Den årlige Netsikker Nu! kampagne er netop gået i luften og stiller i år skarpt på sikker online handel.

CSIS er, som alle forgangne år, med til at skabe opmærksomhed og fokus omkring IT-sikkerhed og støtter naturligvis også Netsikker Nu! initiativet.

I forhold til sikker online handel er vores primære anke at alle der handler på nettet lever op til følgende retningslinjer for at undgå ubehageligheder:

Retningslinjer/anbefalinger:

1) Handel på websider du kender og har tillid til.

2) Sørg for at al betaling med kreditkort foregår via en sikker betalingsgateway.

3) Søg på Google hvis du er i tvivl om en leverandør/online butik og se om andre har erfaringer med at handle med online butikken.

4) Check websiden for kontaktoplysninger. Ser de rigtige og troværdige ud?? Er du det mindste i tvivl så ring og tal med leverandøren.

5) Sørg for at opdatere alle dine vigtige programmer under Windows, så trojanske heste og virus ikke napper dine kreditkort oplysninger når du betaler for de varer du køber.

Vi tilbyder alle private brugere at installere Heimdal gratis. Heimdal kan sikre, at man lever op til punkt 5 i ovenstående anbefalinger. Heimdal opdaterer alle Microsoft Windows maskiner automatisk, så sårbare tredjepartsprogrammer ikke misbruges af it-kriminelle til at snige virus ind på maskinen.

Heimdal kan downloades gratis fra adressen:
https://www.heimdalagent.com/

Fakta om online handel
Vores online sikkerhed er af stor betydning for alle! Hele 88% af befolkningen (4.5 mio.) i aldersgruppen 16–89 år har adgang til en pc, og heraf har 97 % (3.9 mio.) adgang til internettet. Tre ud af fire personer med adgang til internettet har inden for det seneste år købt varer over nettet, dvs. 2.9 mio. personer.

Yderligere oplysninger om Netsikker Nu!:
http://www.netsikkernu.dk/
http://www.facebook.com/ensikkerhandel

En sværm af såkaldte likejacking kampagner florerer for øjeblikket blandt nysgerrige danske Facebook brugere.

Der lokkes med mange forskellige typer mading herunder med X-Factor temaer, se billede herunder:



Udover at lokke med X-Factor er følgende andre likejacking kampagner observeret fra samme kilde:

Jeanette giver Julian en spiller Paradise Hotel 2012
Sådan ødelægger man sit liv på 2 minutter
Møgunge får som fortjent
Sådan får man større bryster uden silikone
Skildpadde hapser hund i bollerne
Sådan forlader man klassen med stil!
Big brother Amanda i bad!
Fuld mand går amok i Disney-park
Paradise Hotel 2012 - Man ka se hendes nipples!
Paradise Hotel 2012 - Julian Styrter på Skiferie
Sådan forlader man klassen med stil!
X-Factor deltager falder ned fra scenen!
Pige helt væk efter tandlægebesøg
Hjælpeløs dreng overfaldet af 7 andre bag skolen



Flere af disse fupsider har allerede modtaget flere tusindende "synes godt om".

De har det tilfælles at et klik flytter brugeren væk fra Facebook og over på følgende websider som man med god fornuft kan blokere i sit webfilter.

liike2watch.info
lottotal.be

Domænerne er allerede blokeret i Heimdal Pro og Corporate samt i Secure DNS.

For at se indholdet skal man naturligvis dele det med andre, og det er præcist sådan at fidusen bliver lukrativ for personerne bag.

Der er intet formål med denne type likejacking kampagner. De skal blot bidrage til at tvivlsomme bagmænd scrorer plat på reklamer, da mange mennesker lokkes ind på deres tvivlsomme websider med udsigten til spændende indhold. Likejacking er intet andet end moderne spam pakket ind i Facebook "papir".

