Громкие утечки информации происходят далеко не только по вине хакеров. И вот вам свежий пример.

Американская ассоциация производителей ПО и компьютерных игр (ESA) ежегодно проводит выставку E3, также известную как Media and Business Summit. Выставка привлекает значительное внимание прессы.

И вот на сайте ESA в открытом доступе обнаружился excel-файл со списком аккредитованных на выставку журналистов и блогеров в количестве аж 2026 человек.

В файле содержатся: ФИО, домашний адрес, телефон, email,  должность журналиста, а также сведения о месте работы.

В список попали в том числе журналисты ряда российских СМИ в том числе: Россия-24, Россия сегодня, Mail.ru и целого ряда профильных IT-изданий.
@In4security

Заслуженный IT-эксперт Алексей Лукацкий сегодня сделал репост записи, опубликованной в одном никому толком не известном Telegram-канале, посвященном шуткам про ИБ. Сам пост по содержанию – это явный вброс. Ну не будет Навальный в здравом уме в интервью такого говорить. Что сподвигло Лукацкого на репост – не знаем. Может шутка понравилась, а может еще что.

Но смешно здесь даже не это, а то, сайт, указанный в сообщении, принадлежит ООО «Эфбикей Сайберсекьюрити», работающей на рынке уже более 15 лет и не имеющей к Фонду борьбы с коррупцией ни малейшего отношения.

Зато к ФБК имеет отношение Александр Литреев, сподвижник Навального, ведущий авторский канал о кибербезопасности, в названии которого присутствует слово «сайберсекьюрити».

Вот так одним постом можно и добропорядочной компании репутацию подпортить, и Telegram-канал прорекламировать.
@In4security

Гидра без голов
В сети появился сайт с откровенными Альдерамина, бывшего совладельца Hydra, являвшегося фактически монополистом наркотического рынка.

Если написанное на сайте - правда, это означает, что последние 2 года гидра сливала данные о продавцах и покупателях веществ силовикам.

Сейчас же Альдерамин "раскаялся", а потому пытается продать базу гидры, угрожая слить ее в сеть.

История с силовиками может объяснить то, почему Hydra в последние годы по сути стала монополий, избавившись от всех конкурентов. Ведь одну площадку гораздо проще контролировать.

А вы: "даркнет, анонимность..."
@In4security

Ваше обращение очень важно для нас
Мошенники, рассылающие фишинговые письма с информацией о якобы положенных выплатах, придумали новый способ обходить спам-фильтры.

Сначала на почту приходит письмо со словами о том, что вы завели тикет в службе техподдержки какой-нибудь организации, которая использует для управления тикетами решение Helpserve от компании Kayko. В письме содержатся логин (ваш email) и пароль для доступа в личный кабинет.

Следом прилетает автоматическое сообщение о том, что тикет принят к рассмотрению, в котором цитируется текст якобы направленного вами обращения в техподдержку. И вот эта цитата как раз и содержит подготовленный мошенниками текст, включающий в себя ссылку на фишинговый ресурс.

Объясним проще. Мошенники находят страницу какой-нибудь компании в сервисе helpserve.com (в ряде случаев использовалась activelogix.helpserve.com), регистрируются там с использованием вашего емейла, после чего заводят тикет с текстом фишингового письма, который хотят донести до вас.

Плюсы этого метода налицо: мошенники не пишут самой жертве, рискуя попасть под спам-фильтры, в то же время вся необходимая информация доносится через автоматические рассылки вполне легитимного и достаточно известного ресурса.

Помимо helpserve.com зафиксированы также рассылки и от других сервисов поддержки клиентов, в частности: zendesk.com, helpshift.com и т.д.

Отличный пример того, что практически любую технологию или сервис можно использовать совсем не так, как задумывали создатели.
@In4security

Никогда такого не было, и вот опять!
В этом году новостей об утечках из Instagram чуть ли не больше, чем постов всевозможных бьюти-блогеров.

Очередной скандал связан с тем, что маркетинговый партнёр Facebook, компания HYP3R собирала детальное досье на пользователей с открытыми профилями Instagram, анализируя их интересы, перемещения и прочие сведения, что люди выкладывают в соцсеть.

По сути HYP3R банально парсила Instagram, формируя на основе этого свою базу данных.

Теперь Facebook возмущается, что кто-то помимо него самого может торговать данными его пользователей. Что ж, это его право, но вот только если парсить инфу из Instagram было так просто, одна ли HYP3R занималась этим?
@In4security

Для тела и души
За прошедшую неделю в сети появилось почти 2000 новых доменов с частицей «bank».

