Știri
Știri din categoria Securitate cibernetică
O vulnerabilitate din Apple Pay poate permite plăți fără deblocarea iPhone-ului, dar scenariul de abuz rămâne greu de pus în practică și afectează doar o combinație specifică de setări și carduri, potrivit Mobilissimo.
Problema este legată de funcția „Express Transit”, folosită pentru plăți rapide în transportul public, care permite achitarea fără Face ID sau cod PIN. O demonstrație realizată de YouTuberul Veritasium, în colaborare cu MKBHD, arată că pot fi efectuate plăți prin Apple Pay chiar dacă telefonul este blocat.
Conform explicațiilor din material, atacul presupune folosirea unui dispozitiv NFC modificat care interceptează comunicarea dintre iPhone și terminalul de plată. Datele sunt apoi redirecționate către un alt aparat care finalizează tranzacția la un sistem real de plată, „păcălind” telefonul că se află într-un context de transport public.
Din perspectiva utilizatorilor și a comercianților, miza este că un mecanism gândit pentru viteză (plată fără autentificare) poate deveni o suprafață de atac în anumite condiții, chiar dacă nu vorbim despre un scenariu ușor de replicat „din mers”.
Mobilissimo notează că riscul este considerat „foarte scăzut”, pentru că atacul funcționează doar dacă sunt îndeplinite mai multe condiții, inclusiv:
Alte tipuri de carduri, precum Mastercard sau American Express, nu ar fi afectate, potrivit aceleiași surse. Vulnerabilitatea ar fi cunoscută încă din 2021, dar a fost considerată puțin relevantă în practică.
În eventualitatea unor tranzacții neautorizate, utilizatorii ar beneficia de protecția oferită de Visa, care „de regulă” permite recuperarea sumelor pierdute dacă incidentul este raportat la timp, mai arată materialul.
Recomandate
Un „ocol” de securitate vechi din 2021 ar putea permite extragerea a 10.000 de dolari (aprox. 46.000 lei) de pe un iPhone blocat , într-un scenariu controlat, prin păcălirea telefonului să inițieze o plată NFC ca și cum ar fi vorba de un terminal de transport public, potrivit 9to5Mac . Miza pentru utilizatori și pentru ecosistemul de plăți este că vulnerabilitatea ar fi rămas neadresată până azi, deși a fost expusă inițial în 2021. Cum funcționează metoda și de ce contează Materialul pornește de la un videoclip publicat de canalul YouTube Veritasium , care descrie o breșă „de nișă” ce ar permite inițierea unei plăți NFC de pe un iPhone blocat. Descoperirea este atribuită profesorilor Ioana Boureanu și Tom Chothia. Mecanismul descris se bazează pe inducerea în eroare a iPhone-ului, astfel încât acesta să creadă că un terminal de plată este, de fapt, un terminal de transport în comun care folosește funcția Apple „ Express Transit ” (plată rapidă pentru transport, fără deblocarea telefonului). Videoclipul mai arată cum ar fi depășite și alte măsuri de protecție Apple, pentru a ajunge la o sumă de 10.000 de dolari într-un cadru controlat. Limitări: când se aplică și când nu Conform articolului, vulnerabilitatea ar funcționa doar dacă utilizatorul are setat un card Visa ca opțiune „Express Transit” în setările iPhone-ului. Nu s-ar aplica pentru Mastercard sau alți emitenți. Apple a transmis către Veritasium că problema ar avea la bază o preocupare din partea Visa. La rândul său, Visa a spus că deținătorii de carduri sunt protejați de o promisiune de „răspundere zero” (zero liability), care ar acoperi eventualele pierderi dacă vulnerabilitatea ar fi exploatată, dar a caracterizat scenariul drept „foarte puțin probabil” în condiții reale, chiar dacă este posibil într-un mediu strict controlat. Context: actualizări de securitate, dar o problemă rămasă deschisă 9to5Mac notează că Apple livrează frecvent actualizări de securitate pentru iPhone și le documentează public, însă această vulnerabilitate specifică ar fi persistat din 2021 și ar fi rămas necorectată până în prezent, conform celor prezentate în videoclip. Cei interesați pot vedea demonstrația în materialul video menționat de 9to5Mac: https://youtu.be/PPJ6NJkmDAo?si=svppI45wqbDhV1lu . [...]
