Phishing on Untrusted Network

SANS ISC Diary - Simple bypass of the link preview function in Outlook Junk folder

Jan Kopriva — Thu, 14 May 2026 08:10:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na jednoduchou možnost obcházení mechanismu pro zobrazování cílů odkazů ve složce Nevyžádaná pošta (Junk) v nástroji Outlook…

Digitální mlha - Ep#05 - Stačí npm install a máš malware. Axios útok, Chat Control a státní operace

Jan Kopriva — Tue, 07 Apr 2026 20:50:00 +0100

Se začátkem měsíce tu máme již tradičně i novou epizodu podcastu Digitální Mlha, který připravuje CZECH CYBER TV ve spolupráci s Nettles Consulting. Najít jí můžete na YouTube a podíváme se v ní mj. na útok s pomocí dodavatelského řetězce s pomocí kompromitace balíčků HTTP klientu Axios, policejní zásah proti phishingové platformě Tycoon2FA, kybernetické útoky v souvislosti s vojenským konfliktem mezi USA a Íránem i řadu dalších témat…

SANS ISC Diary - How often are redirects used in phishing in 2026?

Jan Kopriva — Mon, 06 Apr 2026 10:50:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na rozsah zneužívání mechanismů pro otevřené přesměrování ve phishingových zprávách v prvním kvartálu roku 2026…

SANS ISC Diary - A React-based phishing page with credential exfiltration via EmailJS

Jan Kopriva — Fri, 13 Mar 2026 08:35:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingový portál implementovaný formou zajímavé jednostránkové aplikace vytvořené s pomocí frameworku React…

SANS ISC Diary - Another day, another malicious JPEG

Jan Kopriva — Mon, 23 Feb 2026 15:35:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na nedávnou e-mailovou kampaň šířící Remcos RAT s pomocí vícefázového infekčního řetězce zahrnujícího JScript downloader, PowerShell spouštěný s pomocí WMI a .NET assembly načtenou z JPEG souboru…

SANS ISC Diary - A phishing campaign with QR codes rendered using an HTML table

Jan Kopriva — Wed, 07 Jan 2026 10:35:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingovou kampaň v níž byly QR kódy obsažené v e-mailových zprávách vytvořené s pomocí HTML tabulek namísto obrázků…

(Prozatím) bezejmenný podcast - Ep#01 - Soukromí pod tlakem, miliardy za scam reklamy a AI hackeři na prahu autonomie

Jan Kopriva — Wed, 17 Dec 2025 19:00:00 +0100

Spolu s CZECH CYBER TV jsme začali v Nettles Consulting pracovat na nové sérii podcastů věnované aktuálnímu dění z oblasti kybernetické bezpečnosti. První epizodu najdete již nyní na YouTube a podíváme se v ní na současný stav návrhu Chat Control, podvodné reklamy na sociálních sítích a ve vyhledávačích, nedávné výpadky služeb Cloudflare, nově dostupné modely hrozeb vytvářené Ministerstvem průmyslu a obchodu určené českým organizacím i řadu dalších aktuálních témat…

SANS ISC Diary - Use of CSS stuffing as an obfuscation technique?

Jan Kopriva — Fri, 21 Nov 2025 10:50:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingovou stránku, v níž bylo - zřejmě v zájmu obfuskce - využito velké množství zbytného CSS kódu…

SANS ISC Diary - A phishing with invisible characters in the subject line

Jan Kopriva — Tue, 28 Oct 2025 10:55:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na netradiční phishingovou zprávu, která obsahovala “neviditelné” znaky ve svém předmětu…

SANS ISC Diary - A quick look at sextortion at scale: 1,900 messages and 205 Bitcoin addresses spanning four years

Jan Kopriva — Tue, 02 Sep 2025 10:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Text příspěvku je věnovaný analýze přibližně 1.900 sextortion zpráv z let 2021-2025 a zajímavým statistickým údajům, které z této analýzy vyplývají…

SANS ISC Diary - Do sextortion scams still work in 2025?

