» »

Kiberkriminal pod Alpami

denial ::

SELECT finger FROM hand WHERE id=3;

BlueRunner ::

Ne, da se bi šalil iz tvojega vzdevka, ampak ali bi verjel, da večina ljudi še vedno živi v zanikanju? Zanikanju preprostega dejstva, da obstaja tudi ta vrsta kriminala in, da ni nobena tarča premajhna, če je le možnost hitrega zaslužka.

Oh, to in še dejstvo, da je ogromna večina današnjih "protivirusnih" orodij popolnoma neuporabna, ali le marginalno uporabna, ko se srečajo z usmerjenim napadom.


BTW: lepo bi bilo, če bi kdaj pa kdaj napial vsaj en, če ne celo dva stavka o temu, kam povezava vodi.

jype ::

A tko: Če mi kdo nakaže 105 jurjev mu nardim brezplačni penetration testing.

denial ::

Ne, da se bi šalil iz tvojega vzdevka, ampak ali bi verjel, da večina ljudi še vedno živi v zanikanju? Zanikanju preprostega dejstva, da obstaja tudi ta vrsta kriminala in, da ni nobena tarča premajhna, če je le možnost hitrega zaslužka.

Ja, bi verjel. Vendar, če se ne motim, gre v tem primeru za prvi home made spear phishing napad v takšnem obsegu.

Oh, to in še dejstvo, da je ogromna večina današnjih "protivirusnih" orodij popolnoma neuporabna, ali le marginalno uporabna, ko se srečajo z usmerjenim napadom.

Da so AV-ji useless se tudi strinjam.

BTW: lepo bi bilo, če bi kdaj pa kdaj napial vsaj en, če ne celo dva stavka o temu, kam povezava vodi.

Držim se načela: če nimaš kaj pametnega za povedati, bodi raje tiho in poslušaj pametnejše :P
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

jype ::

denial> Držim se načela: če nimaš kaj pametnega za povedati, bodi raje tiho in poslušaj pametnejše :P

Jaz sem zato o vsebini sodil kar o SEO ojačanem URL naslovu :)

Isotropic ::

je bilo tisto mb podjetje tut hekano potem, ali je bilo culprit?

BlueRunner ::

Da so AV-ji useless se tudi strinjam.

Useless za to vrsto nevarnosti. Imajo pa svoje mesto in uporabnost pri druge vrste napadih. njihova največja težava izhaja predvsem iz tega, da večini uporabnikov dajejo lažen občutek popolne varnosti. V resničnem življenju so se ljudje že navadili, da te čelada ne zaščiti pred klavirjem, ki ti pade na glavo, pri uporabi računalnikov se ta lekcija še ni dobro prijela.

Držim se načela: če nimaš kaj pametnega za povedati, bodi raje tiho in poslušaj pametnejše :P

Eh. Kriptičen naslov teme brez ene same besede za kaj točno se gre... človek bi mislil, da sploh nimaš nič za povedati. :P

BALAST ::

V resničnem življenju so se ljudje že navadili, da te čelada ne zaščiti pred klavirjem, ki ti pade na glavo, pri uporabi računalnikov se ta lekcija še ni dobro prijela.

Odvisno od velikosti "klavirja" :D
Držim se načela: če nimaš kaj pametnega za povedati, bodi raje tiho in poslušaj pametnejše

Veliko raje imam ODMEVNO NASLOVNICO in direkten link, kot pa dolgovezenje o tem in onem.

Bravo za to udarno temo!
"You may fool all the people some of the time;
you can even fool some of the people all the time;
but you can't fool all of the people all the time."

denial ::

Pogosto useless tudi za drugo vrsto nevarnosti: 0-day exploite. Dvomim, da je bil kakšen uporabljen v tem primeru.

Eh. Kriptičen naslov teme brez ene same besede za kaj točno se gre... človek bi mislil, da sploh nimaš nič za povedati.

Pač nimam kaj povedat. Imaš pa ti tolk več. Mogoče celo koga zanima.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

BlueRunner ::

Pogosto useless tudi za drugo vrsto nevarnosti: 0-day exploite.

Vektor okužbe je druga dimenzija in pri delovanju klasičnih AV-jev (žal) ni bistvena kategorija. Večina AV-jev se "zatakne" na payload, ki je za njih večja in bolj zanesljiva tarča.

Dvomim, da je bil kakšen uporabljen v tem primeru.

Jaz tudi. Za konkreten primer bi rekel, da je bil vektor okužbe nevednost uporabnika ali uporabnikov v kombinaciji s tipičnim pristopom "vsakdo je admin". Za sam payload pa me ne bi čudilo, če bi bilo govora o takšnem ali drugačnem omogočanju oddaljenega dostopa do namizja.

