Gaza cybergang: ריגול קיברנטי ברחבי המזרח התיכון

ב-30 באוקטובר פורסם מחקר של חברת Kaspersky בדבר קבוצת פושעים קיברנטיים בשם Gaza cybergang, הפעילה משנת 2012 נגד מטרות ברחבי המזרח התיכון וצפון אפריקה ובכללן גורמי ממשל, תשתיות קריטיות, תקשורת ופעילים שונים, בעיקר לשם ריגול.

מהמחקר עולה כי במהלך שנת 2017 הקבוצה ממשיכה בפעילותה נגד גורמי ממשל, וכן פעילה גם נגד גורמי תשתיות קריטיות מתחום האנרגיה כמו גם השימוש בחולשה CVE 2017-0199 החל ביוני 2017, בהשוואה לשימוש שעשתה עד כה בכלי תקיפה פשוטים ונפוצים. חולשה זו מאפשרת הרצת קוד ממסמך של Microsoft office במידה ובמערכת ההפעלה במחשב הקורבן לא בוצעו עדכוני אבטחה.

במרבית המקרים הנוזקה נשלחה לקורבן תוך שימוש במתקפת הנדסה חברתית במהלכה נשלחו לקורבנות קבצים מכווצים בעלי כותרות בנושאים הומניטריים ופוליטיים, היכולים לעניין גורמים שונים ברחבי המזרח התיכון;

בנוסף נשלחו קישורים להורדה, אשר עם פתיחתם התבצעה התקשורת לכתובת מוגדרת מראש במטרה להוריד את הנוזקה עצמה, אשר משעה שהותקנה במחשבי הקורבן, היא מאפשרת לתוקף גישה מלאה לתכולת המחשב ותעוד כל הפעילות בו.

עוד עולה כי קבוצה זו אינה בוחרת מטרות בצורה מדוקדקת אלא תרה אחר מודיעין ממגוון מקורות במזרח התיכון.

ארה"ב: אזהרה מפני הונאות מקוונות המנצלות את ההוריקן Harvey

ב-28 אוגוסט פרסם US-CERT אזהרה מפני פעילות קיברנטית זדונית המבקשת לנצל את העיסוק התקשורתי בהוריקן Harvey.

ההודעה מנחה את המשתמשים לנקוט במשנה זהירות בעת טיפול בהודעות דוא"ל שהתקבלו העוסקות בהוריקן זה, והכוללות קבצים או קישורים, גם אם נראה שמקורות הודעות אלו אמינים. תוך התייחסות לבקשות תרומה, לכאורה מצד ארגוני צדקה שונים, לטובת הנפגעים. ארועי הונאה המתרחשים לאחר אסונות טבע חמורים.

עוד מפרטת ההודעה מספר הנחיות להתנהגות מקוונת זהירה ובכלל זה אי פתיחת קישורים וקבצים בלתי מוכרים, עדכון תוכנות המחשב השונות, ובדיקת מהימנות כל הודעת דוא"ל שכזו באמצעות פניה ישירה, לדוגמא באמצעות מספר טלפון מוכר ואמין.

האם בוצעה הונאת הנדסה חברתית נגד משתתפים ב-OpIsrael 2017 ?

ב-30 במרץ פרסמה חברת Digital Shadows כי עלה בידה לגלות עדויות להפצת נוזקה מסוג RAT נגד מחשביהם של האקטיביסטים אשר אמורים לקחת חלק במתקפה המקוונת המכונה OpIsrael 2017זאת על מנת להשיג גישה ואף שליטה על המחשבים והטלפונים החכמים של אלו מבין המשתתפים בתקיפה אשר יתקינו כלים אלו.

החברה איתרה חשבון טוויטר אשר פרסם הודעה, תוך שימוש בתגיות הרלבנטיות לארוע, ובה קישורים לכאורה לשני כלים באמצעותם ניתן לבצע מתקפה מסוג מניעת שרות ולקחת חלק בארוע זה. 

