👉Международная компания Group-IB, специализирующаяся на предотвращении кибератак, делает официальное заявление  относительно дела Евгения Никулина No. CR 16-00440 «USA v. Yevgeniy Nikulin», обвиняемого во взломе ряда американских ресурсов (Linkedin, Dropbox, Formspring). Предварительные судебные слушания по делу пройдут 9 марта 2020 года. В связи с тем, что в материалах дела упоминается сотрудник Group-IB Никита Кислицин, мы считаем своим долгом сделать публичное заявление о сложившейся ситуации и открыто выразить позицию Group-IB по данному кейсу.  
👉 Мы считаем, что обвинения в отношении Кислицина несостоятельны и не содержат доказательств его вины.
👉Исследовательская деятельность киберпреступности, которую вел Кислицин, не носила криминального характера.
👉 Ни компания Group-IB, ни ее сотрудник Никита Кислицин не получали официальных повесток, уведомлений или приглашений на предстоящие судебное заседание по делу Никулина No. CR 16-00440 WHA UNITED STATES V. Yevgeniy Nikulin Мы расцениваем такие действия как недопустимые и нарушающие права нашего сотрудника.
Подробнее:

​🐇«Сгорая от любопытства, Алиса побежала за ним по полю. Она только-только успела заметить, что Кролик юркнул в нору под изгородью. В тот же миг Алиса юркнула за ним следом, не думая о том, как же она будет выбираться обратно». Помните прелестную героиню Льюиса Кэрролла, для которой погоня за белым кроликом стала трансфером  в фантастический мир неконтролируемого безумия?

🐇 Для Алисы эта история закончилась вполне благополучно, а вот жертвы новой мошеннической схемы  «Кроличья нора» теряют в буквальном смысле все: персональную информацию, данные банковских карт или деньги. Страдают не только частные лица —  репутационный ущерб от «Кролика» несут крупные бренды, а также селебрити — звезды шоу-бизнеса, блогеры и телеведущие, чьи имена и изображения используют мошенники. "Известия", например, сегодня подробно рассказывают о том, какую опасность "Кроличья нора" несет для финансового сектора.

🐇 Вся схема состоит из двух частей: «Белый кролик» — этап на котором происходит привлечение траффика и «Кроличья нора», где непосредственно и происходит атака, кража денег или данных банковских карт.

👉На начальном этапе «Кролика» мошенники в качестве приманки используют фейковые аккаунты «звезд» шоу-бизнеса, блогеров или популярных телеведущих (реже — известных брендов. — прим. Group-IB), от имени которых объявляют конкурсы-giveaway, акции или опросы с приличным призовым фондом и дорогими подарками. Среди селебрити, чей бренд чаще других используют мошенники, эксперты Group-IB отмечают Ольгу Бузову, Юрия Дудя, Ивана Урганта, Басту, Тимати, Анастасию Ивлееву, Михаила Галустяна, Андрея Малахова и др.

👉После перехода по ссылке на ресурс-опросник жертву просят ответить на несложные вопросы и «поделиться» своей удачей в WhatsApp или соцсетями с друзьями. Таким образом, злоумышленники обеспечивают вирусное распространение схемы и нагоняют трафик на свои мошеннические сайты.

👉 Параллельно, у жертвы запрашивают адрес электронной почты, который в будущем может быть использован для рассылки фишинговых писем или заражения вредоносной программой. После подобных подготовительных действий мошенники переходят к следующему этапу атаки — «Кроличья нора».

👉 Всем жертвам, которые клюнули на «наживку» на предыдущем этапе, на почту или в личные сообщения в мессенджерах приходят приглашения принять участие в новом грандиозном опросе или викторине с приличным денежным вознаграждением. Хотя на этих на ресурсах уже нет упоминаний известных брендов или «звезд», но пользователи не подозревают, что оказались в «ловушке». Суть мошенничества в том, что в конце опроса нужно перечислить некоторую сумму, чтобы оплатить «пошлину» , «налог» или совершить тестовый платеж. Естественно, никакого вознаграждения жертва не получает, зато теряет свои деньги и персональные данные.

🎥 Антон Долгалев, руководитель отдела защиты бренда Group-IB, подробно рассказал о том, как работает схема, и о том, почему ее так сложно заблокировать.  https://www.youtube.com/watch?v=agTYm1UW_Uc

🐇 Вся "Кроличья нора" на одной картинке

👉Открыт набор на совместные обучающие курсы Group-IB и Belkasoft «Belkasoft Digital Forensics» и «Belkasoft Incident Response Examination»!

