Mostrando postagens com marcador Phising. Mostrar todas as postagens
Mostrando postagens com marcador Phising. Mostrar todas as postagens


A engenharia social é uma técnica executada por criminosos cibernéticos que se entregam à exploração das fraquezas humanas. O ato da Engenharia Social envolve várias técnicas, todas envolvendo a manipulação da psicologia humana.
Os atores de ameaças dependem especialmente da engenharia social para obter facilmente informações confidenciais das vítimas. O ataque de engenharia social depende da construção de confiança com a vítima, para que ele nunca suspeite em fornecer suas informações pessoais, como números de telefone, senhas, número de previdência social, etc.,
É comprovado que essa técnica foi a mais bem-sucedida quando se trata de invadir a rede de uma organização. Os hackers podem se disfarçar como uma pessoa de auditoria de TI ou um administrador de rede externo e facilmente obter acesso dentro de um edifício sem suspeitar. Uma vez dentro da organização, eles seguem várias outras técnicas de engenharia social para comprometer sua rede .
Uma das maiores fraquezas que uma organização pode possuir é a falta de conhecimento de segurança da informação com seus funcionários. Essa falta de conhecimento em segurança cibernética oferece uma grande vantagem para os hackers realizarem ataques que causam violações de dados na organização.

Tipos de ataque de engenharia social


Existem muitos ataques de engenharia social que podem ser usados ​​por atores de ameaças. Alguns deles são,
1. Phishing
2. Vishing
3. Spoofing
4. Tailgating
5. Quid pro quo
6. Baiting

1. Phishing

O phishing é o ataque mais simples e eficaz que um hacker pode usar para roubar credenciais como nome de usuário, senha, número de segurança social, segredos da organização ou detalhes de cartão de crédito. Às vezes, o phishing também é usado para espalhar malware dentro de uma rede. Em geral, o phishing envolve engenharia social e falsificação

2. Vishing

Vishing é semelhante ao phishing, que envolve ligar para a vítima e fingir ser um chamador legítimo. Depois que a vítima acreditar sem suspeitar, será fácil para o hacker obter informações confidenciais, como estrutura de rede, detalhes do funcionário, detalhes da conta da empresa etc., 

3. Spoofing

O spoofing é um tipo de ataque no qual “o que vemos parecerá, mas não é”. Em termos de segurança cibernética, o spoofing nada mais é do que disfarçar-se de fonte legítima para obter informações confidenciais ou obter acesso a algo . Um invasor pode nos levar a acreditar que ele é da fonte original por falsificação. 
Tailgating ou piggybacking é uma técnica seguida por atores de ameaças para entrar em um prédio da organização. Durante esse ataque, os atores da ameaça esperam que um funcionário / pessoa entre dentro de um local onde o acesso a pessoas de fora é restrito e os seguem para dentro do edifício, uma vez que eles usam seus cartões de acesso ou chave de acesso para abrir a porta.

5. Quid pro quo 

Quid pro quo em latim significa "favor a favor". Nesse caso, o hacker se comunica com um funcionário de uma empresa e oferece um acordo. Dinheiro em troca de informações ou qualquer coisa que o funcionário deseje.
Na maioria dos casos, o dinheiro é o lema principal. Os hackers se comunicam com um funcionário atual ou um ex-funcionário e pedem para fornecer informações confidenciais, como privilégios de administrador, senha de administrador, estrutura de rede ou qualquer outro dado necessário em troca do desejo do funcionário.
Os hackers convencem os funcionários a divulgar as informações fazendo um acordo pessoal com eles. Essa é considerada uma das sérias ameaças em uma organização porque as informações são fornecidas intencionalmente por um funcionário.

 6. Baiting 

Como a palavra descreve, os hackers criam iscas como unidades flash USB, CD-ROMs, disquetes ou leitores de cartões .
Eles criam pastas dentro dos dispositivos, como Projetos, revisam as folhas de pagamento da organização e as largam em áreas sensíveis (elevadores, banheiros, lanchonetes ou estacionamentos) onde os funcionários costumavam mantê-las.
Depois que um funcionário pega e insere o USB no computador, o script dentro do dispositivo é executado e dá controle total aos hackers. Esse método de engenharia social é chamado de isca.

O que é engenharia social? Como funciona?

21:01 , ,



Um chinês  desenvolveu novos recursos para direcionar sistemas com falta de ar, na tentativa de filtrar dados confidenciais para espionagem, de acordo com uma pesquisa publicada recentemente pela Kaspersky.