החברה גילתה שני קבצים, האחד עבור Windows, אשר אוחסן בעמוד שנפרץ, והאחר עבור מכשירים מבוססי אנדרואיד, אשר אוחסן באתר שיתוף הקבצים Sendspace

DDOS

ההודעה זכתה לציטוטים רבים ברשת החברתית ובכללן תגובה זו: Capture33

 

האקרים הודיים במתקפת הנדסה חברתית ברחבי אסיה

ב-20 נובמבר פורסם כי שתי קבוצות האקרים הודיות – Shakti Campaign ו-VVV – תקפו מוסדות בטחון וממשל בפקיסטאן ומדינות נוספות במערב אסיה. מקורות במדינות אלו אף חושדים כי "האקרים אלו יתכן ואף קיבלו את ברכת ממשלת הודו".

המתקפות בוצעו בשיטת spear phishing במהלכן נשלחו הודעות דוא"ל ובהן צרופות לגורמים שונים וזאת על מנת להשיג גישה בלתי מורשית למידע מסווג. עוד נמסר כי המדינות שהותקפו התלוננו בפני הודו בערוצים רשמיים.

פענוח קוד הטלפון וזיהוי ביומטרי באמצעות תמונת סלפי

ב-19 אוקטובר פורסם כי תוכנה בשם “corneal key logger” יכולה לחלץ קוד גישה של כל טלפון חכם באמצעות תמונת הסלפי של בעלי המכשיר.

חוקר אבטחה גרמני, Jan Krissler, הידוע גם בכינויו Starbug חשף כי ביכולתו לחשוף PIN Code של כל טלפון חכם, רק באמצעות תמונת הסלפי של בעלי המכשיר.

החוקר ועמיתיו הצליחו לחלץ את השתקפות מסכי הטלפונים מהאזורים הלבנים שבעיניהם של המצולמים בתמונות הסלפי ומהן חילצו את תבניות ה-PIN באמצעות טכניקות של רזולוציית תמונה אולטרה גבוהה. הוא הציג את הממצאים בכנס Biometrics 2015 בלונדון.

הצוות עשה שימוש בשיטה זו על מנת לחלץ את נתוני קשתית העין של קנצלרית גרמניה, מרקל, תוך שימוש בתמונה שצולמה במסיבת עיתונאים. לדבריו, ניתן להדפיס תמונות אלה על גבי עדשות מגע ובכך לפרוץ כל מכשיר זיהוי ביומטרי.

הוא התמקד בדבריו על החולשות שבטכנולוגיות הזיהוי על פי טביעות אצבע ותווי הפנים ואמר כי אלו, ביחד עם זיהוי על פי קשתית העין, מהוות 90% מהשוק הביומטרי, דבר ההופך כל אחד לפגיע, תוך הדגמת יכולות נוספות של זיהוי וחילוץ מידע הקשור בטביעות אצבע וקשתית העין והצהרתו כי ביכולתו להתל בכל קורא טביעות אצבע תוך שעתיים.

הוא סיכם את דבריו בהצהרה כי כיום הטכנולוגיה הביומטרית חלשה ויש לשפרה, אולם הוא הדגיש כי ביומטריה היא העתיד של האימות.

מתקפת פישינג מתוחכמת על פעילים איראניים ברחבי העולם

ב-27 באוגוסט פורסם מחקר מפורט של Citizenlab  החושף מסע של מתקפת פישינג מצד גורמים ככל הנראה באיראן נגד הפזורה האיראנית בחו"ל ולפחות נגד פעילה מערבית אחת, אולם נמסר כי התקבלו דיווחים, אותם אין ביכולתם לאשר, בדבר קורבנות של מתקפות דומות בתוככי איראן. המתקפה נועדה לעקוף את שכבת האבטחה נוספת ב-Gmail – Two factor authentication – תוך הסתמכות על שיחות טלפון ממספר טלפון בבריטניה בהן המתקשרים דיברו אנגלית או פרסית וגילו ידע רב על פעילות הקורבן.

