MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Почитувани,

На 20.06.2022, на социјалниот медиум Facebook детектирана е лажна страна на која лажно се претставува како македонска банка и преку која с еврши измама накорисници.

На страната е направена објава која содржи графички елементи и визуелизации кои се преземени од веб-страници на банката. На страната се побарува од корисниците да коментираат доколку сакаат да добијат линк за добивање на наградата. При избор на „одредено плико во коментар“, односно по оставање на коментар на објавата, се добива приватна автоматизирана порака од напаѓачот со линк за регистрација.

На следната слика може да се воочи дека моментално има повеќе од 500 коментари и 161 споделба од Facebook корисници. Facebook корисниците при оставање на коментар од објавата добиваат приватна порака со линк за регистрација, прикажана на следната слика.

На горенаведената слика е прикажана автоматизираната порака која се добива по коментирање на објавата, каде доколку се кликне на „РЕГИСТРИРАЈ СЕ ТУКА“, се отвара линк https://sites.google.com/view/<ime_nab_banka>-bank-makedonia/halaman-muka во кој се гледа дека лажната веб страна е поставена на sites.google.com.

На линкот којшто е поврзан со копчето за регистрација, може да се види на следната слика којашто претставува редирекција кон fortnite.100vipgames.com со цел да се заработува во однос на кликови и лажирање на содржината на играта Fortnite такашто се праќа платена порака во износ од 59 денари со ддв.

Сервисот кој што се користи за злоупотреба на корисници потекнува од следниот линк
http://fortnite.100vipgames.com/mkd/ за македонски корисници и истиот е поставен како контакт центар со македонски контакт број.

За случајот е известена банката и дополнително се работи на известувања и барања до хостинг компаниите и регистрарите на домените да ги исклучат штетните страници.

Општи препораки:

Не кликнувајте на линкови и не одговарајте на пораки од непознати испраќачи.

Детално проверете ја адресата од профилите и страниците на  Facebook и другите социјални медиуми, за да се осигурате дека пристапувате на официјална страница на банката или која било друга компанија со која соработувате. Доколку не сте сигурни, контактирајте ја компанијата по друг канал – телегфон, порака по е-пошта, за потврда на веродостојноста на профилот и страницата поставени на социјалната мрежа.

Секоја лажна страница и профил поставен на Facebook можете да ги пријавите преку опцијата „Report page“. На тој начин ќе помогнете да се спречи понатамошната штетна активност.

Лажните страници, спам и фишинг пораки можете да ги пријавите и до MKD-CIRT со испраќање на порака со линк кон страницата или копии од фишинг-пораките на info@mkd-cirt.mk.

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Почитувани, Националниот центар за одговор на компјутерски инциденти известува дека на 15 јуни 2022 година е забележана фишинг кампања што цели на македонски адреси за е-пошта, преку лажно претставување со маскирање на вистинската адреса од испраќачот и потенцијално малициозен додаток во вид на MS Word документ.

Испраќач: маскирана адреса со лажно претставување

Назив: нема назив (No Subject)

Содржина:„ Во прилог Ви го доставуваме известувањето за Вашата наплата од странство.

Доколку имате забелешки во врска со добиените податоци, Ве молиме да се обратите до најблиската експозитура на <Ime na banka>

Доколку имате потпишано Овластување за распоред на наплата од нерезидент-девизен прилив, Ве молиме податоците за основот/документи доставете ги до DevizniPrilivi@<meil adresa na banka>.

Ви благодариме на соработката “

Малициозен додаток: MS Word документ со наслов „International remittance $11,543.66.doc“; големина 14 KB; тип – вграден штетен код од тип Exploit, Downloader, Backdoor.