📌На базовом курсе «Belkasoft Digital Forensics» практикующий специалист Group-IB познакомит слушателей с Belkasoft Evidence Center, даст общее представление об этом инструменте и об эффективной работе с ним для проведения расследований. Курс стартует уже 30 марта.
📌На продвинутом курсе «Belkasoft Incident Response Examination» эксперт Group-IB подробно расскажет, как использовать специальные возможности Belkasoft Evidence Center для проведения сложных криминалистических расследований хакерских атак. Старт курса — 2 апреля.

Оба курса будут интересны аналитикам SOC и CERT, компьютерным криминалистам и всем, кто работает в сфере информационной безопасности и информационных технологий.

👉Набор уже открыт. Более подробная информация о курсах и запись доступны по ссылке.  Присоединяйтесь!

😪Тема коронавируса в последнее время активно используется в фишинговых атаках для компрометации электронной почты сотрудников компаний из США, Новой Зеландии, России и стран APAC, рассказал Олег Скулкин, ведущий специалист по компьютерной криминалистике Group-IB.

😪Письма, которые мы видели, были написаны на английском (а некоторые и на русском языке, — прим. GIB) и содержали ссылки на информацию о заболевших или вложения в формате PDF,  содержащие список мер, которые необходимо предпринять, чтобы избежать заражения вирусом.

😪Все письма также содержали ссылки, перенаправляющие пользователей на фишинговые сайты, копирующие по внешнему виду Outlook Web Access, или Office 365. Задача таких ресурсов  — заставить пользователя ввести логин и пароль от своей электронной почты, которые впоследствии будут отправлены на сервера злоумышленников.

😪"Позже тему коронавируса подхватили и вымогатели:  операторы шифровальщика Crysis (Dharma), который чаще всего распространяют через компрометацию RDP ( протокол удалённого рабочего стола), в одной из свежих версий используют расширение nCoV (novel coronavirus), которое добавляется к файлам по завершении процесса шифрования",  — отметил эксперт Group-IB.

📹Кто и зачем устраивают give away и опросы в Instagram? Правда ли, что топовые блогеры могут заработать 20 млн за гив и почему к ним негативно относится Instagram?

Редакция Алексея Пивоварова выпустила сегодня сюжет о популярных способах мошенничества в диджитале.

Андрей Бусаргин, руководитель департамента инновационной защиты интеллектуальной собственности Group-IB, рассказал про актуальные схемы и новую многоступенчатую интернет-разводку с "Белым Кроликом" и "Кроличьей Норой"🐇

📹 Смотрите также в выпуске:
📌Как из-за перевода на карту можно получить на статью о терроризме?
📌 Телефонное мошенничество: правда ли, что телефонные мошенники звонят из колоний?
📌Как работают мошенники в благотворительности.
📌И, наконец, что делать, чтобы не попадаться на уловки мошенников.

​"Недавно я исследовал Huawei Honor 20 Pro. Как вы думаете, что удалось извлечь из его резервной копии, полученной с помощью утилиты ADB? Ничего! В устройстве полно данных: информация о вызовах, телефонная книга, SMS, переписка в мессенджерах, электронная почта, мультимедийные файлы и т.д. А вы не можете ничего этого извлечь. Ужасные ощущения!". Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает, что делать, если вы не можете извлечь данные из Android-устройств стандартными способами.  Мы рассмотрим создание и извлечение данных из смартфонов Huawei утилитой HiSuite и их последующий анализ с помощью Belkasoft Evidence Center.

​Простые и примитивные виды интернет-мошенничества, каким оно было с первых лет существования Интернета, остались в прошлом. Как в фильмах про апокалипсис, вирус мутировал, стал устойчивее, и прежние методы лечения ему — как слону дробина.

Фишинговые атаки теперь проводят через разные ссылки, поэтому их стало сложнее блокировать. Киберпреступники научились тонко вплетать бренды в свои схемы и персонализировать контент, а миллионы людей попадают в различные ловушки вроде «кроличьей норы».

