Блог Start X: заметки с тегом статьи

Главная проблема ИБ — уязвимости людей

Start X — Wed, 08 Feb 2023 20:21:07 +0300

Главная проблема информационной безопасности — не баги, эксплойты или несовершенства софта. Гораздо важнее особенности человеской психики, уязвимости людей.

В подкасте «Цифровые уязвимости и критическое мышление» Александр Головин и директор Антифишинга Сергей Волдохин обсудили, почему критическое мышление становится всё важнее для безопасности компаний и бизнеса. Мы подготовили расшифровку подкасты для тех, кто предпочитает текстовый формат.

Послушать подкаст

Насколько все плохо

О том, что с безопасностью всё плохо, говорят те, кто продает продукты и хочет продать побольше и подороже.

Правда в том, что в нашей стране воспринимают ИБ как что-то отдельное, как что-то, чем надо специально заниматься. Людей, которые этим занимаются, воспринимают практически как сотрудников органов.

На самом деле ИБ — это своего рода гигиена, цифровой иммунитет. Если с иммунитетом все в порядке, не приходится думать, куда и какой лимфоцит должен бежать, чтобы вы не заболели гриппом.

Иммунитет в ИБ — это процессы, в том числе ИТ-процессы, бизнес-процессы, выстроенные с учётом того, что какие-то вещи могут пойти не так, и для таких случаев разработан понятный и эффективный набор мероприятий.

Настоящая проблема состоит в том, что процессы ИБ далеко не всегда выстроены с учётом бизнеса. Безопасники сфокусированы на угрозах и том, в чем они разбираются.

К счастью, сейчас ситуация меняется. Безопасники нового поколения дружат с разработчиками и бизнесом, вникают в то, как работает компания, умеют разговаривать на одном языке с руководством и обычными сотрудниками и становятся тем самым цифровым иммунитетом. В этом смысле ситуация намного лучше, чем 10 лет назад.

Цифровой иммунитет

Нарушение конфиденциальности — попытки доступа к информации ограниченного доступа — пароли, базы данных клиентов, персональные данные, сведения, составляющие государственную или банковскую тайну.

Атаки на целостность — попытки изменить данные, которые не должны меняться без исполнения специальных процедур или распоряжения уполномоченных лиц

Нарушение доступности — например, вывод из строя систем, сайтов или приложений, так что пользователи не могут воспользоваться какими-либо сервисами.

Почему все это возникает? По классике безопасники говорят об уязвимостях, имея в виду программные уязвимости. Так действительно бывает, но атакующие пользуются не только ими. В 70% хакеры используют уязвимости в человеческой психологии — то, как люди мыслят, как реагируют, как действуют в тех или иных обстоятельствах, а также уязвимости в процессах. В результате обычные сотрудники делают то, что требуется для атаки — отдают свой пароль мошенникам, меняют записи в базе данных или открывают доступ к системе посторонним.

Модели угроз

Нарушения целостности, доступности и конфиденциальности принято описывать моделями угроз. Есть активы, в них есть потенциальные уязвимости и вот что может пойти не так. Задача безопасника — свести к минимуму возможность инцидента или минимизировать его последствия, если всё-таки атака оказалась успешной.

Причина инцидентов — злой умысел или случайность?

Возможно и то и другое. Инциденты могут быть как результатом действий злоумышленников, так и следствием человеческой ошибки. Действия хакеров могут выступить триггером, но даже в этом случае большая часть неприятных последствий возникнет из-за невнимательности, неумения адекватно выполнять свою работу.

Например, это сетевой инженер, который решил обновить прошивку на сетевых устройствах, но не сделал резервную копию. И когда что-то пошло не так, не смог откатить настройки, обрушив работу всей распределенной сети компании в нескольких городах. Является ли это инцидентом безопасности? Да, потому что нарушена доступность. Но источник инцидента — не действия киберпреступников, а самоуверенность и недостаточный профессионализм конкретного сотрудника, то есть человеческий фактор.

