av Mikael Winterkvist | jul 5, 2024 | Bluesky, Mastodon, Säkerhet, Threads
Twilio har bekräftat att miljontals telefonnummer har stulits i samband med ett intrång i populära tvåfaktorsautentiseringsappen Authys datorsystem. Företaget varnar för att kriminella kan använda dessa stulna nummer för nätfiske och fishing-attacker mot tAuthy-konton.
Förra veckan postade en hacker eller hackare, känd som ShinyHunters ett meddelande på ett populärt hackingforum där de hävdade att de hade tagit sig in i Twilio datorsystem och kommit över 33 miljoner telefonnummer som fanns registrerade hos hos Authy-tjänsten.
ShinyHunters lade upp en CSV-textfil som innehåller siffror med telefonnummer. Filen innehåller 33 420 546 rader som var och en innehåller ett konto-ID, telefonnummer, kontostatus och enhetsantal.
Twilio har bekräftat intrånget och släppt uppdateringar för sina appar.
Twilio has detected that threat actors were able to identify data associated with Authy accounts, including phone numbers, due to an unauthenticated endpoint. We have taken action to secure this endpoint and no longer allow unauthenticated requests.
We have seen no evidence that the threat actors obtained access to Twilio’s systems or other sensitive data. As a precaution, we are requesting that all Authy users update to the latest Android and iOS apps for the latest security updates. While Authy accounts are not compromised, threat actors may try to use the phone number associated with Authy accounts for phishing and smishing attacks; we encourage all Authy users to stay diligent and have heightened awareness around the texts they are receiving.
av Mikael Winterkvist | jul 4, 2024 | Bluesky, Mastodon, Säkerhet, Threads
Just nu pågår ett intensivt propagandakrig ute på nätet. I det kriget attackeras sociala mediakonton, epost-konton och konton på olika tjänster och även om det kan kännas som osannolikt så kan även dina konton vara en måltavla.
Så varför är just du intressant då?
Din information är sannolikt inte intressant utan det är accessen till ditt konto som är intressant – möjligheten att kunna skicka ut desinformation via din blogg, ditt konto på Twitter eller Facebook.
Är du politiskt aktiv så räkna med att främmande makt kan ha ett intresse av dig i dessa orostider och då även om du inte uttalat dig i aktuella frågor -. exempelvis i Ryssland skriv mot Ukraina. Du kan förväntas att ha kontakter med andra, inom din bekantskapskrets som har uttalat kritik och därför kan du vara intressant. Tolka nu inte detta som att det sitter spöken. agenter och heliga figurer i varje buske. Det gör det inte och det finns ingen anledning att bli överdrivet misstön kram samtidigt som det inte heller finns anledning att agera hur naivt som helst.
Så här skyddar du dig, dina konton och din information – med rätt enkla medel och utan att gå till överdrift.
Tvåfaktor
Frågan är inte om du ska slå på och använda tvåfaktor-inloggning utan hur snabbt du kan göra det. Kompletteras din inloggning, namn och lösenord, med en pinkod, ett engångslösenord så ökar säkerheten runt dina konton och tjänster mångfalt.
Tvåfaktor-inloggning erbjuds av de flesta stora tjänsterna idag så det är inte så mycket att fundera på – kan du skydda dina konton med ytterligare en faktor – gör det och gör det nu.
Se över dina lösenord
Se över alla dina lösenord och slå på den inbyggda funktionen att fp en varning om ditt konto dyker upp i någon av de stora intrång och informationsstölder som förekommer ute på nätet. Praktiskt taget alla de stora tjänsterna har fått kontoinformation stulen vilket inte är detsamma som att dina uppgifter kommit på avvägar. Även om det konto stulits så lär lösenordet vara krypterat men trots det så är det en god idé att byta lösenord.
Använder du samma lösenord på flera tjänster – byt lösenord.
Har du för korta, lättgissade lösenord – byt lösenord.
Uppdatera
Uppdatera alla dina prylar, din dator, din iPhone och din iPad. Uppdateringar innehåller buggfixar så ta för vana att kolla upp om dina prylar ska uppdateras och det gäller alla dina program också. Uppdaterade enheter med uppdaterad mjukvara löper dramatiskt mindre risk att hackas.
