Кстати, читатели нас спрашивают, не попали ли под нашу тяжелую руку бренды, которые легально используют в названии слова «FIFA» и «WorldСup2018» — банки, рестораны и т.д.? 😱Так вот отвечаем: рост количества доменов не пропорционален числу партнеров ЧМ'18. Официальных партнеров не так много, сейчас на сайте их  всего 13: http://ru.fifa.com/worldcup/organisation/partners/index.html. Маловерятно, что им необходимы тысячи доменных имен. Все остальные случаи - это как минимум неправомерное использование товарного знака. Опыт защиты Сочи-2014, где Group-IB, удалось устранить более 1500 фактов нелегального распространения билетов на 80 ресурсах и 335 случаев неправомерного использования олимпийского символики, показал, что чем ближе мероприятие, тем больше нарушений появляется, такая же история может повториться с ЧМ'18. Поэтому будьте внимательны и покупайте билеты только на официальном сайте. Оле-Оле!🏃⚽️🏆

Стали известны подробности кибератаки на  сотрудников военно-промышленного комплекса России. Эксперты из Positive Technologies назвали эту хакерскую группу SongXY,  в “Лаборатории Касперского” заявили, что атаки шли из Китая, а в Group-IB уточнили, что за кибершпионами стоит китайская прогосударственная хакерская группа.  
«Данная группа, по нашим данным, работает еще с 2008 года — рассказал эксперт по киберразведке Group-IB Рустам Миркасымов. — В свое время мы оповещали своих клиентов о том, что с почтового ящика действующего офицера Минобороны России (к которому получили доступ хакеры) была осуществлена рассылка с вредоносным вложением».  Чтобы усыпить бдительность, хакеры отправляли зараженные письма с такими темами, как «компенсация военнослужащим за аренду жилья» и «повышение зарплаты военнослужащим». Инструменты, имеющиеся в арсенале SongXY,  позволяли им скрытно следить за пользователями зараженных компьютеров, скачивать с них информацию, делать скриншоты экрана, активировать микрофон и веб-камеру.  Кроме России, следы кибершпионов находили в Японии, Монголии, Белоруссии, США, Таджикистане, Узбекистане, Киргизии, Казахстане и Украине.
Подробнее на РБК:
https://www.rbc.ru/technology_and_media/08/02/2018/5a7c3ee29a79471c93ab30b3

Минюст США отчитался о ликвидации Infraud Organization, сетевого сообщества, 36 участников которого обвиняются в кражах данных банковских карт, финансовой информации, распространении вредоносных программ.   Ущерб от их деятельности составил как минимум $530 миллионов. Пока задержаны только 13 человек, в том числе граждане Украины Святослав Бонадренко (“Obnon,” aka “Rector,” aka “Helkern,”),  Алексей Клименко (Grandhost), а также россиянин Андрей Новак (Unicc, aka Faaxxx).  
Эксперты Group-IB считают, что речь идет не об организованной преступной группе, а о сетевом сообществе, которое было создано вокруг андеграундного форума Infraud.ws. У каждого из задержанных была своя роль в иерархии форума — “Администраторы”, “Супермодератор”, “Вендоры”, “VIP Members”.  Судя по всему, участников Infraud смогли деанонимизировать и задержать после изъятия серверов, на которых хостился Infraud.ws. Сам форум прекратил работу 5 февраля.
По информации Group-IB, одним из основных видов деятельности арестованных был кардинг. Большинство задержанных регулярно фигурировали на хакерских и кардерских площадках, управляли кардершопами, продавали аккаунты, учётки, ВПО и др.
Например, россиянин Андрей Новак aka Unicc.at – известный на хакерских форумах кардер, его “активность” на форумах прослеживается с 2010-го года. Украинец Алексей Клименко aka Grandhost держал отказоустойчивый хостинг, тоже занимался кардингом и обеспечивал защиту собственных магазинов кардеров, пакистанец Amjad Ali aka “Amjad Ali Chaudary,” aka “RedruMZ,” aka “Amjad Chaudary” - кардер по США, француз Roland Patrick N’Djimbi Tchikaya aka “Darker,” aka “dark3r.cvv” тоже кардер, а, например, серб Miroslav Kovacevic aka “Goldjunge” – дизайнер, подделывал сканы карт, создавал фишинг-сайты опять же для кардинга.

