• Техника преваре која има за циљ прикупљање и злоупотребу поверљивих података корисника
• Очекује се брза реакција корисника - клик на линк, отварање прилога у мејлу, прихватање захтева на друштвеним мрежама и сл.
• Пажљиво отварати мејлове од непознатих пошиљалаца

Национални ЦЕРТ Републике Србије обавештава све грађане да је у току нова фишинг превара која злоупотребљава име Народне банке Србије. Реч је о лажној Фајсбук страници ’’НБС’’ која је креирана по узору на легитимну страницу Народне банке Србије. На фишинг страници се грађанима нуди лажна могућност да дуплирају износ на Дина картици, уколико доставе тражене податке.

Порука која се јавља је:

Фишинг страница је креирана са циљем прикупљања личних података грађана због чега је препорука Националног ЦЕРТ-а да грађани не уносе своје податке, јер је награда лажна и не припада Народној банци Србије.

Обавештење и препоруке Народне банке Србије, у вези са наведеном преваром, су доступни на линку.

САОПШТЕЊЕ ЗА ЈАВНОСТ -

Упозорење по питању учесталог слања злонамерних електронских порука

Национални Центар за реаговање на безбедносне инциденте Републике Србије, који послује у оквиру Регулаторне агенције за електронске комуникације и поштанске услуге (РАТЕЛ)  и Удружење банака Србије обавештавају јавност да је у претходном периоду примећена повећана активност слања злонамерних електронских порука са циљем крађе података и компромитовања корисничких рачунара и мобилних уређаја. Електронске поруке се шаљу са лажном адресом пошиљаоца а наводно у име неке од банака које послују у нашој земљи. Мејлови наизглед дeлују уобичајено и садрже стандардне поруке и обавештења,  са циљем да се корисник обмане и отвори заражен прилог који се у поруци налази.

Неке од лажних порука имале су форму обавештења о наводном девизном приливу, достављању извода, дневних извештаја и др. док су се у прилогу порука налазили заражени фајлови са екстензијама .pdf, .iso, .zip.

Поруке се шаљу најчешће насумично на велики број електронских адреса често и корисницима који немају рачуне у банкама чија имена се злоупотребљавају у порукама.

Савет је да мејл поруке које вам стижу у име банака у којима немате отворен рачун, као ни евентуалне прилоге или хипер линкове који се могу налазити у тим порукама не отварате, те да овакве мејлове игноришете.

Обавештавамо све клијенте, али и кориснике рачунара и мобилних уређаја да банке нису пошиљаоци оваквих порука, нити су подаци о адресама прималаца потекли из њихових система. Увидом у детаље о пошиљаоцу порука могуће је видети праве адресе са којих се овакви мејлови шаљу, за које напомињемо да нису у власништву банака.

Национални ЦЕРТ, Удружење банака Србије и банке раде на идентификацији пошиљалаца порука, изналажењу решења како би се овакве поруке у будућности спречиле и моле грађане да се придржавају препорука добре праксе по питању заштите рачунарских система и поступања са спам, фишинг и осталим видовима малициозних порука.

Линкови ка препорукама:

https://www.cert.rs/

http://www.ubs-asb.com/Default.aspx?tabid=9911   

http://www.pametnoibezbedno.gov.rs/

Национални ЦЕРТ Републике Србије обавештава све кориснике интернета да је у току нова фишинг кампања под насловом „**SPAM** Ulazak u sistem je uspeљno zavrsen, svi podaci sa Vaseg uredaja su kopirani. Procitajte uputstva dalje.“ .Фишинг порука садржи претњу да су сви подаци корисника ископирани и закључани, да је снимљен видео снимак самог корисника, као и сви његови контакти на друштвеним мрежама. За „враћање“ свих података тражи се уплата у биткоинима у вредности од 1400 америчких долара у року од 50 сати. Дакле, сама порука не садржи лажни линк или прилог, већ се ради о превари којом се утиче на кориснике да изврше уплату у новцу како би наводно вратили своје податке.

Препорука Националног ЦЕРТ-а је да се оваква е-пошта одмах избрише. Детаљна провера оваквих порука отежава посао нападача који покушавају да искористе тренутак непажње корисника интернета. Потребно је да корисници обратe додатну пажњу на е-пошту непознатог пошиљаоца, у којој се тражи хитна реакција и која садржи граматичке грешке.

