Vírusový radar: Ako Bielorusi špehovali európskych diplomatov. A dávajte si pozor aj na „netflixovský“ phishing

Zatiaľ čo väčšina si užívala horúce leto pri mori alebo u nás na Slovensku horúcu predvolebnú kampaň, naši výskumníci sa aj počas leta venovali ochrane našich používateľov po celom svete. A aj v tom kybernetickom priestore boli posledné týždne poriadne horúce.

Nedávno sme odhalili novú kybernetickú špionážnu skupinu MoustachedBouncer, v preklade fúzatý vyhadzovač. Jej názov je odvodený od jej pôsobenia v Bielorusku. Iba vás trochu navediem, „vygooglite“ si fotografiu bieloruského prezidenta a zistíte, že aj pri vážnych témach máme v Labe zmysel pre humor.

Podľa všetkého táto skupina koná v súlade so záujmami tamojšej vlády. Je aktívna minimálne od roku 2014 a zameriava sa výlučne na zahraničné veľvyslanectvá v Bielorusku vrátane tých európskych. Od roku 2020 je skupina MoustachedBouncer s najväčšou pravdepodobnosťou schopná vykonávať útoky typu adversary-in-the-middle (AitM) na úrovni poskytovateľov internetových služieb, ako sú mobilní a internetoví operátori, v rámci Bieloruska s cieľom kompromitovať svoje ciele. Skupina používa dve samostatné súpravy nástrojov, ktoré sme pomenovali NightClub a Disco.

Identifikovali sme štyri krajiny, ktorých zamestnanci veľvyslanectiev boli terčom útoku: dve z Európy, jednu z južnej Ázie a jednu z Afriky.

Na kompromitovanie svojich cieľov útočníci z MoustachedBouncer manipulujú s internetovým prístupom svojich obetí, pravdepodobne na úrovni poskytovateľa internetových služieb. V prípade IP rozsahov, na ktoré sa MoustachedBouncer zameriava, je sieťová prevádzka presmerovaná na zdanlivo legitímnu, ale falošnú stránku Windows Update. Takúto techniku AitM útočníci využívajú len proti niekoľkým vybraným organizáciám, pravdepodobne len ambasádam, nie proti používateľom v krajine všeobecne. 

Hlavným odporúčaním Matthieua Faoua, výskumníka ESETu, ktorý túto skupinu objavil, je, aby organizácie v cudzích krajinách, kde sa nedá dôverovať internetovému prostrediu, používali na všetku internetovú prevádzku end-to-end šifrovaný tunel VPN smerujúci na dôveryhodné miesto. Takto dokážu obísť zariadenia na kontrolu a zásahy do komunikácie. Mali by takisto používať kvalitný a aktualizovaný bezpečnostný softvér.

V lete sme na Slovensku zachytili aj menej sofistikované hrozby, ktoré však cielia na zraniteľnejšiu populáciu aj prostredníctvom phishingu. V rámci tohto podvodu sa útočníci vydávajú za streamovaciu službu Netflix a snažia sa od obetí vylákať prihlasovacie údaje. Deje sa tak v čase, keď Netflix mení na Slovensku pravidlá na zdieľanie účtu a kontaktuje zákazníkov. Používatelia môžu preto mylne dôverovať podvodným správam a naletieť.

Kybernetickí zločinci rozposielajú Slovákom phishingové SMS správy, ktoré sa vydávajú za oficiálnu komunikáciu spoločnosti Netflix. V texte recipientov upozorňujú na úplné pozastavenie predplatného. Aby sa mu vyhli, odkazujú používateľov na škodlivú stránku, kde si môžu službu reaktivovať.

Na dôveryhodnosti týmto podvodným správam pridáva názov odosielateľa – Netflix. Skutočné číslo odosielateľa útočníci maskujú prostredníctvom techniky spoofingu, ktorá umožňuje zmeniť telefónne číslo odosielateľa SMS správy alebo volajúceho podľa potrieb podvodníkov. 

Cieľom je však zber prihlasovacích údajov. Ak používateľ klikne na odkaz v SMS správe, ocitne sa na falošnej stránke s prihlasovacím oknom pripomínajúcej Netflix. Namiesto prihlásenia sa do služby Netflix však obeť odovzdá svoje prihlasovacie údaje útočníkom. Podvodníci tak získajú prístup do skutočného Netflixu. Okrem toho môžu získané prihlasovacie údaje predávať na dark webe alebo skúšať, či to isté heslo obeť nepoužíva aj do účtov na ostatných platformách, kde sa dá získať ešte viac citlivých údajov.

Buďte preto obozretní pri nevyžiadaných alebo neočakávaných správach. Nedôverujte im a vymažte ich v prípade, že spozorujete varovné znaky (výzva na kliknutie na odkaz, časový nátlak).

Pozorne preskúmajte priloženú URL adresu. Použitie skracovača URL adresy ako v tomto prípade je varovný signál. Používajte na svojom zariadení s Androidom kvalitný bezpečnostný softvér.  Ak ste klikli na odkaz v správe, nezadávajte na danú stránku žiadne údaje a preskenujte svoje zariadenie antivírusom. Majte vždy aktualizovaný operačný systém aj všetky aplikácie vrátane bezpečnostného softvéru.

Najbližší stĺpček si zrejme prečítate už po voľbách, a keď som s nimi začal, tak to s nimi aj ukončím. Určite si nájdite čas rozhodnúť o vlastnej budúcnosti. Mnohé voľby od USA po Slovensko už v minulosti ukázali, že každý jeden hlas sa počíta a môže rozhodnúť. A keď budete o voľbách čítať na internete, dbajte na informačné zdroje v smršti dezinformácií. Aj to sú vlastne kybernetické hrozby a pred rôznymi typmi týchto hrozieb ako dezinformácie, deepfakes, phishing a útoky DDoS vydal varovanie aj Národný bezpečnostný úrad. Šťastnú a slobodnú ruku a bezpečné surfovanie.