как поведение людей влияет на безопасность

ДайджестыСтатьиСписок постов

Позднее Ctrl + ↑

Антифишинг вошёл в топ-45 российских EdTech-компаний по итогам 2 квартала 2020 года

В период пандемии люди становятся самым уязвимым звеном как в реальной жизни, так и в цифровой среде. По данным МВД, за три месяца 2020 года число преступлений с использованием IT-технологий выросло почти на 84% по сравнению с аналогичным периодом прошлого года.

Наша компания делает платформу, которая помогает компаниям обучать и тренировать сотрудников. На фоне роста числа мошенничеств и массового перехода на удаленную работу спрос на «Антифишинг» во втором квартале 2020 года вырос на 87,5% по сравнению с аналогичным периодом 2019 года.

Это позволило Антифишингу войти в топ-45 российских EdTech-компаний, составленный компанией Smart Ranking и ИТ-холдингом TalentTech.

«Антифишинг» — платформа, которая обеспечивает полную автоматизацию дистанционного обучения сотрудников, непрерывную тренировку навыков в сфере информационной безопасности и контроль над этими процессами со стороны ИБ- и HR-подразделений:

Простота и эффективность «Антифишинга» сделала его популярным в HR-службах компаний, в которых нашу платформу уже использовали ИБ-подразделения.

В числе достоинств «Антифишинга» HR-специалисты отмечают:

  • Простоту и автоматизацию. В нашей системе импорт сотрудников, назначение курсов, выдача сертификатов, контроль статусов по обучению и формирование отчетности выполняются автоматически. Пользователи легко попадают на свои курсы и быстро их проходят, а HR-службе не приходится по несколько дней отвечать на вопросы пользователей о том, как и где авторизоваться, чтобы добраться до назначенного курса.
  • Синхронизацию с корпоративным каталогом. Данные по сотрудникам и отделам всегда актуальны, система всегда может выбрать новичков и автоматически провести их по согласованному процессу обучения и тренировки навыков.
  • Оповещения в нужных форматах. Оповещения от «Антифишинга» приходят с внутренних адресов электронной почты, не попадают в спам и не требуют настройки исключений на защитных системах компании, а также выглядят именно так, как решат HR-специалисты и согласуют ИБ-подразделения.

Подробный обзор возможностей «Антифишинга» от портала Anti-Malware.

Сайт Антифишинга

 409   16 дн   пресс-релиз   статьи

Антифишинг-дайджест № 195 с 30 октября по 5 ноября 2020 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошеннические кампании

Мошенники используют Google Disk для рассылки электронных писем и push-уведомлений от Google, которые перенаправляют людей на вредоносные сайты.

На мобильных устройствах для рассылки используется функция совместной работы на Google Диске, которая создаёт push-уведомление, приглашающее к совместной работе над документом. Если нажать на уведомление, пользователь будет перенаправлен к документу, содержащему привлекательную ссылку.

Результат переадресации при щелчке со ссылке

В отличие от обычного спама, который Gmail фильтрует, подобные сообщения попадают в почтовый ящик жертвы и получают дополнительный уровень легитимности, поступая от самой Google.

Пользователи получают уведомления в Google Диске и электронные письма, написанные на русском или ломаном английском, с просьбой совместно поработать над документами. Документы всегда содержат ссылку на мошеннический web-сайт, один из которых, например, засыпает людей уведомлениями и просьбами перейти по ссылкам для розыгрыша призов. Другие версии мошеннических сайтов предлагают проверить свой банковский счет или получить платеж.

Обнаружена новая вымогательская кампания нацеленная на пользователей видеосервиса Zoom.

Схема атаки:

  • Жертва получает письмо по электронной почте с темой «Касательно видеоконференции в Zoom»;
  • В первом абзаце уведомления жертве сообщают, что «недавно вы участвовали в конференц-связи Zoom», после чего заявляется, что с помощью уязвимости нулевого дня злоумышленник получил полный доступ к веб-камере пользователя и записал интимные видео.
  • Как правило, человеку говорят, что у вымогателей имеются кадры его обнажённого тела перед камерой, либо записи из личной жизни.
  • Вымогатель требует 2000 долларов США в биткоинах за то, чтобы видео никуда не распространилось.
  • Работающие удалённо пользователи могут поверить этому блефу, поскольку дома все расслабляются и сидят перед компьютером в домашней одежде или без неё.

Атаки и уязвимости

Разработана атака на межсетевые экраны NAT Slipstreaming, с помощью которой можно получить удалённый доступ к сетевым сервисам во внутренней сети жертвы.

Для проведения атаки используется браузер и механизм Application Level Gateway (ALG), который используют межсетевые экраны и маршрутизаторы для отслеживания соединений. Метод позволяет извлекать внутренние IP-адреса с помощью атаки по времени или WebRTC, а также использовать манипуляции с MTU и IP-фрагментации, сжатие TCP-пакетов, неправильное использование аутентификации TURN, точный контроль границ пакетов и создание путаницы протоколов в браузере.