VPN
Rör du dig mycket, byter uppkoppling så skaffa en VPN-tjänst och ett VPN-program. Då krypteras all trafik till och från din dator/enhet.
Surfshark – en bra, mycket prisvärd VPN-tjänst för alla dina Apple-prylar
Antivirus
Här gör du som du vill. jag har inget antivirusprogram i mina datorer och det inbyggda skyddet i kombination med sunt förnuft, (skepsis) bedömer jag räcker långt.
https://www.macken.xyz/2023/02/fragefavorit-i-repris-behover-du-ett-antivirusprogram-for-din-mac/
Little Snitch
I sammanhanget vill jag rekommendera Little Snitch som kan se som sett komplement till din brandvägg. Little Snitch håller koll på inkommande och utgående trafik. Får du in något i din dator så är det främst utgående trafik som kan komma att avslöja att du drabbats. Många trojaner, maskar och malware ”ringer hem” när de lyckats att installera sig. Den trafiken avslöjar Little Snitch.
https://www.macken.xyz/2023/09/little-snitch-skvallrar-pa-alla-program-som-snokar-pa-dig/
Håll koll och kolla innan
Grundtipset och rådet är – håll koll och kolla innan. Klicka inte på länkar i inkommande mail, ladda inte ned och installera inga program om du inte var de kommer ifrån eller var du laddar ned dem från. Lite sund skepsis, misstänksamhet och en gnutta försiktighet räcker långt.
av Mikael Winterkvist | jul 4, 2024 | Bluesky, Mastodon, Säkerhet, Threads
Europol och en rad polismyndigheter i olika länder har slagit till mot Cobalt Strike-servrar som används av kriminella för att ta sig in andras datorsystem. Sammanlagt så har 593 enskilda IP-adresser blockerats i ett försök att toppa användandet av detta säkerhetsverktyg ute på nätet.
Cobalt Strike red teaming tool är ett säkerhetsverktyg, en mjukvara, som används för att testa säkerheten hos datorsystem. Det är ett populärt kommersiellt verktyg utvecklat av säkerhetsföretaget Fortra och är tänkt att användas för att hjälpa legitima IT-säkerhetsexperter att utföra attacksimuleringar som identifierar svagheter i system. I fel händer kan dock verktyget användas för att genomföra riktiga attacker och äldre versioner, olicensierade versioner av Cobalt Strike har snabbt blivit ett populärt verktyg för kriminella för att ta sig in i andras datorsystem och det finns dedikerade servrar ute på nätet som används för att attacker.
Analayserades
I slutet av juni så samlades all sådan trafik ute på nätet in och analyserades. Under hela veckan 24-28 juni flaggade polisen kända IP-adresser förknippade med kriminell aktivitet, tillsammans med en rad domännamn som används av kriminella grupper. Totalt 690 IP-adresser flaggades och knöts till internetleverantörer i 27 länder.
I slutet av veckan hade 593 av dessa adresser tagits ner i det som kallas Operation Morpheus där brottsbekämpande myndigheter från Australien, Kanada, Tyskland, Nederländerna, Polen och USA deltog under ledning av Storbritanniens National Crime Agency.
Flera privata bolag var också med – BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch och The Shadowserver Foundation och erbjöd hjälp via deras förbättrade skanning, telemetri och analysmöjligheter för att identifiera Cobalt Strike-servrar som används olagligt.
Detta är det andra stora tillslaget just mot Cobalt Strike-servrar ute på nätet. I april 2023 ledde bland andra Microsoft en operation ute på nätet som stängde ned ett stort antal servrar. Microsoft kunde då konstatera att Cobalt Strike användes va vad som antogs vara statsunderstödda hackare från Kina, Ryssland, Iran och Nordkorea.
Länkar
av Mikael Winterkvist | jul 3, 2024 | Bluesky, Mastodon, Säkerhet, Threads
När den koreanska Internetleverantören KT (tidigare Korea Telecom) tvingades att investera i hårdvara och mjukvara samt öka sin kapacitet på grund av ökad torrenttrafik, så blev lösningen att installera trojaner i över 600 000 kunders datorer och routrar.