ההנחה היא כי פעילות זו חולקת תשתית ושיטות שבוצעו בתקיפות קודמות הקשורות בשחקנים מדינתיים איראניים.

התקפה 1 – מטרת מתקפה זו להשיג הן את סיסמתו של המשתמש והן את הקוד החד פעמי של שכבת האבטחה הנוספת (2FA). זאת באמצעות הצגת עמוד מזוייף לקורבן המחקה את עמוד כניסת ה-2FA של ג'ימייל. התוקף אוסף בדרך זו את המידע שמזין הקורבן ונכנס מיידית לחשבון הדוא"ל שלו, נסיון הכניסה של הקורבן יוצר קוד 2FA אמיתי הנשלח לקורבן, אותו מצליח התוקף ליירט.

תחילתה של המתקפה במשלוח מסרון לקורבן הנחזה להיות הודעת אזהרה מגוגל לפיה יש נסיון חדירה לחשבונו;

2

מטרתו ככל הנראה לגרום לחשש בקרב הקורבן ולהניע אותו לנסות ולהכנס לחשבון הדוא"ל שלו.

פחות מעשר דקות לאחר קבלת המסרון, מקבל הקורבן הודעת דוא"ל הנחזית להיות עדכון מאת ג'ימייל לפיו נעשה לכאורה נסיון להכנס לחשבונו מאיראן. בהודעה הוכנסו מבעוד מועד פרטיו של הקורבן ובכלל זה שמו, כתובת דוא"ל ותמונת הפרופיל שלו, כל זאת על מנת לעורר אמינות בקרבו ולגרום לו לשתף פעולה עם המשך התקיפה נגדו.

3

גם כתובת הדוא"ל ממנה לכאורה נשלח המסר – no-reply@support.qooqlemail.com – מטרתה לגרום למצג שווא אצל מקבל ההודעה.

הקשה על הפקד Reset Password תפתח עמוד נוסף אשר מטרתו איסוף פרטי הגישה של המשתמש, גם כאן נעשה נסיון ליצור אמינות רבה בקרב הקורבן, תוך הכללת שמו וכתובת הדוא"ל שלו בעמוד המזוייף.

4

הזנת הפרטים והקשה על Change Password תציג בפני המשתמש לכאורה את עמוד 2FA;

5

משעה שהקורבן הזין את הסיסמא בעמוד המזוייף, ינסה התוקף להכנס לחשבון הדוא"ל, דבר אשר יגרום למשלוח קוד 2FA אמיתי על ידי גוגל, משעה שהקורבן קיבל את הקוד והזינו בעמוד יכול התוקף לקחת שליטה על חשבון הדוא"ל ולשנות את פרטי הגישה ובכך למנוע את כניסתו של הקורבן לחשבונו שלו.

במקרה ובו הקורבן לא התפתה להזין את פרטיו והמתקפה נכשלה, הוא קיבל מספר מסרונים מזוייפים הנחזים להיות קודי 2FA מאת גוגל, כולם ממספרי טלפון שונים;

6

אלו נועדו כדי ליצור לחץ על המקבל ולהניעו לשתף פעולה עם המתקפה.

 

התקפה 2 – התקפה מסוג נוסף, אשר לדברי המחקר קשורה באותו התוקף, היא בעלת מאפיינים דומים, וגם בה המטרה היא לגרום לקורבן למסור את פרטי הגישה וכן את קוד ה-2FA שקיבל.

התקיפה מתחילה בשיחת טלפון שמקבל הקורבן ממספר טלפון בבריטניה, הדובר מציע לו בפרסית שיתוף פעולה אפשרי ומציין שהוא קשור בפעילויות בהן מעורב הקורבן, בנוסף מפגין התוקף ידע נרחב בפעילותו וחייו של הקורבן. בהמשך מציע המתקשר פרויקט עיסקי הקשור בפעילותו של היעד, והשיחה מסתיימת עם הבטחתו לשלוח הצעה.

