CISA, Toplu Veri Satışlarında Güvenlik Öneriyor

ABD federal hükümeti, Amerikalıların hassas kişisel verilerinin Çin dahil ülkelere toplu aktarımını yasaklayan veya kısıtlayan düzenlemeler çıkarmak için ek bir adım attı. Teklif, yabancı hükümetlerin biyometrik ve genomik veriler, sağlık verileri, coğrafi konum bilgileri, araç telemetri bilgileri ve finansal işlem verileri gibi verilere ticari erişimi gözdağı veya şantajın öncüsü olarak kullandığı yönündeki endişelerden kaynaklanan Şubat ayındaki bir idari emirden kaynaklanıyor. kendi yapay zeka araştırma ve geliştirme (bkz: Biden Yönetici Emri Çin’e Toplu Veri Transferini Hedefliyor).

Resmi olarak 29 Ekim’de yayınlanacak olan önerilen kural, kısıtlı işlemlerle uğraşan veri komisyoncularının Siber Güvenlik ve Altyapı Güvenliği Ajansı tarafından belirlenen güvenlik gerekliliklerine uymasını da gerektirecek. Önerilen güvenlik gereksinimleri arasında denetim günlüklerinin bakımı, hangi istemcilerin farklı veri kümelerine erişime sahip olduğunu belirlemek için kimlik yönetimi süreçleri ve veri minimizasyonu yer alıyor. Rusya’nın da dahil olduğu, yasaklanmış bir ülkeden erişimin engellenmesi için bazı verilerin şifrelenmesi en iyisi olabilir.

Ödeme kartı hizmetleri devi Visa Çarşamba günü yaptığı açıklamada, dolandırıcıların, çalınan kart bilgilerini hediye kartları, ürünler veya çevrimiçi işlemler için hızlı bir şekilde kullanmak üzere kredi kartı hırsızlığı da dahil olmak üzere daha eski yöntemlere geri döndüğünü söyledi.

Rapor, dolandırıcıların tamamen 20. yüzyıla geri dönmediğine dikkat çekiyor. Visa’nın iki yılda bir hazırladığı tehdit raporunda vurgulanan yeni bir taktik, dolandırıcıların kalabalık bölgelerdeki cüzdanların yakınındaki bir satış noktası cihazına dokunarak mobil ödeme başlattığı “dijital yankesicilik”tir.

Devletin kimliğe bürünme dolandırıcılıkları da artıyor; ABD’deki ortalama kurban 14.000 dolar kaybediyor. Dolandırıcılar, ABD Posta Servisi ve Gelir İdaresi gibi kurumların yetkilileri gibi davranıyor ve tespit edilmekten kaçınmak için genellikle nakit ödemeye yöneliyor.

Kimlik doğrulamayı atlama dolandırıcılıklarında da bir artış görüldü; suçlular, hesaplara erişmek için tek seferlik şifre kimlik avından yararlandı. Hırsızların yetkili kaynaklar gibi görünmelerine olanak tanıyan üretken yapay zeka, bu dolandırıcılıkları daha ikna edici hale getiriyor.

Visa ayrıca, özellikle üçüncü taraf sağlayıcılar için token sağlama dolandırıcılığı ve fidye yazılımlarının önemli tehditler olduğunu vurguladı. Üçüncü taraf sağlayıcılara yönelik saldırılar arttı ve milyonları etkiledi.

İnternet Arşivi’nin normale dönüşü, bir tehdit aktörünün sitenin Zendesk hesabı için çalıntı bir erişim jetonunu çaldıktan sonra dijital kütüphanenin birçok kullanıcısına sahte bir e-posta göndermesiyle büyük bir darbe aldı.

Kâr amacı gütmeyen site, bu ayın başlarında sürekli bir dağıtılmış hizmet reddi saldırısına maruz kaldı. Ayrıca e-posta adresleri de dahil olmak üzere 31 milyon hesap sahibinin verilerinin çalınmasıyla da boğuşmak zorunda kaldı (bkz: İnternet Arşivi Veri İhlalinden 31 Milyon Hesap Açığa Çıktı).

