Деньги в кассу, дампы в базу

Американская ресторанная сеть Huddle House сообщила, что на POS-терминалах, используемых в ресторанах франшизы, было выявлено вредоносное ПО, копировавшее данные магнитной полосы карт клиентов.

Согласно заявлению, злоумышленники получили доступ к инструментам вендора, поставлявшего POS-терминалы, что позволило им удаленно внедрить на устройства вредоносный модуль.
Возникает вопрос, что же это за POS-терминал, софт которого можно обновить удаленно и незаметно для пользователя?

Некоторые источники сообщают, что это облачная платформа Aloha от компании NCR, которая, кстати, ранее уже была подвержена подобным атакам с использованием ВПО.
Примечательно, что внедренные трояны оставались в  тени почти полтора года, пока представители правоохранительных органов и банка-эквайера не забили тревогу.

Информация о количестве ресторанов, подвергнувшихся атаке, не распространяется, поэтому остается ждать результатов расследования, которое прольет свет на её подробности.

Вот так удар по репутации. Самое печальное, что сама ресторанная сеть, в общем-то,  совсем не при делах. Ее единственная оплошность - доверие вендору столь удобного и  «безопасного» решения.

Но мы-то знаем, что не все то золото, что блестит @in4security

Ночь, улица, фонарь, кредитка🎑

Я в полночь посмотрел:
Переменила русло
Небесная река.
Хаттори Рансэцу

Банкоматам не позавидуешь: их взрывают, увозят на грузовиках, сверлят, заражают вредоносами и «ломают» при помощи блэкбоксов. Но зачем калечить устройство, если ты сотрудник банка, да еще и старший программист? Вероятно, именно такие мысли были в голове Цинь Циньшеня, который на протяжении года потихоньку обчищал родной Huaxia Bank.

Все началось с того, что он обнаружил ошибку процессинга, в результате которой в 12 часов ночи банкоматы выдавали наличные, не списывая средства со счета клиента. Опробовав ее на практике, Циньшень решил закрепить успех и внедрил в систему процессинга скрипты, блокирующие уведомления о выдаче крупных сумм денег.

Банк забил тревогу лишь после того, как сумма похищенного перевалила за семь миллионов юаней (примерно миллион долларов). Полиция задержала Циньшеня, но тот выдал все похищенные деньги и заявил, что просто тестировал систему безопасности своего банка, осуществив за год с небольшим 1358 операций по снятию наличных.

Несмотря на то, что банк согласился с аргументами своего сотрудника и отозвал заявление, полиция не поверила горе-тестировщику, успевшему, к слову, вложить часть денег в ценные бумаги. Теперь Циньшень может предстать перед судом, где ему грозит до 10,5 лет лишения свободы.

Остается открытым вопрос: внедрит ли после этого банк вознаграждения за баг-хантинг для своих сотрудников? @in4security

Глубокое синее море🦈

Нет, речь сейчас пойдет не об акуле-людоеде, а скорее о рыбах-удильщиках, желающих заманить в свою пасть клиентов банков.
Итак, предлагаем вашему вниманию наш еженедельный обзор о фишинге и его доменах!

На этой неделе с небольшим перевесом снова лидирует Сбербанк
sberbankopros.ru
sberiks.ru
sro-sber.ru
ssber.ru
sber-profile.ru
spasibootsbera.ru

Советуем обратить внимание на первый домен. С учетом волны фейковых опросов от имени банков и платежных систем, которая обрушилась на головы пользователей за последние полгода, регистрация такого доменного имени была лишь делом времени.

Второе место занял ВТБ с доменами:
helpvtb24.ru
vtb-biznes.ru
online-vtb1.ru
vtbit.com

Среди зарубежных кредитных организаций выделяется Halkbank – на этой неделе зарегистрировано аж 39 доменных имен, включая такие, например, как halkbanksupport.com – неплохой вариант для фишинговых рассылок.

Но куда интереснее другие события. Некто зарегистрировал десятки доменных имен, начинающихся с «nationalbankof», «thefirstbankof», «firstbankof» и «bankof». Далее идет название страны или крупного города. Хотя чего уж мелочиться. Первым в списке идет thefirtbankofearth в доменных зонах .com и .org.

