Apple прекратила выпуск обновлений безопасности для iOS 14
Apple перестала поддерживать iOS 14 и установка последнего патча iOS 14.8.1 на устройства уже недоступна. Вместо этого смартфоны предлагают для обновления установить последнюю версию iOS 15.2.1. После релиза iOS 14 в сентябре 2020 года компания не обозначила сроки поддержки это версии ОС и с середины января 2022 года поддержка неожиданно прекратилась. iOS 15 вышла в сентябре 2021 года и доступна владельцам всех совместимых iPhone, начиная с iPhone 6S.
Apple перестала поддерживать iOS 14 и установка последнего патча iOS 14.8.1 на устройства уже недоступна. Вместо этого смартфоны предлагают для обновления установить последнюю версию iOS 15.2.1. После релиза iOS 14 в сентябре 2020 года компания не обозначила сроки поддержки это версии ОС и с середины января 2022 года поддержка неожиданно прекратилась. iOS 15 вышла в сентябре 2021 года и доступна владельцам всех совместимых iPhone, начиная с iPhone 6S.
Несмотря на статистику, Telegram остаётся популярным у киберпреступников
Telegram является кроссплатформенным мессенджером, все сообщения в нём защищены сквозным шифрованием, но киберпреступников привлекает не это. В мессенджере очень мягкие требования к публикуемому в каналах контенту, были лишь случаи удаления экстремистского контента и некоторых массивных каналов с персональными данными. Тем не менее, одним из главным преимуществ Telegram для злоумышленников является простота реализации. Канал в телеграмме легко создаётся, быстро удаляется и практически никак не связан с реальным человеком. А вот сайты в даркнете отслеживаются достаточно часто и вполне успешно. Поэтому сейчас Telegram остаётся самым популярным способом для продажи данных у мошенников, даже с учётом того, что за 2021 год число продаж снизилось на 60% в сравнении с 2020 годом. Эта статистика скорее подтверждает тот факт, что кардинг в принципе стал менее популярен и эффективен с момента начала снижения выпуска новых банковских карт и развитием сферы бесконтактных платежей. Кроме того, в 2021 году большое распространение получило вымогательское ПО, которое позволяет преступникам зарабатывать больше. Тем не менее, мессенджер остаётся достаточно популярным средством коммуникации для преступников.
Telegram является кроссплатформенным мессенджером, все сообщения в нём защищены сквозным шифрованием, но киберпреступников привлекает не это. В мессенджере очень мягкие требования к публикуемому в каналах контенту, были лишь случаи удаления экстремистского контента и некоторых массивных каналов с персональными данными. Тем не менее, одним из главным преимуществ Telegram для злоумышленников является простота реализации. Канал в телеграмме легко создаётся, быстро удаляется и практически никак не связан с реальным человеком. А вот сайты в даркнете отслеживаются достаточно часто и вполне успешно. Поэтому сейчас Telegram остаётся самым популярным способом для продажи данных у мошенников, даже с учётом того, что за 2021 год число продаж снизилось на 60% в сравнении с 2020 годом. Эта статистика скорее подтверждает тот факт, что кардинг в принципе стал менее популярен и эффективен с момента начала снижения выпуска новых банковских карт и развитием сферы бесконтактных платежей. Кроме того, в 2021 году большое распространение получило вымогательское ПО, которое позволяет преступникам зарабатывать больше. Тем не менее, мессенджер остаётся достаточно популярным средством коммуникации для преступников.
ТОП-10 брендов которые использовали фишеры в 2021 году
В фишинговых кампаниях преступники часто маскируются под сайты популярных брендов чтобы вызвать доверие у своих потенциальных жертв. По итогам 2021 года в ТОП-10 таких брендов вошли:
1. DHL (23% всех фишинговых атак в мире);
2. Microsoft (20%);
3. WhatsApp (11%);
4. Google (10%);
5. LinkedIn (8%);
6. Amazon (4%);
7. FedEx (3%);
8. Roblox (3%);
9. Paypal (2%);
10. Apple (2%).
Компания DHL впервые заняла первое место в этом топе, обогнав Microsoft, которая долго держалась в лидерах. Специалисты отмечают, что это связано с периодом распродаж, которым активно пользовались злоумышленники и условиями пандемии. Кроме того, в последнее время наблюдается тенденция использования социальных сетей в фишинговых атаках. Facebook в конце года стал менее популярен для фишеров, но Linkedln и мессенджер WhatsApp значительно повысили свои позиции. В своих кампаниях хакеры могут полностью скопировать дизайн бренда, но не доменное имя, поэтому оно выбирается из максимально похожих и часто отличается всего 1 буквой. Однако, пользователи редко замечают такую подмену, как показывает практика. Ссылка на фишинговые ресурсы могут распространяться через почту, смс-сообщения, а также на ресурс можно попасть случайно из поисковой выдачи. Наиболее опасным является время крупных распродаж или акций, когда фишеры активно создают поддельные страницы и зарабатывают на невнимательных жертвах.
