Uwaga! Kampania phishingowa na Facebooku – Jak się chronić?

Wygląda na to, że mamy do czynienia z rozległą targowaną kampanią phishingową, skierowaną na popularne treści dotyczące sztucznej inteligencji, jak ChatGPT i Bard AI od Google.

W dniu dzisiejszym opisywałem już wykrytą kampanię phishingową na atrakcyjną reklamę dotyczącą ChatGPT, która kierowała do strony internetowej, z której można było pobrać plik zawierający fałszywą nowszą
wersję ChatGPT, a w rzeczywistości złośliwe oprogramowanie. Wpis pod linkiem: https://piotrrybicki.pl/uwaga-niebezpieczny-trojan-phishing-na-chatgpt/

Niestety, jak się okazało, nie była to pojedyncza reklama, a cała kampania. Do mnie trafiły trzy różne. Kolejna z nich równie niebezpieczna jak poprzednia. Sam motyw graficzny i treść tym razem odwołują
się również do sztucznej inteligencji – tym razem do AI Bard od Google.

Reklama podszywająca się pod Google AI Bard
Reklama podszywająca się pod Google AI Bard

Sam link po jego weryfikacji jest czysty i nie wzbudza większych podejrzeń. Silniki antywirusowe nie ujawniają nic podejrzanego.

Link prowadzący do strony z reklamy nie jest podejrzany
Link prowadzący do strony z reklamy nie jest podejrzany

Link kieruje nas do następującej witryny:

Strona z linkiem prowadzącym do zlosliwego pliku
Strona z linkiem prowadzącym do zlośliwego pliku wraz z kodem do jego rozpakowania

Spakowany, zaszyfrowany załącznik, który możemy pobrać. Witryna ta – nie jest wykrywana jako podejrzana przez silniki antywirusowe.

Spakowany, zaszyfrowany załącznik, który możemy pobrać. Witryna ta – nie jest wykrywana jako podejrzana przez silniki antywirusowe.

Natomiast podbrany załacznk po rozpakowaniu i odszyfrowaniu wskazuje, że mamy do czynienia ze złośliwym oprogrmaowaniem.

Złośliwy załącznik
Złośliwy załącznik

Po dokładnej analizie okazuje się, że jest to przede wszystkim Ransomware, który w konsekwencji będzie w stanie zaszyfrować nasz komputer. Ponadto, jest to również Spyware, który wykrada nasze tzw. dane
logowania – poświadczenia, hasła, loginy, w tym te zapamiętane w wyszukiwarkach. Potrafi się również propagować i infekować dalej poprzez USB, oraz obchodzić lub wręcz wyłącza systemowe zabezpieczenia.

Charakterystyka złośliwego załacznika
Charakterystyka złośliwego załącznika po analizie w aplikacji typu sandbox.

Kolejna reklama, z którą przyszło mi się tego dnia zapoznać, wyglądała w następujący sposób.

Kolejna fałszywa reklama dotycząca Google Bard AI
Kolejna fałszywa reklama dotycząca Google Bard AI

Ta strona została na szczęście już zablokowana i nie pozwalała na doprowadzenie do pobrania szkodliwego załącznika.

Niebezpieczna strona została zablokowana
Niebezpieczna strona została zablokowana

Niestety, nie były to jedyne reklamy zachęcające do skorzystania z nowej technologii. W sumie wyłapałem ich jeszcze kilka i poleciłem zablokować je Facebookowi. Zgłosiłem też linki do CSIRTu w sprawie
zablokowania tych stron, które finalnie również zostały zablokowane. A oto kilka z nich:

Fałszywa reklama podszywająca się pod ChatGPT 4
Fałszywa reklama podszywająca się pod ChatGPT 4
Fałszywa reklama podszywająca się pod ChatGPT
Fałszywa reklama podszywająca się pod ChatGPT
Fałszywa reklama podszywająca się pod Bard AI
Fałszywa reklama podszywająca się pod Bard AI
Fałszywa reklama podszywająca się pod Bard AI
Fałszywa reklama podszywająca się pod Bard AI

Jak zatem zabezpieczyć przed tego typu fałszywymi reklamami? Oto 10 zasad, które pomogą poradzić sobie z tego typu zagrożeniem.