Вот такая выдалась неординарная неделя. Оставайтесь с нами и да прибудет с вами информационная безопасность! @in4security

Демократия в открытом коде 🍍

Об уровне правосознания швейцарских граждан ходят легенды. Вот только представьте: для того, чтобы проголосовать на выборах или референдуме им необязательно идти на избирательный участок, достаточно отправить заполненный бюллетень... по почте.

Но технологии не стоят на месте, поэтому в 2018 году правительство Швейцарии решило ввести еще один формат народного волеизъявления – электронное голосование (E-voting). С целью повышения доверия и открытости швейцарские власти опубликовали исходные коды платформы электронных голосований на GitLab, а также запустили программу поиска уязвимостей, пригласив всех желающих принять участие в пентестах системы.

Тестирование будет проходить с 25 февраля по 24 марта, причем в последний день состоится полноценная имитации голосования. Вознаграждение за выявленные уязвимости колеблется в диапазоне от 100 швейцарских франков до 50 тысяч. Самая большая сумма полагается за обнаружение способов тайных манипуляций с голосами.

Впрочем, пентестеры будут иметь и ряд ограничений. Им запрещается реализовывать атаки, способные нанести вред личным устройствам избирателей, а также пытаться взломать информационные системы Почты Швейцарии (оператора E-voting), не задействованные в процессе голосования.

Подобный подход к обеспечению информационной безопасности внушает уважение. Похоже, что в Швейцарии не слышали про популярный принцип «тяп-ляп и в продакшн».
@in4security

Ключи от черного хода.

Одной из ключевых тенденций 2019 года однозначно станут утечки. И вот вам доказательство.

Данные 650 миллионов пользователей снова попали в руки злоумышленников, которые готовы поделиться ими на одном из ресурсов в даркнете примерно за 20 тысяч долларов. Сумму, естественно, следует переводить в биткойнах.

В базе можно найти сведения с 16 ресурсов, в число которых входят, в том числе, фотохостинги, фитнес-сервисы и портал для построения своего генеалогического дерева. Согласно информации, размещенной продавцом, все они были взломаны в 2018 году и данные с них поступают в продажу впервые. Некоторые из ресурсов, например, MyHeritage, MyFitnessPal и Animoto, уже заявляли о взломах и предупреждали своих пользователей о необходимости смены паролей. Другие не были замечены в компрометации.

Объявление размещено на площадке Dream Market в сети Tor, впрочем, доступ к ней в настоящее время затруднен. Ресурс подвергается DDoS-атаке уже три дня.

Итак, что же получает покупатель за эти деньги? Конечно же логины пароли. Впрочем, в образцах записей, предоставленных продавцом, пароли представлены в виде хэшей или подвергнуты шифрование, но это не значит, что база не содержит паролей в открытом виде.

Помимо паролей покупатель обретает доступ к личной информации пользователей, включая сведения о местонахождении, личных предпочтениях и контактах. База данных не содержит сведений о банковских картах и платежных реквизитах.

Вполне очевидно, что подобного рода информация будет востребована среди злоумышленников. Более того, согласно имеющимся сведениям, как минимум один человек уже успел ее приобрести. Это неудивительно, ведь пароли представляют немалую ценность. Не секрет, что многие пользователи используют один и тот же пароль для доступа на разные ресурсы.

В современном мире принцип "один сайт – один пароль" становится все более актуальным. Иногда простые действия способны предотвратить наступление разрушительных последствий.
@in4security

Окропим свежий снежок свежими утечками

Начало года выдалось реально горячим. Помимо утечки 650 миллионов учетных записей, о которой мы писали вчера, оно отметилось, можно сказать, экстраординарным событием – фактическим уничтожением защищенного почтового сервиса VFEmail. Думаете так не бывает? Зря!

11 февраля сервис внезапно ушел в оффлайн, после чего его основатель Рик Ромеро сообщил в Twitter о том, что VFEmail подвергся хакерской атаке, в результате которой были уничтожены виртуальные машины, базы данных, файловые и бекап-серверы. Каким образом злоумышленникам удалось попасть в систему – неизвестно. Администрация «защищенного» сервиса разводит руками и говорит, что пользовательские данные восстановить уже не удастся. Классический пример сапожника без сапог.