Национални ЦЕРТ Републике Србије упозорава све кориснике да је у току нова фишинг кампања која је усмерена на кориснике поштанских услуга путем СМС порука. Корисницима се шаље лажна СМС порука да им наводно пакет није могао бити испоручен због неплаћене царине и да за испоруку треба отворити линк из поруке. Лажни линкови који су тренутно актуелни: https://rs-posta.com, https://rs-posta.net, https://posta-serbia.com и https://posta-srbija.com.

Линк из поруке води на лажну страницу на којој се тражи попуњавање података о банковној картици који омогућавају нападачима да преузму новац са банковног рачуна.

Јавно предузеће „Пошта Србије“ је упозорила да са својим корисницима не комуницира на овај начин и да је потребно да обрате додатну пажњу.

Изглед легитимне странице Јавног предузећа „Пошта Србије“:

Национални ЦЕРТ апелује на све који приме овај СМС да не отварају линк из поруке и не попуњавају тражене податке, као и да обришу поруку.

На сајту Националног ЦЕРТ-а доступне су публикације о овим претњама као и начину спровођења актуелних фишинг кампања. Такође је доступан и интерактивни садржај на нашој платформи „За безбеднији клик“ у оквиру које се можете ближе упознати са различитим темама из области информационе безбедности.

Пошти Србије се ова превара може пријавити преко контакт центра на бројеве 0700 100 300 и 011 3607 788, стоји на располагању радним данима од 8 до 20 часова и суботом и недељом од 8 до 15 часова, као и Националним ЦЕРТ-у.

Национални ЦЕРТ Републике Србије обавештава и упозорава све кориснике да је у току нова фишинг кампања која је усмерена на кориснике поштанских услуга. Корисници добијају поруку путем електронске поште (имејл) о немогућности испоруке пакета док се не плати царина.

На слици 1. приказан је пример имејла који се шаље корисницима:

Слика 1 - Пример фишинг мејла

Од корисника се тражи да кликне на линк из имејла који води на лажну страницу  Поште Србије на којој се захтева плаћање уносом података са банковне картице. На слици 2. приказано је како изгледа лажна страница за плаћање на коју се корисници преусмеравају:

Слика 2 - Пример лажне странице за плаћање 

Сви подаци које корисник унесе на лажну форму могу бити злоупотребљени. Препорука Националног ЦЕРТ-а је да сви корисници који добију овакав имејл, исти не отварају и да не уносе личне податке, већ да га трајно обришу.

Пошти Србије се ова превара може пријавити преко контакт центра на бројеве 0700 100 300 и 011 3607 788, стоји на располагању радним данима од 8 до 20 часова и суботом и недељом од 8 до 15 часова, као и Националним ЦЕРТ-у.

У току јучерашњег дана детектована је нова злоупотреба интернет странице WeTransfer, коју корисници употребљавају за бесплатан пренос датотека величине до 2GB путем интернета. За потребе ове фишинг кампање користи се домен ascmgpr[.]ir који није легитиман. већ се лажно представља као страница WeTransfer.

С обзиром на то да је домен ascmgpr[.]ir још увек активан, упозоравају се корисници интернета да обрате пажњу на све поруке електронске поште које стижу од WeTransfer-a. Изглед поруке је другачији од уобичајеног, па је препорука Националног ЦЕРТ-а да корисници пре отварања линка провере да ли је линк за преузимање датотека легитиман и води на домен wetransfer.com, или не. Ову проверу корисници могу урадити позиционирањем миша на линк за преузимање (Download link) без клика, и том приликом ће се приказати адреса на коју линк преусмерава (погледати слику испод). Уколико домен није wetransfer.com, датотеке нису сигурне за преузимање.

Постоји могућност да корисници овакву поруку добију и са адресе електронске поште info@cert.rs. Такве поруке не треба отварати.

Више информација о злоупотреби WeTransfer-a и начину заштите можете пронаћи за званичној страници:

https://wetransfer.zendesk.com/hc/en-us/articles/208554176-Phishing-attempts-and-weird-WeTransfer-imitations

22. Децембар 2023. године

Нападачи могу злоупотребити акутелне теме од интереса за грађане за потребе спровођења ове фишинг кампање као на слици испод:

13. Децембар 2023. године

Национални ЦЕРТ Републике Србије обавештава и упозорава све кориснике да је актуелна фишинг кампања на Viber-у коју карактеришу линкови који почињу са текстом “https://www.viber.com/activate_secondary/". Уколико примите поруку са оваквим садржајем, препорука Националног ЦЕРТ-а је да не приступате линковима из поруке јер на тај начин можете компромитовати свој налог на Viber-у.