В фишинговых кампаниях преступники часто маскируются под сайты популярных брендов чтобы вызвать доверие у своих потенциальных жертв. По итогам 2021 года в ТОП-10 таких брендов вошли:
1. DHL (23% всех фишинговых атак в мире);
2. Microsoft (20%);
3. WhatsApp (11%);
4. Google (10%);
5. LinkedIn (8%);
6. Amazon (4%);
7. FedEx (3%);
8. Roblox (3%);
9. Paypal (2%);
10. Apple (2%).
Компания DHL впервые заняла первое место в этом топе, обогнав Microsoft, которая долго держалась в лидерах. Специалисты отмечают, что это связано с периодом распродаж, которым активно пользовались злоумышленники и условиями пандемии. Кроме того, в последнее время наблюдается тенденция использования социальных сетей в фишинговых атаках. Facebook в конце года стал менее популярен для фишеров, но Linkedln и мессенджер WhatsApp значительно повысили свои позиции. В своих кампаниях хакеры могут полностью скопировать дизайн бренда, но не доменное имя, поэтому оно выбирается из максимально похожих и часто отличается всего 1 буквой. Однако, пользователи редко замечают такую подмену, как показывает практика. Ссылка на фишинговые ресурсы могут распространяться через почту, смс-сообщения, а также на ресурс можно попасть случайно из поисковой выдачи. Наиболее опасным является время крупных распродаж или акций, когда фишеры активно создают поддельные страницы и зарабатывают на невнимательных жертвах.
👍1
Instagram тестирует платные подписки
Instagram запустил пробную версию подписки на отдельные аккаунты. Пока что функция доступна некоторым пользователям в США, однако в ближайшее время она будет постепенно становится доступной для всех пользователей. Как отметил глава Instagram Адам Моссери, за отдельную плату авторы смогут предложить своим подписчикам доступ к эксклюзивным Stories и стримам Instagram Lives. Стоимость подписки будет зависеть от количества исключительных постов, предлагаемых автором. В целом, в Instagram появятся восемь тарифов с диапазоном цен от $0,99 до $99,99 в месяц. Платный контент будет выделен фиолетовым цветом, а комментарии платных подписчиков – специальной иконкой, выделяющей их из других пользователей. Основной конкурент Instagram - TikTok, также начал тестировать платные подписки.
Instagram запустил пробную версию подписки на отдельные аккаунты. Пока что функция доступна некоторым пользователям в США, однако в ближайшее время она будет постепенно становится доступной для всех пользователей. Как отметил глава Instagram Адам Моссери, за отдельную плату авторы смогут предложить своим подписчикам доступ к эксклюзивным Stories и стримам Instagram Lives. Стоимость подписки будет зависеть от количества исключительных постов, предлагаемых автором. В целом, в Instagram появятся восемь тарифов с диапазоном цен от $0,99 до $99,99 в месяц. Платный контент будет выделен фиолетовым цветом, а комментарии платных подписчиков – специальной иконкой, выделяющей их из других пользователей. Основной конкурент Instagram - TikTok, также начал тестировать платные подписки.
Среди вымогателей царит беспокойство после уничтожения группировки REvil
После громких арестов членов вымогательскую группировку REvil (Sodinokibi), восточноевропейские киберпреступники почувствовали тревогу. Если ранее считалось, что Россия является неким убежищем для хакеров атакующих организации в других частях планеты, то сейчас это мнение существенно пошатнулось. Начиная с ноября 2021 года, в Даркнете активно обсуждается эта тема и последние громкие задержание показывают, что на это есть все основания. По словам одного из комментаторов "темной сети", все требовавшие выкуп вымогатели будут арестованы в течение 2022 года, а самые «невезучие» — в ближайшие два месяца. Опасения некоторых киберпреступников вызваны также сообщением об одном из администраторов подпольного форума, который предположительно сотрудничал с правоохранительными органами. Поскольку многие администраторы имеют доступ к контактной информации участников форума, подобная обеспокоенность вполне понятна. Если участники форума больше не доверяют друг другу, им определенно будет труднее вести бизнес на хакерских форумах. Судя по всему, киберпреступники больше не верят, что Россия является убежищем для их деятельности. Некоторые злоумышленники стали обсуждать положительные и отрицательные стороны переноса своих операций в Индию, Китай, на Ближний Восток или даже в Израиль.