En klassisk Likejacking kampagne har fået et godt tag i mange danskere og spredes netop nu blandt danske Facebook brugere. Der er tale om den sædvanlige lokkemad. Der lokkes med teksten:

"Se pige blive taget i at være utro"

Hvis Facebook brugeren lader sig friste, og der klikkes på det medfølgende link, vil kampagnen forsøge at få denne til at "synes godt om" den pågældende video. Det er nemt for det er en forudsætning for at se materialet. Det pågældende link peger på adressen (mellemrum indlagt af CSIS) http://likevideos.globa ltradepath.com/video.php?id=1224

Resultatet af at "synes godt om" indholdet på siden er, at samme materiale postes automatisk til alle venner og bekendte, så de også kan lokkes til at klikke på det pågældende link. Se lokkemaden herunder:


Formålet med kampagnen er, i stil med andre Likejacking kampagner, at flytte trafik væk fra Facebook og tjene penge på banner reklamer. Det bedste råd er at slette denne type beskeder fra din væg og samtidig informere den pågældende ven eller bekendte om problemet.

Denne kampagne er en del af en større sværm af tilsvarende fordummende likejacking kampagner som bl.a. anvender følgende temaer:

Mand banker 3 betjente
Edderkop eksploderer
Muskelmand går amok
Idiot ryger ud af karrusel
Se denne dreng ryge og få røg ud af øret
Paradise Hotel Sebastian og Mary Swan hygger sig
Big Brother babes hygger
13 årig trussetyv!
Mand uden knogler!
Selvforsvar med tis
Skjult kamera i prøverum
Derfor er drenge bedre end piger

Slet dem og adviserer dine venner og bekendte om ikke at klikke på den slags og ikke mindst anmeld kampagnen til Facebook.

Likejacking er moderne spam. Det er mindst ligeså uønsket som regulært spam via e-mail og CSIS vil naturligvis arbejde på at få lukke denne og andre Likejacking kampagner ned.

Adobe har frigivet en kritisk sikkerhedsopdatering, som henvender sig til Adobe Reader og Acrobat.

Opdateringen lapper flere forskellige sårbarheder, hvoraf de mest alvorlige potentielt kunne misbruges i klient side drive-by angreb. CSIS anbefaler, at man opdaterer sårbare systemer snarest muligt.

CSIS Heimdal Agent vil snarest modtage en opdatering der sikrer at berørte maskiner automatisk opdateres. Du kan finde Heimdal Security Agent på vores hjemmeside:
https://www.heimdalagent.com

Denne sikkerhedsopdatering fra Adobe adresserer bl.a. følgende CVE-IDs: CVE-2012-0774, CVE-2012-0775, CVE-2012-0776, CVE-2012-0777.

Opdateringen henvender sig til mange forskellige udgaver af Adobe Acrobat og Reader på forskellige platforme, herunder: Adobe Reader X (10.1.2) og tidligere 10.x udgaver til Windows og Macintosh, Adobe Reader 9.5 og tidligere 9.x udgaver til Windows og Macintosh, Adobe Reader 9.4.6 og tidligere 9.x versioner til Linux samt Adobe Acrobat X (10.1.2), 9.5 og tidligere 10.x og 9.x versioner til både Windows og Macintosh.

Yderligere oplysninger:
http://www.adobe.com/support/security/bulletins/apsb12-08.html

CSIS har i de seneste dage modtaget flere rapporter fra danske virksomheder som er blevet ramt af en ny ransomware.

Kampagnen er blevet igangsat via inficerede websider i bl.a. Norge og Island, der har udnyttet sårbarheder i populære tredjepartsprodukter. CSIS Heimdal Agent kunder er behørigt beskyttet mod denne kampagne, idet vi automatisk lapper de sårbarheder som misbruges i tvangsfodringen og samtidig har blokeret det fjendtlige domæne i CSIS Secure DNS.

Når denne ransomware køres på et system, så droppes koden til windows temporære mappe med et vilkårligt filnavn. 

I næste fase påbegyndes kidnapningen af indhold på den inficerede harddisk hvor samtlige dokumenter, html, billeder og genveje krypteres og tilføjes følgende filendelse, mens den originale fil slettes: ".EnCiPhErEd". 

Den modificerer endvidere registreringsdatabasen: 
HKEY_LOCAL_MACHINESOFTWAREClasses.EnCiPhErEd

Flere steder på den inficerede maskine droppes filer med navnet: "HOW TO DECRYPT FILES.TXT

Indholdet af denne er følgende:

"Attention! All your files are encrypted!
You are using unlicensed programms!
To restore your files and access them, send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail Koeserg@gmail.com. During the day you receive the answer with the code.

You have 5 attempts to enter the code. If you exceed this of all data irretrievably spoiled. Be careful when you enter the code!"

