«Антифишинг» проконсультировал разработчиков прототипа биометрической системы противодействия мошенничеству. Над проектом работала команда школьников старших классов под руководством Финтех Хаба Банка России и НПК «Атроник». На прошлой неделе команда защитила свой прототип на фестивале научных проектов «Большие вызовы» Образовательного центра «Сириус».

Идея проекта — с помощью поведенческой биометрии определить уровень стресса клиента у банкомата и рассчитать, с какой вероятностью он может действовать под психологическим давлением мошенников.

Виталия Демёхина, разработчик имитированных атак «Антифишинга», представила команде годовой отчёт о защищённости сотрудников за 2021 год и рассказала, как работает мошенничество с точки зрения социальной инженерии и почему злоумышленникам удаётся манипулировать эмоциями жертвы. Хотя признаки, по которым биометрическая система могла бы определить повышенный уровень стресса, во многом индивидуальны, все люди будут вести себя не так, как в обычной ситуации. Участники также обсудили, что делать после того, как удалось определить потенциальную жертву мошенников. Как и в других случаях мошенничества, полезно дать человеку паузу, чтобы он не совершал действие под психологическим давлением и смог заново оценить ситуацию.

Подробнее о планах развития проекта можно узнать на его странице.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Вредоносное ПО

Эксперты сообщили о появлении новой платформы Robin Banks, предоставляющей инструменты для фишинга как услугу (Phishing-as-a-Service или PhaaS).

Платформа предлагает злоумышленникам готовые наборы инструментов для фишинга, нацеленные на клиентов финансовых компаний США, Великобритании, Канады и Австралии.

Чтобы попасть на сайт Robin Banks, покупатель должен зарегистрироваться, указав электронную почту, пароль, а также заплатить небольшую сумму в криптовалюте.

На сайте можно создавать фишинговые страницы, отслеживать их состояние, пополнить кошелек на платформе. Здесь же можно создать персонализированный набор инструментов для фишинга.

Варианты подписки

Самый простой вариант подписки на «сервис» стоит 50 долларов США в месяц и включает одну фишинговую страницу. За 200 долларов США покупатель получает месячный доступ ко всем возможным страницам.

Мобильная безопасность

Эксперты Dr.Web обнаружили в магазине Google Play около 30 рекламных троянов семейства Android.HiddenAds, общее число загрузок которых превысило 9 890 000.

Вредоносы маскировались под редакторы изображений, экранные клавиатуры, системные утилиты, приложения для звонков, программы для замены фонового изображения домашнего экрана.

Для показа рекламы некоторые из приложений пытались получить разрешение на демонстрацию окон поверх других программ, остальные же стремились попасть в список исключений функции экономии заряда аккумулятора (чтобы продолжать работать в фоновом режиме, когда жертва закрывает приложение).

Чтобы в дальнейшем пользователям было сложнее обнаружить «нарушителей», трояны скрывали свои значки из списке установленных приложений главного экрана или заменяли их менее приметными. Например, значком с названием «SIM Toolkit», при выборе которого вместо исходного приложения запускалось одноименное системное ПО для работы с SIM-картой.

Атаки и уязвимости

В решении для управления мобильными устройствами (MDM, Mobile Device Management) компании FileWave обнаружены уязвимости, которые подвергают компании риску удалённых кибератак.

Всего обнаружено две уязвимости:

1. Уязвимость обхода аутентификации CVE-2022-34907 позволяет удаленному злоумышленнику получить доступ с привилегиями суперпользователя и взять под полный контроль экземпляр MDM, подключенный к интернету. После этого хакер может взломать все устройства, управляемые с помощью MDM от FileWave, украсть с них всю информацию или установить вымогательское ПО.
2. Жестко закодированный криптографический ключ CVE-2022-34906.

Всего обнаружено более 1100 уязвимых экземпляров MDM, подключенных к интернету, которыми пользовались крупные корпорации, образовательные учреждения, правительственные агентства, а также малые и средние предприятия.