Линк кон анализа на VirusTotal: https://www.virustotal.com/gui/file/925e42870a4909b0d47a08c2f97d0adf93e1afe9c4913ccb691315efa69bd224/detection

Слика од пораката:

Oвој малициозен додаток е од тип „Exploit, Downloader, Backdoor“ и им овозможува на криминалците необластен пристап до комјутерот и извршување на дополнителни штетни активности. Можно е искористување на ранливост CVE-2017-11882, “Microsoft Office Memory Corruption Vulnerability” Влијанието на ранливоста може да варира од извршување на малициозен софтвер до напаѓачот да стекне целосна контрола врз компромитираниот уред.

Препораки: За заштита од овој малвер, Miscrosoft има објавено насоки на следниот линк:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2017-11882

Не го отворајте додатокот од оваа или слични сомнителни пораки и истата веднаш избришете ја. Во пораката има  грешки кои укажуваат на лажно претставување. Повеќето комерцијални ажурирани антивирусни заштити го детектираат штетниот додаток и го бришат или предупредуваат при негово отворање. Доколку на компјутерот сте го отвориле додатокот, веднаш исклучете го компјутерот или уредот од локална мрежа и интернет и активирајте темелна антивирусна проверка на целиот систем. Избришете ја пораката. Побарајте помош и совет од лице задолжено за ИТ/техничка поддршка. Доколку користите некој од пакетите Microsoft Office, најитно имплементирајте ги достапните надградби од официјалната страница на Microsoft. Имајте постојано активна и навремено ажурирана антивирусна заштита на сите уреди преку кои пристапувате на интернет или локална компјутерска мрежа.

Општи препораки за заштита:

• Редовно ажурирање на оперативен систем и апликациите што ги користите
• Користете само легален софтвер
• Правете редовно бекап на важните податоци и чувајте копија на преносен медиум или уред за чување на податоци што ќе го чувате на друга локација, исклучен од компјутер и од мрежа
• Внимавајте при отворање на пораки по е-пошта или апликации за комуникација. Не отворајте сомнителни пораки. Ако испраќачот ви е познат, пред да отворите порака или додаток контактирајте го по телефон или со SMS порака за потврда на веродостојноста на пораката. Пријавете доколку пораката ви е сомнителна. Побарајте совет од лице со ИТ познавања

Секоја сомнителна пораката можете да ја пратите до нас на prijavi@mkd-cirt.mk и info@mkd-cirt.mk

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Над 3,6 милиони MySQL сервери се јавно изложени на Интернет и одговараат на query, што ги прави атрактивна цел за хакерите и изнудувачите.

Од овие достапни MySQL сервери, 2,3 милиони се поврзани преку IPv4, а 1,3 милиони уреди преку IPv6.

Иако е вообичаено веб-услугите и апликациите да се поврзуваат со оддалечени бази на податоци, овие примероци треба да се заклучат за да можат да се поврзат само овластени уреди со нив.

Понатаму, изложеноста на јавниот сервер секогаш треба да биде придружена со строги кориснички политики, менување на стандардната порта за пристап (3306), овозможување бинарно евидентирање, внимателно следење на сите прашања и спроведување на криптирање.

Во скенирањата извршени минатата недела од истражувачката група за сајбер безбедност The Shadowserver Foundation, аналитичарите открија 3,6 милиони изложени MySQL сервери користејќи ја стандардната порта, TCP портата 3306.

„Иако не го проверуваме нивото на можен пристап или изложеноста на одредени бази на податоци, овој вид на изложеност е потенцијална површина за напад што треба да се затвори“, се објаснува во извештајот од Shadow Server.

Земјата со најпристапни MySQL сервери се Соединетите Американски Држави, надминувајќи 1,2 милиони. Други земји со значителен број се Кина, Германија, Сингапур, Холандија и Полска.

Препорака:

За да научите како безбедно да распоредите MySQL сервери и да ги затворите безбедносните пропусти што може да се кријат во вашите системи, MKD-CIRT им препорачува на администраторите да ги прочитаат упатството за верзијата 5.7 или за верзијата 8.0.

Извор:

https://www.bleepingcomputer.com/