice premiul și să citească termenii și condițiile.

Când utilizatorul apasă butonul de „revendicare” a premiului, va fi redirecționat către diferite pagini web, fie un site de reclame, fie site-uri de jocuri online care pot infecta utilizatorii cu malware sau alte tipuri de phishing, cum ar fi celebra Roata norocului (a se vedea Figura 3).

Figura 3

Ce informații colecționează infractorii? Furnizorul de internet al utilizatorului, tipul de  platformă (desktop sau mobil), adresa IP, domeniul referer, pagina referer sau adresa referer URL, ID-ul paginii referer. Campania Lucky Winner vizează toate platformele cunoscute, inclusiv iOS, Android, Windows și probabil (nu avem încă această confirmare) utilizatorii de Mac OS și Linux.

Am efectuat o analiză rapidă a cuvintelor tipice utilizate pentru conceperea Second Level Domains (SLD) utilizate de campania Lucky Winner. Cel mai comun cuvânt este „com”, deoarece această campanie încearcă să cloneze domenii foarte cunoscute, cum ar fi facebook.com, google.com, apple.com și microsoft.com (Vezi Figura 4).

Figura 4

Utilizatorii ar trebui să fie atenți la fiecare accesare a site-urilor care includ o combinație a cuvintelor „com”, „gadget”, „reward”, „lucky”, „winner”, „promo” și „gift” sau variații ale acestora.

În plus, am analizat și Top Level Domains (TLD) utilizate în campania Lucky Winner. Analiza noastră arată că 50% din domeniile utilizate de această campanie în ultimii doi ani au fost înregistrate cu TLD-uri: .online, .space, .club, .xyz, .win, .faith, .site, .bid, .review și .accountant (a se vedea figura 5).

Figura 5

Cum ne protejăm

De fiecare dată când primim un link sau un atașament prin e-mail sau prin SMS, trebuie să ne întrebăm „De ce?”. Companiile cunoscute trimit foarte rar clienților oferte prin care pot câștiga premii, de obicei astfel de anunțuri sunt făcute prin intermediul canalelor oficiale de comunicare. Pentru a vă asigura că nu sunteți înșelat, întotdeauna verificați informațiile înainte de a clic pe orice link.

Cu toate acestea, vor exista întotdeauna oameni care, din diverse motive, vor accesa aceste site-uri suspecte. Instrumentele de monitorizare a rețelei ajută la detectarea cu succes a atacurilor phishing. Cognitive Threat Analytics (CTA) descoperă sute de domenii phishing în fiecare săptămână. Cisco CTA modelează comportamentul rețelei și, printr-un proces rafinat și o serie de algoritmi de tip Machine Learning este capabilă să identifice domenii phishing necunoscute și să reducă timpul de răspuns la incidente.

De asemenea, Cisco CTA este integrată cu AMP for Endpoints și StealthWatch!

Pentru a solicita o evaluare gratuită în urma căreia să identificați programele adware sau comunicațiile de tip command and control care se ascund în rețeaua companiei, vă rugăm să accesați: https://cognitive.cisco.com/.

 

 

Lăsați un comentariu