Här är varför du aldrig bör acceptera oönskad teknik per post

Alla gillar gratissaker – särskilt användbar teknik som kommer att göra skillnad för ditt liv, eller presentkort som du kan spendera på andra prylar du vill ha. Men tekniken kanske inte alltid är vad den verkar, och den kan vara en del av en listig plan för att få in skadlig programvara i ditt nätverk.

Vem skickar ut gratis prylar och varför?

Det finns några anledningar till att företag och privatpersoner skickar ut oönskad gratis hårdvara. Om du till exempel är en teknisk författare, är det inte ovanligt att leverantörer försöker få gratis publicitet för sin senaste enhet. Dessa skulle vanligtvis skickas till granskarens hus efter överenskommelse.

Det skulle vara högst ovanligt och misstänkt för en ny maskinvara att anlända till en inrikesadress utan föregående överenskommelse.

En annan möjlighet är att varan kommer från Amazon-säljare som har skapat ett konto med dina uppgifter och på ett bedrägligt sätt har köpt gadgeten i ditt namn. Detta är känt

som en borstning, och tillåter leverantörer att skriva värdefulla verifierade recensioner för produkter av tvivelaktig kvalitet. Det är en ganska ofarlig marknadsföringsteknik, och annat än att orsaka förvirring och kanske misstänksamhet mottagaren är den enda verkliga faran att genuina kunder kan luras att köpa låg kvalitet varor.

Den tredje möjligheten är att du medvetet har blivit inriktad på dig och att din nya glänsande pryl är en datastjälare som har råkat ut för skadlig programvara.

Använd inte någon elektronik du inte köpt till dig själv

Även om det kan verka långsökt att brottslingar skulle skicka dig cool elektronik för att exfiltrera data, händer det.

Huruvida du är måltavla eller inte beror på din tillgång till information som brottslingarna vill ha. Om du är associerad med regeringen, militären, polisen eller andra offentliga institutioner har du förmodligen tillgång till begränsade system. Brottslingar vill ha den åtkomsten för att kunna stjäla data eller utföra ransomware-attacker.

I juni 2023, US Army Criminal Investigation Division släppte en varningsbroschyr som rapporterade att militärtjänstmedlemmar hade fått oönskade smartklockor.

Klockorna var inte speciellt dyra, men hade ett antal premiumfunktioner som skulle göra dem till ett attraktivt tillbehör för hälso- och träningsmedvetna soldater. Dessa inkluderade puls- och blodtrycksövervakning, ett vattentätt fodral, stegräknare och färgglada armband i storlekar för både män och kvinnor.

Enligt Army CID innehöll klockorna också skadlig programvara som "åtkomst till både röst och kameror, vilket ger skådespelare tillgång till konversationer och konton kopplade till smartklockorna."

Flyern varnade vidare att klockorna var utrustade med avancerad teknik som automatiskt ansluts till Wi-Fi och "började ansluta till cellen telefoner utan uppmaning, får tillgång till en mängd användardata." Denna förmåga antyder en sofistikerad nivå långt över den som är tillgänglig för vanliga brottslingar. Medan bluejacking en Bluetooth-anslutning till en telefon är en väletablerad teknik, är det häpnadsväckande att dessa små, till synes billiga enheter var utrustade med hårdvara som också kunde brute-force eller på annat sätt penetrera ett militärt trådlöst nätverk.

Soldater som fick dessa smartklockor varnades för att inte slå på dem, och istället "Rapportera till kontraspionage eller säkerhetschef".

Sedan åtminstone 2015 har den östeuropeiska Fin7-gruppen för avancerade ihållande hot riktat sig mot arbetare inom den amerikanska detaljhandeln, restaurang-, spel- och hotellbranschen, enligt USA: s justitiedepartementet, som utger sig för legitima organisationer som Department of Health, Human Services, Amazon och Best Buy.

Med hjälp av USPS skickar Fin7 äkta presentkort på $50 till potentiella offer tillsammans med ett USB-minne som förmodligen innehåller förslag på produkter att köpa.

Dessa USB-minnen var inte vad de verkade: de innehöll skadlig programvara som utformats för att stjäla data från företagsnätverk och distribuera ransomware. Enligt HackRead, senare versioner innehöll också en Arduino mikrokontroller, programmerad att fungera som ett tangentbord.

Även till synes legitima enheter kan innehålla skadlig programvara

Även om oönskade enheter verkligen borde sätta varningsklockorna att ringa om de hamnar i din brevlåda, kan brottslingar ibland få tillgång till USB-enheter tidigare i leveranskedjan. Det finns många berättelser om att detta har hänt vid flera tillfällen.

Under 2018, Hackread rapporterade att flyttbara USB-media levereras med Schneider Electric Conext Combox och Conext Battery Monitorprodukter kan ha innehållit skadlig programvara som lagts till "under tillverkning hos en tredjepartsleverantör anläggning".

2006 erbjöd MacDonalds Japan 10 000 MP3-spelare som priser. Som rapporterats av Registret, innehöll enheterna 10 MP3-spår, tillsammans med en QQpass-spywaretrojan. När användare anslutit MP3-spelarna till sina hemdatorer för att hantera och överföra sin musiksamling, lösenord och annan känslig information överfördes till brottslingar.

Vidta försiktighetsåtgärder mot skadlig programvara på enheter

Tyvärr är det omöjligt att till 100 procent lita på något du äger. USB-enheter kan vara förorenade med skadlig programvara när som helst under tillverkningen och distributionen process, medan armépersonal exponerades för smartwatch skadlig kod så avancerad, känns det nästan som magi.

Det bästa du kan göra för att hålla dig säker är att se till att du har en kompetent och uppdaterad antivirus på din PC, kasta oönskad teknik i papperskorgen och använd bara helt nya, slutna USB-enheter.