#GIBVIDEO #JokersStash #базы_данных
Чем интересна база данных, выложенная вчера на Joker's Stash, и как киберпреступники могли похитить миллион данных клиентов индийских банков? Об этом в нашем видеоблоге рассказывает Дмитрий Шестаков, руководитель группы исследования киберпреступности Group-IB.

👨‍💻 Говорят, что в Интернете можно найти практически все, но, когда речь идет о действительно важных вещах, мы спрашиваем совета и рекомендаций у друзей и коллег.

Именно по такому принципу в Group-IB работает программа “Охотники за головами”.
Правила игры просты: вы советуете классных специалистов на открытые вакансии специалистам по рекрутингу Group-IB , они экономят время на поиски звездных сотрудников (другие у нас не работают:), а вы получаете денежное вознаграждение, если ваш протеже пройдет испытательный срок. Win-win, все счастливы 🤝
Размер вознаграждения  определяется уровнем позиции:
📌рекомендация начинающего специалиста (Junior) - 15 000 рублей;
📌рекомендация специалиста/ менеджера - 25 000 рублей;
📌рекомендация ведущего специалиста/ ведущего менеджера - 40 000 рублей;
📌рекомендация тим-лида - 50 000 рублей.

Уже есть потенциальный кандидат? Пишите: hr@group-ib.com и получайте заслуженное вознаграждение сразу после того как он пройдет испытательный срок! В письме не забудьте указать тему: “Охотники за головами”.
А с нашим листом вакансий можно ознакомиться здесь:

Спасибо!

#AntiPiracy #Меморандум #Бусаргин
Пиратский фрегат снова показался на горизонте. Но, похоже, его сильно потрепали.
Впервые за 5 лет рынок Интернет-пиратства в России, по оценкам Group-IB, не только остановился в росте, но и показал падение. Его объем составил $63,5 млн., что на 27% ниже показателя 2018 года. Среди основных причин обвала доходов российских Интернет-пиратов эксперты Group-IB называют удар по рекламной модели монетизации пиратских ресурсов, падение “большой тройки” пиратских CDN, снабжавшей контентом до 90% онлайн-кинотеатров России и СНГ, а также совершенствование законодательного поля и антипиратский меморандум. Любопытно, что при этом желание смотреть нелегально распространяемые фильмы и сериалы у россиян даже выросло.

#AntiPiracy #Меморандум #Бусаргин
За последние пять лет пиратский рынок в России рос катастрофически быстрыми темпами. Впервые специалисты направления Group-IB Anti-Piracy оценили объем российского рынка видео-пиратства в 2015 году: тогда он составил $32 млн, в 2016 году вырос практически вдвое до $62 млн, в 2017 году составил $85 млн (рост +21%), в 2018 году $87 млн (рост +2,3%). Ежегодно в своих отчетах эксперты Group-IB указывали на основные факторы, позволяющие теневому рынку видео-контента стремительно развиваться. Среди них — мощная рекламная поддержка со стороны нелегальных онлайн-казино и букмекерских контор, ИТ-платформа, базирующаяся на технологии CDN, взятая пиратами на вооружение, и рост трафика.

#APT #Китай #Тихонова
Хакерская группировка с азиатскими корнями атаковала в этом году российские госучреждения — следы вредоносных программ  были обнаружены как минимум в двух организациях в России, сообщает сегодня “КоммерсантЪ” со ссылкой на отчет Positive Technologies.  Ситуацию комментирует руководитель группы исследования сложных угроз Group-IB Анастасия Тихонова: “Российские организации, действительно, периодически становятся целями проправительственных хакерских групп разных стран мира, в том числе и из Китая.  Так, например, широко известная проправительственная группа NetTraveler (aka Travnet, Netfile)  в основном выбирает цели для шпионажа в странах СНГ, в том числе и в России. Среди их жертв — правительственные учреждения, предприятия нефтяной промышленности, научно-исследовательские центры и институты,  военные подрядчики.  Группа использует бэкдоры собственной разработки или  публичные инструменты, которые распространяют через целевой фишинг с вредоносным вложением. Получив доступ,  шпионы пытаются скрыть своё присутствие, чтобы как можно дольше оставаться в сети жертвы и собирать необходимые данные для  своего правительства”.

