#расследования #делаем

Первое подобное расследование в нашей практике. «Бонусное дело» - громкая история о взломах порядка 700 000 учетных записей участников программ лояльности популярных интернет-магазинов, платежных систем, букмекерских компаний и онлайн-служб заказов такси. В целом от рук мошенников пострадали десятки компаний, среди них – «Юлмарт», «Биглион», «Купикупон», «PayPal», «Групон» и многие другие.

На днях Управлением «К» МВД России при содействии Group-IB задержаны двое киберпреступников по «Бонусному делу». Они признались на месте, что заработали как минимум 500 000 рублей. Однако реальную сумму ущерба еще предстоит выяснить. Если вы любите математику, вот вводные: количество бонусов было от 500 рублей до 70 000 рублей, продавцы брали за свои услуги от 10 до 30% с баланса. Среднее число бонусов было 5000 рублей. Кстати, некоторые бонусные программы позволяли объединять не только бонусы, но и мили…

Киберпреступники воспользовались тем, что многие посетители сайтов используют одну и ту же связку логин\пароль на нескольких ресурсах. Если логины и пароли подходили на сайте атакуемого магазина, происходил взлом личного кабинета. Злоумышленники проверяли сумму накопленных бонусов и продавали скомпрометированные учетные записи на хакерских форумах по цене от $5 за аккаунт или за 20-30% от номинального баланса аккаунтов. В дальнейшем «покупатели» использовали их для оплаты товара бонусами.

Детали в нашем пресс-центре: https://www.group-ib.ru/media/eshops-accounts/

#цитата

«Специалисты Управления «К» МВД России совместно с коллегами из Рязанской и Астраханской областей, а также специалистами компании «Group-IB» пресекли деятельность организованной группы, участники которой подозреваются в неправомерном доступе к базам данных торговых сетей и последующей продаже учетных записей клиентов», - сообщила официальный представитель МВД России Ирина Волк.

https://xn--b1aew.xn--p1ai/news/item/13648941/

Давайте разберемся, как воруют бонусы и электронные кошельки. Для этого существует несколько схем.

1️⃣ Схема. Наиболее типичная схема включает в себя три основных шага (представлены на рисунке):

📌  С помощью фишинговых сайтов, троянских программ или ботов для перебора или проверки паролей, мошенник подбирает логины и пароли к личным кабинетам.

📌  Мошенник, используя анонимизирующие сервисы, заходит в личный кабинет, чтобы узнать состояние бонусных счетов клиентов. На стороне сайта его действия видны как активность разных пользователей.

📌  Если мошенник не использовал бонусы сам, он выставляет идентификаторы доступа в личные кабинеты на продажу.

2️⃣ Схема. Кража денег через фишинговые сайты
Фишинговый ресурс используется для получения логина/пароля к личным кабинетам и хищения денежных средств с платежных карт.

1. Мошенник создает подложный сайт, который использует дизайн оригинала. Часто мошенники просто делают копию сайта.
2. Пользователи вводят логины и пароли к личным кабинетам на подложном сайте и нередко производят оплату со своих платежных карт в пользу мошенника.

3️⃣ Схема. Несанкционированная конкурентная реклама
Кроме схем, направленных на прямое хищения средств, можно выделить такой тип мошенничества, как размещение конкурентной рекламы на сайте компании, которая может привести к значительной упущенной выгоде.

1. Зловредное Adware, рекламное программное обеспечение, показывает клиенту рекламу с товарами конкурентов при просмотре официального сайта интернет-магазина.

2. Клиент может соблазниться более «выгодными» условиями и произвести покупку товара у конкурента или компании-"однодневки".

И в финале, вопрос, который витает в воздухе:

➡️Как защититься от мошенничества?
Для этого мы в Group-IB рекомедуем использовать систему раннего предотвращения мошенничества на корпоративных, государственных порталах и в интернет-магазинах. Например, наш продукт Secure Portal, выявляет:

↘️ несанкционированный доступ в личный кабинет;
↘️сбор и использование ворованных карт, электронных кошельков, бонусов и промокодов для покупки;
↘️фишинговые сайты;
применение социальной инженерии;
использование ботов для перебора паролей.