Pač nimam kaj povedat. Imaš pa ti tolk več. Mogoče celo koga zanima.

Just keep talking... ;)

jukoz ::

Sem se srečal s podobnim napadom, pred 14 dnevi. Mogoče so storilci isti, mogoče ne:

Žrtev je večja firma z več 100 zaposlenimi, več sektorji, ...

Začne se s tem, da neka ženska (kriminalec1) pokliče na javno objavljeno številko in želi govoriti z odgovorno osebo iz računovodstva (žrtev1). Navede nek upravičljiv razlog zakaj jo rabi. Recepcija seveda pove ime in priimek, razloži kaj ta oseba dela in direktno številko.

Žrtev1 prejme fejk email iz podjetja, katerega informacijski sistem uporabljajo (mail je na infromacijsko_podjetje@hotmail.com —> na starih outlookih se domene ne vidi, uporabnik pa tudi ni pozoren). Email izgleda realen, opisan je postopek nadgradnje ki se bo izvajala, navodila za inštalacijo TeamViewerja + informacija kdaj jo bodo poklicali iz informacijskega podjetja.

Žrtev1 prejme telefonski klic iz mobilnega omrežja in s pomočjo kriminalca2 se začne inštalacija TeamViewerja ... Kriminalec2 pove da bodo nadgradnje izvajali v popoldanskem času, da ne bodo motili delovnega procesa... Telefonski klic se zaključi.

Na srečo je žrtev1 sedela ob računalniku in gledala kaj se dogaja, ko je kriminalec2 nalagal programe, med drugim tudi nek keylogger. Ko je opazila, je kontaktirala interni helpdesk. Helpdesk ubije TeamViewer povezavo. Kriminalec2 pokliče žrtev1 in jo nadere kaj jim ukinja povezavo če dela nadgradnje. Ko se predstavi helpdesk kriminalec2 odloži. Helpdesk kontaktira informacijsko podjetje in vpraša kaj se dogaja. Oni ne vedo nič. Sledi prijava na policijo.

fiction ::

Da se kiberkriminal dogaja tudi pri nas, zame ni nek hud surprise (kvečjemu bi pričakoval, da je tega še rahlo več kot v bolj razvitih sosedah). Bolj sem presenečen nad naivnostjo žrtve in napadalca. Neka normalna varnostna politika bi preprečila vse skupaj. Pa tudi napadalec ni bil ravno skromen, "u, 100 čukov, dejmo to prenakazat" :) Bolj stealth način, bi bil verjetno bolj uničujoč. Da ne govorimo o tem da, če bi bila v ozadju neka sofisticirana kriminalni združba, ne bi brali, kako so dobili kriminalca, ampak zgolj kako je bilo podjetje oškodovano.

denial ::

@jukoz
Thanks za info. Torej kombinacija social engineeringa in spear phishinga. Zanimivo. Namestitev VNC-ja (OK, TeamViewerja) in keyloggerja je povsem smiselna. Računovodja ima na svoji kišti itak nameščen ceritfikat spletne banke. V primeru ko banka ne uporablja 2-fact auth potem je izvedba transakcije trivialna.

Me res zanima kako so nameravali dvigniti takšno vsoto denarja. Odtenek skromnosti bi najbrž bila bolj "stealth" metoda. 100K € namreč težko spregledaš :D
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

BlueRunner ::

V primeru ko banka ne uporablja 2-fact auth potem je izvedba transakcije trivialna.

Večino wannabe 2-fact avtentikacij tipa "vtipkaj geslo" se reši s keyloggerjem. Preostanek wannabejev tipa "z miško poklikaj geslo" se reši s snemanjem uporabnikovega namizja. Uporabna 2-fact avtentikacija se mora izogniti tovrstnim omejitvam pri vnosu skrivnosti. Torej ne samo "kaj imam" in "kaj vem" ampak tudi "brez ponavljanja" in/ali "ločena komunikacijska pot".

Če je digitalno potrdilo nameščeno na računalniku (z geslom ali brez) oziroma je hw token aktiven in je ravno tako zaščiten s kakšnim geslom/PIN-om, se postopek ne spremeni.

To ni niti hack, To je socialen inženiring in uporaba (zloraba?) komercialnih orodij.

Hiter popravek: digitalno potrdilo na hw token, hw token sme biti priključen samo in samo takrat, ko uporabnik dejansko opravlja transakcijo.

Omejitev hitrega popravka: ljudje smo vsi brez izjem - pogojeno z evolucijo - lenobe.

