#ЭкспертизаGroupIB #Инфобез #Роскачество
И клиенты, и водители такси могут стать жертвой киберпреступников. Исследование мобильных приложений нескольких региональных игроков рынка такси показало, что у большинства из них очень слабые требования к схемам аутентификациии. Например, используются короткие код-пароли и отсутствует защита от их перебора на серверной стороне. Если у некоторых приложений есть возможность привязать банковскую карту, то при получении доступа к  аккаунту можно совершать бесплатные поездки .  🏦
Существуют и другие опасности, которые подстерегают клиентов и водителей:
📌на форумах злоумышленники продают сбрученные (скомпрометированные) аккаунты и взломанные таксометры (человек может без машины заниматься обналичкой, якобы получая деньги за поездку);
📌продают промокоды на такси, описывают схемы, как можно ездить бесплатно, или за процент от стоимости (кардинг);
📌описаны аферы с фиктивным трудоустройством.
Например, кандидатам предлагают работу оператором такси —  в режиме реального времени принимать и распределять заказы. Злоумышленники разработали реальный мультимедийный интерфейс с интерактивной картой, кошельком и суммой (процентом), который с каждого заказа получал оператор. После пары  дежурств новому сотруднику предлагали вывести деньги, открыв специальный счет - надо было внести "тестовый платеж" или "налог". Мошенники похищали деньги, никакой зарплаты сотрудник не получал - вся история с работой была афера.😱
https://roskachestvo.gov.ru/news/kto-rulit-roskachestvo-o-kachestve-uslug-taksi/?sphrase_id=589368

#Gustuff #Троян #Автозалив #AccessibilityService
Group-IB фиксирует активность мобильного Android-трояна Gustuff. Среди его целей —  клиенты 100 крупнейших банков, таких как: Bank of America, Bank of Scotland, J.P.Morgan, Wells Fargo, Capital One, TD Bank, PNC Bank, а также 32 криптокошельков: Bitcoin Wallet, BitPay, Cryptopay, Coinbase и др. Кроме них Gustuff нацелен на пользователей приложений маркетплейсов, онлайн-магазинов, платежных систем и мессенджеров: PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi, Revolut, и других. Gustuff — «представитель» нового поколения вредоносных программ с полностью автоматизированными функциями, нацеленными, в том числе, на вывод фиатных денег и криптовалюты со счетов пользователей. Троян использует Accessibility Service — сервис для людей с ограниченными возможностями. Подробнее: https://www.group-ib.ru/media/gustuff/

Впервые система киберразведки Threat Intelligence Group-IB обнаружила Gustuff на хакерских форумах в апреле 2018 года. По словам разработчика, скрывающегося под ником Bestoffer, Gustuff стал новой улучшенной версией вредоносной программы AndyBot, которая с ноября 2017 года атакует телефоны с ОС Android, для кражи денег используя фишинговые веб-формы, маскирующиеся под мобильные приложения известных международных банков и платежных систем. Gustuff — «серьезный продукт для людей со знаниями и опытом», рекламировал создатель свой троян. Цена аренды «Gustuff Bot» составляла $800 в месяц. Клиенты Group-IB Group-IB Threat Intelligence были оперативно предупреждены об активности Gustuff.

👉 Несколько советов, как не стать жертвой мобильного трояна?

📌не переходить по ссылкам, полученным в SMS-сообщениях.
📌не устанавливать приложения для мобильного устройства с ОС Android из каких-либо источников, кроме Google Play, и не давать им дополнительные права в системе;
📌не посещать подозрительные ресурсы;
📌 обращать внимание на расширения загружаемых файлов;
📌регулярно обновлять ОС Android.

#Gustuff #Androidтроян #блогGroupIB
Наша недавняя новость про Android-троян Gustuff, который нацелен на клиентов иностранных банков, пользователей мобильных криптокошельков, а также крупных e-commerce ресурсов, вызвала огромный интерес в России и за рубежом. Сегодня мы публикуем подробное техническое исследование трояна, которое подготовил Иван Писарев, специалист по анализу вредоносного кода Group-IB. Напомним, что Gustuff — «представитель» нового поколения вредоносных программ с полностью автоматизированными функциями для вывода фиатных денег и криптовалюты со счетов пользователей. Исследование трояна показало, что функция автозалива реализована в нем при помощи Accessibility Service — сервиса для людей с ограниченными возможностями. Gustuff – не первый троян, который успешно обходит защиту от взаимодействия с элементами окон других приложений с помощью данного сервиса Android. Однако использование Accessibility Service в сочетании с автозаливом остается до сих пор достаточно редким и особо опасным сочетанием.  Подробности, как работает Gustuff — в нашем блоге: https://www.group-ib.ru/blog/gustuff

