Mens visjoner av ferie shoppers dans i forhandlernes hoder, de visjoner er også på hodet av online marauders.
Netto rovdyr stikker til svindel som har gjort dem penger hele året.
“I løpet av de siste 12 månedene har vi sett en retur til vedlegg med ufarlige makroer i dem,” sa Kevin Epstein, vice president of advanced security og styresett
Proofpoint.
“Makro-angrep er en slags Tilbake til Fremtiden øyeblikk,” fortalte han TechNewsWorld.
I motsetning til makro-angrep i det siste, men dette er sofistikert, mc-tokt.
Åpne en bakdør
For eksempel, et mål du vil motta en faktura med uskarp tekst. Det er uklart for sikkerhetsmessige årsaker, målet er fortalt, og personen blir bedt om å klikke på bildet for å aktivere en makro som vil avklare det. Målet ser på fakturaen, så lukker det.
All den stund, makro aktivert for å avklare tekst nedlastinger annen fil. Denne filen vil ikke skade sin vert — så det vil ikke ta opp eventuelle alarmer fra forsvarssystemer — men det laster ned en tredje fil som vil gjøre skade.
“Vi har nådd et nivå der kriminelle er å begrave sine kode dypere og dypere for å hindre gateway-systemer fra å finne det,” Epstein sa. “Teknologien har blitt bedre til å lure vaktene ved porten slik at du kan snakke til en person som vil åpne døren for deg.”
Ordrebekreftelser er også en fruktbar mål for cyberthieves på denne tiden av året.
“Hvis du får en ordrebekreftelse for noe du ikke tror du har bestilt, ikke klikk på noe,” Epstein advart. “Hver enkelt lenke i det vil infisere deg.”
Vokt dere for Hyggelige Mennesker
Hvis du ikke kan huske hvis du har kjøpt noe, Epstein råder kommer til forhandlerens hjemmeside og gå inn på bekreftelse nummer, eller ringe kundeservice telefonnummer på nettsiden.
“Ikke stol på telefonnummeret i e-postbekreftelsen. Disse tallene går ikke der du tror de går,” advarte han.
“Hvis du ringer telefonnummeret, vil det være noen veldig hjelpsomme folk på linjen som vil tilby å spore ordren for deg. Alt de trenger er ditt kredittkortnummer,” Epstein fortsatte.
Du vil også finne noen vennlige folk på de falske kundeservice nettsteder dukker opp på denne tiden av året.
Svindlere “se kundeservice vekselsvirkningene, og som en bank eller airlines kundeservice går i frakoblet modus for dagen, vil du se en kunde service-agent som kommer fra en litt annen Twitter-eller Facebook-konto for å nå ut til deg og spør,” Gjorde at problemet bli løst?’” Epstein sa.
“Vokt dere for meget vennlige folk,” sa han.
En Tid for Utpressing
Alert svindel også vises oftere. Den varsler erklærer at datamaskinen har blitt infisert med skadelig programvare, og anbefale deg å gå til en nettside eller ringer et gratisnummer for å få hjelp. Ofte resultatet er en infisert datamaskin, stjålet personlig informasjon, og en utpressing etterspørsel som må betales hvis du noen gang ønsker å sett på dataene igjen.
“Det blir mer vanlig å dukke opp et varsel på en Web-side,” sa Andrew Sudbury, CTO i
Abine.
“Det er ikke noe nytt, men jeg føler at jeg ser det mer enn jeg gjorde i fjor,” fortalte han TechNewsWorld.
Ransomware fortsetter å være populære. Med så mye shopping blir gjort online, blir nektet online tilgang til med mindre du hoste opp noen bitcoins for å gjenvinne kontroll over datamaskinen din kan være en særlig smertefull på denne tiden av året.
Det kan være smertefullt for bedrifter, også.
“Det har vært en uptick av utpressing mot bedrifter. Det er noe som har mye momentum til det,” sa Joe Loveless, senior security services manager på
Neustar.
“Dette er falskt organisasjoner som kontakt med bedrifter og si, ‘Betaler oss X antall i bitcoin og vi vil ikke angripe deg.’ Vi så noen nyere eksempler der bedrifter hadde betalt og ble angrepet likevel,” sa han til TechNewsWorld
“På denne tiden av året, selskaper som ikke har en masse ventetid for å håndtere det, så det kan være veldig problematisk,” Loveless lagt til.
Er Målrettet Mot Mobile
Data tyver også er forventet å målrette mobiltelefoner denne høytiden.
