Rose debug info
---------------

как поведение людей влияет на безопасность

ДайджестыСтатьиСписок постов

Позднее Ctrl + ↑

Антифишинг-дайджест № 224 с 28 по 3 июня 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена масштабная мошенническая схема, связанная с продажей ответов к государственным экзаменам.

Схема кампании:

  1. Злоумышленники создают сайты, группы в социальных сетях или каналы в мессенджерах, где размещают объявления о продаже якобы «слитых» ответов к предстоящим экзаменам из проверенных источников .
  2. В качестве «пробника» мошенники выкладывают часть «ответов» к предстоящим испытаниям.
  3. Для получения доступа ко всей информации жертвам предлагают заплатить от 400 до 1200 рублей.

  1. Получив денежный перевод, мошенники направляют ученикам фальшивые ответы, не имеющие ничего общего с подлинными, или просто вносят покупателей в «черный список» и больше не выходят на связь. В результате «нерадивые ученики» теряют деньги и время, которое они могли бы с пользой потратить на подготовку к экзаменам.
Один из мошеннических ресурсов.

Всего в Рунете обнаружено более 100 сайтов, групп в соцсетях и телеграм-каналов, где выпускникам предлагают купить «шпаргалки» с ответами на ЕГЭ.

Атаки и уязвимости

В популярных антивирусных продуктах обнаружены уязвимости, с помощью которых можно обойти защиту от вымогательского ПО и получить контроль над белым списком приложений.

Схема атаки Cut-and-Mouse

Атака Cut-and-Mouse позволяет обойти функцию защищённых папок, которую многие антивирусы предлагают для защиты от шифровальщиков-вымогателей. Запись в такие папки предоставляются лишь некоторым приложениям из белого списка. Однако эти приложения не защищены от неправомерного использования другими приложениями, поэтому вредоносное ПО может выполнять операции с защищенными папками, используя приложения из белого списка в качестве посредников.

Например, вредоносный код может воспользоваться «Блокнотом» для выполнения операций записи и шифрования файлов жертвы, хранящихся в защищенных папках. Для этого достаточно прочитать файлы в папках, зашифровать их в памяти и скопировать в буфер обмена, а затем запустить «Блокнот» и с его помощью перезаписать содержимое папки данными из буфера обмена.

Атака Ghost Control ещё проще и состоит в том, что функцию защиты антивирусов можно отключить, отправляя ему системные сообщения Windows, уведомляющие о кликах мыши на определённых кнопках в управляющем интерфейсе.

Уязвимыми для атаки Ghost Control оказались 14 из 29 протестированных антивирусов, а против атаки Cut-and-Mouse не устоял ни один.

Мобильная безопасность

В рамках очередной кампании против владельцев Android-смартфонов злоумышленники распространяют вредоносное ПО под видом популярных Android-приложений от известных компаний.

В числе таких приложений — фальшивые плеер VLC, антивирус Касперского, приложения FedEx и DHL. Установившие их пользователи получают вместо желаемого банковские трояны Teabot или Flubot.

Teabot перехватывает проверочные коды для авторизации в учетных записях Google, записывает нажатия клавиш, показывает поддельные экраны поверх настоящих и может захватить полный контроль над устройством.

Троян Flubot похищает данные для входа в онлайн-банкинг, текстовые сообщения и других персональных данных. Этот вредонос умеет распространяться автоматически через SMS-рассылку.

Поддельные приложения не представлены в Google Play Store и распространяются только через сторонние магазины.

Инциденты

Хакеры взломали компьютерную систему американской транспортной компании Metropolitan Transportation Authority (MTA).

Для взлома злоумышленники эксплуатировали уязвимость нулевого дня CVE-2021-22893 в шлюзах Pulse Connect Secure.

Представители Metropolitan Transportation Authority заявляют, в ходе анализа атаки не было выявлено никаких свидетельств дальнейшего проникновения, и персональная информация клиентов компании скомпрометирована не была. MTA сообщила об инциденте в правоохранительные и другие государственные органы, но не раскрыла его публично.