  1. Zwróć szczególną uwagę na linki, do których prowadzą reklamy. Upewnij się, że faktycznie prowadzą one do strony producenta.
  2. Unikaj klikania w linki w samych reklamach. Jeśli potrzebujesz pobrać oprogramowanie, korzystaj z oficjalnych witryn producenta. Pomoże uzyskać dostęp tylko do zaufanych, oryginalnych treści.
  3. Ostrożnie analizuj reklamy – fałszywe często do złudzenia przypominają te oryginalne. W razie wątpliwości, kieruj się zasadą z punktu poprzedniego.
  4. Zainstaluj oprogramowanie antywirusowe, które pomoże wykryć zagrożenia podczas przeglądania internetu i mediów społecznościowych.
  5. Używaj narzędzi blokujących reklamy, takich jak AdBlocker.
  6. Wyłączaj przekazywanie plików cookie i blokuj je na odwiedzanych stronach.
  7. Wyłącz funkcję lokalizacji w przeglądarce i sprawdź, czy korzystasz z przeglądarki zapewniającej największą prywatność. Nie włączaj spersonalizowanych reklam dostosowanych do preferencji.
  8. Wyłącz zapisywanie historii przeglądania stron lub korzystaj z trybu prywatnego (incognito).
  9. Przejrzyj dodatki zainstalowane w przeglądarce – niektóre z nich mogą przekazywać wiele informacji o twoich preferencjach, otwierając drogę do spersonalizowanych reklam.
  10. W przypadku korzystania z mediów społecznościowych, masz wprawdzie ograniczony wpływ na wyświetlane treści, ale w przypadku korzystania z przeglądarek, możesz użyć silnika wyszukiwania, który omija wszelkie treści reklamowe (jak np. DuckDuckGo) i nie będziesz też śledzony pod względem swoich preferencji.
Ochrona prywatności w przeglądarce i brak reklam w wynikach wyszukiwania - DuckDuckGO
Ochrona prywatności w przeglądarce i brak reklam w wynikach wyszukiwania – DuckDuckGO

Uwaga! Niebezpieczny trojan Phishing na ChatGPT

Jedną z popularnych i skutecznych metod stosowanych przez hackerów w przejęciu komputerów, kont i haseł jest tzw. phishing. To, co jest mocną stroną Social Mediów, jest jednocześnie też i ich słabością.

Szybkość z jaką interesujące treści się rozchodzą jest wręcz imponująca. Możliwości dotarcia hackerów do swoich ofiar są zatem nieograniczone, nie wspominając o płatnych zasięgach reklam jak to w tym przypadku ma miejsce.

Reklama Phishing na ChatGPT
Reklama – Phishing na ChatGPT

Przestrzegam przed pobraniem tego złośliwego załącznika, kryjącego się pod „czystym” linkiem (przeskanowałem go dla pewności wcześniej przed kliknięciem).

Przeskanowany link jest czysty
Przeskanowany link jest czysty

Link ów zaczyna się tak „https://sites.google.com/view…” i prowadzi do strony z której można pobrać rzekomy ChatGTP. Spod tego linku pobiera się zaszyfrowaną zawartość „GPT4 1.1 setup.rar”, przechodzi ona też przez najlepsze na świecie skanery i silniki antywirusowe.

Strona z linkiem prowadzącym do zlosliwego pliku
Strona z linkiem prowadzącym do złośliwego pliku

Na stronie tej, znajduje się też wręcz trywialny kod do rozpakowania zawartości. Po jej rozpakowaniu 20 z 60 silników sklasyfikowało zawartość jako cały pakiet złośliwego oprogramowania – od trojanów, po stealery i malware.

Rozpakowana zawartość okazuje się być złośliwym kodem
Rozpakowana zawartość okazuje się być złośliwym kodem

Pogoń za pieniędzmi właścicieli Social Mediów. Zastosowane, jedynie proste i automatyczne metody weryfikacji reklam, czy zastosowane mechanizmy ułatwiające automatyczne ich generowanie plus atrakcyjny na czasie przekaz, mogą złowić niejedną ofiarę.
Samą kampanię tym razem „złapałem” i zgłosiłem na wczesnym jej etapie (widać po ilości komentarzy i udostępnień). Na szczęście udało się w porę powstrzymać przed jej propagacją, choć mam świadomość, że w tym samym momencie generowane są już kolejne podobne złośliwe kampanie.

