​#COVID_fake
🕵️‍♂️Джо Тайди, репортер BBC, специализирующийся на темах кибербезопасности, запустил сайт, на котором публикует информацию о фишинговых рассылках на тему коронавируса — примеры ему присылают исследователи со всего мира, в том числе аналитики CERT-GIB.

👉Например, такой:
Found and analysed by Group-IB
Seen since late March
Threat type – Malicious download – Loki PWS
‘Sender’ – CDC
Key words: CORONAVIRUS (COVID-19) UPDATE // BUSINESS CONTINUITY PLAN ANNOUCEMENT TARTING MARCH 2020, A MUST READ!!!, deadly Wuhan coronavirus, Dr Heung Jung

👨‍💻“Фишинговые мошенничества с коронавирусом являются огромной проблемой и вызывают хаос во время пандемического кризиса, — объясняет свою идею Тайди. — Компании по кибербезопасности и независимые исследователи постоянно раскрывают такие виды  мошенничеств, но никогда не помещают все на один ресурс, поэтому я надеюсь, что этот сайт каким-то образом решит эту проблему. Большое спасибо компаниям за то, что прислали мне свои находки. Я надеюсь, что этот сайт может помочь некоторым людям. И [будет] раздражать некоторых хакеров”.

​😓Данные россиян, оформлявших микрозаймы в 2017–2019 годах, выставили на продажу, сообщает сегодня РБК. По уверению продавца, в базе 12 млн записей. В бесплатном пробнике содержатся данные около 1,8 тыс. клиентов: ФИО., паспортные данные, дата рождения, номер телефона, адрес электронной почты, регион проживания, номера электронных кошельков и сумма займа. Утечку могла допустить одна из МФО

☠️Любопытно, что сам продавец, скрывающийся под ником markospolos, начал свою активность на хакерском форуме в конце марта этого года и сразу опубликовал три поста: что он ищет взломщика — кодера, который может доставать базы с разных сайтов и у него, якобы, много заказов, во-вторых, он готов купить базы китайских гамблинговых компаний, и, в-третьих, сам продает базу пользователей быстрых кредитов.

👉В чем опасность подобных утечек? Любые персональные данные из утечек мошенники могут использовать в дальнейших преступных схемах - адресных фишинговых письмах, смс-сообщениях, обзвонах. Кроме, того новые "короновирусные" схемы с оформлением цифровых пропусков по сканам паспортов могут привести к тому, что мошенники будут использовать сканы при получении кредитов в МФО на других людей.

​#PerSwaysion #phishing
Group-IB раскрыла подробности серии многоступенчатых успешных фишинговых атак против топ-менеджеров более чем 150 международных компаний из США, Канады, Германии, Великобритании, Нидерландов, Гонконга, Сингапура и других стран. Кампания, получившая название PerSwaysion (из за активного использования сервиса MS Sway на одном из этапов), активна начиная с середины 2019 года. В первую очередь киберпреступники атакуют компании, предоставляющие финансовые услуги, юридические фирмы и риэлторские компании. Получая доступ к электронной почте высокопоставленных сотрудников, атакующие от их имени запускают новый раунд фишинговых атак, направленных против бизнес-контактов жертвы. Group-IB создала веб-сайт, где каждый может проверить, была ли их электронная почта скомпрометирована в ходе кампании PerSwaysion.

​#PerSwaysion #phishing
"Поскольку злоумышленники получили доступ ко многим учетным записям корпоративной электронной почты и большим массивам бизнес-переписки, это открывает перед ними множество возможностей, — предупреждает Фэйсянг Хэ, старший Threat Intelligence аналитик в Group-IB. — Атакующие могут продать доступ к учетным записям другим киберпреступникам для проведения финансовых мошенничеств. Конфиденциальные бизнес-данные, извлеченные из электронных писем, могут также быть проданы на андеграундных площадках”.

​В прошлом году CERT-GIB заблокировал более 14 000 фишинговых ресурсов, что фактически втрое больше, чем годом ранее — тогда было 4 494.

Такой резкий рост числа блокировок объясняется не только эффективностью обнаружения и детектирования преступных схем, но также изменением тактики фишеров, в результате чего увеличилась продолжительность фишинговых атак: в предыдущие годы злоумышленники по большей части прекращали свои кампании после блокировки мошеннических веб-ресурсов и быстро переключались на другие бренды. Сегодня они продолжают работу, создавая все новые страницы на смену заблокированным.

Данные CERT-GIB говорят о том, что в прошлом году злоумышленники пересмотрели «пул» своих жертв. Наибольшее число фишинговых страниц было нацелено на онлайн-сервисы (29,3%), облачные хранилища (25,4%) и финансовые организации (17,6%).

Статистика показывает, что количество фишинга под облачные хранилища практически удвоилось, а число мошеннических страниц, нацеленных на пользователей Интернет-провайдеров, возросло втрое.

Ценность доступа к облачному хранилищу пользователя или его личному кабинету на сайте Интернет-провайдера понятна: «охота», как всегда, идет за персональными или платежными данными, которые могут там храниться.