В пакете LibreOffice обнаружены уязвимости, одну из которых можно использовать для выполнения вредоносного кода.

Получившая идентификатор CVE-2022-26305 уязвимость представляет собой «некорректную валидацию сертификата» при проверке подписи макросов.

Условный атакующий может создать сертификат с определённым серийным номером, а также со строкой эмитента, которая идентична той, что встречается в проверенном сертификате. В результате LibreOffice будет считать, что сертификат выдан уже проверенной организацией, а злоумышленник сможет выполнить код в системе пользователя с помощью макросов.

Инциденты

Кибервымогатели вывели из строя площадку для цифрового маркетинга в сфере культуры WordFly и похитили данные ее клиентов.

От атаки пострадали несколько крупных художественных организаций в Канаде, США, Великобритании и Австралии. Первой жертвой злоумышленников стал симфонический оркестр Торонто (TSO), сотрудничавший с WordFly.

Среди украденной информации могли оказаться имена и ID подписчиков оркестра, их адреса электронной почты, а также информация о счетах организации.

В официальном сообщении TSO заявила, что временно сменит провайдера электронной почты. Представители оркестра не раскрыли число пострадавших, но заверили, что платежные данные посетителей в безопасности, а IT-системы организации не были затронуты в ходе атаки.

Операторы вымогателя LockBit заявили о взломе сети итальянской налоговой службы (L’Agenzia delle Entrate).

Хакеры утверждают, что похитили 100 Гб данных (включая документы компании, сканы, финансовые отчеты и контракты), которые угрожают опубликовать в открытом доступе, если власти не заплатят выкуп по 1 августа 2022 года.

В официальном заявлении итальянская налоговая служба сообщила, что расследует «предполагаемую кражу данных из налоговой информационной системы». Также сообщается, что ведомство запросило дополнительную информацию у компании Sogei (Società Generale d’Informatica S.p.A), которая контролируется Министерством экономики и финансов страны и управляет инфраструктурой финансовой администрации.

В открытом доступе были обнаружены скриншоты CRM-системы маркетплейса Ozon.

Всего было опубликовано 12 скриншотов, содержащие фрагменты переписки службы поддержки (одного и того же специалиста, от чьего имени был осуществлен вход в CRM-систему) с клиентами. Судя по датам, которые попали «в кадр», скриншоты делались почти на протяжении месяца (с 01 июля 2022 по 25 июля 2022 года).

Представители Ozon уже дали официальный комментарий СМИ:

«Из-за недобросовестных действий одного сотрудника поддержки клиентов данные нескольких заказов попали в сеть. В скриншотах не содержится платежных данных покупателей, а сами скриншоты — неиндексируемые, что значительно ограничивает возможность распространить информацию».

Также в компании заявили, что этому сотруднику моментально заблокировали доступ в корпоративные системы, он будет уволен, а в настоящее время принимается решение о передаче информации в правоохранительные органы для возбуждения уголовного дела.

В телеграм-чатах предлагают купить клиентскую базу ЦУМа.

Информация распространяется в Telegram-чатах двумя пользователями, один из которых ранее продавал брендовые вещи на Авито. Деньги за базу пользователи просят перевести некоему Ашоту, фамилия которого, как оказалась, совпадает с предыдущим ником одного из продавцов.

Как сообщается в in4security, база содержит данные примерно 50.000 клиентов (ФИО, телефон, купленный бренд, иногда email) и предлагается к приобретению за 200.000 рублей. По утверждению одного из продавцов, данные получены из службы поддержки ЦУМа, которая имеет к ним непосредственный доступ.

Проанализированные образцы демонстрируют совпадение контактных данных из базы с реальными публичными персонами.

Три платформы для заказа из ресторанов (MenuDrive, Harbortouch и InTouchPOS) стали жертвами двух скимминговых кампаний MageCart. Не менее 311 ресторанов и их клиентов оказались скомпрометированы.