Det er muligt for CSIS, at afkode denne ransomware hvorfor inficerede maskiner med relativ lethed, kan genskabes uden at skulle betale de 50 euro, som denne bandit forsøger at afpresse sig til.

Ny faktura og katalog svindel

CSIS har stoppet flere spammails der udsendes til vilkårlige modtagere og hvor målet er at lokke dem om optagelse i en firmadatabase på nettet.

Vi har set denne form for svindel mange gange tidligere. Denne gang er den pakket ind anderledes, men teknikken og målet er den samme.

Den uønskede e-mail ankommer på fejlfrit dansk:

Fra: Thomas Johansen

Emnelinje: Anmodning om information....

Indhold:

Hej

vi sammenstiller nu et landsdækkende firmakatalog for vores kunder.  For at præsentere et bredt spektrum af virksomheder i alle brancherne vil jeg gerne spørge, om I har lyst til at tilføje oplysninger til jeres aktivitet (grundlæggende data og kort beskrivelse af det vigtigste tilbud)  til vores katalog.

I kan gøre det på websiden www.biz6.dk/about/register.html

Jeg synes, det vil være en perfekt ekstra reklame for jeres firma og et bredere udvalg af tilbud på marked for vores kunder. Så de vil være i stand til at vælge det bedste tilbud. Det er helt gratis at tilføje virksomheden til vores katalog (der er ikke nogen skjulte omkostninger).

--
Hjertelig hilsen
Thomas Johansen
M

-

Hvis vi kigger lidt nærmere på domænet "bi z6.dk" kan vi se at det er registreret af et firma i England d. 29.3. 2012.:

Registrant:     
Bruger-id:     CIBS1-DK
Navn:     CH INTERNET BUSINESS SOLUTIONS LIMITED
Adresse:     590 Kingston Road London
Postnr. & By:     SW20 8DN London
Land:     United Kingdom
Telefonnummer:     +48 798053262
Fuldmægtig:     
Bruger-id:     HSZO5-DK
Navn:     home.pl sp. z o.o.
Attention person:     Marcin Kusmierz
Adresse:     Plac Rodla 9
Postnr. & By:     70-419 Szczecin
Land:     Poland
Telefonnummer:     +48 914325555

Oprettet:     29. marts 2012

På selve hjemmesiden er det tydeligt at se, at der er tale om fup og svindel. Bemærk, at det fremgår at det altså er gratis optagelse, mens du ved oprettelsen skal acceptere betingelserne. Det er her man falder i fælden og berettiger disse banditter til at sende en faktura.

Der er god grund til at tro, at det er danskere der står bag denne svindel. 

CSIS har blokeret websiden i CSIS Secure DNS, hvorved også Heimdal Pro og corporate kunder er beskyttet.

SKAT har i går udsendt en pressemeddelelse hvoraf det fremgår, at mindst 20 danskere har oplevet at overskydende SKAT er blevet flyttet til fremmende bankkonti (Nemkonto).

Det samlede beløb for den del af svindlen, som er blevet bekræftet i SKATs undersøgelse, beløber sig til 500,000 kroner, men meget tyder på, at det reele beløb kan vise sig at blive langt større.

De kriminelle bagmænd har i de fleste tilfælde fået udleveret personnumre og koder til TastSelv af borgerne, hvorefter de har snydt med fradrag og udbetaling af overskydende skat. Det fremgår af pressemeddelelsen fra SKAT, at yderligere 62 sager med omkring 1.000 involverede personer er under efterforskning.

Ud af de 29 bekræftede ofre er der også nogle få som er blevet udsat for decideret dokumentfalsk og identitetstyveri. De er sandsynligvis blevet snydt uden at have udleveret adgangskoder. Det er muligvis en efterforskning i sig selv.

Phishing
I hovedparten af de tilfælde, hvor der er misbrugt CPR-nummer og koder, som sandsynligvis er blevet phishet eller kompromitteret via en trojansk hest, og hvor de it-kriminelle efterfølgende har logget sig ind via Tastselv, er kontoindstillingerne blevet ændret, så evt overskydende SKAT er overført til fremmede bankkonti indsat af de it-kriminelle. En nærmere efterforskning vil nu afsløre om der er tale om et "muldyr" setup.