Кликом на линк омогућавате нападачу да региструје свој уређај као додатни уређај за приступ вашем Viber налогу, чиме добија могућност да чита ваше поруке, приступа вашој листи контаката и да се лажно представља у ваше име.

Да бисте били заштићени најбитније је да знате следеће:

• Не отварајте сумњиве линкове.
• Ако добијете поруку са линком коју нисте очекивали или која изгледа необично, немојте је отварати.
• Потврдите извор: Ако вам неко од ваших контаката пошаље линк, проверите са њим путем другог начина комуникације да ли је заиста имао намеру да вам пошаље тај линк.
• Користите званичне линкове: Увек користите званичну веб локацију или апликацију Viber за све неопходне радње у вези са налогом.
• Редовно ажурирајте Viber апликацију.

Како поступити уколико дође до компромитације?

Уколико дође до ове компромитације, да бисте деактивирали приступ вашем Viber налогу на другим уређајима (рачунарима или таблетима), потребно је да на вашем мобилном телефону предузмете следеће радње:

• Отворите Viber апликацију на свом мобилном уређају.
• Изаберите опцију More (Још) у доњем десном углу екрана како бисте приступили менију.
• Изаберите опцију Settings (Подешавања) да бисте приступили поставкама подешавања.
• Изаберите Account (Налог).
• Изаберите Desktop and Tablets (Десктоп и таблет), на овај начин ћете пристипути листи уређаја на којима је активан ваш Viber налог.
• Са понуђене листе потребно је изабрати уређај који желите да деактивирате.
• Потврдите деактивацију када се то од вас затражи.

Применом наведених корака можете уколонити ваш Viber налог са одабраних уређаја и на тај начин онемогућити коришћење свог налога на неком од њих.

Национални ЦЕРТ Републике Србије обавештава све кориснике интернета да је у току фишинг кампања којом се злоупотребљава пандемија вируса COVID-19, а тиче се актуелне ситуације у земљи, поводом издавања Дигиталних зелених сертификата. Фишинг кампања се најчешће реализује путем порука електронске поште. 

Фишинг порука садржи линк за преузимање електронског документа о вакцинацији, и од корисника се тражи да кликом на линк преузме наводни Дигитални зелени сертификат. Пошиљалац мејла из примера представља се као извесна Зорица Торлак, Руководилац службе Апотека Београд.

 
Легитимни издавалац Дигиталног зеленог сертификата у Републици Србији је Канцеларија за информационе технологије и е-Управу, због чега је препорука Националног ЦЕРТ-а да корисници обрате пажњу уколико приме поруку од неког другог наводног издаваоца Дигиталног зеленог сертификата, не отварају такву поруку електронске поште већ је избришу.

Пример фишинг мејла можете видети на слици испод:

Компанија Kaspersky Lab открила је нову врсту малициозног софтвера под називом Rakhni Trojan (Trojan-Ransom.Win32.Rakhni). У зависности од жеље злонамерних корисника који га дистрибуирају, овај тип малициозног софтвера има могућност да се покрене као ransomware, рудар криптовалута или као мрежни црв (net-worm). Ова врста тројанца иницијално проверава садржај на рачунарима, a након провере хакери одлучују која од могућих опција малициозног софтвера ће бити покренута. 

Ова врста малициозног софтвера је примећена на територији Русије и шири се даље путем спама и фишинг кампања, које у себи садрже имејл поруке са лажним корпоративним финансијским документима. По отварању имејла, корисници добијају инструкције како да отворе PDF фајл који се налази у прилогу (attachment). Кликом на ''PDF'' покреће се малициозни софтвер написан у програмском језику Delphi, који користи лажни дигитални потпис Adobe Systems Incorporated. 

Уколико нападач одлучи да покрене опцију ransomware, кориснику ће се појавити порука MESSAGE.txt са захтевом за откуп енкрипционих кључева.
Уколико нападач одлучи да покрене опцију крипто-рударења, генерисаће се VBS скрипт са командом за рударење криптовалута Monero и Dashcoin.
Уколико не постоје могућности профитабилног искоришћавања претходне две опције овог малициозног софтвера, нападач може да се одлучи да покрене опцију мрежног црва (net-worm) и омогући тројанцу да креира сопствене копије на локалној мрежи корисника и тиме покуша да спроведе исти поступак и на другим доступним рачунарима.

За више детаља, молимо вас да посетите линк: threatpost.com