«Смотрите в объектив – сейчас откроется турникет!». В московском метро началось тестирование системы оплаты проезда с помощью помощью технологии распознавания лиц. Эксперимент проходит на станции «Сухаревская» и в случае успеха система будет внедрена во всей столичной подземке. “Коммерческая эксплуатация подобных систем в других странах пока еще не очень развита, —  замечает Сергей Никитин, заместитель руководителя Лаборатории компьютерной криминалистики Group-IB.—  Обычно биометрия – это некий второй фактор, не основной для оплаты, потому что пока достаточно много ложных результатов. Должна работать и защита от мошенников, и просто шутников, ведь подобные системы пока плохо отличают живого человека от его цветного фото высокого разрешения на листе формата А4. Для того чтобы такая система была полноценной,  необходим целый комплекс — это должна быть не просто камера, но и еще и специальный проектор, который будет строить карту глубины лица, чтобы как раз плоские изображения не проходили через контроль”. Подробности  — в  репортаже обозревателя «Вестей ФМ» Сергея Артемова: https://radiovesti.ru/brand/61178/episode/2201811/

#Android_троян #FANTA #фишинг

Второе дыхание FANTA: Group-IB зафиксировала новую кампанию  Android-трояна, нацеленного на пользователей Avito

Сегодня мы расскажем про новую масштабную кампанию Android-трояна FANTA, который атакует пользователей популярного интернет-сервиса для размещения объявлений Avito.  Большая часть зараженных устройств находится в России, небольшое количество — зафиксировано на Украине, а также в Казахстане и Беларуси. Начиная с января 2019 года потенциальная сумма ущерба только от данной кампании FANTA составляет более 35 миллионов рублей.

#Android_троян #FANTA #фишинг

Однажды вы захотите продать что-нибудь на Avito и, выложив подробное описание своего товара, получите сообщение о том, что вам перевели деньги. Открыв ссылку, вы увидите с виду довольно безобидную страницу, уведомляющую вас о совершении покупки.

После того, как вы нажали кнопку Продолжить, на ваше Android-устройство будет загружен APK-файл с иконкой и названием, внушающим доверие. Вы установили приложение, которое почему-то запросило права AccessibilityService, потом появились и быстро исчезли пара окон и… Все.

Вы заходите проверить свой баланс, но ваше банковское приложение почему-то снова запрашивает данные вашей карты. После ввода данных по какой-то пока еще непонятной для вас причине деньги начинают исчезать с вашего счета. Вы пытаетесь решить проблему, но ваш телефон сопротивляется: сам нажимает на клавиши, не выключается и не дает активировать никакие средства защиты. В итоге вы остаетесь без денег, ваш товар не куплен, вы в замешательстве и задаетесь вопросом: что случилось?

Ответ прост: вы стали жертвой Android-трояна FANTA, семейства Flexnet. Как же так вышло? Сейчас подробно объясним в нашем блоге: https://www.group-ib.ru/blog/fanta

#Android_троян #FANTA #фишинг
Как работает схема?
Как показало наше исследование, троян использовался злоумышленниками в атаках на пользователей, разместивших объявления на сервисе Avito.

1️⃣Спустя некоторое время после публикации объявления продавец получал именное SMS, в котором сообщалось, что некий пользователь перевел на его счет сумму, равную той, что он указал в своем объявлении.

2️⃣ Детали платежа ему предлагается посмотреть по ссылке, которая ведет на фишинговую страницу, подделанную под реальную страницу Avito, — она уведомляет продавца о совершении покупки и содержит описание товара и суммы, полученной с его “продажи”.

3️⃣ После перехода на страницу загружается мобильный троян APK FANTA, замаскированный под приложение Avito. Кража данных банковских карт осуществлялась стандартным для Android-троянов образом: пользователю демонстрировали фишинговые окна, маскирующиеся под легитимные мобильные приложения банков, куда жертва сама вводила данные своей банковской карты.