#вишинг #мошенничество #call_центры

МВД И ФСИН обсуждают вопрос блокировки сотовой связи в местах лишения свободы, чтобы бороться с мошенническими колл-центрами, сообщает сегодня РБК. Недавно об этой проблеме на форуме «Открытые инновации» говорил генеральный директор Group-IB Илья Сачков: “В некоторых колониях и тюрьмах долгие годы существуют подпольные колл-центры, и люди 24/7 находясь в защищённой системе, имеют возможность звонить, вводить людей в заблуждение и в итоге совершать преступление».  В ноябре прошлого года служба безопасности одного из крупнейших российских банков насчитала около 280 сall-центров, расположенных в тюрьмах, рассказывал «Ведомостям» менеджер этого банка. По данным депутата Госдумы Александра Хинштейна,  ежегодно в учреждениях ФСИН изымают порядка 60 000 телефонов — сам депутат предлагает внести законопроект, который позволил бы руководителям исправительных учреждений через операторов отключать определенные номера от сотовой связи. Кроме того, на коллегии решено создать единую систему «Дистанционное мошенничество», содержащую сведения об абонентских номерах и банковских картах, используемых преступниками.

#вишинг #мошенничество #call_центры

👉“Большинство из перечисленных инициатив МВД направлены на борьбу с телефонным мошенничеством — вишингом, который в этом году захлестнул клиентов российских банков, — комментирует пакет антимошеннических инциатив Валерий Баулин, руководитель Лаборатории компьютерной криминалистики  Group-IB. — Одна из поставленных МВД задач связана с созданием единой полицейской базы данных с номерами телефонов мошенников, их сетевыми адресами и идентификаторами устройств, платежными реквизитами. Подобные данные есть уже и у ЦБ, и у сотовых операторов: в июне-августе  ЦБ отправил операторам связи информацию о более чем 2500 номеров, с которых поступали звонки клиентам банков, но лишь 200 подменных номеров были заблокированы. И "обзвоны" продолжались. Почему?
👉Наш опыт государственно-частного партнерства — совместной работы с МВД показывает, что эффективнее не расследовать уже совершенные преступления, а обезвреживать преступные группы, предотвращая новые аферы. В этой связи  вопрос об установке «блокираторов» сигнала сотовой связи на территории исправительных учреждений для борьбы с дистанционным мошенничеством назрела давно, поскольку большая часть мошеннических звонков, действительно, совершается именно из мест лишения свободы.  Другие мошеннические колл-центры работают "на воле", иногда за границей России — для их нейтрализации необходимо международное взаимодействие различных государств.

#вишинг #мошенничество #call_центры
👉Еще один важный инструмент в борьбе с телефонным мошенничеством - использование технологий, позволяющих выявлять кибермошенничество на всех устройствах пользователя в режиме реального времени: наше решение Group-IB Secure Bank, к примеру, помогает защитить клиента, если мошенники во время телефонного разговора уговорят его установить программу удалённого доступа к устройству под видом "решения для повышения безопасности".  Во время входа в интернет-банк или мобильное банковское приложение Group-IB Secure Bank моментально обнаружит подозрительную активность и оповестит службу безопасности банка.

#вишинг #мошенничество #call_центры
👉Более 400 000 подозрительных телефонных номеров включает в себя база, которую за несколько лет собрали сотрудники CERT Group-IB, принимая от клиентов российских банков жалобы на телефонных мошенников.  Номера, с которых проводились обзвоны, мы передаем сотовым операторам для блокировки.
👉На протяжении нескольких лет по просьбе МВД сотрудники Департамента расследований Group-IB участвовали в расследовании и задержании «телефонных» мошенников. Например, одна из группировок, обманом вымогала у пожилых людей крупные суммы — от 30 000 до 300 000 рублей, обещая компенсацию за совершенную ранее покупку лекарственных средств, медицинских приборов или БАДов. Аферисты представлялись «прокурором Москвы», сотрудником банка или налоговой и разыгрывали по телефону целый спектакль.  В базе данных у жуликов было 1500 контактов пенсионеров.  В ходе совместной операции были задержаны 7 человек. Еще несколько подобных кейсов находятся в разработке — чуть позже мы о них расскажем.