Кстати, ликвидация Infraud.ws — это не первый опыт проведения успешной международной полицейской операции. Летом прошлого года полиция США, Канады, Европы прикрыла две крупнейших нелегальных площадки в DarkNet — AlphaBay и Hansa, торговавших  наркотиками, фальшивыми документами, вредоносным ПО. Сначала полицейские США и Канады арестовали сервера AlphaBay, а в Таиланде был задержан один из администраторов сайта Александр Казес (Alexander Cazes), известныий под псевдонимом Alpha02. До суда он не дожил — был наийден повешенным в своей камере. После ликвидации AlphaBay большая часть клиентуры сайта перешла на другую теневую площадку — Hansa, но агентам Европола удалось внедриться в инфраструктуру этого ресурса и получить контроль над серверами. Еще раньше был Silk Road — хрестоматийная история деанонимизации подпольного форума.

Прокуратура Москвы составила портрет типичного интернет-мошенника. Возраст — от 30 до 49 лет. Большая часть злоумышленников не имеют высшего образования.
Сергей Никитин, заместитель Лаборатории компьютерной криминалистики Group-IB, нарисовал свой портрет среднестатистического  киберпреступника:
💥современные хакеры - это организованная компьютерная преступность  с четким разделением ролей: вирусописатели, кардеры, дроповоды, и т.д.
💥хакеры-технари очень молоды, до 30 лет. “Входить в тему” начинали еще со школы, учились на хакерских форумах.;
💥многие не имеют высшего образования;
💥среди них много людей с сексуальными отклонениями. Например, спамер Леонид Куваев в России сел за педофилию — покупал для своих утех девочек из интерната.

Полную версию интервью Сергея Никитина смотрите скоро на канале WTFuture.

Группа Cobalt сегодня опять на повестке дня. За прошлый год ЦБ  зафиксировал 21 волну атак  Cobalt на более чем 240 банков, рассказал на  Уральском форуме "Информационная безопасность финансовой сферы" зампред регулятора Дмитрий Скобелкин. По его словам, успешными были 11 атак, было украдено более 1 млрд руб. Group-IB зафиксировала первую атаку Cobalt в России в июне 2016 г. —  у крупного банка попытались украсть деньги через банкоматы. «Потом группа стала атаковать любые системы финансовых организаций, в которых имелись деньги через  карточный процессинг, платежные системы, SWIFT и проч. https://www.vedomosti.ru/finance/articles/2018/02/13/750780-uscherb-bankov-ot-hakerov-mlrd-rublei

🕵🏻 Картотека GIB: Cobalt

Cobalt —  одна одна из самых активных преступных групп.  Весь 2017 год они атаковали банки по всему миру, тестировали новые инструменты и схемы, и  под конец года  не снизили обороты — Cobalt совершила успешную атаку на российский банк, используя SWIFT. Чтобы не стать жертвой Cobalt, самое время освежить свои знания. 💥💪
Чем известна: группа Cobalt успешно атаковала банки по всему миру — в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии. Специализируются на бесконтактных (логических) атаках на банкоматы. Кроме систем управления банкоматами, киберпреступники стараются получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу.
Статус: Задержание 5 «мулов», связанных с группой Cobalt, не отразилось на активности группы. Угроза новых атак по-прежнему актуальна.
В рубрике “Картотека  GIB” мы публикуем подборку материалов про Cobalt:
1. Секреты Cobalt. Веста Матвеева, главный специалист по компьютерной криминалистике Group-IB, одна из первых расследовала атаки Cobalt на российские и зарубежные банки, и теперь рассказала о некоторых секретах этой группы.
https://www.group-ib.ru/blog/cobalt 👩‍🎤
2. По следу Cobalt: тактика логической атаки на банкоматы в расследовании Group-IB. https://habrahabr.ru/company/group-ib/blog/323996/🕵️‍♀️
3. Полный отчет про Cobalt: https://www.group-ib.ru/cobalt.html👨‍💻
4. Про целевые атаки на банки можно прочитать в нашем блоге: https://www.group-ib.ru/blog/polygon👮‍♀️

