Uwaga na fałszywe SMS-y od Poczty Polskiej
O oszustwie na lewą bramkę płatności i dopłatę złotówki pisaliśmy już wiele razy. Niezmiennie jest to najpopularniejszy w Polsce atak, w wyniku którego codziennie kilka osób traci oszczędności całego swojego życia. Jedna z Czytelniczek, Karolina (dzięki!), przesłała nam ciekawy wariant tego ataku wykorzystujący markę Poczty Polskiej.
Fałszywy SMS od Poczty Polskiej
Oto jak wygląda wiadomość jaką teraz otrzymują Polacy…
Więcej dowiesz się u źródła >Santander ostrzega klientów: to fałszywe SMS-y
Bank Santander wydał komunikat, w którym informuje klientów o oszustach podszywających się pod markę. Co ciekawe fałszywy SMS może mieć rozmaity charakter. Przestępcy korzystają z kilku scenariuszy. Mogą podszywać się pod kuriera, który prosi o dopłatę bo paczka jest za ciężka.
Albo komornika, który prosi o uregulowanie zadłużenia na kilka złotych. Pojawiły się też SMS-y udające powiadomienie z o zablokowaniu dostępu do bankowości elektronicznej. Jeżeli klient kliknie w załączony do SMS-a link, może się spotkać z różnymi nieprzyjemnościami…
Więcej dowiesz się u źródła >Jeśli używasz Allegro – uważaj. Rozsyłany jest bezczelny phishing wykradający hasła.
O temacie doniósł CERT Polska:
Więcej dowiesz się u źródła >Uwaga! Ostrzegamy przed #phishing kierowanym do użytkowników @Allegro_Group. W scenariuszu kampanii ofiara jest informowana o niedopłacie do salda konta z krótkim terminem płatności. Domena wykradająca hasła użytkowników to 2-login.alleqro-pl.choljai[.] info…
Odkryto nową metodę atakowania głosowych asystentów
Informatycy odkryli, że do wielu asystentów głosowych można się włamać używając do tego celu tanich laserów, w tym ogólnie dostępnych urządzeń wskazujących, które emitują tego typu promienie. Jest to możliwe dzięki temu, że asystenci interpretują promienie lasera jako dźwięk.
W skład zespołu wchodzą japońscy (University of Electro-Communications; Tokio) i amerykańscy (University of Michigan) naukowcy. Odkryli oni, że można w ten sposób „rozmawiać” z tak popularnymi asystentami, jak te produkowane przez firmy Google (Google Assistant), Amazon (Alexa) i Apple (Siri), wydając im za pomocą wiązki lasera polecenia np. otwarcia drzwi garażowych czy zamka…
Więcej dowiesz się u źródła >Zdalne przejmowanie kontroli nad asystentami głosowymi. Badacze wykorzystali laser do wstrzykiwania głosu. Zasięg ~100 metrów.
Google assistant, Siri czy Amazon Alexa – wszystkie da się zmylić w ten zaskakujący sposób. Badacze pokazali laser, którym „strzelają” w docelowe urządzenie (w pokazach demo widać, że może być to zrealizowane nawet przez szybę!).
Wiązka lasera przekazuje wcześniej nagrany (dowolny) głos, który nie jest słyszalny dla ofiary (jest za to „słyszalny” dla asystenta). Np. „otwórz bramę”, „włącz światło”, „kup w necie to a to”. W warunkach laboratoryjnych zestaw wygląda to tak…
Więcej dowiesz się u źródła >Google wzmacnia bezpieczeństwo przeglądarki Chrome
Korporacja informuje użytkowników przeglądarki Chrome, że zagnieżdżona w niej technologia bezpieczeństwa została udoskonalona, tak iż oprogramowanie to jest obecnie dużo odporniejsze na ataki wykorzystujące różnego rodzaju luki znajdujące się w silniku renderowania Blink.
Chodzi o udoskonaloną przez Google technologię izolacji stron, bo o niej mowa. Jest to według tej firmy największe osiągnięcie w dziedzinie zapewnienia przeglądarkom bezpieczeństwa od czasu opracowania innego ważnego rozwiązania, jakim jest piaskownica…
Więcej dowiesz się u źródła >Najazd kuzynów z Mali, czyli telefony z kierunkowego +223
+223 to kierunkowy Mali. Jeśli nie macie tam rodziny i nikt ze znajomych nie wyjechał tam na wakacje, nie odbierajcie. A już na pewno nie oddzwaniajcie. Może się zdarzyć, że będzie to najdroższa rozmowa w waszym życiu. W sieci pojawia się coraz więcej zgłoszeń o telefonach zaczynających się od numeru +223.
To kierunkowy Mali, położonego w Afryce Zachodniej. Na stronie SpamCalls.net w tempie błyskawicznym rośnie lista wpisów dotyczących dziwnych połączeń. Dla jednego tylko numeru +22376122934 pojawiło się już ponad 20 tys. zgłoszeń…
Więcej dowiesz się u źródła >RODO: 201 tys. kary dla ClickQuickNow za utrudnianie wycofywania zgód
No i mamy piątą pieniężną karę za RODO w Polsce. Tym razem 201 tys. zł kary dostała spółka ClickQuickNow, która zdaniem UODO utrudniała realizację prawa do wycofania zgody na przetwarzanie danych.