Zgodovina sprememb…

denial ::

Kot 2-faktor avtentikacija je bil mišljen OTP, konkretno RSA SecurID token kot ga uporablja NKBM. Ne verjamem da so pobje razbil SecurID algoritem :D
SELECT finger FROM hand WHERE id=3;

jype ::

Vsaj jaz v poslovni rešitvi pri SKB banki po priajvi še posebej podpisujem transakcije s challenge-response avtentikacijo - banka pošlje token, ki ga vtipkam v tisti ActiveIdentity token, izračunano vrednost pa pošljem nazaj. Reč je očitno odvisna od števca in ure v generatorčku in stanja PRNG na bančnem strežniku, tako da jo je precej težko oponašati v realnem času.

Če so res nakazali 105 jurjev, potem niso preveč brihtni - če bi pa par sto žrtvah račun za mobitel plačali na napačen TRR, bi pa precej redkeje kdo dvignil obrv.

BlueRunner ::

denial je izjavil:

Kot 2-faktor avtentikacija je bil mišljen OTP, konkretno RSA SecurID token kot ga uporablja NKBM. Ne verjamem da so pobje razbil SecurID algoritem :D

Kot 2-faktor avtentikacijo se trenutno prodaja vse mogoče, vključno s kombinacijami dig.potrdilo + geslo. Pa je dobro omeniti, da takšne stvari ne zdržijo niti takšne osnovne vrste socialnega napada z uporabo komercialnih aplikacij.

Verjetnost uspešnega tovrstnega napada že z preprostim korakom odstranitve dig. potrdila iz računalnika zmanjšaš na znosno raven. Če že ne moreš zamenjati banke oziroma trenutno izbrana banka ne podpira varnostnih mehanizmov, ki jih je težje ogroziti.

P3Hi ::

I don't get it..

Sej pa vidiš, kam je šel denar, če bom nakazal na offshore račun v panami, bo pa tak banka pred transkacijo klicala, če je to res..

Ok verjetno je drugače, če je bila MB firma tut pohekana.. Pa spet iz tam na par transkacijskih.. Sam ussen.. sej mnde veš kdo je lastnik IBANa.. Nebi reku da bi se šli hekat BitCoin.. :=)

Boljš je VOiP hack.. Tut to pr nas delajo :=) posnifajo podatke o siolu pa lepo v egiptu nardijo SIP preko slovenske številke pa 72ur skupi visi na HOTLINE v Sierra Leone :=) .. to gre, zdej pa pejt zapret tja v ameriko eno firmo če moreš.... sam bančni račun je sledljiv, or? Any tip? Če bi šlo v tujino je drugač.. zakaj bi nekdo iz slovenskega podjetja ukradel 100k€ in jih izplačal na drug slovenski račun za katerga točno vejo kdo je lastnik? Ok mogoče majo klon kartice pa lepo na bankomat.. sam spet nemorš iz bankomata vn potegn 100k€... Res jih ne razumem kak ukradejo take količine in upajo da je vse ok.. Drugo je iskat CCje pa delat klone pa romune pošilat po bankomatih...

Za klik vsakemu rečem.. Ne se sikirat kdo ti bo kej ukradu, sej pa vidiš kam je šel denar - SE MOTIM?

BlueRunner ::

Sej pa vidiš, kam je šel denar, če bom nakazal na offshore račun v panami, bo pa tak banka pred transkacijo klicala, če je to res..

Saj z sledenjem denarju so storilce tudi ujeli. Je pa bila škoda še vedno povzročena.

Boljš je VOiP hack.. Tut to pr nas delajo :=) posnifajo podatke o siolu pa lepo v egiptu nardijo SIP preko slovenske številke pa 72ur skupi visi na HOTLINE v Sierra Leone :=)

Pri Telekomu (SiOL-a že kakšna 4 leta več ni) je stvar deljena. Če imaš SiOL Komunikator ali M:Komunikator, potem si ranljiv, če ti kdo ukrade SIP up. ime/geslo. Če imaš SiOL Telefonijo, ki ima svoje omejitve, zgoraj opisanega preprosto ne boš mogel storiti, ker ne boš mogel izvesti prijave preko interneta.

Tri storitve, dva načina delovanja. Večina uporabnikov je na tisti VoIP storitvi, ki se je ta ranljivost ne tiče, pa tudi njihovo geslo za SIP ni trivialno za pridobiti, ker ga še sami ne vedo.

Kar pa je težava in dejansko mnogo večja težava, pa je redno skeniranje za SIP hišne centrale (razne Asterisk in podobne variante), ki nimajo istrezno izvedene zaščite. Potem se pa te minute, ki so preko tega PBX-a zvezane v VoIP, PSTN ali ISDN izkoristi bodisi za prodajo minut na črnem trgu tranzita, bodisi neposredno za filanje premijskih klicnih linij. Po mojih izkušnjah je število zlorab najmanj 1:9 v korist iskanja nezaščitenih PBX-ov, če ne še več.