📌При исследовании трояна обнаружено, что помимо Avito, разработчики FANTA нацелены на пользователей порядка 30 различных Интернет-сервисов, включая AliExpress, Юла, Pandao, Aviasales, Booking, Trivago, а также такси и каршеринговых служб и тд. Подробности этого исследования вы также можете прочитать в блоге компании на Хабре.

#законодательство #электронные_документы #сми
Госдума приняла в первом чтении поправки в Трудовой кодекс и ряд других законов, вводящие в России электронные трудовые книжки.  Руководитель департамента системных решений Group-IB Антон Фишман в разговоре с корреспондентом ComNews заметил, что идея введения электронных трудовых книжек своевременная. "Что касается рисков, то они связаны не только с утечками, но и с незаконным внесением изменений в электронные документы без ведома работника или работодателя. Реализуются эти риски или нет, зависит от того, как будут проработаны, протестированы и внедрены данные поправки. На наш взгляд, чтобы минимизировать эти риски, законопроекты необходимо детально проработать с участием технического сообщества, провести тесты на проникновение и аудит информационной безопасности  [систем и баз данных]", - заявил Антон Фишман.
Подробнее: http://www.comnews.ru/content/122068/2019-09-18/elektronnye-trudovye-knizhki-proshli-pervoe-chtenie#ixzz5zrSjkXR7

#законодательство #базыданных #сми
В Госдуме в первом чтении принят законопроект "О едином федеральном информационном ресурсе, содержащем сведения о населении Российской Федерации" — речь идет не только о персональных данных (Ф.И.О., дата и место рождения, гражданство, пол, СНИЛС, ИНН и семейное положение ), но и информации из баз МВД, Минобороны, Минобрнауки, Росморречфлота, государственных внебюджетных фондов, а также Федеральной налоговой службы (ФНС). Директор по работе с государственными органами Group-IB Дмитрий Буянов считает, что информация, которая будет хранится в этом едином реестре, а точнее сказать – сама БД полностью, будет одним из самых лакомых кусков для хакеров. "Полные сведения о гражданах РФ – большое преимущество не только для [развития] бизнеса, банков и финансовых институтов, маркетологов различных отраслей и пр.,  это серьёзный инструмент как для криминала, так и для иностранных спецслужб или кибергруппировок, которые на них работают. Хранить яйца в одной корзине не всегда разумно, но в последнее время нас приучают к мысли, что государство при принятии решений в области интернета, электоральных процессов и защиты информации часто руководствуется иными принципами. Насколько сложно взломать такой ресурс мы узнаем, когда изучим техническое задание на его создание. Могу лишь пока сказать, что в последние месяцы наблюдается всплеск утечек с государственных и около государственных ресурсов. Абсолютно вся утекшая из государственных баз данных информация также якобы охранялась в соответствии с законодательством об информации и персональных данных.  Оговорюсь, что никакая техническая защищённость не отменяет действие человеческого фактора. В этом лично я вижу одну из самых больших проблем в области ИБ любой базы данных. Если не привлекать сторонних независимых аудиторов, причем, сразу, на стадии подготовки ресурса, то взломов и утечек, к сожалению, не избежать", - сообщил корреспонденту ComNews Дмитрий Буянов.

#мошенничество #вишинг #SecureBank
📌Banki.ru решили подробно рассказать о разных видах телефонного мошенничества. Вот один из кейсов.  23-летней жительнице ХМАО позвонила "сотрудница"  банка и сообщила о попытке подозрительного перевода во Владивосток. Операция якобы была приостановлена, в банке хотели только предупредить клиента. В процессе разговора девушка сама рассказала о еще одной своей карте —  уже другого банка. Через некоторое время «сотрудник» этого банка связался с ней и порекомендовал установить специальную программу для обеспечения безопасности. Девушка так и сделала — мошенники получили доступ к ее мобильному банкингу и вывели 250 тыс. рублей. 🙈

“Сейчас это довольно популярная схема — злоумышленник может убедить клиента скачать на свое устройство программу удаленного управления, например TeamViewer, — рассказывает руководитель направления по развитию продуктов Secure Bank/Secure Portal Group-IB Павел Крылов. — Только на некоторых участках работы сессии непосредственно участвует мошенник: что-то кликает, вводит номер счета, на который он хочет получить деньги. Часть действий делает пользователь, часть - мошенник. Отличить одно от другого достаточно сложно”.