Mjukvaran som installerades, utan att kunderna gett sitt medgivande eller fått information om det, blockerade trafik med torrentmjukvara – vilket gjorde att KT sparade både pengar och trafikkapacitet.
Avslöjandet har gjorts av tidningen JTBC (koreanska) som undersökt ett stort antal kunders datorer där KTs mjukvara hittats. Mjukvaran har sedan analyserats och det visar sig att den blockerar trafik till och från tjänster som använder det som kallas ”Webhard” vilket är en speciell form av torrentlösning där fil och länkar till filerna lagras permanent i vad som kallas för ett ”Grid System”. Just denna form av fildelning är mycket populär i Sydkorea.
Abonnenter
KT är en av Sydkoreas största internetleverantörer med över 16 miljoner abonnenter, och bolaget har tidigare avslöjats med att strypa trafik till och från Grid-systemet. 2020 resulterade deras inblandning i hur användare använde sina uppkopplingar i ett rättsfall, där internetleverantören stämdes av kunder. KT angav kostnader för ”nätverkshantering” som den främsta anledningen till att de reglerade viss trafik och bolaget fick domstolen med sig i den argumentationen.
Samtidigt inleddes en polisutredning, som ännu inte har slutförts, som visar att KT använt sig av malware, trojaner, som distribueras från KT:s datacenter. Den trojanska mjukvaran har inte bara använts för att strypa torrenttrafik utan användare har även avlyssnats, olagligt.
Razzia
Gyeonggi Southern Police Agency genomförde en razzia i samband med utredningen och hittade ett dedikerat team inom KT som haft som arbetsuppgift att distribuera mjukvaran och som också har avlyssna prenumeranter och stört deras privata filöverföringar.
”Teamet bestod av en sektion för utveckling av skadlig programvara, en sektion för ”distribution och drift” och en sektion för ”avlyssning” som tittade på data som skickats och tagits emot av KT-användare i realtid”, skriver den koreanska tidningen JTBC.
KT, hävdar att mjukvaran enbart använts för att hantera trafiken i sitt nätverk.
av Mikael Winterkvist | jul 2, 2024 | Bluesky, Mastodon, Säkerhet, Threads
De kallas Cocoapods och är kodbibliotek för Swift, Apples utvecklingsverktyg, och de används i miljontals appar och program för Apples plattform. Under flera år så innehöll de här programbiblioteken synnerligen allvarliga säkerhetsbuggar som inte åtgärdades förrän i slutet av förra året.
De tre buggarna upptäcktes inte förrän runt tio år efter det att kodbiblioteken lanserades vilket innebär att de har använts i ett mycket stort antal program och appar vilket i sin tur innebar att miljontals användare kunde ha exponerats för mycket allvarliga säkerhetsbuggar.
Det israeliska säkerhetsföretaget EvaSec har publicerat en rapport om de tre buggarna som gör det möjligt att ta över kontrollen över en app eller ett program, injicera skadlig kod och sedan stjäla användarens information.
”Många applikationer kan komma åt en användares mest känsliga information: kreditkortsuppgifter, medicinska journaler, privat material och mer”, skriver EVA Information Security, i rapporten.
Åtgärdades
Buggarna åtgärdades i oktober förra året men det betyder också att alla som använt de här kodbiblioteken måste uppdatera sina program och appar för att deras program inte ska vara sårbara för de här buggarna längre.
With about 100,000 libraries used in over 3 million mobile apps, CocoaPods is an open source dependency manager for Swift and Objective-C projects. Dependency managers such as CocoaPods and others (including NPM, Maven, and PyPI) play a critical role in open source software supply chains. By checksumming and cryptographically signing packages, they allow developers to verify the integrity and authenticity of the components they’re using. However, compromise of the dependency manager itself poses a severe threat. Attackers who infiltrate the servers or developer accounts of these tools could push malicious updates that spread widely.
As part of a red team exercise for a customer, we have discovered several critical vulnerabilities in the mechanisms used to manage packages and verify their owners on the CocoaPods server.