После громких арестов членов вымогательскую группировку REvil (Sodinokibi), восточноевропейские киберпреступники почувствовали тревогу. Если ранее считалось, что Россия является неким убежищем для хакеров атакующих организации в других частях планеты, то сейчас это мнение существенно пошатнулось. Начиная с ноября 2021 года, в Даркнете активно обсуждается эта тема и последние громкие задержание показывают, что на это есть все основания. По словам одного из комментаторов "темной сети", все требовавшие выкуп вымогатели будут арестованы в течение 2022 года, а самые «невезучие» — в ближайшие два месяца. Опасения некоторых киберпреступников вызваны также сообщением об одном из администраторов подпольного форума, который предположительно сотрудничал с правоохранительными органами. Поскольку многие администраторы имеют доступ к контактной информации участников форума, подобная обеспокоенность вполне понятна. Если участники форума больше не доверяют друг другу, им определенно будет труднее вести бизнес на хакерских форумах. Судя по всему, киберпреступники больше не верят, что Россия является убежищем для их деятельности. Некоторые злоумышленники стали обсуждать положительные и отрицательные стороны переноса своих операций в Индию, Китай, на Ближний Восток или даже в Израиль.
В приложении "Дія" появится новая услуга "єЗахист"
Об этом в субботу сообщил вице-премьер-министр – министр цифровой трансформации Украины Михаил Федоров. "Сейчас сталкиваемся с заголовками про то, что "данные украинцев слиты в сети". На самом деле, про такое писали всегда. Но сейчас такие новости воспринимаются особенно остро из-за информационный войны, которая происходит против Украины. Мы приняли решение запустить в ближайшее время услугу "єЗахист" в приложении "Дія", где каждый гражданин сможет узнать базовые правила кибербезопасности, в каких реестрах есть информация о них", – сообщил чиновник. По словам вице-премьер-министра, "следующим шагом будет запуск сервиса, где каждому украинцу будет приходить уведомление, когда чиновник проверяет ваши данные в реестре". Комментируя информацию о якобы "сливах" данных из "Дії", было сказано, что приложение "не сохраняет персональные данные" и что новость о "слитых" данных 2 млн пользователей приложения "разгоняется" уже неделю и в ней ("слитой" базе) данные "про услуги, которые вообще не предоставляются в "Діі". Как-то так.
Об этом в субботу сообщил вице-премьер-министр – министр цифровой трансформации Украины Михаил Федоров. "Сейчас сталкиваемся с заголовками про то, что "данные украинцев слиты в сети". На самом деле, про такое писали всегда. Но сейчас такие новости воспринимаются особенно остро из-за информационный войны, которая происходит против Украины. Мы приняли решение запустить в ближайшее время услугу "єЗахист" в приложении "Дія", где каждый гражданин сможет узнать базовые правила кибербезопасности, в каких реестрах есть информация о них", – сообщил чиновник. По словам вице-премьер-министра, "следующим шагом будет запуск сервиса, где каждому украинцу будет приходить уведомление, когда чиновник проверяет ваши данные в реестре". Комментируя информацию о якобы "сливах" данных из "Дії", было сказано, что приложение "не сохраняет персональные данные" и что новость о "слитых" данных 2 млн пользователей приложения "разгоняется" уже неделю и в ней ("слитой" базе) данные "про услуги, которые вообще не предоставляются в "Діі". Как-то так.
Использование Google Analytics может быть признано незаконным в ЕС
На прошлой неделе австрийское Агентство по защите данных признало незаконным использование Google Аналитики в Австрии. Жалобу на Google еще в августе 2020 подал Европейский центр цифровых прав — НКО, основателем которого является молодой юрист Макс Шремс, который ранее успешно судился с Facebook также за нарушение законодательства о конфиденциальности персональных данных.
В центре скандала оказался сайт netdoktor.de, посвященный проблемам здоровья. Как и на миллионах других сайтов, к нему подключен скрипт Google Аналитики, собирающий IP-адреса и присваивающий id пользователям. Данные об IP-адресе и идентификаторе пользователя, соответственно, ушли в Google. В ходе судебного разбирательства было установлено, что данные, отправляемые в США, не были должным образом защищены от потенциального доступа американских спецслужб, что нарушает Общие правила защиты данных Европейского союза (GDPR). Пока о полном запрете GA речи не идет, однако созданный прецедент может привести к полному запрету использования GA в Европейском Союзе. Также, ситуация может затронуть работу и других американских площадок, таких как Amazon, Facebook, Google и Microsoft.
На прошлой неделе австрийское Агентство по защите данных признало незаконным использование Google Аналитики в Австрии. Жалобу на Google еще в августе 2020 подал Европейский центр цифровых прав — НКО, основателем которого является молодой юрист Макс Шремс, который ранее успешно судился с Facebook также за нарушение законодательства о конфиденциальности персональных данных.