O APT, conhecido como Cycldek, Goblin Panda ou Conimes, emprega um extenso conjunto de ferramentas para movimentação lateral e roubo de informações nas redes de vítimas, incluindo ferramentas, táticas e procedimentos personalizados não relatados anteriormente em ataques contra agências governamentais no Vietnã, Tailândia e Laos.

"Uma das ferramentas recém-reveladas é denominada USBCulprit e foi encontrada a confiar na mídia USB para filtrar os dados das vítimas", Kasperskydisse. "Isso pode sugerir que a Cycldek esteja tentando alcançar redes com falta de ar nos ambientes das vítimas ou confie na presença física para o mesmo objetivo".

Observada pela primeira vez pelo CrowdStrike em 2013, a Cycldek tem uma longa história de destacar os setores de defesa, energia e governo no sudeste da Ásia, particularmente no Vietnã, usando documentos ilegais que exploram vulnerabilidades conhecidas (por exemplo, CVE-2012-0158, CVE-2017-11882 , CVE-2018-0802) no Microsoft Office para eliminar um malware chamado NewCore RAT.

Exfiltrando dados para unidades removíveis


A análise da Kaspersky sobre o NewCore revelou duas variantes diferentes (denominadas BlueCore e RedCore) centradas em dois grupos de atividades, com semelhanças no código e na infraestrutura, mas também contêm recursos exclusivos do RedCore - a saber, um keylogger e um RDP logger que capturam detalhes sobre usuários conectados a um sistema via RDP.

"Cada grupo de atividades tinha um foco geográfico diferente", disseram os pesquisadores. "Os operadores do cluster BlueCore investiram a maior parte de seus esforços em metas vietnamitas com vários outliers no Laos e na Tailândia, enquanto os operadores do cluster RedCore começaram com foco no Vietnã e foram desviados para o Laos até o final de 2018".

Os implantes BlueCore e RedCore, por sua vez, baixaram uma variedade de ferramentas adicionais para facilitar o movimento lateral (HDoor) e extrair informações (JsonCookies e ChromePass) de sistemas comprometidos.

O principal deles é um malware chamado USBCulprit, capaz de digitalizar vários caminhos, coletando documentos com extensões específicas (* .pdf; *. Doc; *. Wps; * docx; * ppt; *. Xls; *. Xlsx; * .pptx; *. rtf) e exportá-los para uma unidade USB conectada.

Além disso, o malware é programado para se copiar seletivamente em determinadas unidades removíveis, para que possa se mover lateralmente para outros sistemas com folga de ar sempre que uma unidade USB infectada for inserida em outra máquina.

Uma análise de telemetria da Kaspersky descobriu que a primeira instância do binário remonta a 2014, com as amostras mais recentes registradas no final do ano passado.

O mecanismo inicial de infecção baseia-se no aproveitamento de binários mal-intencionados que imitam componentes antivírus legítimos para carregar o USBCulprit no que é chamado de seqüestro de ordem de pesquisa DLL antes de continuar a coletar as informações relevantes, salvá-las na forma de um arquivo RAR criptografado e extrair os dados para um dispositivo removível conectado.

"As características do malware podem dar origem a várias suposições sobre seus objetivos e casos de uso, um dos quais é alcançar e obter dados de máquinas com folga", disseram os pesquisadores. "Isso explicaria a falta de qualquer comunicação de rede no malware e o uso de apenas mídia removível como meio de transferir dados de entrada e saída".

Por fim, as semelhanças e diferenças entre os dois tipos de malware são indicativas do fato de que os atores por trás dos clusters estão compartilhando código e infraestrutura, enquanto operam como dois ramos diferentes em uma única entidade maior.

"O Cycldek é um exemplo de ator que tem uma capacidade mais ampla do que a percebida publicamente", concluiu Kaspersky. "Embora a maioria das descrições conhecidas de sua atividade dê a impressão de um grupo marginal com recursos inferiores, a variedade de ferramentas e o período de operações mostram que o grupo tem uma posição extensa dentro das redes de alvos de destaque no sudeste asiático".

Nova ferramenta de espionagem USBCulprit rouba dados de computadores

21:04 , , , , , , , ,


A Microsoft corrigiu uma vulnerabilidade do tipo worm em sua plataforma de bate-papo por vídeo e colaboração no local de trabalho do Teams, que poderia permitir que os invasores assumissem o controle de toda a lista de contas do Teams apenas enviando aos participantes um link malicioso para uma imagem de aparência inocente.