Известно, что атаковавшие Metropolitan Transportation Authority хакеры не преследовали финансовую выгоду, не использовали вымогательское ПО и не требовали выкупа. Атака была частью широкомасштабной кибероперации, проводимой хакерами, предположительно работающими на китайское правительство.

Киберпреступники взломали сайт президента Мьянмы и внедрили вредоносное ПО в пакет бирманского шрифта, доступного для скачивания на главной странице сайта.

Использованное для атаки вредоносное ПО имеет сходство с вредоносной программой, использовавшейся в фишинговых кампаниях, проводимых китайскими правительственными хакерами, в том числе группировками Mustang Panda, RedEcho и Bronze President.

Mustang Panda известна своими тщательно подготовленными фишинговыми атаками. В данной конкретной кампании группировка модифицировала пакет шрифтов Юникода, который пользователи могут загружать с сайта президента Мьянмы. Злоумышленники добавили в архив загрузчик Cobalt Strike под названием Acrobat.dll, загружающий shell-код Cobalt Strike.

Компания JBS Foods, крупнейший производитель продуктов питания, была вынуждена приостановить производство на нескольких объектах из-за вымогательской атаки. Инцидент затронул несколько производственных предприятий JBS в разных странах, включая США, Австралию и Канаду.

Влияние инцидента особенно остро ощущается в австралийском представительстве компании, которое было вынуждено отменить весь запланированный на понедельник забой коров и овец в Квинсленде, Виктории, Новом Южном Уэльсе и Тасмании.

По словам главы Профсоюза работников мясоперерабатывающей промышленности Австралии Мэтта Журно (Matt Journeaux), у многих сотрудников JBS зарплата рассчитывается по количеству отработанных дней, поэтому из-за простоя тысячи людей останутся без денег.

В JBS подчеркнули, что в ходе расследования не было обнаружено никаких доказательств компрометации данных клиентов, поставщиков или сотрудников.

Управление здравоохранения Швеции (Folkhälsomyndigheten) отключило свою базу данных инфекционных заболеваний SmiNet после нескольких попыток взлома.

Как сообщают представители организации, управление здравоохранения Швеции обнаружило несколько попыток взлома базы данных SmiNet, поэтому база данных временно отключена. Ведется работа по максимально быстрому расследованию того, мог ли кто-либо получить доступ к конфиденциальным личным данным из базы данных, а также по исправлению и устранению любых недостатков.

Из-за отключения базы данных Управление здравоохранения Швеции не смогло предоставить полную статистику по заболеваемости COVID-19. По состоянию на понедельник, 31 мая, расследование все еще продолжалось , но никаких свидетельств взлома обнаружено не было.

Компания ExaGrid, выпускающая устройства резервного копирования, выплатила операторам вымогателя Conti выкуп в размере 50,75 биткоинов — примерно 2,6 млн долларов США.

Киберпреступники получили доступ к данным сотрудников и клиентов, а также конфиденциальным контрактам. Они проникли в сеть компании и оставались в ней более месяца, зашифровали файловые серверы, SQL-серверы, похитили всю важную информация общим объемом более 800 ГБ.

Злоумышленники также предположительно похитили личные данные клиентов и сотрудников компании, коммерческие контракты, соглашения о неразглашении, финансовые данные, налоговые декларации. Первоначальная сумма выкупа составляла 7,48 млн долларов США.

Профессор психологии Алла Аведисова, руководитель отделения психического и поведенческого расстройства НИИ им. Сербского, который проводит экспертизы убийц и маньяков, стала жертвой мошенников.

Профессор поверила телефонному аферисту, который представился сотрудником отдела безопасности Росбанка и заявил, что на ее имя попытались получил кредит в 1 млн. Чтобы защититься, профессору нужно было срочно снять со счёта все свои сбережения. и передать их «сотруднику банка» на ответственное хранение.