Сегодня многие нас спрашивают,  как хакеры из Cobalt  подняли столько денег —  1 млрд рублей за 11 успешных  атак в России ( по данным ЦБ).  Cobalt постоянно тестирует новые инструменты и схемы. Например, в прошлом году они нашли на GitHub Proof of Concept уязвимость CVE-2017-11882 (ей уже 17 лет!), а также python-скрипт, который позволяет создать собственный уязвимый «.rtf» документ.  Уже спустя несколько часов Cobalt начала массированную рассылку фишинговых писем по банкам, содержащих во вложении вредоносный документ.   Антивирусное решение пропустило письмо и оно попало к сотруднику банка.  Спустя несколько часов антивирусные решения начали определять файл как вредоносный, но злоумышленники отреагировали незамедлительно. Они тут же переделали эксплоит так, что он снова перестал детектироваться многими популярными антивирусами. Такие вот кошки-мышки. https://www.group-ib.ru/blog/antivirus
Заметим, что наша система TDS Polygon успешно обнаружила атаку и сотрудник CERT Group-IB оповестил клиента об угрозе.

Биржа Joker.buzz, получившая известность благодаря торговле материалами «Анонимного интернационала» («Шалтай-Болтай»), на волне всеобщего хайпа решила провести свое ICO. РБК пишет, что Joker.buzz расчитывает привлечь $17,5 млн. Токены будут созданы на базе криптовалюты Ethereum в конце февраля 2018 года. 👻
Эксперты Group-IB предупреждают: «Это уже не первый случай, когда злоумышленники используют ICO в качестве способа сбора средств. Мы наблюдали уже несколько «хакерских ICO», цель которых — собрать деньги, например, на разработку вредоносных программ. Криптовалюты позволяют оставаться максимально анонимным как отправителю, так и получателю средств. Этим и пользуются преступники для торговли наркотиками, цифровым оружием, поддельными документами, компроматом, оплатой услуг хакеров и вирусописателей».😱🚓👮‍♀️

https://www.rbc.ru/technology_and_media/13/02/2018/5a82a17c9a7947d4f569d1a0

Картотека GIB: Откуда взялась биржа Joker.buzz ?                                                                  
Запущенный осенью 2014 года портал Libertas.bz задумывался его основателями как аналог российского Wikileaks, где информаторы могли бы не только анонимно разместить информацию, но и заработать на ней. Тогда же создатели онлайн-аукциона Libertas.bz вышли на членов «Анонимного интернационала» и предложили работать вместе. Впервые «Анонимный интернационал» (также известен как «Шалтай-Болтай») заявил о себе в декабре 2013 года, выложив в сеть текст новогоднего обращения Владимира Путина. Однако самой резонансной их акцией считается взлом Twitter-аккаунта премьер-министра Дмитрия Медведева. Через специальный блог «Шалтая-Болтая» публиковалась переписка Аркадия Дворковича, депутата Госдумы Роберта Шлегеля, бывшего заместителя начальника управления внутренней политики Администрации президента Тимура Прокопенко и других чиновников. После того как создатели биржи договорились о совместной работе с «Анонимным интернационалом», сайт Libertas.bz был закрыт, и 7 апреля 2015 года биржа была перезапущена под именем Joker.buzz.  За пару месяцев «Анонимный интернационал» наторговал компроматом на бирже на 1000 биткоинов (около $275 000 по тому курсу). От каждой успешной сделки биржа за свои услуги получала 20%.   Летом 2015 года в группу «Анонимного интернационала» входило 10-12 человек. В команде биржи были всего два человека — «основатель» и «техник». В конце 2016 года несколько участников группы «Шалтай-Болтай» были задержаны по обвинению по ст. 272 УК РФ (неправомерный доступ к компьютерной информации) и осуждены. Доступ к ресурсу биржи на территории РФ  заблокирован.