Суммарно взлом привел к компрометации более 50 000 платежных карт, которые были украдены у клиентов пострадавших ресторанов и выставлены на продажу в даркнете.

Первая атака началась примерно 18 января 2022 года и продолжалась до тех пор, пока вредоносный домен, использованный в кампании, не был заблокирован 26 мая. Кампания против InTouchPOS, в свою очередь, была активна с 12 ноября 2021 года.

Суть этих атак заключалась во внедрении вредоносного PHP-кода на страницы оплаты (для чего обычно используются известные уязвимости) и последующей передаче данных клиентов на сервер злоумышленников.

В даркнете выставили на продажу данные 5,4 млн (5 485 636) пользователей Twitter.

База появилась в результате комбинирования открытых данных с телефонными номерами и адресами электронной почты пользователей, которые стали известны через эксплуатацию бага. Злоумышленник оценил базу в 30 000 долларов США.

Хакер, выставивший данные на продажу, заявляет, что дамп содержит информацию о различных учетных записях, в том числе о знаменитостях, компаниях и случайных пользователях.

Злоумышленник подтвердил журналистам, что для сбора данных в декабре 2021 года он использовал уязвимость, которая позволяет любому желающему, без какой-либо аутентификации узнать Twitter ID. Ошибка связана с процессом авторизации, используемом в Android-клиенте Twitter, в частности, в с проверкой дублирования учетной записи Twitter

Кибервымогатели LockBit атаковали инфраструктуру небольшого канадского городка Сент-Мэрис с населением в 7,5 тысяч человек.

Выкуп пока не выплачен, администрация города утверждает, что большинство городских служб работает. Мэр Сент-Мэрис рассказал, что к решению этой проблемы привлечена полиция и специалисты по информационной безопасности.

На скриншотах, размещенных на сайте LockBit, показана файловая структура операционной системы Windows, содержащая каталоги, соответствующие таким муниципальным системам, как финансы, здравоохранение и безопасность, очистка сточных вод, имущественные дела и общественные работы. Городу был дан срок, до которого он должен заплатить за разблокировку своих систем, иначе данные будут опубликованы в Интернете.

Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Эксперты предупреждают о новой мошеннической схеме, в которой сочетаются классический фишинг и вишинг — обман с помощью телефонных звонков.

Только с марта по июнь 2022 года зафиксировано около 350 тыс. писем от киберпреступников, причем их число растет — на июнь пришлось почти 100 тыс.

Как действуют мошенники

1. Жертва получает электронное письмо. В нём нет ссылок или вложений, поэтому фильтры и защитные системы пропускают его. В тексте письма сообщается, что со счета жертвы пытаются снять или перевести крупную сумму.
2. Чтобы отменить транзакцию, нужно позвонить по указанному в письме номеру телефона.
3. Чаще всего письма стилизованы под уведомление от какого-либо сервиса — крупного интернет-магазина, платежной системы или сайта, доступ к которому предоставляется по подписке.
4. Обычно текст составлен так, словно он создан автоматически. Это нужно, чтобы жертве сразу позвонила по указанному номеру, не пытаясь отвечать на письмо.
5. Если человек перезванивает, мошенники во время разговора пытаются выманить конфиденциальные данные либо убеждают перевести деньги по указанным реквизитам или установить на устройство программу для удаленного управления. При этом они могут торопить или запугивать абонента, чтобы у него не было времени подумать.

Зафиксировано несколько целевых вредоносных рассылок на российские государственные органы и крупные компании.