O vulnerabilitate din modul „ Express Transit ” al Apple Pay poate permite debitări de pe un iPhone blocat , însă riscul practic pentru utilizatori rămâne redus, în special din cauza condițiilor greu de îndeplinit, potrivit WinFuture . Problema vizează funcția Apple Pay „Express Transit” pentru transportul public, concepută să permită plata rapidă la turnicheți fără autentificare (fără Face ID sau cod PIN), pentru a nu încetini fluxul de călători. În scenariul descris, atacatorii folosesc un cititor NFC modificat care interceptează comunicarea dintre telefon și terminal, apoi redirecționează datele către un al doilea dispozitiv care execută tranzacția la un terminal real. În paralel, cititorul „păcălește” iPhone-ul că se află la un turnichet de transport public, ceea ce menține ocolirea autentificării. De ce contează: ocolirea autentificării, dar doar într-un caz îngust Demonstrația a fost prezentată de canalul Veritasium într-un clip pe YouTube, în care, într-un cadru de test, s-a reușit transferul a 10.000 de dolari (aprox. 46.000 lei) de pe telefonul blocat al lui Marques Brownlee. Totuși, materialul subliniază că pentru un atac reușit trebuie să se alinieze circumstanțe „extrem de improbabile”. Condițiile menționate pentru ca frauda să funcționeze includ: în Apple Wallet să fie setată o card Visa pentru modul rapid (Express) în transportul public; atacul să implice contact fizic prelungit cu telefonul (nu este suficientă o atingere scurtă, de tip „trecere pe lângă buzunar”); existența unui complice care să opereze simultan un terminal real de plată. În plus, metoda nu ar funcționa cu alte scheme de plată, precum Mastercard sau American Express, deoarece folosesc protocoale de criptare diferite. Impact operațional: expunere mai ales pentru turiști, nu pentru utilizarea curentă din România/Germania WinFuture notează că sistemul nu este disponibil în prezent în Germania, însă turiștii care călătoresc în orașe mari precum Londra sau Paris ar putea intra în contact cu acest tip de plată la transportul public. Cu alte cuvinte, expunerea ține mai degrabă de contexte specifice (călătorii și infrastructură de transport compatibilă), nu de utilizarea zilnică generală a plăților contactless. O problemă veche, evaluată ca risc scăzut Vulnerabilitatea ar fi documentată în cercetarea de securitate IT încă din 2021, iar Apple și Visa ar fi analizat-o la acel moment, fără să o remedieze, pe motiv că relevanța practică este redusă. Visa evaluează probabilitatea acestui tip de fraudă ca fiind „extrem de mică”, iar în cazul unor debitări neautorizate ar urma să se aplice, conform companiei, politica de „zero răspundere”, cu rambursarea sumelor de regulă fără complicații, dacă incidentul este raportat la timp. [...]
