#SecureBank #TeamViewer #мошенничество

Цель мошенников в данной схеме  - убедить пользователей установить приложение TeamViewer для решения предполагаемых проблем.

1️⃣ Пользователю звонит "сотрудник банка" и традиционно сообщает о подозрительной активности/транзакции, связанной с его счетом.

2️⃣ Бдительный "сотрудник банка" просит для решения проблемы установить программу делегирования доступа.

3️⃣ После установки программы мошенник получает доступ к приложению для мобильного банкинга на устройстве пользователя и может совершать действия от его лица. Например, перевести деньги на любой счет.
https://www.group-ib.ru/media/teamviewer/

#SecureBank #TeamViewer #мошенничество

По словам Павла Крылова, руководителя направления по развитию продукта Group-IB Secure Bank, есть только один способ детектировать подобное мошенничество:

"Единственный вариант обнаружить данную схему – фиксировать установку программы для удаленного управления на смартфоне и осуществлять поведенческий анализ на протяжении всей пользовательской сессии".

"Система Group-IB Secure Bank отслеживает такие действия, а анализ дальнейшей работы пользователя позволяет понять – совпадает ли его поведение с обычным поведением его профиля. И если нет –  такая активность считается подозрительной и действия мошенника, орудующего в личном кабинете ничего не подозревающего пользователя, блокируются банком".

#SecureBank #антифрод #мошенничество

Для тех, кому мало новостей и кто любит разбираться в схемах мошенничества, существует наш блог. На этот раз мы рассказываем, в чем реальная проблема детекта истории с #TeamViewer и почему банки, использующие исключительно транзакционный антифрод, зачастую не могут защитить своих клиентов от мошенничества.
Ведь получая доступ к смартфону, злоумышленник действует от имени и фактически «рукой» легального пользователя c его «типичного» устройства. Именно пользователь «наделяет» злоумышленника такими правами, санкционируя установку ПО для удаленного доступа на свой смартфон. При этом сама установка TeamViewer не может являться доказательством реализации мошеннической схемы.

❓Вопрос: Так что делать?
❗️Ответ: Использовать поведенческий анализ действий пользователя.

Метрики во время пользовательской сессии анализируются на сигнатурном уровне и с помощью поведенческого анализа. Наличие установленных на устройстве приложений удаленного доступа анализируется постоянно обновляемым списком сигнатур.
С помощью поведенческой аналитики создается ваш «цифровой портрет», основанный на данных о скорости ваших действий в приложении, их последовательности, паттерну навигации, на тачскрин. Так работает, например, Secure Bank.

Когда пользователь в своем банковском приложении вводит какие-то данные, все это логируется Secure Bank. При этом Secure Bank не собирает информацию о том, какие данные ввел пользователь, только мета-информацию о том, как он это делал. Детали – в нашем блоге. https://www.group-ib.ru/blog/teamviewerfraud

#Silence #GoingGlobal #APT
Group-IB: ущерб от атак хакерской группы Silence приблизился к отметке в 300 млн. руб
Прошло чуть меньше года с момента выхода отчета Group-IB о хакерской группе  #Silence  "Silence: Moving into the darkside", в котором впервые были описаны инструменты и тактики, используемые Silence в атаках на банки и финансовые организации.
Сегодня Group-IB выпускает отчет "Silence 2.0: Going global», в котором эксперты компании рассказывают о новых атаках хакеров и делятся информацией о ранее не описанных инструментах.
▪️Подтвержденный ущерб от атак киберпреступников возрос в пять раз и составил $4.2 млн (272 млн рублей).
▪️ Хакеры значительно расширили географию своей деятельности и атаковали страны в Европе, Азии, Африке и Латинской Америке.
▪️Команда Threat Intelligence Group-IB зафиксировала по меньшей мере 16 вредоносных кампаний более чем в 30 странах мира.
Учитывая серьезность растущей угрозы Silence для мирового финансового сектора, Group-IB публикует оба отчета о группировке в открытом доступе. Подробности о новом отчете здесь: https://www.group-ib.ru/media/silence-attacks/

