Обавештења

28. Фебруар 2019

Удружење банака Србије упозорава на фишинг кампању

САОПШТЕЊЕ ЗА ЈАВНОСТ -

Упозорење по питању учесталог слања злонамерних електронских порука

 

Национални Центар за реаговање на безбедносне инциденте Републике Србије, који послује у оквиру Регулаторне агенције за електронске комуникације и поштанске услуге (РАТЕЛ)  и Удружење банака Србије обавештавају јавност да је у претходном периоду примећена повећана активност слања злонамерних електронских порука са циљем крађе података и компромитовања корисничких рачунара и мобилних уређаја. Електронске поруке се шаљу са лажном адресом пошиљаоца а наводно у име неке од банака које послују у нашој земљи. Мејлови наизглед дeлују уобичајено и садрже стандардне поруке и обавештења,  са циљем да се корисник обмане и отвори заражен прилог који се у поруци налази.

Неке од лажних порука имале су форму обавештења о наводном девизном приливу, достављању извода, дневних извештаја и др. док су се у прилогу порука налазили заражени фајлови са екстензијама .pdf, .iso, .zip.

Поруке се шаљу најчешће насумично на велики број електронских адреса често и корисницима који немају рачуне у банкама чија имена се злоупотребљавају у порукама.

Савет је да мејл поруке које вам стижу у име банака у којима немате отворен рачун, као ни евентуалне прилоге или хипер линкове који се могу налазити у тим порукама не отварате, те да овакве мејлове игноришете.

Обавештавамо све клијенте, али и кориснике рачунара и мобилних уређаја да банке нису пошиљаоци оваквих порука, нити су подаци о адресама прималаца потекли из њихових система. Увидом у детаље о пошиљаоцу порука могуће је видети праве адресе са којих се овакви мејлови шаљу, за које напомињемо да нису у власништву банака.

Национални ЦЕРТ, Удружење банака Србије и банке раде на идентификацији пошиљалаца порука, изналажењу решења како би се овакве поруке у будућности спречиле и моле грађане да се придржавају препорука добре праксе по питању заштите рачунарских система и поступања са спам, фишинг и осталим видовима малициозних порука.

Линкови ка препорукама:

https://www.cert.rs/

http://www.ubs-asb.com/Default.aspx?tabid=9911   

http://www.pametnoibezbedno.gov.rs/

27. Фебруар 2019

Откривене рањивости апликативних решења и сервиса за потписивање .PDF докумената

Многи популарни .PDF читачи и онлајн сервиси за валидацију потписа .PDF докумената садрже рањивости које могу бити искоришћене за унос неауторизованих измена без нарушавања валидности потписа.

Потписивање .PDF докумената се ослања на криптографску заштиту, која спречава унос неовлашћених измена у документ који је потписан на овакав начин.

Овакав вид потписивања .PDF докумената користе многе државне институције широм света, али и приватне компаније и велике корпорације као што је Амазон, који својим клијентима на овакав начин потписује фактуре.

Тим истраживача из Немачке је анализирао 22 десктоп апликације (које укључују Windows, Linux и macOS верзије оперативних система) и 7 онлајн сервиса за валидацију потписа .PDF докумената и том приликом су откривене наведене рањивости.

Листа рањивих апликација укључује Adobe Reader, Foxit Reader, LibreOffice, Nitro Reader, PDF-Xchange и Soda PDF. Листа рањивих онлајн сервиса за валидацију потписа укључује DocuSign, eTR Validation Service, DSS Demonstration WebApp, Evotrust и VEP.si.

Истраживачи су своје резултате поделили са вендорима наведених апликација и онлајн сервиса. Вендори апликација су већ објавили закрпе за наведене рањивости, док неки од вендора онлајн сервиса активно раде на проналажењу одговарајућих решења.

Истраживачи су објавили документ који садржи извештај о њиховом раду, као и линк на којем се могу видети пример злоупотребе откривене рањивости и њихове препоруке.

Национални ЦЕРТ Републике Србије препоручује свим корисницима да благовремено ажурирају своја хардверска и апликативна решења, као једну од најефикаснијих мера превентивног деловања.

 

 

 

Извор: SecurityWeek

3. Децембар 2018

Обавезна регистрација адресе електронске поште привредних друштава

Закон о изменама и допунама Закона о привредним друштвима из јуна 2018. године прописује да је свако привредно друштво дужно да региструје адресу електронске поште. Примена ове одредбе почела је 1. октобра 2018. године за сва новооснована правна лица и предузетнике, док су сва постојећа привредна друштва, предузетници, представништва и огранци страних привредних друштава који немају регистровану адресу за пријем електронске поште дужни да региструју званичну адресу своје е-поште до 1. октобра 2019. године.