Давай прицельно поговорим про уязвимости. Меня зацепили твои слова о том, что главная уязвимость — это люди. И тут на сцену выходит то самое критическое мышление. Как связана безопасность и критическое мышление?

Критическое мышление — чрезвычайно важная для безопасности вещь, фундамент. Если бы критическому мышлению учили безопасников и пользователей, которым приходится сталкиваться с угрозами, было бы намного меньше инцидентов.

Подтверждение этого — фраза известного социнженера Кевина Митника:

Если бы люди просто перезванивали тому, кто их о чем-то просит по телефону, это сняло бы 80% проблем.

Критическое мышление нужно безопасникам, чтобы смотреть на системы, с которыми они работают, максимально объективно и адекватно оценивать вероятности тех или иных событий, не доверяя оценкам вендоров.
Точно также поможет критическое мышление обычным людям. Например, если бы сетевой инженер, о котором мы говорили, критически оценил то, что собирается сделать, проблем бы не возникло.

Представим себе, например, разработчика, который собирается установить новую версию приложения заказчику в продуктивную среду. Но предварительное тестирование выявило незначительную ошибку, для исправления которой нужно буквально исправить пару символов. И разработчик предлагает команде тестирования подождать минутку, пока он внесет исправление, а потом все-таки поставить обновление в продуктивную среду. Потому что следующее технологическое окно будет только через неделю, и ждать столько нецелесообразно.

Команда тестирования соглашается на нарушение регламента, разработчик исправляет ошибку, но вносит другую. Обновление ставят, а утром клиент оказывается один на один с неработающей системой. И все потому, что люди нарушили установленный регламент, в соответствии с которым выявленная ошибка — стоп-фактор, после которого обновление откатывается и не устанавливается.

Третий пример про обычных пользователей. Безопасники часто говорят: «Ну вот это наш сотрудник сделал по невнимательности — отправил секретный документ, передал пароль, запустил вредоносную программу на своём компьютере». И это дурацкое «по невнимательности» — кажется, что безопасник стоит в белом пальто и говорит: «Да ты идиот, как ты мог открыть это письмо, видно же, что оно мошенническое!» Но человек этого не понял. Тут критическое мышление очень пригодилось бы

Знаний недостаточно

Один из компонентов критического мышления — знания. Умение отличить вредоносный файл от счета на оплату выглядит как вполне обычное знание.
Знание — сила. Но это не все, что нужно человеку. Часто мошенники действую так, чтобы человек не успел подумать и пройти по рациональному пути, воспользоваться знаниями. Мы называем это психологическими векторами атак.

Психологические вектора атак — это эмоции, которые у человека стараются вызвать. В эти моменты человек не может думать рационально, действует импульсивно. И только выполнив нужное преступникам действие, он вспомнит о том, что проходил курс, и нужно было действовать иначе. Поэтому одних знаний недостаточно.

Диспозиция/Предустановки/Убеждения

Например, врач знает, что нужно мыть руки перед какой-то процедурой. Но он может это не делать, хотя знает, что нужно. Чтобы он делал это, нужно сформировать у него правильные намерения/убеждения.

Получается, что я не только при любом звонке из банка должен думать, что это мошенники, а даже при получении письма от руководителя считать, что это атака.
Если мы говорим про нормальных людей, для которых безопасность не является профессия, их диспозиция иная. У них нет предустановки, что кругом враги/мошенники. Именно поэтому они называют по телефону код для входа на госуслуги или в онлайн-банк, после чего лишаются денег.

Какая предустановка могла бы помочь предотвратить такие ситуации? Что любой звонящий — мошенник? С таким убеждением крайне сложно жить.
Решение проблемы — выработка навыков.

Невидимая горилла

Вспомним известный эксперимент, в котором участникам дали задание считать, сколько раз мяч переходит от команды к команде во время баскетбольного матча. Во время матча на поле выводили огромную гориллу. И большая часть наблюдателей её не заметили, потому что их внимание было занято подсчётом передач мяча.