👆Но! Системы сессионного и поведенческого анализа являются эффективным средством выявления такого рода мошенничеств: они позволяют отслеживать все, что делает пользователь — как он печатает, какие комбинации клавиш использует и как водит мышкой, в какой руке держит телефон, с какой силой и в какие части элементов нажимает. "Система не собирает информацию о том, что ввел пользователь, только метаинформацию о том, как он это делал", —  уточняет Павел Крылов. Эти данные позволяют создать "профиль" клиента с его привычками работы в приложении и интернет-банке, и отличить поведение мошенника от реального клиента.

#GIBCrypto #Libra #TON
Смотрите-ка, криптовалюты снова набивают себе цену. Facebook обещает запуск  собственных цифровых монет Libra в первом квартале 2020 года, а Telegram, как писала The New York Times, в течение ближайших двух месяцев планирует выпустить первую партию Gram —  токены своего криптопроекта TON.

"Оба проекта и TON (Telegram Open Network), и Libra еще не запущены, но хайп вокруг них, конечно, играет на руку мошенникам. Основная угроза связана с фишингом — и здесь используются все стандартные схемы с созданием фишинговых сайтов, фейковых аккаунтов и групп в соцсетях”, — сказал "Прайму" руководитель направления Crypto Group-IB Василий Банников.

Эксперты, опрошенные “Праймом” напоминают о мерах безопасности:

📌использовать только официальные сайты проектов —  пока Facebook и  Telegram не объявят об официальном выпуске криптовалют — не стоит пытаться покупать их;
📌не регистрироваться на сайтах, которые появляются в топе поисковой выдачи с помощью покупки рекламы;
📌не вступать в сторонние или фейковые группы проектов в соцсетях;
📌тщательно перепроверять информацию, которую вам присылают, не переходить по подозрительным ссылкам, не оставлять данные криптокошельков на сторонних ресурсах.

#Singapore #eCommerce  #JSsniffers

Group-IB обнаружила скомпрометированные карты клиентов банков Сингапура, сообщает сегодня The Straits Times. Исследование началось после того, как 1 апреля 2019 года на одном из подпольных карточных форумов появилась база под названием “31.03-SG_MIX_SNIFF” — она содержала данные 1726 скомпрометированных карт, выпущенных сингапурскими банками. Всего за восемь месяцев 2019 года в подпольных кардшопах эксперты Group-IB обнаружили данные 26 102 местных банковских карт. Их общая рыночная стоимость оценивается почти в $1,8 миллиона.  Опасность в том, что выложенные данные содержат всю информацию, необходимую для онлайн-покупок, включая CVV, номер карты и срок ее действия. Эксперты Group-IB считают, что карты могли быть скомпрометированы в онлайн-магазинах в результате активности Java Script-sniffers.

«Несмотря на то что онлайн-продавцы несут ответственность за обеспечение безопасности данных своих клиентов, многие масштабные утечки данных ( вспомним British Airways и FILA UK), произошедшие из-за активности JS-снифферов, указывают на то, что очень немногие знают об этой киберугрозе и принимают меры для предотвращения заражения», — уверен Илья Сачков, генеральный директор и основатель Group-IB.  Для покупок в Интернете глава Group-IB рекомендует пользователям получить отдельную банковскую карту для онлайн-платежей, а администраторам сайтов eCommerce советует регулярно обновлять программное обеспечение и привлекать независимых специалистов для аудита.