Uanset har Danmark i løbet af de seneste måneder været udsat for talrige phishing angreb hvor der netop er blevet fisket efter CPR-numre og passwords samt kreditkort oplysninger. Se skærmdump herunder:


Desuden fremgår det at de it-kriminelle også har indberettet uberettigede fradrag, så andelen af overskydende SKAT har været så stor som mulig. "Dermed kan det ende med, at de personer, som har udleveret deres oplysninger om TastSelv, mister deres overskydende skat og får en regning for uberettigede fradrag" lyder det fra SKAT.

Det skal understreges at CSIS ikke på nuværende tidspunkt er blevet inddraget i det efterforskningsmæssige arbejde og at vi således ikke har, eller kan dele, deltaljer omkring det videre arbejde med denne svindelsag.

Yderligere oplysninger:
http://www.skat.dk/SKAT.aspx?oId=2044869

CSIS har her til aften opsamlet flere spammails, som fremsendes på dansk og med et vedhæftet password beskyttet zip-arkiv. Der er tale om en farlig payload, som systematisk vil tappe det inficerede system for sensitive oplysninger.

Den uønskede e-mail ankommer med følgende indhold:

Fra: facebook

Emnelinje: Hej Man,

Indhold:

Hej Man,

Jeg ved ikke hvordan jeg skal sige det, men jeg har prřvet fřr lang tid til at sende dig nogle billeder, men jeg har tćnkt, at du ikke er interesseret i at se mig.
Men nu vil jeg sende dig billeder i tillćgget.
Download billeder og udtrćkke de, jeg er sikker pĺ at du vil kunne lide de.
Adgangskoden er: 123456

Hav en dejlig dag.

Vedhæftet:
DC5471.zip

Se også skærmdump herunder:

-

Helt åbenlyst er den medfølgende zip-fil beskyttet med passwordet "123456". Det betyder også, at den let sniger sig forbi de fleste gateway scannere, og derved strander sikkerheden hos den enkelte slutbruger og hvorvidt denne kan fristes til at udpakke og køre den skadelige kode. Som en sidebemærkning er det også interessant at koden er digitalt signeret:

CN = Avira GmbH
OU = Development 2009
OU = Digital ID Class 3 - Microsoft Software Validation v2
O = Avira GmbH
L = Tettnang
S = Baden-Wuerttemberg
C = DE

Den skadelige kode ser ud til at være kompileret i Algeriet. Hvis koden køres, af en uforsigtig bruger, vil den kopiere sig til roden af harddisken som "DC5471.exe". Denne fil slettes igen via et batchjob:

@echo off
del "C:DC5471.exe"
if exist "C:DC5471.exe" goto d
del /F "C:DOCUME~1ADMINI~1LOCALS~1Temptmpfabd8a2c.bat"

og derfra dropper den sig med et vilkårligt filnavn, eksempelvis:

C:Documents and Settings[%bruger profil%]Application DataOphuodyt.exe

Den injekter sig herefter ind i flere legitime systemprocesser og henter en konfigurationsfil fra følgende adresse (mellemrum indlagt af CSIS)

http://alba live.info/bari.bin

Det pågældende domæne er allerede blokeret i CSIS Secure DNS.

Den skadelige kode opnår følgende antivirus detektion:

AntiVir     -     20120423
Antiy-AVL     -     20120423
Avast     Win32:VB-ACME [Trj]     20120423
AVG     Suspicion: unknown virus     20120423
BitDefender     -     20120423
ByteHero     -     20120423
CAT-QuickHeal     -     20120423
ClamAV     -     20120423
Commtouch     -     20120423
Comodo     -     20120419
DrWeb     -     20120423
Emsisoft     Trojan-PWS.Win32.Zbot!IK     20120423
eSafe     -     20120419
eTrust-Vet     -     20120421
F-Prot     -     20120422
F-Secure     -     20120423
Fortinet     W32/VBKrypt.HYZX!tr     20120423
GData     Win32:VB-ACME     20120423
Ikarus     Trojan-PWS.Win32.Zbot     20120423
Jiangmin     -     20120423
K7AntiVirus     -     20120420
Kaspersky     -     20120419
McAfee     -     20120419
McAfee-GW-Edition     -     20120422
Microsoft     PWS:Win32/Zbot     20120423
NOD32     a variant of Win32/Injector.PWG     20120423
Norman     -     20120419
nProtect     -     20120419
Panda     -     20120423
PCTools     -     20120419
Rising     -     20120423
Sophos     -     20120423
SUPERAntiSpyware     -     20120402
Symantec     -     20120423
TheHacker     -     20120422
TrendMicro     -     20120423
TrendMicro-HouseCall     -     20120419
VBA32     -     20120422
VIPRE     Trojan.Win32.Generic.pak!cobra     20120423
ViRobot     -     20120423
VirusBuster     -     20120423

