Tydzień temu - smishing na Profil Zaufany. Dzisiaj - kolejne wolumenowe SMS-y z podobnym motywem, acz nieco inną treścią. #CyberTarcza robi co może, domeny blokujemy, SMS-y też staramy się ograniczać. Ale uważać trzeba. https://lnkd.in/d_mE5_fK
CERT Orange Polska
Bezpieczeństwo komputerowe i bezpieczeństwo w sieci
Ochota, Mazowieckie 2198 obserwujących
Jednostka w strukturach Orange Polska, odpowiedzialna za bezpieczeństwo użytkowników, korzystających z sieci operatora.
Informacje
Jednostka reagowania na incydenty bezpieczeństwa teleinformatycznego w ramach Orange Polska. Certified by Trusted Introducer (2001), członek FIRST (2011). Podejrzany mail? Napisz do nas na cert.opl@orange.com Podejrzany SMS - prześlij na nr 508 700 900
- Witryna
-
https://cert.orange.pl
Link zewnętrzny organizacji CERT Orange Polska
- Branża
- Bezpieczeństwo komputerowe i bezpieczeństwo w sieci
- Wielkość firmy
- 51-200 pracowników
- Siedziba główna
- Ochota, Mazowieckie
- Rodzaj
- Spółka cywilna
- Data założenia
- 1997
Lokalizacje
-
Główna
Aleje Jerozolimskie
160
Ochota, Mazowieckie PL
Pracownicy CERT Orange Polska
Aktualizacje
-
CERT Orange Polska ponownie to opublikował(a)
Kampania AsyncRat podszywająca się pod faktury Orange Polska 👇🏻👇🏻👇🏻👇🏻👇🏻👇🏻👇🏻👇🏻👇🏻👇🏻👇🏻👇🏻👇🏻👇🏻👇🏻👇🏻 https://lnkd.in/d4g3FSnK A tutaj analiza możliwości AsycRat na przykładzie Kampanii Sizeer z 2022 https://lnkd.in/dqkRFp5Q
-
-
mObywatel, mDowód, Profil Zaufany... Strasznie tego dużo, wszędzie certyfikaty, jeden na trzy lata, drugi na rok... Można się pomylić, prawda? Oszuści też o tym wiedzą. Ba - wiedzą o tym bardzo dobrze. I pewnie dlatego, gdy mija rok od wprowadzenia mObywatela 2.0 i wielu z nas będzie wygasać certyfikat urządzenia, wysyłają smishing o konieczności odnowienia... Profilu Zaufanego. Uważajcie sami i ostrzeżcie tych, którzy faktycznie mogliby się pomylić! https://lnkd.in/dbTuMYRZ PS. Ciekawa domena.
-
-
CERT Orange Polska ponownie to opublikował(a)
❗ CERT Orange Polska w oparciu o analizę i informacje firmy Sansec podaje, że przeszło 100 tysięcy serwisów, używających kodu od polyfill[.]io z dużym prawdopodobieństwem może infekować odwiedzających złośliwych oprogramowaniem! "We wtorek 26 czerwca grupa badaczy zauważyła, iż strona cdn.polyfill[.]io używana jest jako element ataku na łańcuch dostaw (supply chain attack). W efekcie zamiast służyć za lokalizację dla skryptów, wspomagających funkcjonowanie stron, wstrzykuje złośliwy kod do skryptów na witrynach klientów." 