Generalnie RODO wymaga, by proces wycofania zgody na przetwarzanie danych był równie łatwy jak proces wyrażenia zgody. Tymczasem stosowany przez spółkę mechanizm polegał na użyciu linku zamieszczonego w treści informacji handlowej, który to link prowadził do komunikatów wprowadzających w błąd (w ocenie UODO). Spółka wymuszała też podanie przyczyny wycofania zgody, co zdaniem UODO było zbędnym utrudnieniem. Z decyzji wynika też, że spółka ignorowała e-maile wyraźnie świadczące o wycofaniu zgód (zdaniem spółki te e-maile nie identyfikowały dobrze osób i nie dawały wyraźnej informacji o żądaniu)…
Więcej dowiesz się u źródła >WYDATKI NA CYBERBEZPIECZEŃSTWO ZAPLANOWANE W BUDŻECIE FIRMY. KOSZT CZY INWESTYCJA?
Cyberataki przybierają na sile. W ubiegłym roku doświadczyło ich 68% firm. Raport „RODO i cyberbezpieczeństwo 2019” donosi z kolei, że ponad 30% przedsiębiorstw zostało dotkniętych jednym, dwoma lub trzema cyberatakami w roku. Są też firmy, które przeżyły ich nawet 30 lub więcej. Z tego względu warto ująć kwestie związane z cyberbezpieczeństwem w budżecie IT firmy na 2020 roku. O ten aspekt powinni zadbać wszyscy – od rynkowych gigantów, przez małe i średnie przedsiębiorstwa, po rodzinne firmy.
Najnowsze dane pokazują, że są firmy, w których dochodziło nawet do kilku skutecznych cyberataków w miesiącu (6% firm doświadczyło ich co najmniej 30 w skali roku). A ile było prób? W drugiej połowie 2018 roku ich ilość wzrosła czterokrotnie – do 813 mln. Dodano również, że aż 60% firm, które doświadczają cyberataku, upada w ciągu kolejnych 6 miesięcy…
Więcej dowiesz się u źródła >Proste hasła – groźne dla bezpieczeństwa firm
Na początek proponujemy chwilę refleksji. Jak tworzysz swoje hasła dostępowe do kont w pracy i w domu. Czy tworząc kolejne hasło do komputera, poczty elektronicznej lub banku, pamiętasz o tym, aby nie było zbyt oczywiste? Jak bardzo twoje hasła są skomplikowane? W jakim stopniu dotyczą one Twojego życia?
Niestety większość haseł internetowych składa się z daty urodzenia, imion dzieci, zwierzaków domowych, a rzadziej przypominają trudne do złamania kombinacje znaków specjalnych i cyfr. A może jak większość z Nas masz jedno hasło do wielu miejsc? Bo przecież „Tak jest wygodnie.” Bo „Co takiego może się wydarzyć?” Bo „Kto by chciał się włamywać akurat do mojego komputera?”…
Więcej dowiesz się u źródła >Chińscy hakerzy sklonowali odcisk palca
Hakerzy z chińskiej firmy Tencent Security Xunawu Lab odblokowali telefon używając do tego zdjęcia odcisku palca i specjalnej aplikacji. Według serwisu Tech Radar cała operacja trwała 20 minut. Dokonali tego podczas październikowej konferencji GeekPwn w Szanghaju.
Podczas konferencji poproszono kilku widzów, by zostawili odciski palców na szklanej płytce (w prawdziwym życiu może być to np. szklanka, kubek, blat biurka i jakakolwiek inna powierzchnia, na której pozostanie wyraźny ślad)…
Więcej dowiesz się u źródła >Chińczycy: jesteśmy w stanie obejść *każdy* czytnik palca w telefonie. Wystarczy np. zdjęcie kieliszka z odciskiem
Wg kolegów z X-LAB (Tencent) podatne jest w zasadzie wszystko (głównie rozmaite telefony oparte o Androida) + iPhone-y do 8 włącznie (Apple przeszedł później na inny sposób uwierzytelnienia biometrycznego: FaceID).
W ramach LIVE demo na konferencji Geekpwn poprosili kogoś z publiczności o zostawienie odcisku palca na kieliszku oraz podanie swojego telefonu…
Więcej dowiesz się u źródła >Platforma Steam na celowniku – cyberprzestępcy wyłudzają dane
Oszuści polują na graczy przed okolicznościowymi wyprzedażami z okazji Halloween. Użytkownicy platformy internetowej Steam, powinni zachować szczególną ostrożność. Cyberprzestępcy wykorzystali starannie wykonaną kopię interfejsu autentycznej witryny, podszywając się pod stronę autoryzacji, by uzyskać od graczy dane dostępu do ich kont.
Gdy użytkownik próbuje wykonać dowolne działanie w fałszywej witrynie, pojawia się okno przeglądarki, w którym ofiara ataku ma podać swoją nazwę użytkownika oraz hasło. Jako że nazwa domeny w pasku adresu wydaje się być poprawna, nie wzbudza to żadnych podejrzeń. Przestępcy żądają również kodu potwierdzającego, który użytkownik otrzymuje za pośrednictwem poczty e-mail lub oficjalnej aplikacji…
Więcej dowiesz się u źródła >Indie. „Przejęli kontroler domeny” w największej elektrowni atomowej. Ślad prowadzi do unikatowego komputera z Korei Północnej…
Informacja zaczęła wypływać chyba od tego dość alarmującego Twitta:
Więcej dowiesz się u źródła >So, it’s public now. Domain controller-level access at Kudankulam Nuclear Power Plant. The government was notified way back. Extremely mission-critical targets were hit…