Știri
Știri din categoria Securitate cibernetică
ANAF cere contribuabililor să nu ofere date personale sau bancare la telefon, pe fondul unor apeluri frauduloase în care persoane se prezintă drept inspectori ai Direcției Generale Antifraudă, potrivit Economica. Miza este una operațională: astfel de tentative de „vishing” (fraudă prin apeluri telefonice) pot duce la compromiterea datelor și la pierderi financiare pentru persoane și firme.
ANAF transmite că inspectorii Antifraudă nu solicită telefonic informații personale sau financiar-bancare și recomandă ca aceste date să nu fie divulgate „niciunui interlocutor necunoscut”.
Instituția indică folosirea formularului unic de contact de pe site-ul ANAF, disponibil la http://www.anaf.ro/asistpublic, pentru a trimite informațiile care pot fi observate în timpul apelului, inclusiv:
ANAF precizează că datele și indiciile primite sunt incluse în sesizări către organele de cercetare penală, pentru investigarea unor posibile fapte de uzurpare a calității oficiale (pretinderea unei funcții publice fără drept).
Recomandate
ANAF avertizează că o nouă schemă de „ vishing ” poate duce la furt de date personale și financiar-bancare , după ce infractorii falsifică aparența unor apeluri venite din partea Fiscului, folosind inclusiv informații publice pentru a părea credibili, potrivit Biziday . Agenția Națională de Administrare Fiscală arată că, în timpul acestor apeluri, sunt folosite „date și nume publicate pe portalul anaf.ro”, însă numerele de telefon de pe care se sună „nu aparțin instituției”. Ținta este obținerea de informații sensibile, sub pretextul că apelantul ar fi inspector al Direcției Generale Antifraudă Fiscală . „Inspectorii ANAF Antifraudă NU solicită telefonic date personale sau financiar-bancare”. Ce ar trebui să facă cei contactați ANAF recomandă să nu fie divulgate informații către interlocutori necunoscuți și îi îndeamnă pe cei care au primit astfel de apeluri să depună o sesizare la adresa www.anaf.ro/asistpublic . În sesizare ar trebui incluse, dacă sunt disponibile, date observabile în timpul tentativei, precum: numărul de telefon de la care a fost primit apelul; data și ora apelului; caracteristici ale vocii apelantului, care susține că reprezintă ANAF. Agenția precizează că aceste observații și indicii vor fi transmise mai departe organelor de cercetare penală. [...]
Peste trei sferturi dintre țările europene își sprijină funcții critice de securitate pe cloud american , ceea ce le expune la riscul unei întreruperi de la distanță a accesului la date și servicii („ kill switch ”), potrivit unui raport citat de Digi24 . Miza este operațională: în scenarii de tensiuni politice sau sancțiuni, actualizările și mentenanța pot fi suspendate, iar infrastructura digitală folosită inclusiv în apărare poate deveni vulnerabilă sau indisponibilă. Raportul, realizat de think tank-ul Future of Technology Institute (FOTI) din Bruxelles, arată că sistemele de securitate națională din 23 dintre cele 28 de țări analizate (state UE și Regatul Unit) „par să se bazeze pe tehnologii americane”. Cercetarea se bazează pe informații publice de pe site-uri ale ministerelor Apărării, instituții media naționale și registre de achiziții publice din UE și Marea Britanie, pentru a identifica principalele contracte de cloud atribuite furnizorilor americani. De ce contează pentru securitate și continuitatea operațiunilor În analiza citată, „kill switch” este descris ca un mecanism care poate întrerupe accesul la date și servicii la distanță. Riscul este amplificat de faptul că, potrivit cercetătorilor, furnizorii americani ar putea fi constrânși de legislația SUA să predea date stocate în afara teritoriului american sau să suspende actualizări de întreținere și securitate ca urmare a sancțiunilor. În practică, o astfel de dependență poate afecta: continuitatea serviciilor digitale folosite în domenii sensibile, inclusiv apărare; capacitatea de a aplica rapid patch-uri (actualizări) de securitate; controlul asupra datelor și asupra lanțului de furnizare tehnologic (cine poate opri, modifica sau condiționa accesul). Cine este cel mai expus, potrivit raportului FOTI clasifică 16 dintre țările studiate ca fiind „expuse unui risc ridicat” din cauza unui potențial „kill switch” din partea SUA. Printre acestea sunt menționate Germania, Polonia și Regatul Unit, descrise ca trei dintre principalele puteri militare din Europa. Doar Austria (care nu este membră NATO) este clasificată ca având un risc „atenuat”, potrivit raportului. „Cloud suveran”, dar sub aceleași constrângeri În contextul preocupărilor privind suveranitatea digitală, unele state caută soluții naționale sau europene. Digi24 notează că această tendință a determinat companiile americane să promoveze servicii de cloud „suverane”, despre care susțin că ar reduce controlul Washingtonului. Raportul contestă însă eficiența acestei etichete, argumentând că dependențele rămân, inclusiv prin aplicabilitatea legislației americane asupra companiilor și prin riscul de a opri actualizările de securitate în anumite contexte. Precedentul invocat: Ucraina și accesul la servicii Ca exemplu, articolul amintește că anul trecut SUA au întrerupt accesul Ucrainei la anumite servicii, inclusiv imagini satelitare furnizate de compania americană Maxar, după un schimb tensionat între președinții Donald Trump și Volodimir Zelenski. Katja Bego (Chatham House) a descris acel episod drept „un adevărat semnal de alarmă”. În Franța, ministrul forțelor armate, Catherine Vautrin, a spus că raportul arată că „suveranitatea este o problemă majoră” și a indicat că, în cadrul actualizării legii programării militare (LPM), există finanțare pentru spațiu, argumentând că „spațiul înseamnă informație, comunicare”. „Suveranitatea este o problemă majoră.” [...]
Ransomware-ul Payouts King își crește șansele de a trece de protecțiile endpoint folosind mașini virtuale ascunse. Potrivit BleepingComputer , atacatorii abuzează de emulatorul QEMU ca „reverse SSH backdoor”, rulând mașini virtuale (VM) pe sistemele compromise pentru a ocoli soluțiile de securitate instalate pe gazdă, care nu pot inspecta conținutul din interiorul VM-urilor. Miza operațională pentru companii este că această tehnică mută o parte din activitatea malițioasă „în afara razei” instrumentelor clasice de detecție de pe stații și servere. În VM-uri, atacatorii pot executa încărcături (payload-uri), pot stoca fișiere malițioase și pot crea tuneluri de acces la distanță prin SSH, inclusiv cu redirecționare de porturi, ceea ce complică investigația și răspunsul la incident. Ce au observat cercetătorii și cum este folosit QEMU Cercetătorii Sophos au documentat două campanii în care QEMU a fost folosit ca parte din arsenalul atacatorilor, inclusiv pentru colectarea credențialelor de domeniu, notează publicația, trimițând la analiza Sophos . STAC4713 (observată prima dată în noiembrie 2025) a fost asociată cu operațiunea Payouts King. STAC3725 (observată în februarie) exploatează vulnerabilitatea CitrixBleed 2 (CVE‑2025‑5777) în instanțe NetScaler ADC și Gateway. În campania STAC4713, Sophos indică faptul că actorul malițios creează un task programat numit „TPMProfiler” care pornește o VM QEMU ascunsă cu privilegii SYSTEM. Sunt folosite fișiere de disc virtual camuflate ca baze de date și fișiere DLL, iar accesul este menținut prin tuneluri SSH și port forwarding. VM-ul rulează Alpine Linux 3.22.0 și include un set de unelte menționate de Sophos, precum AdaptixC2, Chisel, BusyBox și Rclone. Pentru acces inițial, cercetătorii au observat utilizarea unor VPN-uri SonicWall expuse, iar în atacuri mai recente exploatarea unei vulnerabilități SolarWinds Web Help Desk (CVE-2025-26399). Vectori de acces inițial: de la VPN expus la inginerie socială în Teams În incidente mai recente atribuite actorului, Sophos descrie și alte căi de intrare: într-un atac din februarie ar fi fost folosit un Cisco SSL VPN expus, iar în martie atacatorii s-au dat drept personal IT și au convins angajați, prin Microsoft Teams, să descarce și să instaleze QuickAssist. „În ambele situații, actorii au