זמן קצר לאחר מכן, מקבל היעד הודעת דוא"ל בחשבונו הפרטי, בו לא נעשה שימוש ציבורי, תוך שימוש בשמו של המתקשר וחיקוי הודעות של שיתוף קובץ ב-Google Drive;

7

הקשה על הקישור Document.pdf תוביל את המשתמש לעמוד כניסה מזוייף ב-Google Drive, גם כאן תוך ציון כתובת הדוא"ל ושמו של המשתמש, דבר המעיד על התאמה אישית מדוייקת של המתקפה לקורבן הספציפי.

8

הזנת פרטי הגישה בשדות הנדרשים והקשה על View Document תציג גם במתקפה זו עמוד 2FA מזוייף.

 

התקפה 3 – התקפה זו דומה לקודמתה, רק שהפעם התוקף מתחזה לאיש תקשורת. התקפה זו כוונה ספציפית נגד Jillian York, פעילה המצויה בקשרים עם ארגונים ופעילים איראניים והגורם המותקף המערבי היחיד, כמו גם היחיד שנחשף בשמו במחקר.

ג'יליאן קיבלה שיחת טלפון מבריטניה השכם בבוקר מאדם שהציג עצמו כעיתונאי ברויטרס וגילה ידע במהלך השיחה על פעילותה. הוא ציין כי ברצונו לדון עימה בכמה נושאים וברר איתה כי ברשותו כתובת הדוא"ל הנכונה שלה.

מיד לאחר השיחה, היא קיבלה מייל הנחזה להיות מהמחלקה הטכנית ברויטרס והמבטיח ראיון, אך היו בו מספר טעויות ובכלל זה באיות המילה רויטרס – Reutures.

10

כבמקרים אחרים, גם להודעה זו נלווה קישור למסמך Document.pdf המצוי לכאורה ב-Google Drive. הואיל וג'יליאן לא פתחה את הקישור, התוקף התקשר אליה והיא ענתה לו שאם ברצונו לשלוח לה מסר הוא צריך להיות כלול בגוף ההודעה.

לאחר מכן התוקף שלח הודעה נוספת והפעם בשם אחר ובה קישור למסמך מזוייף נוסף והפעם תחת שמו של גורם מערבי לכאורה – Alex Anderson – ובו אותו הקישור.

11

גם הפעם התקבלה שיחת טלפון משעה שלא נפתח הקישור כמבוקש, עד לכדי תסכול בקולו של המתקשר. בסיכומו של דבר התוקף התקשר כשלושים פעם אל ג'יליאן בהתקפה שלבסוף נכשלה מבחינתו.

זאת לצד תקיפות על חשבון הפייסבוק שלה על מנת לגרום לה לחדש את הסיסמא.

 

התוקף – מתקפות אלה מהוות השקעה רבה מצד התוקף והן מפורטות למדי מבחינת הידע על הפעילות הפרטית והציבורית של הקורבן, זאת במסע אשר נמשך מספר חודשים. בדיקה העלתה שימוש שנעשה בכתובת לכאורה של גוגל אבל בפועל, שגויה – gmail-aduse@google.com.

בדיקה העלתה שימוש בכתובת שגויה זו לשם רישום קשת נרחבת של שמות מתחם, תוך מיקוד לכאורה בתחום הפישינג.

in IP

IP Organization

Org Country
service-logins[.]com 162.222.194.51 GLOBAL LAYER BV US
logins-verify[.]com 162.222.194.51 GLOBAL LAYER BV US
signin-verify[.]com 141.105.65.57 Mir Telematiki Ltd RU
login-users[.]com 31.192.105.10 Dedicated servers Hostkey.com RU
account-user[.]com 141.105.66.60 Mir Telematiki Ltd RU
signin-users[.]com 162.222.194.51 GLOBAL LAYER BV US
signs-service[.]com 141.105.68.8 hostkey network RU

