Korisnici LinkedIna meta phishing napada
Sa velikom sigurnošću možemo reći da su napadači pri kreiranju malicioznih imejlova koristili lične podatke korisnika sa sajta LinkedIn.
Ukradeni podaci sa LinkedIn-a korišćeni u malver kampanji za napad na korisnike iz Evrope
Korisnici LinkedIn-a iz više zemalja Evrope bili su meta phishing napada visoko personalizovanim malicioznim imejlovima. Sa velikom sigurnošću možemo reći da su napadači pri kreiranju malicioznih imejlova koristili lične podatke korisnika sa sajta LinkedIn, do kojih je prethodno došla grupa hakera, ponudivši ih na prodaju na Dark Web-u (oko 167 miliona naloga na LinkedIn-u je kompromitovano i ponuđeno na prodaju, od toga 117 miliona sadrži imejl korisnika i kriptovane lozinke).
Ako ste kreirali nalog na LinkedIn-u pre 2012. i niste nikad menjali lozinku, savetuje se da lozinku odmah promenite i da budete posebno oprezni.
U malicioznom imejlu se navodi puno ime primaoca, pozicija na kojoj radi, ime firme i lažna faktura u atačmentu. U naslovu stoji ime kompanije i navodne fakture. U imejlu je poslat i Word dokument sa macro-ima, a za sam naziv dokumenta korišćene su lične informacije o primaocu. Sadržaj Word dokumenta izgleda šifrovano, što je očigledan pokušaj da se korisnik natera da uključi opciju macro-a u Office-u. Nakon toga, macro u dokumentu omogućava aktiviranje Zeus Panda trojanca (koji se koristi za e-banking prevare).
Ne treba posebno naglašavati da LinkedIn korisnici moraju biti vrlo oprezni kad ubuduće budu otvarali mejlove iz nepoznatih/nepouzdanih izvora.
Kako da se zaštitite od malvera na bazi Macro-a?
Relativno lako, u dva koraka:
1: Konfigurišite sigurnu lokaciju
Onemogućavanje Makro-a nije izvodljiva opcija, naročito u kancelarijskom okruženju gde su Makro-i osmišljeni da pojednostave i automatizuju složene zadatke. Ako vaša organizacija koristi Makro-e, možete premestiti dokumenta koja koriste Makro-e u kompanijin DMZ (demilitarizovana zona), koja se još naziva i „sigurna lokacija“. Da konfigurišete sigurnu lokaciju, može da koristite sledeći način:
User Configuration/Administrative Templates/Microsoft Office XXX 20XX/Application Settings/Security/Trust Center/Trusted Locations
Kada je konfigurišete, Makro-i koji ne pripadaju sigurnoj lokaciji neće biti pokrenuti ni na koji način, a to ojačava sigurnost vašeg sistema.
2: Blokirajte Makro-e u Office dokumentima koji su primljeni preko interneta
Majkrosoft je nedavno otkrio novi metod zaštite dodajući novu funkciju taktičke sigurnosti kako bi se ograničili napadi preko Makro komandi u MS Office 2016. Ta zaštita u krajnjoj liniji sprečava da sistem bude nasilno preuzet. Nova funkcija predstavlja skup podešavanja koja dopuštaju administratorima u preduzećima da onemoguće pokretanje Makro-a u Office dokumentima koja su primljena preko interneta. Novo podešavanje ima naziv "Block macros from running in Office files from the Internet" i može se obaviti preko Group policy management editor-a na sledeći način:
User configuration > Administrative templates > Microsoft Word 2016 > Word Options > Security > Trust Center
Može se izvršiti konfiguracija za svaki pojedinačni Office program. Omogućavanjem ove opcije, Makro-i koji dolaze sa interneta su blokirani čak iako imate opciju „omoguću sve Makro-e“ (eng. Enable all macros) u podešavanjima Makro-a. Dalje, umesto opcije „Enable Editing“, primićete obaveštenje da su Makro-i blokirani zato što dolaze iz nepouzdanog izvora. Jedini način da se pokrene takav Office dokument je da se sačuva u sigurnoj lokaciji i da se tako dozvoli pokretanje makro-a.