Кто те люди, которые все-таки увидели гориллу? Мы говорим про критическое мышление, про то, что знаний недостаточно, что требуются навыки. Гориллу смогли увидеть люди, которые постоянно смотрят спортивные соревнования, и для них отслеживание мяча, которое требовали от участников эксперимента, не столь трудозатратно, как для нетренированных людей. У них оставался ресурс внимания, чтобы не только увидеть, у какой команды мяч, но и заметить гориллу на поле.

Кажется, что предустановки «подозревать всех и вся», которыми мы можем снабдить человека, сделают его параноиком либо превратят в безопасника.
Наш подход — формирование навыков, которые пригодятся в реальной ситуации, помогут людям сделать то, что нужно, а не то, что хотят от него мошенники.

Еще один наглядный пример, подтверждающий, что знаний недостаточно.

У нас есть клиент, крупный банк. Там работает сотрудник, который непосредственно запускает имитированные фишинговые атаки для тренировки навыков пользователей. Он стоит за спиной у коллеги, который отправляет очередную тренировочную атаку на тысячи сотрудников. Видит содержимое письма с этой атакой. Потом идет в свой кабинет, садится за компьютер, открывает почту, видит в ней новое письмо и попадается на атаку, рассылку которой только что наблюдал. Это был настоящий вау-эффект для него, а главный вывод заслуживает повторения: знаний недостаточно.
Профессиональный безопасник с 10-летним стажем, эксперт, который знал об атаке, согласовывал её и видел ее рассылку, буквально через несколько минут попался на неё.
В атаке шла речь о рефинансировании ипотеки для сотрудников банка по очень выгодной ставке. Для него это было чрезвычайно актуально, поэтому рациональное мышление отключилось.

Какие навыки защитят?

А что же за навык нужен, чтобы не попасться? Научить людей правильно открывать письма в почтовом клиенте?

Нет. Сейчас есть тысячи способов коммуникации и обучать каждому каналу или контексту коммуникации просто нереально. С одной стороны, нужно закрыть самые актуальные каналы. Но намного важнее научить человека критически мыслить. Мы пока не изобрели формата, который можно было бы дать людям как вакцину, чтобы сделать критическое мышление дефолтным даже в сложных ситуациях.

Критическое мышление — это фундамент. Человек должен чувствовать и осознавать давление, что его торопят, давят авторитетом, разжигают любопытство.

Нужен некий метанавык, рефлексия, выявление эмоций, которые ты почувствовал, через которые тебя пытаются стриггерить, подтолкнуть к какому-то действию.

Как взламывают соцсети

Через интересный комментарий от симпатичного человека противоположного пола. Там закрытый профиль, в комментарии к которому ссылка на фишинговый сайт якобы соцсети с доступным для общения профилем. Там жертву просят войти со своим логином и паролем. На такую атаку попадаются даже сотрудники соцсетей.

Найти настоящие уязвимости крайне сложно, это требует высокого уровня технической грамотности. Поэтому все взломы идут через социальную инженерию.

Атаки на людей как разновидность маркетинга

Все эти схемы взлома людей напоминают маркетинговые манипуляции. Мегасделки на букмекерском сайте, игра на психологических механизмах и т. п. Только взлом чужих аккаунтов мы считаем недопустимым, а вот рекламу шампуня с использованием психотехник вполне принимаем, хотя по сути это работает точно также.

Есть такая разновидность маркетинга, как account-based маркетинг (ABM) — целевой маркетинг. этом проводится глубочайший OSINT человека, с которым требуется установить контакт и получить результат, например, согласовать закупку. Работа ABM-профи очень напоминает работу мошенников, взламывающих людей.

Здесь сложно провести разделение. С первого взгляда кажется, что если нет вредоносного содержимого, это вроде бы и не атака. Но на самом деле и в атаках вредоносные файлы присутствуют далеко не всегда. В хороших целевых атаках используются реальные логины и пароли, легальные системные инструменты и т. п.

Кто-то скажет, что разница между ABM и хакерами в целях, но и тут всё неоднозначно. Финансовые цели присутствуют и в том и в другом случае.