В центре скандала оказался сайт netdoktor.de, посвященный проблемам здоровья. Как и на миллионах других сайтов, к нему подключен скрипт Google Аналитики, собирающий IP-адреса и присваивающий id пользователям. Данные об IP-адресе и идентификаторе пользователя, соответственно, ушли в Google. В ходе судебного разбирательства было установлено, что данные, отправляемые в США, не были должным образом защищены от потенциального доступа американских спецслужб, что нарушает Общие правила защиты данных Европейского союза (GDPR). Пока о полном запрете GA речи не идет, однако созданный прецедент может привести к полному запрету использования GA в Европейском Союзе. Также, ситуация может затронуть работу и других американских площадок, таких как Amazon, Facebook, Google и Microsoft.
👍1
Наглядный пример использования социальной инженерии для взлома учетной записи
Один из специалистов по ИБ используя метод социальной инженерии «Серфинг через плечо» взломал учетную запись пользователя PayPal. К слову сказать, эксперт взламывал PayPal рядом сидящего с ним ресторане друга. Находясь в ресторане, мужчина-жертва положил свой телефон на стол и болтал за столом. Эксперт взял с собой свой ноутбук, открыл web-сайт PayPal и перешел на страницу забытого пароля. Взломщик знал персональный адрес электронной почты жертвы и предположил, что он также использует его для PayPal. PayPal как правило запрашивает отправку «быстрой проверки безопасности» различными способами. Это могло быть через текст, электронное письмо, телефонный звонок, приложение для проверки подлинности и даже WhatsApp. Взломщик выбрал текстовый вариант аутентификации и нажал «Далее», после чего на телефон сразу же был отправлен шестизначный код. У жертвы не был отключен предварительный просмотр сообщений на экране блокировки своего телефона, и специалист легко подсмотрел код и ввел его в поле подтверждения на web web-сайте. Так эксперт перехватил контроль над учетной записью, установил новый пароль, просмотрел панель инструментов PayPal жертвы и все банковские карты, связанные с его учетной записью, а также изменил адрес электронной почты.
Один из специалистов по ИБ используя метод социальной инженерии «Серфинг через плечо» взломал учетную запись пользователя PayPal. К слову сказать, эксперт взламывал PayPal рядом сидящего с ним ресторане друга. Находясь в ресторане, мужчина-жертва положил свой телефон на стол и болтал за столом. Эксперт взял с собой свой ноутбук, открыл web-сайт PayPal и перешел на страницу забытого пароля. Взломщик знал персональный адрес электронной почты жертвы и предположил, что он также использует его для PayPal. PayPal как правило запрашивает отправку «быстрой проверки безопасности» различными способами. Это могло быть через текст, электронное письмо, телефонный звонок, приложение для проверки подлинности и даже WhatsApp. Взломщик выбрал текстовый вариант аутентификации и нажал «Далее», после чего на телефон сразу же был отправлен шестизначный код. У жертвы не был отключен предварительный просмотр сообщений на экране блокировки своего телефона, и специалист легко подсмотрел код и ввел его в поле подтверждения на web web-сайте. Так эксперт перехватил контроль над учетной записью, установил новый пароль, просмотрел панель инструментов PayPal жертвы и все банковские карты, связанные с его учетной записью, а также изменил адрес электронной почты.
Google поделилась полным списком контента, который может быть удален или заблокирован
Компания Google опубликовала обновленную версию политик Abuse Program Policies и Enforcement policy. Новая политика компании точно определяет, как она применяется к контенту, загружаемому в службы Google Workspace, включая Диск, Документы, Таблицы, Презентации, Формы и пр. Последняя версия политики в отношении контента Google Диска более конкретно применяется к следующему контенту: сексуальное насилие и эксплуатация детей, опасные и незаконные действия, притеснение, запугивание и угрозы, разжигание ненависти, выдача себя за другое лицо и введение в заблуждение, вредоносное ПО и аналогичный вредоносный контент, вводящий в заблуждение контент, личная и конфиденциальная информация, фишинг, материалы откровенно сексуального характера, спам и пр. Тем не менее, Google делает некоторые исключения, основанные на художественных, образовательных, документальных и научных соображениях. Компания также открыто заявляет о том, что не блокирует и не помечает контент в ситуациях, «где есть другие существенные преимущества для общественности, если не предпринимать никаких действий в отношении контента». В рамках последнего обновления политик Google также будет отправлять нарушителям электронное письмо с подробным описанием нарушения и объяснением того, как они могут запросить пересмотр ограничения. Это дает пользователям, которые могли случайно загрузить нарушающий правила контент, возможность рассмотреть проблему и подать официальную апелляцию.