Схема кампании

1. Сотрудники целевых организаций получают письма с вредоносными файлами во вложении.
2. Тексты писем составлены с учётом специфики деятельности конкретных организаций и актуальной повестки. В некоторых случаях злоумышленники применяют неизвестные ранее зловреды и приёмы, которые осложняют обнаружение вредоносных писем защитными решениями.
3. Адреса отправителей повторяли логику формирования почтовых адресов в соответствующих ведомствах за одним исключением: домены принадлежали сторонним почтовым сервисам, не очень распространённым в России.
4. Каждое из писем содержало файл, замаскированный под документ с актуальной для получателей информацией. Например, к одной из рассылок был приложен RTF-файл якобы с комментариями к некой таблице. Он содержал вредоносный код, который эксплуатировал уязвимость в модуле Microsoft Office Equation Editor — редакторе формул для офисных программ.
5. Использование этой уязвимости фактически позволяло злоумышленнику запустить на компьютере жертвы любой код и исполняемый файл.

Атаки и уязвимости

В GPS-трекере MiCODUS MV720, который используется в 1,5 млн автомобилей, обнаружено шесть опасных уязвимостей, используя которые, можно отслеживать транспортное средство, обездвижить его, или собирать информацию о маршрутах и ​​манипулировать данными.

Перечень уязвимостей:

• CVE-2022-2107 (9,8 балла по шкале CVSS): жестко закодированный мастер-пароль на API-сервере, который позволяет удаленному и неаутентифицированному злоумышленнику захватить контроль над любым трекером MV720, прекратить подачу топлива, отслеживать пользователей и отключать сигнализацию.
• CVE-2022-2141 (9,8 балла по шкале CVSS): неработающая схема аутентификации, позволяющая любому отправлять команды GPS-трекеру через SMS и выполнять их с правами администратора.
• CVE не присвоен (8,1 балла по шкале CVSS): слабый пароль по умолчанию (123456) на всех трекерах MV720, и от пользователя не требуют изменить его после начальной настройки устройства.
• CVE-2022-2199 (7,5 балла по шкале CVSS): XSS-уязвимость на главном веб-сервере, позволяющая злоумышленнику получить доступ к учетным записям пользователей, взаимодействовать с приложениями и просматривать всю информацию, доступную конкретному пользователю.
• CVE-2022-34150 (7,1 балла по шкале CVSS): небезопасная прямая ссылка на объект на главном веб-сервере, позволяющая вошедшему в систему пользователю получить доступ к данным любого ID в БД сервера.
• CVE-2022-33944 (6,5 балла по шкале CVSS): небезопасная прямая ссылка на объект на главном веб-сервере, позволяющая неавторизованным пользователям создавать отчеты в формате Excel об активности GPS-трекера.

Транспортные средства, которые оснащаются этими GPS-трекерами, используются многими компаниями из списка Fortune 50, а также правительства, военные, правоохранительные органы, а также аэрокосмические, судоходные и производственные компании.

Новый метод атаки позволяет извлекать данные с машин, физически изолированных от любых сетей и потенциально опасной периферии путём использования кабелей SATA качестве беспроводных антенн.

Атака получила название SATAn, так как использует кабели Serial ATA (SATA). Для её реализации нужно каким-то образом заразить целевую машину вредоносным ПО, которое соберет и подготовит нужные данные к передаче.

SATAn строится на том факте, что кабели SATA могут передавать электромагнитные сигналы с частой от 5,9995 до 5,9996 ГГц, что может соответствовать определенным символам. Интерфейс SATA способен генерировать радиосигналы во время определенных операций чтения и записи. Вредонос перехватывает легитимные программные процессы для выполнения чтения/записи в определенной последовательности, чтобы передавать украденные данные.

Во время исследования специалисты успешно передали с изолированной машины слово «SECRET» на находящийся неподалеку компьютер при помощи электромагнитных сигналов. Отмечается, что приемником в таком случае моет выступать как процесс на соседнем компьютере, так и некое аппаратное решение.

Максимальное расстояние от изолированного компьютера до приемника не может превышать 120 сантиметров, иначе количество ошибок возрастает слишком сильно, чтобы гарантировать целостность данных (более 15%).

Расстояние между передатчиком и приемником влияет на время, необходимое для отправки данных. В зависимости от расстояния на передачу последовательности из трех бит уходило от 0,2 до 1,2 секунд. В среднем данные передавались со скоростью 1 бит/сек.