Jan Kopriva — Wed, 06 Aug 2025 11:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm, zda jsou sociotechnické útoky typu “sextortion” stále efektivní i v roce 2025…

Postřehy z bezpečnosti: další česká nemocnice zasažena kyberútokem

Jan Kopriva — Mon, 07 Jul 2025 07:50:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na kybernetický útok na nemocnici v Nymburku, rizika spojená s QR kódy ve phishingových e-mailech nebo zákaz působení čínské společnosti Hikvision v Kanadě…

SANS ISC Diary - Phishing e-mail that hides malicious link from Outlook users

Jan Kopriva — Wed, 04 Jun 2025 12:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavý phishingový e-mail, který při otevření v nástroji outlook skrývá odkaz na podvodnou stránku…

SANS ISC Diary - Another day, another phishing campaign abusing google.com open redirects

Jan Kopriva — Wed, 14 May 2025 12:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na aktivně zneužívanou zranitelnost ve službě Google Travel, která umožňuje škodlivým aktérům vytvářet odkazy směřující na www.google.com, po jejichž otevření bude uživatel přesměrován na libovolné URL…

SANS ISC Diary - It's 2025... so why are obviously malicious advertising URLs still going strong?

Jan Kopriva — Mon, 21 Apr 2025 10:50:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingovou kampaň využívající reklamní služby společnosti Google pro přesměrování obětí na podvodné stránky a také na všeobecné bezpečnostní nedostatky internetových reklamních mechanismů…

SANS ISC Diary - A Tale of Two Phishing Sites

Jan Kopriva — Fri, 28 Mar 2025 13:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na dvě phishingové stránky vycházející ze stejného phishing kitu, které se významně lišily (nejen) mírou obfuskce…

SANS ISC Diary - An unusual 'shy z-wasp' phishing

Jan Kopriva — Mon, 27 Jan 2025 12:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na netradiční phishingovou zprávu, v níž byly použity dvě různé techniky pro obcházení bezpečnostních filtrů, spočívající v dělení textu s pomocí netištěných znaků…

SecurityCast Ep#259 - o výhře EY ESO Cyber Security Trophy nebo zrušených rumunských volbách

Jan Kopriva — Mon, 16 Dec 2024 16:00:00 +0100

Tak jako každý měsíc, i v prosinci je tu nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na šíření odkazů na škodlivou aplikaci tradiční poštou, falešné e-shopy, ovlivňování veřejného mínění rumuských občanů před prezidentskými volbami prostřednictvím sociálních sítí i řadu dalších témat…

SANS ISC Diary - Self-contained HTML phishing attachment using Telegram to exfiltrate stolen credentials

Jan Kopriva — Mon, 28 Oct 2024 08:15:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na HTML stránku, která byla přiložena k phishingovému e-mailu a která zasílala zadané přihlašovací údaje útočníkovi s pomocí Telegramu…

Interview ve Studiu 6 k podvodným QR kódům

Jan Kopriva — Fri, 25 Oct 2024 08:00:00 +0100

Včera jsem měl možnost ve vysílání Studia 6 v České televizi krátce pohovořit o rizicích spojených s QR kódy a o útocích, v rámci nichž jsou QR kódy využívány pro páchání podvodů. Relevantní část záznamu z vysílání Studia 6 najdete v případě zájmu na tomto odkazu…

SANS ISC Diary - Phishing links with @ sign and the need for effective security awareness building

Jan Kopriva — Mon, 23 Sep 2024 08:55:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na zneužívání “user information” řetězců v URL a na problematiku efektivního budování bezpečnostního povědomí o phishingu…

Postřehy z bezpečnosti: klonování hardwarových tokenů YubiKey

Jan Kopriva — Mon, 09 Sep 2024 07:15:00 +0100

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na nový útok umožňující klonovat tokeny YubiKey, nové trendy v sextortion útocích, zprávu o aktivitách ruské APT skupiny, na jejíž přípravě participovali i české zpravodajské služby, i mnoho dalších zajímavostí z uplynulého týdne…