Профессор сняла со своих счетов 74,4 тыс долларов США, 135,5 тыс евро, 25 тысяч рублей, а затем пришла на встречу в кафе и передала их незнакомому мужчине. Получив деньги, преступники не успокоились и оформили на профессора кредит на 1 миллион рублей. Общая сумма ущерба составила более 14,6 млн рублей.

 141   21 д   дайджест   фишинг

Антифишинг-дайджест № 223 с 21 по 27 мая 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена целевая киберкампания против художников-фрилансеров на платформе ArtStation, где художники публикуют свои портфолио в разных жанрах.
Обычной практикой для пользователей сайта являются личные электронные письма от заказчиков, которые ознакомились с работами и сочли, что исполнитель подходит для их проекта.

Схема кампании

1. Концепт-художнику из США, зарегистрированному на ArtStation, пришло приглашение на собеседование от компании 2K, издателя игр BioShock, Mafia, Sid Meier’s Civilization, NBA 2K и Borderlands. Ему предложили занять позицию в штате с хорошей зарплатой и возможностью работать удаленно. Письмо было грамотно составлено и включало множество деталей, которые обычно указывают на профессионального специалиста HR-отдела.

2. «Наниматель» сообщил, что для прохождения собеседования нужно установить Telegram. Художник загрузил мессенджер, а затем вышел на связь с рекрутером.

3. Мошенники провели с художником подробное интервью в формате переписки в секретном чате Telegram. По словам жертвы, ни на секунду у него не возникало ощущения, что все происходящее — постановка. Вопросы «рекрутера» действительно требовали профессиональных знаний о перспективе, теории цвета и шейдинге, и их не смог бы задать человек с улицы. Справившись с испытанием, он узнал, что прошел отбор.

4. «Работодатель» сообщил о требованиях к оборудованию нового сотрудника. Это оказался MacBook Pro с определенными характеристиками и набором ПО для графического дизайна плюс калибратор экрана и устройство для учета отработанного времени. Все это требовалось купить у конкретного поставщика. На эти цели жертве обещали выписать чек с авансом.

5. После липового собеседования кандидату действительно приходит некий чек якобы из финансового отдела. Доставляет его настоящий курьер FedEx и требует расписаться в ведомости о вручении.

6. «Чек» визуально он похож на настоящий, но не содержит ни водяных знаков, ни других степеней защиты, поскольку напечатан на обычном цветном принтере. Прислать его стараются в пятницу ближе к вечеру, чтобы у получателя не было возможности сходить в банк и проверить подлинность. По выходным многие банки не работают, и ссылаясь на это обстоятельство, мошенники подталкивают счастливого кандидата не дожидаться клиринга и сразу оплатить компьютер из собственного кармана.

7. Если жертва подтверждает готовность оплатить сразу, злоумышленники наконец раскрывают личность своего «уполномоченного поставщика», которым оказывается физическое лицо с аккаунтами в Venmo или Zelle — американских сервисах денежных переводов. Доверчивый соискатель отправляет «поставщику» эквивалент стоимости MacBook и остального «обязательного оборудования» — более трех с половиной тысяч долларов США, после чего работодатель пропадает с горизонта.

Умные устройства

Недорогие умные розетки Sonoff S26 и Ener-J WiFi. могут быть использованы преступниками для взлома домашних сетей.

Эти популярные устройства стоимостью около 10 долларов США можно использовать для хищения учетных данных авторизации в сети Wi-Fi, поскольку они обмениваются незашифрованными данными с маршрутизатором и используют ненадежные заводские пароли.

Отсутствие шифрования позволяет любому желающему перехватить трафик Wi-Fi вместе с паролями, после чего подключиться к домашней сети и выполнять всевозможные действия от хищения видео- и аудиоданных с ноутбуков до управления уязвимыми IoT-устройствами . Беспроводное подключение также может использоваться для рассылки спама, загрузки незаконных материалов из интернета или проведения DDoS-атак.