Новая атака позволяет обойти защитные меры, обеспечивающие анонимность и идентифицировать посетителей сайта, который частично или полностью находится под контролем злоумышленника.

Для проведения атаки хакеру достаточно знать электронные адреса жертв или их никнеймы/имена на нужном сервисе.

Схема атаки:

1. Злоумышленник загружает ресурс (изображение, видео или даже YouTube-плейлист) на нужный сервис, позволяющий показывать или блокировать контент у определенных людей. Такие возможности есть у Google Drive, Dropbox и YouTube, а также у множества других современных сервисов.
2. Загруженный ресурс встраивается на вредоносный сайт с помощью HTML-тега iframe.
3. После этого злоумышленник заставляет пользователя посетить вредоносный сайт и нажать на встроенный ресурс, который открывается виде всплывающего окна на заднем фоне. Если посетитель является жертвой, то ресурс успешно загрузится.
4. Обнаружив жертву, хакер использует кэш-атаку по сторонним каналам, чтобы проанализировать данные о том, как процессор и браузер жертвы обрабатывают запрос. Это позволит определить, входила ли жертва в учетные записи YouTube, Dropbox, Twitter, Facebook, TikTok и т. д.
5. Атака может быть использована против настольных и мобильных систем с различными процессорами и браузерами.
6. Атака не работает, если ресурс размещен на Apple iCloud.

Используя новый метод фаззинга защищенных областей памяти в современных процессорах, удалось обнаружить неизвестные ранее проблемы безопасности в драйверах отпечатков пальцев и кошельках для хранения криптовалюты.

Обнаруженные уязвимости получили следующие номера:

• CVE-2021-3675 — драйвер отпечатков пальцев Synaptics,
• CVE-2021-36218 — SKALE sgxwallet,
• CVE-2021-36219 — SKALE sgxwallet.

Злоумышленники могут использовать данные уязвимости для считывания биометрических данных или кражи всего остатка хранимой криптовалюты.

Инциденты

Международная компания Knauf Group пострадала от атаки шифровальщика Black Basta. Инцидент повлиял на бизнес-операции компании, вынудив глобальную ИТ-команду Knauf отключить все ИТ-системы, чтобы сдержать распространение угрозы.

Согласно официальному заявлению производителя, атака произошла в ночь на 29 июня 2022 года, и в настоящий момент специалисты Knauf все еще занимаются анализом случившегося и устраняют последствия инцидента.

Ответственность за эту атаку уже взяла на себя хакерская группа Black Basta. На сайте группировки появилось объявление, которое гласит, что Knauf была взломана еще 16 июля 2022 года.

Вымогатели заявляют, что похитили у компании данные, и в доказательство своих слов уже опубликовали 20% якобы украденных файлов. Журналисты, изучившие этот дамп, говорят, что он содержит электронные письма, учетные данные пользователей, контактную информацию сотрудников, производственные документы и сканы удостоверений личности.

Хакеры-вымогатели продолжают выкладывать в открытый доступ данные, компании «ТНС энерго» (tns-e.ru). Ранее они выложили три дампа, а вчера появился еще один:

🌵«ТНС энерго Ростов-на-Дону» — 30,741 строка: эл. почта, хешированный (MD5 без соли) пароль, телефон.

Данные в дампе содержатся за промежуток времени с 26.03.2019 по 01.07.2022.

Канал «Утечки информации» сообщает, что 20 июля 2022 года в открытый доступ было выложено 7 дампов различных российских интернет магазинов и сервисов:

• 🌵 printonline.ru — печать полиграфической продукции и изготовление сувенирной продукции. Дамп датируется 19.05.2022 и содержит 132 пользователя: ФИО, эл. почты, телефоны, адреса, хешированные (MD5 с солью) пароли.