Ocolirea rapidă a noilor avertizări din macOS arată limitele protecțiilor bazate pe „fricțiune” pentru utilizatori : autorii atacurilor de tip ClickFix au găsit deja o metodă prin care evită promptul din Terminal introdus de Apple în macOS Tahoe 26.4, potrivit 9to5Mac . Apple a introdus recent în Terminal un avertisment care apare când utilizatorul lipește comenzi potențial malițioase, măsură menită să perturbe ClickFix – o tehnică de infectare care se bazează pe inginerie socială și care, conform articolului, a devenit principalul mecanism de livrare a malware-ului pe Mac. Doar că, la câteva săptămâni, apar deja „ocoliri” în teren. Ce este ClickFix și de ce contează pentru companii ClickFix nu este o familie de malware în sine, ci o metodă de livrare: utilizatorul este păcălit să lipească și să ruleze cod malițios. „Încărcătura” (payload) livrată este, de regulă, un infostealer (malware care fură date) sau un troian, cum ar fi Atomic Stealer , menționat în material. Contextul important pentru mediul de business este că această tehnică a câștigat tracțiune după ce Apple a îngreunat în 2025 ocolirea Gatekeeper în macOS Sequoia: utilizatorii nu mai puteau deschide simplu aplicații nesemnate/nenotarizate printr-un click dreapta, fiind trimiși în Settings > Privacy pentru pași suplimentari. Consecința: instalatoarele false de tip DMG au fost lovite, iar atacatorii s-au reorientat către metode „mai ieftine și mai rapide”, care evită Gatekeeper fără certificate de semnare. Cum este evitat acum Terminalul în macOS Tahoe 26.4 Conform unui articol publicat de Jamf Threat Labs (citat de 9to5Mac), o variantă nouă ClickFix ocolește complet Terminalul și, implicit, avertizarea de lipire introdusă de Apple. Mecanismul descris: utilizatorul ajunge pe o pagină web falsă cu tematică Apple (exemplu: „Reclaim disk space on your Mac”); pagina include un buton „Execute”; apăsarea butonului declanșează în browser o schemă de URL applescript:// , care cere deschiderea Script Editor cu un script deja precompletat; cu încă un click, scriptul rulează. Pentru că nu mai există pasul de lipire în Terminal, noul prompt din macOS Tahoe 26.4 „nu are ocazia” să apară. Pe 26.4, Script Editor afișează totuși un avertisment de tip „unidentified developer” înainte de salvarea scriptului, dar dacă utilizatorul îl ignoră, scriptul se execută, descarcă o comandă curl ofuscată și livrează o variantă nouă de malware de tip Atomic Stealer, potrivit descrierii din material. Implicații operaționale: „fricțiunea” nu oprește ingineria socială Episodul sugerează o problemă recurentă pentru organizațiile care folosesc Mac la scară: controalele care adaugă pași suplimentari (prompts, avertizări) pot fi eficiente împotriva unor fluxuri standard de infectare, dar sunt vulnerabile când atacatorii mută interacțiunea în alte aplicații sau mecanisme (în acest caz, Script Editor și scheme de URL). Materialul descrie situația ca parte dintr-un „joc” continuu de tip „pisica și șoarecele” între Apple și autorii de malware, în care atacatorii adaptează rapid tehnicile pentru a menține rata de succes a infectărilor. [...]
Peste trei sferturi dintre țările europene își sprijină funcții critice de securitate pe cloud american , ceea ce le expune la riscul unei întreruperi de la distanță a accesului la date și servicii („ kill switch ”), potrivit unui raport citat de Digi24 . Miza este operațională: în scenarii de tensiuni politice sau sancțiuni, actualizările și mentenanța pot fi suspendate, iar infrastructura digitală folosită inclusiv în apărare poate deveni vulnerabilă sau indisponibilă. Raportul, realizat de think tank-ul Future of Technology Institute (FOTI) din Bruxelles, arată că sistemele de securitate națională din 23 dintre cele 28 de țări analizate (state UE și Regatul Unit) „par să se bazeze pe tehnologii americane”. Cercetarea se bazează pe informații publice de pe site-uri ale ministerelor Apărării, instituții media naționale și registre de achiziții publice din UE și Marea Britanie, pentru a identifica