Атаки и уязвимости

Разработаны два варианта атаки, которые позволяют скрытно изменить содержимое PDF-документа, заверенного цифровой подписью:

  • атака Evil Annotation даёт возможность добавить в документ вредоносную аннотацию;
  • атака Sneaky Signature добавляет вместо подписи сторонний контент.

Первый вариант атаки обусловлен отсутствием в спецификациях PDF ограничений на содержимое аннотаций FreeText, Redact и Stamp. Благодаря этому их можно использовать для внесения в документ картинки или нового текста без ведома создателя файла. Оказалось, что 11 из 28 предусмотренных PDF аннотаций позволяют скрыть вредоносный контент внутри подписанного документа.

Замена суммы контракта с помощью атаки

Вторая атака — Sneaky Signature — позволяет внести изменения в контракт, уже подписанный одной из сторон. Используя уязвимость, другие партнеры при подписании документа могут добавить пустое поле и заполнить его произвольной информацией.

Тестирование 26 популярных инструментов для работы с PDF выявило, что 24 из них в той или иной степени уязвимы к атакам. Надежную защиту обеспечивают только PDF Editor 6 Pro and PDFelement Pro.

В macOS и tvOS исправлены три уязвимости нулевого дня, которые уже использовали хакеры. Одна из них применялась вредоносным ПО XCSSET для обхода защитных механизмов macOS.

Схема атаки вредоносного ПО с использованием одной из уязвимостей.

Уязвимости CVE-2021-30663 и CVE-2021-30665 менее опасны, поскольку представляли угрозу только для WebKit на устройствах Apple TV 4K и Apple TV HD. Их можно было использовать через специально подготовленный вредоносный веб-контент, который приводил к повреждению информации в памяти и давал возможность выполнить на уязвимом устройстве произвольный код.

Третья ошибка нулевого дня CVE-2021-30713 представляла серьёзную опасность для устройств под управлением macOS Big Sur, и была связана с разрешениями во фреймворке Transparency, Consent, and Control (TCC). Её эксплуатация позволяет злоумышленнику получить полный доступ к диску, записи экрана или другие разрешения без согласия пользователя.

Новый способ атаки Rowhammer на запоминающее устройство с произвольной выборкой (RAM) увеличивает линейку потенциально уязвимых устройств.

Классический и новый варианты атаки Rowhammer.

Атака Rowhammer базируется на конструкции современных карт памяти, где ячейки памяти хранятся в виде сетки. Её принцип состоит в том, что вредоносное приложение в ускоренном режиме производит чтение/запись в ряды ячеек памяти. Из-за того, что ячейки меняют свое значение с 0 на 1 и наоборот за очень короткий промежуток времени внутри рядов ячеек памяти образуется небольшое электромагнитное поле.

Под влиянием электромагнитного поля в близлежащих рядах ячеек возникают ошибки, приводящие в «переворачиванию» битов (flip bits) и изменению данных в соседних рядах.

Новый вариант атаки под названием Half-Double переворачивает биты на расстоянии не одного, а двух рядов ячеек памяти от атакуемого ряда.

Возможность для проведения нового варианта атаки появилась благодаря тому, что карты RAM за последние годы стали меньше, в результате чего расстояние между рядами ячеек памяти тоже уменьшилось, так что создаваемое Rowhammer электромагнитное поле теперь охватывает больше ячеек, чем в 2014 году, когда был разработан первый вариант той атаки.

В спецификациях Bluetooth Core и Mesh Profile обнаружены проблемы, которые позволяют атакующему выдать себя за легитимное устройство во время сопряжения, а также запускать атаки типа man-in-the-middle.

Атака Bluetooth Impersonation AttackS (BIAS) позволяет злоумышленнику устанавливать с атакуемым устройством безопасное соединение без необходимости знать или аутентифицировать долгосрочный ключ, которым обмениваются жертвы, в обход механизма аутентификации устройств.

