A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet közleményében azt írja, az új-zélandi CERT jelzése szerint visszatért a korábban hazánkban is széles körben terjedő androidos FluBot kártevő. A FluBotot a kiberbűnözők továbbra is SMS üzenetekben szereplő hivatkozásokkal terjesztik.
Az üzenetek tartalma eltérő lehet, előfordulhat, hogy
- • függőben lévő csomagkézbesítésről;
- • a címzettel megosztott fényképalbumról;
- • vagy például hangpostaüzenet érkezéséről szólnak.
A korábbiakhoz képest azonban különbség, hogy az üzenetekben szereplő hivatkozások ezúttal egy olyan weboldalt nyitnak meg a böngészőben, amely egy hamis biztonsági frissítésről szól.
A hamis weboldal szövegezése szerint az Android rendszer FluBot kártevővel fertőződött meg, aminek eltávolításához telepíteni kell egy biztonsági frissítést. Az értesítésben azt is kérik, hogy a felhasználó engedélyezze az ismeretlen forrású alkalmazások telepítését, ahhoz, hogy a biztonsági frissítés sikeresen települjön az eszközön.
Valójában az áldozat eszköze akkor fertőződik meg, amennyiben az áldozat rákattint a hamis biztonsági frissítés telepítésére.
Az NBSZ NKI javaslata szerint:
- Ne kattintson a gyanús SMS-ekben szereplő hivatkozásokra!
- Amennyiben csomag érkezését várja, és szeretne tájékozódni a kézbesítés állapotáról, javasolt mindig kézzel beírni a szállító cég weboldalának címét, és ott megadni a csomag azonosítóját.
- Ne engedélyezze az ismeretlen alkalmazások telepítését!
- Amennyiben ilyen üzenet érkezik, jelentse a CSIRT@nki.gov.hu e-mail címre!
Írtak az interneten terjedő, kéretlen e-mail üzenetek kapcsán is. Az üzenetek közös jellemzője, hogy a szövegtörzsben betűkből és számokból álló kódsorok találhatóak, illetve csatolmánnyal rendelkeznek. A csatolmány egy káros HTML file, amit megnyitva egy Bitcoin marketplace-t szimuláló adathalász oldalra vezet.
Az NBSZ NKI tájékoztatott a Pécsi Tudományegyetem nevével visszaélő, káros csatolmányt tartalmazó levelekről is.
A levél csatolmányában egy excel fájl (Ajánlatkérés 2021.xlsm) található, amely egy trójai típusú malware-t, a Lokibot egyik variánsát tartalmazza.
A káros csatolmányú levelek kiszűrése érdekében a Nemzeti Kibervédelmi Intézet az alább indikátorok tiltását/szűrését javasolja:
- Ip: 136[.]243[.]159[.]53
- Url: hxxp://136[.]243[.]159[.]53/~element/page[.]php?id=172
- Beérkezett excel állomány: „Ajánlatkérés 2021.xlsm”
- md5: c905b387d8889b669fbed95a6a252d30
- sha256: 995e9fafe57d7228634d9acd7035bb4f3462dfff4d2061f78552869952523324
- Futtatható fájl: Jtcrizlraiobuopr[.]exe
- sha256: d51f9cd3b67f68e9df9af50fd1bf3b4f5676ac55f352ae0d44fc431f5e7986df
A fenti indikátorok szűrésén túl javasolt a fogadó oldalon az SPF rekordok ellenőrzésének kikényszerítése. Az SPF beállítások megfelelő alkalmazásával biztosítható, hogy ha olyan szervezet nevében érkezik levél, akinek van beállított SPF rekordja, akkor a fogadó oldali levelezőrendszer azt visszaellenőrizve meg tudja állapítani a feladó valódiságát. További, SPF rekorddal kapcsolatos információk a https://nki.gov.hu/itbiztonsag/tartalom/eszkoztar/spf/ oldalon érhetőek el. Az elektronikus levelezés biztonsági beállításaival kapcsolatban további javaslatok a Közigazgatási Kibervédelmi Eszköztárban találhatóak.
Az Intézet tájékoztatott a Magyar Posta nevét és arculati elemeit felhasználó adathalász üzenetekről is.
Az NBSZ NKI információi szerint jelentős növekedés tapasztalható a csomagszállítás ürügyén érkező, valójában azonban a felhasználók személyes adatainak ellopására készített, ún. adathalász levelek terjedésével kapcsolatban. Az üzenetek első ránézésre is gyanút kelthetnek, a nyelvtani hibák és a hivatalostól eltérő nyelvezet – például tegező megszólítás – miatt.
A káros weboldalak sok esetben rendkívül jól utánozzák a valódi felületeket az arculati elemek ─ például logók, színek, tipográfiai jellemzők ─ lemásolásával, azonban a weboldal címe ekkor is árulkodó lehet.
Az NBSZ NKI javaslatai az adathalász e-mailek kezelésével kapcsolatban:
- Soha ne kattintson az e-mailben érkező bejelentkezési, vagy személyes, illetve érzékeny adat megadását kérő üzenetekben szereplő hivatkozásokra! Minden esetben külön keressen rá az adott cég, vagy szervezet hivatalos weboldalára, és ott bejelentkezve ellenőrizze a kapott üzenet valóságtartalmát!
- Amennyiben munkahelyi e-mail fiókjába gyanúsnak ítélt levél érkezik, jelölje meg SPAM üzenetként, valamint értesítse a szervezet információbiztonsági felelősét, rendszergazdáját.
- Előfordulhat, hogy az adathalász üzenetek csatolmányt is tartalmaznak (például egy Microsoft Word dokumentum, egy tömörített, .iso vagy .pdf kiterjesztésű fájl). Ezeket ne nyissa meg, és ne töltse le!
- Amennyiben adathalászatra utaló eseményt tapasztal, erről haladéktalanul értesítse az érintett szervezet információbiztonsági felelősét vagy rendszergazdáját, és jelentse be a Kibervédelmi Intézethez a csirt@nki.gov.hu incidensbejelentő e-mail címen.