#Законное мошенничество с сертификатом
Небольшой фитнес-центр получил от крупнейшего российского выгодное предложение принять участие в тендере на тренировки для сотрудников. Какое-то время шли переговоры, согласование. В списке необходимых для заключения контракта документов был сертификат участника некой российской ассоциации фитнес-центров. Владельцы фитнес-центра задали вопрос, где его получить, и получили предложение поискать в Яндексе.

Поиск выдал некую компанию, которая всего за 50 тыс. рублей — ничтожную по сравнению с суммой потенциального контракта сумму — выдала «необходимый» сертификат. При этом был заключён официальный договор, выдана красивая бумага. После получения оплаты тендер с ретейлером неожиданно отменился. Владельцы фитнеса остались с бумажкой и без денег, которые были для них довольно значимыми.

Однако если рассмотреть ситуацию в целом, мошенничество налицо. Жертву заманили выгодным контрактом, продали сертификат, который ни для чего не пригодится. Однако с правовой точки зрения все законно. Договор — оплата — услуга. Поэтому схема работает и сейчас.

Cамая важная разница между мошенничеством и маркетингом в том, получает ли человек обещанную ценность.

Как защитить свой аккаунт в Telegram: два шага, которые нужно сделать прямо сейчас

Start X — Tue, 20 Dec 2022 16:26:12 +0300

Что происходит?

Пользователи мессенджера Telegram начали сталкиваться с массовыми попытками взлома их аккаунтов. Рассмотрим две мошеннических схемы, расскажем, как защитить свой аккаунт и что делать, если уже отправили код.

Схема № 1

Пользователь получает сообщение от одного из своих контактов якобы с подарком подписки на Telegram Premium.

При нажатии на кнопку «Получить Telegram Premium» в служебный чат Telegram приходит код авторизации, а пользователь попадает в бот, который просит ввести этот код, чтобы активировать премиум-подписку.

На самом деле вместо подписки злоумышленник пытается авторизоваться в Telegram-аккаунте жертвы со своего устройства. Для этого и требуется код.
Если ввести его, мошенник получит доступ в аккаунт жертвы, ко всем её контактам и перепискам.
Злоумышленник рассылает аналогичные сообщения по списку контактов уже от имени взломанного пользователя, а затем удаляет их из списка отправленных, чтобы жертва ничего не заподозрила. У получателей сообщение остаётся.
Мошенник сохраняет полный доступ к взломанному Telegram-аккаунту со своего устройства, пока жертва не обнаружит его присутствие и не удалит посторонний гаджет из списка авторизованных.

Схема № 2

Начинается с сообщения с просьбой поддержать ребенка (крестницу, племянника) в детском конкурсе рисунков и проголосовать за работу на странице «интернет-соревнования».

При переходе по ссылке пользователь попадает на страницу фейкового конкурса, где его просят ввести код для авторизации.

Если ввести код авторизации от Telegram на этой странице, злоумышленники войдут в аккаунт со своего устройства.
По контактам взломанных аккаунтов и чатам, в которых состояли их владельцы, рассылается мошенническое сообщение.
С новыми взломанными учетными записями схема повторяется.

Что делать, если я уже перешел по ссылке и отправил код?

Зайдите в «Настройки», выберите «Устройства» и нажмите на ссылку «Завершить другие сеансы». После этого включите двухфакторную аутентификацию.

Как защитить свой аккаунт от таких атак?

Настройте двухфакторную аутентификацию. С ней даже после ввода кода злоумышленникам нужно будет ввести пароль, который знаете только вы:

Откройте Telegram и перейдите на вкладку «Настройки»;
Перейдите в раздел «Конфиденциальность»;
Перейдите в меню «Облачный пароль»;
Выберите «Установить пароль»;
Придумайте надежный пароль или кодовую фразу и подтвердите создание пароля.