SEC DataCom er nu klar med det nyeste indenfor it-sikkerhed til sine forhandlere i Norden.

CSIS, Nordens førende virksomhed indenfor it-sikkerhed, har indgået aftale med SEC DataCom omkring distribution af CSIS’ leading edge software til forhandlere i Skandinavien. SEC DataComs forhandlere får nu mulighed for at markedsføre de tre produkter: Heimdal Security Agent, Secure DNS samt Threat Detection. Særligt førstnævnte produkt forventer begge parter bliver en stor succes. Heimdal beskytter al information på virksomhedens computere via en ny metode. Produktet sørger for en automatisk og uproblematisk softwareopdatering (patching), webfiltrerer når medarbejderne anvender internettet, sikrer anvendelse af netbank samt detekterer malware.

”Ved at få den mest succesrige distributør af it-sikkerhedsprodukter i Skandinavien til at markedsføre vores produkter, forventer vi en væsentlig større udbredelse end vi ville være i stand til at opnå ved egen hjælp”, udtaler Morten Villekjær, adm. direktør hos CSIS. ”Vi er faktisk stolte af, at SEC DataCom har valgt os”, fortsætter han.

Hos SEC DataCom udtaler salgsdirektør Lars Juul Grejsen, at SEC DataCom er utroligt glade for at kunne introducere en leverandør som CSIS. ”Vi betragter CSIS som en af de mest innovative it-sikkerhedsspecialister i Nordeuropa og glæder os til at introducere et så spændende og banebrydende produkt til kanalen. CSIS har allerede vist deres store styrke ved bl.a. at beskytte en lang række bankkunder mod trojaneren ”BankTexeasy”, så måske kanalen allerede har truffet CSIS. Vi mener derfor, at kommende CSIS partnere kan se frem til en gylden forretningsmulighed med et ganske unikt og innovativt produkt”, udtaler Lars Juul Grejsen.

Yderligere oplysninger fås hos

Morten Villekjær tlf.: +45 8813 6030
Lars Juul Grejsen tlf.: +45 4810 8024

Om CSIS Security Group A/S

Siden 2003 har det danske selskab, CSIS Security Group, udviklet visionære løsninger indenfor it-sikkerhed. I dag er CSIS stadig 100% ejet af medarbejderne, og har udviklet sig til at blive Nordens førende leverandør af eCrime services; bekæmpelse af elektronisk kriminalitet. CSIS samarbejder bl.a. med alle de danske banker samt en række af verdens største pengeinstitutter. Ved at beskæftige de klogeste hoveder på globalt plan[1], der kontinuerligt følger i de it-kriminelles fodspor, opnås en unik viden, som genanvendes til at udvikle målrettede sikkerhedsløsninger, der yder optimal beskyttelse til organisationer såvel som privatpersoner.
For mere information www.csis.dk

Om SEC DataCom A/S

SEC DataCom A/S er den førende vidensbaserede og værdiskabende distributør af løsninger inden for IT Security, Storage og Communications i Danmark. SEC DataCom sælger produkter og løsninger til et fintmasket netværk af autoriserede forhandlere over hele landet. Virksomheden understøtter forhandlerne gennem centrale services som presale, salg, postsale, markedsføring, uddannelse, certificering, service og teknisk support. SEC DataCom blev grundlagt i 1992 og er 100 % dansk ejet.
For mere information: http://secdatacom.dk.

Der er konstateret nye angreb rettet mod de danske og skandinaviske netbanker.

Angrebet gennemføres i lighed med dem vi observerede i februar måned 2012. Der praktiseres såkaldte "side-by-side" realtids phishing, hvilket er muligt såfremt brugeren PC er inficeret med skadelig kode.

