Știrile săptămânii din cybersecurity (04.04.2024)
Google a început procesul de blocare automată a email-urilor trimise în masă care nu respectă standardele sale stricte de spam și nu autentifică mesajele înainte. Inițiativa vine ca urmare a unor noi reglementări menite să protejeze mai bine utilizatorii de mesaje de tip spam și atacuri de tip phishing.
După cum a anunțat în octombrie, compania va cere utilizatorilor care vor să trimită mai mult de 5000 de email-uri zilnic către conturi de Gmail să configureze o autentificare a email-urilor de tip SPF/DKIM și DMARC pentru domeniile acestora.
Noile reglementări vor cere, de asemenea, expeditorilor de email-uri în masă să evite trimiterea mesajelor nesolicitate sau neaprobate, să ofere o opțiune de dezabonare cu un singur click și să răspundă cererilor de acest fel în termen de două zile.
Sfaturi utile pentru a evita să fii păcălit de Deepfake-uri
Directoratul Național de Securitate Cibernetică a lansat un ghid util, destinat utilizatorului obișnuit de internet, cu scopul de a înțelege acest fenomen și de a reuși să se ferească de posibile tentative de fraudă.
Deepfake este o manipulare digitală a unei înregistrări video, audio sau a unei imagini, realizată cu ajutorul inteligenței artificiale (IA) sau a altor programe specializate.
Un exemplu: Există multiple cazuri în care un videoclip cu o personalitate publică oferă sfaturi financiare. În acest videoclip, persoana recomandă insistent investiția într-o anumită companie sau afacere, promițând profituri mari și riscuri minime.
Detaliile contează: Videoclipul este realizat profesional, cu o calitate a imaginii și sunetului ridicată. Persoana publică pare sinceră și convingătoare, folosind un limbaj accesibil și argumente persuasive.
Scopul campaniei: Un astfel de Deepfake ar putea fi folosit pentru a manipula populația să investească într-o afacere ilicită (scam1), deținută sau controlată de manipulatori.
Impact: Videoclipul este distribuit rapid pe rețelele de socializare, cu un potențial uriaș de a fi vizionat de milioane de oameni. Mulți dintre cei care văd videoclipul ar putea fi convinși să investească în afacerea recomandată, riscând ulterior să piardă sume semnificative de bani.
Autoritățile federale americane au cerut de la Google numele, adresele, numerele de telefon și activitatea utilizatorilor conturilor care au vizionat anumite videoclipuri YouTube, potrivit documentelor instanței neclasificate pe care le-au văzut jurnaliștii Forbes.
Punctul de plecare al uneia dintre investigații este o entitate care utilizează „elonmuskwhm” și este suspectată de spălare de bani prin vânzarea Bitcoin pentru numerar. Ca parte a investigației, agenții au trimis link-uri suspecte către tutoriale de pe YouTube despre cartografierea prin intermediul dronelor și a software-ului de realitate augmentată.
Solicitarea acestor date a generat îngrijorări din partea experților în protecția vieții private, susținând că aceste "dragnets" digitale încalcă amendamentul al patrulea privind libertatea de la percheziții nejustificate. Cu toate acestea, documentele indică faptul că instanța a aprobat cererea, dar a cerut Google să nu o facă publică.
Agențiile de securitate americane au publicat luni o alertă comună Secure by Design (SbD), ca răspuns la o exploatare recentă “SQL injection” (SQLi) într-o aplicație de transfer de fișiere gestionate care a afectat mii de organizații. În plus, alerta evidențiază prevalența acestei clase de vulnerabilitate. În ciuda cunoștințelor și documentației larg răspândite a vulnerabilităților SQLi din ultimele două decenii, împreună cu disponibilitatea unor măsuri eficiente de atenuare, producătorii de software continuă să dezvolte produse cu acest defect, ceea ce pune mulți clienți în pericol.
