Кризисный PR
База данных 8000 клиентов Cбербанка, что сегодня отправилась в свободное плавание по волнам даркнета и Telegram-каналов, была бы совершенно неинтересна искушенной публике, ведь она содержит всего 5200 уникальных записей, о которых и так уже было известно.

Каждый исследователь считает своим долгом скачать эту базу, отфильтровать дубли и убедиться в том, что уникальных записей там и вправду 5200.

И никто не обращает внимание на то, что база называется «Сберслив для ИМА-Консалтинг». ИМА-Консалтинг - это агентство, специализирующееся в том числе на антикризисном пиаре.

Что это? PR-атака?
@In4security

Где базу скопировали, туда и идите!
Что-то на этой неделе все про Сбербанк и утечки, даже надоело уже.

Пока в своем telegram-канале проукраинские хакеры выкладывают базу данных 17 тысяч россиян, уникальных записей в которой менее двух тысяч (facepalm), на форуме dublik.at меркантильный пользователь Антон2131 пытается продать совсем свежую, октябрьскую, базу данных клиентов Сбербанка, которых насчитывается аж 11500 человек.

Несмотря на то, что 11500 – это примерно в 2 раза больше, чем подтвержденные Сбербанком 5000 клиентов, в объявлении куда интереснее другое. Антон 2131 говорит, что имеющаяся в его распоряжении база еженедельно обновляется, а общей объем скомпрометированной информации составляет примерно миллион строк. Продавец готов делать выборки сведений по запросам покупателей и даже прислать желающим аудиозапись разговора клиента с оператором.
«Какие ваши доказательства?» - говорил герой Шварцнеггера в фильме Red Heat. Пока никаких, самим интересно. В прошлый раз, например, реальность продаваемых сведений проверили журналисты Коммерсанта, после чего немедленно написали об этом статью. В данном же случае объявление пока еще остается незамеченным широкой общественностью. Да и устала уже общественность от публикаций об утечках из банка, если честно.

Подведем итог. Если все это правда и данная информация окажется в общем доступе, значит усиление мер безопасности после предыдущего инцидента не принесло никаких результатов, и нейросети все еще бессильны против сотрудника с флешкой в кармане.
@In4security

По случаю пятницы небольшой дайджест событий.
Украина до сих пор остается достаточно безопасным местом для злоумышленников, работающих по России, но вот если вы позарились на США, это не лучшее место для того, чтобы укрыться.

Сегодня в Киеве был задержан иностранный гражданин, подозреваемый американскими властями во взломе компьютерных систем, отмывании денег, мошенничестве и прочих сопутствующих этому бизнесу грехах. Ущерб от действий задержанного оценивается примерно в 6 миллионов долларов.

А в самих Штатах Питтсбургское отделение ФБР напоминает в своем Твиттере о том, что многострадальный Евгений Богачев все еще находится в розыске. Так и сказано: «still wanted». Видимо, другие методы уже не действуют, и Богачев все не едет на Украину.

Тем временем в России… Новосибирский суд приговорил к штрафу программиста местной больницы за то, что он нечаянно взломал сайт регионального Минздрава и Правительства области. Исходя из того, что судили программиста по 273-й статье УК, скорее всего речь о взломе не идет, незадачливый пентестер просто прошелся по ресурсам правительства сканером портов, а местное ФСБ (да, мы не ошиблись, делом занимались органы госбезопасности) не оставило этот факт без внимания.

В суде программист сказал: «Я просто нажал кнопку Пуск»… Не зря Microsoft все пытается от нее отказаться, опасная штука!
@In4security

К тому, что сайты ломают ради денег, все уже давно привыкли. Но куда забавнее наблюдать за разнообразными хактивистами.

Под конец недели кто-то взломал сайт Корпуса быстрого реагирования НАТО в Италии и сделал Абу, админа Двача, командором, а заодно разместил обращение к Бараку Обаме. Сайт уже починили, но веб-архив все помнит: http://web.archive.org/web/20191025131254/http://www.nrdc-ita.nato.int/home.php

Теперь зарубежные коллеги еще лет 10 смогут приводить эту историю на всевозможных конференциях в качестве примера агрессии России в киберпространстве, как это было, скажем, с Бронзовым солдатом.
@In4security

Работа с риском

ЦРУ запустило в TOR сайт для тех, кто очень хочет стать агентом или резидентом американской разведки, но не знает как.

