Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred pokračujúcimi škodlivými aktivitami súvisiacimi s vírusom COVID-19
Ako sme informovali v predošlom varovaní dňa 27. februára 2020 ( „Varovanie pred škodlivými phishingovými kampaňami súvisiacimi s koronavírusom“ https://www.sk-cert.sk/sk/varovanie-pred-skodlivymi-phishingovymi-kampanami-suvisiacimi-s-koronavirusom/index.html), útočníci sa snažia zneužiť situáciu, kedy medzi ľuďmi vládne strach a neistota súvisiaca so šírením vírusu COVID-19. Ľudia sú v takýchto situáciách náchylní uveriť rôznym, aj nepravdivým správam o víruse COVID-19 a majú tak zníženú schopnosť rozpoznať škodlivý obsah.
Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred pokračujúcimi škodlivými aktivitami v kybernetickom priestore, ktoré sa v čase vyvíjajú nasledovne:
Podozrivé online obchody
V rámci monitoringu bolo zistených niekoľko podozrivých online obchodov, ktoré ponúkajú nedostatkový tovar, ako napríklad rúška alebo iné ochranné prostriedky. Stránky sa tvária ako legitímne, ale chýbajú na nich akékoľvek obchodné údaje o prevádzkovateľovi. Tieto obchody zbierajú od používateľa údaje, ako sú napríklad meno, mailová adresa, fyzická adresa a telefón. Upozorňujeme, že môže ísť o snahu zbierať osobné a citlivé údaje a tovar, ktorý používateľ objedná, nemusí byť doručený. Odporúčame si pred každým online nákupom overiť reputáciu predajcu. Ak máte akékoľvek podozrenie, nezadávajte na stránke platobné ani iné citlivé údaje.
Škodlivé aplikácie a stránky s informáciami o šírení COVID-19
V posledných dňoch sa rozšírila forma útoku, ktorá sa zameriava na používateľov, vyhľadávajúcich kartografické údaje o šírení ochorenia COVID-19. Útočníci sa snažia používateľa donútiť stiahnuť si aplikáciu, ktorá nevyžaduje inštaláciu, pričom táto aplikácia zobrazuje živú mapu šírenia vírusu COVID-19. Aplikácia využíva škodlivý kód, známy ako AZORult (známy už od roku 2016), ktorý zhromažďuje informácie uložené vo webových prehliadačoch, ako sú cookies, história prehliadania, prihlasovacie údaje, čísla kreditných kariet a iné citlivé údaje.
Škodlivá webová stránka zneužíva grafiku, ktorú používa univerzita Johna Hopkinsa. Tá vytvorila online mapu, ktorá zobrazuje v reálnom čase šíriaci sa vírus COVID-19. Falošná stránka je však umiestnená na úplne inej doméne:
Je potrebné poznamenať, že vyššie spomínaná online mapa prípadov korona vírusu vytvorená univerzitou Johnsa Hopkinsa v americkom štáte Maryland nie je žiadnym spôsobom infikovaná a je bezpečné ju navštíviť (na tomto odkaze: https://www.arcgis.com/apps/opsdashboard/index.html#/bda7594740fd40299423467b48e9ecf6)
V súčasnosti sa ohrozenie týka iba počítačov so systémom Windows, ale očakáva sa, že útočníci budú naďalej zneužívať situáciu a pracovať na nových verziách, ktoré by mohli ovplyvniť aj iné systémy.
Viac ako 4000 domén súvisiacich s COVID-19
Od začiatku roka 2020 bolo zaznamenaných viac ako 4000 domén, ktoré priamo súvisia s corona vírusom. Až 3 percentá z týchto domén boli definované ako škodlivé, ďalších 5 percent ako podozrivé.[1] Medzi takéto domény patria:
- coronavirusstatus[.]space
- coronavirus-map[.]com
- canalcero[.]digital
- coronavirus[.]zone
- coronavirus-realtime[.]com
- coronavirus[.]app
- coronavirusaware[.]xyz
- coronavirusaware[.]xyz
- corona-virus[.]healthcare
- survivecoronavirus[.]org
- vaccine-coronavirus[.]com
- coronavirus[.]cc
- coronavirusupdate[.]tk
- bestcoronavirusprotect[.]tk
Pokračujúce phishingové kampane
Útočníci naďalej pokračujú so šírením phishingových mailov, ktoré zneužívajú situáciu šírenia vírusu COVID-19. Využívajú rôzne formy sociálneho inžinierstva, aby od obete vylákali citlivé údaje.
Maily so zdravotníckymi radami
Táto kampaň je založená na distribúcii mailov, ktoré obsahujú prílohu alebo odkaz na stiahnutie. Text mailu je veľmi jednoduchý a vyzýva príjemcu, aby stiahol prílohu alebo klikol na odkaz, na ktorom sa majú nachádzať informácie o bezpečnostných opatreniach, ktoré majú zabrániť šíreniu vírusu COVID-19. V maily útočník odkazuje na čínskych odborníkov, ktorí mali tieto opatrenia vydať. Príloha a takisto aj odkaz obsahuje škodlivý kód.