SANS ISC Diary - 'Reply-chain phishing' with a twist

Jan Kopriva — Tue, 16 Jul 2024 11:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na relativně neobvyklou techniku spojenou s “reply-chain” phishing útoky…

SANS ISC Diary - Files with TXZ extension used as malspam attachments

Jan Kopriva — Mon, 27 May 2024 08:45:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na škodlivé e-mailové kampaně s přiloženými soubory s příponami TXZ…

SANS ISC Diary - Increase in the number of phishing messages pointing to IPFS and to R2 buckets

Jan Kopriva — Thu, 14 Mar 2024 09:55:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na nedávný nárůst počtu phishingových zpráv odkazujících na IPFS a úložiště R2…

Aktivně zneužívaná open redirect zranitelnost ve službě Google Web Light

Jan Kopriva — Mon, 26 Feb 2024 06:30:00 +0100

Na doméně googleweblight.com, kterou historicky společnost Google využívala pro provozování služby Web Light, existuje open redirect zranitelnost, jíž v současnosti aktvině zneužívají útočníci v rámci phishingových kampaní. Google se rozhodl, že zranitelnost nebude záplatovat a na straně organizací tak může tak být žádoucí přístup ke jmenované doméně blokovat.

Detailnější popis zranitelnosti i ukázky zpráv ze souvisejících phishingových kampaní najdete (v anglickém jazyce) zde.

SANS ISC Diary - Phishing pages hosted on archive.org

Jan Kopriva — Wed, 21 Feb 2024 08:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na zneužívání portálu archive.org pro hostování phishingových stránek…

SecurityCast Ep#206 - E-maily od Státní Instituce Připomínají Phishing

Jan Kopriva — Wed, 10 Jan 2024 20:55:00 +0100

Tak jako každý měsíc, i v lednu je tu i nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na únik dat ze služeb MujRozhlas a EasyPark, stále relevantní zranitelnost Log4shell, nebo zásah FBI proti provozovatelům ransomwaru BlackCat…

SANS ISC Diary - Interesting large and small malspam attachments from 2023

Jan Kopriva — Wed, 03 Jan 2024 15:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v němž se podíváme na největší a nejmenší vzorek škodlivého kódu, který mi průběhu loňského roku přišel e-mailem…

SecurityCast Ep#203 - 2023: Co Rok Dal a Vzal a Predikce do Roku 2024

Jan Kopriva — Sat, 09 Dec 2023 09:15:00 +0100

Se začátkem prosince je tu i nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na nárůst sociotechnických útoků cílených na ČR, útok na ukrajinskou energetickou infrastrukturu, nový CVSS standard a mnoho dalších témat…

SANS ISC Diary - Phishing page with trivial anti-analysis features

Jan Kopriva — Fri, 17 Nov 2023 11:10:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v rámci něhož se podíváme na falešnou přihlašovací stránku s triviálními mechanismy komplikujícími její případnou analalýzu…

SANS ISC Diary - Are typos still relevant as an indicator of phishing?

Jan Kopriva — Mon, 16 Oct 2023 09:45:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center, v rámci něhož probereme, zda jsou překlepy stále využitelné jako indikátor phishingu…

Interview ve Studiu ČT 24 o kybernetických útocích na Izrael

Jan Kopriva — Wed, 11 Oct 2023 18:00:00 +0100

Dnes jsem měl možnost krátce pohovořit ve vysílání České televize o aktuálních kybernetických útocích cílených na Izrael a Pásmo Gazy, k nimž po sobotním útoku hnutí Hámás dochází. Záznam z vysílání Studia ČT 24 najdete v případě zájmu na tomto odkazu - část věnovaná výše zmíněnému tématu začíná cca od čtvrté minuty…

SANS ISC Diary - A new spin on the ZeroFont phishing technique

Jan Kopriva — Tue, 26 Sep 2023 11:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou phishingovou techniku využívající text s nulovou velikostí fontu pro zvýšení důvěryhodnosti zpráv…

SANS ISC Diary - The low, low cost of (committing) cybercrime

Jan Kopriva — Thu, 31 Aug 2023 12:00:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na velmi jednoduchý phishing, který vhodně ukazuje, že náklady nezbytné k realizaci kyberkriminálních aktivit mohou být bohužel extrémně nízké…

SecurityCast Ep#172 - Pravda o Zranitelnosti v KeePass Nebo Jaké Tresty Hrozí za Zatajení Incidentu?