Из любопытного – домен shaurmbank.ru. Сайт на нем пока не появился, так что остается гадать, причем тут шаурма… или шаверма.

Для тех, кто любит домены позаковыристее, мы нашли аж 12 новых имен с вариациями на тему: noticeidcustomersauthauthbankaccwellslockedaccverifyid.club

Особенно хорошо диктовать такой адрес по телефону: «S – как доллар…» и так далее.

Индуисты оценят домен lakshmibank.ru, он просто светится успехом и благополучием, для тех, кто хочет позаботиться о душе, зарегистрировали домен banksoul.com, ну а для тех, кто далек от мира духовного и сосредоточен исключительно на материальном, в сети появился ресурс bankwithmoney.com.

Ну конечно, какой же банк без денег? Хороших вам выходных!
@In4security

"Мамкины хакеры" все никак не успокоятся.

Похоже, что они нашли очередную незапароленную базу данных, принадлежащую сети аптек "Неофарм", и устроили там небольшую диверсию.

Прямо сейчас сайт сети аптек выглядит так, как на картинке.

Напомним, что одним из прошлых великих подвигов группы был "взлом" сетевого принтера в одной из российских фирм. Чувствуете размах?

Видимо, история с публичной деанонимизацией ничему этих школьников не научила.
@In4security

Как получить статус CERT?

Есть 2 пути:
1. Сложный. Подать заявку в Университет Карнеги – Меллона, именно ему принадлежат права на торговую марку CERT – Сomputer emergency response team (да, вы не поверите, но CERT – это зарегистрированная торговая марка). Пройти процедуру аккредитации, в ходе которой будет подтверждена компетенция вашей организации и ее соответствие статусу CSIRT. Подписать договор с университетом Карнеги-Меллона и полноценно включиться в работу.
На сегодняшний день в России зарегистрировано 5 CERT-ов.

2. Простой путь. Запилить опрос в своем Telegram-канале на тему: «Нужен ли нашему городу CERT?», а потом внести изменения в статью Википедии, посвященную CERT’ам, добавив туда свою организацию.

Именно такой путь выбрали ребята из Екатеринбургского сообщества @defcon7343, размещающие на «Авито» объявления о расследовании киберпреступлений и называющие себя «высокотехнологичной компанией, опережающей технологии стандартной защиты и работающей во благо общества». Университет Карнеги-Меллона о существовании такого CERT’а не догадывается.

Впрочем, на своем сайте они пошли еще дальше и заявили, что являются резидентами Технопарка высоких технологий регионального оператора «Сколково». Как вы понимаете, в списке резидентов Технопарка высоких технологий Свердловской области упоминания о данной организации также отсутствуют.

Ну и как после этого можно доверять этим людям расследование инцидентов и информационную безопасность?
@In4security

Сайты с опросами живее всех живых. Только за вчерашний день было зарегистрировано 60 доменных имен с вариациями на тему firs0pay.ru, first0pay.ru и т.д. с цифрами от 0 до 9.

20 доменных имен уже привязаны к ресурсам, предлагающим вознаграждение за прохождение опроса от Сбербанка. По итогам опроса пользователю предлагается ввести ФИО, адрес электронной почты и полные данные своей банковской карты.

Остальные 40 доменных имен, видимо, припасены про запас. Часть из них, впрочем, задействована для размещения фейковой платежной формы, на которую пользователь автоматически переадресовывается по окончании опроса.

Форма имеет вот такой вид: https://fir6stpay.ru/buy/p/54219. Меняя число в ссылке, можно изменять номер заказа. Если же вы попытаетесь обратиться на главную страницу любого из этих ресурсов, вы увидите заглушку фреймворка Laravel.

Все сайты имеют действительный сертификат CloudFlare, что уже стало практически визитной карточкой фишинговых ресурсов. Что ж. Отправим эту информацию в Сбербанк.
@In4security

Сломал систему
В 2016 году американский исследователь компьютерной безопасности Джозеф Тартаро решил пошутить. Воспользовавшись возможностью зарегистрировать в штате Калифорния автомобильный номерной знак с любым произвольным словом, он заказал себе табличку со словом NULL.

Электронная система регистрации позволила ему заказать такой номер, после чего Тартаро повесил его на свою машину. Исследователь прекрасно понимал, что указатель NULL используется во многих языках программирования и СУБД, поэтому решил проверить, сможет ли таким образом сделать свою машину невидимой в полицейских базах данных.

