Kategorie
bezpieczeństwo IT

Google zapłaci 85 milionów za śledzenie użytkowników

Jak uznał sąd, Google nielegalnie śledziło użytkowników Androida. W wyniku procesu Arizona dostanie sporo pieniędzy od technologicznego giganta.

Prokurator Generalny Arizony pozwał Google w maju 2020 roku. Twierdził, że firma bezprawnie zbiera i przechowuje dane lokalizacyjne użytkowników Androida, nawet po tym, jak ci wyłączyli funkcje zapisujące historię lokalizacji poprzez inne ustawienia, takie jak „Aktywność w internecie i aplikacjach” – i robi to oczywiście bez ich wiedzy oraz zgody. Jak możemy przeczytać w samych ustawieniach, firma zapisuje tego typu informacje w celu dostarczania trafniejszych wyników, spersonalizowanych map, rekomendacji i innych funkcji.


Google próbowało uniknąć odpowiedzialności i we wniosku o oddalenie sprawy zaznaczono, że aby doszło do naruszenia prawa, czynność musiałaby być związana ze sprzedażą lub reklamami. Sąd jednak odrzucił wniosek giganta w styczniu tego roku.


Batalia sądowa zakończyła się ugodą, która może nieco zaboleć firmę z Mountain View. Na jej mocy Google musi zapłacić stanowi 85 milionów dolarów.


Jak mówi w oświadczeniu Prokurator Generalny Mark Brnovich: „Jestem dumny z tej historycznej ugody, która dowodzi, że żaden podmiot, nawet duże firmy technologiczne, nie jest ponad prawem”.

Z kolei rzecznik Google’a zaznaczył, że pozew był oparty na starej polityce, którą firma zmieniła lata temu. „Zapewniamy prostą kontrolę i opcje automatycznego usuwania danych dotyczących lokalizacji i nieustannie pracujemy nad zminimalizowaniem zbieranych informacji. Cieszymy się, że ta sprawa została rozwiązana i nadal będziemy skupiać naszą uwagę na dostarczaniu przydatnych produktów dla naszych użytkowników” – mówi José Castañeda.

To nie pierwszy raz, kiedy firma została ukarana. Rekordową karę zapłaciła za złamanie zasad konkurencji w Europie. Grzywna nałożona przez sąd Unii Europejskiej wyniosła (po pomniejszeniu) aż 4,125 miliardów euro. 

Źródło: https://geekweek.interia.pl/lifestyle/news-google-szykuj-portfel-firma-zaplaci-85-milionow-za-sledzenie,nId,6331000
Kategorie
Bez kategorii bezpieczeństwo IT

Wkrótce aplikacja Office stanie się nową aplikacją Microsoft 365

28 października 2022

Wkrótce aplikacja Office stanie się nową aplikacją Microsoft 365, gdzie możesz znajdować, tworzyć i udostępniać zawartość oraz pomysły.

Zmiany w witrynie Office.com zaczną się wprowadzać w listopadzie 2022 r. Następnie zmiany w aplikacji pakietu Office w systemie Windows oraz w aplikacji mobilnej pakietu Office w styczniu 2023 r.

W ciągu ostatnich kilku lat platforma Microsoft 365 przekształciła się we flagowy pakiet biurowy Microsoftu, dlatego tworzy środowisko, które pomoże użytkownikowi w pełni wykorzystać możliwości platformy Microsoft 365. W nadchodzących miesiącach witryna Office.com, aplikacja mobilna Office i pakiet Office Aplikacja dla systemu Windows stanie się aplikacją Microsoft 365 z nową ikoną, nowym wyglądem i jeszcze większą liczbą funkcji.