Jan Kopriva — Wed, 07 Jun 2023 13:55:00 +0100

Začátek června s sebou přináší i novou epizodu pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na několik ukázek moderní kyberšpionáže, rekordní pokutu pro společnost Meta v kontextu nesprávné práce s osobními údaji, zajímavou zranitelnost v nástroji KeePass a mnoho dalších zajímavostí…

SANS ISC Diary - Ongoing Facebook phishing campaign without a sender and (almost) without links

Jan Kopriva — Mon, 15 May 2023 09:35:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou dlouhodobou phishingovou kampaň cílenou na uživatele služby Facebook…

SANS ISC Diary - 'Passive' analysis of a phishing attachment

Jan Kopriva — Mon, 01 May 2023 12:40:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na analýzu HTML příloh phishingových e-mailů bez interakce s externí infrastrukturou…

SANS ISC Diary - Use of X-Frame-Options and CSP frame-ancestors security headers on 1 million most popular domains

Jan Kopriva — Fri, 31 Mar 2023 14:50:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na využívání bezpečnostních HTTP hlaviček bránících “framing” útokům na milionu nejvýznamnějších domén světa…

SANS ISC Diary - IPFS phishing and the need for correctly set HTTP security headers

Jan Kopriva — Wed, 15 Mar 2023 12:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingové stránky hostované v distribuovaném souborovém systému IPFS a možnosti použití bezpečnostních HTTP hlaviček jako opatření proti phishingu…

Interview ve Studiu 6 (nejen) k rizikům spojeným s aplikací TikTok

Jan Kopriva — Fri, 10 Mar 2023 11:00:00 +0100

Dnes jsem měl možnost ve vysílání Studia 6 v České televizi krátce pohovořit o rizicích spojených s používáním mobilní aplikace TikTok a o souvisejícím varování vydaném Národním úřadem pro kybernetickou a informační bezpečnost v tomto týdnu. Záznam z vysílání Studia 6 najdete v případě zájmu na tomto odkazu - část věnovaná výše zmíněnému tématu začíná cca v čase 2:38:00…

SANS ISC Diary - HTML phishing attachment with browser-in-the-browser technique

Jan Kopriva — Thu, 16 Feb 2023 12:20:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na využívání techniky “browser-in-the-browser” v rámci generické phishingové kampaně…

SecurityCast Ep#139 - Vysoké tresty pro kyberzločince, BlueBleed nebo výměna dat mezi EU a USA

Jan Kopriva — Wed, 02 Nov 2022 14:30:00 +0100

Se začátkem listopadu zde máme i novou epizodu pravidelného měsíčního speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na aféru BlueBleed, vysoké tresty pro kybernetické zločince, zranitelnost Text4Shell a mnoho dalšího…

SecurityCast Ep#118 - Červen ve znamení útoků na Litvu nebo největšího HTTPS DDoS útoku historie

Jan Kopriva — Wed, 06 Jul 2022 15:30:00 +0100

Začátek srpna s sebou přináší i novou epizodu pravidelného měsíčního speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na pokračování DDoS útoků spojených s válkou na Ukrajině, zranitelnost Follina, největší HTTPS DDoS útok v historii a nejen to…

SANS ISC Diary - HTML phishing attachments - now with anti-analysis features

Jan Kopriva — Wed, 01 Jun 2022 12:05:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na netradiční využití anti-debugging/anti-analysis technik v rámci phishingové stránky…

SANS ISC Diary - Do you want 30 BTC? Nothing is easier (or cheaper) in this phishing campaign...

Jan Kopriva — Wed, 18 May 2022 07:50:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na sofistikovanou phishingovou kampaň v níž bylo jako návnada užito 30 BTC (na cizím účtu)…

SANS ISC Diary - Phishing e-mail with...an advertisement?