CSIS har opdateret vores gratis BankTexeasy detektionsværktøjet, som kan hentes på vores hjemmeside på adressen:
http://www.csis.dk/da/private/banktexeasy/

Årsag til infektion? Manglende opdateringer!
Den mest hyppige årsag til at man bliver inficeret med skadelig kode på Internettet er via "drive-by" angreb. De praktiseres bl.a. ved at indlejre uønsket indhold på legitime og fjendtlige websider. Formålet er at tvangsfodre ikke opdaterede systemer med virus/malware. De fleste angreb er rettet mod ganske få, men også meget populære tredjepartsprogrammer.

Opdatér automatisk!
CSIS Heimdal Security Agent er den nemme løsning til at sikre din maskine mod denne form for angreb. Alle kan anvende Heimdal agenten: ældre, såvel som unge - øvede it-brugere til nybegyndere! Der er ingen undskyldning.

Programmet findes i en gratis version som må bruges af private. Den kan hentes på adressen:
https://www.heimdalagent.com/

Yderligere oplysninger og gode råd kan findes hos NETS på adressen:
https://www.nets-danid.dk/om_nets_danid/presse/01052012_nye_tilfaelde_af_netbankangreb.html

Vores venner hos HostExploit har frigivet deres månedlige "Global Security Report" som dækker April 2012.

Rapporten indeholder interessante oplysninger om hvorfra og hvordan malware spredes, herunder en top 10 af de reneste og værste lande, Botnet C&Cs, phishing, exploit og ZeuS/Zbot servere.

Af rapporten fremgår det også at Danmark med raketfart har bevæget sig ind på listen over lande som er mål for phishing og som hoster phishing materiale.

Denne rapport er et unikt samarbejde mellem HostExploit, GroubIB og CSIS.

Rapporten er gratis og kan hentes fra følgende URL:
http://hostexploit.com/downloads/summary/7-public-reports/39-global-security-report-april-2012.html

CSIS har i dag stoppet et større antal spammails i vores mailfirewall services som foregiver at komme fra SKAT. Alle har det tilfælles at de lokker med 375,- kroner i tilbagebetaling.

Indholdet er følgende:

Fra: [Spoofet / forfalsket afsender adresse]

Emnelinje: Du er berettiget til at modtage en tilbagebetaling af skat af 375,00 DKK

Indhold (se skærmdump herunder)



Det pågældende link peger på følgende adresse (mellemrum indlagt af CSIS):
http://4l.26.i.29.e.skatd anish.is-a-conservative.com/usage/dk.html?=230183=SkatRefund! 

Indholdet er obfuskeret, men formålet er meget klart; der fiskes efter Visa kreditkort oplysninger, som ved opgivelse sendes til de it-kriminelle bagmænd, som med sikkerhed vil forsøge at misbruge disse data til at købe forskellige varer og tjenester. Se nedenstående skærmdump af websiden der lokker til at opgive sensitive kreditkort data:


Domænet er naturligvis allerede blokeret i CSIS Secure DNS, hvilket også aktivt beskytter Heimdal PRO og Corporate brugere.

Igen i år afholder Sikkerhedsbranchen en årlig informationsdag om trusselsbilledet og de udfordringer, branchen oplever.

Sikkerhedsbranchen er en interesseorganisation bestående af virksomheder, der arbejder professionelt med sikkerhed og sikring.

CSIS bidrager denne gang med en IT-vinkel på sikkerhed i virksomheder. Der tages udgangspunkt i egne erfaringer med sikkerhedsbrister, samt gives råd til hvordan de konkret kan håndteres og imødekommes.

Praktiske oplysninger:

Torsdag 24. maj 2012 på Klarskovgård, Korsør Lystskov, 4220 Korsør.

Dagen starter kl. 10 og slutter kl. 14.

Tilmelding til info@sikkerhedsbranchen.dk. med deltagernavn, firmanavn og mailadresse.

Læs mere på: http://sikkerhedsbranchen.dk/

Der går sjældent en dag uden nye historier i medierne om de it-kriminelle og deres angreb mod virksomheder, som de fleste af os kender. Men hvem er de egentlig, hvad gør de - og hvad skal du være opmærksom på?

I velfunderet samarbejde med Willis, markedsledende eksperter i risikostyring, afholder CSIS i år et seminar om cyber-risici, der strækker sig fra ende til anden.

