Вчера вечером мы говорили про теорию penetration testing. Теперь поговорим о том, как это выглядит на практике.
Size: a a a
2018 March 16
РБК сообщает, что технические специалисты ФСБ проверяют отели, где будут проживать игроки и персонал команд — участниц чемпионата мира по футболу. Представители спецслужбы тестируют установленное в гостиницах Wi-Fi оборудование, об этом РБК рассказал источник в ФСБ. Первые результаты технического аудита показали плохую защищенность компьютерных сетей многих отелей.
Чем это опасно? «Перехватив сессию в публичной Wi-Fi-сети, злоумышленники могут авторизоваться и получить все или почти все ваши данные — доступ к социальным сетям, банковским аккаунтам. Это полноценная слежка, — говорит Андрей Брызгин, руководитель направления «Аудит» компании по кибербезопасности Group-IB. — Преступники могут не только наблюдать за вашими действиями, но и манипулировать ими: например, перенаправить вас на фишинговую страницу, которая визуально неотличима от оригинальной, вывести на устройство уведомление о необходимости установить важное обновление легальной программы и загрузить под его видом вирус». Подробнее на РБК:
https://www.rbc.ru/society/16/03/2018/5aa7ea1c9a7947751300e6bc?from=main
https://www.rbc.ru/society/16/03/2018/5aa7ea1c9a7947751300e6bc?from=main
Чем опасны общественные точки доступа Wi-Fi, Илья Сачков не так давно продемонстрировал на клубе финансовых директоров Harvard Business Review. Перед началом мероприятия наш пентестер Дмитрий развернул две фальшивые точки доступа Wi-Fi. Те, кто хотел бесплатного интернета, попадал на форму c лого #HarvardBusinessReview, которая, ссылаясь на ФЗ, запрашивала номер телефона. По номеру Дима пробивал всех подключившихся - в наши сети попали и специалисты EY и безопасник (!) Microsoft. Вторая точка автоматически подключала всех, кто пользуется интернетом в городском транспорте. Когда все это вскрылось, наступил момент всеобщего покаяния, катарсиса, и клятв соблюдать цифровую гигиену. 👻
Эксперты Всемирного экономического форума (ВЭФ) назвали кибератаки, достигшие «беспрецедентных масштабов», одними из главных глобальных рисков после экологических и геополитических проблем. Пока кибератакам отведено шестое место в десятке технологических рисков. Но не пройдет и пяти лет, как эта угроза может занять первую строчку.
Почему киберпреступность развивается столь стремительно? Чтобы ответить на этот вопрос, надо понимать предпосылки и причины этого явления. Их три: фундаментальное изменение самой преступности, эволюция и доступность хакерских инструментов и, наконец, неправильная оценка рисков при построении систем защиты. Все вместе это приводит к тому, что киберпреступность, как заметил недавно экс-руководитель российского бюро Интерпола Владимир Овчинский, надвигается на нас, как «Кибер-Катрин» — ураган, который будет сносить все на своем пути.
Колонка Ильи Сачкова на РБК в рамках проекта «Россия будущего: 2017–2035», который реализуется Центром стратегических разработок (ЦСР) совместно с Министерством экономического развития. Подробнее на РБК:
https://www.rbc.ru/opinions/technology_and_media/15/03/2018/5aaa58b29a7947a6994c650d
Почему киберпреступность развивается столь стремительно? Чтобы ответить на этот вопрос, надо понимать предпосылки и причины этого явления. Их три: фундаментальное изменение самой преступности, эволюция и доступность хакерских инструментов и, наконец, неправильная оценка рисков при построении систем защиты. Все вместе это приводит к тому, что киберпреступность, как заметил недавно экс-руководитель российского бюро Интерпола Владимир Овчинский, надвигается на нас, как «Кибер-Катрин» — ураган, который будет сносить все на своем пути.
Колонка Ильи Сачкова на РБК в рамках проекта «Россия будущего: 2017–2035», который реализуется Центром стратегических разработок (ЦСР) совместно с Министерством экономического развития. Подробнее на РБК:
https://www.rbc.ru/opinions/technology_and_media/15/03/2018/5aaa58b29a7947a6994c650d
Более 800 сайтов, торгующих «левыми» билетами на игры Чемпионата мира по футболу заблокировал 15 марта Роскомнадзор. "Интернет -мошенники всегда активизируются во время ажиотажа, - говорит Андрей Бусаргин, глава направления по защите бренда и борьбе с пиратством, компании Group-IB. - Обман в интернете отследить сложно. На интернет-мошенников обычно не заявляют в полицию. Кроме того, достаточно часто человек, ставший жертвой обмана в интернете, сам виноват в этом. Не соблюдая элементарные правила «цифровой гигиены», его деньги или персональные данные становятся легкой добычей злоумышленников.