Однако, все обернулось немного не так, как он ожидал. В скором времени Тартаро обнаружил, что на его имя начислены штрафы за нарушение правил дорожного движения, сумма которых превысила 12 тысяч долларов США.

Как выяснилось, в случаях, когда полицейские камеры не могли распознать номера машин, попавших в их объективы, в базу данных нарушений ПДД записывалось значение NULL.
Таким образом, по мнению автоматизированной системы, Тартаро стал ответственным за все нарушения, совершенные неидентифицированными автомобилями.

В настоящее время исследователь готовится оспаривать начисленные ему штрафы. Жизнь «невидимки» пришлась ему не по вкусу.
@In4security

Упорству храбрых поем мы песню
На протяжение последнего полугода кто-то ежедневно регистрирует по десятку доменных имен типа «подарки от сбера».

Вчера, например, были зарегистрированы вот такие домены:
12podarok-sb.ru
14-podarok.ru
sb12-podarok.ru
12podarok-sb.online
14-podarok.online
raz-podarok.online
sb-bankpodaroky.online
sb12-podarok.online

Помимо наименования, у всех этих доменов есть общая черта: они регистрируются через компанию «Бегет». Но если еще весной, мошеннические сайты успевали просуществовать хотя бы пару дней, то примерно с начала лета компания «Бегет» стала блокировать эти домены прямо в день регистрации.

Может пора уже рассказать этому упорному человеку о том, что кроме «Бегета» есть и другие регистраторы?
@In4security

На прошлой неделе мы писали о том, что спамеры стали использовать формы обратной связи различных компаний для обхода спам-фильтров. Однако, это далеко не единственный прием.

Этим летом широкую популярность также получили фишинговые письма со ссылками на страницы в сервисе Blogspot. Причем используются домены в самых разных доменных зонах, благо гугл нарегистрировал их с запасом. При переходе по ссылке осуществляется редирект с блогспота уже непосредственно на мошеннический ресурс. Наш ящик-ханипот просто завален подобными сообщениями.

Страницы на blogspot и сами мошеннические сайты достаточно живучи. Ссылки из спама месячной давности до сих пор активны.

Несмотря на то, что большая часть сайтов сделана словно под копирку, встречаются и любопытные примеры. Ресурс на скриншоте, например, делает вид, что создает для вас личный кабинет, и отправляет оповещения через браузер.
@In4security

Иногда попадаются по-настоящему смешные сайты. Вот здесь, например, предлагают нанять группу хакеров с 16-летним опытом работы.

Есть даже раздел с отзывами клиентов, прямо как на сайтах с опросами от Сбербанка.

Правда, судя по исполнению и наполнению сайта, 16-летний опыт у этих хакеров может быть разве что совокупным, ведь не может же опыт превышать возраст самого хакера!
@In4security

Детективное агентство «Магнум» привлекает внимание широтой оказываемых услуг.

Вот как вам, например, «провокация измены»? Видимо, в агентстве имеется свой штат профессиональных красоток и красавцев.

Но куда интереснее их услуга «проверка банковских счетов». Тут они предлагают своим клиентам то, что в обычных условиях не под силу даже сотрудникам полиции (напомним, что в соответствии с Федеральным законом «О банках и банковской деятельности», подобные запросы направляются в банк на основании судебного решения).

При этом на сайте конторы они пишут: «Действуя по закону, мы соблюдаем все его нормы и не занимаемся проникновением в помещения, установкой подслушивающих устройств, передачей информации третьим лицам».

Интересно, как долго с таким подходом им удастся сохранять свою лицензию?
@In4security

Когда покупатель - робот
Американка с ником Finalphoenix случайно раскрыла схему электронных махинаций на рынке дизайнерской одежды.

Девушка обнаружила, что как бы она ни пыталась приобрести увиденные в Instagram дизайнерские вещи, они всегда оказывались распроданы еще до того, как она успевала сделать заказ.

Устав от безуспешных попыток купить понравившиеся вещи, Finalphoenix решила написать небольшую утилиту, автоматизирующую процесс покупки одежды. Утилита сработала и девушке удалось приобрести платье.

Решив глубже исследовать проблему, Finalphoenix обнаружила целый сегмент черного рынка, связанный с созданием и продажей ботов, предназначенных для мониторинга сайтов популярных брендов на предмет появления новинок, создания многочисленных учетных записей клиентов и автоматической покупки необходимых товаров.

Стоимость ботов может достигать полутора тысяч долларов, некоторые из них также предлагаются как сервис, подписка на который обойдется в 15-20 долларов в месяц. Боты пользуются огромной популярностью у реселлеров, скупающих эксклюзивный товар с целью его последующей перепродажи по завышенным ценам.