Jan Kopriva — Tue, 18 Jan 2022 10:10:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na lehce netradiční phishingovou zprávu, která krom jiného obsahovala i text připomínající reklamu na produkty firmy Xerox…

SecurityCast Ep#89 - TOP 6 událostí roku 2021

Jan Kopriva — Mon, 20 Dec 2021 14:40:00 +0100

Speciální vánoční epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na výběr toho nejzajímavějšího, co nás v oblasti kybernetické bezpečnosti letos potkalo…

SecurityCast Ep#87 - Microsoft Defender vyděsil administrátory chybným označením škodlivých procesů

Jan Kopriva — Mon, 06 Dec 2021 13:10:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na ransomware útok na základní školu v Přerově, mnoho false-positive detekcí ze strany Microsoft Defenderu a nejen to…

SecurityCast Ep#86 - Přes 1000 lidí koordinovaně zadrženo za kybernetické zločiny

Jan Kopriva — Mon, 29 Nov 2021 15:10:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na úspěšný zátah Interpolu na kybernetické zločince, žalobu Applu na NSO Group a mnoho dalšího…

SANS ISC Diary - Phishing page hiding itself using dynamically adjusted IP-based allow list

Jan Kopriva — Wed, 24 Nov 2021 12:10:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavý ochranný mechanismus, který umožnil phishingové stránce zabránit v přístupu k falešnému přihlašovacímu portálu všem kromě původní oběti, která kliknula na podvodný odkaz v e-mailové zprávě…

SANS ISC Diary - Phishing 101: why depend on one suspicious message subject when you can use many?

Jan Kopriva — Thu, 16 Sep 2021 09:10:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na lehce netradiční phishing, jehož autoři se pokoušeli nalákat potenciální oběti na podvodnou stránku s pomocí většího počtu zjevně podezřelých textů v předmětech údajných nedoručených zpráv…

SecurityCast Ep#75 - Téměř 500 000 Fortinet VPN účtů volně na internetu

Jan Kopriva — Tue, 14 Sep 2021 10:20:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na publikaci téměř půl milionu přístupových údajů k Fortinet VPN, novou kritickou (a prozatím nezáplatovanou) zranitelnost, umožňující spustit v Microsoft Office libovolný kód, a mnoho dalšího…

SecurityCast Ep#74 - Apple pod nátlakem pozastavil plán scanovat všechna svá zařízení

Jan Kopriva — Mon, 06 Sep 2021 10:55:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na změny plánů společnosti Apple, pokud jde o detekování závadného obsahu na zařízeních jejích zákazníků, novinky v oblasti ransomwaru a mnoho dalšího…

SecurityCast Ep#69 - Ransomware skupina DarkSide je zpět, tentokrát pod jménem BlackMatter

Jan Kopriva — Mon, 02 Aug 2021 14:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na přejmenování skupiny za DarkSide ransomwarem, další vývoj v aféře Kaseya a mnoho dalšího…

SANS ISC Diary - A sextortion e-mail from...IT support?!

Jan Kopriva — Wed, 28 Jul 2021 08:35:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na lehce netradiční vyděračský “sextortion” e-mail, jehož autor se vydával za pracovníka IT firmy najaté organizací poskytující příjemci e-mailovou schránku…

SANS ISC Diary - One way to fail at malspam - give recipients the wrong password for an encrypted attachment

Jan Kopriva — Wed, 14 Jul 2021 13:10:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na e-mailovou kampaň šířící škodlivé soubory v zašifrovaném archivu bez uvedení správného hesla k němu…

SANS ISC Diary - Phishing asking recipients not to report abuse

Jan Kopriva — Tue, 22 Jun 2021 15:15:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingovou kampaň, jejíž autor zřejmě nedopatřením uzavřel zprávu netradičním požadavkem…

SecurityCast Ep#64 - Joe Biden a Vladimir Putin řešili otázky kybernetické bezpečnosti