Атака BIAS незаметна, поскольку для установления безопасного Bluetooth-соединения взаимодействие с пользователем не требуется

Инциденты

Данные 4,5 млн пассажиров авиаперевозчика Air India оказались раскрытыми после взлома IT-системы, принадлежащей швейцарской компании SITA, обработчика сведений системы обслуживания пассажиров.

В результате взлома была обнаружена утечка данных, принадлежащих как минимум 4,5 миллиона человек, включающих имена, паспортные данные и платежные реквизиты без номеров CVV / CVC и паролей от банковских карт.

Утечка затронула как минимум десять крупных авиакомпаний, включая Malaysia Airlines, Singapore Airlines, Jeju Air, Air New Zealand, Polish Airlines, Finnair, Scandinavian Airlines, Cathay Pacific и Lufthansa. Подробностей о произошедшем по-прежнему очень мало. До недавнего времени авиакомпании даже не могли сообщить, какие именно данные пассажиров были раскрыты из-за утечки.

В результате кибератаки вымогательского ПО на окружное управление здравоохранения региона Вайкато (Waikato DHB) Новой Зеландии нарушилась работа всей системы управления здравоохранения, включая телефоны и парковочные счетчики. Сотрудникам пришлось перейти на ручные и бумажные средства.

Госпиталь Вайкато, одно из пострадавших учреждений округа.

Подробности кибератаки не разглашаются. Известно, что группировка, взявшая на себя ответственность за инцидент, связалась с представителями СМИ, однако они не стали публиковать полученную информацию и передали её в полицию для расследования инцидента.

По данным радиокомпании Radio New Zealand (RNZ) украденные преступниками данные предположительно включают конфиденциальную информацию о пациентах и ​​записи сотрудников, контракты и финансовые сведения. Подлинность похищенных документов пока что не была подтверждена.

Правительство Новой Зеландии заявило, что не будет платить преступникам выкуп, потому что это будет способствовать дальнейшим правонарушениям.

Производитель аудиотехники Bose сообщил, что 7 марта 2021 года стал жертвой атаки шифровальщика.

Фрагмент шаблона уведомления об инциденте, направленного сотрудникам компании.

Расследование выявило, что вымогатели получили доступ к внутренним файлам отдела кадров, в которых хранились данные о сотрудниках Bose, включая имена, номера социального страхования и сведения о заработной плате. Подчеркивается, что злоумышленники «взаимодействовали с ограниченным набором папок». У компании имеются подтверждения того, что хакеры получили доступ к закрытой информации, однако определить, были файлы украдены или нет, невозможно.

Для улучшения защиты были приняты следующие меры:

  • изменены пароли для всех конечных и привилегированных пользователей;
    изменены ключи доступа для всех сервисных аккаунтов;
  • на внешних брандмауэрах заблокированы все обнаруженные вредоносные сайты и IP-адреса, связанные с атакующими, чтобы предотвратить потенциальное хищение данных;
  • улучшен мониторинг и ведение логов для выявления действий злоумышленников и похожих атак в будущем;
  • для предотвращения распространения вредоноса и кражи данных заблокированы вредоносные файлы, использованные во время атаки на рабочие станции;
  • проведен тщательный криминалистический анализ пострадавшего сервера;
  • на рабочих станциях и серверах усилена защита от вредоносного ПО.
 178   28 дн   дайджест   фишинг

Антифишинг-дайджест № 222 с 14 по 20 мая 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Новая мошенническая кампания замусоривает календарь владельцев iPhone ложными порнографическими событиями и предупреждениями о заражении, чтобы подписать на платную программу.

Схема кампании

1. Через вредоносную рекламу, взломанные сайты WordPress и манипуляции с поисковой выдачей пользователей заманивают на мошеннические страницы со ссылкой для оформления платной подписки на приложение.

2. На мошеннической странице пользователю демонстрируется CAPTCHA, с помощью которой он должен подтвердить, что является человеком. После нажатия на чекбокс появится предложение добавить подписку в приложение «Календарь».