Другим громким событием стало обнаружение на расположенной в даркнете площадке Dread объявления о продаже 100 тысяч документов KYC (know-your-customer), содержащих фотографии людей, держащих в руках паспорта или водительские удостоверения. Что характерно, ни один сервис, использующий KYC, не признал факт утечки. Остается ждать пока кто-нибудь из жертв узнает себя на фото и не вспомнит, какой именно сервис требовал от него прислать подобный снимок.

100 тысяч – волшебная цифра. Именно такое количество австралийцев столкнулись с утечкой персональных данных, а также сведений об оценочной стоимости их жилья. Всему виной фирма LandMark White, занимающаяся оценкой недвижимости по заказам банков. Украденные данные всплыли в даркнете, и теперь каждый австралиец может узнать, сколько на самом деле стоит дом его соседа.

Не обойдем стороной и нашу страну. На широко известном в узких кругах хакерском форуме появилась ссылка на базу данных пользователей «В контакте», содержащую упорядоченные сведения из общедоступных профилей. Беглый анализ базы позволяет предположить, что ее отпарсили еще в 2014 году, причем дата регистрации самой свежей учетной записи – аж апрель 2008 года, а формат данных очень напоминает выгрузку из Кроноса или другой подобной СУБД. В общем, хорошо забытое старое.

Но, как говорится, утечек бояться, в сеть не ходить.
@in4security

Ваша карта бита.

Все давно привыкли к тому, что кардеры, промышляющие скиммингом, обычно получают очень небольшие, а то и вовсе условные сроки, а поэтому сидят на оглашении приговора с плохо скрываемой улыбкой.

Правда бывает и иначе. Если полиции удается собрать материалы для возбуждения уголовного дела по 210 статье (Создание организованного преступного сообщества или участие в нем), то речь уже может идти о 15-20 годах лишения свободы. Пока есть всего лишь пара-тройка случаев возбуждения дел по 210-й в отношении киберпреступников, но зато одно из них уже окончено приговором.

В декабре прошлого года суд приговорил двух российских кардеров – Илью Стерлигова и Петра Байдака к 15 годам лишения свободы. С 2012 по 2013 год преступная группа под их предводительством похитила деньги у 116 клиентов Сбербанка и ВТБ 24 на общую сумму 12 млн 858 тыс. 814 рублей.

Для России это рекорд. А что за рубежом?

Вот, скажем, ЮАР. На этой неделе суд города Эвандер приговорил 26-летнего Табо Симона Нтули к 20 годам лишения свободы за скимминг. Работавший на платной автомагистрали молодой человек не придумал ничего лучше, чем установить накладку на терминал на пункте оплаты проезда. Тот факт, что Нтули промышлял скиммингом прямо на рабочем месте в итоге послужил отягчающим обстоятельством.

А неделю назад в Австралии Йорлан Суарез-Корралез, занимавшийся установкой скиммеров на заправках в округе Смит, был приговорен… к пожизненному заключению.

Впрочем, через 30 лет Корралез сможет подать прошение о досрочном освобождении, только вот будет ли к тому времени еще существовать скимминг?
@in4security

Вокруг света за 80 доменов.

Пятница – это не только самый долгожданный день для офисных работников, но и время подводить итоги недели.

Итак, в лидерах снова Сбербанк с доменами:
sber-bank-online.ru
sberbank-bonus-3000.ru
sberbank3000.ru
3000-sberbank.ru
sberbank-podarok-3000.ru
3000sberbank.ru
podarok-3000sberbank.ru
sberbank-3000.ru
sberbank3000bonus.ru
sberbank-bonus3000.ru
sberbankprizi.ru
kabinet-online-sber.com
sber-coin.com
oprossberbank.ru
sberbank-promoaction.ru
sberbankregistr.ru
sberofis.ru
sberprizi.ru

Заметили закономерность? Большинство доменных имен так или иначе связаны с подарками, бонусами и опросами. Ну и магическая цифра «3000». Тут все просто – это реинкарнация удивительно живучего развода. Якобы Сбербанк подарит 3000 рублей за регистрацию в «Сбербанк.Онлайн». Схема проста: на фейковом сайте жертве предложат ввести телефон, потом одноразовый код из СМС и… деньги несчастного клиента улетят в неизвестном направлении. Схеме уже 3 года, но, видимо, кто-то решил её снова зафорсить.

