Obaveštenja

28. Februar 2019

Udruženje banaka Srbije upozorava na fišing kampanju

SAOPŠTENjE ZA JAVNOST -

Upozorenje po pitanju učestalog slanja zlonamernih elektronskih poruka

 

Nacionalni Centar za reagovanje na bezbednosne incidente Republike Srbije, koji posluje u okviru Regulatorne agencije za elektronske komunikacije i poštanske usluge (RATEL)  i Udruženje banaka Srbije obaveštavaju javnost da je u prethodnom periodu primećena povećana aktivnost slanja zlonamernih elektronskih poruka sa ciljem krađe podataka i kompromitovanja korisničkih računara i mobilnih uređaja. Elektronske poruke se šalju sa lažnom adresom pošiljaoca a navodno u ime neke od banaka koje posluju u našoj zemlji. Mejlovi naizgled deluju uobičajeno i sadrže standardne poruke i obaveštenja,  sa ciljem da se korisnik obmane i otvori zaražen prilog koji se u poruci nalazi.

Neke od lažnih poruka imale su formu obaveštenja o navodnom deviznom prilivu, dostavljanju izvoda, dnevnih izveštaja i dr. dok su se u prilogu poruka nalazili zaraženi fajlovi sa ekstenzijama .pdf, .iso, .zip.

Poruke se šalju najčešće nasumično na veliki broj elektronskih adresa često i korisnicima koji nemaju račune u bankama čija imena se zloupotrebljavaju u porukama.

Savet je da mejl poruke koje vam stižu u ime banaka u kojima nemate otvoren račun, kao ni eventualne priloge ili hiper linkove koji se mogu nalaziti u tim porukama ne otvarate, te da ovakve mejlove ignorišete.

Obaveštavamo sve klijente, ali i korisnike računara i mobilnih uređaja da banke nisu pošiljaoci ovakvih poruka, niti su podaci o adresama primalaca potekli iz njihovih sistema. Uvidom u detalje o pošiljaocu poruka moguće je videti prave adrese sa kojih se ovakvi mejlovi šalju, za koje napominjemo da nisu u vlasništvu banaka.

Nacionalni CERT, Udruženje banaka Srbije i banke rade na identifikaciji pošiljalaca poruka, iznalaženju rešenja kako bi se ovakve poruke u budućnosti sprečile i mole građane da se pridržavaju preporuka dobre prakse po pitanju zaštite računarskih sistema i postupanja sa spam, fišing i ostalim vidovima malicioznih poruka.

Linkovi ka preporukama:

https://www.cert.rs/

http://www.ubs-asb.com/Default.aspx?tabid=9911   

http://www.pametnoibezbedno.gov.rs/

27. Februar 2019

Otkrivene ranjivosti aplikativnih rešenja i servisa za potpisivanje .PDF dokumenata

Mnogi popularni .PDF čitači i onlajn servisi za validaciju potpisa .PDF dokumenata sadrže ranjivosti koje mogu biti iskorišćene za unos neautorizovanih izmena bez narušavanja validnosti potpisa.

Potpisivanje .PDF dokumenata se oslanja na kriptografsku zaštitu, koja sprečava unos neovlašćenih izmena u dokument koji je potpisan na ovakav način.

Ovakav vid potpisivanja .PDF dokumenata koriste mnoge državne institucije širom sveta, ali i privatne kompanije i velike korporacije kao što je Amazon, koji svojim klijentima na ovakav način potpisuje fakture.

Tim istraživača iz Nemačke je analizirao 22 desktop aplikacije (koje uključuju Windows, Linux i macOS verzije operativnih sistema) i 7 onlajn servisa za validaciju potpisa .PDF dokumenata i tom prilikom su otkrivene navedene ranjivosti.

Lista ranjivih aplikacija uključuje Adobe Reader, Foxit Reader, LibreOffice, Nitro Reader, PDF-Xchange i Soda PDF. Lista ranjivih onlajn servisa za validaciju potpisa uključuje DocuSign, eTR Validation Service, DSS Demonstration WebApp, Evotrust i VEP.si.