folosit binarul legitim ADNotificationManager.exe pentru a încărca lateral un payload Havoc C2 (vcruntime140_1.dll) și apoi au folosit Rclone pentru a exfiltra date către o locație SFTP la distanță”, arată Sophos. Separat, un raport Zscaler publicat în această săptămână susține că Payouts King este probabil legat de foști afiliați BlackBasta, pe baza unor metode similare de acces inițial (spam bombing, phishing prin Microsoft Teams și abuz de Quick Assist), potrivit Zscaler . De ce contează pentru apărarea endpoint: semnale de detecție recomandate Întrucât soluțiile de securitate de pe sistemul gazdă nu pot scana în interiorul VM-urilor, Sophos recomandă organizațiilor să urmărească indicatori care pot trăda prezența QEMU și a tunelurilor folosite pentru control la distanță, inclusiv: instalări neautorizate de QEMU; task-uri programate suspecte care rulează cu privilegii SYSTEM; redirecționări de porturi SSH neobișnuite; tuneluri SSH către exterior pe porturi neuzuale. În campania STAC3725, după compromiterea dispozitivelor NetScaler, atacatorii ar fi livrat o arhivă ZIP cu un executabil malițios care instalează un serviciu („AppMgmt”), creează un utilizator local cu drepturi de administrator (CtxAppVCOMService) și instalează un client ScreenConnect pentru persistență. Ulterior, este descărcat un pachet QEMU care rulează o VM Alpine Linux ascunsă folosind o imagine de disc „custom.qcow2”, iar uneltele sunt instalate și compilate manual în interiorul VM-ului (inclusiv Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute și Metasploit). Pentru echipele IT și de securitate, mesajul practic este că investigarea unui incident de ransomware nu mai poate presupune automat că „totul se vede” la nivelul sistemului de operare gazdă: apar tot mai des scenarii în care activitatea critică se mută într-o mașină virtuală ascunsă, iar detecția trebuie să includă și urme de virtualizare, tunelare și persistență la nivel de sistem. [...]
O vulnerabilitate din modul „ Express Transit ” al Apple Pay poate permite debitări de pe un iPhone blocat , însă riscul practic pentru utilizatori rămâne redus, în special din cauza condițiilor greu de îndeplinit, potrivit WinFuture . Problema vizează funcția Apple Pay „Express Transit” pentru transportul public, concepută să permită plata rapidă la turnicheți fără autentificare (fără Face ID sau cod PIN), pentru a nu încetini fluxul de călători. În scenariul descris, atacatorii folosesc un cititor NFC modificat care interceptează comunicarea dintre telefon și terminal, apoi redirecționează datele către un al doilea dispozitiv care execută tranzacția la un terminal real. În paralel, cititorul „păcălește” iPhone-ul că se află la un turnichet de transport public, ceea ce menține ocolirea autentificării. De ce contează: ocolirea autentificării, dar doar într-un caz îngust Demonstrația a fost prezentată de canalul Veritasium într-un clip pe YouTube, în care, într-un cadru de test, s-a reușit transferul a 10.000 de dolari (aprox. 46.000 lei) de pe telefonul blocat al lui Marques Brownlee. Totuși, materialul subliniază că pentru un atac reușit trebuie să se alinieze circumstanțe „extrem de improbabile”. Condițiile menționate pentru ca frauda să funcționeze includ: în Apple Wallet să fie setată o card Visa pentru modul rapid (Express) în transportul public; atacul să implice contact fizic prelungit cu telefonul (nu este suficientă o atingere scurtă, de tip „trecere pe lângă buzunar”); existența unui complice care să opereze simultan un terminal real de plată. În plus, metoda nu ar funcționa cu alte scheme de plată, precum Mastercard sau American Express, deoarece folosesc protocoale de criptare diferite. Impact operațional: expunere mai ales pentru turiști, nu pentru utilizarea curentă din România/Germania WinFuture notează că sistemul nu este disponibil în prezent în Germania, însă turiștii care călătoresc în orașe mari precum Londra sau Paris ar putea intra în contact cu acest tip de plată la transportul public. Cu alte cuvinte, expunerea ține mai degrabă de contexte specifice (călătorii și infrastructură de transport compatibilă), nu de utilizarea zilnică generală a plăților contactless. O problemă veche, evaluată ca risc scăzut Vulnerabilitatea ar fi documentată în cercetarea de securitate IT încă din 2021, iar Apple și Visa ar fi analizat-o la acel moment, fără să o remedieze, pe motiv că relevanța practică este redusă. Visa evaluează probabilitatea acestui tip de fraudă ca fiind „extrem de mică”, iar în cazul unor debitări neautorizate ar urma să se aplice, conform companiei, politica de „zero răspundere”, cu rambursarea sumelor de regulă fără complicații, dacă incidentul este raportat la timp. [...]
O pană globală Starlink a lăsat 24 de nave fără echipaj ale Marinei SUA fără control timp de aproape o oră, expunând un risc operațional major al dependenței Pentagonului de o infrastructură comercială unică , potrivit TechRadar , care citează o relatare Reuters și documente interne ale Marinei. Incidentul a avut loc în timpul unor teste desfășurate în august anul trecut, în largul coastei Californiei. Conform Reuters, cele 24 de ambarcațiuni autonome (descrise ca „bărci rapide fără scaune”) au rămas „plutind” în derivă pentru cea mai mare parte a unei ore, după ce o pană globală a afectat rețeaua de internet prin satelit Starlink. Ce arată testele: vulnerabilități de conectivitate și limitări la operare în „roi” Problemele nu s-ar fi limitat la acel episod. În săptămânile premergătoare penei din august, testele ar fi indicat o conectivitate intermitentă, iar în aprilie 2025 alte exerciții ale Marinei SUA, care au implicat atât nave fără echipaj, cât și drone aeriene, ar fi fost perturbate deoarece Starlink „s-a chinuit să ofere o conexiune solidă” în condițiile unui necesar mare de lățime de bandă, generat de numărul de platforme implicate. Reuters notează că un raport al Marinei a consemnat explicit limita apărută la utilizarea simultană a mai multor vehicule: „Dependența de Starlink a expus limitări sub încărcare cu mai multe vehicule.” În același timp, sursa menționează că Starlink nu a fost singurul punct de eșec: au existat și probleme legate de radiourile folosite, precum și de un sistem de rețea furnizat de Viasat. De ce contează: dependență de un furnizor comercial greu de înlocuit Miza operațională este că astfel de sisteme trebuie să rămână robuste și fiabile dincolo de faza de testare, mai ales dacă sunt folosite în contexte reale. TechRadar punctează, pe baza relatării Reuters, că Starlink este atractiv pentru guvernul SUA deoarece este un serviciu relativ ieftin și disponibil comercial, susținut de o constelație de aproximativ 10.000 de sateliți pe orbită joasă (LEO – sateliți aflați la altitudini mai mici, care reduc latența comunicațiilor). În material este citat Clayton Swope, director adjunct al Aerospace Security Project (Center for Strategic and International Studies) , care argumentează că, fără Starlink, guvernul SUA nu ar avea acces la o constelație globală de comunicații pe orbită joasă. Tot acolo, expertul Bryan Clark (Hudson Institute) rezumă compromisul acceptat în practică: „Accepți aceste vulnerabilități pentru beneficiile pe care ți le oferă omniprezența [Starlink].” Alternativele: există, dar nu la aceeași scară (încă) TechRadar ridică întrebarea alternativelor, dar concluzia desprinsă din exemplul invocat este că opțiunile comparabile ca amploare sunt limitate. Ca reper, publicația indică proiectul Amazon de internet prin satelit, prezentat ca rival al Starlink: serviciul era așteptat „la final de 2025”, însă disponibilitatea este menționată acum pentru „mijlocul lui 2026”. În plus, TechRadar citează Engadget, care a relatat că Amazon viza 1.600 de sateliți pe orbită până în iulie 2026, dar acum ar estima „mai puțin de jumătate” din acest nivel, în jur de 700, până atunci. În prezent, ar avea 241 de sateliți operaționali, mult sub scara Starlink. Reacții oficiale: fără comentarii Potrivit Reuters, Pentagonul nu a oferit răspunsuri la întrebările despre testele cu drone, iar Marina SUA și SpaceX au refuzat să comenteze. [...]
