Postřehy z bezpečnosti: phishing zaměřený na účty chráněné pomocí 2FA

31. 12. 2018
Doba čtení: 3 minuty

Sdílet

Dnes se podíváme na spear-phishingové útoky zaměřené na převzetí účtů chráněných pomocí 2FA, na dalšího hackera s dobrými úmysly, ransomware napadající linuxové servery přes IPMI, problémy společnosti Huawei a na další zajímavosti.

Amnesty International varovala před phishingovými útoky zaměřenými na převzetí účtů u služeb Gmail a Yahoo chráněných 2FA. Útočníci poslali falešné bezpečnostní varování, upozorňující na potenciální kompromitování přihlašovacích údajů dotyčné osoby a vyzývající k urychlené změně hesla. Po kliknutí na odkaz skončila oběť na phishingové stránce, která po zadání hesla požadovala ještě zadání ověřovacího kódu, který přišel SMS.

Útočníci se zaměřovali na ochránce lidských práv a novináře ze Středního východu a severní Afriky. Vyšetřováním se zjistilo, že tento spear-phishingový útok měl nejspíš původ ve Spojených arabských emirátech, Jemenu, Egyptě a Palestině. Útočníkům se podařilo útok automatizovat a převzít účty obětí.

Naše postřehy

To si tak sedíte večer na dvoře a najednou se z vašeho domu ozve neznámý hlas. Přesně toto se stalo uživateli z amerického Phoenixu. Neznámý hacker se připojil na jeho bezpečnostní kameru, aby ho upozornil, že uniklo jeho přihlašovací jméno a heslo a že po něm přijdou jiní, horší – a ti už se nezakecají.

Bezpečnostní experti objevili chyby v zařízeních Twinkly IoT Christmas lights. Světla mohou být ovládána mobilní aplikací, která je řídí pomocí nešifrované komunikace po lokální síti. Díky tomu se podařilo vstoupit do komunikace a analyzovat API i uložená hesla pro vzdálenou komunikaci protokolem MQTT. Díky tomu experti dokázali na světlech v kanceláři hrát hru Snake, známou z telefonů Nokie. Také vytvořili stránku, která, pokud je navštívena, provede enumeraci zařízení na lokální síti a pokud najde světla Twinkly, instruuje je k zobrazení hlášky „Hack the Planet!“. To muselo dát práce, a přitom taková blbost.

Některé modely routerů Huawei mají v HTML kódu přihlašovací stránky několik proměnných. Zajímavé je, že analýzou hodnoty jedné z nich lze zjistit, zda zařízení stále používá výchozí jméno a heslo. Podle Ankita Anubhava, který chybu našel, pak stačí útočníkovi použít služby jako ZoomEye nebo Shodan a bez nutnosti skenovat Internet nebo někde naslepo zkoušet jména a hesla může jít útočník rovnou na věc. Společnost Huawei již vydala příslušné záplaty.

U společnosti Huawei však ještě chvíli zůstaneme. Pro případ, že jste to v předvánočním shonu nezaznamenali, Národní úřad pro kybernetickou a informační bezpečnost vydal varování před používáním softwaru i hardwaru společností Huawei Technologies Co., Ltd., a ZTE Corporation. Dle vyjádření NÚKIBu je hlavním problémem právní a politické prostředí Čínské lidové republiky, ve kterém uvedené společnosti primárně působí. Čínské zákony vyžadují po soukromých společnostech působících v Číně mimo jiné součinnost při zpravodajských aktivitách, a tudíž pouštět je do systémů, které jsou klíčové pro chod státu, může představovat hrozbu. Možná by pro naši bezpečnost stačilo být korektní a neříkat čínské firmě čínská firma, ale česká firma asijského původu.

Nový ransomware JungleSec napadá od listopadu linuxové servery s využitím špatně zabezpečených IPMI (Intelligent Platform Management Interface) rozhraní. V jednom z popsaných případů bylo na vině zneužití zranitelností, v dalším pak výchozí heslo nastavené výrobcem. Jakmile útočníci získali přístup k serveru, mohli restartovat počítač do single user módu a získat root přístup. Pak už jen stačilo stáhnout a zkompilovat ccrypt, zašifrovat soubory a zanechat ho s informacemi o požadované platbě.

bitcoin školení listopad 24

Všem čtenářům Postřehů přejeme hodně štěstí do nového roku. A jako bonus pro vás máme malou soutěž. V textu výše jsme schovali dva odkazy na známé filmy a jednu divadelní hru. Pro první tři, kteří nám na naši adresu info@csirt.cz napíší, z jakých filmů/divadelních her tyto odkazy jsou, máme připravenou drobnou pozornost.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.