תקיפות רבות מסוות את עמוד הפישינג באמצעות ניתוב מחדש באמצעות גוגל – https://www.google.com/url?q=http%3A%2F%2Fservices-mails.com%2F[REDACTED] במקרים אחרים נעשה שימוש בכתובות הנחזות להיות של גוגל לשם מענה – qooqlemail.com. זו רשומה לפי הפרטים הבאים;

Registrant Name: Ali Mamedov

Registrant Organization: Private person

Registrant Street: versan 9, 16/7

Registrant City: Kemerovo

Registrant State/Province: other

Registrant Postal Code: 110374

Registrant Country: RU

Registrant Phone: +7.4927722884

Registrant Email: kavaliulinovich@gmail.com

כאשר בכתובת דוא"ל זו נעשה שימוש בעבר בשם מתחם אחר לצרכי פישינג – bluehostsupport.com.
עוד התגלה כי מספר הודעות דוא"ל הגיעו מכתובות דוגמת .bijan.yazdani2002@gmail.com תוך ציון העובדה כי חלק מהכתובות בהן נעשה שימוש במסע תקיפה זה מקושרות לחשבונות פעילים ברשתות חברתיות שונות.

 

המחקר מציין כי נעשתה עבודת הכנה על ידי התוקפים בטרם החלו בפעילותם וקושר פעילות זו לדוחות מחקר של תקיפות אחרות אשר פורסמו לאחרונה והקשורות לכאורה באיראן,

אך עם זאת אין המחקר מפנה אצבע ישירה כלפי גורם זה או אחר העומד מאחורי מתקפה ממוקדת ומתוחכמת זו.

הפצת הודעת דוא"ל החשודה כפעילות הנדסה חברתית

בשעות הצהריים של ה-10 יוני אותרה הודעת דוא"ל הנחשדת כמזוייפת וכנגועה בוירוס.

ההודעה התקבלה בשעה 12:43 מאת 'רננה שרביט' ומהכתובת renanasharvit@gmail.com ונושאת את הכותרת "יום רע לחיזבאללה-דיווח על עשרות הרוגים בקרבות עם דאעש.‎"

Capture4

גוף ההודעה כולל קישור לקובץ הנושא את השם 'דאעש.doc', אולם בפועל הקישור הוא לקובץ מכווץ מסוג RAR המצוי בכתובת הבאה – https://d.maxfile.ro/lhyeinfihm.rar

שימוש באתרים לחיפוש עבודה על מנת להחדיר נוזקות לארגונים

ב-29 באפריל פורסם על דבר קיומה של מתקפה מתוחכמת המבוססת דוא"ל והכוללת פישינג לצד שיטות של הנדסה חברתית וזאת על מנת להונות את המשתמשים לפתיחת מסמכים נגועים.

בהתקפה זו התוקף צרף כקורות חיים קובצי Word נגועים בנוזקות למודעות דרושים אשר נפתחו באתר CareerBuilder.com. משעה שצורפו הקבצים, השרות באתר יצר אוטומטית הודעת דוא"ל למפרסם המודעה וצרף בה את המסמך, אשר מקרה זה הכיל את הנוזקה.

אמנם במתקפה זו הפעילות היא ידנית ודורשת יותר זמן ומאמץ מצד התוקף, אולם סיכויי הפתיחה של הודעת הדוא"ל גבוהים יותר, זאת הואיל והקבצים הגיעו ממקור לכאורה בעל אמינות גבוהה; האתר בו הוצבה המודעה ואשר מרכז את הפניות שהתקבלו ושולח אותן למציבי מודעות הדרושים, כמו גם אלו הודעות דוא"ל שהמקבל מצפה להן.