​Прошлый год ознаменовал собой еще и смену страны-лидера по хостингу фишинговых ресурсов: США (27%), которым принадлежало первенство на протяжении последних нескольких лет, уступили место России (34%).

Обладатель третьего места на этом пьедестале остался неизменным – Панама является обладательницей «бронзы», на нее пришлось 8% блокировок.

В прошлом году в этот рейтинг наряду с тремя лидерами попали Германия, ЮАР, Великобритания, Нидерланды, Канада, Малайзия и Франция.

​👉Кстати, в Топ-10 инструментов, использовавшихся злоумышленниками в почтовых рассылках, зафиксированных CERT-GIB во второй половине 2019, вошли шифровальщик Troldesh (55%); бэкдоры Pony (11%), Formbook (5%), Nanocore (4%) и Netwire (1%); банкеры RTM (6%) и Emotet (5%); и шпионское ПО AgentTesla (3%), Hawkeye (2%), и Azorult (1%). AgentTesla, Netwire и Azorult стали новыми угрозами наблюдаемого периода.

☠️Шифровальщики остались самой распространенной «начинкой» вредоносных рассылок во второй половине прошлого года — они составили 47%. Банковские трояны, в ключе тренда, сформулированного в отчете Group-IB Hi-Tech Crime Trends Report 2019/2020, продолжили терять популярность и были обнаружены лишь в 9% вредоносных кампаний, уступив место шпионскому ПО и бэкдорам (35%). Такая перемена может быть обусловлена растущим функционалом бэкдоров, которые также могут быть использованы для похищения финансовой информации.

​👉А мы напоминаем, что уже 18-20 мая пройдет трехдневный онлайн-практикум по компьютерной криминалистике от экспертов Group-IB, чтобы помочь вам и вашим ИБ-специалистам эффективно проводить криминалистические исследования в условиях участившихся атак.

🕵️‍♂️ Помните, что почти 25% киберинцидентов в компаниях остается без внимания и не исследуется должным образом, что приводит к повторной компрометации сети.

✅На практикуме вы:
- изучите основы компьютерной криминалистики;
- сами сможете начать проведение криминалистических исследований;
- научитесь собирать информацию об инциденте и использовать эти данные для исследования инцидентов и противодействия кибератакам в будущем;
- сможете получить фидбек от экспертов Group-IB;
- получите именной сертификат от Group-IB.

Узнать больше о практикуме и записаться можно здесь.

🕵️‍♂️Время обновить статистику по мошенническим интернет-ресурсам, которые торгуют цифровыми пропусками.  По данным на понедельник, 11 мая, Департамент инновационной защиты бренда и интеллектуальной собственности Group-IB обнаружил уже 185 мошеннических ресурсов, торгующих цифровыми пропусками: 28 сайтов, 59 групп и аккаунтов в соцсетях и 98 телеграм-каналов. Всего Group-IB заблокировала 109 ресурсов (27 сайтов, 37 групп и аккаунтов в соцсетях, 45 телеграм-каналов), остальные - в процессе блокировки.

👉Департамент информационных технологий города Москвы напоминает, что цифровые пропуска оформляются бесплатно, а все сведения, указанные при оформлении пропуска, проходят обязательную проверку в федеральных органах власти. Если кому-либо предлагают получить пропуск за деньги - это мошенники. О таких случаях необходимо сообщать в правоохранительные органы.

👨‍💻Первые мошеннические схемы по продаже электронных пропусков появились в конце марта — начале апреля 2020 года, когда столичные власти ужесточили требования к самоизоляции и ограничили передвижения по городу.  Начиная с 13 апреля, Group-IB фиксировала взрывной рост регистрации мошеннических сервисов: сайтов, Telegram-каналов, VK и Instagram-аккаунтов, предлагающих купить справки-пропуска на период карантина по цене от 3000 до 5500 рублей. Совместно с ДИТ Москвы Group-IB ведет ряд расследований, связанных с нелегальным распространением цифровых пропусков и другими типами мошенничеств: данные по ним оперативно передаются в МВД РФ.

​Книжная полка компьютерного криминалиста: 11 лучших книг по Digital Forensics, Incident Response и Malware Analysis

🕵️‍♂️Когда Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB, двадцать лет назад начинал свой путь в компьютерной экспертизе — из методической литературы было только 71 страничное пособие: «Общие положения по назначению и производству компьютерно-технической экспертизы: Методические рекомендации», выпущенное МВД России и несколько публикаций в различных периодических изданиях. И даже эти немногие материалы были доступны лишь ограниченному кругу. Приходилось искать, ксерокопировать, переводить иностранные книги по форензике — литература достойного качества по этой теме на русском языке отсутствовала.

👉Сейчас ситуация немного другая. Литературы очень много, как и раньше она преимущественно на английском языке. И чтобы сориентироваться в этом море информации,  прокачать свои скиллы, получить более высокую должность  или высокооплачиваемую работу, Игорь Михайлов подготовил эту подборку, изучить которую будет полезно как начинающим, так и профессионалам. Приятного и полезного чтения!