Bezpečnostní novinky

Falešné fitness aplikace, únik dat z obchodu s konopím a Facebook pod palbou

Avast Security News Team, 4. ledna 2019

Přinášíme bezpečnostní novinky, kde se dozvíte o falešných aplikacích, seznamu 50 000 potenciálních obětí phishingu a úniku dat z obchodu s konopím.

Falešné aplikace zneužívají Apple Touch ID

Dvě falešné aplikace z Apple App Storu – „Fitness Balance“ a „Calories Tracker“ – se pomocí Apple Touch ID snažili od jednotlivých uživatelů ukrást 100 dolarů. Tyto aplikace po uživatelích požadovaly otisk prstu, aby jim mohly ukázat jejich osobní údaje. Když však uživatel svůj otisk prstu naskenoval, aplikace se s jeho pomocí pokusila z platebních karet na uživatelově účtu strhnout přibližně 100 dolarů.

Uživatelé iPhonu X, kteří měli zapnuté placení dvojím kliknutím, si této platby mohli všimnout a mohli ji zrušit. Všem ostatním se platba automaticky strhla. Dotyčné aplikace byly z App Storu smazány a všichni uživatelé, kteří jimi byli podvedeni, mohou přes stránku hlášení problémů požádat Apple o vrácení peněz.

„V porovnání se zařízeními s Androidem byla zařízení s Apple iOS vždy méně zranitelná vůči malwarovým útokům, protože je do nich možné stahovat jen aplikace z oficiálního App Storu, které prošly bezpečnostními kontrolami Applu,“ vysvětluje Luis Corrons, bezpečnostní expert Avastu. „Jak jsme se v tomto případě sami přesvědčili, možnosti bezpečnostních kontrol Applu jsou bohužel omezené, takže i jimi dokáže malware proklouznout.“

50 000 vedoucích pracovníků v hledáčku útočníků

Kybernetičtí odborníci odhalili seznam, který počátkem roku 2018 v průběhu pěti měsíců sestavila hackerská organizace London Blue. Jedná se o soupis přibližně 50 000 osob, kde figurují finanční ředitelé a jiní vedoucí pracovníci firem z celého světa – nejčastěji finančních institucí a poskytovatelů hypoték. Experti se domnívají, že jde o seznam potenciálních cílů pro útoky typu BEC (business email compromise). Mezi tyto útoky mohou patřit konkrétně cílené spear phishingové zprávy i spam obecného charakteru.

„V posledních pár letech jsme byli svědky dramatického nárůstu počtu podobných útoků,“ poznamenává Corrons. „A není se čemu divit. Zločinci si takto mohou přijít na miliony dolarů a jeden takový útok dokáže malou či střední firmu zcela odrovnat,“ varuje. Středisko FBI pro nahlašování internetového zločinu (IC3) odhaduje, že související ztráty dosáhnou miliard dolarů.

Daný seznam byl paradoxně odhalen ve chvíli, kdy se kybernetičtí zločinci pokusili pomocí phishingu zaútočit na bezpečnostní firmu. Bezpečnostní odborníci ale útočníkům nachystali léčku a podařilo se jim získat čísla bankovních převodů a jiné údaje, které posléze předali úřadům a tím pomohli dotyčné zločince identifikovat a polapit. Stačí, když jeden zaměstnanec klikne na škodlivý phishingový odkaz, a celá firma je hned ohrožena. Proto by se zaměstnanci všech firem měli naučit, jak phishingové podvody rozpoznávat.

Únik dat z obchodu s konopím

Floridský prodejce konopí AltMed, působící také pod názvem MüV, oznámil na své facebookové stránkce, že dostal od jednoho ze svých zákazníků upozornění, že „k některým zákaznickým údajům je možné přistupovat přes vyhledávač na firemním webu www.AltMedFlorida.com“.

AltMed do 10 minut od přijetí tohoto upozornění daný vyhledávač deaktivoval. Proč a jak k tomuto úniku dat došlo, je stále předmětem šetření. „Na základě dosavadních poznatků forenzní kontroly můžeme prohlásit, že došlo k omezenému přístupu k určitému množství dat na našem webu,“ prohlásila společnost, aniž by uvedla počty zákazníků, jichž se problém týká. AltMed ve svém prohlášení tvrdí, že dotčené zákazníky osloví přímo.

Zveřejněné dokumenty z Facebooku vznášejí otazníky

Britská parlamentní komise minulý týden při svém šetření zabavila přibližně 250 stránek interních e-mailů a zpráv, které se týkaly změn pravidel na ochranu soukromí na Facebooku z přelomu let 2014/2015. Nyní tyto dokumenty volně zpřístupnila.

Předseda komise Damian Collins je zpřístupnil ve snaze vyvolat veřejnou diskusi. „Potřebujeme větší veřejnou debatu o právech uživatelů sociálních sítí a firem, které s technologickými giganty musí spolupracovat,“ napsal Collins v sérii tweetů o dotyčných dokumentech. Podle něj jsou nejzajímavější smlouvy mezi Facebookem a několika subjekty o výjimce z nových pravidel na ochranu soukromí z roku 2015 a také používání služby Onavo VPN, kterou si tato sociální síť koupila, ke sbírání údajů o uživatelích bez jejich svolení.

Avast je globální jednička v kybernetickém zabezpečení, která chrání stovky milionů uživatelů z celého světa. Ochraňte všechna svá zařízení naším mnohokrát oceněným bezplatným antivirem. Chraňte své soukromí a šifrujte své online připojení pomocí SecureLine VPN.

Další informace o produktech na ochranu svého digitálního života najdete na webu avast.com. Zpravodajství o aktuálních kybernetických hrozbách a informace, jak se jim bránit, najdete na webu blog.avast.com.