Group-IB выпустила первый отчет в России по угрозе JS-снифферов #снифферы

Что это такое?
JavaScript-снифферы  – это несколько строк кода, который внедряется злоумышленниками на сайт для перехвата вводимых пользователем данных: номеров банковских карт, имен, адресов, логинов, паролей и т.д. Полученные платежные данные злоумышленники, как правило, продают кардерам на специализированных форумах в даркнете. Значительная часть форумов с предложениями о покупке и аренде JS-снифферов состоит из русскоязычных киберпреступников. Мы проанализировали 2440 зараженных онлайн-магазинов, посетители которых – суммарно около полутора миллионов человек в день – подверглись риску компрометации. Отчет Group-IB стал первым исследованием даркнет рынка снифферов, их инфраструктуры и способов монетизации, приносящей их создателям миллионы долларов.  

Почему это важно?
Угроза JS-снифферов долгое время оставалась вне поля зрения антивирусных аналитиков, считавших ее незначительной и не требующей глубокого изучения. Однако 380 000 жертв JS-сниффера, заразившего сайт и мобильное приложение авиакомпании British Airways, компрометация платежных данных американского дистрибутора билетов Ticketmaster и недавний инцидент с британским сайтом спортивного гиганта FILA, когда риску кражи данных банковских карт подверглись 5600 покупателей, свидетельствуют о необходимости изменить отношение к этой угрозе.

https://www.group-ib.ru/media/js-sniffers-report/
Скачать отчет можно тут: http://group-ib.ru/js-sniffers

#снифферы Напомним, что специалисты направления Threat Intelligence Group-IB впервые зафиксировали активность нового JS‑сниффера GMO именно на британском сайте компании FILA. Вредоносный код был обнаружен в начале марта 2019 года. В ходе расследования выяснилось, что GMO предположительно собирает данные о платежах клиентов с ноября 2018 года. Используя данные сайта Alexa.com, можно посчитать, что сайт посещает около 140 000 уникальных пользователей. Минимальная конверсия в покупку для интернет-магазинов одежды составляет 1%, по данным IRP. Следовательно, киберпреступники по самым скромным подсчётам могли похитить платежные и личные данные как минимум 5600 клиентов: каждый, кто приобретал товары на сайте fila.co.uk с ноября 2018 года, может находится в «группе риска». Скачать отчет можно тут: http://group-ib.ru/js-sniffers

#снифферы Исследование  2440 зараженных сайтов показало, что более половины были атакованы сниффером семейства MagentoName, операторы которого используют уязвимости устаревших версий систем управления сайтом CMS Magento (Content Management System) для внедрения вредоносного кода в код сайтов, работающих под управлением этой CMS. Более 13% заражений приходится на долю снифферов семейства WebRank, использующего схему атаки на сторонние сервисы для внедрения вредоносного кода на целевые сайты. Также более 11% приходится на заражения снифферами семейства CoffeMokko, операторы которого используют обфусцированные скрипты, нацеленные на кражу данных из форм оплаты определенных платежных систем, названия полей которых жестко записываются в коде сниффера. Среди таких систем — PayPal, Verisign, Authorize.net, eWAY, Sage Pay, WorldPay, Stripe, USAePayAuthorize.net, eWAY, Sage Pay, WorldPay, Stripe, USAePay и другие. Многие семейства снифферов используют уникальные варианты для каждой отдельной платежной системы, что требует модификации и тестирования скрипта перед каждым заражением.Большая часть обнаруженных снифферов нацелена на платежные формы определенных систем управления сайтом — Magento, OpenCart, Shopify, WooCommerce, WordPress. К таким семействам относятся PreMage, MagentoName, FakeCDN, Qoogle, GetBilling, PostEval. Другие универсальны и могут быть интегрированы в код любого сайта, независимо от используемого «движка» (G-Analitycs, WebRank).

Вот так выглядит статистика CMS, используемых на зараженных #снифферами сайтах:

#снифферы  JS‑сниффер — это онлайн-аналог скиммера. Но если скиммер это миниатюрное устройство, перехватывающее данные банковской карты пользователя в банкомате, то JS‑сниффер — это несколько строк кода, который внедряется злоумышленниками на сайт для перехвата вводимых пользователем данных: номеров банковских карт, имен, адресов, логинов, паролей и т.д. Полученные платежные данные злоумышленники, как правило, продают кардерам на специализированных форумах в даркнете. Цена одной украденной карты составляет от 1$ до 5$. Реже — 10$-15$. Значительная часть форумов с предложениями о покупке и аренде JS‑снифферов состоит из русскоязычных киберпреступников.