Компания Google опубликовала обновленную версию политик Abuse Program Policies и Enforcement policy. Новая политика компании точно определяет, как она применяется к контенту, загружаемому в службы Google Workspace, включая Диск, Документы, Таблицы, Презентации, Формы и пр. Последняя версия политики в отношении контента Google Диска более конкретно применяется к следующему контенту: сексуальное насилие и эксплуатация детей, опасные и незаконные действия, притеснение, запугивание и угрозы, разжигание ненависти, выдача себя за другое лицо и введение в заблуждение, вредоносное ПО и аналогичный вредоносный контент, вводящий в заблуждение контент, личная и конфиденциальная информация, фишинг, материалы откровенно сексуального характера, спам и пр. Тем не менее, Google делает некоторые исключения, основанные на художественных, образовательных, документальных и научных соображениях. Компания также открыто заявляет о том, что не блокирует и не помечает контент в ситуациях, «где есть другие существенные преимущества для общественности, если не предпринимать никаких действий в отношении контента». В рамках последнего обновления политик Google также будет отправлять нарушителям электронное письмо с подробным описанием нарушения и объяснением того, как они могут запросить пересмотр ограничения. Это дает пользователям, которые могли случайно загрузить нарушающий правила контент, возможность рассмотреть проблему и подать официальную апелляцию.
Почему нам так сложно донести свои мысли другим
В психологии существует термин "проклятие знания", который обозначает когнитивное искажение заключающее в том, что более информированным людям сложно рассматривать какую-либо проблему с точки зрения менее информированных людей.
Например, многие менеджеры часто пытаются объяснить младшим коллегам, как что-то устроено. При этом им кажется, что они объяснили всё очень подробно и доступно. Однако на практике, оказывается что коллеги их поняли не до конца.
В 1990 году выпускница Стэнфордского университета Элизабет Ньютон провела эксперимент, которым на примере простого задания наглядно продемонстрировала проклятие знания в действии. Суть эксперимента заключалась в том, что одна группа участников «выстукивала» на столе мотив известных песен, а другая группа должна была назвать эти мелодии. Проклятие знания проявляется здесь в том, что когда импровизированных «барабанщиков» попросили предсказать, сколько песен будет угадано слушателями, они переоценили их число. Так «выстукивающие» были хорошо знакомы с мотивами, которые они воспроизводили. Поэтому они предположили, что слушателям будет несложно распознать мелодию. В действительности лишь 2,5 % слушателей смогли правильно определить песню.
«Проклятие знания» может настигнуть где угодно, и на работе в том числе, обрекая на непонимание или неверную оценку важности информации.
В психологии существует термин "проклятие знания", который обозначает когнитивное искажение заключающее в том, что более информированным людям сложно рассматривать какую-либо проблему с точки зрения менее информированных людей.
Например, многие менеджеры часто пытаются объяснить младшим коллегам, как что-то устроено. При этом им кажется, что они объяснили всё очень подробно и доступно. Однако на практике, оказывается что коллеги их поняли не до конца.
В 1990 году выпускница Стэнфордского университета Элизабет Ньютон провела эксперимент, которым на примере простого задания наглядно продемонстрировала проклятие знания в действии. Суть эксперимента заключалась в том, что одна группа участников «выстукивала» на столе мотив известных песен, а другая группа должна была назвать эти мелодии. Проклятие знания проявляется здесь в том, что когда импровизированных «барабанщиков» попросили предсказать, сколько песен будет угадано слушателями, они переоценили их число. Так «выстукивающие» были хорошо знакомы с мотивами, которые они воспроизводили. Поэтому они предположили, что слушателям будет несложно распознать мелодию. В действительности лишь 2,5 % слушателей смогли правильно определить песню.
«Проклятие знания» может настигнуть где угодно, и на работе в том числе, обрекая на непонимание или неверную оценку важности информации.
Трояны FluBot и TeaBot атакуют пользователей Android по всему миру
Эксперты зафиксировали новые группы киберпреступников, распространяющих вредоносные программы FluBot и TeaBot. Злоумышленники используют типичные приёмы смишинга (СМС-фишинг) и вредоносные Android-приложения в атаках на пользователей из Австралии, Германии, Польши, Испании и Румынии. В СМС-сообщениях операторы кампаний прибегают уж совсем к избитым схемам. Пользователь получает приблизительно следующий текст: «Это ты на этом видео?». Также встречаются фейковые обновления браузера и якобы уведомления от голосовой почты. С декабря 2021 года было перехвачено более ста тысяч вредоносных СМС-сообщений. Это указывает на то, что киберпреступники неплохо разгулялись по масштабу. Причём интересно, что для пользователей из разных стран используются разные приманки. После проникновения на мобильное устройство жертвы вредоносная программа берёт в оборот список контактов, чтобы рассылать похожие злонамеренные СМС-сообщения. FluBot был довольно активен в 2021 году и теперь, судя по всему, перенёс тот же темп и на 2022-й. Другой банковский троян — TeaBot — с декабря 2021 года не раз был замечен в официальном магазине Google Play Store. TeaBot распространяется со следующим софтом:
QR Code Reader – Scanner App – 100 000 загрузок.