3. Если принять их предложение, на устройстве начнут появляться назойливые предупреждения, провоцирующие жертву открыть ссылку.

4. Если отклонить предложение мошенников, в браузере вновь откроется страница с фальшивым тестом CAPTCHA. Повторное его прохождение вызовет то же окно, навязывающее подписку. Активация любой кнопки в этом сообщении перенаправит на мошенническую страницу, утверждающую, что iPhone заражен или подвергся хакерской атаке.

5. Спастись поможет приложение в App Store — поддельный клиент VPN или фальшивая защитная программа, стоимость подписки на которую составляет от 8,99 до 9,99 долларов США в неделю.

Умные устройства

В автомобилях Mercedes-Benz обнаружены критические уязвимости, эксплуатация которых позволяет удаленно выполнить код.

Источником уязвимостей стала Mercedes-Benz User Experience (MBUX) — информационно-развлекательная система, которая имеется во всей линейке автомобилей производителя.

Уязвимости CVE-2021-23906, CVE-2021-23907, CVE-2021-23908, CVE-2021-23909 и CVE-2021-23910 позволяют хакерам удаленно управлять некоторыми функциями автомобиля, но без доступа к физическим характеристикам, таким как рулевое управление или тормозная система.

Причина проблем — использование устаревшего ядра Linux, уязвимости во встроенном JavaScript-движке браузера, в процессоре Wi-Fi, стеке Bluetooth, функциях USB или включенных сторонних приложения, которые обмениваются данными с удаленными серверами.

Пульт дистанционного управления от популярной ТВ-приставки Comcast Xfinity X1 может использоваться как подслушивающее устройство.

Пульт представляет собой настоящий мини-компьютер, оснащённый микрофоном для голосового управления, радиоинтерфейсом и встроенной прошивкой. Раз в сутки он автоматически запрашивает у приставки обновлённую прошивку, и если таковая обнаружена, без проверок устанавливает её.

Используя эту особенность, исследователям удалось загрузить в пульт модифицированную прошивку, которая посылала запрос на получение обновления не раз в 24 часа, а раз в минуту, и при получении особого ответа включала встроенный в пульт микрофон и транслировала звук атакующим. Атака работает на достаточно большом расстоянии, успешно передавая сигнал через стену, как если бы рядом с домом стоял автомобиль с прослушкой.

Из-за ошибки пользователи камер видеонаблюдения Eufy получили доступ к видеопотокам других людей со всего мира.

Проблема проявилась во время запланированного обновления сервера. Специалисты производителя заметили её уже через 40 минут, а еще через час уязвимость исправили.

Несмотря на такую оперативность исправления, в течение всего дня пользователи камер Eufy продолжали использовать те же сессии, просматривая кадры с чужих камер. Это вызвало массовую панику среди пользователей, которые решили, что их конфиденциальность нарушена.

Случайные «злоумышленники», подключившиеся к чужой камере, могли управлять устройствами по своему желанию, просматривать данные учетной записи, чтобы узнать настоящее имя пользователя, его местоположение и другие детали, которые могут быть использованы для угроз и вымогательства.

Устройства Apple AirTag можно использовать, чтобы выяснить, когда дом, квартира или офис пустуют.

AirTag — маячок размером с монету, отслеживающий местонахождение вещей с помощью Bluetooth. Он помогает отыскать ключи, кошелек, определить где, находится чемодан и найти сбежавшее домашнее животное.

AirTag работает за счет использования сети Apple Find My и регулярно отправляет сигналы, которые улавливает iPhone и другие устройства Apple, находящиеся поблизости. Всякий раз, когда AirTag приближается к одному из устройств, его местоположение должно автоматически обновляться в сети Find My и отображаться в приложении iOS.

Таким образом, если кто-то оставит AirTag рядом с жилым помещением, владелец AirTag сможет выяснить, когда никого нет дома.