Немудрено. Ловушек огромное количество. По данным специалистов по кибербезопасности, за последний год число сайтов по тематике FIFA, которые, соблюдая юридическую осторожность, можно назвать потенциально опасными, выросло на 37 процентов. Сейчас таких ресурсов, ориентировочно, насчитывается 37 тысяч". http://vm.ru/news/471362.html
Немудрено. Ловушек огромное количество. По данным специалистов по кибербезопасности, за последний год число сайтов по тематике FIFA, которые, соблюдая юридическую осторожность, можно назвать потенциально опасными, выросло на 37 процентов. Сейчас таких ресурсов, ориентировочно, насчитывается 37 тысяч". http://vm.ru/news/471362.html
Скриншот предложения билетов на сайте etickette.com, ticket2018.com. Стоимость билета первой категории достигает 375 тысяч рублей, в то время, как на официальном сайте FIFA цена не превышает 66 тысяч.
Last December, Group-IB published a report about a new group called Money Taker, which probably has ties to Russian cyber crime and has carried out most of its 20 attacks on banks in the US, with just three in Russia.
“Most problems in Russia are from Russia,” Mr Sachkov says. https://www.ft.com/content/b813ab48-1b04-11e8-aaca-4574d7dabfb6
“Most problems in Russia are from Russia,” Mr Sachkov says. https://www.ft.com/content/b813ab48-1b04-11e8-aaca-4574d7dabfb6
2018 March 19
Cobalt vs MoneyTaker
Однажды телеведущая телеканала “Дождь”, делая подводку к сюжету, назвала группировку MoneyTaker “MonkeyTaker”. Путаница возникает не только в головах у журналистов. Мы до сих пор слышим мнения, что все эти атаки MoneyTaker — дело рук Cobalt. Мы следим за Cobalt с 2016 года — сейчас это, действительно, самая активная группировка, которая ворует деньги у банков по всему миру. Cobalt не знает каникул и выходных, действует весьма агрессивно, в связи с чем у некоторых появился соблазн «повесить» на нее все целевые атаки на банки. Между тем, различия между Cobalt и MoneyTaker есть и весьма существенные. https://www.kommersant.ru/doc/3570003
Однажды телеведущая телеканала “Дождь”, делая подводку к сюжету, назвала группировку MoneyTaker “MonkeyTaker”. Путаница возникает не только в головах у журналистов. Мы до сих пор слышим мнения, что все эти атаки MoneyTaker — дело рук Cobalt. Мы следим за Cobalt с 2016 года — сейчас это, действительно, самая активная группировка, которая ворует деньги у банков по всему миру. Cobalt не знает каникул и выходных, действует весьма агрессивно, в связи с чем у некоторых появился соблазн «повесить» на нее все целевые атаки на банки. Между тем, различия между Cobalt и MoneyTaker есть и весьма существенные. https://www.kommersant.ru/doc/3570003
2018 March 22
Воспользовавшись сервисом для размещения рекламы Google AdWords, злоумышленники на несколько часов вывели ссылку на свой мошеннический сайт на первое место в выдаче. Пользователи, искавшие американский интернет-магазин Amazon, переходили на страницу фальшивой техподдержки. Там их ждало сообщение о том, что на компьютере обнаружена вредоносная порнографическая программа-шпион. Для «очистки» устройства предлагалось позвонить по бесплатному телефонному номеру.
«Примечательно то, что на поисковой странице Google пользователь видел официальный адрес интернет-магазина. Веб-ресурс, на который перенаправлялись пользователи при нажатии на ссылку, выглядел как официальная страница технической поддержки Windows или Apple», — прокомментировал случившееся специалист Центра реагирования на киберинцеденты (CERT) Group-IB Дмитрий Луканин. https://threatpost.ru/fake-techsupport-scammers-used-google-adwords-again/25181/
«Примечательно то, что на поисковой странице Google пользователь видел официальный адрес интернет-магазина. Веб-ресурс, на который перенаправлялись пользователи при нажатии на ссылку, выглядел как официальная страница технической поддержки Windows или Apple», — прокомментировал случившееся специалист Центра реагирования на киберинцеденты (CERT) Group-IB Дмитрий Луканин. https://threatpost.ru/fake-techsupport-scammers-used-google-adwords-again/25181/
2018 March 23
В США — новая кибернапасть. С начала года уже десяток муниципалитов и штатов столкнулись с шифровальщиком SamSam. Минувшей ночью он атаковал муниципалитет города Атланты (штат Джорджия) — здесь у пользователей возникли трудности с оплатой счетов и доступом к документам. В феврале SamSam заразил более 2000 компьютеров в Департаменте транспорта штата Колорадо (DOT). За возобновление работы злоумышленники требовали выкуп в биткоинах, однако DOT принял решение не платить выкуп и отключил все рабочие станции.