В зоне .COM, как и неделю назад, кто-то продолжает с упорством регистрировать доменные имена с названиями стран и городов. Список пополнился еще четырьмя десятками доменов. Такими темпами через пару недель не останется ни одной страны, для который не было бы заведено домена типа «firstbankof*.com» или чего-то подобного.
Также стоит отметить домены, в названиях которых присутствует «mychasebank» и «nonbank».

В игре «Монополия» есть карточка «Банк ошибся в вашу пользу, получите 100 тысяч», с учетом реалий времени стоило бы заменить ее на: «Вы ошиблись в пользу мошенников, отдайте ваши деньги».
@in4security

Ничего личного

Что ни новость, то: «в интернете нашли очередную базу данных». А что поделаешь? Сведения о людях и их частной жизни нередко попадают в руки злоумышленников. Впрочем, не всегда. Иногда данные «утекают» в результате банального пренебрежения информационной безопасностью.

Виктор Геверс, эксперт по кибербезопасности из Голландии, обнаружил в сети открытую базу, содержащую сведения о почти 2,6 миллионов уйгуров (проживающий в Китае тюркский народ). Помимо имен в базе имелись адреса, телефоны, номера ID-карт, сведения о работе, фотографии и GPS-координаты.

База находилась в открытом доступе порядка полугода. Она была активна, но при этом любой желающий имел возможность свободно читать и редактировать ее.

Эксперт выяснил, что база принадлежит китайской компании SenseNet, специализирующейся на разработке систем распознавания лиц и анализа видеоизображений, и предположительно может использоваться для слежки за уйгурским населением. После того, как Геверс проинформировал компанию об уязвимости, доступ к базе с айпи-адресов за пределами Китая был закрыт.

А тем временем таинственный хакер Gnosticplayers расширяет ассортимент продаваемых в даркнете сведений. Стоило всем обсудить утечку данных 620 миллионов пользователей, как он разместил объявление о продаже еще 127 миллионов учеток. Но и это еще не все. Вчера на Dream Market появилось его очередное сообщение: очередные 93 миллиона аккаунтов за 9 с половиной тысяч долларов. В списке скомпрометированных - популярный сервис анимированных картинок GfyCat и платежная платформа Onebip.
«Ничего личного, просто деньги», - так можно охарактеризовать позицию хакера, изложенную им в интервью изданию ZDNet.
@in4security

В последний месяц на почту летело особенно много спама со ссылкой на сайт only-bank.top – стандартный развод с опросами якобы от имени банка. Но мошенники выходят на новый уровень, и вот уже в Instagram рекламируют тот же самый сайт, но на новом домене: https://equipped04.live/startgreenb/
Мы уверены в благоразумии пользователей Instagram. Ну не поверят же они в то, что банк по своей воле просто возьмет и заплатит им деньги?
@in4security

Взломай меня, если сможешь

Согласно годовому статистическому отчету Edgescan, в 2018 году на уязвимости веб-приложений и API пришлось не более 20% случаев от общего числа выявленных уязвимостей.

В то же время, если говорить о взломах, именно веб приложения находятся в группе максимального риска. Основные векторы атак на веб-приложения в 2018 году были связаны с использованием межсайтового скриптинга и SQL-инъекций. Исследователи также отмечают, что устранение уязвимостей во многих случаях требует значительных временных затрат.

Информация звучит вполне правдоподобно, особенно если учесть, что последние громкие утечки баз аккаунтов с различных сайтов были связаны именно с атаками на веб-компоненты.

Кстати, треть выявленных в 2018 году критических уязвимостей публичных интернет-сервисов была связана с использованием старого и необновляемого софта. Так что если ваш сервер работает без патчей уже 20 лет, а его за это время так никто и не взломал, можете смело переименовать его в Неуловимого Джо.
@in4security

Деньги и документы, все осталось у экскурсовода.
(Кин-Дза-Дза)

Мы слышали историю о том, что вирусописатель вернул жертве деньги после того, как ключ, предназначенный для расшифровки файлов после шифровальщика, не сработал. Почему бы и нет? Но чаще бывает наоборот: злоумышленник получает выкуп и исчезает. Или троян оказывается кривым и ключ не подходит.

Так и вышло в случае с кардиологическим отделением расположенной в Мельбурне больницы Кабрини. Как водится, кто-то запустил файл из письма, и троян зашифровал истории болезни 15 тысяч пациентов. Бекапов похоже в больнице не водилось.