Jan Kopriva — Mon, 21 Jun 2021 13:20:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube a na Spotify. Podíváme se v ní na výstupy ze setkání prezidentů USA a Ruska, v rámci něhož diskutovali mj. kybernetickou bezpečnost, zajímavý anti-pirátský malware a nejen to…

SANS ISC Diary - Hunting phishing websites with favicon hashes

Jan Kopriva — Mon, 19 Apr 2021 11:15:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na možnosti použití hashí ikon webových stránek pro identifikaci IP adres hostujících phishingové portály…

SecurityCast Ep#54 – Muž chtěl zničit 70% internetu, databáze 500 mil. účtů z LinkedInu k prodeji

Jan Kopriva — Mon, 12 Apr 2021 17:00:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na zatčení muže, který chtěl “zničit 70 % internetu”, bezpečnostní incident, který postihnul elektrickou rozvodnou síť areálu v Natanzu, v němž Írán obohacuje uran, a mnoho dalšího…

SecurityCast Ep#48 – Kryptoměnový podvod, nový typ útoku využívá rozšíření prohlížeče

Jan Kopriva — Mon, 01 Mar 2021 12:55:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na využívání kompromitovaných Twitterových účtů pro podvodné získávání kryptoměn, APT kampaň užívající škodlivá rozšíření do prohlížečů a mnoho dalšího.

SecurityCast Ep#47 – LinkedIn phishing a SolarWinds update od Microsoftu

Jan Kopriva — Mon, 22 Feb 2021 14:55:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na novou phishingovou kampaň využívající LinkedIn, dopad aféry Solar Winds na firmu Microsoft a mnoho dalšího.

Záznamy z webinářů 'Ransomware' a 'Lookalike domény'

Jan Kopriva — Thu, 18 Feb 2021 18:45:00 +0100

V posledních týdnech proběhlo několik osvětových webinářů organizovaných pracovní skupinou kybernetické bezpečnosti české pobočky AFCEA. Byly mezi nimi také dva, na nichž jsem měl možnost se svými vystoupeními podílet. První byl věnovaný problematice ransomwaru, druhý pak problematice lookalike domén.
Pokud jste se neměli možnost webinářů zúčastnit, ale jejich obsah by vás zajímal, slidy i videozáznam z webináře věnovaného ransomwaru najdete zde (můj velmi rychlý vstup začíná na 31:15) a slidy se záznamem z webináře věnovaného lookalike doménám zde (má přednáška začíná na 04:25).

SecurityCast Ep#35 - Kybernetický útok na Manchester United a Spotify, zranitelnost ve VPN Fortinetu

Jan Kopriva — Mon, 30 Nov 2020 12:45:00 +0100

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na password reuse útoky na Spotify, publikaci přístupových údajů k velkému počtu Fortinet SSL VPN a mnoho dalšího.

SecurityCast Ep#31 - Falešný poukaz do Albertu, nové taktiky Emotetu a aktuální zranitelnosti

Jan Kopriva — Mon, 02 Nov 2020 18:10:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na nedávnou phishingovou kampaň slibující kupón do obchodního řetězce Albert, novou a silně využívanou zranitlenost v Oracle WebLogic Serverech a nejen to.

SANS ISC Diary - BazarLoader phishing lures: plan a Halloween party, get a bonus and be fired in the same afternoon

Jan Kopriva — Thu, 22 Oct 2020 11:00:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingové kampaně šířící BazarLoader a v nich užité “návnady”.

SecurityCast Ep#28 - Trump, COVID-19 a phishing, John McAfee zatčen, prohlášení ohledně šifrování

Jan Kopriva — Mon, 12 Oct 2020 15:40:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na phishing využívající nemoci Donalda Trumpa, phishing kity nabízené na clear webu a několik dalších oblastí.

SANS ISC Diary - Phishing kits as far as the eye can see

Jan Kopriva — Fri, 09 Oct 2020 07:40:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishing kity, které jsou nabízené na indexované části webu.