EVA Information Security
Den här allvarliga incidenten visar på baksidan med att utveckla och använda kodbilbiotek, färdiga delar, i en app och ett program. Samtidigt så är kodbibliotek, färdiga funktioner en verklighet i all utveckling av mjukvara. Det skulle ta alldeles för lång tid att skriva all kod, även kod för standardfunktioner.
Ett exempel:
De flesta appar och program ska kunna skicka data till en skrivarkö – för en utskrift. Det är en standardfunktion där kodbiliotek används. Detsamma för en lång rad standardfunktioner, visa tangentbordet i en app, kopiera och klistra in text och så vidare.
Tio år
Det anmärkningsvärda i det här sammanhanget är att buggarna förblev oupptäckta i över tio år – vilket också ledde till kodbilbioteken finns i så många appar och program – med buggarna.
av Mikael Winterkvist | jun 30, 2024 | Bluesky, Mastodon, Säkerhet, Threads
Ett mail ramlar in som påstår att ditt paket är på väg men du måste betala en liten avgift, 10-15 kronor, innan det skickas till dig. Den typen av falska mail florerar nu i stort antal och avsändarna hoppas att pengar ska ramla in från enskilda som beställt varor via i nätet och som inte ser upp i julstressen.
I det här aktuella fallet så ser breven ut att komma från PostNord. Det är PostNords färger och logotyp som används och brevet ser ute att vara skickat av PostNord. Generellt gäller att PostNord inte skickar ut såna här mail överhuvudtaget. Det gör inte din bank heller eller något annat seriöst företag som du köpt tjänster av. De behöver inte ha dina uppgifter igen, de behöver inte be dug kontrollera dina inloggningsuppgifter och de behöver inte ha uppgifter om
Är du misstänksam men ändå tror att mailet kan komma från PostNord eller någon annan – ta kontakt med dem direkt. Klicka inte på några länkar och lämna inte
Falskt
Här är de varningstecken du ska leta efter – om du vill kontrollera om ett mail är falskt.
- Brevet är falskt och länken som finns inlagd går inte till PostNord. För att dölja det så har länken förkortats – vilket i sig är ett varningstecken. Håller du markören över knappen och länken så ser du vart den leder och det är inte till PostNord.
- Kolla stavning och grammatik. Ibland använder bedragarna översättningstjänster ute på nätet och det betyder att de inte använder helt korrekt svenska.
- Vad utlovas? Låter det bra för att vara sant så är det inte heller det. Då är det ett bedrägeri. Du vinner inte en ny iPhone på din e-postadress, Samsung lottar inte ut nya telefoner för att de behöver reklam och du har inte fått ett stort arv från nen okänd släkting.
Lite mera tekniskt
Du kan också kontrollera ett mail lite mer ingående men då blir det också lite mer tekniskt och det gäller att läsa på och lära sig lite mer om hur mail skickas på nätet, vilka system de eventuellt passerar och så vidare.
Ett mails väg från avsändaren till dig kan faktiskt ses i alla mail.
- Kolla avsändaren
Ponera att detta mail nu kommer från något märkligt ”uppfinningscentret” – tror du att denne någon skulle ha en epostadress som den ovan?
- Kolla informationen i det dolda brevhuvudet. Den funktionen finns under ”View” Message och sedan ”All Headers”:
Brevhuvudet, normalt dold, visar den väg mailet har gått från avsändaren till dig och din epostadress.
Har du fått ett mail från exempelvis Apple och du inte ser Apple överhuvudtaget i den här informationen så är det liten sannolikhet för att mailet är äkta. Detsamma gäller naturligtvis din bank, Facebook eller vem det nu kan vara.
Med det sagt – kom ihåg:
- Avsändaradressen kan förfalskas
- Informationen i brevhuvudet kan manipuleras
Du kan alltså inte lite, helt och blint på den här informationen. Det är en fingervisning, inte mer.
Klicka inte
Några enkla råd:
Var misstänksam
Klicka inte på några länkar
Lämna aldrig ifrån dig information
Radera falska mail