#вишинг #ЕБС #аудиофейки
📌Вчера от журналистов BFM прилетел интересный вопрос: “Могут ли мошенники в телефонном разговоре записать голос клиента банка, чтобы потом использовать его ответы для кражи денег со счета?” В последнее время мы видели несколько встревоженных постов в Facebook о том, что в телефонном разговоре с неизвестными ни в коем случае нельзя говорить: “Да” или “Да, я подтверждаю”. 😱Так ли это? Призовем на помощь нашего "разрушителя легенд" —  Антона Фишмана, директора департамента системных решений  Group-IB:
👉“Начнем с того, что с неизвестными вообще не стоит разговарить по телефону и, если вам звонят “сотрудники банка”, Пенсионного фонда или Страховой и предлагают какие-то услуги  или задают вопросы — лучше повесить трубку и самому перезвонить в  организацию, если есть такая необходимость. Что касается записи ваших ответов и получения аудиослепка для кражи денег, то это похоже на миф или очередную интернет-страшилку. Систем верификации на основе только голоса либо другой биометрической информации как одного-единственного фактора идентификации клиента для совершения перевода или платежа в банках нет.  Биометрические данные — лишь один из способов аутентификации клиента. Недавно “Ростелеком” официально заявлял, что снять деньги со счета или воспользоваться любой другой финансовой услугой по одному слову,  например, «да» или «я подтверждаю»  через Единую биометрическую систему (ЕБС) невозможно”.
📌Цитируем: “Идентификация в Единой биометрической системе основана на комбинации голоса и лица клиента. При получении банковской услуги пользователь подтверждает личность по биометрии — глядя в камеру произносит случайно сгенерированную последовательность цифр. Эту последовательность невозможно записать заранее, она различается при каждом запросе», — говорится в сообщении “Ростелекома”.
👉Несомненно, мошенники  в будущем попытаются  обмануть систему, но пока реальную угрозу представляют технологии deepfake — зачем выдергивать отдельные "да" из записанного разговора, когда можно научить нейросети разговаривать голосом другого человека? В Германии мошенники использовали голосовой deepfake, чтобы в телефонном разговоре, выдавая себя за руководителя компании, заставить руководителя дочерней фирмы из Великобритании срочно перевести 220 000 евро на счет некоего венгерского поставщика. Глава британской фирмы заподозрил подвох, когда его "босс"  попросил о втором денежном переводе, но звонок при этом исходил с австрийского номера. К этому моменту первый транш уже поступил на счет в Венгрии, откуда деньги были выведены в Мексику.

#криптовалюты #конфискация

Сегодня многие обсуждали идею конфискации криптовалют. Насколько это реально?  “Практика конфискации криптовалют у злоумышленников  уже работает в других странах мира, например, в США, — замечает Василий Банников, руководитель GIB Crypto, — Например, в прошлом году служба маршалов выставила на аукцион 660 биткоинов, которые были конфискованы в ходе расследования различных дел.  Для того чтобы механизм ареста или конфискации криптовалют был запущен в России,  цифровые криптоактивы, в первую очередь, необходимо законодательно зарегулировать, застолбить их место в правовом поле. А пока что с точки зрения законодательства этот процесс никак не регламентирован (законопроект о цифровых финансовых активах (ЦФА) уже почти полтора года готовится ко второму чтению в Госдуме), поэтому не работает и не может быть осуществлен.”

👉Чисто теоритически (и если соответвующее законодательство будет принято!), есть три способа конфисковать криптовалюту:

📌Наименее реальный — добровольный перевод на кошелек финансовых госструктур в качестве, например, возмещения нанесенного ущерба по решению суда.

📌Изъятие SSID-фразы или логина+пароля из компьютера/смартфона при проведении оперативно-розыскных мероприятий, аресте или конфискации криптоактивов по решению суда.

📌Заморозка средств на регулируемых криптобиржах, зарегистрированных в российской юрисдикции, по официальному запросу и последующий перевод средств на кошелек  финансовых госструктур.

#сетевой_граф #Threat_Hunting #Threat_Intelligence

👉Сегодня мы подробно расскажем об одном из наших суперсекретных инструментов, которым раньше пользовались исключительно технические специалисты Group-IB — сотрудники отдела расследований, аналитики Threat Intelligence и CERT, команда Red Team, а теперь он стал доступен и нашим клиентам.  Речь про графовый анализ сетевой инфраструктуры или, если проще, сетевой граф. Давайте приоткроем завесу тайны и узнаем внутреннюю кухню Threat Hunting: как анализ сетевой инфраструктуры позволяет находить киберпреступников на просторах Интернета.