#вишинг #телефонноемошенничество

Летом 2019 года резко выросло число мошеннических звонков клиентам банков, сообщает сегодня Ъ. В июне—августе  ЦБ отправил операторам связи информацию о более чем 2,5 тыс. номеров, с которых поступали звонки клиентам банков, но лишь 200 номеров были заблокированы. В остальных случаях  отказано «ввиду отсутствия правовых оснований». Что любопытно: в том же отчете ЦБ говорится, что из 2 500 телефонных номеров подменных оказалось всего 198 — то есть успех аферы не столько в "красивом номере", а в том, что мошенники имеют на руках подробную информацию о клиентах банков и профессионально "прессуют" жертву.

Телефонное мошенничество — вишинг (англ. vishing, от voice phishing – голосовой фишинг) — это довольно старый, но не теряющий популярности вид телефонного мошенничества. По данным МВД, в прошлом году было зарегистрировано почти 43 000 случаев вишинга.  

Злоумышленники звонят с поддельных номеров (для этого  используют специальные сервисы IP-телефонии с возможностью подмены номера, либо просто маскируют его: вместо нулей 000 используют буквы ООО и тд), массово рассылают смс или сообщения в WhatsApp и Viber от имени банка или подключают автоответчик, который сообщает о проблеме, а уже потом подключает к разговору  “живого оператора” из колл-центра),  рассказывает Ярослав Каргалев, заместитель руководителя CERT Group-IB.

Самих сценариев атаки несколько

📌Запугать жертву сообщением о попытках взлома или подозрительной транзакции. Цель:  в ходе разговора получить CVV или секретный код, присланный банком клиенту в смс.

📌Выудить в ходе разговора “кодовое слово”, перевыпустить через сотового оператора сим-карту жертвы и активизировать онлайн-банкинг под новую симку — в итоге злодеи могут совершать любые финансовые операции, пользуясь счетом жертвы, как своим.

📌Под предлогом повышения мер безопасности уговорить жертву установить программу удаленного доступа на телефон или ноутбук. Цель:  удаленно получить доступ в интернет-банкинг и отправить деньги на счета мошенников.

Если в конце 2018 года и в начале 2019 года самыми популярными были первые две схемы, то сейчас чаще всего мошенники используют последнюю. Будьте бдительны.

Повесить эти правила на холодильник: как не стать жертвой

✅Даже если разговор с кем-то, кто представился сотрудником банка, выглядит супер-реалистично – никогда не сообщайте CVV, кодовое слово или код из смс. Ни по телефону, ни в чате с банком. Как только вы услышали эту просьбу — на линии мошенник. Спокойно прервите разговор и сообщите в ваш банк, с какого номера поступил звонок.
✅Уточните, что будет делать ваш банк в случае перевыпуска сим-карты. Напишите заявление в салоне сотовой связи, запрещающее перевыпуск карты без вашего участия.
✅Обычно в случае мошеннической операций банк блокирует все движения денежных средств по карте, и сам клиент звонит для разблокировки и называет различные данные, обратная ситуация – это «развод».  Подробнее о том, как "раскусить" телефонных мошенников, читайте в наших совместных публикациях с Роскачеством - тут и тут.

Для звонков клиентам банков  мошенники используют информацию, которую получают из баз данных ГИБДД, Росреестра и операторов парковок, заверил  РИА Новости источник в банковских кругах. "Например, информация операторов парковки доступна через платные сервисы в телеграм-ботах", - сказал собеседник агентства, отметив, что в основном под прицел злоумышленников попадают клиенты банков, на которых зарегистрированы автомобиль или недвижимость.

Возможно, но информация о парковках не скажет мошеннику о том, какой баланс у его жертвы на карте или историю последних операций. Для этого нужны другие источники. Например, такие:

Ведущий тренер по компьютерной криминалистике Group-IB Анастасия Баринова объясняет успех телефонных мошенников тем, что они являются не только опытными психологами, которые могут запугать и "загипнотизировать" жертву, но и тем, что они владеют огромным объемом персональной информации о клиентах банков, которая оказалась в их распоряжении.

"Источником могут послужить и социальные сети, в которых сами жертвы оставляют персональную информацию, утечки из банков или от сотовых операторов. Плюс закрытые площадки в теневом сегменте интернета, где продаются огромные данные информации, в том числе о клиентах банков. Из всех этих источников злоумышленники получают информацию о потенциальных жертвах, и из-за этого их истории становятся максимально правдоподобными", - отмечает эксперт.