Подробности о схемах воровства бонусов и способах борьбы с этим в нашем блоге: https://www.group-ib.ru/blog/ecommerce-fraud-prevention

#фейк

Вечерние новости или удивительное рядом:) Несколько дней назад через форму обратной связи практических всех крупных российских банков постучалась… хакерская группа #Cobalt и призрак вируса-шифровальщика Wannacry. После России атакующие решили попытать счастья в белорусских банках и даже в некоторых международных.
Выглядело это примерно так: «Мы хакерская группа Cobalt. Раньше мы просто брали деньги сами,а сейчас даём выбор Вам! переведите нам 500 000 USD в BTC (биткоинах)на номер BTC кошелька (1QFipQchirygnQhTot29npW28w7FFLiorh) или мы сами возьмём больше, решать Вам, срок одни сутки!».

Лже-Cobalt и псевдо-Wannacry решили промышлять банальным вымогательством, но вежливо. Они обращались к сотрудникам банков исключительно на «Вы» и крайне «изобретательно» использовали открытые каналы общения с банками (смотрим скриншоты), аппелируя к тому, что они «уже внутри сети банка» и требуя от 250 до 500 биткоинов в обмен на то, что они, так и быть, не будут никого атаковать.

Ну чтож, все посмеялись. Это пример того, как популярные информационные поводы эксплуатируют люди, квалификация которых уверенно стремится к нулю. При этом, они читают новости о киберкириминальных структурах и выучили громкое имя организованной преступной группы, а также гремевшего по миру шифровальщика.

Переживать из-за такого сообщения не стоит. Хакерские группы не стали бы ничего вымогать или вообще как-то сообщать о себе, если бы они действительно были внутри сети банка. Ведь всегда в таком случае можно в срочном режиме провести Compromise Assessment и выяснить факт компрометации серверов и рабочих станций, а также обезопасить периметр системами обнаружения вторжений. Однако, реакция многих компаний на такую рассылку показательна: далеко не все готовы отразить реальную атаку и провести реагирование.

❗️Даем справку: специально для того, чтобы спать спокойно, существуют специальные услуги по подготовке к реагированию на инциденты информационной безопасности как с ресурсной точки зрения (тренинг команд внутри компании), так и технологической (применения необходимых настроек сетевой инфраструктуры). Всем хорошего вечера!

#цифроваягигиена
В открытом доступе оказались файлы пользователей сервисов Google Docs и Google Drive с личными данными, включая пароли и номера телефонов. Вечером 4 июля пользователи социальных сетей обратили внимание на то, что некоторые открытые через поиск “Яндекс” файлы сервисов Google Docs и Google Drive  можно редактировать — они находились в общем доступе  без пароля. Там, например, можно было найти таблицы с логинами\паролями, базы данных с контактами руководителей  —  мобильными телефонами и почтой, маркетинговые и pr-стратегии компаний и так далее. Около 1:10 по московскому времени «Яндекс» перестал индексировать результаты по адресу docs.google.com  — запросы по ссылке  “пароли”, “базы данных”, “цены”, “откаты” перестали выдавать ссылки на таблицы и документы.  Что это было?  🕵️Отвечает  руководитель департамента системных решений Group-IB Антон Фишман:

Это не утечка конфиденциальных данных, а банальная халатность пользователей сервисов Google Docs и Google Drive. Когда вы создаёте файл в GD, а потом предоставляете доступ другим пользователям, у вас есть несколько опций по выбору доступа к нему:  "Публичный для всего интернета и индексирования"; "Только для тех, у кого есть ссылка"; "По списку для других пользователей с перечнем их почтовых адресов".
Если у вас в настройках доступа выбран режим “доступ по ссылке" и режим доступа  "общедоступно для поиска и просмотра", ваша информация может индексироваться поисковыми машинами.  Кроме того, если ваша ссылка с доступом «только для тех, у кого есть ссылка» будет размещена где-то в публичном месте, то по ней смогут переходить любые пользователи, у кого она есть. Кстати, это применимо не только для GD, но и, например, для YouTube, и видео с доступом по «только для тех, у кого есть ссылка», и для других файловых хранилищ и сервисов, где есть возможно давать доступ по ссылке, без требований авторизации.