👉Как это работает?
Ежедневно мы сохраняем снимки состояний глобальной сети и видим:
📌какие доменные имена были зарегистрированы;
📌как менялись их регистрационнные данные;
📌как менялись настройки DNS для доменов;
📌где и какие серверы активировались;
📌какие сервисы были запущены на этих серверах и снимаем их отпечатки;
📌какие вредоносные файлы взаимодействуют с серверами в глобальной сети.

По всем этим данным извлекаются связи, по которым строится сетевой граф, который  позволяет в автоматическом режиме всего за один запрос увидеть связанную инфраструктуру и даже заглянуть в прошлое — посмотреть, например, историю изменений регистрационных данных доменных имен или историю регистраций на хакерских форумах более чем за 10 лет!  

👉Кому понадобится сетевой граф?
Сетевой граф необходим аналитикам ситуационных центров и CERT (Центры реагирования на инциденты), экспертам по киберразведке и компьютерным криминалистам для того, чтобы исследовать тактику и инфраструктуру атакующих, улучшать собственную систему безопасности и обогащать свои навыки в области хантинга. А именно для:

⚔️Расследований и атрибуции кибератак с конкретными хакерскими группами
⚔️Выявления фишинга и мошенничества
⚔️Обогащения индикаторов
⚔️Корреляции событий
⚔️Выявления паттернов атакующих
⚔️Поиска скрытой инфраструктуры злоумышленников.

#сетевой_граф #Threat_Hunting #Threat_Intelligence

Графовый анализ сетевой инфраструктуры —сетевой граф — стал первым внутренним инструментом, который мы встроили во все публичные продукты Group-IB. Прежде чем создавать свой сетевой граф, мы проанализировали многие подобные разработки на рынке и не нашли ни одного продукта, который бы удовлетворял нашим собственным потребностям. В этой статье Дмитрий Волков, CTO Group-IB, подробно рассказывает о том, как мы создавали сетевой граф, как его используем и с какими трудностями столкнулись.

#сетевой_граф #Threat_Hunting #Threat_Intelligence

⚔️Ни одно расследование Group-IB не обходилось без анализа сетевой инфраструктуры атакующих. Раньше специалисты собирали эту информацию вручную: несколько недель анализировали взаимосвязи, натыкались на «белые пятна» и зачастую заходили в тупик. Приходилось повторно анализировать огромные объёмы данных и тратить на это очень много времени. О том, как сейчас найти сотни хакерских сайтов за несколько секунд и как сетевой граф ускоряет поиск злоумышленников, рассказывает vc.ru.

💻Давайте посмотрим, как работает сетевой граф, на конкретном примере. В декабре 2018 года хакерская группа Cobalt, специализирующаяся на целевых атаках на банки, провела рассылку от имени Центрального банка Казахстана. 👉Если в распоряжении у аналитиков не оказалось фишинговых писем и нет возможности провести полный анализ вредоносных файлов, они могут построить граф по вредоносному домену nationalbank[.]bz. Граф сразу показывает связи с другими вредоносными доменами, атрибутирует это до группы — Cobalt — и демонстрирует, какие файлы уже использовались в атаке.
👉Возьмем из этого графа IP-адрес 46.173.219[.]152 и построим по нему граф в один проход и выключим очистку. С ним связано 40 доменов, например, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
Судя по именам доменов, похоже что они используются в мошеннических схемах, но алгоритм очистки понял, что к этой атаке они не имеют отношения и не вынес их на граф, что сильно упрощает процесс анализа и атрибуции. Подробности  - тут

#сетевой_граф #Threat_Hunting #Threat_Intelligence
👉Расследуя дела, связанные с фишингом, бот-сетями, мошенническими транзакциями и преступными хакерскими группами, эксперты Group-IB уже много лет используют графовый анализ для выявления разного рода связей.  В этом видео Дмитрий Волков,  CTO Group-IB, подробно рассказывает о том, чем наш сетевой граф лучше остальных, и как сотрудники служб безопасности, threat-эксперты,  аналитики CERT и компьютерные криминалисты уже сейчас могут использовать граф в своих расследованиях, аттрибуции кибератак, выявлении фишинга и мошенничества.💪