QR Scanner APK – 10 000 загрузок.
QR Code Scan – 10 000 загрузок.
Smart Cleaner – 1 000 загрузок.
Weather Cast – 10 000 загрузок.
Weather Daily – 10 000 загрузок.
Эксперты зафиксировали новые группы киберпреступников, распространяющих вредоносные программы FluBot и TeaBot. Злоумышленники используют типичные приёмы смишинга (СМС-фишинг) и вредоносные Android-приложения в атаках на пользователей из Австралии, Германии, Польши, Испании и Румынии. В СМС-сообщениях операторы кампаний прибегают уж совсем к избитым схемам. Пользователь получает приблизительно следующий текст: «Это ты на этом видео?». Также встречаются фейковые обновления браузера и якобы уведомления от голосовой почты. С декабря 2021 года было перехвачено более ста тысяч вредоносных СМС-сообщений. Это указывает на то, что киберпреступники неплохо разгулялись по масштабу. Причём интересно, что для пользователей из разных стран используются разные приманки. После проникновения на мобильное устройство жертвы вредоносная программа берёт в оборот список контактов, чтобы рассылать похожие злонамеренные СМС-сообщения. FluBot был довольно активен в 2021 году и теперь, судя по всему, перенёс тот же темп и на 2022-й. Другой банковский троян — TeaBot — с декабря 2021 года не раз был замечен в официальном магазине Google Play Store. TeaBot распространяется со следующим софтом:
QR Code Reader – Scanner App – 100 000 загрузок.
QR Scanner APK – 10 000 загрузок.
QR Code Scan – 10 000 загрузок.
Smart Cleaner – 1 000 загрузок.
Weather Cast – 10 000 загрузок.
Weather Daily – 10 000 загрузок.
Банковский 2FA-троян в Google Play
В официальном магазине приложений Google Play Store более двух недель распространялся банковский троян, замаскированный под софт для двухфакторной аутентификации. Это приложение успели скачать более 10 тыс. пользователей. Сама программа, судя по всему, действительно предоставляет заявленную функциональность — 2FA-аутентификатор. Проблема лишь в том, что с ней в довесок пользователь получает вредонос Vultur, пытающийся украсть учётные данные. Специалисты рекомендуют удалить приложение с именем «2FA Authenticator» всем, кто имел неосторожность скачать его. Мало того, что прячущийся в нём инфостилер может передать злоумышленникам логины и пароли, так ещё зловред запрашивает дополнительные разрешения в системе для дальнейших деструктивных действий. Авторы Android-трояна использовали открытый исходный код для аутентификации Aegis. Именно это помогло им беспрепятственно проникнуть в магазин Google Play. «В итоге злоумышленники успешно замаскировали вредоносную составляющую приложения и реализовали функциональность двухфакторной аутентификации», — пишут исследователи. Сразу после скачивания программа устанавливает в систему банковский троян Vultur, основная задача которого — украсть финансовую информацию. Однако у зловреда есть и куда более интересные возможности: перехват данных геолокации жертвы, отключение парольной защиты на устройстве, загрузка сторонних сомнительных приложений и получение полного контроля над девайсом.
В официальном магазине приложений Google Play Store более двух недель распространялся банковский троян, замаскированный под софт для двухфакторной аутентификации. Это приложение успели скачать более 10 тыс. пользователей. Сама программа, судя по всему, действительно предоставляет заявленную функциональность — 2FA-аутентификатор. Проблема лишь в том, что с ней в довесок пользователь получает вредонос Vultur, пытающийся украсть учётные данные. Специалисты рекомендуют удалить приложение с именем «2FA Authenticator» всем, кто имел неосторожность скачать его. Мало того, что прячущийся в нём инфостилер может передать злоумышленникам логины и пароли, так ещё зловред запрашивает дополнительные разрешения в системе для дальнейших деструктивных действий. Авторы Android-трояна использовали открытый исходный код для аутентификации Aegis. Именно это помогло им беспрепятственно проникнуть в магазин Google Play. «В итоге злоумышленники успешно замаскировали вредоносную составляющую приложения и реализовали функциональность двухфакторной аутентификации», — пишут исследователи. Сразу после скачивания программа устанавливает в систему банковский троян Vultur, основная задача которого — украсть финансовую информацию. Однако у зловреда есть и куда более интересные возможности: перехват данных геолокации жертвы, отключение парольной защиты на устройстве, загрузка сторонних сомнительных приложений и получение полного контроля над девайсом.
