Agregátor RSS

VMware už nechce být pouze dodavatelem softwarových nástrojů pro ty, kdo chtějí stavět cloudy. Nyní jeden takový veřejný cloud spouští také.

Everything you wanted to know but were afraid to ask

Analysis  Why does Bitcoin work? Fraudsters should have left it in cinders years ago, and might have done, if it wasn’t for two things: spam and the Byzantine Empire.…

Včerejší vystoupení šéfa Fedu před Kongresem mělo na trzích tolik pozornosti, jako nová napínavá detektivka. Akcie nejprve v reakci na jeho slova vystřelily prudce vzhůru, nakonec ale skončily v záporu.

竜巻や地震などの自然災害は、米国では珍しくはありません。残念なことに、5 月 20 日の月曜日、オクラホマシティ郊外のムーアが巨大竜巻に襲われ、多くの犠牲者を出しました。スパマーは自然災害を利用して詐欺を行います。シマンテックセキュリティレスポンスは、今回の竜巻に関連するスパムメッセージが Symantec Probe Network に届いていることを確認しています。メッセージの見出しに使われている単語の組み合わせとしては、次のものが上位を占めています。

• Tornado - hits - Oklahoma（竜巻 - 直撃 - オクラホマ）
• Massive - Tornado（巨大 - 竜巻）
• Huge - Tornado（巨大 - 竜巻）
• Tornado - survivors（竜巻 - 生存者）

図 1: オクラホマシティの竜巻を悪用したスパム活動
 

次のようなヘッダーのスパム攻撃が見つかっています。

件名: People Killed After Violent Tornado Hits Oklahoma（凶暴な竜巻がオクラホマ州を直撃し死者が発生）

差出人: Hottestxxx<TornadoHitsOklahoma@[削除済み]>

スパマーは、被災者を支援するよう求めるスパムメールを送信して、支援活動を装っています。大きな事故や事件に関するニュースを探しているときには、十分に注意してください。特に、寄付や救済基金の要請には気を付ける必要があります。信頼できる安全なサイトを利用するようにしてください。

今後数日の間に悪質な攻撃やその他のスパム活動が増えることが予想されます。迷惑メールを受信しても、疑わしいリンクをクリックしたり、添付ファイルを開いたりしないでください。また、ウイルスやオンライン詐欺から個人情報を保護するために、セキュリティソフトウェアを最新の状態に保つようにしてください。シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、24 時間 365 日の態勢でこの傾向の監視を続けています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Operátoři nesouhlasí s podmínkami chystané soutěže o volné frekvence. Mohou tak aukci napadnout u soudu, což by vedlo k několikaměsíčnímu zdržení příchodu nového operátora.

Japonské dluhopisy se od půli května vyhouply o 30 b.b. nahoru (0,9%), což komplikuje snahy nastartovat ekonomiku masivní monetárním impulsem.

Nová technologie ohebného elektronického papíru Mobius má na trh dorazit už letos. Tvůrce grafického formátu GIF tvrdí, že se jeho název celou dobu vyslovoval špatně. A připravte se na 13palcové notebooky s rozlišením 3 200 × 1 800 pixelů.

Další články k tématu:
• KVIK: Windows 8.1 zdarma, Skype šmíruje odkazy a Sony nahradí sešity
• Google odtajnil nejdražší notebook se skvělým displejem, Chrome OS a 4G

Vítězem klání na středoevropských devizových trzích se včera stal maďarský forint. Česká koruna naopak včera oslabila.