V tejto skupine sa vyskytujú aj maily, ktoré ponúkajú funkčné vakcíny či liečivá, ktoré majú vírus vyliečiť. Nakoľko doposiaľ neexistuje účinný liek ani vakcína voči vírusu COVID-19, ide o snahu vylákať finančné prostriedky od obete.
Podnikové maily s inštrukciami
Rozšírená je aj kampaň, ktorá zneužíva dôveru ľudí k svojmu zamestnávateľovi. V maily je odkaz na nové pravidlá v súvislosti s prenosnými chorobami. Linka odkazuje na škodlivú doménu a po kliknutí na odkaz používateľ stiahne do zariadenia škodlivý softvér.
Maily od oficiálnych inštitúcií
Neustále pokračujú aj kampane, ktoré maskujú svoj pravý účel za oficiálne inštitúcie, akými sú WHO (World Health Organisation) alebo CDC (Centers for Disease Control and Prevention). Tieto e-maily sú dizajnovou kópiou oficiálnych mailov takýchto organizácií a preto vyvolávajú v používateľoch dôveru – tieto e-maily takisto obsahujú škodlivé prílohy alebo odkazy na škodlivé stránky.
Zneužívanie solidarity
V posledných týždňoch bolo zaznamenané aj rozširovanie spamových mailov, v ktorých útočníci vyzývajú adresátov, aby finančne pomohli obetiam v oblastiach zasiahnutých vírusom COVID-19. Ako spôsob platby útočníci uvádzajú prevod v kryptomene. Argumentom útočníkov je, že peniaze sú určené na rozširovanie vakcíny proti vírusu, ktorá však doposiaľ neexistuje.
Odporúčané opatrenia
Národné centrum kybernetickej bezpečnosti SK-CERT v súvislosti so škodlivými aktivitami, ktoré zneužívajú šírenie vírusu COVID-19, vydáva nasledujúce odporúčania:
- Vždy si overte odosielateľa mailu alebo inej správy (SMS, správy na sociálnych sieťach, prostredníctvom iných online služieb a podobne) – napríklad osobne alebo telefonicky. Ak mail prišiel od oficiálnej inštitúcie alebo autority, preverte si, či mailová adresa alebo osoba odosielateľa vôbec existuje a je oficiálnou adresou alebo osobou, ktorá inštitúciu zastupuje
- Zvýšte svoju pozornosť, ak správa, ktorú čítate, obsahuje gramatické chyby – môže ísť o automatizovaný preklad, ktorý útočníci často využívajú
- Neotvárajte správy od neoverených alebo úplne neznámych odosielateľov, ktoré obsahujú podozrivý predmet správy
- Podozrivé prílohy alebo odkazy, ktoré sa v maily nachádzajú, neotvárajte a nesťahujte
- Vypnite si funkciu Náhľad prílohy v mailovom klientovi
- Nereagujte na správy
- ktoré od vás pýtajú citlivé údaje – prihlasovacie údaje, osobné údaje, údaje o platobných kartách a podobne
- ktoré vás vyzývajú k okamžitému konaniu – poskytnúť vaše osobné alebo iné citlivé údaje, kliknúť na odkaz, stiahnuť prílohu a podobne
- ktoré ponúkajú zaručene funkčné vakcíny či liečivá – liečba a ani vakcína na vírus COVID-19 v tomto čase neexistuje
- ktoré vyzývajú na darovanie finančných prostriedkov obetiam prostredníctvom kryptomien – oficiálne zbierky sú legitímne označené a nepoužívajú platbu v kryptomenách
- Na zisťovanie informácií o víruse COVID-19 používajte dôveryhodné zdroje – oficiálne inštitúcie napríklad Ministerstvo zdravotníctva SR, Úrad verejného zdravotníctva, Svetovú zdravotnícku organizáciu, stránky legitímnych výskumných ústavov a podobne.
- Nakupujte len z overených online obchodov. Národné centrum kybernetickej bezpečnosti SK-CERT vydalo odporúčanie pre nakupovanie na internete: https://www.sk-cert.sk/sk/odporucanie-nakupy-pocas-black-friday-a-cyber-monday/index.html
- Ak chcete mať o víruse COVID-19 aktuálne informácie, navštívte oficiálnu stránku, venujúcu sa tejto problematike: https://www.korona.gov.sk/. Na tejto stránke sú aj všetky dôležité kontakty: https://www.korona.gov.sk/dolezite-kontakty/
Zdroje:
[1] https://blog.checkpoint.com/2020/03/05/update-coronavirus-themed-domains-50-more-likely-to-be-malicious-than-other-domains/
https://www.recordedfuture.com/coronavirus-panic-exploit/
« Späť na zoznam