SANS ISC Diary - Slightly broken overlay phishing

Jan Kopriva — Mon, 21 Sep 2020 12:50:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou (a drobně “rozbitou”) phishingovou kampaň, v níž škodliví aktéři překrývali legitimní stránky falešnými přihlašovacími okny.

ALEF SecurityCast Ep#14 - EncroChat, BEC útoky, EvilQuest a ZombieVPN

Jan Kopriva — Tue, 07 Jul 2020 15:25:00 +0200

Nová epizoda Alef SecurityCast je k dispozici na YouTube. Podíváme se v ní na rozbití šifrované komunikační sítě využívané zločinci, nárůst BEC útoků (zřejmě) v důsledku Covid-19, zajímavou zranitelnost v některých VPN produktech a mnoho dalších témat.

SANS@MIC - Catch and Release: Phishing Techniques for the Good Guys

Jan Kopriva — Thu, 18 Jun 2020 19:10:00 +0200

Včera jsem v rámci formátu SANS@MIC prezentoval o zajímavých technikách využitelných v rámci phishingových kampaních (zejména) při red team cvičeních. Pokud jste neměli možnost připojit se k nám “živě” a tato problematika by vás zajímala, můžete se alespoň podívat na záznam z přednášky, který byl publikován dnes.

SANS ISC Diary - Broken phishing accidentally exploiting Outlook zero-day

Jan Kopriva — Thu, 18 Jun 2020 11:35:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingový e-mail, který díky chybě v HTML kódu využíval 0-day zranitelnost v Outlooku, umožňující vytvářet nebo měnit odkazy v těle e-mailu ve chvíli, kdy je zpráva přeposílána.

SANS ISC Diary - Frankenstein's phishing using Google Cloud Storage

Jan Kopriva — Wed, 27 May 2020 10:40:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na podivně nesourodou phishingovou kampaň, která díky kombinace technicky sofistikovaných a extrémně amatérských prvků připomínala výsledek práce Dr. Frankensteina.

SANS ISC Diary - Agent Tesla delivered by the same phishing campaign for over a year

Jan Kopriva — Tue, 28 Apr 2020 08:45:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingovou kampaň, kterou útočníci používali více než rok v téměř nezměněné podobě pro šíření malwaru Agent Tesla.

Phishing - online kurz pro koncové uživatele zdarma

Jan Kopriva — Tue, 14 Apr 2020 09:00:00 +0200

Vzhledem k tomu, že i v souvislosti s aktuální situací okolo COVID-19 se v posledních týdnech v českém prostředí citelně množí ransomwarové útoky a spoustě z nich by se dalo předejít, kdyby uživatelé slepě neklikali na odkazy a přílohy v e-mailu, dal jsem přes velikonoční svátky dohromady cca 20 minut dlouhý videokurz o phishingu pro běžné uživatele, který je nyní k dispozici zdarma institucím působícím v ČR i široké veřejnosti.

SANS ISC Diary - Look at the same phishing campaign 3 months apart

Jan Kopriva — Mon, 13 Apr 2020 11:35:00 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zranitelnost ve Windows, která umožňuje způsobit pád procesu explorer.exe při otevření speciálně připraveného souboru URL, nebo při otevření adresáře obsahujícího speciálně připravený soubor LNK.

Varování před phishingem s XLS přílohami s makry typu Excel 4

Jan Kopriva — Fri, 06 Mar 2020 08:50:00 +0100

V ALEF CSIRT a Internet Storm Center jsme v posledních dnech zaznamenali několik phishingových kampaní, v rámci nichž byly využity soubory s příponou XLS nesoucí makra se škodlivým kódem. Na tom by nebylo nic neobvyklého - soubory se škodlivými makry jsou útočníky užívány velmi často - zmiňovaná makra však v tomto případě nebyla typu VBA, ale typu Excel 4, v důsledku čehož mnoho anti-malware řešení nebylo (a v době psaní tohoto textu není) schopno škodlivý kód v nich detekovat.