Администрация перечислила деньги вымогателям и получила пароль для расшифровки. Однако, расшифровать файлы с его помощью не удалось. Удивительно, правда? Теперь пострадавшие пытаются сохранить лицо, а австралийские СМИ пишут, что троян скорее всего имеет российские или северокорейские корни. Действительно, какая разница?

Остается лишь надеяться, что вся эта история не скажется на здоровье пациентов больницы.
@in4security

Рыбаки отправляются к турецким берегам.

Сейчас вечер пятницы, а значит снова время фишинга.

Вершину российского хит-парада, как не трудно догадаться, возглавляет Сбербанк: домены с цифрой 3000 и словами подарок или бонус продолжают быть актуальными. Вот только посмотрите:
bonus-3000-sberbank.ru
sberbank-darit-3000.ru
3000bonus-sberbank.ru
podarok3000-sber.ru
sberbank-3000bonus.ru
sberbank-podarok3000.ru
sberbank-fx.com
sberzaim24.ru
online-sberbank.com

За ними следуют Альфабанк, Ситибанк и Юникредит, правда на троих у них набралось всего с десяток доменов.

На западном фронте все интереснее. Кто-то регистрирнет десятки доменов вида: softbank******.com и *denizbank*.com

Последнему особенно не повезло - аж 30 доменных имен.

К слову, Denizbank (deniz - это море по-турецки) является одним из крупнейших банков Турции. Но, как говорил герой одного известного советского фильма: "Так это ж в Турции, там тепло!"
@In4security

Цена виртуальной жизни

Британцы из MoneyGuru решили выяснить, почем в среднем продаются взломанные аккаунты на черном рынке. Получилось довольно любопытно.

Про самые дорогие писать неинтересно: и так понятно, что это данные для входа в PayPal и прочие платежные сервисы. Средняя стоимость таких учеток колеблется в диапазоне 200-250 фунтов стерлингов. Лучше посмотрим, что можно купить за пару-тройку фунтов. Тут в лидерах Reddit –  всего полтора фунта и учетка ваша. За Twitter придется отдать уже два с половиной фунта, если, конечно, это не аккаунт Трампа. Примерно столько же стоят пароли от почтовых сервисов Gmail, Hotmail и т.д. Facebook  обойдется вам в 3 фунта, а Instagram – в 4.80.

А вот если вы захотите посмотреть за чужой счет фильмы на Netflix, вам придется выложить уже 8 фунтов, что, кстати, дороже месячной подписки!

Далее идут учетные записи Amazon, Ebay и Airbnb, а также пароли от Apple ID – все они продаются примерно по 10 фунтов за штуку, что в 3 раза дороже аккаунтов в соцсетях. Вероятнее всего это связано с тем, что к такого рода учеткам обычно привязаны банковские карты, которые и представляют интерес для потенциальных покупателей.

К слову, на российских площадках в даркнете стоимость паролей, собранных трояном-стилером, начинается от 5 рублей (завидуйте, британцы!), правда продаются они обычно пачками и гарантий того, что они будут рабочими, вам никто не даст. Такое вот импортозамещение.
@In4security

Holy Cow!

А вот и новости из Британии.

39-летний Бэлджиндер Сингх представлялся партнером Microsoft и предлагал дистанционно решить проблемы с компьютером. С этой целью он даже создал компанию Devine Technical Services. Все бы ничего, но вот только вместо решения проблем Сингх создавал их.

Его фирма была прикрытием для целой банды индийских мошенников. Они подключались к компьютерам жертв, брали с них деньги за услуги и... устанавливали им банковский троян.

Таким образом Сингх заработал и перевел в Индию почти 400 тысяч фунтов стерлингов.

На его беду один из пользователей записал все действия злоумышленников на видео. Бдительного подданного британской короны наградили 250 фунтами, а вот Сингху теперь придется провести в тюрьме ближайшие 28 месяцев. Удастся ли вернуть деньги из Индии - пока неизвестно.
@In4security

Страсти по Википедии

Основатель Википедии Джимми Уэйлс каждый год обращается к пользователям с просьбой пожертвовать деньги на поддержание и развитие проекта. Но некоторые пошли дальше.