Źródło: https://www.microsoft.com/en-us/microsoft-365/microsoft-365-faqs

Kategorie
Bez kategorii bezpieczeństwo IT

Nowy sposób wyłudzania „na policję”

27 października 2022

Centralne Biuro Zwalczania Cyberprzestępczości informuje o nowym sposobie oszustwa wykorzystywanym przez cyberprzestępców. Rozsyłają oni maile podszywając się pod Komendanta Głównego Policji oraz wykorzystując wizerunek Centralnego Biura Zwalczania Cyberprzestępczości, a także innych jednostek Policji.

Z treści przesyłanych wiadomości wynika, że wobec osoby, która ją otrzymała toczy się postępowanie w związku z popełnieniem przestępstwa i powinna ona zapoznać się z zarzutami, które opisane są w załączniku. W załącznik należy kliknąć i pobrać go na swoje urządzenie. W rzeczywistości może to być złośliwe oprogramowanie, za pomocą którego internetowi oszuści będą mogli wykraść nasze dane.

 W celu uwiarygodnienia swojej wiadomości przestępcy podpisują się jako Komendant Centralnego Biura Zwalczania Cyberprzestępczości – Adam Cieślak. Oszuści podszywają się również pod Komendanta Głównego Policji generalnego inspektora Jarosława Szymczyka i wysyłają maile z załącznikiem rozpoznawanym jako dokument w formacie „pdf”. Z treści tych wiadomości wynika, że wobec osoby prowadzone jest postępowanie karne dotyczące przestępstw z kategorii wolności seksualnej i obyczajności. Przestępcy zalecają kontakt mailowy w tej sprawie i ostrzegają przed skierowaniem sprawy prokuratorowi.

Uważajmy, załącznik do takiej wiadomości może zawierać szkodliwe oprogramowanie. Cała korespondencja w rzeczywistości jest próbą oszustwa i zastraszenia nas. Jej celem jest kradzież naszych pieniędzy. PAMIĘTAJ! Jeżeli nawet popełniłeś czyn karalny to Policja NIGDY nie będzie kontaktować się z Tobą w tej sprawie poprzez pocztę elektroniczną. Jeśli otrzymałeś podobną wiadomość na swoją skrzynkę pocztową warto to bezpośrednio zgłosić poprzez stronę https://www.cert.pl

„…From: CBZC POLICJA [mailto:12.cbzc.policja.gov.pl@gmail.com]
Sent: Monday, October 24, 2022 1:18 AM
To: undisclosed-recipients:
Subject: 🔴Odnośnik do pliku IC /14🔴

Czekamy na odpowiedź z szerszymi wyjaśnieniami dotyczącymi Twojej sprawy.
W przeciwnym razie będziemy zobowiązani do nieodwołalnego przystąpienia do aresztowania i interpelacji.
Skontaktuj się z nami poprzez następujący bezpieczny i prywatny adres : cyber-kgp@cbzc-policja-gov-pl.tech 
Uwaga!

Adam CIEŚLAK – Komendant Centralnego Biura Zwalczania Cyberprzestępczości …”.

Zarówno instytucja jak i osoba komendanta (dane komendanta) się zgadzają.

Zwróćmy uwagę na nagłówek:

…From: CBZC POLICJA [mailto:12.cbzc.policja.gov.pl@gmail.com]
Sent: Monday, October 24, 2022 1:18 AM
To: undisclosed-recipients:
Subject: 🔴Odnośnik do pliku IC /14🔴

Na adres mailowy z którego została wysłana wiadomość (w nawiasie  – adres gmail.com, wstawione przez @ gov.pl ma za zadanie zmylić odbiorcę).

Godzinę wysłania wiadomości

Wiadomość została wysłana do ukrytych odbiorców

Temat wiadomości

Zwrócimy uwagę także na treść wiadomości,a w niej miedzy innymi na „bezpieczny Adres mailowy”:

Zastanówmy się – Czy tego typu wiadomość byłaby kiedykolwiek wsysana w ten sposób i w takiej formie?

