Podsumowanie cyber-wydarzeń stycznia

Poniżej subiektywny wybór newsów / ciekawostek / ostrzeżeń, które publikowaliśmy w styczniu 2023r. na sekuraku. Jeśli podoba się Wam zestawienie – podeślijcie linka znajomym oraz koniecznie dajcie znać w komentarzu. Jeśli Wasz odzew będzie pozytywny – będziemy kontynuować tego typu zestawienia (częściej niż raz na miesiąc :-)

SEKURAK (scamy, ciekawostki, ostrzeżenia)

Proste ćwiczenie. Wymień jak najwięcej powodów dlaczego ten dowód osobisty jest fałszywy (odpowiedzi naszych czytelników w komentarzu w poście):

---

VALL-E – Microsoft zaprezentował projekt, który wypowie Twoim głosem cokolwiek. Mając zaledwie kilkusekundowe nagranie Twojego głosu. Efekty, na przykładzie nagranych próbek realnych osób można przetestować w demie.

---

Proste pytanie – dlaczego na pierwszy rzut oka widać, że ta mapka to przykład fake/dezinformacji? Nad odpowiedzią spróbuj zastanowić się samodzielnie (odpowiedzi czytelników sekuraka – tutaj)

---

Cały czas w Google możemy natknąć się na złośliwe reklamy. Przykładowe hasła: Notepad++, Winrar, CCleaner, Virtualbox, VLC, Gimp.

Możliwy efekt? Nasz czytelnik wygooglał pakiet instalacyjny Gimpa. Trafił na fejkową reklamę, zainfekował komputer i stracił dostęp do konta Google.

Protip: miej zainstalowanego w przeglądarce blokera reklam (np. uBlock Origin). Pamiętaj, że reklamy mogą prowadzić do stron ze złośliwym oprogramowaniem!

---

LastPass – o co chodzi w wycieku haseł z tego managera i jaki jest koszt złamania wszystkich Twoich haseł?

---

Interpol / FBI uderzył w jedną z większych grup ransomware – Hive. Efekt? Zdjęta strona wyciekowa, pozyskanych ~1300 kluczy deszyfrujących.

Protip: czasem warto przechowywać również zaszyfrowane przez ransomware dane – niekiedy, po pewnym czasie pojawia się możliwość ich odszyfrowania.

---

Czy ten SMS to prawdziwe ostrzeżenie przed scamem? A może to jest właśnie scam? Wyjaśnienie.

---

Wrocław, Kraków, … ktoś rozkleja(ł) na mieście kody QR. W zasadzie w linku nie można było znaleźć nic złośliwego, przy czym nie była to akcja organizowana przez Urząd do spraw cudzoziemców.

---

Miasto porozklejało QR-kody, dzięki którym można zgłaszać ściany pomaziane grafiti. Ktoś „zhackował” te kody…naklejając swoje wersje. Australia.

---

Badacze: zwykłe routery WiFi są w stanie „widzieć” osoby przebywające w danym pomieszczeniu. Ciekawostka? Tak, ale może to mieć autentycznie przydatne zastosowania – inna ekipa użyła tej samej „technologii” i pokazała jak można w pomieszczeniu wykryć osobę, która ma problemy z oddychaniem.

---

Czy czeka nas inwazja treści generowanej automatycznie? Ktoś googlał jaki OS jest najlepszy, jeśli jego komputer posiada 4 GB RAM-u. Pierwszy zwrócony link – wpis wygenerowany przez AI:

---

Za $100 kupił przenośny dysk SSD 16 TB. Po podpięciu do Windows rzeczywiście 16TB. Gdzie tu jest scam? ;-) Podobne, podejrzanie dobre oferty pojawiają się również naszych rodzimych serwisach aukcyjnych.

---

Ransomware w placówce medycznej w Otwocku. Objęte incydentem dane pacjentów z 5 lat, w tym dane kontaktowe, wyniki badań, dokumentacja medyczna.

Zakres zaszyfrowanych danych obejmuje bazę wszystkich pacjentów Centrum Medycznego TW-MED z lat 2018 – 2023, w tym takie dane jak: imię i nazwisko, numer PESEL, dane kontaktowe, wyniki badań i inne dane zgromadzone w dokumentacji medycznej pacjenta, w tym w szczególności dane dotyczące stanu zdrowia.

---

Ktoś kupił androidowy TV box (T95 AllWinner T616). A tam domyślnie działa malware. Analiza tematu:

---

Aktualizacja jednego z przydatniejszych narzędzi do OSINTu. Tutaj wyszukasz konta danego użytkownika w 500+ serwisach społecznościowych/grach online/…

---

Przestępcy opracowali ~nowy sposób na kradzież samochodów. Wycinają dziurę i dostają się do kabli, następnie wstrzyknięcie komunikacji do CAN i samochód się otwiera

---

Appka mierząca parametry standardowego klucza na podstawie jego zdjęcia. Ułatwia dorobienie duplikatu…

TECH (opis technicznych podatności)

W jaki sposób kliknięcie w linka na telefonie może doprowadzić do przejęcia konta w appce? Na przykładzie appki Kayak, inna tego typu podatność była swego czasu raportowana w Tiktoku oraz w MS Teams.

Protip: aktualizujcie regularnie appki, uważajcie w co klikacie.

---

Chciałbyś się edukować w obszarze bezpieczeństwa aplikacji webowych? Na sekuraku opublikowaliśmy spory poradnik o podatności Server-Side Request Forgery (SSRF). Przykłady / skutki wykorzystania / metody ochrony.

---

Historyczna podatność w infrastrukturze Google: hacker wbił się do wewnętrznego panelu admina Google. Pomógł całkowity przypadek: awaria w dostawie prądu oraz specyficzne ustawienia na telefonie badacza…

---

Seria podatności dotyczących kilku firm z branży motoryzacyjnej

Zhackowali system KIA. Pokazali jak można przejmować samochody: zdalne otwieranie, uruchamianie samochodów, dostęp do kamer (!)

Zdalnie zhackowali elektroniczne tablice rejestracyjne w Kalifornii, mogli wyświetlać na nich dowolny dodatkowy napis, zmieniać tło, lokalizować auta, zgarniać dane właścicieli.

Pokazali jak podatnościami w API można było przejmować konta pracowników / dealerów BMW / Rolls Royce. Efekt? mieli możliwość wglądu w szczegóły/dokumentacje serwisowe samochodów

---

Jak bezpiecznie przechowywać hasło w bazie? PBKDF2 / bcrypt / scrypt / argon2? Krótkie podsumowanie na sekuraku.

FUN

Czym jest drunknet. Pardon – druknet?!?

---

Informujemy, że zostałeś poinformowany? ;-) Na koniec „sercowo” i już jesteśmy pewni, że to scam:

---

Pasożyt atakuje pasożyta :-)

---

Co tu się mogło wydarzyć? ;-)

~ms