電子メールアカウントを支配できれば、相当に大きな力を手に入れられるのではないでしょうか。他人に私的な電子メールを読まれたからといって気にしない人もいるかもしれませんが、電子メールを読まれることだけが問題なのではありません。もちろん、ハッキングしたアカウントの電子メールを嗅ぎ回って、秘密を明らかにするような攻撃はこれまでもたくさんありました。嫉妬深い配偶者が浮気の証拠を探しているとか、もっとシリアスなケースとしては産業スパイが重要な取引に関する情報を追い求めているとか、攻撃の理由はさまざまです。あるいは、ハッキングしたアカウントを利用して持ち主になりすまし、アカウントに登録されている連絡先にソーシャルエンジニアリングメッセージを送るといった攻撃もあるでしょう。

現在、電子メールアカウントは単に電子メールを送受信するためだけのものではありません。Microsoft 社や Google 社など、無料サービスプロバイダの多くが、電子メールアカウントに付随したサービスを数多く提供しています。こうしたアカウントにアクセスできれば、そこにアップロードされたプライベート写真などにもアクセスできるようになるかもしれません。攻撃者が電子メールアカウントに侵入して裸の写真などを見つけ、持ち主を恐喝したという事件も何件か起こっています。ほとんどの人は、そんな写真をアップロードするほど愚かではないでしょう。しかし、さまざまなサービスを備えた現在の統合クラウドストレージでは、パスワードファイル、ライセンスファイル、税務記録、パスポートのスキャン画像、仕事の書類など、あらゆる種類のファイルが電子メールアカウントの下に格納されている可能性があります。

電子メールの影響力は、対象となる範囲が広い分、これより大きいかもしれません。多くのオンラインサービスでは、電子メールアドレスをユーザー名として使用しています。そのため、電子メールアドレスとパスワードが知られてしまうと、電子メールプロバイダ以外のさまざまなアカウントへのアクセスを攻撃者に許してしまいかねません。複数のサービスでパスワードを使い回していない場合でも、多くのサービスでは、電子メールからパスワードをリセットできる機能が提供されているからです。電子メールアカウントさえ掌握すれば、どのようなパスワードが使われていても、他のサービスのパスワードリセットメールを利用して、別の多くのサービスにアクセスできてしまいます。

データ侵害によって電子メールアドレスやパスワードが漏えいするたびに、他の攻撃者がこの情報を利用して新しい攻撃を仕掛けます。通常、彼らはまず同じパスワードで電子メールアカウントにアクセスできないかどうかを調べます。

もちろん、攻撃者はあらゆるサービスに興味があるわけではありません。ソーシャルメディアアカウントが自由に操られてしまうのは（特に通信社に勤めているような人の場合）、不愉快な事態かもしれません。多くの人にとってはそれほど大きなダメージはないかもしれませんが、企業の場合は話が別です。アカウントに何かあれば、ブランドイメージが損なわれる可能性があります。昨年大きく報道された、Wired のマット・ホーナン（Mat Honan）記者のケースでは、ハッカーによって iCloud アカウントにアクセスされ、Apple 社製の複数デバイスのデータがワイプ（消去）されてしまいました。こうなると面倒ですが、追加のセキュリティ手段を導入すればリスクを軽減することができます。

サービスの中には、攻撃者の興味を引くものもあります。たとえば、商品やサービスをオンラインで注文できる企業の場合、企業は登録済みのクレジットカードに課金したり、アカウント所有者に請求書を送ったりできます。金融サービスやオークション、支払いサービスなどは、ハッカーが真っ先に調べるサービスです。アカウント所有者にとって、他人に操作されたくないサービスはたくさんあります。企業がさまざまな機能を追加すればするほど、電子メールアカウントを保護することはより重要になります。たとえば、Google 社は最近、Google ウォレットを Gmail に統合することを発表しました。これにより、電子メールに画像を添付するように、電子メールアカウントから送金できるようになります。電子メールにお金を添付することも可能です。ということは、攻撃者もそうできる可能性があるのです。

こうした攻撃を防ぐために、Google 社はサービスプロバイダとしては最初期に 2 要素認証を一般に導入しました。続いて、Apple 社を初めとする他のサービスプロバイダも、2 要素認証やアウトオブバンド認証を取り入れ始めました。これらの認証方式では、事前に登録したモバイルデバイスやワンタイムパスワード（OTP）生成アプリケーションにコードが送られます。このソリューションは、パスワードよりも安全にアカウントを保護できるうえ、公開されている情報から簡単に類推できてしまうような「セキュリティの質問」を答えさせる方法よりも格段に優れています。