Разбор мошеннической схемы: дорогой сертификат для участия в поддельном аукционе

Start X — Fri, 16 Dec 2022 15:23:18 +0300

Мошенники вновь атакуют предпринимателей предложениями принять участие в поддельных аукционах. В прошлый раз такая волна мошенничеств прокатилась по стране около года назад. Тогда мошенники обращались от лица ПАО «Газпром», ПАО «НК Роснефть», ОАО «РЖД» и других крупных компаний. У ПАО «Роснефть» даже есть анонс об этом мошенничестве.

Злоумышленники усовершенствовали схему: на начальном этапе они предоставляют вполне реальную документацию, скачанную из официальных источников. Доверия к ним добавляет и то, что обращаться они стали строго в профильные фирмы. В данном случае мошенники прислали запрос от лица ПАО «Магнит» — АО «Тандер» на оказание услуг спортивного клуба.

После непродолжительной переписки мошенники сообщают, что компания прошла отбор и выиграла конкурс. Для заключения договора и оплаты услуг нужно прислать документы в соответствии со списком.

Но оказывается, что одного очень важного документа из списка не хватает. Это сертификат, удостоверяющий соответствие требованиям Системы добровольной сертификации «Система Контроля Оценки Качества».
Мошенники предлагают самостоятельно пройти проверку в аккредитованных организациях и получить требуемый документ. Для этого предлагают воспользоваться поиском через Яндекс.

Поиск организации, оказывающей такую услугу, приведет на сайт компании мошенников, все остальные результаты в ЯндексПоиске — зеркала или дочки. Бенефициар один. Мошенники настраивают контекстную рекламу и выводят с помощью SEO в топ запросов сайты, которые сделаны под эту услугу. Поэтому и ссылок не требуется.

При обращении в такой центр сертификации, оказывается, что стоимость данной услуги 55 000 рублей. На фоне ожидаемой суммы контракта цена кажется малозначительной, и жертва оплачивает услуги. После этого мошенники, приглашавшие к участию в тендере, исчезают.

Как понять, что участие в тендере вам предлагают мошенники:

Новый контрагент. С этой фирмой вы раньше не работали. Это всегда должно настораживать, даже если название у всех на слуху. Свяжитесь с компанией, от имени которой предлагают участие в тендере, по контактам с официального сайта, и уточните, проводится ли такая закупка;
Подозрительный адрес отправителя. Письмо пришло либо с бесплатного почтового ящика: @yandex.ru, @mail.ru, @gmail.com и пр. либо, как в данном случае, с недавно зарегистрированного домена @research-analysis.ru, который не относится к ПАО «Магнит» — АО «Тандер».
Большая сумма контракта. Сумма контракта выгоднее рыночной, обещают полную предоплату. Мошенники надеются на жадность и рассчитывают, что эмоции помешают получателю письма мыслить рационально.
До получения денег — один шаг. С вами готовы заключить контракт и перевести предоплату, но мешает какая-то формальность — отсутствие нужного сертификата. Однако преодолеть препятствие можно легко и быстро — достаточно заплатить сумму, которая кажется небольшой по сравнению с прибылью от сделки.

Как безопасно забронировать гостиницу

Start X — Mon, 29 Aug 2022 11:21:40 +0300

После ухода из России привычных сервисов Booking и Airbnb перед многими встал вопрос: как теперь безопасно забронировать нормальную гостиницу?

Одна из проблем, с которой могут столкнуться россияне, планирующие отдых, — поддельные сайты отелей, которые трудно отличить от настоящих. Если человек попытается снять жильё на таком ресурсе, то он может потерять деньги или, как минимум, получить неприятные впечатления и испортить поездку.

В этой статье мы разберём, на что нужно обратить внимание при бронировании проживания, чтобы вы получили нужный номер и не отдали деньги мошенникам.

Как люди обычно ищут гостиницу

Если вы ещё не знаете, где хотите остановиться, или у вас нет адреса официального сайта гостиницы, вы, скорее всего, начнёте с поиска в интернете. Например, введёте в поисковике название отеля или города.

Однако в поисковой выдаче могут попадаться не только настоящие, но и поддельные сайты гостиниц. Для их продвижения используется в том числе контекстная реклама.