По данным газеты "Коммерсант", ЦБ и российские банки этим летом зафиксировали резкий рост числа мошеннических звонков клиентам кредитных организаций, в том числе с подменой номера банка. За это время регулятор направил операторам связи информацию о более чем 2,5 тысячи номеров, с которых поступали звонки клиентам банков.

#сайты_клоны #курорты #BrandProtection

Group-IB обнаружила активную сеть сайтов-клонов популярных отелей и гостиниц в Сочи. Графовый анализ системы Group-IB Brand Protection выявил около 60 подозрительных сайтов, на которых упоминались такие известные бренды, как Sochi Marriott Krasnaya Polyana, “Роза Хутор”, “Горки Плаза” и др. При этом создатели сайтов-клонов копируют дизайн официального ресурса — используют узнаваемый логотип, бренд, фирменные цвета.  Стоимость номера на фейковых сайтах составляет от 7500 до 95 000 рублей за ночь.

Опасность в том, что помимо перекупщиков сайты-клоны активно используют интернет-мошенники для кражи денег или данных банковских карт. Кампания по продвижению подобных ресурсов в сети остаётся активной не только в «высокий сезон», но и на новогодние и рождественские праздники, когда стоимость номеров на престижном сочинском курорте вырастает минимум в два раза. https://www.group-ib.ru/media/hotel/

#forensics #tools #blogs

Мы, в Group-IB, не экономим на инструментах — и это позволяет проводить криминалистические исследования быстро и качественно. Не каждая компания, а тем более отдельный специалист, могут позволить себе программные и аппаратные средства  за несколько миллионов рублей. Что из инструментов выбрать? А на что лучше не стоит тратить деньги?

⚠️ По многочисленным просьбам публикуем пост Игоря Михайлова, специалиста Лаборатории компьютерной криминалистики Group-IB, о лучших программных и аппаратных средствах для компьютерной криминалистики (теперь и на английском).

Расшарьте его своим иностранным коллегам - он того стоит!  https://www.group-ib.com/blog/digital_forensics_tools

#даркнет #базаданных

По новости об утечке данных Сбербанка.

Сегодня в СМИ появилась  информация, что в андеграунде опубликовано объявление о продаже якобы 60 млн записей о клиентах Сбербанка. База содержит номер карты, ФИО, дату рождения, номер телефона и другую информацию. Продавец предлагает пробник на 200 записей (об этом писал Коммерсант) и говорит, что база разделена по регионам и включает крупные города. Продавать он ее якобы планирует частями.

Давайте разбираться:

📍Во-первых, подобной  информации в даркнете достаточно много, это не новость.

📍Во-вторых, набор таких данных не позволяет мошеннику похитить деньги со счета или карты, но может быть использован для вишинга и приёмов социальной инженерии. О том, что в отношении звонящих «сотрудников банка» нужно быть бдительным - мы говорили не раз. И вот, что важно: сегодняшняя новость также может быть использована для таких звонков. Будьте осторожны.

📍В-третьих, сейчас нет информации о том, что стало причиной этой утечки. Наиболее вероятно, что это инцидент, связанный с человеческим фактором. Все остальное пока домыслы.

📍В-четвёртых, мы видим ряд странностей в том, как данная база была выложена в андеграунд. Смотрите: 28 сентября на 4-ех разных форумах появляется объявление от новичка о продаже огромной банковской базы. На всех форумах, он регистрируется в тот же день, только для того, чтобы оставить единственное объявление, на всех форумах использует разные никнеймы. Не указывает, какому банку принадлежит эта база. Для связи оставляет почту (обычно это джаббер, телеграм).

📍В-пятых, безусловно, больше деталей можно будет получить в ходе расследования, однако уже сейчас понятно, что это не следствие целевой атаки на банк и человек, стоящей за публикацией объявления, никакой не хакер.