👉 EDIT: I tu należy dodać, że analizę takiego ataku przeprowadził własnoręcznie zostając poważnym analitykiem i programistą :-) i opowiedział na konferencjach Krzysztof Zieliński (Security Case Study 2023, OhMyH@ck 2023: Od zera do hakera w ataku na łańcuch dostaw). Byłem słyszałem. Polecam. Z ważnych aktualizacji: ✔ Google zaczął już blokować Google Ads w witrynach eCommerce korzystających z Polyfill[.]io. ✔ Cloudflare zaimplementowało przepisywanie cdn.polyfill[.]io w czasie rzeczywistym do własnej wersji. ✔ Nieco później Namecheap całkowicie wstrzymał domenę, co eliminuje wszelkie obecne ryzyko. ✔ Jednak nadal zaleca się usunięcie wszelkich odniesień do pliku Polyfill[.]io w kodzie. CERT Orange Polska: https://lnkd.in/eGztzGPP Analiza Sansec: https://lnkd.in/eRJ8Y5CX Sansec wskazuje poniższe IoC związane z tym incydentem - fajnie brzmiące homograficzne domeny. Jednak wart zrozumieć cały łańcuch ataku; domen może być więcej a i inne wektory ataku mogą się pojawić (np. malware, te n0-day lub 0-click). ▶ hxxps://kuurza[.]com/redirect?from=bitget ▶ hxxps://www.googie-anaiytics[.]com/html/checkcachehw.js ▶ hxxps://www.googie-anaiytics[.]com/ga.js #CTI #SupplyChainAttack
-
-
Ściągaliście ostatnio Trello? A Notion? Tekst naszego eksperta Marka Olszewskiego dowodzi, że niekoniecznie musiała to być wersja, której byście oczekiwali. A nawet jeśli udało Wam się trafić na dobrą - warto przeczytać jak przestępcy podrzucają ofiarom aplikacje "z wkładką". https://lnkd.in/gQjiygwn #cybersecurity #CERTOrangePolska #malware #searchpoisoning
-
-
Czasem występujemy na konferencjach, a czasem konferencje przychodzą do nas. No może prawie, bo prezentację Michal Rosiak kręciła kamera z laptopa. Ciekawie i zwięźle o hasłach. Warto.
Kolejna festiwalowa premiera! Oglądaj na https://lnkd.in/dXzRqN6R ⏹ Jak powinno wyglądać bezpieczne hasło? ⏹ Jak je stworzyć – i jak zapamiętać? ⏹ Uwierzytelnianie dwuskładnikowe. Co to jest, i dlaczego jest świetne? ⏹ Michal Rosiak, Orange Polska - Ekspert Zabezpieczeń Systemów Teleinformatycznych, Orange Polska. Psycholog z wykształcenia, dziennikarz z doświadczenia, ojciec z wyboru, edukator z powołania. Dumny członek zespołu CERT Orange Polska, współautor m.in. CyberTarczy i Bezpiecznego Startera. Konsekwentnie edukuje internautów w zakresie bezpieczeństwa w internecie – słowem, obrazem i technologiami. Kolejne gadżety, które testuje, dodają mu energii do życia, a wrażeniami dzieli się na łamach bloga. W wolnym czasie czyta na Kindlu, ogląda seriale, spędza czas z synami. Gdy robi się ciepło, wybiega na boisko i sędziuje futbol amerykański.
-
-
"Już zapłaciłem za towar, kliknij by odebrać pieniądze", "Mamo/tato, telefon wpadł mi do sedesu". To znane przykłady oszustw, których wektorem jest WhatsApp. Ostatnio pojawiło się nowe - z jednej strony grubymi nićmi szyte, z drugiej jednak - wiemy z doświadczenia, że wprawny socjotechnik nawet niezłego asa potrafi wyprowadzić na manowce. https://lnkd.in/dTrRnczx
-
-
"Gruba" analiza Ireneusz Tarnowski i Arkadiusz Bazak. Samo mięso, warto poczytać.