• 🌵 nadpo.ru — «Национальная академия дополнительного профессионального образованиям». Дамп датируется 15.05.2022 и содержит 57,6 тыс. заявок (лидов): ФИО, телефоны, город/регион.

• 🌵 get-radio.ru — онлайн сервис рекламы на радио. Дамп датируется 14.06.2022 и содержит 1,128 пользователей: имена/фамилии, эл. почты, телефоны, хешированные (bcrypt) пароли.

• 🌵 auto-club42.ru — интернет-магазин автозапчастей в Кемерово. Дамп датируется 15.05.2022 и содержит 8,623 пользователя: имена/фамилии, эл. почты, телефоны, хешированные (MD5 с солью) пароли, города.

• 🌵 okru.ru — Армавирская доска объявлений. Дамп датируется 20.07.2022 и содержит 203,4 тыс. пользователей: имена, эл. почты, телефоны, хешированные (MD5 без соли и bcrypt) пароли, IP-адреса.

• 🌵 kopirka.ru — фото-копировальный центр. Дамп датируется 15.05.2022 и содержит 733 тыс. пользователей: ФИО, эл. почты, хешированные (MD5 без соли) пароли.

• 🌵 pirogidomoy.ru — доставка осетинский пирогов в Санкт-Петербурге. Дамп датируется 14.07.2022 и содержит 223 тыс. заказов: имена, адреса, телефоны, суммы заказов.

В открытом доступе были опубликованы внутренние документы, похищенные у разработчиков игровой платформы Roblox в ходе вымогательской кибератаки.

В общей сложности неизвестный хакер опубликовал архив объемом около 4 Гб, а также разместил подборку изображений в своем сообщении. Утечка содержит адреса электронной почты, документы, удостоверяющие личность, и электронные таблицы, которые связаны с создателям контента, ориентированным на Roblox.

В компании добавили, что в настоящее время Roblox активно расследует фишинговый инцидент, в ходе которого сотрудник Roblox стал мишенью хакеров, использовавших социальную инженерию в сочетании с «высоко персонализированной тактикой запугивания».

ФБР предупреждает о фишинговых инвестиционных приложениях, которые крадут криптовалюту инвесторов.

Киберпреступники связывались с американскими инвесторами, предлагая услуги по инвестированию в криптовалюту, и убеждали людей загружать мошеннические приложения. Злоумышленники использовали приложения, чтобы выманивать у инвесторов их криптовалюту.

От мошенников пострадало 244 человека, их убытки оцениваются в 42,7 млн долларов США за период с 4 октября 2021 года по 13 мая 2022 года. Злоумышленники маскировались под именами и логотипами легитимных организаций, чтобы заманить потенциальных инвесторов и убедить их установить фишинговые приложения.

ФБР отметило 3 случая, в которых мошенники выдавали себя за одну американскую финансовую фирму и две компании YiBit и Supayos (Supay), чтобы обмануть 34 жертвы на сумму около 10 млн долларов США. Киберпреступники обманом убедили инвесторов загрузить поддельные приложения для криптовалюты и украли зачисленные на счет средства пользователей.

Национальное агентство Албании по вопросам информационного общества (The Albanian National Agency for the Information Society, AKSHI, NAIS) было вынуждено закрыть государственные онлайн-сервисы и правительственные веб-сайты после продолжающейся кибератаки.

Агентство сообщило общественности что для противостояния беспрецедентным и опасным ударам пришлось отключить правительственные системы до тех пор, пока вражеские атаки не будут нейтрализованы.

«Национальное агентство находится в полной боевой готовности и круглосуточно работает с командой Microsoft, командой Jones Group International и группами албанских компаний в области ИКТ, чтобы не допустить ущерб или компрометации албанской IT-системы», — добавило AKSHI.

Закрыты сайты парламента и канцелярии премьер-министра, а также сайт e-Albania — правительственный портал, которым должны пользоваться все албанцы, а также иностранные резиденты и инвесторы, чтобы получать государственные услуги.