#рынок_компромата #вымогательство  

📌 “КоммерсантЪ” сообщает сегодня, что обозреватель «Росбалта» Александр Шварев объявлен в международный розыск. По версии следствия, журналист вместе с сообщниками требовал у одного из крупнейших казахстанских предпринимателей Кенеса Ракишева $50 тыс. за удаление из интернет-ресурсов компрометирующих того публикаций, а также распространял сведения, порочащие бизнесмена Алишера Усманова. Рынок компромата в последние годы стремительно развивается и использует новые технологии для получения и продвижения контента,  рассказал “Ъ” Андрей Бусаргин, директор департамента инновационной защиты бренда и интеллектуальной собственности Group-IB.                  

📌«Несмотря на прецеденты с задержанием компроматчиков и вымогателей, а также попытки оперативно блокировать ресурсы, их выручка растет, создаются их зеркала, дубликаты, а также каналы в соцсетях и мессенджерах, которые заблокировать гораздо труднее, а порой, как в случае с Telegram, невозможно,— говорит господин Бусаргин.— Основным заработком сайтов с компроматом является размещение и (или) удаление статей за деньги, продажа "блоков" и "пакетов", мораторий на публикацию негативных материалов на компанию (персону), дополнительно — доходы от внешней рекламы, подписки. Также к распространенным способам заработка агрегаторов компромата относится так называемая “дойка”. Это когда после удаления негатива на одном сайте этот же материал или похожий появляется на другом ресурсе, но подконтрольном той же группе лиц».

#Техносерв #Партнерство
Компания «Техносерв», один из крупнейших российских системных интеграторов, объявляет о заключении партнерского соглашения с Group-IB. С осени этого года «Техносерв» оказывает услуги внедрения и сопровождения всех ключевых компонентов экосистемы решений для мониторинга, выявления и предотвращения угроз:

👉Прежде всего, это платформа Threat Intelligence, предназначенная для раннего обнаружения киберугроз и целевых атак. Она обеспечивает мониторинг, анализ и прогнозирование угроз для компании, ее партнеров и клиентов, позволяя выявлять утечки, взломы и хакерскую активность на стадии планирования.
👉Комплексное решение Threat Detection System (TDS) для защиты от сложных киберугроз. В основе TDS – технологии слежения за киберпреступниками, их инструментами и инфраструктурой.
👉 Group-IB Secure Bank эффективно предотвращает банковское мошенничество на всех устройствах клиента, где подключен Интернет-банк или работает мобильное приложение. Также «Техносерв» предлагает его реализацию для Интернет-магазинов, порталов и других площадок, связанных с электронной коммерцией и предоставлением различных сервисов – Secure Portal.

#джейлбрейк #checkra1n #Apple

Итальянский исследователь Лука Тодеско, известный тем, что протяжении последних нескольких лет ищет уязвимости в iOS, выпустил checkra1n, новую утилиту для джейлбрейка, основанную на эксплоите, использующем уязвимость в загрузчике устройств на процессорах A5-A11.  Опасность в том, что он использует «дыру в защите», которую Apple не сможет устранить с помощью обновления программного обеспечения.

📌 Это значит, что пользователи всех устройств под управлением iOS со старыми процессорами теперь могут чувствовать себя значительно менее защищенными. Если предметно, то уязвимы все мобильные устройства Apple ниже iPhone 10 включительно.
📌 Зная код-пароль и имея физический доступ к устройству, можно провести полное извлечение данных из него, скопировав всю файловую систему. Обычно, без джейлбрейка возможно скопировать только малую часть данных посредством iTunes Backup.
📌 Можно установить неофициальный магазин приложений, изменять операционную систему, ставить пиратские приложения и так далее. Само собой при этом теряется и основная функция безопасности iOS – система отключает все свои средства безопасности и там может исполняться недоверенный код, в том числе и вредоносное ПО.
📌 В iOS была встроена замечательная система защиты от кражи. Если даже сбросить устройство в изначальное состояние, то его невозможно было активировать без знания Apple ID и пароля. Таким образом украденное устройство максимум могло уйти на запчасти (и то не все его элементы). Теперь же можно программно «обойти» эту активацию, и попытаться продать такое устройство. Подробнее об опасности checkra1n и как ее могут использовать злоумышленники, рассказал Сергей Никитин, заместитель руководителя Лаборатории компьютерной криминалистики Group-IB.

