Túszul ejtett Apple felhasználók

2014. július 17. csütörtök - 20:45 / piacesprofit.hu
  •    

2014 májusában ausztrál lapok számoltak be arról, hogy néhány iPhone és iPad felhasználót kizártak a készülékükből. A támadók más forrásból megszerzett jelszavaikat elkezdték szépen kipróbálgatni, hátha valaki itt is ugyanazt használta, és ez a trükk szemlátomást bejött nekik.

A tanulság: ne használjuk ugyanazokat a jelszavakat – Kép: Freestockphotos

A közösségi oldalak beszámolói, és blogbejegyzések szerint az áldozatok korábban egy kéretlen üzenetet kaptak a Find My iPhone funkció nevében, amely azt írta “Hacked by Oleg Pliss. For unlock device YOU NEED send voucher code by 100 $/eur one of this (Moneypack/Ukash/PaySafeCard) to [email address]”, vagyis az állítólagos feltörés segítségével végrehajtott zárolás feloldásáért cserébe váltságdíjat követel egy állítólagos Oleg Pliss, ellenkező esetben nem kapjuk vissza a hozzáférést. Biztonsági szakértők szerint azonban sokkal inkább arról lehetett szó, hogy a támadó vagy a támadók teljesen más helyszínről és más forrásból megszerzett jelszavaikat elkezdték szépen kipróbálgatni az Apple Find My iPhone szolgáltatáson, hátha valaki itt is ugyanazt használta, és ez a trükk szemlátomást bejött nekik.

(Sokszor próbálkoznak zsarolással, de nem érdemes velük üzletelni.)

Az esettel kapcsolatosan érdemes kihangsúlyozni a védekezés és a megelőzés fontosságát. Akiknek még esetleg nincsen szinkronizált mentésük az iTunes-ban vagy iCloud-ban, akkor hozzanak létre ilyet, mert hasonló incidens során onnan például egyszerűen helyre tudják állítani az előző állapotot. Emiatt történhetett meg a fenti esetben, hogy akiknek viszont nem volt ilyen, az adatvesztés nélkül nem úszta meg a visszaállítást. Emellett érdemes bekapcsolni a kétfaktoros autentikációs opciót is, és javasolt rendszeresen menteni az iCloud, az iTunes, illetve a Time Machine segítségével, vagy akár párhuzamosan ezek mindegyikével. És nem utolsó sorban használjunk erős és egyedi – vagyis kitalálhatatlan, helyszínenként különböző és szótár alapon nehezen törhető – jelszót az Apple ID-hez.

Vírustoplista

Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2014 júniusában a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 15.14 százalékáért.

Hat tanács, hogy biztonságos legyen a BYOD
A BYOD évek óta az egyik leggyakrabban emlegetett jelenség a vállalati IT-szakemberek körében. A hazai cégek többsége azonban még mindig csak részben vagy egyáltalán nem gondoskodik arról, hogy biztonságossá tegye a privát vagy vállalati tulajdonú mobil készülékek használatát a vállalaton belül.

01. Win32/Bundpil féreg

Elterjedtsége a júniusi fertőzések között: 2.59%

Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezen kívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.

02. JS/Kryptik trójai

Elterjedtsége a júniusi fertőzések között: 2.35%

Működés: A JS/Kryptik egy általános összesítő elnevezése azoknak a különféle kártékony és olvashatatlanná összezavart JavaScript kódoknak, amely a különféle HTML oldalakba rejtetten beágyazódva észrevétlenül sebezhetőségeket kihasználó kártékony weboldalakra irányítja át a felhasználó böngészőprogramját.

03. LNK/Agent trójai

Elterjedtsége a júniusi fertőzések között: 1.91%

Működés: A LNK/Agent trójai fő feladata, hogy a háttérben különféle létező és legitim – alaphelyzetben egyébként ártalmatlan – Windows parancsokból kártékony célú utasítássorozatokat fűzzön össze, majd futtassa is le azokat. Ez a technika legelőször a Stuxnet elemzésénél tűnt fel a szakembereknek, a sebezhetőség lefuttatásának négy lehetséges módja közül ez volt ugyanis az egyik. Víruselemzők véleménye szerint ez a módszer lehet a jövő Autorun.inf szerű kártevője, ami valószínűleg szintén széles körben és hosszú ideig lehet képes terjedni.

04. Win32/Sality vírus

Elterjedtsége a júniusi fertőzések között: 1.49%

Működés: A Win32/Sality egy polimorfikus fájlfertőző vírus. Futtatása során elindít egy szerviz folyamatot, illetve registry bejegyzéseket készít, hogy ezzel gondoskodjon arról, hogy a vírus minden rendszerindítás alkalmával elinduljon. A fertőzése során EXE illetve SCR kiterjesztésű fájlokat módosít, és megkísérli lekapcsolni a védelmi programokhoz tartozó szerviz folyamatokat.

05. INF/Autorun vírus

Elterjedtsége a júniusi fertőzések között: 1.38%

Működés: Az INF/Autorun gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó károkozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul, és fertőzött adathordozókon (akár MP3-lejátszókon is) terjed.

06. Win32/Conficker féreg

Elterjedtsége a júniusi fertőzések között: 1.20%

Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a hosts fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.

07. Win32/Ramnit vírus 

Elterjedtsége a júniusi fertőzések között: 1.16%

Működés: A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.

08. HTML/ScrInject trójai

Elterjedtsége a júniusi fertőzések között: 1.06%

Működés: A HTML/ScrInject trójai egy RAR segédprogrammal tömörített állomány, amely telepítése során egy üres (c:\windows\blank.html) állományt jelenít meg a fertőzött gép böngészőjében. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül a háttérben további kártékony JavaScript állományokat kísérel meg letölteni.

09. HTML/Iframe.B.Gen vírus

Elterjedtsége a júniusi fertőzések között: 1.04%

Működés: A HTML/Iframe egy gyűjtőneve az olyan vírusoknak, amelyek HTML weboldalak Iframe tagjeibe ágyazódva egy megadott kártékony URL helyre irányítja át a böngészőt a felhasználó tudta és engedélye nélkül. Fertőzött weboldalakon keresztül terjed.

10. Win32/Dorkbot féreg

Elterjedtsége a júniusi fertőzések között: 0.96%

Működés: A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE, futtatása során pedig összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.

Félnek a cégek, de még nem eléggé
Egyre több vállalat állítja, hogy a személyes mobil eszközök munkahelyi használata (BYOD) veszélyt jelent a vállalatokra nézve, mégis kevesen tervezik, hogy korlátozásokat vezetnek be a személyes eszközök használatára.