Alerta din partea Agenției pentru Securitate Cibernetică și Securitatea Infrastructurii (CISA) și a Biroului Federal de Investigații (FBI) evidențiază diseminarea indicatorilor de ransomware CL0P cunoscuți (IOC) și tactici, tehnici și proceduri (TTP) identificate prin investigațiile FBI începând din iunie 2023. Atacatorii au exploatat defectele “SQL injection” într-o aplicație de transfer de fișiere gestionate pentru a viza și compromite utilizatorii, afectând mii de organizații.
Distribuții majore de Linux, impactate de un backdoor din cadrul XZ Utils
Mai multe lanțuri de distribuție pentru pachetele Linux au fost afectate de un atac cibernetic, folosind versiuni ale programului de arhivare de date XZ Utils care conțineau backdoor-uri.
Inginerul software al Microsoft, Andres Freund, care a descoperit breșele de securitate, a explicat că pachetele descărcabile din cadrul versiunii 5.6.0 a programului, din februarie 2024, conțineau cod malițios. Codul malițios introdus în biblioteca open-source XZ Utils, un pachet utilizat pe scară largă prezent în distribuțiile Linux majore, este, de asemenea, capabil să faciliteze executarea de la distanță a codurilor, a dezvăluit o nouă analiză.
Versiunea 5.6.1 a fost lansată la scurt timp după descoperirea backdoor-urilor, introducând disimulări adiționale și soluționări ale erorilor din anumite configurații.
Cea mai mare greșeală pe care o fac echipele de securitate atunci când cumpără instrumente
Neplanificarea unui program de la un capăt la altul poate duce la eșec. A fi capabil să detectezi ceva, dar să nu faci nimic în legătură cu asta, nu este util. De prea multe ori, echipele de securitate se atașează de ideea greșită că un instrument de securitate este un program de securitate atotcuprinzător.
Acest articol evidențiază neînțelegerile și limitările în utilizarea instrumentelor de securitate cibernetică. Este subliniat faptul că achiziționarea unui instrument de securitate nu reprezintă în mod automat un program de securitate eficient. De multe ori, echipele de securitate cad în capcana perspectivei că uneltele de securitate sunt suficiente pentru a asigura protecția. Cu toate acestea, este esențial să se înțeleagă că un program de securitate este mult mai mult decât simpla achiziționare a unui instrument.
Instrumentele de securitate cibernetică sunt ambalate pentru a fi atrăgătoare: interfață elegantă, integrări, API-uri, suport lingvistic multiplu, promisiunea unei interacțiuni satisfăcătoare. Aceste caracteristici dau iluzia unui pariu sigur pentru securitate. Echipele de securitate cumpără aceste instrumente așteptând, apoi sperând, în cele din urmă pledând, că pariul lor va da roade.
Institutul National de Standarde si Tehnologie (NIST) definește un program de securitate „ca menținerea conștientizării continue a securității informațiilor, a vulnerabilităților si a amenințărilor pentru a sprijini deciziile de management al riscului organizațional”. Un program de securitate răspunde la câteva întrebări esențiale: de ce, ce să facă, când, cum și cine.
Dan Cîmpean, directorul DNSC, LIVE la Interviurile Digi24.ro
O scurgere de date a companiei Prudential Financial impactează 36.000 de clienți
Gigantul de asigurări Prudential Financial a început să notifice mai mult de 36.000 de clienți cu privire la compromiterea informațiilor personale ale acestora în cadrul unui incident de securitate care a avut loc la începutul lunii februarie a anului 2024.
Deși a fost făcut public la jumătatea lunii, incidentul a avut loc pe data de 4 februarie și a fost identificat următoarea zi. La o săptămână după incident, gruparea de ransomware Alphv/BlackCat a revendicat atacul, listând compania Prudential pe site-ul lor de pe DarkNet. Gruparea a fost, de asemenea, responsabilă pentru întreruperile majore din cadrul sistemelor de sănătate ale Statelor Unite de luna trecută, când aceștia au perturbat funcționarea serviciilor și sistemelor Change Healthcare.
Comitatul Jackson declară stare de urgență după un atac de tip ransomware
Comitatul Jackson din statul american Missouri se află în stare de urgență după ce un atac cibernetic de tip ransomware a blocat anumite servicii publice marți, 2 aprilie.