По усредненным подсчетам, доход «сниффероводов» может составлять сотни тысяч долларов в месяц. Например, ресурсы, зараженные JS‑сниффером семейства WebRank, суммарно посещает 250 000 человек в день. Если конверсия на этих сайтах составляет всего 1%, то транзакции проводят 2500 покупателей ежедневно. Таким образом, при минимальной вилке стоимости украденной карты, операторы WebRank могут заработать от 2 500$ до 12 500$ за один день «работы» сниффера. Это от 75 000$ до 375 000$ в месяц. При этом WebRank — лишь третий в «рейтинге» массовости заражений. Ресурсы, зараженные снифферами MagentoName и CoffeMokko, посещают 440 000 человек в день.

Схема работы сниффера

В открытом доступе в интернете появилась  база данных пациентов скорой помощи нескольких подмосковных городов. Из нее можно узнать имена, адреса и телефоны, а также о состоянии здоровья обратившихся к врачам. Ситуацию с утечкой комментируют эксперты Group-IB: “В том, что такая база «утекла» нет ничего удивительного, поскольку она находилась практически в открытом доступе и не требовала авторизации или других настроек безопасности, — рассказывает Анастасия Тихонова,  руководитель группы исследования сложных угроз компании Group-IB. — Существуют различные специализированные поисковики, которые показывают доступные базы данных, к которым можно подключиться. Многие хакерские группы или исследователи сканируют адреса и ищут подобные открытые базы данных (как Mongo). Мало того, что это не слишком этично, но зачастую  весьма рискованно. Опасность в том, что после утечки и обнародования подобных баз,  этими данными могут воспользоваться злоумышленники. В Group-IB добавляют, что распространение базы приписывают группе THack3forU - это украинские (как о ни сами о себе заявляют) хактивисты, которые, видимо, хотели привлечь к себе внимание. Сервера MongoDB часто подвержены взломам из-за неправильной настройки и хактивисты иногда оставляют здесь свои послания и призывы.

“Это очень серьезный инцидент, который показал недостаточное внимание к защите медицинской информации, — считает Антон Фишман, руководитель департамента системных решений Group-IB. — Медицинские данные  являются наиболее критичным типом персональных данных, которые необходимо серьезно защищать и хранить только на территории страны. В данном случае налицо сразу несколько нарушений: ФЗ-152 “О персональных данных ”, приказа ФСТЭК  №21, постановления Правительства 1119, постановления Правительства 687 и методических рекомендаций для медицинских учреждений. Тот факт, что в данном случае используется система, в которой все данные открыты и хранятся не в России, показывает, что и ее разработка и приемка не учитывала требования законодательства. Полученные медицинские данные можно использовать как против самих граждан, например, зная чем они болеют - для шантажа или вымогательства, так и для дестабилизации обстановки внутри страны - если речь идет о диагнозах высокопоставленных руководителей”. Подробнее на РБК:
https://www.rbc.ru/society/09/04/2019/5cac54129a7947344a0f4e3f

#снифферы  #ReactGet
Этим постом мы открываем цикл статей, посвященный анализу различных семейств снифферов. В первом материале Виктор Окороков, аналитик Threat Intelligence Group-IB, рассказывает о ReactGet, семействе снифферов, используемых для кражи данных банковских карт на сайтах онлайн-магазинов. Снифферы могут работать с большим количеством разных платежных систем. Кампания с применением ReactGet началась в мае 2017 года, атаке подверглись сайты под управлением CMS и платформ Magento, Bigcommerce, Shopify. https://www.group-ib.ru/blog/reactget

#вебинар #защитабренда #Бусаргин
Злоумышленники постоянно совершенствуют инструменты и методы атак на бренды. Противодействие подобным нарушениям требует серьезных финансовых вложений и вовлеченности широкого круга специалистов. А как оценить эффективность кампании, призванной защитить вашу интеллектуальную собственность?
16 апреля 2019 года в 11:00 (МСК) пройдет вебинар Group-IB на тему "Защита бренда в Интернете: от упущенной прибыли до расчета ROI".
Андрей Бусаргин,  руководитель департамента инновационной защиты бренда Group-IB, расскажет:
• Можно ли количественно оценить, какое влияние на бюджет компании оказывают случаи неправомерного использования бренда в сети?
• Почему инвестиции в защиту вашей интеллектуальной собственности от мошенничества в Интернете окупаются?
• Каковы средние размеры упущенной прибыли от злоупотреблений брендом для разных индустрий?

Просьба регистрироваться только с корпоративной почты: https://attendee.gotowebinar.com/register/2461749756466298627?source=TG