Поскольку порт назначения открывается межсетевым экраном, атака позволяет обходить реализованные в браузере ограничения на доступ к портам. к этой атакеВсе основные современные браузеры уязвимы,

С помощью нового алгоритма можно распознать слова, которые печатает на клавиатуре собеседник во время видеозвонка.

Выделение рук на фото и построение векторов

Алгоритм формирует список слов-кандидатов, анализируя движения контуров плеч и рук. Для этого фон вокруг тела собеседника удаляется, а изображение переводится в оттенки серого. Затем определяется лицо человека, а опираясь на него, выясняется расположение рук. Выделив на изображении руки пользователя, алгоритм оставляет лишь их контур и делит на две части: область около плечевого сустава и остальная часть руки.

На базе кадров с выделенными руками рассчитывается вектор смещения их контуров, а затем вероятность набираемых слов. Для повышения точности результатов также учитывается скорость печати, порядок использования рук во время набора и количество букв в словах.

Пока результаты не очень точные: при использовании словаря в 4 тыс. популярных слов три четверти введенных на клавиатуре слов оказывались в списке из 200 слов, которым алгоритм присвоил самую большую вероятность.

Владельцы ботнетов и мошенники используют припаркованные домены для распространения вредоносного ПО и проведения фишинговых кампаний.

Схема кампании по распространению Emotet

Один из доменов, использовавшихся в таких атаках, valleymedicalandsurgicalclinic[.]com, был зарегистрирован 8 июля 2020 года и сразу же припаркован. Начиная с 14 сентября этот домен стал вредоносным и начал распространять полезные нагрузки ботнета Emotet через фишинговые письма, что в итоге приводило к краже учетных записей и полному захвату контроля над зараженными устройствами.

Инциденты

В результате кибератаки вымогателя компания Mattel была вынуждена приостановить некоторые бизнес-процессы.

В ходе инцидента были зашифрованы данные на некоторых компьютерных системах, что привело к временному сбою некоторых бизнес-операций. По заявлению компании распространение инфекции удалось быстро остановить, и сведений о краже важной корпоративной информации пока не имеется. Компания не сообщает, какой именно вымогательское ПО использовалось для кибератаки.

В даркнете выставлена на продажу база с 34 млн пользовательских записей, похищенных у 17 различных компаний.

Объявление о продаже информации

По заявлению продавца данные были украдены злоумышленниками в 2020 году. Самая крупная утечка в 8,1 млн записей произошла у компании Geekie.com. Самая известная пострадавшая компания — сингапурская RedMart — 1,1 млн записей

О пользователях каждой компании доступна следующая информация:

  • Redmart.lazada.sg: email, пароли (SHA1), почтовые и платежные адреса, полные имена пользователей, номера телефонов, частичные номера кредитных карт и даты истечения их срока действия;
  • Everything5pounds.com: email, хешированные пароли, имена, пол, номера телефона;
  • Geekie.com.br: email, пароли (bcrypt-sha256/sha512), username, имена, DoB, пол, номер мобильного телефона, бразильские номера CPF;
  • Cermati.com: email, пароли (bcrypt), имена, адреса, телефоны, информация о доходах, банк, номер налогоплательщика, номер ID, пол, данные о работе, компании, девичья фамилия матери;
  • Clip.mx: email, телефон;
  • Katapult.com: email, пароли (pbkdf2-sha256/неизвестно), имена;
  • Eatigo.com: email, пароли (md5), имена, телефоны, пол, идентификаторы и токены Facebook;
  • Wongnai.com: email, пароли (md5), IP-адреса, идентификаторы Facebook и Twitter, имена, дата рождения, телефоны, почтовые индексы;
  • Toddycafe.com: email, пароли, имена, телефоны, адреса;
  • Game24h.vn: email, пароли (md5), username, даты рождения, имена;
  • Wedmegood.com: email, пароли (sha512), телефоны, идентификаторы Facebook;
  • W3layouts.com: email, пароли (bcrypt), IP-адреса, страны, города, штаты, телефоны, имена;
  • Apps-builder.com: email, пароли (md5crypt), IP-адреса, имена, страны;
  • Invideo.io: email, пароли (bcrypt), имена, телефоны;
  • Coupontools.com: email, пароли (bcrypt), имена, телефоны, пол, даты рождения;
  • Athletico.com.br: email, пароли (md5), имена, CPF, даты рождения;
  • Fantasycruncher.com: email, пароль (bcrypt/sha1), имя и IP-адрес пользователя.

Злоумышленники взломали сервера IP-телефонии 1,2 тыс. организаций и использовали их для незаконного обогащения.

