Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
CERT Polska ostrzega o zainfekowanym wariancie programu e-pity. Uważajcie.
„Czysty” i bardzo często używany program, dostępny jest tutaj:
https://www.e-pity.pl/
CERT Polska ostrzega jedna przed wariantem dostępnym pod taką domeną: epity2020[.]p[l]. Uwaga, CERT ostrzega, że samo wejście na tę stronę z systemu Android skutkuje próbą instalacji malware. Z kolei po pobraniu i uruchomieniu fałszywej aplikacji możemy spodziewać się na komputerze malware typu banker (atakującego polskie bankowości elektroniczne, czy dokładniej – próbujący dostać się na Wasze konta).
Fejkowa stronka
Jak widzicie, jest HTTPS, kłódka, a przeglądarka wyświetla zielony komunikat: 'Zabezpieczone połączenie’. Podejrzenia jednak powinno budzić 'hasło do archiwum’ – jest ono ustawione po to aby zmylić antywirusy. I rzeczywiście obecnie na VirusTotalu, niemal nic nie wykrywa tego zip-a jako podejrzanego. Po rozpakowaniu jednak pojawiają się nieśmiałe detekcje:
VT & pity
Uważajcie skąd ściągacie oprogramowanie, nie wierzcie że HTTPS czy kłódka w przeglądarce ochroni Was przed atakiem (będziemy o tym mówić na naszym kolejnym webinarze), uważajcie również na instalatory czy archiwa (np. zip) wymagające podania dodatkowego hasła.
–ms
Kto inteligentny zbierze się za rozliczenie pit na stronie epity2020.pl ? Błagam
Może np. dlatego że wpisze w google e pity i jako pierwszy link (reklama) wyskoczy mu właśnie to?
Na stronce jest exe do pobrania programu. Osobiście nawet znam kilku księgowych, którzy z owego programu korzystają.
Nie każdy jest taki inteligentny jak ty.
Ja się dziwię czemu ludzie nie korzystają z rozwiązań rządowych – podaje się PESEL, przychód i podatek z 2018, przychód z 2019 i tyle. Na podatki.gov.pl – nie trzeba nic instalować.
Kiedyś były „wstępnie wypełnione zeznania” i też było to super. Może skarbówka za mało to promuje?
ESET już blokuje url jako phishing. W ogóle zawsze mnie zastanawia dlaczego tego typu strony nie mogą trafiać od razu na czarną listę w google safe browsing i być automatycznie blokowane przez przeglądarki? Powinno wystarczyć zgłoszenie od narodowego CERTu, ew. jako dodatkowe potwierdzenie możnaby brać pod uwagę detekcje z VirusTotala (google jest przecież właścicielem VT).
Poza tym CERT od niedawna udostępnia listę złośliwych domen aktualizowaną co 5 min. Jeżeli czyta to ktoś z CERT to mam sugestię: może warto by stworzyć plugin do przeglądarek, który blokowałby domeny na podstawie tej listy?
A może ktoś ma jakiś pomysł w jaki sposób można by najprościej zautomatyzować taką blokadę samemu? Pewnie jakiś skrypt dodany do task schedulera lub crona, który dorzuci odpowiednie wpisy do hosts? (pomysł na materiał do sekurak.tv ;))
To nie CERT powinien tworzyć plugin tylko Ty powinienem wykorzystać to co juz jest gotowe, bo bez sensu aby mnozyc dodatkowe pluginy
Jak ktos wie jak uzyc takiej listy automatycznie to chetnie poczytam
https://www.cert.pl/news/single/ostrzezenia_phishing/
Taki CERTowy plugin łatwiej by było wypromować i namówić ludzi do korzystania. Wiadomo, że można takie złośliwe domeny dopisać do listy uBlocka, ale nie każdemu takie rozwiązanie musi pasować.
A jak jesteśmy przy uBlocku – fajnie by było gdyby CERT udostępnił listę, o której mowa w formacie filtrów do uBlocka.
Przecież plik listy udostępniany przez CERT w formacie txt jest normalnie czytany przez uBlock Origin.
Właśnie go zaimportowałem https://hole.cert.pl/domains/domains.txt
Potwierdzam pobranie listy i import do uBlock :)
Tak, ale dopasowywanie odbędzie się w kontekście całego urla, czyli coś w stylu
url.contains(domena.z.listy)
Natomiast mi chodzi o to, żeby uBlock dopasowywał tylko w kontekście domeny. Wtedy filtr chyba powinien wyglądać
domena[.]pl/*
Filtry KAD do uBlock. Mówi to coś Panu?
Ale ta strona jest blokowana przez listę KAD – Przekręty dla uBlocka/AdGuarda i każdy może ją zasubskrybować.
Zielona krótka jest najlepsza .Firefox zmienił to na czarną .No i teraz dopiero jest to do niczego.
Powinni poprawić ale kolor jak najbardziej zostawić.
Tych stron to on ma więcej.Albo to chyba domeny.
https://quttera.com/detailed_report/epity2020.pl