У циљу промоције правилног коришћења електронске поште у пословне сврхе, а и промоције коришћења националних интернет домена, Регистар националног интернет домена Србије (РНИДС) је креирао анимирани филм који је постављен на микросајт на адреси https://email.domen.rs/. Микросајт такође омогућава проверу доступности жељеног назива интернет домена и избор овлашћеног регистра код кога ће привредно друштво да региструје свој домен). На сајту могу да се прочитају додатна упутства о правилном коришћењу електронске поште у пословне сврхе.

10. Октобар 2018

Замена основног пара кључева DNSSEC протокола

Интернет корпорација за додељене називе и бројеве  (The Internet Corporation for Assigned Namesand Numbers - ICANN ) ће 11. октобра у 18:00 по локалном времену у Србији, по први пут заменити основни пар кључева који се користе у DNSSEC протоколу за потписивање главне DNS зоне.

ICANN је светска организација за управљање Интернетом,  одговорна за руковођење глобалном структуром Интернета, у коју су укључени и главни DNS сервери. DNS (Domain Name System) претвара имена рачунара и сајтова у IP адресе, а DNSSEC је безбедносно проширење DNS-а које омогућава заштиту од преусмеравања корисника на лажне сервере са злонамерним садржајима.

Фондација Регистар националног интернет домена Србије (РНИДС) управља регистром назива националних Интернет домена .RS и .СРБ и Интернет инфраструктуром од посебног значаја у Републици Србији.

Крајњи корисници не треба да брину о подешавању DNS сервера, јер ће замену кључева обавити интернет провајдери који  имају активирану DNSSEC валидацију.

Детаљна објашњења у вези са заменом кључева у DNSSEC протоколу се налазе на РНИДС-овој интернет страници:

https://www.rnids.rs/новости/замена-dnssec-кључева-за-root-зону

1. Октобар 2018

Рањивост Фејсбука угрозила 50 милиона налога

25.09.2018. године, тим инжењера компаније Фејсбук је открио рањивост у софтверском коду апликације, везану за опцију "View As", која корисницима ове друштвене мреже омогућава да свој профил виде из угла својих пријатеља. Рањивост је омогућила нападачима да преузму приступне токене Фејсбука и тако у потпуности преузму налоге корисника, које могу злоупотребити на различите начине. Број потенцијално угрожених налога је око 50 милиона.

Из компаније Фејсбук је стигла информација да је рањивост отклоњена и да је инцидент пријављен надлежним органима.

Фејсбук је ресетовао токене свих угрожених налога, а у циљу превенције додатно је ресетовано још 40 милиона токена. Како би у потпуности били упућени у све детаље у вези са својим налозима, свих 90 милиона корисника ће приликом прве наредне пријаве на Фејсбук кроз опцију "News Feed" добити информацију о угрожености налога и корацима предузетим да би откривена рањивост  била отклоњена.

Опција "View As" је привремено онемогућена, да би се спровела безбедносна анализа злоупотребе ове рањивости.

Фејсбук сматра да нема потребе за изменом лозинке којом се корисници пријављују на свој налог. У циљу спречавања додатне злоупотребе налога, корисници Фејсбука могу да посете секцију "Security and Login" и једним кликом се одјавити са свих рачунара или мобилних уређаја на којима су били пријављени. 

 

Извор: https://newsroom.fb.com/news/2018/09/security-update/

 

Додатне информације и проверу изложености свог налога можете наћи на следећим линковима: 

https://www.facebook.com/help/securitynotice?ref=sec%3Futm

https://www.facebook.com/help/www/105487009541643?helpref=faq_content

 

9. Јул 2018

Tројанац ,,Rakhni'' - вишенаменски малициозни софтвер

Компанија Kaspersky Lab открила је нову врсту малициозног софтвера под називом Rakhni Trojan (Trojan-Ransom.Win32.Rakhni). У зависности од жеље злонамерних корисника који га дистрибуирају, овај тип малициозног софтвера има могућност да се покрене као ransomware, рудар криптовалута или као мрежни црв (net-worm). Ова врста тројанца иницијално проверава садржај на рачунарима, a након провере хакери одлучују која од могућих опција малициозног софтвера ће бити покренута. 