foot-in-the-door-1

מתברר כי זוהי מתקפה ממוקדת בעלת היקף נמוך ביותר הכוללת פחות מעשר הודעות דוא"ל אשר נשלחו ליעדים ממוקדים ובכללם חנויות, חברות אנרגיה, רשתות שידור, חברות אשראי וספקי חשמל. זאת תוך מענה למודעות בתחומי ההנדסה והפיננסים דוגמת "אנליסט עסקי", "מפתח אתרים", "מפתח תווכה", כאשר מאפייני המשרה במודעה מספקים מידע רב ערך בדבר הכלים והתוכנות בהם נעשה שימוש בקרב קורבן התקיפה ובכך מאפשרים לתוקף להתאים את התקיפה לכל יעד בנפרד.

מהדוח שחקר את המקרה התברר כי לשם יצירת הנוזקה נעשה שימוש בכלי אשר נצפה מוצע למכירה ב-31 במאי 2013 בפורומים רוסיים בסכום של 2-3 אלף דולר.

דליפת פרטי 1.25 מיליון מקבלי פנסיה ביפן

ב-1 ביוני פורסם כי מערכת הפנסיה של יפן נפרצה וכי פרטיהם של 1.25 מיליון אזרחים דלפו, כך הודיעו הרשויות רשמית היום, בטענה כי מחשבי צוותי שרות הפנסיה היו נתונים לגישה בלתי מורשית באמצעות וירוס חיצוני.

ראש הרשות התנצל על הדליפה אשר אמר כי כללה שמות, מספרי זהות, תאריכי לידה וכתובות ןמסר כי הוקם צוות לבחינת הסיבה ומניעת השנות המקרה בעתיד.

במקביל, שר הבריאות והרווחה התנצל אף הוא על הכשלון במניעת הפריצה ואמר במסיבת עיתונאים כי הורה לרשות הפנסיה לעשות כל הנדרש להגן על הפנסיות של הציבור.

חשיפת מתקפה ממוקדת נגד חברות הובלת נפט

ב-20 במאי פורסם על מחקר חדש של חברת Panda בשם "Operation Oil Tanker: The Phantom Menace" העוסק בסכנות אשר מציב המרחב הקיברנטי למגזר הובלת הנפט.

מהמחקר עולה כי חברת האבטחה גילתה כבר בינואר 2014 התקפה מתמשכת על תובלת הנפט אשר החלה באוגוסט 2013 ונועדה לגנוב מידע ונתוני גישה (שמות משתמש וסיסמאות בשרת הדואר ובדפדפן), זאת לשם הונאת סוחרי נפט.

הדוח מגלה כי כבמקרים רבים בעבר, חדרה הנוזקה תוך שימוש ב'הנדסה חברתית' באמצעות דוא"ל אשר נשלח לעובדי חברות  במסווה של קובץ בשם Document.pdf במשקל 4,160KB, תוך שימוש בצלמית של Adobe Acrobat Reader. זאת לשם הונאת המשתמש והסוואת קובץ הפעלה אשר פורס עצמו בצורה חכמה, מוסוות ורבת שלבים עד כדי טענה כי אין ביכולת אף תוכנת אנטי וירוס לגלות פעילות זו, בין השאר בשל עקיפת ההתראות שתוכנות אנטי וירוס בוחנות והעובדה כי בפריצה לא נעשה שימוש בנוזקה כלשהי, אלא ב"כלים חוקיים וסקריפטים שונים". החדירה התגלתה רק משעה שנפתח הקובץ שהתגלה מאוחר ביותר בקרב עשר חברות שונות מתחום הובלת הנפט והגז הימית ותוכננה להתבצע מידי שעה נגד יעדים שנבחרו מראשו בקפידה.