“Det er dette rådende visdom der ute enn en mobiltelefon er tryggere. Selv apper som er legitime apper kan bli svekket hvis du bruker feil nettside,” Proofpoint er Epstein sa.
“Det er mange gratis-apper der ute som later til å være én ting, og kan gjøre andre ting,” la han til.
Når du laster ned en app, sørg for at den har en personvernerklæring og at utgiveren er et kjent utgiver.
“Det kan hende du ønsker å åpne nettleseren og skriv inn utvikler navn i en søkemotor for å se om det har en ekte nettsted, ikke bare en Twitter-feed,” Epstein sa.
I tillegg, når du starter en app, en skjerm dukker opp for å vise hva appen ber om tillatelse til å gjøre på telefonen din. Ta deg tid til å lese den, fordi appen kan bli spurt om å gjøre ting som ikke er relatert til sine viktige funksjoner.
“Et klassisk eksempel er lommelykt-appen, som du, når du installerer det, ønsker tillatelse til å få tilgang til din adresse bok,” Epstein bemerket. “Det er en lommelykt-app. Hvorfor vil du ha tilgang til din adresse bok?”
Demper på Shopping Sprees
I murstein og mørtel verden denne høytiden, forbrukere ved hjelp av betalingskort vil ha et ekstra lag av beskyttelse. De fleste av dem har fått utstedt kort som har en chip på dem for å sikre transaksjoner som utføres med plast.
“Kredittkort-bransjen er å rulle ut mer sikker fysiske kredittkort, men de er ikke gjør noe ennå for online transaksjoner,” Abine er Sudbury sa.
“Hvis noen stjeler dine kredittkort-nummer, er det vanskeligere for dem å gjøre en fysisk kopi av kortet og bruker det på en Sears eller Mål, men i disse dager, de fleste av kredittkort svindel ser ut til å skje på nettet hvor som chip ikke hjelpe deg i det hele tatt,” la han til.
Noen kredittkort utstedere har søkt å dempe kredittkortsvindel ved å tillate brukere å opprette en-gang-bruke kreditt kort nummer. De lar deg generere et nummer som kan brukes for en enkelt transaksjon. Dersom tallet er kompromittert, det spiller ingen rolle, fordi dens verdi som ville ha blitt brukt.
Disse ordningene har ikke blitt svært populære fordi de er tungvinte å bruke. Abine tilbyr en slik tjeneste som er enkel å bruke, men det krever et abonnement til selskapets premium-tjenesten, og hver transaksjon koster $2, som ville være en avskrekkende for noen planlegger en online shopping spree.
Teknologi Som Henger Etter
Ikke bare vil den nye PIN-og-chip, eller EMV, kort tilbyr internett-kunder uten ekstra beskyttelse, men mange virkelige verden shoppere vil ikke få noe tillegg beskyttelse heller, siden 70 prosent av bedrifter ikke er EMV-standarden.
“For hver leverandør som ikke har en av de nye kredittkort maskiner, de er fortsatt leser spore data den gamle måten, og de er utsatt for å bli svindlet den gamle måten,” sa Alex Heid, sjef for forskning på
SecurityScorecard.
Klamrer seg til gamle-teknologi er et problem i hele detaljhandelen, SecurityScorecard nevnt i en rapport utgitt i forrige uke.
Forhandlere fortsette å stole på eldre programvare-systemer og feilkonfigurert, Web-applikasjoner til å behandle transaksjoner, og lagrer kundedata, rapport sa.
For detaljsalg, legacy-Internett-programmet teknologi er i hyppig bruk på store nettverk, med mange fortsatt har checkout prosesser drevet av ColdFusion, Klassisk ASP og PHP fortsatte det. Angriperne vet sårbarhet for disse teknologiene godt.
“Ett hundre prosent av Web-applikasjoner som ble undersøkt fra hver forhandler hatt noen ganske alvorlige problemer,” Heid observert.
“Den neste store brudd på forhandlere vil trolig komme gjennom sine Web-applikasjoner,” sa han. “De er å kjøpe utstyr for å prøve og redusere det, men en forvirrende angrep med nok tid, kan ormen sin vei gjennom.”
Brudd Dagbok
- Nov. 23. Villmark Hotel and Golf Resort i Wisconsin Dells avslører et datainnbrudd å påvirke dem som har brukt sin betalingskort på feriestedet mellom 9. Mars og juni 8.
- Nov. 23. Pearson VUE kunngjør at skadelig programvare har svekket sin credential management system. Angrepet rammet et begrenset antall brukere, og inntrenging ikke invadere alle trygd eller betalingskort informasjon, selskapet sa. Pearson kunder er Cisco og F5.