Atacatorii nord-coreeni mizează pe „angajări” false pentru a infecta Mac-uri din companii și a fura criptomonede , iar lanțul de infectare se bazează pe inginerie socială și o aplicație care imită Zoom, potrivit TechRadar , care citează o analiză a experților Microsoft. Gruparea descrisă de Microsoft ca Sapphire Sleet (cunoscută și ca APT38) ar viza afaceri din Occident cu malware de tip „infostealer” (care fură date), cu scopul de a obține criptomonede. Analiștii Microsoft susțin că activitatea ar fi în desfășurare „cel puțin din 2020” și că folosește una dintre tehnicile recurente ale grupării: oferte de job false. Cum funcționează atacul: recrutare fictivă și „Zoom” fals Schema pornește de la construirea unei aparențe credibile pe rețele sociale: companii inexistente, „recruiteri”, anunțuri de angajare și alte elemente menite să facă abordarea să pară legitimă. Țintele sunt contactate prin e-mail sau canale sociale și li se propune un job, inclusiv cu promisiuni de compensații atractive. În etapa următoare, „recruiterii” cer victimei să intre într-un apel video, însă aplicația folosită nu ar fi Zoom, ci o versiune falsă, malițioasă, care instalează pe dispozitiv un infostealer. De ce contează pentru companii: perimetrul tehnic e ocolit prin oameni Într-o declarație pentru The Register , Sherrod DeGrippo, director general pentru informații despre amenințări la Microsoft, explică de ce atacatorii preferă să „atace omul”, nu sistemul: „Ingineria socială le permite atacatorilor să ocolească perimetrele întărite convingând utilizatorii să acționeze în numele lor, transformând un om în vulnerabilitate. Este ieftină, greu de „peticit” și se scalează bine.” „Utilizatorii sunt condiționați să accepte interacțiuni de suport la distanță, precum descărcarea de instrumente, urmarea instrucțiunilor, apăsarea de ferestre de confirmare. Atacatorii exploatează această familiaritate pentru a face acțiunile malițioase să pară de rutină, reducând scepticismul victimei în momentul critic al compromiterii.” Din perspectivă operațională, mesajul este că riscul nu se limitează la „un malware pe Mac”, ci la un scenariu în care un angajat poate fi convins să instaleze singur software malițios, în afara fluxurilor standard de aprobare IT. Ce s-a schimbat pe macOS: protecții automate la nivel de platformă Campania ar viza utilizatori macOS, iar Microsoft spune că a contactat Apple, care a adăugat „protecții la nivel de platformă” pentru a detecta și bloca malware-ul și infrastructura asociată. Actualizările ar fi fost livrate automat, astfel încât utilizatorii nu ar trebui să intervină manual. Pentru organizații, asta reduce o parte din risc, dar nu elimină vectorul principal descris în material: convingerea utilizatorilor să instaleze o aplicație „de lucru” care, în realitate, este un fals. Contextul indică faptul că măsurile tehnice trebuie dublate de controale interne privind instalarea de aplicații și de proceduri clare pentru interacțiuni de tip recrutare/colaborare la distanță. [...]