Du får information om de konkrete risici og trusler, hvordan du juridisk og teknisk sikrer dig, samt hvordan du forsikrer dig mod konsekvenserne af den stigende trussel.

Hvordan og hvornår?

12. juni 2012 kl. 9:00-12:30 hos Willis på Tuborgvej 5 i Hellerup.

Deltagelse er gratis, men grundet et begrænset antal pladser er det efter "først til mølle"-princippet. Skriv til lel@willis.dk senest 31. maj 2012.

Se programmet og læs mere på Dansk Erhvervs hjemmeside her

I nat har IT-kriminelle sendt en flod af spammails ud mod danske e-mail adresser.

Målet med denne spam kampagne er at tilbyde naive modtagere et fint lønnet job som fragt/manager. Men der er indlysende tale om forsøg på at rekruttere såkaldte pakke muldyr der skal fungere som mellemmand for ulovligt indkøbte varer i danske webbutikker. Typisk købes disse varer med stjålne kreditkort og sendes herefter til muldyret der som del af jobbet som pakkemuldyr skal ompakke forsendelsen og videresende den til en anden adresse.

Den uønskede e-mail man skal være obmærksom på - og slette ved modtagelse - ankommer med følgende indhold:

Fra: [spoofet afsender adresse]

Emnelinje: Arbejde i hjemmet

Indhold:

Information:
Virksomhedsnavn: BRITISH DEAL LINES
Stilling: Manager assistent
Arbejdsomrade: Fragt/Manager
Sted: Danmark
Lon: 7.800 kroner + bonus
Uddannelse: Mellemlang

Vi soger nye medarbejdere over hele Danmark, som har lyst til at arbejde som Manager Assistenter i vores virksomhed "BRITISH DEAL LINES"

Jobbeskrivelse:
- Du far delegeret forskellige opgaver fra din Manager et par gange om ugen.
Vi soger en ansvarsbevidst person, som kan kommunikere pa alle niveauer, med adgang til internet, og nojagtighed i udforelse af opgaverne.
Hvis du er interesseret i jobbet, bedes du sende dit CV til vores mail:
british_deallines@yahoo.com

-

CSIS stopper de uønskede e-mails i vores mailfirewall service, og har desuden taget kontakt til Yahoo med henblik på at få lukket den e-mail konto, som uforsigtige brugere skal svare tilbage til.

CSIS har i går observeret hvordan den samme bande af it-kriminelle, som tidligere har angrebet SKAT, har indledt en ny massiv phishing kampagne.

Formålet med denne kampagne, er i lighed med tidligere kampagner fra samme bande, at fiske kreditkort og andre følsomme oplysninger ud af uforsigtige danskere.

Den pågældende e-mail udsendes til vilkårlige e-mail adresser under .dk toplevel. Se skærmdump herunder:



Det pågældende link, som anvendes i denne phishing kampagne, peger på en af fire forskellige domæner oprettet til formålet. Domænerne er gengivet herunder (mellemrum indlagt af CSIS):

http://sb5ftbm89hq.m yrefund-skat.is-a-llama.com/skat/
http://ac0dvea77fz.s katrfnd.isa-geek.org/skat/
http://ax3hohi51mc.t ax-denmark.for-our.info/skat/
http://aw4mdkm88ms.s kdenmark.is-a-chef.net/skat/refund.html?=TaxRefund!

CSIS har allerede nedskudt flere af de uønskede websider og har naturligvis allerede blokeret domænerne i CSIS Secure DNS og Heimdal Pro og Corporate. Vi har inkluderet et skærmdump af phishing siden, hvor naive brugere skal lokkes til at opgive følsomme oplysninger.


CSIS anbefaler at man sletter denne type uønskede e-mails og ikke lader sig friste til at klikke på det medfølgende link.

Mange tusinde danske Facebook brugere er blevet bondefanget i en ny Likejacking kampagne.

Formålet er at lokke vilkårlige Facebook brugere til at klikke på et link der opslås af andre "likejackede" Facebook brugere. Linket flytter brugeren væk fra Facebook, hvorefter indholdet skal "likes" før det kan ses.

Likejacking er en moderne form for spam. Bagmændene tjener penge på at nysgerrige brugere flyttes ind på deres webside hvor de eksponeres for reklamebannere og diverse yderst tvivlsomme konkurrencer.