- Nov. 24. Amazon sender en e-post til et ukjent antall brukere informere dem om deres passord har blitt tilbakestilt fordi de kan ha blitt kompromittert.
- Nov. 24. AMERIKANSKE Federal Trade Commission filer anke av Administrative Court Dommer Michael D. Chappell beslutning om å avvise byråets klage mot LabMD for ikke i tilstrekkelig grad beskytter sine kunders data, noe som resulterer i sine ulovlige eksponering.
- Nov. 24. En femte tenåring er arrestert i STORBRITANNIA i forbindelse med data brudd på TalkTalk. Brudd tilgang til opplysninger om 28,000 skjult betalingskort kontoer og 21,000 bank kontoer, så vel som e-postadresser, navn og telefonnumre på 1,2 millioner kunder.
- Nov. 24. US Air Force er å undersøke hvordan klassifiserte data dukket opp i en Forbes magazine historien om en tvist mellom institutt, Boeing og Lockheed Martin over en kontrakt for å bygge neste generasjon, langtrekkende bombefly, Reuters rapporter.
- Nov. 24. Tidligere Sony Vice President Amy Heller filer en sak mot sin tidligere arbeidsgiver og andre som påstås å være uaktsomhet, ærekrenkelser, krenkelse av privatlivets fred og tilsiktet infliction av emosjonelle plager. Hun har vært i stand til å lande en jobb siden han forlot Sony på grunn av en falsk rapport som er offentliggjort i en data brudd på selskapet, sier hun. Rapporten beskylder henne for å stjele en $90 mus.
- Nov. 24. Lahey Sykehus og Medisinsk Senter, godtar å betale $850,000 til US Health and Human Services Office for Sivile Rettigheter for å avgjøre en sak som involverer FORSKRIFTER brudd koblet til tyveri av en laptop med beskyttet helseinformasjon på 599 folk på det.
- Nov. 25. En extortionist som kaller seg “Hacker Buba” har vært lekke til Internett-kontoen din informasjon til kunder av en bank ligger i emiratet Sharjah for mer enn en uke, Gulfnews.com rapporter. Buba løfte om å holde lekker konto informasjon før han har betalt 3 millioner dollar i bitcoin.
- Nov. 27. Sveitsiske domstolen straffedømte, i absentia, Herve Falciani, 43, som lekket konfidensiell informasjon fra en Sveitsisk datterselskap av HSBC som utløste en bølge over hele verden for skatteunndragelse prober. Han har nektet å forlate sitt hjemland Frankrike for å vises før den Sveitsiske domstolen. Retten dømte Falciani til fem år i fengsel.
- Nov. 27. VTech Holdings kunngjør en uautorisert part tilgang til sin Læring Lodge app store database på Nov. 14. Selskapet har ikke avsløre omfanget av brudd, men den personlige informasjonen på nesten 5 millioner kroner foreldre og mer enn 200 000 barn ble utsatt, Hovedkort rapportert.
Kommende Sikkerhetshendelser
- Dec. 4. Personvern og Europa: Debattere “Retten til å bli Glemt,” Trans-Atlantiske Data Flyter, og Verdens Tøffeste Ny personvernlovgivning. Noon ET. Harvard Law School campus, Wasserstein Hall, Room 2009. RVSP til Harvard University Berkman Center for Internet & Society nødvendig.
- Dec. 7-9. Gartner Identity & Access Management Summit. Caesars Palace, 3570 Las Vegas Blvd. South, Las Vegas. Registrering: $2,695; offentlig sektor, kr 2.225.
- Dec. 8. Trusselen Jakt med Bro, Sqrrl og Reservoar Labs. 2 pm ET. Webinar sponset av Sqrrl og Reservoar Labs. Gratis registrering.
- Dec. 9. Hvordan Vet Du Egentlig om Din DDoS-Beskyttelse Løsning Vil Stoppe et DDoS-Angrep? 11 am CET. Webinar sponset av Arbor Networks. Gratis registrering.
- Dec. 12. Trusler og Forsvar på Internett. Noon ET. Northeastern University, Burlington Campus, 145 Sør-Bedford St. Burlington, Massachusetts. Registrering: $6.
- Jan. 16. B-Sider New York City. John Jay College of Criminal Justice, 524 Vest 59th St., New York. Gratis.
- Jan. 18. B-Sider Columbus. Leger Sykehus Vest, 5100 W Bred St., Columbus, Ohio. Registrering: $25.
