Modtaget noget teknologi som et USB-drev med posten? Hvor fristende det end måtte være, så brug det ikke: det kan være malware eller fupnummer.
Alle kan lide gratis ting - især nyttig teknologi, som vil gøre en forskel for dit liv, eller gavekort, du kan bruge på andre gadgets, du ønsker. Men teknologien er måske ikke altid, hvad den ser ud til, og den kan være en del af en snedig plan for at få malware ind på dit netværk.
Hvem udsender gratis gadgets og hvorfor?
Der er et par grunde til, at virksomheder og enkeltpersoner udsender uopfordret gratis hardware. Hvis du for eksempel er en tech-skribent, er det ikke uhørt, at leverandører forsøger at få gratis reklame for deres nyeste enhed. Disse vil normalt blive sendt til anmelderens hus efter forudgående aftale.
Det ville være meget usædvanligt og mistænkeligt for et nyt stykke hardware at ankomme til en hjemmeadresse uden forudgående aftale.
En anden mulighed er, at varen kommer fra Amazon-sælgere, der har oprettet en konto ved hjælp af dine oplysninger, og som svigagtigt har købt gadgetten i dit navn. Dette er kendt
som en børstefidus, og giver leverandører mulighed for at skrive værdifulde verificerede anmeldelser for produkter af tvivlsom kvalitet. Det er en ret harmløs markedsføringsteknik, og andet end at skabe forvirring og måske mistanke modtageren, er den eneste reelle fare, at ægte kunder kan blive narret til at købe lav kvalitet gods.Den tredje mulighed er, at du bevidst er blevet målrettet, og at din skinnende nye dims er en malware-redet datatyver.
Brug ikke elektronik, du ikke har købt til dig selv
Selvom det kan virke langt ude, at kriminelle sender dig sej elektronik for at eksfiltrere data, sker det.
Hvorvidt du er målrettet eller ej, afhænger af din adgang til information, som de kriminelle ønsker. Hvis du er tilknyttet regeringen, militæret, politiet eller andre offentlige institutioner, har du sandsynligvis adgang til begrænsede systemer. Kriminelle ønsker den adgang for at stjæle data eller udføre ransomware-angreb.
I juni 2023 blev US Army Criminal Investigation Division udgivet en advarselsfolder, der rapporterede, at militærtjenestemedlemmer havde modtaget uopfordrede smartwatches.
Urene var ikke specielt dyre, men havde en række premium-funktioner, der ville gøre dem til et attraktivt tilbehør til sundheds- og fitnessbevidste soldater. Disse omfattede puls- og blodtryksovervågning, et vandtæt etui, skridttæller og farverige armbånd i størrelser til både mænd og kvinder.
Ifølge Army CID indeholdt urene også malware, der "får adgang til både stemme og kameraer, hvilket giver aktører adgang til samtaler og konti knyttet til smarturene."
Flyeren advarede yderligere om, at urene var udstyret med avanceret teknologi, der automatisk sluttede til Wi-Fi og "begyndte at oprette forbindelse til mobilen telefoner uopfordret, får adgang til et utal af brugerdata." Denne evne antyder et sofistikeret niveau langt over det, der er tilgængeligt for almindelige kriminelle. Mens bluejacking en Bluetooth-forbindelse til en telefon er en veletableret teknik, er det forbløffende, at disse små, tilsyneladende billige enheder var udstyret med hardware, der også kunne brute-force eller på anden måde trænge ind i et militært trådløst netværk.
Soldater, der modtog disse smartwatches, blev advaret om ikke at tænde dem, og i stedet "Rapportere til kontraspionage eller sikkerhedschef".
Siden mindst 2015 har den østeuropæiske Fin7 avancerede vedvarende trusselgruppe været rettet mod arbejdere i den amerikanske detail-, restaurant-, spil- og gæstfrihedsindustri, ifølge det amerikanske justitsministerium, efterligner legitime organisationer såsom Department of Health, Human Services, Amazon og Best Buy.
Ved at bruge USPS sender Fin7 ægte $50 gavekort til potentielle ofre sammen med en USB-stick, der angiveligt indeholder forslag til produkter, der skal købes.
Disse USB-sticks var ikke, hvad de så ud til: de indeholdt malware designet til at stjæle data fra virksomhedens netværk og implementere ransomware. Ifølge HackRead, senere versioner indeholdt også en Arduino mikrocontroller, programmeret til at fungere som et tastatur.
Selv tilsyneladende legitime enheder kan indeholde malware
Mens uopfordrede enheder bestemt bør få alarmklokkerne til at ringe, hvis de lander i din brevkasse, kan kriminelle nogle gange få adgang til USB-enheder tidligere i forsyningskæden. Der er talrige beretninger om, at dette sker ved flere lejligheder.
I 2018, Hackread rapporterede, at flytbare USB-medier blev leveret med Schneider Electric Conext Combox og Conext Battery Monitor-produkter kan have indeholdt malware tilføjet "under fremstilling hos en tredjepartsleverandør facilitet".
I 2006 tilbød MacDonalds Japan 10.000 MP3-afspillere som præmier. Som rapporteret af Registeret, indeholdt enhederne 10 MP3-numre sammen med en QQpass spyware-trojaner. Når brugere tilsluttede MP3-afspillere til deres hjemme-pc'er for at administrere og overføre deres musiksamling, kodeord og andre følsomme oplysninger blev overført til kriminelle.
Tag forholdsregler mod malware på enheder
Desværre er det umuligt at stole 100 procent på noget, du ejer. USB-enheder kan være forurenet med malware på ethvert trin under fremstillingen og distributionen proces, mens hærpersonalet blev udsat for smartwatch-malware så avanceret, føles det næsten som magi.
Det bedste, du kan gøre for at holde dig selv sikker, er at sørge for, at du har en kompetent og up-to-date antivirus på din pc, smid uopfordret teknologi i skraldespanden, og brug kun helt nye, forseglede USB-enheder.