Бонусом — видео с джелбрейком iPhone 7. https://www.youtube.com/watch?v=FIdlnutKpi0&feature=youtu.be

#мошенничество #сим_карты_клоны
👉Мошенники с помощью сим-карты снова  украли с банковского счета москвича более 400 000 руб. Как пояснили в полиции, злоумышленники просто перевыпустили чужую карту у сотового оператора. Пока владелец занимался восстановлением телефонного номера, через его мобильный банк вывели 420 000 руб.
👉«Действительно, перевыпуск сим-карт — это большая проблема и уязвимость современных двухфакторных авторизаций, то есть когда вы получаете одноразовый пароль по СМС, —  считает Сергей Никитин, замруководителя Лаборатории компьютерной криминалистики Group-IB.  — И связано это с тем, что далеко не все банки сотрудничают со всеми операторами связи. Если карта перевыпускается, то оператор оповещает об этом, и банк блокирует клиент-банк. Если такого не происходит, то одноразовые СМС начинают приходить на новую сим-карту, которую выпустил мошенник, и он может подключить мобильный банкинг себе и совершать операции по переводу денежных средств, подтверждать их одноразовыми кодами, которые будут приходить к нему. Единственный способ защититься от этого — заранее уведомить оператора о том, что любая операция с его сим-карты — замена, перевыпуск и так далее — возможна только с личным присутствием, без каких-либо доверенностей». Подробнее о том, как мошенники воруют деньги клиентов банков с помощью карты-клона и уводят аккаунты блогеров, читайте на сайте vc.ru 👉 https://vc.ru/s/group-ib/63983-vishing

#мошенничество #ЕБС #аудиофейки

👉На НТВ вышел сюжет о том, как работает Единая биометрическая система  (ЕБС) и могут ли мошенники ее взломать, используя записанные в ходе телефонного разговора фразы? В США уже сталкивались с подобным  мошенничеством, правда не в банковской сфере. Аферисты обзванивали клиентов, даже предупреждали, что звонок записывается, а затем задавали вопрос: вы меня слышите? Естественная реакция — сказать «да». Утвердительного ответа было достаточного, чтобы жертвы без их ведома подписывались на платные услуги. Возможно ли подобное в России? Злободневную тему комментируют специалисты «Ростелекома» и Group-IB.

Не говори «да»: стоит ли бояться крадущих голоса мошенников
Видео: Не говори «да»: стоит ли бояться крадущих голоса мошенников

👉Кстати, полную версию интервью Антона Фишмана, директора департамента системных решений Group-IB, о том, надежна ли биометрия, какие уловки используют телефонные мошенники и чем опасны аудиофейки, можно посмотреть на YouTube-канале Group-IB. ✅Подписывайтесь и будьте в курсе всех новостей!

#вишинг #законодательство
📌Законопроект, нацеленный на борьбу с телефонным мошенничеством, будет подготовлен в ближайшее время. Об этом сообщил ТАСС глава комитета Госдумы по финансовому рынку Анатолий Аксаков. Как отмечают в компании Group-IB, в последнее время у злоумышленников особой популярностью пользуется вишинг - вид телефонного мошенничества, когда во время телефонного разговора преступники под видом сотрудников службы безопасности банка, прокуратуры, пенсионного фонда, налоговой службы или медучреждений обманом пытаются получить у жертв данные их банковских карт (CVV, кодовое слово или код-пароль из sms-сообщения - прим. ТАСС) или заставить перевести деньги на нужный счет или номер телефона за какую-то несуществующую услугу, налог, выигрыш. Ранее первый замдиректора департамента информационной безопасности ЦБ РФ Артем Сычев говорил, что Банк России собирается инициировать изменения закона о связи, чтобы операторы шли навстречу регулятору по обращениям о блокировке подменных телефонных номеров. Сычев уточнил, что основной целью законодательных изменений будет возможность сделать подмену номера невозможной.

#Вебинар #ThreatHunters
Компании все больше понимают необходимость найма специалистов, обеспечивающих проактивный поиск сложных киберугроз. Однако на рынке труда экспертов, обладающих знаниями и навыками в области Threat Hunting, или нет совсем или очень мало.На вебинаре Group-IB мы обсудим:
📌Проблему поиска  Threat Hunting экспертов;
📌Роль специалистов по Threat Hunting в процессах обеспечения кибербезопасности организации;
📌Обучение сотрудников и повышение уровня их навыков и знаний  в области Threat Hunting.
👉Регистрация доступна по ссылке  строго с корпоративной почты.