У «Сочи Парк Отеля» нет официального сайта, а в числе первых результатов поиска попадаются мошеннический сайт (park-sochi-hotel[.]com) и сайт-посредник (sochipark-hotel[.]ru).

С помощью рекламы фишинговые сайты мошенников могут попадать даже на баннер над подсказками в самой строке поиска. Поисковые сервисы (Google, Яндекс) удаляют такие результаты, но пока их не обнаружат, пользователи могут спутать такой сайт с настоящим.

Фишинговый сайт в виде рекламного баннера над подсказками в строке поиска в Яндексе.

Помимо поисковика вы также можете увидеть выгодное предложение
в тематических сообществах Telegram, VK и в других соцсетях. Но и здесь никто не застрахован от ссылок на поддельные сайты.

В чём опасность поддельных сайтов

Разберём два типичных случая, когда человек может попасть на поддельный сайт гостиницы.

Фишинговые сайты

Первый случай — это фишинговые сайты, с помощью которых мошенники стремятся украсть у жертв деньги. Например, в июле житель Салехарда потерял так 113 тысяч рублей.

Мошенники создают фишинговые сайты популярных гостиниц для кражи денег под видом бронирования жилья на отпуск. Специалисты Group-IB насчитали более 30 действующих фишинговых ресурсов, копирующих сочинские отели.

Злоумышленники копируют сайт известной гостиницы, например, такой как «Сочи Парк Отель» или «Жемчужина». Внешний вид сайта может полностью или частично повторять оригинал, при этом на нём указываются другие контактные данные.

Три мошеннических сайта гостиницы «Жемчужина» полностью копируют её официальный сайт (zhem.ru) и размещены по адресам, в которых используется её название: hotels-zhem[.]com, sochi-zhemchuzhina[.]com, zhem-hotel-sochi[.]com.

Выбрав вариант проживания на мошенническом сайте, пользователь попадает на страницу с фишинговой формой, где ему предлагается ввести данные банковской карты якобы для оплаты бронирования. Если человек введёт их, злоумышленник сможет украсть деньги с его счёта. В других случаях мошенники могут предлагать произвести оплату по QR-коду через Систему быстрых платежей. Но фактически это будет перевод денег мошеннику.

Фишинговая форма оплаты заказа на поддельном сайте гостиницы «Жемчужина».

Посреднические сайты

Второй случай — сайты-посредники, которые создаются турфирмами для привлечения клиентов. Они не являются фишинговыми, поскольку их создатели не стремятся украсть деньги. Однако они также имитируют сайты реальных гостиниц и стремятся создать у клиентов ложное впечатление, что те бронируют номер напрямую у желаемого отеля.

В отличие от других организаций, оказывающих посреднические услуги по бронированию проживания, таких как турагентства или агрегаторы вроде Слетать.ру или Турвизора, создатели сайтов-посредников стараются скрыть свою роль и выдать себя за представителей отелей.

Под каждый отель создаётся отдельный сайт на уникальном домене и с информацией о соответствующем месте размещения. При общении менеджеры не уточняют, что бронирование будет оформляться через посредника.

Мы обнаружили более 200 сайтов-посредников, созданных по одному макету. Каждый из них имитирует сайт отдельной гостиницы и размещается на уникальном домене, в котором используется название соответствующего места. Например, отелей «Лазурный берег», Lafer Renaissance, City Park Hotel Sochi и Корпоративного центра Сбербанка.

В лучшем случае при бронировании через такого посредника человек получит желаемый номер по более высокой стоимости, чем при заказе напрямую у отеля. Но он может столкнуться и с тем, что ему предложат номер другой категории или в другом отеле нежели тот, который был «забронирован» изначально. Проблемы могут возникнуть при попытке изменить бронирование или вернуть деньги.

Фишинг после отключения макросов

Start X — Thu, 11 Aug 2022 13:56:35 +0300

В чем суть

После того как Microsoft анонсировал отключение макросов, файлы с ними стали реже рассылаться в фишинговых письмах. Но злоумышленники активнее прибегают к другим способам доставки вредоносного ПО.