Miejsce na przypisy: https://cbzc.policja.gov.pl/bzc/zagrozenia-w-sieci/82,Oszusci-podszywaja-sie-pod-kierownictwo-Polskiej-Policji.html
Kategorie
bezpieczeństwo IT

Ergonomiczne rozwiązanie dla biznesu – Monitor Samsung S4U

5 października 2022

Kategorie
bezpieczeństwo IT

Przedłużenie stopni alarmowych CRP (stopień CHARLIE i stopień BRAVO)

Zarządzeniem Nr 282 Prezesa Rady Ministrów od dnia 01.09.2022r. od godz. 00.00 do dnia 30.11.2022r. do godz. 23.59 na terytorium RP wprowadzono III stopień alarmowy CRP (stopień CHARLIE-CRP), oraz Zarządzeniem Nr 283 Prezesa Rady Ministrów od dnia 01.09.2022r. od godz. 00.00 do dnia 30.11.2022r. do godz. 23.59 na terytorium RP wprowadzono II stopień alarmowy (stopień BRAVO).

W związku z tym przypominamy o zwracaniu uwagi na podejrzanie wyglądające wiadomości e-mail.
Na skrzynki e-mail często spływają wiadomości informujące np. o nieopłaconych fakturach, prośbach o potwierdzenie tożsamości, postępowaniu sądowym, oczekującej przesyłce do odebrania itp. Takie wiadomości w załącznikach mogą zawierać złośliwy kod skutkujący po otwarciu załącznika zainfekowaniem komputera złośliwym oprogramowaniem spreparowanym przez atakującego hackera. Grozi to utratą danych z dysku, kradzieżą danych osobowych i nierzadko w konsekwencji utratą pieniędzy. Co więcej można w ten sposób narazić bezpieczeństwo IT całej instytucji, jeśli zaatakowany komputer pracuje w lokalnej sieci komputerowej.
Otrzymaliśmy również informację o zwiększonej ilości fałszywych maili od osób podszywających się pod banki. W mailach nakazuje się kliknięcie linku w celu zwiększenia bezpieczeństwa mobilnych aplikacji. Jest to wrogi proceder imitujący kontakt z prawdziwym bank.

 

Kategorie
bezpieczeństwo IT

Model wspólnej odpowiedzialności za dane IT według Microsoft:

Decyzja o wyborze i ocena ryzyka w korzystaniu z usług w chmurze publicznej ma kluczowe znaczenie dla zrozumienia modelu wspólnej odpowiedzialności i zadań w odniesieniu do zabezpieczeń obsługiwanych przez dostawcę usług w chmurze oraz zadań, które są obsługiwane przez Ciebie.

Jest to wspólna odpowiedzialność pod pewnymi warunkami. Obowiązki związane z obciążeniem pomiędzy usługodawcę a klienta różnią się w zależności od tego, czy obciążenie to jest hostowane w oprogramowaniu jako usłudze (SaaS), w platformie jako usłudze (PaaS) lub infrastrukturze jako usłudze (IaaS) albo w lokalnym centrum danych. Sprawdź z jakiego modelu usług Microsoft korzystasz i kto odpowiada za bezpieczeństwo Twoich danych.

Kategorie
bezpieczeństwo IT

Nowe warianty ataków phishingowych w Polsce. Tym razem w akcji kody QR można stracić zawartość konta

Pojawił się nowy wariant starego ataku „na OLX„.

Wszystko przebiega podobnie jak we wczesniejszym wariancie, czyli zgłasza się „kupujący” na przedmiot, który wystawiliśmy, dopytuje się dla niepoznaki o szczegóły. Aż w końcu chce kupić – czyli wysyła linka w formie kodu QR („zeskanuj indywidualny kod QR aby rozpocząć otrzymywanie środków”)

Warto zaznaczyć, że kod jest całkiem ciekawie personalizowany (kolor allegro, w środku napis allegro) – sam link prowadzi do podstawionej strony allegro (nie skanujcie przypadkiem tego kodu):

Docelowa strona próbuje wyłudzać nasze dane finansowe (w tym np. dane karty płatniczej) i / lub dane osobowe.