To było fajne ... analiza domen, IP, Powershell'a i malware w .NET. A zaczęło się od tego, że na serwerze o IP 45.93.20[.]93 należącym do CHANGWAY-AS przestępca zarejestrował domeny: notliion[.]com, www.notliion[.]com, notlilon[.]co, amydlesk[.]com. Nazwy fałszywy domen wskazują w oczywisty sposób na próby podszycia się pod oprogramowanie Notion oraz AnyDesk. Problemy z podszywaniem się pod legalne oprogramowanie, zatruwanie instalatorów, omijanie detekcji skłoniły nas do przyjrzenia się szczegółom tej kampanii. I okazało się, że od domen i afłszywych stron doszliśmy (niemal) do końca. Niemal ... bo w takich analizach zawsze można "dalej łączyć kropki". Wraz z Arkadiusz Bazak z CERT Orange Polska przeprowadziliśmy analizę ... i obcenie jestem pewny, że to dopiero początek, bo im dalej sięgaliśmy, tym ciekawsze powiązania odkrywaliśmy. A teraz od początku .... Pod koniec 2023 roku zidentyfikowano ataki wykorzystujące pliki MSIX. Była to odpowiedź na coraz skuteczniejsze mechanizmy, utrudniające uruchamianie plików pobranych z internetu (funkcjonalność Mark-of-the-Web). Nowe podejście do dostarczania malware znalazło zastosowanie w kampanii GHOSTPULSE. Technika ta jest nową implementacją modułu, ładującego złośliwe oprogramowanie, atakujące komputery z systemem Windows. W ostatnich dniach zidentyfikowaliśmy kampanie phishingowe podszywające się pod różne znane aplikacje. Dalsza analiza wykazała, że wraz z fałszywymi domenami mamy do czynienia z GHOSTPULSE jako metodą dostarczenia malware SectopRat. Całościowa analiza przynosi kilka spostrzeżeń: 👉 SEO Poisoning, wraz z towarzyszącymi mu serwisami podszywającymi się pod dostawców oprogramowania, stanowią coraz częstszy wektor ataku (infekcji malware). 👉 Dzięki użyciu pliku MSIX malware może łatwo ominąć zabezpieczenia związane z mechanizmem Mark-of-the-Web. 👉 Format MSIX pozwala na dostarczenie dodatkowych niezbędnych plików, takich jak GPG. 👉 MSIX wymaga interakcji z użytkownikiem (użytkownik jednak jest przekonany, iż instaluje niezłośliwy plik). 👉 Złośliwy payload pobierany jest w postaci zaszyfrowanej. Dzięki temu nie wykrywają go sieciowe narzędzia bezpieczeństwa. 👉 Wykorzystano Pastebin jako element konfiguracji C2. Ułatwia to szybką zmianę IP serwerów, na które prowadzona jest eksfiltracja danych. 👉 Komunikacja pomiędzy zainfekowanym komputerem a serwerem odbywa się na porty 15647 oraz 9000. 👉 Fałszywe serwisy utrzymywane są w infrastrukturze CHANG WAY TECHNOLOGIES CO. LIMITED, chętnie wykorzystywanej przez różne grupy cyberprzestępcze. Zachęcamy do zapoznania się z całością analizy ... choć wiem, że pisanie o materii technicznej w sposób przystępny bywa trudne, to jednak wierzę, że każdy znajdzie coś dla siebie. https://lnkd.in/enYKmk8T #CERTOPL #CTI #Malware #GHOSTPULSE #SectopRat
-
-
Oszuści korzystają z różnych pomysłów, by przekonać nas do robienia rzeczy, które normalnie wydawałyby się nam absurdalne. Na szczęście coraz częściej internauci przestają się nabierać na hasło: "Zapłać nam!". I co wtedy? Wtedy dostaniemy informację, że... już zapłaciliśmy, ale jak chcemy, to mogą nam zwrócić nadpłatę. Wystarczy podać dane karty płatniczej. Te same, które podajemy do wypłaty, więc sami się domyślacie, co się wtedy dzieje. Pod linkiem oczywiście jest zupełnie inna strona. Obserwujemy, monitorujemy, szukamy, karmimy nimi CyberTarczę. Pamiętaj - jeśli wykonujesz jakąkolwiek aktywność, związaną z finansami, _sprawdź adres strony_! #CERTOrangePolska #cyberbezpieczeństwo #phishing
-
-
"Chcesz poznać swoją emeryturę? Kliknij tutaj!". Ci z Was, którzy nie raz, nie dwa, ani nie dwadzieścia wpadli na sieciowe scamy, łatwo domyślą, że z taką reklamą na Facebooku coś jest nie tak. Jeśli jednak pokaże się ona mniej świadomemu cyfrowo seniorowi - może paść ofiarą potencjalnie kosztownego oszustwa. #scam #phishing #reklamy #kryptoscam #CERTOrangePolska
-