#Silence #GoingGlobal #APT
Эксперты Group-IB отмечают, что за прошедший год группа Silence, которая ранее была известна атаками на банки СНГ и Восточной Европы, значительно расширила географию своей деятельности и сейчас представляет, без преувеличения, глобальную угрозу. Сценой одной из крупнейших кампаний Silence на этот раз стала Азия. Всего специалисты Group-IB зафиксировали 16 кампаний, проведенных Silence в период с мая 2018 по август 2019,  более чем в 30 странах мира.
Скачать новый отчет "Silence 2.0: Going global" можно здесь: https://www.group-ib.ru/resources/threat-research/silence-attacks.html

#Silence усовершенствовала свои инструменты для того, чтобы усложнить их детектирование средствами защиты. “За прошедший год Silence внесли ряд модификаций в свои программы с одной целью: затруднить их обнаружение средствами защиты. В частности, они сменили алфавит шифрования, шифрование строк, набор команд для бота и основного модуля. … Вместе с тем они начали использовать бесфайловый загрузчик Ivoke и агент EDA, написанные на Powershell”. Скачать новый отчет "Silence 2.0: Going global" можно здесь: https://www.group-ib.ru/resources/threat-research/silence-attacks.html

#Silence #GoingGlobal #APT
Модифицировав некоторые из своих инструментов, чтобы их сложнее было обнаружить средствами защиты, #Silence продолжила использовать фишинг в качестве исходного вектора своих атак. Фишинговые атаки проводились в два этапа: на первом этапе группировка рассылала письма без вредоносного вложения, чтобы обновить базу адресатов и узнать, как защищены жертвы. На втором этапе письма уже с вредоносным вложением рассылались по актуальной базе адресов. Одна из крупнейших тестовых кампаний была зафиксирована в Азии, где Silence разослали около 80,000 писем-пустышек. Малайзия, Тайвань и Южная Корея стали главными целями хакеров.
Новый отчет "Silence 2.0: Going global" доступен по ссылке: https://www.group-ib.ru/resources/threat-research/silence-attacks.html

#кибербуллинг #безопасность
За неделю до начала нового учебного года специалисты Роскачества подняли тему киберербуллинга и его последствий. Оказалось, ситуация, увы, стала рутиной для современных российских школьников: около 70% подростков сообщили о том, что были участниками или жертвами онлайн-травли, а в 40% случаев дети, которые были жертвой, сами становятся агрессорами в Сети. Последствия кибербуллинга могут быть  очень неприятными  – от негативных эмоций, которые испытывают и жертва, и обидчик (стыд, страх, тревога), вплоть до суицидальных попыток.
Эксперты Group-IB —  внимательно следят за этой темой —  и по просьбе ДИТ Москвы специально для издания МЕЛ — Анна Сачкова, координатор образовательных программ Group-IB, и Полина Фомина,  менеджер образовательных программ Group-IB, подробно рассказали о том, какие виды кибербуллинга существуют и как им можно противостоять.
Подробнее: https://mel.fm/blog/dit-moskvy1/23087-vyzhit-v-internete.

#SecureBank #ЦФТ #FRAMOS
Центр Финансовых Технологий (ЦФТ), провайдер решений для участников финансового рынка РФ и СНГ, совместно с Group-IB разработали новый сервис по защите от финансового мошенничества в системах Интернет-банкинга.

Компонентами совместного решения являются облачный сервис фрод-мониторинга FRAMOS от Faktura.ru (входит в группу компаний ЦФТ) и система проактивного обнаружения финансового мошенничества на всех устройствах клиента Group-IB Secure Bank.

Интеграция транзакционного и сессионного антифрода позволяет комплексно подойти к защите денежных средств клиентов, а также оптимизировать отслеживание и блокировку мошеннических действий любого типа, в том числе, с использованием социальной инженерии. Подробности: https://www.group-ib.ru/media/cft-gib/

#AgentBID #investigation #TipTop
Сегодня Group-IB публикует подробности громкого дела хакерской группы TipTop. Детали можно узнать из нашего блога, а пока — для затравки — расскажем пять интересных фактов из этого кейса:

📌Главной целью группы TipTop были клиенты крупных российских банков — пользователи смартфонов на ОС Android.