Впрочем, данная ситуация характерна не только для США. Торговые боты вполне распространены и в России. Не верите? Тогда оформите электронную подпись и попробуйте купить квартиру на электронном аукционе недвижимости…
@In4security

Скажи мне, кто твой рекламный партнер, и я скажу – кто ты
В современном мире многие приложения используют сторонние библиотеки и модули, разработанные третьими лицами. И часто это становится причиной проблем.

В этот раз досталось пользователям популярной android-программы для создания электронных копий документов – CamScanner. В последней версии утилиты внезапно появился троян-загрузчик, ранее замеченный на некоторых китайских смартфонах.

Быстро выяснилось, что троян попал в состав CamScanner вместе с рекламным модулем от сторонних разработчиков, который создатели программы прикрутили к своей программе на волне падения продаж платной версии. Таким образом вполне легальное и популярное приложение в одночасье стало вредоносным.

Некоторые эксперты заявляют, что вредоносный рекламный модуль был встроен только в бесплатную версию программы, а платной можно смело пользоваться. Только вот «платная» версия представляет собой лишь надстройку над бесплатной, и сама по себе неработоспособна.

Данная ситуация является лишним напоминанием того, что успех вашего бизнес зависит не только от вас, но и от ваших партнеров и контрагентов.
@In4security

На этой неделе все обсуждают слив персональных данных сотрудников РЖД. Кто может стоять за этой атакой? Намеренно ли утечка была предана огласке? К каким последствиям она может привести? Обо всем об этом рассказываем в статье: https://telegra.ph/Relsy-relsy-shpaly-shpaly-08-30
@in4security

Молодость vs опыт
Банк Lloyds провел исследование, согласно результатам которого наиболее часто жертвами банковских мошенничеств становятся люди в возрасте от 18 до 34 лет. Средняя сумма ущерба при этом составляет примерно две с половиной тысячи фунтов стерлингов.

Реже всех жертвами мошенников, притворяющихся сотрудниками служб безопасности банков, полиции или налоговой, становятся граждане старше 55 лет. С другой стороны, у них крадут по-крупному – средняя сумма ущерба превышает 10 тысяч фунтов.

И несмотря на то, что британцев в возрасте от 45 до 54 лет обманывают в три раза чаще, чем их старших соотечественников, до молодежи им все равно далеко.

Эксперты связывают высокую виктимность британской молодежи с увлечением электронными платежами и цифровыми сервисами. Впрочем, в этом же исследовании представители Lloyds отмечают, что злоумышленники диверсифицируют своих жертв по возрасту и используют для взаимодействия с ними различные методики.

Что ж, как видим, банковские мошенничества по ту сторону Ла Манша отличаются от наших разве что средними суммами денег, хранящихся на счетах жертв, а в остальном – это все те же фейковые колл-центры и извечное: «ваша карта заблокирована».
@In4security

https://m.lenta.ru/news/2019/09/04/new_way/

Интересным "новым" видом мошенничеств делится с нами ЦБ. На самом деле подобная схема со взломом аккаунтов и рассылкой сообщений с просьбой перевести денег успешно здравствует уже лет 6-8 и является классическим примером социального мошенничества.

Впрочем, если обратиться к первоисточнику, статье в Известиях, то можно обнаружить и кое-что интересное.
В предыдущем посте мы писали, что в Великобритании самые крупные суммы денег мошенники выманивают у доверчивых пенсионеров. В России все не так. Согласно данным ЦБ, российские злоумышленники переключаются на людей помоложе. Причина проста: у российских пенсионеров банально нечего красть.
@In4security

Когда дебет не сходится с кредитом
Сегодня на Phreaker.pro появилась база отзывов о кредитных продуктах и финансовых учреждениях с сайта kreditovik.ru.

В базе содержатся достаточно обширные сведения, включающие ФИО, адрес электронной почты, IP-адрес заемщика, сведения о кредитном продукте и многое другое.

Параллельно с этим сайт kreditovik.ru де факто прекратил свое существование. Сейчас на его титульной странице висит лаконичное «FUCK 0FF».

Что ж. Если раньше на сайте kreditovik.ru люди делились сведениями о том, где лучше взять кредит на выгодных условиях, то теперь, судя по всему, мошенники будут делиться друг с другом их персональными данными. Ну а банки могут спать спокойно, одними разоблачителями мелкого текста в кредитных договорах стало меньше.
@In4security