Istraživači su svoje rezultate podelili sa vendorima navedenih aplikacija i onlajn servisa. Vendori aplikacija su već objavili zakrpe za navedene ranjivosti, dok neki od vendora onlajn servisa aktivno rade na pronalaženju odgovarajućih rešenja.

Istraživači su objavili dokument koji sadrži izveštaj o njihovom radu, kao i link na kojem se mogu videti primer zloupotrebe otkrivene ranjivosti i njihove preporuke.

Nacionalni CERT Republike Srbije preporučuje svim korisnicima da blagovremeno ažuriraju svoja hardverska i aplikativna rešenja, kao jednu od najefikasnijih mera preventivnog delovanja.

 

 

 

Izvor: SecurityWeek

3. Decembar 2018

Obavezna registracija adrese elektronske pošte privrednih društava

Zakon o izmenama i dopunama Zakona o privrednim društvima iz juna 2018. godine propisuje da je svako privredno društvo dužno da registruje adresu elektronske pošte. Primena ove odredbe počela je 1. oktobra 2018. godine za sva novoosnovana pravna lica i preduzetnike, dok su sva postojeća privredna društva, preduzetnici, predstavništva i ogranci stranih privrednih društava koji nemaju registrovanu adresu za prijem elektronske pošte dužni da registruju zvaničnu adresu svoje e-pošte do 1. oktobra 2019. godine.

U cilju promocije pravilnog korišćenja elektronske pošte u poslovne svrhe, a i promocije korišćenja nacionalnih internet domena, Registar nacionalnog internet domena Srbije (RNIDS) je kreirao animirani film koji je postavljen na mikrosajt na adresi https://email.domen.rs/. Mikrosajt takođe omogućava proveru dostupnosti željenog naziva internet domena i izbor ovlašćenog registra kod koga će privredno društvo da registruje svoj domen). Na sajtu mogu da se pročitaju dodatna uputstva o pravilnom korišćenju elektronske pošte u poslovne svrhe.

10. Oktobar 2018

Zamena osnovnog para ključeva DNSSEC protokola

Internet korporacija za dodeljene nazive i brojeve  (The Internet Corporation for Assigned Namesand Numbers - ICANN ) će 11. oktobra u 18:00 po lokalnom vremenu u Srbiji, po prvi put zameniti osnovni par ključeva koji se koriste u DNSSEC protokolu za potpisivanje glavne DNS zone.

ICANN je svetska organizacija za upravljanje Internetom,  odgovorna za rukovođenje globalnom strukturom Interneta, u koju su uključeni i glavni DNS serveri. DNS (Domain Name System) pretvara imena računara i sajtova u IP adrese, a DNSSEC je bezbednosno proširenje DNS-a koje omogućava zaštitu od preusmeravanja korisnika na lažne servere sa zlonamernim sadržajima.

Fondacija Registar nacionalnog internet domena Srbije (RNIDS) upravlja registrom naziva nacionalnih Internet domena .RS i .SRB i Internet infrastrukturom od posebnog značaja u Republici Srbiji.

Krajnji korisnici ne treba da brinu o podešavanju DNS servera, jer će zamenu ključeva obaviti internet provajderi koji  imaju aktiviranu DNSSEC validaciju.

Detaljna objašnjenja u vezi sa zamenom ključeva u DNSSEC protokolu se nalaze na RNIDS-ovoj internet stranici:

https://www.rnids.rs/novosti/zamena-dnssec-ključeva-za-root-zonu

1. Oktobar 2018

Ranjivost Fejsbuka ugrozila 50 miliona naloga

25.09.2018. godine, tim inženjera kompanije Fejsbuk je otkrio ranjivost u softverskom kodu aplikacije, vezanu za opciju "View As", koja korisnicima ove društvene mreže omogućava da svoj profil vide iz ugla svojih prijatelja. Ranjivost je omogućila napadačima da preuzmu pristupne tokene Fejsbuka i tako u potpunosti preuzmu naloge korisnika, koje mogu zloupotrebiti na različite načine. Broj potencijalno ugroženih naloga je oko 50 miliona.

Iz kompanije Fejsbuk je stigla informacija da je ranjivost otklonjena i da je incident prijavljen nadležnim organima.