#CDN #Anti_Piracy
👉Профильный портал cinemaplex.rucinemaplex.ru рассказывает о том, какую роль сыграла Group-IB в ликвидации CDN Moonwalk, одного из крупнейших пиратских провайдеров видеоконтента для России и СНГ. Андрей Бусаргин, руководитель департамента защиты интеллектуальной собственности Group-IB:  “В феврале 2019 года мы опубликовали на ведущем профильном  ресурсе TorrentFreak материал о том, где находится крупнейший CDN Moonwalk, насколько велика его база, как он монетизируется и как просто с его помощью создать свой пиратский сайт.  Мы вскрыли инфраструктуру рынка Интернет-пиратства, проследили взаимосвязи отдельных звеньев по доставке контента, исследовали схемы монетизации, изучили потоки рекламного трафика, поняли, кто спонсирует пиратов, нашли бэкенды и прочее. На это обратили внимание полиция Нидерландов, МРАА, АСЕ, BREIN. Они понимали, какие сервера нужно изъять, чтобы они перестали работать. Судя по всему, около полугода они над этим работали, в результате чего видеобалансеры упали — среди них Moonwalk, самый крупный. Как оказалось, на этих серверах был обмен данными, контентом, технологиями с другими видеобалансерами. HDGO упал в этот же момент, а Kodik просуществовал еще пару дней и тоже перестал работать. Мы работаем на рынке борьбы с пиратством более 7 лет: мы умеем «рубить» хвост монетизации, трафика, но с технологической инфраструктурой нужно было бороться «физически». Падение «Большой тройки» CDN — первый серьезный удар по глобальной инфраструктуре. Эту практику нужно продолжать".

#iPhone11 #ВПО
Прилетел вопрос, как узнать заражен ли iPhone 11 вредоносными программами, в том числе c помощью checkra1n, новой утилиты для джейлбрейка, о которой мы недавно рассказывали.  

iPhone 11 использует процессор А13, в котором нет описанной аппаратной уязвимости (как мы говорили, в группе риска все модели — 5,5s,6,7 и т.д., включая iPhone 10). Сам iPhone 11 вышел в продажу с iOS 13, для которой пока нет публичных инструментов для джейлбрейка. Так что шанс заражения крайне невелик.

Что касается проверки: из-за закрытости iOS самостоятельно проверить смартфон на заражение практически невозможно, но повысить меры безопасности можно:  
📌 Проверьте, что для вашего Apple ID и почты, которая использует Apple ID, включена двухфакторная авторизация.
📌Проверьте, что на iPhone в разделе Настройки - основные - Профиль не установлено недоверенных сертификатов, или раздел профиль отсутствует полностью.
📌 Проверьте, что iOS обновлена до версии 13.2.2 и включено автоматическое обновление
📌Ну и экстремальный вариант: если уж очень кажется - восстановите iPhone через режим DFU. Только помните, что в результате полной переустановки устройства ваши данные будут полностью потеряны.

#утечки #реплика
За последние четыре года утечки персональных данных в мире составили более 8 млрд записей, говорится в свежем отчете “Развитие цифровой идентификации” «Ernst & Young».  В России более 88% случаев утечек персональных данных произошли по вине самих сотрудников компаний (во всем мире этот показатель ниже — 56%)  и причиной этому аналитики EY видят в низкой зарплате специалистов (в среднем 27 тыс рублей), которые работают с персональными данными.
Павел Крылов, руководитель направления SecureBank/SecurePortal полагает, что дело совсем не в  зарплатах — спрос рождает предложение.
📌У мошенников есть большой спрос на персональные данные.  Злоумышленники активно ищут инсайдеров, поскольку их мошеннические схемы с использованием перс данных сейчас успешны и эффективны. Преступные группы, в том числе и в местах лишения свободы, могут эти данные монетизировать, пользуясь возможностями по хищению и выводу денежных средств.  Пока есть спрос, преступления будут продолжаться.
📌Организации, которые работают с перс данными, зачастую не способны  предотвратить утечки. То есть операторы этих данных не хотят тратить деньги на средства защиты и организацию работы по защите этих данных. Если они не хотят тратить деньги на это, то обычно экономят и на обучении, и на зарплатах сотрудников.  
📌 Ну и, наконец, есть сотрудники, которые мало мотивированы, да еще и видят, что данные никто не защищает — их легко и относительно безопасно можно продать.

#JSснифферы #FakeSecurity

💻Сегодня на страницах Хабра аналитик Threat Intelligence Group-IB Виктор Окороков рассказывает про новое семейство снифферов FakeSecurity. Их использовала одна преступная группа, заражавшая интернет-магазины под управлением CMS Magento.

📌Злоумышленники внедряли ссылку на вредоносный скрипт в код сайта онлайн-магазина, скрипт подгружался и в момент оплаты товара перехватывал платежные данные посетителя, а затем отправлял их на сервер киберпреступников. В атаках они использовали три доменных имени, которые были зарегистрированы на один и тот же адрес электронной почты greenstreethunter@india[.]com.