В начале года SamSam атаковал в основном медицинские учреждения и муниципалитеты. Началось все с атаки на больницу Hancock Health (Индиана) — тогда руководство медучреждения пошло на встречу хакерам и выплатило $55 000. Это лишь раззадорило хакеров, выбравших в качестве следующих целей Adams Memorial Hospital (Индиана), муниципалитет в Фармингтоне (Нью-Мексико), компанию Allscripts Professional EHR. Вирус шифровал данные и выдавал на экран сообщение с требованием выплатить 3 биткоина. Не исключено, что целью атаки является не заработок, а саботаж. Любопытно, что заражение происходило не через фишинговую рассылку, а через взломанные популярные веб-ресурсы. Подобным образом в России и на Украине в октябре 2017 года происходило заражение вирусом BadRabbit.
В начале года SamSam атаковал в основном медицинские учреждения и муниципалитеты. Началось все с атаки на больницу Hancock Health (Индиана) — тогда руководство медучреждения пошло на встречу хакерам и выплатило $55 000. Это лишь раззадорило хакеров, выбравших в качестве следующих целей Adams Memorial Hospital (Индиана), муниципалитет в Фармингтоне (Нью-Мексико), компанию Allscripts Professional EHR. Вирус шифровал данные и выдавал на экран сообщение с требованием выплатить 3 биткоина. Не исключено, что целью атаки является не заработок, а саботаж. Любопытно, что заражение происходило не через фишинговую рассылку, а через взломанные популярные веб-ресурсы. Подобным образом в России и на Украине в октябре 2017 года происходило заражение вирусом BadRabbit.
Пользователи Telegram столкнулись с новой волной мошенничества. С неизвестного номера приходит сообщение от специалиста по “вскрытию мессенджеров” на заказ. Однако (вот это фокус!) взломщик оказался гуманистом: он признается в симпатиях к жертве и уверяет, что готов за вознаграждение назвать имя заказчика. И оставляет свой контактный телефон для связи...
Сама схема не новая — раньше такие письма присылали “киллеры” и “операторы”, которым заказали DDoS-атаку на сайт компании. В новом варианте сохранились все формулировки, однако, как считают эксперты, используется скандально известное приложение GetContact, которое собирает и распространяет контакты ваших родных, друзей и коллег по бизнесу. Именно поэтому все обращения именные и адресованы людям известным и обеспеченным.
💥Group-IB рекомендует не платить за “информацию о заказчике”, поскольку никакого заказа не существует - это афера.
💥В случае, если вы уже связались со взломщиком, не открывайте ссылки и письма, которые вам могут прислать.
💥В эти дни будьте особенно внимательны при работе в интернете — мошенники следят за вами.
💥Не устанавливайте приложение GetContact. Почему — можно прочитать здесь: https://rocit.ru/news/stop-get-contact
Остановитесь! GetContact
РОЦИТ призывает пользователей Рунета обратить внимание на взрывную активность, связанную с сервисом GetContact: не скачивать и удалить, если оно уже установлено на смартфон. Приложение – по мнению экспертов – небезопасно как для скачивающего, так и для всей его базы контактов.
Сама схема не новая — раньше такие письма присылали “киллеры” и “операторы”, которым заказали DDoS-атаку на сайт компании. В новом варианте сохранились все формулировки, однако, как считают эксперты, используется скандально известное приложение GetContact, которое собирает и распространяет контакты ваших родных, друзей и коллег по бизнесу. Именно поэтому все обращения именные и адресованы людям известным и обеспеченным.
💥Group-IB рекомендует не платить за “информацию о заказчике”, поскольку никакого заказа не существует - это афера.
💥В случае, если вы уже связались со взломщиком, не открывайте ссылки и письма, которые вам могут прислать.
💥В эти дни будьте особенно внимательны при работе в интернете — мошенники следят за вами.
💥Не устанавливайте приложение GetContact. Почему — можно прочитать здесь: https://rocit.ru/news/stop-get-contact
Остановитесь! GetContact
РОЦИТ призывает пользователей Рунета обратить внимание на взрывную активность, связанную с сервисом GetContact: не скачивать и удалить, если оно уже установлено на смартфон. Приложение – по мнению экспертов – небезопасно как для скачивающего, так и для всей его базы контактов.
2018 March 26
Количество киберпреступлений в Республике Беларусь будет увеличиваться: уже к концу 2018 года этот показатель может вырасти на 25%. Ключевую роль в этом сыграют атаки на банковскую индустрию, а также на крипто-проекты и ICO. Но есть и хорошая новость — главой Group-IB в регионе назначен Александр Сушко, занявший позицию руководителя по развитию бизнеса. https://www.group-ib.ru/media/group-ib-belarus/
Mессенджер Slack предоставит корпоративным подписчикам возможность читать все сообщения команды, в том числе написанные в личных и секретных чатах. Компании читают переписку сотрудников и сейчас, используя для этого DLP-решения. Кирилл Керценбаум, директор по развитию бизнеса Group-IB, рассказал The Village, как технически можно читать переписку сотрудников, законно ли это и где лучше вести конфиденциальные беседы. http://www.the-village.ru/village/business/job-question/306677-perepisku