Arşiv Pazartesi günü Wayback Machine çevrimiçi anlık görüntü trol teknesini salt okunur modda geri yükledi ve “yükleme, ödünç alma, öğeleri inceleme, kütüphaneler arası ödünç verme ve diğer hizmetler gibi özelliklerin henüz mevcut olmadığını” belirten bir güncelleme yazdı.

Güncelleme, bir bilgisayar korsanının “archive.org e-postasını ve bir şeffaflık web sitesine şifrelenmiş şifreleri ifşa ettiğini ve ayrıca üçüncü taraf bir yardım masası sistemini kullanarak kullanıcılara e-postalar gönderdiğini” söyleyerek sahte e-postaları kabul etti.

Bir bilgisayar korsanı, Bleeping Computer’a İnternet Arşivi’nin GitLab örneğindeki Zendesk kimlik doğrulama belirteçlerini açığa çıkardığını söyledi.

Federal düzenleyicilere sunulan güncellenmiş bir ihlal raporuna göre, Change Healthcare’e yapılan fidye yazılımı saldırısı resmi olarak 100 milyon kişiyi etkiledi. Başlangıçta, Tennessee tıbbi faturalandırma aracısı Temmuz ayında ihlalin yalnızca 500 kişiyi etkilediğini bildirdi, ancak ABD Sağlık ve İnsani Hizmetler Bakanlığı Sivil Haklar Dairesi o zamandan beri rakamı revize etti (bkz.: Sağlık Lowball’unu Neden Federallere İlk İhlal Raporunu Değiştirdi?)

Şirket CEO’su Andrew Witty daha önce ihlalin boyutuna dair ipuçları vermiş ve Nisan ayında Kongre önünde saldırının muhtemelen Amerikalıların üçte birini veya yaklaşık 100 milyon insanı etkilediğini ifade etmişti. Fidye yazılımı grubu BlackCat’e atfedilen ihlal, çok sayıda sağlık hizmeti sağlayıcısı da dahil olmak üzere milyonlarca kişinin korunan sağlık bilgilerini tehlikeye attı.

Saldırı, Change Healthcare’de haftalarca süren BT kesintilerine neden oldu ve binlerce sağlık hizmeti sağlayıcısı müşterisinin talep işlemleri, ödemeler ve diğer kritik sağlık hizmetleri operasyonlarını ciddi şekilde aksattı. İhlalin mali etkisi şaşırtıcı oldu; UHG analistlere olayın bugüne kadar şirkete yaklaşık 3 milyar dolara mal olduğunu bildirdi (bkz.: Sağlık Hizmetinin İhlal Maliyetlerini Değiştirmek 2,5 Milyar Dolara Ulaşabilir).

Ukrayna Hükümeti Bilgisayar Acil Durum Müdahale Ekibi Salı günü orduyu, devlet yetkililerini ve endüstriyel işletmeleri hedef alan yaygın bir kimlik avı kampanyası olduğunu bildirdi. Yanlışlıkla Amazon hizmetleri ve Microsoft ile “entegrasyonu” teşvik eden e-postalar, kötü amaçlı uzak masaüstü protokolü yapılandırma dosyaları içeriyordu. Dosyalar açıldığında saldırganların sunucularına giden bağlantılar kurarak diskler, ağ sürücüleri ve yazıcılar gibi hassas yerel kaynakları tehlikeye atma potansiyeli taşıyordu.

UAC-0215 ​​olarak takip edilen faaliyetin geniş bir coğrafi alanı var ve en azından Ağustos ayından bu yana hazırlık aşamasında olduğu görülüyor. CERT-UA, kuruluşlara posta ağ geçitlerinde RDP dosyalarını engellemelerini ve RDP bağlantı yeteneklerini kısıtlamalarını tavsiye etti.

Sivil toplum kuruluşları, yaklaşan Genel Kurul oylamasında Avrupa Birliği üyelerine Birleşmiş Milletler Siber Suçlar Sözleşmesi’ni reddetme çağrısında bulundu. İnsan hakları grupları, teknoloji şirketleri ve güvenlik araştırmacıları tarafından imzalanan ortak mektupta, taslak anlaşmanın geniş kapsamına ilişkin endişeler vurgulandı; bu durum, hükümet gözetiminin artmasına ve demokratik özgürlüklerin erozyona uğramasına yol açabilir.