Американский студент торгуется с Илоном Маском за удаление Twitter-бота отслеживающего перелеты миллиардера
Американский студент Джек Суини создал Twitter-ботов, которые автоматически выкладывают данные о местонахождении воздушных средств Илона Маска, Джеффа Безоса, Билла Гейтса и других известных бизнесменов. Для работы 19-летний программист использовал открытые данные Федерального управления гражданской авиации США и передатчиков ADS-B.
Осенью 2021 года, молодой программист получил сообщение от Илона Маска с просьбой удалить бота за вознаграждение в $5000, так как миллиардер видит в публикациях местоположения транспортного средства угрозу безопасности. Первокурсник решил поторговаться и потребовал сперва Tesla Model 3 или $50 000. А в начале 2022 года студент передумал и попросил о стажировке в одной из компаний Илона Маска в обмен на удаление бота. Однако миллиардер пока ничего не ответил.
Самого бота можно посмотреть по ссылке: https://twitter.com/ElonJet/
Американский студент Джек Суини создал Twitter-ботов, которые автоматически выкладывают данные о местонахождении воздушных средств Илона Маска, Джеффа Безоса, Билла Гейтса и других известных бизнесменов. Для работы 19-летний программист использовал открытые данные Федерального управления гражданской авиации США и передатчиков ADS-B.
Осенью 2021 года, молодой программист получил сообщение от Илона Маска с просьбой удалить бота за вознаграждение в $5000, так как миллиардер видит в публикациях местоположения транспортного средства угрозу безопасности. Первокурсник решил поторговаться и потребовал сперва Tesla Model 3 или $50 000. А в начале 2022 года студент передумал и попросил о стажировке в одной из компаний Илона Маска в обмен на удаление бота. Однако миллиардер пока ничего не ответил.
Самого бота можно посмотреть по ссылке: https://twitter.com/ElonJet/
👍1
Хакеры захватывают учетные записи генеральных директоров с помощью мошеннических приложений OAuth
Новая волна хакерских атак под названием «OiVaVoii», нацелена на руководителей и генеральных менеджеров компаний с помощью вредоносных приложений OAuth и настраиваемых фишинговых приманок, отправленных со взломанных учетных записей Office 365. Последствия захвата учетных записей руководителей варьируются от горизонтального перемещения в сети и инсайдерского фишинга до развертывания программ-вымогателей и компрометации корпоративной электронной почты. OAuth — это стандарт аутентификации и авторизации на основе токенов, устраняющий необходимость вводить пароли учетных записей. Приложениям, использующим OAuth, требуются определенные разрешения, такие как права на чтение и запись файлов, доступ к календарю и электронной почте, а также авторизация отправки электронной почты. Цель этой системы — повысить удобство использования и удобство при сохранении высокого уровня безопасности в надежных средах за счет уменьшения раскрытия учетных данных. Участники хакерских атак OiVaVoii использовали как минимум пять вредоносных приложений OAuth, четыре из которых в настоящее время заблокированы: «Upgrade», «Document», «Shared» и «UserInfo». Три из этих приложений были созданы проверенными издателями, что указывает на то, что злоумышленники взломали учетную запись законного арендатора Office. Затем злоумышленники использовали приложения для отправки запросов на авторизацию высокопоставленным руководителям целевых организаций. Во многих случаях получатели принимали запросы, не видя в них ничего подозрительного. Когда жертвы нажимают кнопку «Принять», злоумышленники используют токен для отправки электронных писем со своих учетных записей другим сотрудникам в той же организации. Если они нажмут «Отмена», манипуляция с URL-адресом ответа перенаправит их обратно на экран согласия, заблокировав их на той же странице, пока они не примут запрос на разрешение. Сейчас хакерская атака находится все еще в активной фазе. Четыре вредоносных приложения OAuth, используемых участниками этих атак, были заблокированы, но новые создаются и используются таким же образом. Кроме того, руководители, которые уже были скомпрометированы и получили доступ к своим учетным записям, остаются точками высокого риска для пострадавших организаций. Потенциально скомпрометированные фирмы должны отозвать разрешения, удалить приложения, удалить все вредоносные правила для почтовых ящиков, добавленные субъектами, и сканировать любые удаленные файлы. Наконец, все сотрудники должны быть обучены подозревать внутренние сообщения, особенно сообщения от высокопоставленных руководителей, которые не соответствуют их стандартным деловым практикам.