📌В одном из эпизодов для распространения вредоносных программ использовался фишинг-кит Mephistophilus — это фишинговый набор с использованием веб-фейков, предлагающих загрузку вредоносных программ под видом обновления плагина (MS Word, MS Excel, PDF, YouTube) для просмотра содержимого документа или страницы.

📌 Для кражи паролей из браузеров и некоторых приложений злоумышленники использовали стилер Vidar.

📌Одной из мишеней вредоносной кампании были администраторы онлайн-магазинов, а цель заражения — доступ в административную панель Magento и других e-commerce-платформ для последующей установки сниффера и кражи данных клиентов зараженных магазинов.

#SecureBank
📌Недавно СМИ сообщали о том, что у мошенников, которые воруют деньги с банковских карт, появился новый популярный способ обналички. Получив код подтверждения для перечисления средств, злоумышленники выводят их через сервисы card2card переводов, отправляя деньги на виртуальный "пластик" онлайн-кошельков. Такая схема не является принципиально новой, ее реализация аналогична переводу на любую другую карту, рассказал Павел Крылов, руководитель по развитию продуктов направления Secure Bank и Secure Portal:
“После того, как мошенники сумели получить доступ к банковскому счету жертвы - они могут использовать множество способов, чтобы вывести деньги — перевести на свои счета, на номер мобильного телефона, на виртуальную карту. Так что описанная схема не является принципиально новой, ее реализация аналогична переводу на любую другую карту, только в данном случае используется виртуалка”.
👉Эксперт заметил, что для алгоритмов поведенческого анализа неважно на какую карту - реальную или виртуальную - мошенник пытается перевести средства. Именно эти  технологии могут отследить факт нетипичной операции на устройстве пользователя, после чего в банк придет оповещение о подозрительной операции и он сможет ее заблокировать. Такие системы также позволяют проводить идентификацию устройства клиента, выявлять подключения к этим устройствам, наличие на них вредоносных программ или использование их параллельно легальным пользователем и мошенником, выдающим себя за него.

#шифровальщики #Troldesh #CERT
👉Больше половины всех почтовых рассылок вредоносных программ в первой половине 2019 пришлась на вирусы-шифровальщики, при этом самым популярным инструментом у киберпреступников оказался шифровальщик Troldesh. Об этом в день открытия SOC-Forum 2019 сообщает Центр реагирования на инциденты кибербезопасности CERT Group-IB. Чтобы обойти антивирусные системы, хакеры отправляют вредоносные ссылки в нерабочее время с отложенной активацией, более 80% всех вредоносных файлов для маскировки доставлялись в архивах zip и rar.

👉Исследование CERT-GIB основано на данных, полученных системой Threat Detection System (TDS) Polygon, в рамках предотвращения и обнаружения угроз, распространяющихся в сети Интернет в первом полугодии 2019 года в 60 странах мира.  Согласно выводам отчета, основным способом доставки вредоносных программ — шифровальщиков, банковских троянов, бэкдоров — по-прежнему остается электронная почта. Во второй половине 2018 года доля загрузок вредоносных программ с помощью веб-браузера сократилась до самого минимума и составляла не более 5%, а в первой половине 2019 года только каждая 19-я загрузка не была связана с почтовой рассылкой. Подробнее: https://www.group-ib.ru/media/ransomware-renaissance/

#опасная_почта #Troldesh #CERT
👉Другой тенденцией стала маскировка вредоносного программного обеспечения (ВПО) в письме. Для того, чтобы обойти корпоративные средства защиты, злоумышленники все чаще прибегают к архивации вредоносных вложений. На протяжении первых 6 месяцев 2019 года в архивах доставлялось более 80% всех вредоносных объектов, в основном, для этого использовались форматы zip (32%) и rar (25%) Сам пароль для расшифровки содержимого злоумышленники указывали в письме с вредоносным вложением, в теме письма или в названии архива, либо, в ходе дальнейшей переписки с жертвой.
📌Злоумышленники все чаще используют ссылки в письмах, ведущие на загрузку вредоносных объектов, вместо уже традиционных вложений: 29% приходится на ссылки, 71% на вложения. Тогда как за весь 2018-й на ссылки приходилось вдвое меньше ВПО.
📌Другим способом обхода антивирусных средств является таргетированная атака с доставкой письма в нерабочее время: во время проверки средствами защиты ссылка в письме недоступна, что квалифицируется как легитимная почта и письмо успешно доходит до получателя. Злоумышленники активируют вредоносную ссылку в рабочее время, значительно повышая вероятность успешного инфицирования компьютера.