Ова врста малициозног софтвера је примећена на територији Русије и шири се даље путем спама и фишинг кампања, које у себи садрже имејл поруке са лажним корпоративним финансијским документима. По отварању имејла, корисници добијају инструкције како да отворе PDF фајл који се налази у прилогу (attachment). Кликом на ''PDF'' покреће се малициозни софтвер написан у програмском језику Delphi, који користи лажни дигитални потпис Adobe Systems Incorporated

Уколико нападач одлучи да покрене опцију ransomware, кориснику ће се појавити порука MESSAGE.txt са захтевом за откуп енкрипционих кључева.
Уколико нападач одлучи да покрене опцију крипто-рударења, генерисаће се VBS скрипт са командом за рударење криптовалута Monero и Dashcoin.
Уколико не постоје могућности профитабилног искоришћавања претходне две опције овог малициозног софтвера, нападач може да се одлучи да покрене опцију мрежног црва (net-worm) и омогући тројанцу да креира сопствене копије на локалној мрежи корисника и тиме покуша да спроведе исти поступак и на другим доступним рачунарима.

За више детаља, молимо вас да посетите линк: threatpost.com

4. Мај 2018

Twitter упозорава свих 330 милиона корисника да изврше промену своје лозинке

У оквиру својих надлежности Националног ЦЕРТ-а у Републици Србији, РАТЕЛ обавештава и упозорава све кориснике Twitter-a да је дошло до грешке приликом чувања лозинки свих корисника ове социјалне мреже и да је неопходно одмах извршити промену лозинке, како не би дошло до злоупотребе налога корисника.
Све лозинке су чуване у виду отвореног текста (енг. plain text) а требало би да буду маскирани у одговарајућем xeш формату (енг.hash). Тврде да је грешка откривена од стране Twitter-а и да су све лозинке одмах уклоњене. Није идато званично обавештење колико је лозинки било изложено могућој злоупотреби, односно колико дуго је овај проблем постојао.
Национални ЦЕРТ Републике Србије препоручује свим корисницима ове социјалне мреже да изврше измену својих лозинки, како би избегли евентуалну злоупотербу налога.

Више детаља можете видети на линку https://www.theverge.com/2018/5/3/17316684/twitter-password-bug-security-flaw-exposed-change-now.

11. Децембар 2017

Ширење малициозног садржаја типа "Spider" (Ransomware)

У оквиру својих надлежности Националног ЦЕРТ-а у Републици Србији, РАТЕЛ обавештава и упозорава све кориснике рачунара и мобилних уређаја о ширењу новог типа малициозног ransomware садржаја, под називом "Spider".

Малициозни садржај "Spider" је први пут регистрован 10.12.2017. и претпоставка је да се ради о типу ransomware-a "File-Spider". Овај вид малициозног софтвера закључава целокупну датотеку на корисничком рачунару или мобилном уређају и, као и други познати облици ransomware малициозних садржаја, захтева откуп енкрипционих кључева, како би корисници поново могли да приступе инфицираним датотекама.

У овом тренутку је познато да овај тип малициозног садржаја стиже са имејл адресе office@adriadoo.com. Све до сада примљене поруке написане су на српском језику, послате под насловом ''Потраживање дуговања – ХХХХХХХ'' и потписане од стране наводног приватног извршитеља, Ивана Азељковића. У тексту поруке се наводи да се спроводи извршење одређеног решења Основног суда у Београду, са назначеним бројем рачуна на који је неопходно уплатити наведене износе. У захтеву се налази и напомена да је садржај информације приватног карактера и да је због тога креиран Microsoft Word документ који је прослеђен као прилог (attachment). Такође се наводи да је након отварања прилога неопходно омогућити едитовање документа, кликом на опцију "Enable Editing", а затим кликом омогућити и опцију "Enable Content", која се налази на командној линији.

Информације о овом типу малициозног софтвера су објављене и на друштвеним мрежама, уз помињање подручја Балкана, што је тачан податак, јер су исти напади извршени на територији Републике Српске и БиХ.

Препорука Националног ЦЕРТ-а Републике Србије је да корисници не отварају прилог из наведеног мејла, као и да редовно креирају резервне копије свих важних датотека на својим рачунарима и мобилним уређајима.