מחבר הדוח מגלה כי בתחילה התקיפה היתה נראית כרגילה למדי ובלתי ממוקדת, אולם בחינה מעמיקה גילתה כי זו מתקפה ממוקדת ושיטתית נגד מגזר מסויים בתעשיית הנפט. מטרתה של המתקפה היתה גנבת פרטי הגישה לחשבונותיהם של המשתמשים. במרבית המקרים זיהוי מקור התקיפה הוא מאתגר בצורה יוצאת דופן, אולם עם גילוי התקיפה התגלתה גם נקודת החולשה שלה; תקשורת FTP בו נעשה שימוש לשלוח את פרטי ההרשאות הגנובים, כך יכלה החברה לזהות לטענתה כתובת דוא"ל ושם, אשר לטענתה מצויה בניגריה (על סמך מאפיינים שונים המצויינים בעמוד 9 בדוח).

משעה שהחוקרי האבטחה הצליחו להשיג גישה לשרת ה-FTP, אליו נשלח המידע שנגנב, נמצאו בו קבצים החל מאוגוסט 2013, משמעות הדבר שהתקיפה נעשתה במשך כחצי שנה מבלי שהתגלתה.

לדבריה היא מוכנה לזהות את פרטי היישות אשר עומדת מאחורי התקיפה בפני הרשויות, אולם בלא שהקורבות יתנדבו לדווח בצורה אמינה על הארוע, לא תוכלנה הרשויות לבצע חקירות ומעצרים. זאת לאור העבודה שאף לא אחת מעשר החברות שנפגעו (הדוח מציין שאחת מהן מספרד), היתה נכונה לדווח על הפריצה ולהסתכן בתשומת לב בינלאומית לחולשות ברשתות אבטחת מערכות המידע שלה.

Rombertik – נוזקה המנטרת את פעילות הדפדפן ומוחקת את קבצי המחשב עם גילויה

ב-5 במאי פורסם על דבר קיומה של נוזקה אשר גורמת להשבתת המחשב עם גילויה, אשר זכתה לשם Rombertik על ידי Cisco.

נוזקה זו מיועדת ליירט כל טקסט המוזן לדפדפן והיא מופצת באמצעות הודעות זבל ופישינג;

email-screenshot-watermarked

תוך ביצוע מספר בדיקות של הנוזקה לוודא כי לא התגלתה. התנהגות שאינה חריגה לחלק מהנוזקות, אולם ייחודה של זו בכך שהיא מנסה באופן פעיל להרוס את המחשב באופן שיטתי עם גילויה. עוד נמסר כי נעשה שימוש בנוזקה שכזו בעבר בעיקר נגד מטרות בדרום קוריאה ב-2013 ונגד סוני בשנת 2014.

עם התקנתה הנוזקה פורסת עצמה באופן שבו 97% ממנה נראה לגיטימי תוך שימוש ב-75 תמונות ו-8,000 פונקציות הטעיה בהן לעולם לא נעשה שימוש. לאחר שהיא גורמת למחיקת המידע במחשב ולאיתחולו, תוצג למשתמש ההודעה הבאה עם עליית המחשב;

carbon-copy-wm

 

טענה להונאת פישינג נגד לקוחות אמריקאן אקספרס

ב-29 במרץ פורסם על הודעת דוא"ל שנשלחה ללקוחות American Express המזהירה אותם לכאורה מפני "פעילות לא שגרתית" בחשבונם. אלו נדרשו להקיש על קישור בגוף ההודעה ולהזין את פרטיהם ופרטי חשבונם בחברה בעמוד יעודי מזוייף שהוכן לשם כך על ידי שולחי המייל, וזאת על מנת לכאורה לאבטח את חשבונם מפני פורצים.

הודעה על כך נמסרה מהלקוחות אשר קיבלו מייל זה מכתובת מזוייפת של החברה, אולם לפי שעה לא נמצאה עדות לאחר באתר החברה, בחשבון הטוויטר או הפייסבוק שלה.

הכתבה כוללת שלושה צילומי מסך אשר נטען כי היו חלק מהונאה זו;

american-express-users-hit-with-ununsual-activity-phishing-scam-1

american-express-users-hit-with-ununsual-activity-phishing-scam-2

american-express-users-hit-with-ununsual-activity-phishing-scam-3