На VC.RU вышел любопытный материал о самозванцах, прикрывающихся именем несуществующего бизнес-подразделения Википедии, а эксперт по ETHIC компании "Инфосекьюрити" Виталий Андреев прокомментировал это мини-расследование: https://vc.ru/life/59743-strasti-po-vikipedii
@In4security

Без суда и следствия

А между тем в Таиланде парламент принял весьма противоречивый закон о кибербезопасности, который наделяет государственные структуры широкими полномочиями в области контроля интернет-пространства. Общественные активисты уже успели окрестить это событие «введением кибервоенного положения».

В частности, в целях предотвращения или предупреждения серьезных киберугроз закон наделяет Национальный комитет по кибербезопасности (NCSC) полномочиями доставлять людей для допроса, заходить на территорию частных владений, изымать компьютерную технику, носители информации, а также осуществлять доступ в телекоммуникационные сети и информационные системы без решения суда. К лицам, не подчиняющимся требованиям властей, могут быть применены уголовные санкции.

Параллельно парламент страны принял закон о защите персональных данных, до боли напоминающий известный всем GDPR, но сдобренный азиатской спецификой.

А вот наши киберпреступники уже давно поняли, что скрываться в Таиланде от выдачи полиции – не самая лучшая идея. Впрочем, в мире осталось еще немало стран с отличными пляжами и либеральными законами.
@In4security

Не все домены одинаково полезны

Иногда доменные имена говорят сами за себя. Например, если мы видим в названии «sberbank» и «3000», то сразу становится ясно, что это развод «3000 бонусных рублей от Сбербанка». Но порой бывает сложно сходу определить, для каких целей был зарегистрирован домен.

Вот, например, на этой неделе было зарегистрировано более 1300 доменов, содержащих частицу «bank». В топе среди российских банков традиционно находится Сбербанк с 6 доменами:
kak-sberbank.ru
cberbank-onlain.ru
sberbnks.ru
sber-bank-otdeleniya.ru
bonus3000-sberbank.ru
sberbankoffopr.ru

Из них 3 домена не имеют DNS-записей и никуда не ведут, на одном стоит переадресация на сайт другого российского банка из ТОП-10, а оставшиеся ведут на сайты-пустышки, содержащие информацию для клиентов и список всех российских отделений Сбербанка. Еще 5-6 подобных пустышек появилось в привязке к другим российским банкам.

А за рубежом внимание опять приковано к турецкому банку Deniz – 10 доменных имен в различных вариациях. Всего же за последний месяц было зарегистрировано 38 доменов, созвучных с его названием. Самое интересное, что ни одного сайта на этих доменах так пока и не появилось.

Интересно, чем закончится загадочная турецкая история? Оставайтесь на нашем канале и все тайное станет явным.
@In4Security

Первое открытие весны

Отдыхаете в этот солнечный субботний день? А кому-то похоже скоро будет не до отдыха, ведь на форуме Phreaker.pro выложили базу клиентов банка “Открытие”.  Не всех, конечно, утекли данные из одного московского отделения, но и это как-никак почти 8 тысяч человек. В настоящее время базу совершенно бесплатно может скачать любой желающий. К слову, ранее на этом же форуме уже выкладывали инфу о сотрудниках Сбербанка, что вызвало немалую шумиху.

Сразу возникает вопрос: а знает ли банк об этой утечке, так как факт появления на форуме персональных данных клиентов говорит как минимум  о том, что DLP-система корректно не сработала.

Ну а пока остается лишь посочувствовать тем людям, чьи данные стали достоянием общественности. Вряд ли они были готовы к таким открытиям.
@In4security

Я б в пентестеры пошел, пусть меня научат

Пока мы тут рассуждаем об утечках, 19-летний аргентинец Сантьяго Лопез заработал на баунти-хантинге миллион долларов. Упорству парня можно позавидовать, за 4 года он зарепортил 1600 уязвимостей (это больше 1 сообщения в день) через платформу HackerOne.

Интересно, есть ли у Лопеза подруга? Ведь еще в 2012 году судебный психолог и соавтор книги «Психология киберпреступности» Грейн Кирвэн выяснила, что большинство хакеров отправляется на покой в возрасте 18-25 лет, когда у них появляются постоянные девушки. Или white hat это не касается?
@In4Security