Уколико је рачунар инфициран, препоруке су следеће:

  • тренутно искључити инфицирани рачунар са локалне мреже,
  • обавестити Национални ЦЕРТ Републике Србије путем имејл адресе info@cert.rs,
  • НЕ ПЛАЋАТИ откуп енкриптованих кључева, јер корисницима није загарантовано да ће их добити, односно да ће њиховом применом бити омогућен поновни приступ инфицираним датотекама.
12. Октобар 2017

Рањивост протокола WPA2

У оквиру својих надлежности Националног ЦЕРТ-а у Републици Србији, РАТЕЛ обавештава и упозорава све кориснике рачунара и мобилних уређаја о откривеној рањивости протокола WPA2 (Wi-Fi Protected Access II).

На основу истраживања групе 'IMEC-DistriNet Research Group', откривен је висок степен рањивости протокола WPA2, који је задужен за заштиту саобраћаја ка Интернету бежичним путем (Wi-Fi). Злоупотребом те рањивости нападачи могу да преузму различите типове осетљивих података, као што су креденцијали корисника, лозинке, бројеви кредитних картица или банковних рачуна и слично.

У овом тренутку, нападима су највише изложени корисници који приступају заштићеним или незаштићеним јавним мрежама за бежични приступ Интернету (ресторани, кафеи, хотели, тржни центри, средства јавног превоза, културне или образовне установе и слично). Да би био у могућности да искористи рањивости протокола WPA2, нападач мора да буде у непосредној близини одређене приступне тачке, односно Wi-Fi-а,коју жели да злоупотреби. То значи да је могућ само напад на кориснике који у датом тренутку користе исти Wi-Fi који користи и нападач.

Приликом приступања одређеној Wi-Fi мрежи, извршава се део протокола WPA2 под називом "4-way handshake", који креира енкрипциони кључ за целокупан саобраћај који ће бити остварен у тој Wi-Fi мрежи. Како би могао да гарантује потпуну сигурност, креирани кључ би требало да буде инсталиран и употребљен само једном. Међутим, користећи KRACK (Key reinstallation attack), нападач може да превари уређај корисника тако што ће га навести да реинсталира већ инсталиран кључ. Захваљујући томе, нападач може преузети све корисникове осетљиве податке, па чак и испоручити малициозни софтвер са одређене странице на Интернету, уколико мрежна конфигурација то дозволи. Поред наведеног, нападач може да измени и подешавање протокола DHCP (Dynamic Host Configuration Protocol) и тако омогући злоупотребу DNS-a, односно упућивање корисника на злонамерне Интернет странице.

У овом тренутку, препорука Националног ЦЕРТ-а је да корисници примене препоручена ажурирања свих оперативних система, чим буду доступна. Као алтернативно решење, односно додатни ниво заштите, препоручује се коришћење VPN (Virtual Private Network) сервиса или других Интернет протокола који имају своју заштиту (HTTPSSecure Shell и слично).

Извори информација: 

https://www.krackattacks.com/

https://papers.mathyvanhoef.com/ccs2017.pdf

28. Јун 2017

Упозорење због ширења ransomware-а Petya

У оквиру својих надлежности Националног ЦЕРТ-а у Републици Србији, РАТЕЛ информише и упозорава све кориснике рачунара о брзом ширењу ransomware напада под називом Petya.

Овај малициозни софтвер који онемогућава приступ и коришћење података на рачунарима, представља претњу на глобалном нивоу и до сада је нанео штету рачунарским системима у великом броју земаља. Напад који се догодио је врло сличан нападу вируса WannaCry, који је причинио велику штету широм света у мају месецу ове године.

Саветујемо да корисници не отварају електронску пошту, односно имејл поруке и прилоге од пошиљаоца који нису познати. Ове мере предострожности важе и за непознате линкове на интернету, као и за “chat“ поруке. Препорука је да се уради ажурирање оперативног система, антивирусног софтвера, као и редовни “backup” свих важних података на рачунарима и тиме умање нежељени ефекти напада оваквог карактера. Поред хитног ажурирања, заштита се може извршити онемогућавањем SMBv1 протокола (Server Message Block) за дељење података, као и применом закрпе CVE-2017- 0199 (https://portal.msrc.microsoft.com/en-US/security-guidance) и блокирањем могућности за remote access нa WMI. Додатно се може блокирати и PSEXEC.EXE у циљу затварања 135 и 445 (TCP) портова.

Такође се саветује да се не плаћају наведени износи за „откуп“ фајлова, јер нападачи нису у могућности да врате податке, који су били изложени Petya вирусу. Овај ransomware за контакт користи адресу wowsmith12345@posteo.net (http://thehackernews.com/2017/06/petya-ransomware- attack.html)

Архива