Nie traćmy czujnności i nie ulegajmy atrakcyjnym reklamom bowiem nadeszły doprawdy niebezpieczne czasy.

Dodam, że jeszcze tego samego dnia wpadło mi ręce jeszcze kilka innych fałszywych reklam podszywajacych się nie tylko pod Chat GPT ale i Bard AI > link tutaj<.

O tym jak weryfikować szkodliwe załączniki i zgłaszać kampanie, tak aby je skutecznie powstrzymać napiszę w odrębnym wpisie.

Jak rozwiązać problem. Design Thinking by Google

Zgodnie z procesem Design Thinking stosowanym w Google, w pierwszej kolejności należy zastanowić nad definicją problemu jaki chcielibyśmy rozwiązać. Warto przy tym pamiętać, aby nie postawić problemu zbyt szeroko. Na przykład „Jak sprawić, aby zlikwidować głód na świecie?”, ani z drugiej strony zbyt wąsko. Pomoże w tym zdrowy rozsądek oraz wyczucie. Dlatego tak ważna jest otwarta komunikacja z użytkownikiem już od samego początku procesu.

Należy następnie skupić się na kliencie i jego bolączce. Na przeprowadzeniu z nim wywiadu jak on widzi ten problem. Co „go boli”? Jakie faktycznie ma trudności. Musimy wejść w „jego buty”. Tak, aby doświadczyć w najbardziej empatyczny sposób jego trosk, z czym się mierzy na co dzień. Co mu najbardziej doskwiera.

Wówczas możemy przejść do generowania propozycji rozwiązań. Na tym etapie nie ważne są wskaźniki jakościowe związane z tymi pomysłami. Nie ma złych, drogich czy nierealnych rozwiązań. Najważniejsze jest na tym etapie, aby powstała jak największa ich ilość. Ważne też jest, aby nie myśleć o rozstrzygnięciach w kategorii, aby poprawić tylko o 10% czyjąś sytuację, ale aż o 1000%. Google nazywa to myśleniem „10x”. Bez ograniczeń, bez barier. Bez krytycznego myślenia. Bez oceniania jeszcze na tym etapie. Należy następnie kolegialnie wybrać ten jeden pomysł, aby przejść dalej.

Dla tak wybranego pomysłu budujemy prototyp. Prezentacja prototypu ma w konsekwencji doprowadzić do konfrontacji z użytkownikiem, na ile dany problem faktycznie będzie mógł zostać rozwiązany. W których obszarach się sprawdza, a w których nie. Dzięki czemu można cofnąć się nawet, aby udoskonalać pomysł dotąd, aż nie zostanie finalnie zaakceptowany prototyp.

Dopiero wówczas nasz finalny pomysł będzie mógł zostać przekazany do realizacji. Dzięki takiemu sposobowi myślenia – Design Thinking – możemy testować rozwiązania niskim koszem, jeszcze na tak wczesnym etapie, tak aby później bez obaw i z jeszcze większą pewnością realizować projekty, zaspokajające kluczowe potrzeby użytkowników niczym gigant z Mountain View.

Powyższy proces Design Thinking pochodzi z warsztatu PFR Projektanci Innowacji zorganizowanego przez Google for Startups (dziękuję Google i PFR za zaproszenie).

Czym jest Agile? Zwinne podejście nie tylko w zarządzaniu projektami

Z czym kojarzy się Tobie słowo „agile” – ze zwinnością, ze zwinną pracą? Z elastycznością w poszukiwaniu rozwiązań, ze znajdywaniem rozwiązań nieraz przerastających oczekiwania? Z bliską współpracą i możliwie częstą informacją zwrotną w trakcie realizacji projektu? Z dostarczaniem rozwiązania zaspokajającego oczekiwania odbiorcy? Z planowaniem szczegółowym danego etapu tuż przed jego uruchomieniem. Czy z początkową mglistą wizją całego rozwiązania?