Fejsbuk je resetovao tokene svih ugroženih naloga, a u cilju prevencije dodatno je resetovano još 40 miliona tokena. Kako bi u potpunosti bili upućeni u sve detalje u vezi sa svojim nalozima, svih 90 miliona korisnika će prilikom prve naredne prijave na Fejsbuk kroz opciju "News Feed" dobiti informaciju o ugroženosti naloga i koracima preduzetim da bi otkrivena ranjivost  bila otklonjena.

Opcija "View As" je privremeno onemogućena, da bi se sprovela bezbednosna analiza zloupotrebe ove ranjivosti.

Fejsbuk smatra da nema potrebe za izmenom lozinke kojom se korisnici prijavljuju na svoj nalog. U cilju sprečavanja dodatne zloupotrebe naloga, korisnici Fejsbuka mogu da posete sekciju "Security and Login" i jednim klikom se odjaviti sa svih računara ili mobilnih uređaja na kojima su bili prijavljeni. 

 

Izvor: https://newsroom.fb.com/news/2018/09/security-update/

 

Dodatne informacije i proveru izloženosti svog naloga možete naći na sledećim linkovima: 

https://www.facebook.com/help/securitynotice?ref=sec%3Futm

https://www.facebook.com/help/www/105487009541643?helpref=faq_content

 

9. Jul 2018

Trojanac ,,Rakhni'' - višenamenski maliciozni softver

Kompanija Kaspersky Lab otkrila je novu vrstu malicioznog softvera pod nazivom Rakhni Trojan (Trojan-Ransom.Win32.Rakhni). U zavisnosti od želje zlonamernih korisnika koji ga distribuiraju, ovaj tip malicioznog softvera ima mogućnost da se pokrene kao ransomware, rudar kriptovaluta ili kao mrežni crv (net-worm). Ova vrsta trojanca inicijalno proverava sadržaj na računarima, a nakon provere hakeri odlučuju koja od mogućih opcija malicioznog softvera će biti pokrenuta. 

Ova vrsta malicioznog softvera je primećena na teritoriji Rusije i širi se dalje putem spama i fišing kampanja, koje u sebi sadrže imejl poruke sa lažnim korporativnim finansijskim dokumentima. Po otvaranju imejla, korisnici dobijaju instrukcije kako da otvore PDF fajl koji se nalazi u prilogu (attachment). Klikom na ''PDF'' pokreće se maliciozni softver napisan u programskom jeziku Delphi, koji koristi lažni digitalni potpis Adobe Systems Incorporated

Ukoliko napadač odluči da pokrene opciju ransomware, korisniku će se pojaviti poruka MESSAGE.txt sa zahtevom za otkup enkripcionih ključeva.
Ukoliko napadač odluči da pokrene opciju kripto-rudarenja, generisaće se VBS skript sa komandom za rudarenje kriptovaluta Monero i Dashcoin.
Ukoliko ne postoje mogućnosti profitabilnog iskorišćavanja prethodne dve opcije ovog malicioznog softvera, napadač može da se odluči da pokrene opciju mrežnog crva (net-worm) i omogući trojancu da kreira sopstvene kopije na lokalnoj mreži korisnika i time pokuša da sprovede isti postupak i na drugim dostupnim računarima.

Za više detalja, molimo vas da posetite link: threatpost.com

4. Maj 2018

Twitter upozorava svih 330 miliona korisnika da izvrše promenu svoje lozinke

U okviru svojih nadležnosti Nacionalnog CERT-a u Republici Srbiji, RATEL obaveštava i upozorava sve korisnike Twitter-a da je došlo do greške prilikom čuvanja lozinki svih korisnika ove socijalne mreže i da je neophodno odmah izvršiti promenu lozinke, kako ne bi došlo do zloupotrebe naloga korisnika.
Sve lozinke su čuvane u vidu otvorenog teksta (eng. plain text) a trebalo bi da budu maskirani u odgovarajućem xeš formatu (eng.hash). Tvrde da je greška otkrivena od strane Twitter-a i da su sve lozinke odmah uklonjene. Nije idato zvanično obaveštenje koliko je lozinki bilo izloženo mogućoj zloupotrebi, odnosno koliko dugo je ovaj problem postojao.
Nacionalni CERT Republike Srbije preporučuje svim korisnicima ove socijalne mreže da izvrše izmenu svojih lozinki, kako bi izbegli eventualnu zloupoterbu naloga.