Реклама услуг телефонии через взломанные компании

Хакеры атаковали Sangoma PBX — пользовательский интерфейс для управления системами VoIP-телефонии Asterisk.

Взлом VoIP-серверов даёт преступникам несколько вариантов их эксплуатации. Наиболее денежные способы — перепродажа услуг телефонии с использование взломанных сервисов и звонки на премиум-номера, которые используют, чтобы за более высокую плату предлагать покупки и другие услуги по телефону, например, перевод звонящих в режим ожидания.

Поскольку осуществление звонков является легитимной функцией, определить, что сервер находится под контролем злоумышленников, очень сложно.

Приглашаем принять участие в XI Международном форуме по борьбе с мошенничеством в сфере высоких технологий AntiFraud Russia 2020

10 декабря 2020 года
10:00 МСК
Мероприятие пройдёт в онлайн-формате.

Программа форума
Зарегистрироваться на AntiFraud Russia 2020

Форум традиционно проводится Академией Информационных Систем при поддержке и участии Банка России, МВД России, Ассоциации банков России и Секретариата ОДКБ. Также к участию приглашаются представители Государственной Думы РФ, ФСБ России, Следственного комитета, Росфинмониторинга, Минкомсвязи России, других федеральных ведомств, российских и международных общественных объединений, отраслевых союзов и ассоциаций.

Эксперты Антифишинга примут участие в круглом столе, на котором будут обсуждаться следующие вопросы:

  1. Почему не всегда работает самый простой совет против телефонных мошенников — положить трубку и перезвонить в банк?
  2. Что делать банкам, если клиенты перестанут верить звонкам и сообщениям от реальных служб безопасности о сомнительных переводах?
  3. Появится ли «популяционный иммунитет» против социнженерии в условиях форсированной цифровизации и появления все новых сервисов?
  4. Социальная ответственность банков и провайдеров цифровых услуг — это дополнительные косты или рост доверия и новые клиенты?
  5. Фишинг в период пандемии: на чем играют мошенники и насколько успешно они эксплуатируют эту новую тему?
  6. Каковы лучшие практики в сфере повышения осведомленности сотрудников, в том числе банков? Роль психологов и специалистов по ИБ в киберучениях.
 218   20 дн   дайджест   фишинг

Антифишинг-дайджест № 194 с 23 по 29 октября 2020 года

Представляем новости об актуальных технологиях фишинга и других атаках на человека с 23 по 29 октября 2020 года


Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошеннические кампании

Операторы ботнета Emotet «запустили» новый способ запуска вредоноса: они предлагают своим жертвам обновить MS Word.

Схема атаки:

  1. Жертва получает письмо с вложенным документом MS Word. В письме содержится информация, побуждающая срочно открыть этот документ, например, в связи с тем, что в нем имеются важные сведения о COVID-19:

2. Когда жертва открывает вложение, ей выводится предупреждение о том, что необходимо разрешить содержимое. При нажатии этой кнопки пользователь разрешает выполнение макросов. Чтобы подтолкнуть его к этому, в новом варианте атаки преступники добавляют в документ предложение обновить MS Word, чтобы добавить в него новые функции, и именно в связи с этим и нужно разрешить содержимое:

3. Если жертва разрешает содержимое, на компьютер устанавливается клиент ботнета Emotet:

4. С этого момента компьютер жертвы становится участником сети, через которую производится рассылка спама, загрузки других вредоносных программ и DDoS-атак.

Мобильная безопасность

Предварительный просмотр ссылок в популярных приложениях для обмена сообщениями может привести к раскрытию IP-адресов пользователя, отправленных через зашифрованные чаты ссылок и незаметной загрузке гигабайтов данных в фоновом режиме.

Предварительный просмотр ссылок позволяет пользователю увидеть краткое описание ссылки и соответствующее ей изображение. При создании предварительного просмотра на стороне получателя злоумышленник может узнать приблизительное местоположение жертвы, отправив ссылку на подконтрольный ему сервер. Приложение для обмена сообщениями, получив сообщение со ссылкой, автоматически открывает URL-адрес для создания предварительного просмотра, раскрывая IP-адрес телефона в запросе, отправленном на сервер.

Использование для генерации превью внешнего сервера предотвращает раскрытие IP-адреса, однако создает новую проблему, связанную с сохранением конфиденциальности попавших на сервер данных. Например, Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter и Zoom загружают содержимое ссылки на свои сервера, никак не уведомляя об этом пользователей. В случае, если по ссылке находится JavaScript-код, он может быть выполнен:

Ещё одна проблема с предварительным просмотром состоит в том, что не все приложения ограничивают размер файлов, загружаемых для его создания. Например, Facebook Messenger и Instagram загружают файлы целиком, даже если их размер достигает нескольких гигабайтов:

Инциденты

Энергетическая компания Enel Group стала жертвой шифровальщика-вымогателя Netwalker. Вторая в этом году кибератака стала успешной: преступники похитили около 5 Тб информации и зашифровали файлы на серверах и компьютерах.