Tak, powinna brzmieć odpowiedź na powyższe pytania. Warto wskazać przy okazji, że kluczem są precyzyjnie zdefiniowane oczekiwania i sklasyfikowane na te, które:

  • muszą zostać spełnione w trakcie realizacji – bo bez nich rozwiązanie nie zaspokoi potrzeb;
  • dobrze, gdyby się znalazły, ale jak ich nie dostarczymy to nie będzie problemu, ponieważ rozwiązanie będzie i tak w pełni funkcjonalne (i tych powinniśmy się raczej spodziewać, że zostaną dowiezione w zaplanowanych sprintach);
  • miło, gdyby się znalazły, ale jak ich nie będzie to potrzeba biznesowa będzie zaspokojona, a być może w przyszłości mogłyby zostać dołożone (tych wymagań raczej nie mamy co się spodziewać);
  • oraz na te, które na pewno nie zostaną uwzględnione, ale warto je wymienić i mieć świadomość o ich istnieniu – może w kolejnej wersji czy też w toku dalszego rozwoju znajdzie się i na nie budżet?

Podejście do zwinnej realizacji powinno kojarzyć się z kompetentnym, zmotywowanym zespołem składającym się z pasjonatów, którzy w sposób autonomiczny zarządzają swoją pracą, doprowadzając fazę realizacji do perfekcji. Z zespołem projektowym, który ceni czas i dostarcza na czas. Z satysfakcją i z stawianiem potrzeb klienta w centrum. Z nieraz zmiennymi wymaganiami projektowymi, które na skutek zmienności otoczenia wymagają właśnie zwinnego dostosowania projektu. Co w konsekwencji i na szczęście prowadzi do adaptowania projektu do zmiennych wymagań. Tak dokładnie – właśnie na tym polega zwinne podejście w zarządzaniu projektem i jego adaptacja do zmieniających się warunków.

Zwykle myślimy o zwinności podczas wytwarzania oprogramowania. Choć warto mieć świadomość, że zwinne podejście to przede wszystkim otwarta kultura organizacyjna, umożliwiająca właśnie realizację w sposób zwinny różnych przedsięwzięć.

Warto wspomnieć, że tym co kształtuje ową kulturę to tzw. manifest zwinności – tzw. „agile manifesto”. Wskazuje on na następujące elementy filozofii przyświecające zwinnej pracy we wszystkich rodzajach projektów:

  • ludzie i interakcje ważniejsze są od procesów i narzędzi,
  • działające oprogramowanie ważniejsze jest od szczegółowej dokumentacji,
  • współpraca z klientem ważniejsza jest od negocjacji umowy,
  • reagowanie na zmiany ważniejsze jest od realizacji założonego planu.

[więcej na temat manifestu zwinności w artykule: „Agile – zwinność. 4 pryncypia zwinności i 12 zasad pracy zwinnej ważnej nie tylko przy wytwarzaniu oprogramowania”]

Taki punkt widzenia bynajmniej nie umniejsza roli procesów, narzędzi, szczegółowej dokumentacji, umowy, czy założonego planu. Wręcz przeciwnie, powinny być traktowane jako niezbędne i wymagane podczas realizacji projektu. W zwinności chodzi o odpowiednie umieszczenie akcentów, o wskazanie meritum i istoty zwinnego podejścia. Tak więc, jest to swego rodzaju ustalenie hierarchii wartości w organizacji, która nadaje napęd i przyświeca szybkiej i skutecznej realizacji wytwarzanych zwinnie produktów projektowych.

W zwinności ważna jest tzw. kultura wspierająca. To ona powinna wspomagać kształtowanie nawyków związanych z uczeniem się na błędach. Niekaranie za błędy, a jeśli się zdarzą, oczekująca na wyciąganie zeń wniosków (tzw. „less & learn”). Ważnym wydaje się opracowywanie na ich podstawie studiów przypadków w celu zdobywania wiedzy w organizacji. W przeciwieństwie do spotykanego nadmiernego stygmatyzowania porażek. Dzięki takiemu podejściu każdy kolejny przyrost projektu będzie mógł być realizowany z jeszcze bardziej zauważalną jakością i precyzją, a nawet śmiałością czy kreatywnością. Bowiem właśnie wrogiem kreatywności, inicjatywy szukania rozwiązań jest strach paraliżujący przed eksplorowaniem, poszukiwaniem, uczeniem się.