こういった新しい認証方式が提供されているのに利用しないと、パスワードさえ必要としない攻撃に対して脆弱なままになります。このような攻撃はめったにはありませんが、2013 年に Apple 社のパスワードリセット機能が一時停止されたときのように、問題が生じる可能性は常にあります。このとき、Apple 社は迅速に対応して問題を解決しましたが、2 要素認証に登録していたユーザーはその間、保護されていました。また、攻撃者がクロスサイトリクエストフォージェリ（CSRF）攻撃を使ってアクティブなセッションをハイジャックし、電子メールアカウントを再設定するというケースも何度かあります。たとえば、以前には、ある Web サイトが転送フィルタを Gmail アカウントに追加して、すべての電子メールを別のアドレスに転送するという単純な攻撃がありました。もちろん、Google 社はこの問題を迅速に修正し、アカウントのセキュリティを強化しました。現在では、新しいフィルタが追加されると、警告メッセージが表示されるようになっています。しかし、サービスを使用しない間はアカウントからログアウトするようにというアドバイスは、あまり実効性がないため、ユーザーがこうした攻撃を防ぐのはなかなか難しいでしょう。

メインで使用している電子メールアカウントには、他のサービスに使用していない独自の強力なパスワードを設定してください。また、電子メールアカウントに新しいセキュリティ機能が導入されていないか、常にチェックするようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Phishers are trying everything they can to improve their chances of harvesting user credentials. They are known for experimenting with different fake social media applications in a desperate move to lure users. Recently, we found a few examples of some new fake apps.

In the first example, the phishing site used an image of a girl along with the Facebook Like button. After clicking the button, users are prompted for their Facebook login credentials in order to “like” the photo. After the credentials are entered, the phishing site acknowledges the login and asks users to click another Like button. The button is placed beside a fake number indicating the number of likes already gained. The phishing site was hosted on servers based in Amsterdam, Netherlands.

Figure 1. Facebook Like button with a picture of a girl

 

Figure 2. Login credentials required to” like” the picture

 

Figure 3. The Like button along with the number of likes already gained

 

The second example is a phishing site spoofing the Facebook login page that claimed to have several new features for Indian users. The phishing site called itself “Chehrakitab” which is Hindi for “Face Book”. Phishing sites, like the current example, that are designed to target Indian users have been consistently written poorly. The Facebook 2013 Demo phishing is a good example. A description given on the phishing page explained that the site is under construction although users can still login. Phishers appear to be contemptuous of Facebook as they mentioned in the logo that it’s wasting people’s lives. The phishing site was hosted on a free Web hosting site. If users fell victim to the phishing site, phishers would have successfully stolen their information for identity theft.

 

Figure 4. Phishing site pretending to be the Indian version of Facebook

 

Internet users are advised to follow best practices to avoid phishing attacks:

• Do not click on suspicious links in email messages
• Do not provide any personal information when answering an email
• Do not enter personal information in a pop-up page or window
• Ensure the website is encrypted with an SSL certificate by looking for the padlock, “https”, or the green address bar when entering personal or financial information
• Use comprehensive security software, such as Norton Internet Security or Norton 360, which protects you from phishing scams and social network scams
• Exercise caution when clicking on enticing links sent through email or posted on social networks

Man on - in the middle, claims club

Provider Ticket Zone is continuing a joint investigation with Brentford Football Club after it emerged that card details used to buy tickets for the League One playoff final last weekend were subsequently used for fraudulent purchases.…

A fuel distribution firm in North Carolina lost more than $800,000 in a cyberheist earlier this month. Had the victim company or its bank detected the unauthorized activity sooner, the loss would have been far less. But both parties failed to notice the attackers coming and going for five days before being notified by a reporter.