Отключение макросов

В этом году Microsoft ввёл ограничения на запуск макросов, которые оставались распространённым способом заражения компьютеров. С января в новой версии Excel по умолчанию отключены макросы версии Excel 4.0 (XLM). А с апреля компания начала внедрять ограничение для VBA-макросов — они будут по умолчанию отключены в загруженных из интернета документах Access, Excel, PowerPoint, Visio и Word.

На практике это ограничение означает, что, открывая файл с макросом из сети, пользователь увидит предупреждение и не сможет запустить вредоносный код одним нажатием на кнопку.

С новой политикой Microsoft предупреждения в Excel показываются по-разному для файлов с макросами из и не из интернета.

Как приспосабливаются злоумышленники

Согласно оценке Proofpoint, на фоне новой политики Microsoft хакерские группы стали реже рассылать в качестве вложений в фишинговых письмах непосредственно файлы с макросами. С октября 2021 по июнь 2022 количество таких вложений сократилось примерно 66%.

Вместо этого злоумышленники помещают документы с макросами в файлы-контейнеры (ISO, RAR, ZIP). Это один из способов обойти механизм Mark-of-the-Web (MOTW), с помощью которого файл помечается как скачанный из интернета. Когда документ с макросом помещается в контейнер, этот архив или образ получает метку MOTW. Но метка не всегда передаётся файлам внутри архива, поэтому система не опознаёт содержимое как полученное из сети и позволяет пользователю запустить макрос по одному клику.

График от Proofpoint показывает рост использования файлов-контейнеров и снижения использования файлов с макросами в качестве вложений в письма с октября 2021 по июнь 2022.

Но ещё чаще злоумышленники отказываются от макросов и доставляют вредоносное ПО через файлы-ярлыки (LNK). С точки зрения злоумышленника, преимущество LNK перед файлом с макросом в том, что от пользователя не потребуется дополнительных действий и разрешений: вредоносный код запустится уже при открытии LNK-файла. LNK может быть как непосредственным вложением в фишинговом письме, так и содержимым архива или образа.

По данным Proofpoint, с октября 2021 по июнь 2022 количество отслеживаемых ими кампаний, в которых использовались LNK-файлы увеличилось более чем в 17 раз.

Совет

Не открывайте вложения, которых не ждёте и которые вызывают сомнения.

Источники:
https://www.proofpoint.com/uk/blog/threat-insight/how-threat-actors-are-adapting-post-macro-world
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rise-of-lnk-shortcut-files-malware/
https://thedfirreport.com/2022/08/08/bumblebee-roasts-its-way-to-domain-admin/

Биометрия против мошенничества

Start X — Mon, 01 Aug 2022 13:23:09 +0300

«Антифишинг» проконсультировал разработчиков прототипа биометрической системы противодействия мошенничеству. Над проектом работала команда школьников старших классов под руководством Финтех Хаба Банка России и НПК «Атроник». На прошлой неделе команда защитила свой прототип на фестивале научных проектов «Большие вызовы» Образовательного центра «Сириус».

Идея проекта — с помощью поведенческой биометрии определить уровень стресса клиента у банкомата и рассчитать, с какой вероятностью он может действовать под психологическим давлением мошенников.

Виталия Демёхина, разработчик имитированных атак «Антифишинга», представила команде годовой отчёт о защищённости сотрудников за 2021 год и рассказала, как работает мошенничество с точки зрения социальной инженерии и почему злоумышленникам удаётся манипулировать эмоциями жертвы. Хотя признаки, по которым биометрическая система могла бы определить повышенный уровень стресса, во многом индивидуальны, все люди будут вести себя не так, как в обычной ситуации. Участники также обсудили, что делать после того, как удалось определить потенциальную жертву мошенников. Как и в других случаях мошенничества, полезно дать человеку паузу, чтобы он не совершал действие под психологическим давлением и смог заново оценить ситуацию.

Подробнее о планах развития проекта можно узнать на его странице.