principalele contracte de cloud atribuite furnizorilor americani. De ce contează pentru securitate și continuitatea operațiunilor În analiza citată, „kill switch” este descris ca un mecanism care poate întrerupe accesul la date și servicii la distanță. Riscul este amplificat de faptul că, potrivit cercetătorilor, furnizorii americani ar putea fi constrânși de legislația SUA să predea date stocate în afara teritoriului american sau să suspende actualizări de întreținere și securitate ca urmare a sancțiunilor. În practică, o astfel de dependență poate afecta: continuitatea serviciilor digitale folosite în domenii sensibile, inclusiv apărare; capacitatea de a aplica rapid patch-uri (actualizări) de securitate; controlul asupra datelor și asupra lanțului de furnizare tehnologic (cine poate opri, modifica sau condiționa accesul). Cine este cel mai expus, potrivit raportului FOTI clasifică 16 dintre țările studiate ca fiind „expuse unui risc ridicat” din cauza unui potențial „kill switch” din partea SUA. Printre acestea sunt menționate Germania, Polonia și Regatul Unit, descrise ca trei dintre principalele puteri militare din Europa. Doar Austria (care nu este membră NATO) este clasificată ca având un risc „atenuat”, potrivit raportului. „Cloud suveran”, dar sub aceleași constrângeri În contextul preocupărilor privind suveranitatea digitală, unele state caută soluții naționale sau europene. Digi24 notează că această tendință a determinat companiile americane să promoveze servicii de cloud „suverane”, despre care susțin că ar reduce controlul Washingtonului. Raportul contestă însă eficiența acestei etichete, argumentând că dependențele rămân, inclusiv prin aplicabilitatea legislației americane asupra companiilor și prin riscul de a opri actualizările de securitate în anumite contexte. Precedentul invocat: Ucraina și accesul la servicii Ca exemplu, articolul amintește că anul trecut SUA au întrerupt accesul Ucrainei la anumite servicii, inclusiv imagini satelitare furnizate de compania americană Maxar, după un schimb tensionat între președinții Donald Trump și Volodimir Zelenski. Katja Bego (Chatham House) a descris acel episod drept „un adevărat semnal de alarmă”. În Franța, ministrul forțelor armate, Catherine Vautrin, a spus că raportul arată că „suveranitatea este o problemă majoră” și a indicat că, în cadrul actualizării legii programării militare (LPM), există finanțare pentru spațiu, argumentând că „spațiul înseamnă informație, comunicare”. „Suveranitatea este o problemă majoră.” [...]
Ransomware-ul Payouts King își crește șansele de a trece de protecțiile endpoint folosind mașini virtuale ascunse. Potrivit BleepingComputer , atacatorii abuzează de emulatorul QEMU ca „reverse SSH backdoor”, rulând mașini virtuale (VM) pe sistemele compromise pentru a ocoli soluțiile de securitate instalate pe gazdă, care nu pot inspecta conținutul din interiorul VM-urilor. Miza operațională pentru companii este că această tehnică mută o parte din activitatea malițioasă „în afara razei” instrumentelor clasice de detecție de pe stații și servere. În VM-uri, atacatorii pot executa încărcături (payload-uri), pot stoca fișiere malițioase și pot crea tuneluri de acces la distanță prin SSH, inclusiv cu redirecționare de porturi, ceea ce complică investigația și răspunsul la incident. Ce au observat cercetătorii și cum este folosit QEMU Cercetătorii Sophos au documentat două campanii în care QEMU a fost folosit ca parte din arsenalul atacatorilor, inclusiv pentru colectarea credențialelor de domeniu, notează publicația, trimițând la analiza Sophos . STAC4713 (observată prima dată în noiembrie 2025) a fost asociată cu operațiunea Payouts King. STAC3725 (observată în februarie) exploatează vulnerabilitatea CitrixBleed 2 (CVE‑2025‑5777) în instanțe NetScaler ADC și Gateway. În campania STAC4713, Sophos indică faptul că actorul malițios creează un task programat numit „TPMProfiler” care pornește o VM QEMU ascunsă cu privilegii SYSTEM. Sunt folosite fișiere de disc virtual camuflate