Organized cyber thieves began siphoning cash from Mooresville, N.C. based J.T. Alexander & Son Inc. on the morning of May 1, sending money in sub-$5,000 and sub-$10,000 chunks to about a dozen “money mules,” people hired through work-at-home job scams to help the crooks launder the stolen money. The mules were paid via automated clearing house (ACH) payment batches that were deducted from J.T. Alexander’s payroll account.

The attackers would repeat this process five more times, sending stolen funds via ACH to more than 60 money mules. Some of those mules were recruited by an Eastern European crime gang in Ukraine and Russia that I like to call the “Backoffice Group.” This same group has been involved in nearly every other cyberheist I have written about over the past four years, including last month’s $1.03 million theft from a nonprofit hospital in Washington state.

David Alexander, J.T. Alexander & Son’s president, called the loss “pretty substantial” and “painful,” and said his firm was evaluating its options for recouping some of the loss. The company has just 15 employees that get paid by ACH payroll transactions every two weeks. At most, J.T. Alexander’s usual payroll batch is around $30,000. But in just five days, the thieves managed to steal more than a year’s worth of employee salaries.

The company may be able to recoup some of the loss through insurance: J.T. Alexander & Son Inc.’s policy with Employer’s Mutual Casualty Company (EMC) includes a component that covers cyber fraud losses, but the coverage amount is far less than what the victim firm lost.

“They’ve got some specific coverage, but unfortunately the amount of coverage they’ve got is not going to cover anywhere near the amount of money they lost,” said Jim Mitchell, an adjuster for EMC.

According to J.T. Alexander & Son, the company’s bank – Peoples Bancorp of North Carolina Inc., a state-chartered bank with $1.1 billion in assets and 22 branches across the state — had just upgraded its security system a month prior to the cyberheist. Before the upgrade, the company’s controller had to enter a login ID, password and then enter a six-digit code that was read by an automated system at the bank that would call them.

“Also, it used to be we could only access the bank’s site from my computer,” said Kristie Williams, who works in accounting and finance for J.T. Alexander. “The way [the bank] changed it, anybody anywhere could access it as long as they had my login, and apparently that’s what happened because the logins came from a different IP address than our normal one. I think they made it more convenient, but less secure. I wasn’t aware all of that had changed.”

Peoples Bank did not return calls seeking comment.

These types of cyberheists — in which neither the victim organization nor its financial institution notice the theft for days on end — can be especially costly. It’s difficult to assign blame for such incidents to either the victim or its bank — there were failures on both parts, to be sure — but typically the liability for these breaches lies with the victim. That’s why it’s vitally important for small businesses that wish to bank online to assume they are targets of organized crime and to take the necessary precautions, wherever possible.

If you run a small business and manage your company’s accounts online, please take a moment to read my list of recommendations here: Online Banking Best Practices for Businesses.

The malware is connected to Indian cyberespioange operation and has been active since at least December 2012, researchers say

Utilities' cyber defense efforts said to be rapped by legislators, Congressional report finds

Even the most innocuous security processes used for traditional IT systems could spell disaster in an ICS

Telecom firm TerraComm seeks to sue Scripps-Howard journalists for Google searches that uncovered sensitive info freely available online

'Kill chains' are long and attack-stopping weak links are many

AUSCERT 2013  First the good news: for all the known vulnerabilities that exist in the SCADA world, exploiting them in a way that can actually “shut down a power plant” is harder than most people (particularly including media) realise.…

Twitter, in a much-needed move to keep its users safer from cyberattacks, is introducing a more secure login process.

Stricter security testing, sanctions and legal counterhacking needed

China is responsible up to 80 per cent of US intellectual property theft, which a government report has estimated accounts for $300bn in lost exports, roughly the equivalent of the current American trade balance with Asia.…

Report finds utilities vulnerable, threatened

The US electricity grid is under near constant attack from malware and cyber-criminals, yet most utility companies implement only the barest minimum of security standards, according to a new report released by Congressmen Ed Markey (D-MA) and Henry Waxman (D-CA).…