 

Swoją drogą, o podobnej akcji ostatnio wspominał CERT Orange, tym razem kod QR został użyty w scamie na „problem z dostarczeniem paczki”:

Co specjaliści z Orange komentują w następujący sposób:

Kod QR! Zaiste sprytne, z dwóch powodów. Dodanie logo firmy, której marka jest nadużywana wzbudza zaufanie. A sam kod QR, choć de facto wydłuża proces (wzięcie do ręki telefonu, czasem nawet instalacja aplikacji do czytania kodów), ułatwia oszustom atak w dwójnasób. Po pierwsze – przenosi aktywność ofiary na telefon. A tam mniejszy ekran i nierzadko schowany pasek adresu. Po drugie – nie widzimy paska adresu, klikając go.

 

Uważajcie!

 

źródło: https://sekurak.pl/nowe-warianty-atakow-phishingowych-w-polsce-tym-razem-w-akcji-kody-qr-mozna-stracic-zawartosc-konta/
Kategorie
bezpieczeństwo IT

Hakerzy atakują serwery Exchange za pomocą BlackCat

Jak podaje Microsoft, grupa ransomware BlackCat uzyskuje dostęp do sieci firmowych wykorzystując niezałatane luki w zabezpieczeniach serwerów Exchange.

Po uzyskaniu dostępu, cyberprzestępcy szybko rozpoczynają gromadzenie danych o zainfekowanych systemach oraz kradzież danych uwierzytelniających, a na końcu umieszczają ransomware.

Według zespołu Microsoft 365 Defender Threat Intelligence Team, cyberprzestępcy potrzebowali dwóch tygodni od wykorzystania luki Exchange, zanim wdrożyli oprogramowanie ransomware.

„W innym zaobserwowanym przez nas incydencie okazało się, że osoba powiązana z tą grupą przestępczą uzyskała początkowy dostęp do środowiska za pośrednictwem internetowego serwera Remote Desktop, wykorzystując do zalogowania się skompromitowane dane uwierzytelniające.” – podaje Microsoft

Jak działa BlackCat ransomware?

BlackCat, znany również jako ALPHV i Noberus, jest jednym z pierwszych ransomware napisanych w języku programowania Rust. O BlackCat było głośno w grudniu poprzedniego roku, kiedy to pierwszy raz został wykryty. Powstał nowy trend, w którym cyberprzestępcy wykorzystują nowe języki, takie jak Rust, Drlang, Nim czy Go do tworzenia swoich payloadów.

Robią to nie tylko po to, aby pozostać niewykrytym przez tradycyjne oprogramowanie zabezpieczające, ale również po to, aby rzucić wyzwanie specjalistom ds. bezpieczeństwa, którzy mogliby łatwo porównać ransomware z innymi znanymi wirusami. Tym sposobem osoba odpowiedzialna za bezpieczeństwo, bez uprzedniej wiedzy o języku nie jest pewna z czym ma do czynienia.

BlackCat potrafi atakować i szyfrować systemy Windows, Linux oraz instancje VMWare. Po zaszyfrowaniu, dane są następnie przetrzymywane aby uzyskać okupu w ramach tzw. podwójnego wymuszenia. Poniżej schemat działania i wdrażania złośliwego oprogramowania:

Źródło: Microsoft

Według raportu opublikowanego przez FBI, od czasu swojego debiutu w 2021 r. oprogramowanie ransomware-as-a-service (RaaS) BlackCat uderzyło co najmniej 60 organizacji na całym świecie (stan na marzec 2022 r.).

Co więcej, Microsoft stwierdził, że BlackCat jest dystrybuowany przez organizacje cyberprzestępcze, które były powiązane z innymi podobnymi ransomware, w tym Hive, Conti, REvil i LockBit 2.0.