К слову, его адрес: ciadotgov4sjwlzihbbgxnqg3xiyrg7so2r2o3lt5wz5ypk4sxyjstad.onion (зацените название: ciadotgov).  Все бы ничего, но напрашивается вопрос: зачем создавать сайт в торе? Потенциальные агенты и так через тор свяжутся, а вот маскировать местонахождение собственного ресурса для ЦРУ - это как-то странно.

В этой связи дарим контразведчикам рецепт: 1) создаете сайт в торе, называете его сайтом ЦРУ; 2) cобираете информацию о потенциальных предателях родины.

Не благодарите!
@In4security

inSECURE
Как вы думаете, какое слово в названии домена может служить маркером фишингового сайта?

Как ни странно, это слово – secure. За последний месяц было зарегистрировано примерно три с половиной тысячи доменных имен, содержащих этот термин, две с половиной тысячи из которых имеют все признаки использования в целях фишинга.

Примерно треть доменов представляет собой различные громоздкие комбинации, содержащие помимо secure такие слова, как office, ssl, portal, login и account. Например:
mails-officesslappssecure-servers-portal-execs.management
office-secure-ssl-sl-mail3709-apps-server-portal-apps-mail.management

Причем многие из них также содержат частицу csuite, что переводится с английского как «топ-менеджмент:
csuite-secured-office-staff-portal.com
csuite-staff-secure-office-portal.com
executive-secure-office-portal.com
csuite-secure-staffs-admin.net

Подобные доменные имена вероятнее всего используются для осуществления фишинговых рассылок в процессе целевых атак на организации. При этом их количество по-настоящему поражает: они появляются по нескольку десятков в день.

Оставшаяся часть доменных имен предназначена для фишинговых ресурсов, имитирующих страницы авторизации или восстановления пароля популярных платежных систем и интернет-сервисов.
secureaccountpaypal.com
secure-netfllx.com
apple-idsecurefix.com
icloudsapps-securepayredirected.com

Так что, если вы видите домен, в названии которого упоминается безопасность, десять раз подумайте, стоит ли ему доверять.
@In4security

Честно говоря, мы думали, что эпоха таких псевдо-винлокеров давно прошла, но, как выясняется, нет. На сайте mvd-online-police.online висит скриптик, который определяет вашу версию Windows, запускает звук сирены и разворачивает на полный экран картинку, соответствующую вашей операционке.

Естественно, на самом деле никакой это не локер и «блокировка» волшебным образом снимается по нажатию Alt+Enter, но выглядит эффектно, особенно с учетом сирены из динамиков. Создатели сайта не поленились нарисовать браузер с адресной строкой и достаточно достоверно скопировали шапку сайта МВД. Ну а самое прекрасное – это фраза про «Федеральный номер МВД РФ по приему штрафов ТЕЛЕ2».
@In4security

Клинический случай
На днях в сети появился сайт Федерального казенного учреждения здравоохранения «Медико-санитарная часть МВД России по Санкт-Петербургу и Ленинградской области» (http://mvdmedspb.ru/). Все бы ничего, но у этого учреждения давно уже имеется официальный сайт - https://мсч.78.мвд.рф.

Новый ресурс хостится за CloudFlare, что уже настораживает, к тому же в последние годы сайты подразделений МВД были перенесены на единую программно-аппаратную платформу (на которой и располагается официальный сайт медсанчасти), а герой нашего повествования создан на WordPress на основе бесплатного шаблона.

На данный момент ресурс выглядит недоделанным. Часть информации на нем скопирована с официального сайта, достоверность прочих сведений, например, прейскуранта на оказание платных услуг, вызывает серьезные сомнения.

О мотивах создателей сайта пока можно только догадываться. С учетом специфики контингента, обслуживаемого медучреждением, такой ресурс можно использовать для сбора сведений о сотрудниках полиции, информационных вбросов, ну или в целях банального мошенничества при оказании платных услуг.
@In4security

Поисковик - лучший друг хакера. В данном случае другом будет Яндекс, гугл такого не выдаёт.