Подробный разбор самой популярной мошеннической схемы   — в блоге Group-IB на VC

Эксперты Group-IB прогнозируют рост числа кибератак на компьютеры, оборудование (роутеры, видеокамеры) и незащищенные домашние сети сотрудников компаний, которые из-за коронавируса перешли на удаленный режим работы, заявил генеральный директор и основатель Group-IB Илья Сачков. По его словам, в группе риска — сотрудники финансовых учреждений, телеком-операторов и IT-компаний, а целью кибератак станет кража денег или персональных данных.
👉Криминалистам Group-IB известны примеры, когда начальной точкой входа был именно сотрудник на «удаленке» — так, в 2017 году киберпреступники проникли в российский банк, атаковав системного администратора, который заходил на сервера банка с домашнего компьютера.
👉Например, злоумышленники могут отправить фишинговые рассылки с использованием злободневных тем (новости и распоряжения, касающиеся коронавируса, компенсации, отмены командировок итд), атаковать RDP (протокол удаленного рабочего стола), скомпрометировать домашнее оборудование — маршрутизаторы или видеокамеры.
👉Несмотря на многочисленные советы по организации защищенного канала высок риск неправильной организации VPN-подключения, при которой домашний компьютер сотрудника окажется за пределами периметровых средств защиты компании, однако VPN будет устанавливаться сразу с критически важными сегментами корпоративной сети.
👉В тоже время переход финансовых учреждений на удаленный режим работы приведет к тому, что сотрудники не смогут из дома оперативно и скоординированно реагировать на возникающие угрозы, что с большой вероятностью приведет к увеличению количества успешных атак на системы карточного процессинга, SWIFT, сети банкоматов и платежные шлюзы.

☠️CERT-GIB зафиксировал новую вредоносную рассылку на тему коронавируса с трояном внутри. "Письмо было отправлено якобы от лица сотрудницы UNICEF — международной организации, действующей под эгидой ООН, — и содержало приложение, которое нужно загрузить, чтобы получать обновления о ситуации с COVID-19 и рекомендации, как защитить своих сотрудников от этого смертельного вируса", — рассказал руководитель CERT-GIB Александр Калинин. Получатель письма находился в России — это крупное негосударственное объединение, связанное с бизнесом.
☠️К фейковому письму прилагался архив, который содержал Netwire —  троян, совмещающий функционал программы для кражи логинов-паролей и клавиатурного шпиона. Например, он может собирать данные о системе и зараженном компьютере, загружать и запускать файлы, делать скриншоты, управлять клавиатурой и мышью,  похищать логины, пароли, а также данные банковских карт.
☠️Напомним, что это не первый случай, когда киберпреступники паразитируют на теме коронавируса - недавно под видом рассылок о заражении были зафиксированы фишинговые рассылки сотрудникам компаний из США, Новой Зеландии, России и стран APAC  для компрометации их электронной почты. Чуть позже появились рассылки вируса-шифровальщика Crysis (Dharma) с расширением  nCoV (novel coronavirus).

Открыта регистрация на вебинар "eDiscovery: сбор цифровых доказательств и их представление в суде".
👉Знаете ли вы, что почти 20% самостоятельных экспертных расследований «разваливаются» на этапе взаимодействия с правоохранительными органами из-за ошибок при сборе и оформлении цифровых доказательств?
👉Корректно собранная и оформленная доказательная база — это фундамент, на котором строятся все дальнейшие этапы расследования.
👉На вебинаре Игорь Михайлов, специалист по компьютерной криминалистике Group-IB, расскажет о применении цифровых доказательств в судебном делопроизводстве, представит несколько практических кейсов с использованием методов  цифровой форензики.
👉Регистрация только с корпоративной почты по ссылке: https://go.group-ib.com/webinar-ediscovery-registration

​☠️В Group-IB назвали актуальные угрозы в период
пандемии COVID-19

Вчера мы предупреждали о рисках работы на "удаленке" для сотрудников финансовых учреждений, но вероятных угроз гораздо больше — давайте проведем небольшую ревизию:

📌Рост числа инсайдерских атак с использованием тех категорий сотрудников, которым снижают з/п или сокращают при переходе на удаленный режим работы.
📌Рост количества целевых атак на сотрудников банков — подробнее в материале РБК.
📌Повышение риска проведения атак с целью шпионажа.
📌 Рост числа вредоносных рассылок для заражения пользователей вирусами-шифровальщиками, банковскими троянами, программами-шпионами — о некоторых случаях мы сообщали утром.
📌Увеличение числа мошеннических бесплатных сервисов: платформ для проведения видеоконференций, онлайн-обучения, подписок на онлайн-кинотеатры, фейковых мобильных приложений для доставки еды и т.д.
📌Усиление мошеннической активности в туристической индустрии (центры возврата денежных средств авиалиний, отелей и т.д).
📌Увеличение мошеннической активности по отношению к людям пожилого возраста: доставка товаров на дом, предложения лекарств и тестов на COVID-19
и другое.