Лабораторія цифрової безпеки продовжує моніторинг інцидентів у сфері цифрової безпеки, з якими стикаються українські журналісти та громадські активісти. За підсумками кожного місяця ми публікуємо звіт із описом цих загроз, а також яким чином від них можна вберегтися. Із методологією моніторингу можна ознайомитись наприкінці звіту.
У січні ми нарахували 7 інцидентів , а також 1 кампанію, що включає низку інцидентів. Про 6 інцидентів ми дізнались у результаті прямих звернень, а про 1 із відкритих джерел.
Таргетована фішингова кампанія щодо низки активістів
Із середини січня ми спостерігаємо скоординовані таргетовані фішингові атаки щодо різних груп українських громадських активістів, пов’язаних між собою лише публічними конфліктами з одним українським силовим відомством. Кампанія триває досі.
Громадські активісти отримують фішингового листа, який написано, щоб зацікавити конкретну людину. Наприклад, активіст та журналіст броварського медіа отримав листа із нібито пропозицією співпраці з інтернет-виданням “Тиждень”. Активіст та актор театру отримав пропозицію про постановку вистави тощо.
Різні характеристики – час надсилання листів, використані домени та IP адреси, код фішингових сайтів, використані прийоми соціальної інженерії тощо – вказують на те, що за кампанією стоїть одна група осіб. Вона відрізняється від раніше зафіксованих фішингових кампаній проти громадських активістів стилем виконання та специфічним вибором її цілей.
У середині січня низку фішингових повідомлень отримали окремі активісти кампанії “Хто замовив Катю Гандзюк?” За тиждень хвиля подібних за структурою фішингових листів та SMS-повідомлень прийшла активістам “Конопляного маршу свободи”. На початку лютого листи зі зловмисними лінками, що вели на раніше зафіксовані фішингові сайти, почали надходити активістам громадянського руху Відсіч, у яких нещодавно був публічний конфлікт з силовими структурами.
Також у лютому про отримання подібних фішингових повідомлень заявили активісти кампанії “Захистимо Протасів Яр”.
Специфіка діяльності активістів, які отримали фішингові листи та динаміка надсилання листів свідчать про можливий внутрішньополітичний мотив зловмисної фішингової кампанії.
Що таке фішинг, та як захиститися від подібних атак, ви можете почитати на нашому сайті Як? Практичні поради з цифрової безпеки.
Нетаргетовані фішинги
У січні ми зафіксували щонайменше два випадки нетаргетованого фішингу через приватні повідомлення у Facebook та один випадок – через запрошення у календарі Google.
У випадку із Facebook схема працює так: вам приходить приватне повідомлення з лінком і,наприклад, із проханням проголосувати в конкурсі або пропозицією переглянути особисте відео. При переході за лінком відкривається фішинговий сайт, на якому вам пропонується ввести свій логін та пароль від фейсбука.
У другому випадку, в Google календарі з’являється запрошення на подію від іншого користувача, а в описі події міститься посилання на фішинговий сайт.
“Листи від хакера”
Щонайменше одна організація отримала такого типу листи у січні. Схема лишається популярною вже не перший місяць (ми писали про це в листопаді). Мета зловмисників – залякати користувача, який отримав листа нібито від самого себе, і переконати в тому, що його електронна пошта та комп’ютер зламаний. Після цього шахраї, скажімо, можуть стверджувати, що вони отримали доступ до відеокамери та мають інтимні фото й відео, і вишлють їх усім вашим контактам, якщо ви не заплатите їм певну суму в криптовалюті.
Детальніше про цю шахрайську схему ми писали тут.
Злам електронної пошти/соцмереж, ймовірно через повторне використання того самого паролю
Також у січні ми зафіксували 1 випадок спроби зламу облікового запису. Ймовірною причиною зламу є повторне використання тих самих паролів для багатьох облікових записів на різних сервісах. Про механізм роботи такої атаки ми писали зокрема у грудні.
Злам облікового запису Telegram
Ми зафіксували 1 випадок зламу облікового запису Telegram, імовірно, за допомогою перехоплення SMS. Щоб убезпечитись від такої атаки, варто налаштувати двофакторну автентифікацію у Telegram.
Як? Як налаштувати двофакторну авторизацію у телеграмі.
Спроба зламу сайтів
Також у січні мережа сайтів Район.in.ua повідомила про спробу зламу. Безпека сайтів – складне завдання, над яким мають працювати фахівці.
Якщо у вашій громадській організації або медіа є сайт, однак ви не маєте спеціалістів для його захисту, ви можете звернутись за безкоштовною допомогою до Лабораторії цифрової безпеки.
Коротко про методологію
Ми моніторимо інциденти, які трапились із українськими журналістами, а також громадськими організаціями та активістами. В окремих випадках до моніторингу потраплятимуть інциденти, що сталися із політиками.
До моніторингу ми включаємо інциденти, із якими до нас безпосередньо звернулись наші клієнти. Деякі з них є публічними, а деякі – ні, тож інформація про них подається у загальних рисах та деперсоналізовано. А також інциденти з відкритих джерел, насамперед, соцмереж та ЗМІ.
Якщо ви зіткнулись із цифровими загрозами, бажаєте отримати консультацію або маєте питання чи зауваження до моніторингу, ви завжди можете звернутися до нас на електронну адресу [email protected] або іншим зручним для вас способом.