Заодно можете проверить, нет ли вашего сервера в списке популярных запросов.

Подсказка: работает не только с ftp!
@In4security

Утечки данных клиентов банков продолжаются.
Вчера на форуме Migalki.pw пользователь с ником MineevAlex разместил объявление о продаже базы вкладчиков банка ВТБ. Продавец утверждает, что база совсем свежая и содержит сведения об имени, адресе вкладчика, и сумме вклада.

А потом все удивляются, почему у нас такой всплеск социальных мошенничеств и откуда у мошенников информация о клиентах банков!..
@In4security

В распоряжении нашего канала оказался фрагмент продаваемой базы данных клиентов банка ВТБ.
Полученный фрагмент содержит сведения о 21 клиенте, в том числе ФИО, почтовый адрес и адрес электронной почты, номер счета и количество денежных средств.
Кроме того, появилась информация, что помимо базы вкладчиков банка в продаже имеется еще и база клиентов ВТБ-Страхования, оформивших полис КАСКО.
@In4security

Суммы всех вкладов, предоставленных в выборке, превышают 1 миллион рублей. @In4security

В последние годы в сети появились сотни сайтов, выдающих себя за ресурсы российских предприятий нефтяной промышленности. Большая часть этих сайтов – англоязычные, а многие из организаций, сайты которых появляются в интернете, на деле не имеют официальных веб-ресурсов.

На сайте Stop419scams.com есть целый раздел, посвященный мошенничествам от имени российских нефтяных компаний (https://www.stop419scams.com/viewforum.php?f=8).

Что любопытно, такие сайты как правило создаются участниками западноафриканских преступных группировок, в том числе и из Нигерии, так что можно сказать, что «нигерийские письма» вышли на новый уровень.

На скриншоте выше - свежесозданный сайт «Темкинской нефтебазы», а ниже -  реальные фотографии предприятия с сайта, на котором данная нефтебаза выставлена на продажу.
@In4security

Чего только не найдешь на просторах интернета! Любопытный ресурс - http://bazamvd41.ru/

При попытке войти на него выскакивает форма ввода логина и пароля, если же вы откажитесь вводить данные для входа, вы окажетесь вот на такой странице.

Заголовок сайта - Управление МВД России по Камчатскому краю: АИС МВД – это подразумевает, что его создатель по крайней мере знаком с аббревиатурой АИС. Ссылка на главной странице ведет на форум любителей городских тематических игра, а картинки хостятся на сайте евгений-рыбалкин.рфевгений-рыбалкин.рф, владелец которого позиционирует себя в качестве разработчика, продажника и маркетолога.
@In4security

Жесткий диск как индикатор компрометации
Федеральная торговая комиссия США подала в суд на компанию InfoTrax Systems, обвинив последнюю в ненадлежащем исполнении обязанностей по защите персональных данных своих клиентов. Согласно материалам искового заявления, в результате успешной кибератаки злоумышленнику удалось украсть данные примерно 1 миллиона клиентов IT-компании.

Все началось в 2014 году, когда неизвестный хакер обнаружил ряд уязвимостей, позволивших ему получить удаленный доступ к серверам InfoTrax. В течение последующих 22 месяцев он 17 раз проникал в инфраструктуру компании и выкачивал сведения о ее клиентах, содержащие в том числе и логины с паролями.

Факт взлома был обнаружен лишь в марте 2016 года, когда на одном из корпоративных файловых серверов неожиданно закончилось свободное место – злоумышленник использовал его для хранения архива с данными, которые он намеревался выкачать. 🤦🏼‍♂️

Но на этом злоключения InfoTrax не завершились. Спустя неделю после обнаружения вторжения злоумышленник атаковал сайт компании с использованием вредоносного п/о, что позволило ему получить данные 2300 клиентов, включая полные сведения об их банковских картах. Еще через неделю ему удалось повторить этот трюк.

Согласно данным Федеральной торговой комиссии, после утечки данных клиенты компании направили 238 жалоб по фактам несанкционированных списаний денег с банковских карт, 38 человек столкнулись с тем, что на их имя были получены кредиты, 15 стали жертвами мошенничеств в налоговой сфере, а один потерпевший пожаловался на то, что его персональные данные были использованы посторонним лицом в целях трудоустройства.