Jednym z wymienionych przez Microsoft hakerów jest DEV-0237 znany również pod pseudonimem FIN12, którego ostatnio zauważono atakującego branżę opieki zdrowotnej oraz DEV-0504, który działa od 2020 r. i jest odpowiedzialny za poprawę ładunku, gdy ten przestaje działać.

Źródło: Microsoft

DEV-0504 był też odpowiedzialny za wdrożenie ransomware w firmach z sektora energetycznego w styczniu 2022 roku. Chwile później zatakował firmy m.in. z branży modowej, tytoniowej, IT i produkcyjnej.

Podsumowanie

Wykrywanie zagrożeń takich jak BlackCat staje się coraz trudniejsze, ponieważ oprogramowanie cały czas jest poprawiane, zmieniane i łatwe do przeoczenia przez zwykłego człowieka.

Microsoft twierdzi, że organizacje muszą zmienić swoje strategie obronne, aby zapobiec atakom typu end-to-end. Niezbędne jest również wzmocnienie sieci poprzez różne najlepsze praktyki, takie jak monitorowanie dostępu i właściwe zarządzanie poprawkami.

Osoby odpowiedzialne w organizacji za bezpieczeństwo powinny sprawdzić dostęp z zewnątrz oraz zlokalizować w swoim środowisku podatne na ataki serwery Exchange i jak najszybciej je zaktualizować.

Kategorie
bezpieczeństwo IT

Microsoft znowu nie ma szczęścia w poprawianiu błędów.

Właśnie powstał nowy PoC (Proof of Concept) i tym samym publicznie dostępny exploit, w którym badacz pokazuje jak za pomocą specjalnie przygotowanego kodu wykonać lokalną eskalację uprawnień (LPE) ze zwykłego użytkownika do SYSTEM, czyli do najwyższych uprawnień na Windows.

Kategorie
bezpieczeństwo IT

Rekomendacje w związku z zagrożeniem na Ukrainie.

Każdy z nas codziennie jest narażony na zagrożenia w cyberprzestrzeni, ale są momenty, gdy czujność trzeba jeszcze dodatkowo wzmocnić. W związku z obecną sytuacją na Ukrainie oraz ogłoszeniem stopnia alarmowego CHARLIE-CRP, przygotowaliśmy rekomendacje dla obywateli i firm, których wdrożenie uważamy za konieczne. Jeśli do tej pory Twoja firma nie testowała nigdy procedury przywracania kopii zapasowych, to jest to właściwy moment na zrobienie tego.

Rekomendacje dla obywateli

* Zapoznaj się z poradnikiem dotyczącym bezpieczeństwa skrzynek pocztowych i kont w mediach społecznościowych oraz zastosuj się do jego rekomendacji.

* Bądź wyczulony na sensacyjne informacje, w szczególności zachęcające do natychmiastowego podjęcia jakiegoś działania. Weryfikuj informacje w kilku źródłach. Upewnij się, że informacja jest prawdziwa przed podaniem jej dalej w mediach społecznościowych. Jeśli masz jakieś wątpliwości, wstrzymaj się.

* Uważaj na wszelkie linki w wiadomościach mailowych i SMS-ach, zwłaszcza te sugerujące podjęcie jakiegoś działania, np. konieczność zmiany hasła, albo podejrzaną aktywność na koncie. Obserwowaliśmy w przeszłości tego typu celowane ataki na prywatne konta, gdzie celem było zdobycie informacji zawodowych.

* Upewnij się, że posiadasz kopię zapasową wszystkich ważnych dla siebie plików i potrafisz je przywrócić w przypadku takiej potrzeby.

* Śledź ostrzeżenia o nowych scenariuszach ataków na naszych mediach społecznościowych: Twitter, Facebook.

* Zgłaszaj każdą podejrzaną aktywność przez formularz na stronie incydent.cert.pl lub mailem na cert@cert.pl. Podejrzane SMS-y prześlij bezpośrednio na numer 799 448 084. Rekomendujemy zapisanie go w kontaktach.