В итоге, в очередной раз вопрос безопасности и сохранения личных данных пали жертвой человеческого фактора. Банальная небрежность и пренебрежение элементарными правилами цифровой гигиены сделали общедоступными даже документы не совсем легальных сфер бизнеса. Пользователям рекомендуем проверить настройки доступа, которые они устанавливают на свои файлы и убрать «галочку» напротив опции «доступно для поиска», если они хотят сохранить приватность.

Поиск таких документов - не сложен. Для этого используется специальные расширенные поисковые команды. Чаще всего используется либо Google hack либо Google dorks. В данном случае использовался такой же подход с поисковиком “Яндекс”.
Ими пользуются, например, в рамках пентестов (тестов на проникновение), первичной киберразведки. Нередко этот легальный инструмент применяют киберпреступники, он позволяет находить информацию, которая обычным поиском не ищется. Нередко таким образом можно найти пароли и другую ценную информацию.

☝️В целом мы не рекомендуем пользователям делится критичной информацией через передачу доступа, а все документы, которые они выкладывают в облачные хранилища, обязательно защищать паролем - таким образом поисковики не смогут их индексировать. Для хранения паролей существуют специальные программы, которыми можно и нужно пользоваться.

МОСКВА, 5 июля. /ТАСС/. Отображение содержания документов Google Docs в поисковой выдаче "Яндекса", на которую обратили внимание пользователи соцсетей, не является утечкой конфиденциальных данных, а происходит при условии использования определенных настроек конфиденциальности, считает руководитель департамента системных решений компании Group-IB Антон Фишман. В настройках доступа к индексируемым файлам пользователи сами установили опцию "общедоступно для поиска и просмотра"

Подробнее на ТАСС:
http://tass.ru/obschestvo/5348486http://tass.ru/obschestvo/5348486

Криминалисты Group-IB выделяют семь самых распространенных схем хищений, которыми пользуются киберпреступники при атаках на системы дистанционного банковского обслуживания (ДБО). Аналитики Gartner выделяют пять уровней предотвращения мошенничества. Павел Крылов,  руководитель направления по развитию продуктов линейки Secure Bank Group-IB, детально и с примерами проанализировал каждый из них . must read

https://habr.com/company/group-ib/blog/416453/

Количество хакерских атак на блокчейн-индустрию будет зависеть от количества торговых платформ и внимания, которое будет уделяться вопросам безопасности, поэтому необходимо совершенствовать систему безопасности и прорабатывать все риски, чтобы в будущем сохранять устойчивые позиции на рынке, считает директор по специальным проектам Group-IB Руслан Юсуфов. Многие крупные игроки рынка недостаточно серьезно относятся к рискам информационной безопасности, и большинство торговых платформ проводит только IT-аудит веб-приложения. Однако существуют не только вероятность взлома сайта, но и уязвимости в процессах хранения и перевода средств, а также утечки со стороны команды проекта и пользователей. Произошедший на днях взлом криптоплатформы Bancor в очередной раз показывает, как важно иметь систему оперативного реагирования на инциденты информационной безопасности, чтобы минимизировать и предотвратить ущерб.



Подробнее на РИА Новости:

https://ria.ru/economy/20180710/1524312293.html

В компании Group-IB  назвали "чрезвычайно высоким" уровень активности киберпреступников во время Чемпионата мира по футболу 2018. "Мы оцениваем уровень активности киберпреступников, мошенников и продавцов контрафактной продукции в ходе ЧМ как чрезвычайно высокий. Ажиотаж с покупкой билетов, рост цен на аренду недвижимости, наплыв иностранных болельщиков - злоумышленники не преминули воспользоваться этой ситуацией для своего обогащения",- сказал "Интерфаксу" директор департамента инновационной защиты бренда и интеллектуальной собственности компании Андрей Бусаргин.
C конца 2017 года и вплоть до самого открытия Чемпионата мира по футболу Group-IB фиксировала рост числа регистраций доменов, нелегально эксплуатирующих тематику турнира. В мае был установлен своеобразный рекорд - порядка 42 000 подобных доменов.
http://www.interfax.ru/wc2018/621262