Eleştirmenler, taslak sözleşmenin asgari sınırlamalarla izinsiz yurt içi ve sınır ötesi gözetime izin verdiğini ve muhalif seslere karşı kötüye kullanım riski taşıdığını söylüyor. İmzacılar, elektronik kanıt toplama ve uluslararası işbirliğine ilişkin hükümlerin insan hakları ihlallerini kolaylaştırabileceğini ve mevcut AB veri koruma yasalarıyla çelişebileceğini söyledi.

Cisco Talos’tan araştırmacılar, Asylum Ambuscade olarak da bilinen TA866 olarak takip edilen finansal odaklı bir tehdit aktörünün, kötü amaçlı reklam yoluyla özel kötü amaçlı yazılım yaydığını söyledi.

En az 2020’den beri aktif olan TA866, kurbanları kötü amaçlı yazılım yükleme hizmetleri sunan tehdit aktörleri tarafından işletilen 404 TDS gibi trafik dağıtım sistemlerine yönlendirmek için e-postalarda, PDF’lerde ve reklamlarda kötü amaçlı bağlantılar kullanıyor. Kullanıcılar tıkladığında saldırganlar, ekran verilerini toplamak için Screenshotter, kimlik bilgileri hırsızlığı için AHK Bot ve kalıcılık için Looper dahil olmak üzere çeşitli kötü amaçlı yazılım türlerini dağıtır.

Cisco Talos, TA866’nın araçlarını hedef ortamlara göre uyarladığını ve ihlal sonrası enfeksiyon zincirlerini ayarladığını söyledi. Grup, ilk erişimi sağladıktan sonra keşif yapar ve CSharp-Streamer uzaktan erişim truva atı gibi ek kötü amaçlı yazılımları dağıtabilir. Araştırmacılar TA866’nın aynı araçları kullanarak diğer kampanyalara bağlanabileceğine inanıyor.

Cofense Intelligence’dan araştırmacılar, siber suçluların, görünürde zararsız e-postalar yoluyla Remcos ve XWorm RAT’lar gibi kötü amaçlı yazılımlar dağıtmak için sanal sabit disklerin sınırlı algılama yeteneklerinden yararlandığını söyledi. Geleneksel e-posta güvenlik sistemleri ve antivirüs yazılımları, sanal sürücüleri taramakta zorlanır, onları kara kutu olarak ele alır ve genellikle onları taranmamış veya “taranamaz” olarak işaretlenmiş halde bırakır.

Bu, bilgisayar korsanlarının sanal sabit disk dosyalarına kötü amaçlı içerik yerleştirmesine ve genellikle tespit edilmekten kaçınmak için dosya karmalarını değiştirmesine olanak tanıyan bir fırsattır. Testlerde, VirusTotal’daki 62 antivirüs motorundan yalnızca biri bu dosyalar aracılığıyla gönderilen kötü amaçlı yazılımları tespit etti.

Bir kez açıldığında kötü amaçlı .vhd Ve .vhdx dosyalar kötü amaçlı yükleri tetikler. Cofense, bu tür saldırıların, sanal disk dosyaları yoluyla otomatik kötü amaçlı yazılım yürütülmesine daha duyarlı olan eski Windows sistemlerini hedef aldığını belirtti.

Google Scholar’da şaşırtıcı bir keşif ortaya çıktı: Aydınlanma dönemi fizikçisi ve bilgesi Sir Isaac Newton, kurumdan gelen “doğrulanmış bir e-posta” ile MIT’de “Fizik Profesörü” olarak görünüyor. X’le ilgili bulguyu paylaşan California Eyalet Üniversitesi’nden matematik profesörü Jay Cummings, “Onun için iyi” dedi.

Google Akademik, kullanıcının kimliğini değil, yalnızca profille ilişkili e-posta adresini doğrular. Profil oluşturmak, temel bilgilerin girilmesini içerir ve birkaç dakika içinde kolayca tamamlanabilecek bir e-posta doğrulama adımı içerebilir.

Geçen Haftadan Diğer Hikayeler

Bilgi Güvenliği Medya Grubu’ndan Güney İngiltere’deki Akshaya Asokan ve Massachusetts’ten Marianne Kolbasuk McGee’nin raporlarıyla.