W bestsellerowej książce Matthew Syed’a – zatytułowanej „Metoda czarnej skrzynki”[1] jest właśnie opisane podejście stosowane m.in. przez Google, Mercedesa, odkrywające tajemnicę błędów i naturę sukcesu. Czytamy tam:

 „Jest to nowoczesne podejście do psychologii organizacji, oparte na najbardziej podstawowej zasadzie naukowej: robimy największe postępy, gdy pozwalamy sobie na poniesienie porażki i wyciągamy z niej naukę.”

Zwinność – to zatem otwartość i gotowość na nieustające lekcje dla organizacji. Dzięki tym lekcjom organizacja nabywa kompetencji do realizacji do coraz bardziej złożonych przedsięwzięć. To budowa nie tylko zaufania, polegania na sobie nawzajem, ale przede wszystkim budowa wspierających się zwycięskich zespołów. Tym właśnie m.in. powinna być „podszyta” prawdziwa zwinność organizacji chcącej, właśnie dzięki zwinności, budować swą przewagę, szybciej i lepiej wytwarzać swoje produkty oraz przyciągać najlepszych.

[1] M. Syed, 2017, Metoda czarnej skrzynki – zaskakująca prawda o błędach i naturze sukcesu, INSIGNIS, Kraków, s.366

Agile – zwinność

4 pryncypia zwinności i 12 zasad pracy zwinnej ważnej nie tylko przy wytwarzaniu oprogramowania

Agile – zwinność wzięła się z praktyki w wytwarzaniu oprogramowania. Odkryto i zapisano następujące cztery podstawowe pryncypia przyświecające zwinności:

  1. Ludzie i interakcje ważniejsze są od procesów i narzędzi.
  2. Działające oprogramowanie ważniejsze jest od szczegółowej dokumentacji.
  3. Współpraca z klientem ważniejsza jest od negocjacji umowy.
  4. Reagowanie na zmiany ważniejsze jest od realizacji założonego planu.

Oto 12 zasad pracy zwinnej (Agile) – zaczerpnięte z manifestu zwinnego wytwarzania oprogramowania:

  1. Najwyższy priorytet ma dla nas zadowolenie klienta dzięki wczesnemu i ciągłemu wdrażaniu wartościowego oprogramowania.
  2. Bądźcie gotowi na zmiany wymagań nawet na późnym etapie jego rozwoju. Procesy zwinne wykorzystują zmiany dla zapewnienia klientowi konkurencyjności.
  3. Dostarczajcie funkcjonujące oprogramowanie często, w kilkutygodniowych lub kilkumiesięcznych odstępach. Im częściej, tym lepiej.
  4. Zespoły biznesowe i deweloperskie muszą ściśle ze sobą współpracować w codziennej pracy przez cały czas trwania projektu.
  5. Twórzcie projekty wokół zmotywowanych ludzi. Zapewnijcie im potrzebne środowisko oraz wsparcie i zaufajcie, że wykonają powierzone zadanie.
  6. Najbardziej efektywnym i wydajnym sposobem przekazywania informacji zespołowi deweloperskiemu i wewnątrz niego jest rozmowa twarzą w twarz.
  7. Działające oprogramowanie jest podstawową miarą postępu.
  8. Procesy zwinne umożliwiają zrównoważony rozwój. Sponsorzy, deweloperzy oraz użytkownicy powinni być w stanie utrzymywać równe tempo pracy.
  9. Ciągłe skupienie na technicznej doskonałości i dobrym projektowaniu zwiększa zwinność.
  10. Prostota – sztuka minimalizowania ilości koniecznej pracy – jest kluczowa.
  11. Najlepsze rozwiązania architektoniczne, wymagania i projekty pochodzą od samoorganizujących się zespołów.
  12. W regularnych odstępach czasu zespół analizuje możliwości poprawy swojej wydajności, a następnie dostraja i dostosowuje swoje działania do wyciągniętych wniosków.

Warto czerpać z tych praktycznych doświadczeń i zmieniać zwinnie świat, importując te zasady do swoich organizacji. Dzięki czemu będzie nam się żyło i pracowało efektywniej (w szerokim tego słowa znaczeniu). Będzie też mniej niedomówień, problemów z zaangażowaniem, komunikacją oraz motywacją, a co najważniejsze z satysfakcją – przede wszystkim – klienta (w tym i również tego wewnętrznego) oraz tym większa będzie wówczas wytworzona dla niego „wartość”. Tekst powstał na podstawie: agilemanifesto.org