📌С помощью Android-троянов киберпреступники смогли инфицировать более 800 000 смартфонов и ежедневно похищали от 100 000 рублей до 700 000 рублей.

📌Хакеры маскировали вредоносные программы под мобильные приложения известных банков из ТОП-10, а также под мессенджер Viber, магазин приложений Google Play или графические приложения компании Adobe.

📌TipTop использовала банковские Android-трояны Hqwar (Agent.BID), Honli,  CatsElite (MarsElite). Все они могли перехватывать и читать СМС, записывать телефонные разговоры,  но их главной целью была кража данных банковских карт.

📌Одним из первых приговор вынесли заливщику — ранее судимому 31-летнему жителю Красноярска,  который непосредственно переводил деньги со счетов пользователей на счета и карты злоумышленников.

Подробности: https://www.group-ib.ru/media/tip-top/

Оперативная съемка:  https://www.youtube.com/watch?v=OtsV1WwM4f0&feature=youtu.be

#расследование #tiptop

По сообщению интернет-издания Lenta.ru, жертвы находили ссылки на программы на сайтах злоумышленников, а также на взломанных ими ресурсах. Также преступники выкупали рекламу в поисковиках по запросу «мобильный банк».

🆘Специалисты Group-IB считают группу TipTop одной из самых крупных и опасных в России. По данным экспертов, преступники смогли заразить более 800 тысяч смартфонов и ежедневно похищали от 100 тысяч рублей до 700 тысяч рублей.

В августе мы анонсировали курс Belkasoft Digital Forensics, который стартует уже 9 сентября, и, получив большое количество вопросов, решили подробнее рассказать о том, что будут изучать слушатели, какие знания, компетенции и бонусы (!) получат те, кто дойдет до конца. Алгоритмы и тактика реагирования на инциденты информационной безопасности, тенденции актуальных кибератак, подходы к расследованию утечек данных в компаниях, исследование браузеров и мобильных устройств, анализ зашифрованных файлов, извлечение данных о геолокации и аналитика больших объемов данных — все эти и другие темы можно изучить на новых совместных курсах Group-IB и Belkasoft.  Но обо всём по порядку. https://habr.com/ru/company/group-ib/blog/466271/

#защитабренда #instagram

💻Если у вас взломали страничку в соцсетях и требуют выкуп — не спешите доставать банковскую карточку. Перевод только подогреет аппетит мошенников и не даст вам никаких гарантий, а также защиты  от повторных атак. Получив выкуп, через какое-то время они могут потребовать еще больше денег, а затем еще и еще🙈 Не нужно спонсировать киберкриминал — с ним нужно бороться, обратившись за помощью к профессионалам.

Именно так поступила известная актриса и телеведущая Лариса Гузеева, у которой мошенники требовали выкуп за доступ к станице в Instagram, — она оперативно обратилась в Group-IB и ей смогли помочь вернуть аккаунт. Но еще лучше  — не допускать "угона" своего акка.

Как уводят Instagram?

📍Фишинг - это самый распространенный способ кражи аккаунта. Например, владелец Instagram получает письмо от «техподержки» сервиса с предупреждением о попытке взлома и предложением поменять пароль на более безопасный.

📍Предложение поставить "голубую галочку". Тренд из свежих: вы хотите поставить на свою страницу  знак верификации аккаунта. Вам поступает такое предложение от "сервиса", мошенники  запрашивают у вас соответствующие права доступа и... ваш инстаграм уже не ваш.

📍Ссылка на рекламу, которую вам предлагают разместить в вашем блоге. Нажав на ссылку, человек попадает на мошеннический сайт со страницами, внешне копирующими настоящий сайт Instagram, где также предлагается ввести логин и пароль.

... Бывают и другие способы. В первую очередь, опасность представляют мобильные приложения (например, фоторедактор для Instagram), скачанные не из официальных магазинов. Для начала работы они как правило требуют ввести логин/пароль от учетной записи. В зоне риска – любители пользоваться публичным Wi-Fi в общественных местах, где злоумышленники могут перехватывать траффик, в том числе логины и пароли от социальных сетей.