Se skærmdump herunder:


Fra samme fidusmagere er tilsvarende likejacking kampagner sendt i omløb bl.a.:

Eva Mendes bryst smutter ud!
Se DSB tog køre af sporet!
Spiser pizza på 23 sekunder
Sygeste fight i bussen!
Pige går amok efter bikini prank

Hele dårligdommen leveres via domænet:

sevideoen.net

Vi har blokeret dette domæne i CSIS Secure DNS, hvorved brugere af Heimdal Pro og Corporate også er beskyttet.

Domænet er registreret af

domain:       sevideoen.net
owner:        Kirsten Hansen
email:        kirsten@[fjernet af CSIS]il.com
address:      Moellevaenget 21
city:         Vejle
postal-code:  7100
country:      DK
phone:        +45.23664735

Samarbejde med Willis

Særligt de første måneder af 2012 er det blevet tydeliggjort, at de it-kriminelle har fået øjnene op for det danske system NemID, der bl.a. anvendes til de forskellige netbankløsninger i de danske banker. Willis er markedsledende i risikostyring og en nylig samarbejdspartner til CSIS.

Samarbejdet betyder, at Willis’ netbankforsikring kan tegnes med en rabat hvis Heimdal Pro er installeret og opretholdes på den eller de relevante computere.

Vigtige sikkerhedsopdateringer

I 2011 lancerede CSIS sikkerhedsprogrammet Heimdal, der på kort tid har fået tusindvis af brugere i mere end 70 lande. Risikoen for at få en inficeret computer stiger betydeligt hvis han eller hun ikke har installeret de nyeste opdateringer til de anvendte tredjepartsprogrammer, f.eks. Java der anvendes af NemID.

Blandt meget andet, minimerer Heimdal denne risiko betydeligt, da processen automatiseres og brugeren ikke behøver tage sig af de hundredvis af årlige opdateringer.

Læs mere om Heimdal

Læs mere om Willis’ netbankforsikring

CSIS har kigget nærmere på en Facebook app som har opnået lynhurtig popularitet blandt milllioner af brugere.

Men hvad gør at vi skal stole på denne app fra Socialcam? Det fremgår tydeligt, at den indhenter detaljerede profildata inklusiv brugerens e-mail adresse. Derudover slår den beskeder op på dine venners væg. 

Et eksempel herunder:



Ja, umiddelbart ligner det jo endnu en likejacking kampagne men bag denne gemmer sig faktisk en Facebook applikation:


CSIS anbefaler at man udviser forsigtighed med at acceptere applikationer på Facebook. De kan ofte udtrække data men samtidig, på dine vegne, poste beskeder på venner og bekendtes væg. Denne app indsamler desuden din e-mail adresse. Det kan undre hvad formålet er, da man jo udelukkende føler sig friste til at se en video ...

CSIS har kontaktet folkene bag Socialcam for at spørge ind til denne konkrete kampagne.

Uanset hvad du gør, så sørg for at læs (eller lade dig stille drukne) i deres servicevilkår:
http://socialcam.com/terms_of_service

Der er blevet frigivet Proof of Concept (PoC) kode der demonstrerer en autentifikationssårbarhed i MySQL. Der er tale om en kritisk sårbarhed der omfatter stort set alle MySQL og MariaDB installationer. Sårbarheden har fået tildelt CVE-2012-2122.

Det pågældende PoC gør det nemt for enhver angriber at opnå root til en MySQL installation.

PoC er gengivet herunder:

#!/usr/bin/python
import subprocess

while 1:
subprocess.Popen("mysql -u root mysql --password=blah", shell=True).wait()


Der er tale om triviel udnyttelse, da angriberen kan skyde direkte efter root kontoen med en gentag "connect". Der kan herigennem nemt afprøves ~300 kombinationer på en brøkdel af et sekund. Det efterlader password beskyttelsen stort set ikke funktionel.

Som en mulig workaround på denne sårbarhed anbefaler CSIS at man modificerer "my.cnf" filen, så der begrænses adgang til kun at omfatte det lokale system. Ændringen skal gennemføres under "[mysqld] og "bind-address" parameteret til "127.0.0.1" (localhost). Husk at genstarte MySQL service for at ændringerne træder i kraft.