Više detalja možete videti na linku https://www.theverge.com/2018/5/3/17316684/twitter-password-bug-security-flaw-exposed-change-now.

11. Decembar 2017

Širenje malicioznog sadržaja tipa "Spider" (Ransomware)

U okviru svojih nadležnosti Nacionalnog CERT-a u Republici Srbiji, RATEL obaveštava i upozorava sve korisnike računara i mobilnih uređaja o širenju novog tipa malicioznog ransomware sadržaja, pod nazivom "Spider".

Maliciozni sadržaj "Spider" je prvi put registrovan 10.12.2017. i pretpostavka je da se radi o tipu ransomware-a "File-Spider". Ovaj vid malicioznog softvera zaključava celokupnu datoteku na korisničkom računaru ili mobilnom uređaju i, kao i drugi poznati oblici ransomware malicioznih sadržaja, zahteva otkup dekripcionih ključeva, kako bi korisnici ponovo mogli da pristupe inficiranim datotekama.

U ovom trenutku je poznato da ovaj tip malicioznog sadržaja stiže sa imejl adrese office@adriadoo.com. Sve do sada primljene poruke napisane su na srpskom jeziku, poslate pod naslovom ''Potraživanje dugovanja – HHHHHHH'' i potpisane od strane navodnog privatnog izvršitelja, Ivana Azeljkovića. U tekstu poruke se navodi da se sprovodi izvršenje određenog rešenja Osnovnog suda u Beogradu, sa naznačenim brojem računa na koji je neophodno uplatiti navedene iznose. U zahtevu se nalazi i napomena da je sadržaj informacije privatnog karaktera i da je zbog toga kreiran Microsoft Word dokument koji je prosleđen kao prilog (attachment). Takođe se navodi da je nakon otvaranja priloga neophodno omogućiti editovanje dokumenta, klikom na opciju "Enable Editing", a zatim klikom omogućiti i opciju "Enable Content", koja se nalazi na komandnoj liniji.

Informacije o ovom tipu malicioznog softvera su objavljene i na društvenim mrežama, uz pominjanje područja Balkana, što je tačan podatak, jer su isti napadi izvršeni na teritoriji Republike Srpske i BiH.

Preporuka Nacionalnog CERT-a Republike Srbije je da korisnici ne otvaraju prilog iz navedenog mejla, kao i da redovno kreiraju rezervne kopije svih važnih datoteka na svojim računarima i mobilnim uređajima.

Ukoliko je računar inficiran, preporuke su sledeće:

  • trenutno isključiti inficirani računar sa lokalne mreže,
  • obavestiti Nacionalni CERT Republike Srbije putem imejl adrese info@cert.rs,
  • NE PLAĆATI otkup dekriptovanih ključeva, jer korisnicima nije zagarantovano da će ih dobiti, odnosno da će njihovom primenom biti omogućen ponovni pristup inficiranim datotekama.
12. Oktobar 2017

Ranjivost protokola WPA2

U okviru svojih nadležnosti Nacionalnog CERT-a u Republici Srbiji, RATEL obaveštava i upozorava sve korisnike računara i mobilnih uređaja o otkrivenoj ranjivosti protokola WPA2 (Wi-Fi Protected Access II).

Na osnovu istraživanja grupe 'IMEC-DistriNet Research Group', otkriven je visok stepen ranjivosti protokola WPA2, koji je zadužen za zaštitu saobraćaja ka Internetu bežičnim putem (Wi-Fi). Zloupotrebom te ranjivosti napadači mogu da preuzmu različite tipove osetljivih podataka, kao što su kredencijali korisnika, lozinke, brojevi kreditnih kartica ili bankovnih računa i slično.