Новая волна хакерских атак под названием «OiVaVoii», нацелена на руководителей и генеральных менеджеров компаний с помощью вредоносных приложений OAuth и настраиваемых фишинговых приманок, отправленных со взломанных учетных записей Office 365. Последствия захвата учетных записей руководителей варьируются от горизонтального перемещения в сети и инсайдерского фишинга до развертывания программ-вымогателей и компрометации корпоративной электронной почты. OAuth — это стандарт аутентификации и авторизации на основе токенов, устраняющий необходимость вводить пароли учетных записей. Приложениям, использующим OAuth, требуются определенные разрешения, такие как права на чтение и запись файлов, доступ к календарю и электронной почте, а также авторизация отправки электронной почты. Цель этой системы — повысить удобство использования и удобство при сохранении высокого уровня безопасности в надежных средах за счет уменьшения раскрытия учетных данных. Участники хакерских атак OiVaVoii использовали как минимум пять вредоносных приложений OAuth, четыре из которых в настоящее время заблокированы: «Upgrade», «Document», «Shared» и «UserInfo». Три из этих приложений были созданы проверенными издателями, что указывает на то, что злоумышленники взломали учетную запись законного арендатора Office. Затем злоумышленники использовали приложения для отправки запросов на авторизацию высокопоставленным руководителям целевых организаций. Во многих случаях получатели принимали запросы, не видя в них ничего подозрительного. Когда жертвы нажимают кнопку «Принять», злоумышленники используют токен для отправки электронных писем со своих учетных записей другим сотрудникам в той же организации. Если они нажмут «Отмена», манипуляция с URL-адресом ответа перенаправит их обратно на экран согласия, заблокировав их на той же странице, пока они не примут запрос на разрешение. Сейчас хакерская атака находится все еще в активной фазе. Четыре вредоносных приложения OAuth, используемых участниками этих атак, были заблокированы, но новые создаются и используются таким же образом. Кроме того, руководители, которые уже были скомпрометированы и получили доступ к своим учетным записям, остаются точками высокого риска для пострадавших организаций. Потенциально скомпрометированные фирмы должны отозвать разрешения, удалить приложения, удалить все вредоносные правила для почтовых ящиков, добавленные субъектами, и сканировать любые удаленные файлы. Наконец, все сотрудники должны быть обучены подозревать внутренние сообщения, особенно сообщения от высокопоставленных руководителей, которые не соответствуют их стандартным деловым практикам.
Кибератаки с настоящих почтовых серверов судебной власти Украины
С 28 января с некоторых официальных адресов судебной власти происходит рассылка с якобы судебными запросами. При этом по ссылкам в письме загружается вредоносное ПО (вирус). Проблему усугубляет то, что рассылка происходит с настоящих почтовых серверов судебной власти. Таким образом, письма проходят спам-фильтры и вызывают значительно больше доверия. Возможно, скомпрометированы только отдельные адреса судов, хотя не следует исключать, что может быть скомпрометирован весь почтовый сервер. В случае загрузки, распаковки и запуска содержимого архива с вредоносным ПО на компьютер жертвы будет установлена легитимная программа Remote Utilities, которая предоставит скрытый удаленный доступ к устройству третьим лицам. Персистентность программы (способность обновлять активность после перезагрузки компьютера) обеспечивается путем создания службы RManService. Для удаления вредоносного приложения необходимо: остановить сервис «RManService», удалить каталог «%PROGRAMFILES(X86)%\Remote Utilities - Host\», удалить ключ реестра «HKLM\SOFTWARE\Usoris».
С 28 января с некоторых официальных адресов судебной власти происходит рассылка с якобы судебными запросами. При этом по ссылкам в письме загружается вредоносное ПО (вирус). Проблему усугубляет то, что рассылка происходит с настоящих почтовых серверов судебной власти. Таким образом, письма проходят спам-фильтры и вызывают значительно больше доверия. Возможно, скомпрометированы только отдельные адреса судов, хотя не следует исключать, что может быть скомпрометирован весь почтовый сервер. В случае загрузки, распаковки и запуска содержимого архива с вредоносным ПО на компьютер жертвы будет установлена легитимная программа Remote Utilities, которая предоставит скрытый удаленный доступ к устройству третьим лицам. Персистентность программы (способность обновлять активность после перезагрузки компьютера) обеспечивается путем создания службы RManService. Для удаления вредоносного приложения необходимо: остановить сервис «RManService», удалить каталог «%PROGRAMFILES(X86)%\Remote Utilities - Host\», удалить ключ реестра «HKLM\SOFTWARE\Usoris».