Zgodovina sprememb…

Isotropic ::

to se dogaja v slo, bluerunner?

BlueRunner ::

Vdori v VoIP PBX-e: da, pogost pojav.
Kraja VoIP accountov: da, vendar je teh bolj za vzorec.

Postavi si Asterisk-a, naredi fake odzive, da bo izgledalo, kot da se klic dejansko opravi, vključi logiranje, potem pa glej in se čudi.

Trenutno je najbolj popularno omrežje +44...

Zgodovina sprememb…

Matthai ::

denial je izjavil:

Kot 2-faktor avtentikacija je bil mišljen OTP, konkretno RSA SecurID token kot ga uporablja NKBM. Ne verjamem da so pobje razbil SecurID algoritem :D

Se ga pa zaobide. Podtakneš mu fake login screen in počakaš, da zate vnese trenutno SecurID geslo...

Aja, kar se tiče telefonov... za brezplačno klicat v tujino ne rabiš več kot navaden telefon. Trik je v tem, da najdeš centralo kakšne večje ustanove, ki ima omogočeno klicanje na ARS izhod, ko si pa enkrat znotraj centrale pa uporabiš dialout...
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

Zgodovina sprememb…

  • spremenil: Matthai ()

BlueRunner ::

Trik je v tem, da najdeš centralo kakšne večje ustanove, ki ima omogočeno klicanje na ARS izhod, ko si pa enkrat znotraj centrale pa uporabiš dialout...

Večjih ustanov je pri nas relativno malo. Ljudi (SOHO) s slabo zavarovanimi hišnimi centralami na IP-ju je mnogo več. Na celjskem koncu je recimo eno podjetje, ki se hvali z nekim znanjem in strokovnostjo, njihove stranke pa se potem tipično za glavo držijo, ko jih "obišče" kakšen vlomilec preko SIP-a. Sicer pa je čez palec škoda pri takšnih zlorabah nekje v rangu 100 - 300EUR. Ni malo, ni pa spet toliko, da se bi dalo medijem o temu pisariti. Ljudje pa še vedno nadrsajo...

Normalni ljudje pa v splošnem uporabljamo skype/gtalk/msn/... V bistvu še dodatno uporabna stvar, ker so podatki o teh 'klicih' našim lokalnim velikim bratom prektično nedostopni, če prej ne dobijo nekega utemeljenega suma, da se gre za čisto določeno osebo oziroma za čisto določen account. Brez tega pa so mrzli. Odpade ribarnje, ko bi oni želeli vse klice v neki regiji in podobne štose.

Zgodovina sprememb…

Matthai ::

Ja, pa če imaš SIP account lahko čez vržeš še ZRTP/SRTP in si brez skrbi tudi glede vsebine pogovorov.

Detelfone omogoča da si anonimno downloadaš njihovega odjemalca in potem kličeš znotraj omrežja for free. Za ven se pa rabiš seveda registrirat...

Enkrat bo treba malo pogledati kako dobiti iz odjemalca ven login credentials. To bi ti potem omogočilo, da uporabiš svojega SIP klienta, z ZRTP/SRTP podporo. Na ta način bi lahko imel precej visoko stopnjo anonimnosti pri klicanju. Če pa uporabiš kakšen VPN si pa itak že skoraj zmagal.

Ne vem pa kako je z Ekiga.net... eventuelno bi lahko uproabljal tudi tisto. Pač, lokalni klici med člani združbe.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

Majkl ::

Pa je ta novica sploh resnična?

Ker recimo tukaj zgleda kot fake in reklama za enega AV vendorja.
FMPOV

SmeskoSnezak ::

Tisto je samo reklama na spletni strani, link pa pelje na nek webinar. Meni, ko hocem odpret link napise, da link ne obstaja al nekaj takega.
@ Pusti soncu v srce... @

STASI ::

Majkl je izjavil:

Pa je ta novica sploh resnična?

Ker recimo tukaj zgleda kot fake in reklama za enega AV vendorja.

Je resnična. Trust me.
"WAR IS PEACE, FREEDOM IS SLAVERY, IGNORANCE IS STRENGTH"

abcčdefghijklmnoprsštuvzž


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

RSA: napad delo ene države

Oddelek: Novice / Varnost
253089 (1620) Volk|
»

Marčevski napad na RSA kompromitiral žetone SecurID

Oddelek: Novice / Varnost
436007 (3958) MyotisSI
»

Napad na RSA, prizadet SecurID

Oddelek: Novice / Varnost
416870 (3662) McMallar
»

Hekerji vdrli v Lockheed Martin

Oddelek: Novice / Varnost
385171 (3137) darkolord

Več podobnih tem