U ovom trenutku, napadima su najviše izloženi korisnici koji pristupaju zaštićenim ili nezaštićenim javnim mrežama za bežični pristup Internetu (restorani, kafei, hoteli, tržni centri, sredstva javnog prevoza, kulturne ili obrazovne ustanove i slično). Da bi bio u mogućnosti da iskoristi ranjivosti protokola WPA2, napadač mora da bude u neposrednoj blizini određene pristupne tačke, odnosno Wi-Fi-a,koju želi da zloupotrebi. To znači da je moguć samo napad na korisnike koji u datom trenutku koriste isti Wi-Fi koji koristi i napadač.

Prilikom pristupanja određenoj Wi-Fi mreži, izvršava se deo protokola WPA2 pod nazivom "4-way handshake", koji kreira enkripcioni ključ za celokupan saobraćaj koji će biti ostvaren u toj Wi-Fi mreži. Kako bi mogao da garantuje potpunu sigurnost, kreirani ključ bi trebalo da bude instaliran i upotrebljen samo jednom. Međutim, koristeći KRACK (Key reinstallation attack), napadač može da prevari uređaj korisnika tako što će ga navesti da reinstalira već instaliran ključ. Zahvaljujući tome, napadač može preuzeti sve korisnikove osetljive podatke, pa čak i isporučiti maliciozni softver sa određene stranice na Internetu, ukoliko mrežna konfiguracija to dozvoli. Pored navedenog, napadač može da izmeni i podešavanje protokola DHCP (Dynamic Host Configuration Protocol) i tako omogući zloupotrebu DNS-a, odnosno upućivanje korisnika na zlonamerne Internet stranice.

U ovom trenutku, preporuka Nacionalnog CERT-a je da korisnici primene preporučena ažuriranja svih operativnih sistema, čim budu dostupna. Kao alternativno rešenje, odnosno dodatni nivo zaštite, preporučuje se korišćenje VPN (Virtual Private Network) servisa ili drugih Internet protokola koji imaju svoju zaštitu (HTTPSSecure Shell i slično).

Izvori informacija: 

https://www.krackattacks.com/

https://papers.mathyvanhoef.com/ccs2017.pdf

28. Jun 2017

Upozorenje zbog širenja ransomware-a Petya

U okviru svojih nadležnosti Nacionalnog CERT-a u Republici Srbiji, RATEL informiše i upozorava sve korisnike računara o brzom širenju ransomware napada pod nazivom Petya.

Ovaj maliciozni softver koji onemogućava pristup i korišćenje podataka na računarima, predstavlja pretnju na globalnom nivou i do sada je naneo štetu računarskim sistemima u velikom broju zemalja. Napad koji se dogodio je vrlo sličan napadu virusa WannaCry, koji je pričinio veliku štetu širom sveta u maju mesecu ove godine.

Savetujemo da korisnici ne otvaraju elektronsku poštu, odnosno imejl poruke i priloge od pošiljaoca koji nisu poznati. Ove mere predostrožnosti važe i za nepoznate linkove na internetu, kao i za “chat“ poruke. Preporuka je da se uradi ažuriranje operativnog sistema, antivirusnog softvera, kao i redovni “backup” svih važnih podataka na računarima i time umanje neželjeni efekti napada ovakvog karaktera. Pored hitnog ažuriranja, zaštita se može izvršiti onemogućavanjem SMBv1 protokola (Server Message Block) za deljenje podataka, kao i primenom zakrpe CVE-2017- 0199 (https://portal.msrc.microsoft.com/en-US/security-guidance) i blokiranjem mogućnosti za remote access na WMI. Dodatno se može blokirati i PSEXEC.EXE u cilju zatvaranja 135 i 445 (TCP) portova.

Takođe se savetuje da se ne plaćaju navedeni iznosi za „otkup“ fajlova, jer napadači nisu u mogućnosti da vrate podatke, koji su bili izloženi Petya virusu. Ovaj ransomware za kontakt koristi adresu wowsmith12345@posteo.net (http://thehackernews.com/2017/06/petya-ransomware- attack.html)

Sajt www.cert.rs koristi „kolačiće“ (cookies) radi poboljšanja korisničkog iskustva i funkcionalnosti sajta. Ako nastavite da pretražujete sajt, pristajete na upotrebu „kolačića“.

Saznajte više