ca baze de date și fișiere DLL, iar accesul este menținut prin tuneluri SSH și port forwarding. VM-ul rulează Alpine Linux 3.22.0 și include un set de unelte menționate de Sophos, precum AdaptixC2, Chisel, BusyBox și Rclone. Pentru acces inițial, cercetătorii au observat utilizarea unor VPN-uri SonicWall expuse, iar în atacuri mai recente exploatarea unei vulnerabilități SolarWinds Web Help Desk (CVE-2025-26399). Vectori de acces inițial: de la VPN expus la inginerie socială în Teams În incidente mai recente atribuite actorului, Sophos descrie și alte căi de intrare: într-un atac din februarie ar fi fost folosit un Cisco SSL VPN expus, iar în martie atacatorii s-au dat drept personal IT și au convins angajați, prin Microsoft Teams, să descarce și să instaleze QuickAssist. „În ambele situații, actorii au folosit binarul legitim ADNotificationManager.exe pentru a încărca lateral un payload Havoc C2 (vcruntime140_1.dll) și apoi au folosit Rclone pentru a exfiltra date către o locație SFTP la distanță”, arată Sophos. Separat, un raport Zscaler publicat în această săptămână susține că Payouts King este probabil legat de foști afiliați BlackBasta, pe baza unor metode similare de acces inițial (spam bombing, phishing prin Microsoft Teams și abuz de Quick Assist), potrivit Zscaler . De ce contează pentru apărarea endpoint: semnale de detecție recomandate Întrucât soluțiile de securitate de pe sistemul gazdă nu pot scana în interiorul VM-urilor, Sophos recomandă organizațiilor să urmărească indicatori care pot trăda prezența QEMU și a tunelurilor folosite pentru control la distanță, inclusiv: instalări neautorizate de QEMU; task-uri programate suspecte care rulează cu privilegii SYSTEM; redirecționări de porturi SSH neobișnuite; tuneluri SSH către exterior pe porturi neuzuale. În campania STAC3725, după compromiterea dispozitivelor NetScaler, atacatorii ar fi livrat o arhivă ZIP cu un executabil malițios care instalează un serviciu („AppMgmt”), creează un utilizator local cu drepturi de administrator (CtxAppVCOMService) și instalează un client ScreenConnect pentru persistență. Ulterior, este descărcat un pachet QEMU care rulează o VM Alpine Linux ascunsă folosind o imagine de disc „custom.qcow2”, iar uneltele sunt instalate și compilate manual în interiorul VM-ului (inclusiv Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute și Metasploit). Pentru echipele IT și de securitate, mesajul practic este că investigarea unui incident de ransomware nu mai poate presupune automat că „totul se vede” la nivelul sistemului de operare gazdă: apar tot mai des scenarii în care activitatea critică se mută într-o mașină virtuală ascunsă, iar detecția trebuie să includă și urme de virtualizare, tunelare și persistență la nivel de sistem. [...]
ANAF cere contribuabililor să nu ofere date personale sau bancare la telefon , pe fondul unor apeluri frauduloase în care persoane se prezintă drept inspectori ai Direcției Generale Antifraudă , potrivit Economica . Miza este una operațională: astfel de tentative de „ vishing” (fraudă prin apeluri telefonice) pot duce la compromiterea datelor și la pierderi financiare pentru persoane și firme. ANAF transmite că inspectorii Antifraudă nu solicită telefonic informații personale sau financiar-bancare și recomandă ca aceste date să nu fie divulgate „niciunui interlocutor necunoscut”. Ce trebuie făcut dacă primiți un astfel de apel Instituția indică folosirea formularului unic de contact de pe site-ul ANAF, disponibil la http://www.anaf.ro/asistpublic , pentru a trimite informațiile care pot fi observate în timpul apelului, inclusiv: numărul de telefon de la care a fost primit apelul; data și ora apelului; caracteristici ale vocii apelantului care pretinde că reprezintă ANAF. Ce se întâmplă cu sesizările ANAF precizează că datele și indiciile primite sunt incluse în sesizări către organele de cercetare penală, pentru investigarea unor posibile fapte de uzurpare a calității oficiale (pretinderea unei funcții publice fără drept). [...]
