"Cert.lv" призывает обращать внимание на адрес браузера, когда вы входите в Facebook, не включать функции "Macros" в документах, обращать внимание, кто запрашивает доступ в документах.
Сейчас ведутся особо-активные попытки захвата Facebook-страниц именно государственных учреждений и важных организаций. На выбранную страницу отправляется сообщение, или создается упоминание, которое содержит предупреждение о нарушении авторских прав или ещё какой-то жалобе на якобы мошенническое содержание страницы.
В сообщении есть ссылка, которая выглядит как страница для авторизации - чтобы избежать блокировки страницы. Их рассылают аккаунты, которые называются так, чтобы создать видимость причастности к "Facebook, вроде "Blue Check Mark Notification" или "Facebook Recovery Verified".
Если же открыть сайт по их ссылке и ввести пароль, нападавшие перехватывают права на страницу, замещают администраторов и заменяют содержание страницы разного рода рекламой.
От распространения зловредного ПО Emotet, в свою очередь, страдает сейчас строительный сектор, крупные предприятия розничной торговли, средние предприятия, а также государственные и муниципальные учреждения.
По словам Бесере, вирус отправляется по электронной почте с известного жертве адреса. К письму прикреплено приложение типа ". doc" с функцией "Macros". Если получатель открывает документ и включает функцию "Macros", вирус попадает на компьютер. Он собирает конфиденциальную информацию из оборудования жертвы, а также рассылает себя списку контактов жертвы и пытается распространиться на другое доступное в сети оборудование.
В свою очередь, третий наиболее активный тип кибератак направлен на пользователей "Microsoft Office 365". Как рассказывала Бесере, это инновационная атака, потому что злоумышленники не пытаются обманом получить данные доступа или совершить вредные действия с оборудованием жертвы, в связи с чем люди не могут защититься с помощью антивирусов.
Она пояснила, что при нападении жертве отправляется электронное письмо со ссылкой на документ общего доступа. При открытии ссылки пользователь перенаправляется на сайт "Microsoft", где должен пройти аутентификацию. Цель нападающих - присоединить учетную запись пользователя к вредоносному приложению Azure App, созданному в среде Microsoft Azure. Оно, после проверки подлинности пользователя в системе "Office 365", потребует подтверждения доступа к различным ресурсам, доступным пользователю.
Таким образом, мошенник получает доступ как к используемым жертвой услугам в среде Office 365 (электронной почте, календарю, файлам, списку контактов), так и другим программам "Microsoft" ("Skype", "SharePoint", "OneDrive", "remote Desktop"), а также ко всем приложением третьих сторон, в которых используется единый вход, например на платформе "Zoom".
Как отмечает Бесере, несмотря на то, что все запросы на использование приложений будут перечислены до добавления "Azure App", многие пользователи, не обращая внимания, утверждают запрос. Часто, для увеличения доверия, этим ставятся имена, которые ассоциируются с "Microsoft" или другими популярными сервисами.
Она добавила, что по ссылке https://account.live.com/consent/Manage каждый пользователь "Ofiice 365" может проверить, к каким приложениям "Azure App" разрешен доступ к учетной записи пользователя, и отключить приложения, которые оцениваются как нежелательные.