Когда французская журналистка Юдит Дюпорталь запросила данные о себе у Tinder, то получила 800 страничный отчет со всеми сообщениями. " Читая 1700 сообщений, которые я отправила в Tinder с 2013 года, я прошла через свои надежды, страхи, сексуальные предпочтения и самые страшные секреты. Tinder знает меня так хорошо, он знает настоящую, позорную версию меня", - сообщала Дюпорталь.
Роскачество и  Group-IB проверили  популярные мобильные приложения для онлайн-знакомств, оценив их безопасность и удобство.  Tinder, Topface, Loveplanet, «Теамо.ру», Skout, InMessage, Lovoo и ParkFace шифруют не все передаваемые данные. Ряд приложений, включая iPair, «Автодруг», «Пообщаемся» и MyLove для Android передают персональные данные в незашифрованном виде, из-за чего они могут попасть в  руки злодеев. Лучшие показатели по безопасности геолокации и сохранению приватности — у Badoo, happn и «Флирт Чат Jaumo» для Android. Напротив, LovePlanet, «Знакомства MyLove» и «Автодруг» показывают точное местоположение пользователя на карте, что эксперты называют небезопасным. https://roskachestvo.gov.ru/researches_international/love/?utm_source=website&utm_medium=email&utm_campaign=letter_14_02_18&bx_sender_conversion_id=1450619

Андрей Брызгин, руководитель направления аудита и консалтинга компании Group-IB: " Размещая данные на сайте знакомств вы, по сути, обнародуете ее для всех. Поэтому, заполняя анкету, публикуйте лишь те данные, которыми вам не зазорно поделиться с каждым. То же правило касается фотографий: хватает одного вашего изображения не самого лучшего качества, чтобы найти ваш профиль в соцсетях (конечно же, при наличии этого самого профиля), снимки с публичных мероприятий, все прочие изображения, на которые вы успели попасть ранее". Социальные векторы атак остаются основными, однако, не стоит пренебрегать простыми правилами цифровой гигиены, к примеру, лучше не пользоваться бесплатными Wi-Fi-точками в общественных местах, более безопасным вариантом может быть использование мобильного интернета ".

Group-IB будет защищать DAICO проекта Abyss российского разработчика и издателя видеоигр Destiny.Games. DAICO – первое в мире первичное размещение криптовалюты по модели децентрализованного фандрайзинга. Для защиты DAICO The Abyss специалисты Group-IB обеспечат круглосуточный мониторинг более 3 000 000 ресурсов, включая базы фишинговых сайтов, доменные имена, Интернет-магазины, агрегаторы и доски объявлений, социальные сети, магазины мобильных приложений, контекстную рекламу и др. Особое внимание будет уделено популярному в криптоиндустрии мессенджеру Telegram для выявления нарушений, упоминаний и незаконных ссылок или кошельков, направленных на DAICO компании.
Старт DAICO проекта The Abyss намечен на 7 марта 2018 года.
https://www.group-ib.ru/media/gib-abyss/

В январе несколько сотен пользователей Facebook по всему миру получили уведомление, что их имена отметили на странице, якобы принадлежащей блокчейн-платформе Waves Platform. В сообщениях, написанных, как под копирку, говорились, что им невероятно повезло — они стали победителями конкурса и получат бонус в 20 монет Waves и 1 Ethereum. Тут же — ссылка, по которой надо перейти, чтобы получить приз — около $ 1200. Никакого бонуса на самом деле не было — это была масштабная фишинговая атака. В январе 2018 года представители Waves, обеспокоившись безопасностью своего комьюнити, обратились в Group-IB. Group-IB заблокировала 158 фишинговых ресурса, 3125 фейковых групп и аккаунтов в социальных сетях. https://www.group-ib.ru/media/gib-waves-instructions/

Каждый день мошенники придумывают новые схемы кражи денег в интернете.  Одна из последних   — использование демо-версий интернет-банков.  Человек продает ноутбук. К нему приезжает "покупатель", который хочет оплатить безналом —   переводом денег через интернет-банк. Он вводит  данные карты, демонстрирует экран, чтобы создать иллюзию честности, отправляет деньги и говорит, что они поступят на ваш счет через некоторое время, и уходит. "Вот только во многих интернет-банках есть функция демо-доступа, где нельзя сделать реальный перевод. Именно ее и демонстрирует мошенник", - объясняет Сергей Никитин, заместитель руководителя лаборатории компьютерной криминалистики Group-IB. https://www.vedomosti.ru/finance/articles/2018/02/20/751553-kak-ne-stat-zhertvoi-kartochnih-moshennikov

В Таиланде начала работу бизнес-миссия 50 крупных российских компаний. Group-IB в их числе. В течение следующих пяти лет в программу "Восточный экономический коридор" будет вложено более $43 млрд, главным образом за счет прямых иностранных инвестиций. http://tass.ru/ekonomika/4973575