Атаки и уязвимости

В технологии AMD SEV (Secure Encrypted Virtualization), защищающей виртуальные машины от вредоносных ОС, обнаружены уязвимости, которые позволяют злоумышленникам внедрять виртуальные машины вредоносный код и захватывать полный контроль над операционной системой.

Атаки через уязвимости SEVurity (CVE-2020-12967) и undeSErVed (CVE-2021-26311) работают против процессоров AMD, защищенных с помощью не только SEV, но и SEV-ES (Secure Encrypted Virtualization-Encrypted State) — усовершенствованной версии технологии, выпущенной в 2017 году, на следующий год после появления SEV в процессорах AMD.

Проблемы присутствуют во всех процессорах AMD EPYC, обычно использующихся в серверах для дата-центров.

Инциденты

Национальная служба здравоохранения Ирландии (Health Service Executive, HSE) отключила свои ИТ-системы из-за атаки шифровальщика Conti. Инцидент не повлиял на оказание неотложной медицинской помощи, однако некоторые плановые осмотры и процедуры пришлось отложить или отменить, поскольку сотрудники медучреждений лишились доступа к онлайн-системам и электронным картам пациентов.

Злоумышленники заявили, что находились в сети HSE более двух недель и похитили 700 Гб файлов, включая конфиденциальную информацию о пациентах и ​​сотрудниках, контракты, финансовые отчеты, платежные ведомости и многое другое.

За расшифровку и удаление похищенных данных преступники требуют выкуп в размере 19,999 млн долларов США.

Премьер-министр Ирландии Михол Мартин официально заявил, что платить выкуп злоумышленникам не будут.

Рекордным инцидентом 2020 года стал случай с 54-летней женщины, у которой телефонные мошенники выманили 400 млн рублей. Сначала они вели с ней телефонную беседу от имени работников банка, клиентом которого она является, а затем — от лица сотрудников ФСБ.

По словам представителя Сбербанка, мошенники позвонили женщине, представившись сотрудниками службы безопасности банка, клиентом которого она является, и заявили, что «сейчас будут спасать деньги». Женщина согласилась и сообщила им, что у нее на счету было 14 млн руб. Они говорят: «Отлично, берем, снимаем и несем».

После этого женщина сообщила мошенникам, что в другом банке у нее хранятся еще 380 млн руб. Ей сказали, что сейчас с ней общаться не будут, поскольку деньги очень серьезные. После этого ей позвонил «сотрудник ФСБ» и под его руководством она в течение месяца снимала эти деньги и отправляла «спасателям».

Отделение французской транснациональной страховой компании AXA в Азии стало жертвой вымогателя Avaddon. Инцидент затронул IT-услуги отделения Asia Assistance в Таиланде, Малайзии, Гонконге и на Филиппинах.

Операторы вымогателя заявляют, что украли 3 ТБ данных, включая удостоверения личности, копии паспортов, претензии клиентов, зарезервированные соглашения, сведения об отказах в возмещении средств, платежи клиентам, контракты и отчеты, идентификаторы клиентов и отсканированные документы банковских счетов, медицинские данные о различных заболеваниях.

В качестве доказательства хищения данных киберпреступники предоставили копии двух паспортов — тайского и британского. Требуемая сумма выкупа не разглашается. Если компания AXA не пойдет на встречу хакерам, вымогатели опубликуют похищенные данные.

Группировка DarkSide заявила об успешной кибератаке на французское отделение японской корпорации Toshiba, в ходе которой им удалось похитить большой объём секретных данных.

Отчёт об инциденте хакеры опубликовали на своём на сайте, сообщив, что похитили у Toshiba 740 ГБ информации, в которой содержатся сведения о работе менеджмента и новых бизнес-проектах компании, а также личные данные сотрудников. Корпорация самостоятельно расследует произошедший инцидент.

 140   1 мес   дайджест   фишинг
Ранее Ctrl + ↓