Преступники опубликовали скриншоты со списком похищенных файлов на своём сайте. Там же тикает таймер обратного отсчёта. Когда он обнулится, украденная информация будет опубликована в общем доступе.

Скриншот с таймером обратного отсчёта.

За удаление похищенных файлов и ключ для расшифровки операторы Netwalker требуют выкуп в размере 1234,0238 Биткоина, что по текущему курсо составляет около 14 млн долларов США.

Требование о выкупе в «личном кабинете жертвы» на сайте вымогателя

С помощью новой мошеннической схемы преступники незаконно списывали деньги у одного из екатеринбургских банков в счет оплаты бензина на автозаправочных станциях Екатеринбурга и Свердловской области.

Схема действий преступников:

  1. Злоумышленники опускали топливный пистолет в заправляемую емкость или в топливный бак автомобиля, вводили на дисплее автоматического терминала сумму, на которую необходима заправка, равную сумме денежных средств на карте, и таким образом авторизовали процесс заливки горючего.
  2. Когда бензин начинал заливаться в бак, через личный кабинет мошенники меняли счет с положительным балансом на счет без денег. В связи этим банк был вынужден допускать овердрафт (перерасход кредитуемых средств) на карте мошенников и оплатить заправку за свой счет.
  3. «Бесплатный» бензин мошенники продавали по дешёвке таксистам.

Всего зафиксировано 30 фактов хищения на сумму более 1 млн. рублей.

Неизвестные хакеры взломали официальный сайт предвыборной кампании Дональда Трампа donaldjtrump[.]com и разместили на главной странице пародию на стандартное уведомление об изъятии домена правоохранительными органами.

Послание взломщиков: «данный сайт был захвачен», потому что «мир устал от фальшивых новостей, ежедневно распространяемых президентом Дональдом Трампом».

Хакеры также заявили, что скомпрометировали несколько устройств Трампа и его приближенных, и теперь в их распоряжении имеется различная секретная информация, включая данные о происхождении коронавируса. Всем желающим проголосовать за или против публикации этих сведений предлагается пожертвовать криптовалюту Monero на соответствующий кошелёк.

Финская общенациональная сеть психотерапевтических клиник Vastaamo стала жертвой кибератаки, в результате которой произошла утечка данных десятков тысяч пациентов.

Преступник потребовал выкуп в размере 40 Биткоинов (около 500 000 долларов США по текущему курсу), а чтобы сделать руководство клиники более сговорчивым, стал публиковать конфиденциальную информация о пациентах в даркнете,

Также сообщается, что не добившись желаемого от руководства Vastaamo, вымогатель стал напрямую связываться с пациентами по электронной почте и требовать у них по 240 долларов в криптовалюте за удаление их записей из украденной БД. Предполагается, что злоумышленник пошёл на такой шаг после того, как несколько человек узнали об утечке и сами предложили хакеру деньги за удаление информации о себе. Для них шантажист установил цену в 0,05 биткоина (около 650 долларов США).

Из-за кибератаки вымогательского ПО индийский фармацевтический гигант Dr Reddy’s отключил все свои серверы центров обработки данных и остановил производство на предприятиях в США, Великобритании, Бразилии, Индии и России.

Dr Reddy’s изготавливает препараты для лечения коронавирусной инфекции (COVID-19) «Ремдесивир» и «Фавипиравир». Кибератака произошла через несколько дней после того, как компания получила одобрение Генерального контролера лекарственных средств Индии (Drugs Controller General of India, DCGI) на проведение клинических испытаний российской вакцины «Спутник V» в стране.

Приглашаем на бесплатный вебинар «Цена непрерывности бизнеса. Человеческий фактор в ИБ»

Когда: 5 ноября 2020 года в 11:00 МСК
Организаторы: Angara Professional Assistance и Антифишинг.

Один из ключевых векторов современных атак — человеческий фактор, а главная защитная мера — обучение и тренировка сотрудников осознанному противостоянию уловкам злоумышленников. На вебинаре мы расскажем о программах повышения осведомленности пользователей, вариантах обучения и тестирования, киберучениях.

Одним из докладчиков мероприятия будет Сергей Волдохин, директор Антифишинга. Основные тезисы его выступления:

  1. Классификация и примеры цифровых атак на людей.
  2. Процесс обучения и тренировки навыков. Целевой результат.
  3. Антифишинг как платформа для автоматизации Методология. Эффективность процесса.

Программа и более подробная информация о вебинаре

Зарегистрироваться на вебинар


 796   24 дн   дайджест   фишинг
Ранее Ctrl + ↓