Rekomendacje dla firm

Należy:

* Przetestować przywracanie infrastruktury z kopii zapasowych. Kluczowe jest, żeby zostało to wykonane w praktyce na wybranych systemach, nie tylko proceduralnie.

* Upewnić się, że posiadane kopie zapasowe są odizolowane i nie ucierpią w przypadku ataku na resztę infrastruktury.

* Upewnić się, że dokonywane są aktualizacje oprogramowania, w szczególności dla systemów dostępnych z internetu. Należy zacząć od podatności, które są na liście obecnie aktywnie wykorzystywanych w atakach.

* Upewnić się, że wszelki dostęp zdalny do zasobów firmowych wymaga uwierzytelniania dwuskładnikowego.

* Przejrzeć usługi w adresacji firmowej dostępne z internetu i ograniczyć je do niezbędnego minimum. Można w tym celu wykorzystać np. portal Shodan. W szczególności nie powinny być bezpośrednio dostępne usługi pozwalające na zdalny dostęp jak RDP czy VNC.

* Aktualizować w sposób automatyczny sygnatury posiadanych systemów bezpieczeństwa typu AV, EDR, IDS, IPS, itd.

* Wdrożyć filtrowanie domen w sieci firmowej na bazie publikowanej przez nas listy ostrzeżeń. Dzięki temu w szybki sposób zablokowane zostaną zaobserwowane przez nas złośliwe domeny.

* Zapoznać się z przygotowanym przez CSIRT KNF poradnikiem dotyczącym obrony przed atakami DDoS i wdrożyć jego rekomendacje.

* Zapoznać się z naszym poradnikiem omawiającym sposoby wzmocnienia ochrony przed ransomware i wdrożyć jego rekomendacje.

* Zapoznać się z naszymi materiałami dotyczącymi bezpieczeństwa haseł.

* Zapoznać się z naszym artykułem dotyczącym mechanizmów weryfikacji nadawcy wiadomości i wdrożyć je dla domen wykorzystywanych do wysyłki poczty.

* W przypadku posiadania własnego zakresu adresów IP zalecamy dołączenie do platformy N6. Za jej pośrednictwem udostępniamy na bieżąco informacje o podatnościach i podejrzanej aktywności obserwowanej przez nas w podanym zakresie adresowym.

* Wyznaczyć osobę odpowiedzialną za koordynację działań w przypadku wystąpienia incydentu i przećwiczyć procedury reagowania.

* Uczulić pracowników na obserwację podejrzanej aktywności oraz poinformowanie o sposobie jej zgłaszania do wyznaczonej w firmie osoby.

Zgłosić do nas osobę kontaktową, nawet jeśli nie zobowiązuje do tego ustawa. Dzięki temu będziemy w stanie szybko skontaktować się z właściwą osobą w celu przesłania ostrzeżenia.

* Zgłaszać każdą podejrzaną aktywność do właściwego CSIRT-u, tj.:

CSIRT GOV — administracja rządowa i infrastruktura krytyczna,

CSIRT MON — instytucje wojskowe,

CSIRT NASK — wszystkie pozostałe.

Uwaga! Jeśli Twoja firma współpracuje z podmiotami na Ukrainie lub ma tam oddziały, dodatkowo:

* Sprawdź reguły dla dostępu sieciowego, ogranicz dozwolony ruch do minimum.

* Monitoruj ruch sieciowy, w szczególności na styku sieci z tymi firmami/oddziałami.

* Obejmij szczególnym monitoringiem hosty, na których jest zainstalowane oprogramowanie, które otrzymuje automatyczne aktualizacje od podmiotów na Ukrainie.

* Ostrzeż pracowników, aby byli szczególnie wyczuleni na informacje nakłaniające ich do podjęcia jakiegoś działania.

Miejsce na przypisy