A falha, impactando as versões desktop e web do aplicativo, foi descoberta por pesquisadores de segurança cibernética da CyberArk. Depois que as descobertas foram divulgadas com responsabilidade em 23 de março, a Microsoft corrigiu a vulnerabilidade em uma atualização lançada em 20 de abril.

"Mesmo que um invasor não colete muitas informações da conta de uma equipe, ele ainda poderá usá-la para percorrer toda a organização. (como um verme) ", disse Omer Tsarfati , da CyberArk .

"Eventualmente, o invasor pode acessar todos os dados das contas das equipes da organização - reunindo informações confidenciais, informações sobre reuniões e calendários, dados competitivos, segredos, senhas, informações particulares, planos de negócios etc."

O desenvolvimento ocorre quando softwares de videoconferência, como Zoom e Microsoft Teams, estão testemunhando um aumento sem precedentes na demanda, pois empresas, estudantes e até funcionários do governo em todo o mundo são forçados a trabalhar e socializar em casa durante a pandemia de coronavírus.

Vulnerabilidade de controle de subdomínio


A falha decorre da maneira como o Microsoft Teams lida com autenticação para recursos de imagem. Sempre que o aplicativo é aberto, um token de acesso, um JSON Web Token (JWT) é criado durante o processo, permitindo que o usuário visualize imagens compartilhadas pelo indivíduo ou por outras pessoas em uma conversa.


Os pesquisadores da CyberArk descobriram que foram capazes de se apossar de um cookie (chamado "authtoken") que concede acesso a um servidor de recursos (api.spaces.skype.com) e o usaram para criar o "token do skype" mencionado acima, fornecendo assim permissões ilimitadas para enviar mensagens, ler mensagens, criar grupos, adicionar novos usuários ou remover usuários de grupos, alterar permissões em grupos por meio da API do Teams.

Isso não é tudo. Como o cookie authtoken deve ser enviado para teams.microsoft.team ou qualquer um de seus subdomínios, os pesquisadores disseram ter descoberto dois subdomínios (aadsync-test.teams.microsoft.com e data-dev.teams.microsoft.com) que eram suscetíveis a ataques de controle.
Agora armado com os subdomínios comprometidos, um invasor pode explorar a falha apenas enviando um link malicioso, digamos um GIF, para uma vítima inocente ou para todos os membros de um bate-papo em grupo . Assim, quando os destinatários abrem a mensagem, o navegador tenta carregar a imagem, mas não antes de enviar os cookies de autenticação automática para o subdomínio comprometido.

"Se um invasor puder de alguma forma forçar um usuário a visitar os subdomínios que foram controlados, o navegador da vítima enviará esse cookie ao servidor do invasor, e o atacante (após receber o authtoken) poderá criar um token do skype", afirmaram os pesquisadores . "Depois de fazer tudo isso, o atacante pode roubar os dados da conta da equipe da vítima".

O mau ator pode abusar desse cookie de autenticação automática para criar um token do skype e, portanto, acessar todos os dados da vítima. Pior, o ataque pode ser montado por qualquer pessoa de fora, desde que a interação envolva uma interface de bate-papo, como um convite para uma teleconferência para uma possível entrevista de emprego.

"A vítima nunca saberá que foi atacada, tornando a exploração dessa vulnerabilidade furtiva e perigosa", disseram os pesquisadores.

Ataques temáticos da empresa de videoconferência em ascensão


A mudança para o trabalho remoto em meio à pandemia de COVID-19 em andamento e o aumento da demanda por serviços de videoconferência tornaram-se uma tática lucrativa para os invasores roubarem credenciais e distribuírem malware.

Pesquisas recentes da Proofpoint e da Anormal Security descobriram campanhas de engenharia social pedindo aos usuários para participar de uma reunião do Zoom ou abordar uma vulnerabilidade de segurança do Cisco WebEx clicando em links maliciosos projetados para roubar credenciais de login.

Diante dessas ameaças emergentes, é recomendável que os usuários tomem cuidado com golpes de phishing e garantam que o software de videoconferência seja mantido atualizado.

Como uma imagem poderia permitir que invasores invadissem contas de equipes da Microsoft

13:35 , , , ,
Assinar: Postagens (Atom)

 
Anonymous News © 2020 - All Rights Reserved Designed by Anonymous NewsLuizCod3r