Birourile de evaluare, colectare și înregistrare din toate locațiile comitatului vor fi cel mai probabil închise până la finalul săptămânii. Departamentul de IT al acestuia lucrează la restaurarea sistemelor de plată a impozitelor, licențiere a căsătoriilor și căutare a deținuților, toate acestea fiind impactate în cadrul incidentului.
Serviciul de alertare cu privire la scurgerile de date Have I Been Pwned (HIBP) avertizează că platforma SurveyLama a suferit un astfel de eveniment în februarie 2024, expunând datele cu caracter sensibil a 4.4 milioane de utilizatori.
Creatorul HIBP, Troy Hunt, a fost notificat cu privire la această breșă de securitate la începutul lunii februarie a acestui an. Datele deținute de platformă care se află la risc includ adrese de email, date de naștere, adrese IP, nume și prenume complete, parole, numere de telefon și adrese de reședință.
SurveyLama este o platformă online care remunerează utilizatorii înregistrați pentru completarea sondajelor.
Troianul Mispadu țintește Europa, mii de credențiale compromise
Troianul bancar cunoscut sub numele de Mispadu și-a extins atenția dincolo de America Latină și persoanele vorbitoare de limbă spaniolă pentru a viza utilizatorii din Italia, Polonia și Suedia.
Printre obiectivele campaniei în curs se numără entități care acoperă finanțe, servicii, producția de autovehicule, firme de avocatură și facilități comerciale, potrivit Morphisec.
„În ciuda extinderii geografice, Mexicul rămâne ținta principală”, a declarat cercetătorul în securitate Arnold Osipov într-un raport publicat săptămâna trecută.
„Campania a avut ca rezultat furtul a mii de credențiale, cu înregistrări care datează din aprilie 2023. Atacatorul amenință că va utiliza aceste credențiale pentru a orchestra e-mailurile de phishing, reprezentând o amenințare semnificativă pentru destinatari.”
Ivanti a scos patch-uri pentru patru noi defecte din cadrul Connect Secure si Policy Secure
Ivanti a lansat actualizări de securitate pentru a aborda patru deficiențe de securitate care afectează Connect Secure și Policy Secure Gateways, care ar putea duce la executarea codului și la refuzarea serviciului (DoS).
Lista defectelor este următoarea:
CVE-2024-21894 (scor CVSS: 8.2) – O vulnerabilitate de supra-aglomerare în componența IPSec a Ivanti Connect Secure (9.x, 22.x) și Ivanti Policy Secure permite unui utilizator rău intenționat neautentificat să trimită cereri special concepute pentru a distruge serviciul, provocând astfel un atac DoS. În anumite condiții, acest lucru poate duce la executarea unui cod arbitrar.
CVE-2024-22052 (scor CVSS: 7.5) – o vulnerabilitate de referință a indicatorului nul în componenta IPSec a Ivanti Connect Secure (9.x, 22.x) și Ivanti Policy Secure permite unui utilizator rău intenționat neautentificat să trimită cereri special concepute pentru a distruge serviciul, provocând astfel un atac DoS.
CVE-2024-22053 (scor CVSS: 8.2) – O vulnerabilitate de supraaglomerare în componenta IPSec a Ivanti Connect Secure (9.x, 22.x) și Ivanti Policy Secure permite unui utilizator rău intenționat neautentificat să trimită cereri special concepute pentru a bloca serviciul, provocând astfel un atac DoS sau, în anumite condiții, citirea conținutului din memorie.
CVE-2024-22023 (scor CVSS: 5.3) – o extindere a entității XML sau vulnerabilitatea XEE în componenta SAML a Ivanti Connect Secure (9.x, 22.x) și Ivanti Policy Secure permite unui atacator neautentificat să trimită cereri XML special concepute pentru a provoca temporar epuizarea resurselor, ceea ce duce la o perioadă limitată de timp.
Postat în: stiri cybersecurity awareness cybersecurity cybersecurity cybersecurity awareness cybersecurity cybersecurity cybersecurity cybersecurity stiri
Vizualizat de 684 ori