Теперь компании грозит запрет на сбор, хранение и обработку персональных данных до тех пор, пока не будут приняты адекватные меры по обеспечению их защиты. Кроме того, регулятор намеревается обязать InfoTrax проводить независимый аудит информационной безопасности своей инфраструктуры каждые 2 года.

О том, какие убытки понес (и еще понесет) IT-провайдер в результате этого инцидента, пока неизвестно, но издержки явно значительно превышают стоимость внедрения и обслуживания нормальной системы обеспечения ИБ.

В общем, если не знаете, как обосновать директору необходимость увеличения бюджета на информационную безопасность, вот вам готовый кейс!
@In4security

Входите, открыто!
На прошлой неделе Disney запустил свой стриминговый сервис – Disney+, а спустя всего пару дней в продаже в даркнете появилось несколько тысяч аккаунтов пользователей сервиса.

Взломанные аккаунты продают примерно по 3-5 долларов за штуку. Это существенно дороже продаваемых по соседству учеток того же Netflix и скорее всего объясняется повышенным интересом к сервису на волне его громкого запуска.

Думаете, что пароли собирали при помощи фишинговых сайтов, троянов-стилеров или вовсе взломали стриминговый сервис? Все гораздо проще.

Многие пользователи нового видеосервиса использовали при регистрации привычные им старые пароли, попавшие в базы публичных утечек информации. Таким образом, учетки оказались скомпрометированы уже по факту их создания. Злоумышленникам оставалось лишь взять из какой-нибудь базы адреса электронной почты и пароли и «прочекать» их на предмет входа в Disney+.

К слову, давным-давно, в начале 2000-х, когда люди еще активно пользовались аськой, автор канала провел эксперимент: взял выборку из нескольких сотен шестизначных номеров и проверил их по схеме «логин равен паролю». Даже такая простая атака сработала примерно в 6% случаев.
@In4security

На форуме Phreaker.pro выложили базу данных курьерской службы «Pony Express» за период с 1 января по 28 октября 2019 года. Впрочем, база не полная, в excel-файл, содержащий примерно 60 тысяч строк, попали лишь сведения о людях, покупавших электронные сигареты GLO через интернет-магазин с доставкой.

В таблице имеются данные о покупателях, включая ФИО, адрес доставки и телефон, дата и сумма заказа, сведения о курьере и прочая служебная информация.

Исходя из названия файла и сведений о его создателе можно предположить, что данная таблица является отчетом курьерской службы перед компанией-заказчиком, а сам документ оказался в общем доступе по недосмотру кого-то из сотрудников, причем необязательно сотрудников курьерской компании.

В общем, делая заказ в интернет-магазине, помните, что ваши персональные данные может обрабатывать не только сам магазин, но и сторонние организации, и не всегда все звенья этой цепи достаточно надежны.
@In4security

Интересно, что за софт используют специалисты @Group_IB для мониторинга угроз? Обратимся к фото, размещенному на прошлой неделе в официальном Instagram-аккаунте компании.
Центральную часть композиции занимает кислотно-зеленый интерфейс, который сразу выделяется на фоне скучных графиков и таблиц, демонстрируемых на других мониторах. Специалист компании задумчиво следит за происходящим на экране. А следить есть за чем, ведь судя по открытым окнам компьютер занят майнингом биткойнов, взломом паролей и соединением с базой данных Интерпола… в симуляторе хакера Hacker Typer на сайте geekprank.com.
Мы на своем канале взяли данный софт на вооружение. Интересные статьи теперь будут появляться чаще.
@In4security

В субботу на канале Интернет-Розыск (@irozysk) был сделан подарок операторам сотовой связи – деанонимизирован человек, предлагающий услуги пробива и вербующий сотрудников салонов связи и операторов.

Но, как говорится, есть один нюанс. Деанонимизирован был не тот пользователь Telegram, который реально занимается пробивами и вербовкой, а один из его многочисленных фейковых клонов.

Что ж, возможно эта информация пригодится реальному пробивщику для вычисления тех, кто паразитирует на его имени.
@In4security