Makra Excel 4 jsou mechanismus, který historicky (před přidáním podpory pro Visual Basic for Applications do Excelu v roce 1993) umožňoval vkládat do Excelových dokumentů spustitelný kód. I přes své citelné stáří jsou makra tohoto typu stále podporována a je tedy možné je v moderním Excelu spustit.

Vzhledem k jejich historické povaze s nimi však nedokáže vhodně pracovat velké množství anti-malware nástrojů, které tak nejsou schopny případný v nich obsažený škodlivý kód identifikovat ani po několika dnech od jejich vytvoření. Vhodně to demonstruje vzorek, který jsme detekovali před čtyřmi dny, u něhož je v době psaní předloženého textu poměr detekcí na Virus Total 14/60. Ještě nižší úspěšnost při detekci (dle Virus Total 5/60) mají anti-malware řešení u vzorku detekovaného před dvěma dny, jehož analýzu dnes publikoval v rámci Internet Storm Center kolega Xavier Mertens.

Pozitivní zprávou je, že i v případě maker typu Excel 4 je po otevření souboru standardně zobrazeno obvyklé varování a uživatel tak má možnost spuštění kódu nepovolit.

Vzhledem k často nedostatečným znalostem kybernetických hrozeb na straně uživatelů však není zcela optimální pouze pasivně spoléhat na jejich uvědomělost.

Interním bezpečnostním týmům a IT oddělením tak lze doporučit uživatele na tuto hrozbu upozornit a zdůraznit skutečnost, že anti-malware nástroje instalované na koncových stanicích nutně tento typ hrozby (stejně jako mnoho jiných) nemusí být schopné odhalit.

SANS ISC Diary - Current PayPal phishing campaign or 'give me all your personal information'

Jan Kopriva — Mon, 10 Feb 2020 09:37:58 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na aktuální phishingovou kampaň cílenou na zákazníky PayPalu, která velmi hezky demonstruje aktuální snahy útočníků o získání maximálního množství osobních a finančních dat od “chycených” uživatelů.

SANS ISC Diary - Analysis of a triple-encrypted AZORult downloader

Jan Kopriva — Mon, 03 Feb 2020 07:45:10 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný analýze zajímavého škodlivého dokumentu, z něhož se vyklubal downloader pro trojan AZROult. Zajímavé na něm bylo mimo jiné to, že používal tři úrovně šifrování.

SANS ISC Diary - Picks of 2019 malware - the large, the small and the one full of null bytes

Jan Kopriva — Thu, 16 Jan 2020 07:52:08 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na malware, který byl v loňském roce distribuován e-mailem. Konkrétně na největší a nejmenší vzorek malware, které jsem v zablokovaných e-mailech z loňského roku objevil.

SANS ISC Diary - Phishing with a self-contained credential-stealing webpage

Jan Kopriva — Fri, 06 Dec 2019 07:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou phishingovou zprávu, která nesla celou podvodnou stránku jako soubor v příloze e-mailu.

SANS ISC Diary - E-mail from Agent Tesla

Jan Kopriva — Thu, 05 Dec 2019 07:30:00 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný analýze komplexního downloaderu pro Agent Tesla.

SANS ISC Diary - Analysis of a strangely poetic malware

Jan Kopriva — Wed, 04 Dec 2019 08:14:33 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný analýze downloaderu založeného na makrech, který do Internet Storm Center zaslala jedna z našich čtenářek.

SANS ISC Diary - Lessons learned from playing a willing phish

Jan Kopriva — Tue, 26 Nov 2019 12:08:19 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na lovení phishingových útočníků a na to, co se od nich můžeme s trochou snahy dozvědět.

SANS ISC Diary - EML attachments in O365 - a recipe for phishing

Jan Kopriva — Thu, 31 Oct 2019 11:15:35 +0100

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na dopady nedostatečné filtrace příloh se soubory EML v Office 365.

SANS ISC Diary - Phishing e-mail spoofing SPF-enabled domain

Jan Kopriva — Thu, 17 Oct 2019 11:49:25 +0200

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Je věnovaný mechanismu SPF a případům, kdy je možné podvrhovat e-maily i za domény, které jej užívají.