Злоумышленники распространяют банковский троян через Яндекс.Формы

Start X — Wed, 13 Jul 2022 16:54:13 +0300

В чем суть

В известной англоязычной фишинговой схеме для доставки вредоносных файлов начали использовать ссылки на Яндекс.Формы.

Глазами жертвы

Владелец сайта получает письмо через форму обратной связи. Отправитель представляется правообладателем изображений, которые якобы незаконно размещены на сайте, и под угрозой иска требует их удалить. Письмо содержит ссылку на страницу Яндекс.Форм, откуда скачивается файл с «доказательствами» нарушения. В реальности жертва получает ISO-образ, содержащий вредоносную библиотеку. Если её запустить, на компьютер будет установлен банковский троян IcedID.

Особенности атаки

Атаку сложнее обнаружить из-за того, что ссылка ведёт на легитимный сервис Яндекс.Формы.

Совет

Если вы получили такое письмо, остановитесь и подумайте, могло ли оно действительно вам прийти. Проверьте достоверность через другой канал, например, напишите отправителю на официальную почту.

Источник: Bleeping Computer

Новый способ маскировки фишинговых ссылок для обмана пользователей и для обхода систем защиты

Start X — Fri, 10 Jun 2022 12:08:31 +0300

В чем суть

Фишинговые атаки с новым способом маскировки ссылок, который позволяет обойти системы защиты электронной почты.

Глазами жертвы

Сотрудники телекомов, веб-сервисов и финансовых организаций получали письмо под видом уведомления от Microsoft. В письме предлагалось посмотреть непрочитанные сообщение.

Переход по ссылке из письма вёл на фишинговый сайт. Если сотрудник вводил там логин и пароль, они доставались мошенникам.

Особенность атаки

Нестандартный формат самой ссылки. В отличие от обычного адреса сайта здесь используется символ @, за которым следует реальная ссылка:

Злоумышленники добавляют его для маскировки, потому что многие системы безопасности электронной почты не распознают в качестве URL-адреса текст, если в нём содержится этот символ, и, следовательно, не обнаруживают фишинговую ссылку. Но браузеры, например, Chrome или Edge, игнорируют всё, что идёт до @, и переводят сотрудника на поддельный сайт.

Источники: Perception Point, Threatpost

Вышел отчёт Антифишинга о защищённости сотрудников за 2021 год

Start X — Fri, 29 Apr 2022 13:02:17 +0300

Человеческий фактор остаётся одной из главных проблем современной информационной безопасности, а социальная инженерия — основным инструментом мошенников.

Многие организации к 2022 году приобрели лучшие средства защиты информации (и даже успели заменить их на отечественные аналоги), но для борьбы с современными цифровыми атаками и предотвращения инцидентов технических средств и стандартных процессов недостаточно. Требуется дополнительный уровень защиты, основу которого составляют люди — рядовые сотрудники, разработчики ПО и даже клиенты организации.

Мы изучили обезличенные данные о 40 000 имитированных фишинговых атак, проведённых в течение 2021 года в 37 компаниях на выборке более чем 21 000 сотрудников.

На основе этих данных, а также на базе открытых источников и собственных исследований компании Антифишинг мы подготовили отчёт о защищённости сотрудников, в котором постарались ответить на следующие вопросы:

Как именно реализация техник злоумышленников на этапе проникновения по классификации MITRE зависит от действий людей.
Какие инциденты происходили в 2021 году в компаниях из разных отраслей из-за небезопасных действий людей.
Как связана должность сотрудника и количество небезопасных действий.
Какие приемы фишинга были самыми действенными.
Как измерить защищенность сотрудников и киберустойчивость организации, и как системно улучшать эти показатели с помощью методологии Антифишинга.
Что сделать в первую очередь для повышения защищенности своих сотрудников и организации от цифровых атак в реалиях 2022 года.

Ключевые факты и полный текст отчёта — на сайте Антифишинга →

Как не допускать проблем класса Log4Shell

Start X — Tue, 21 Dec 2021 11:00:18 +0300

Андрей Жаркевич
редактор

Артемий Богданов
технический директор

О чем речь

В библиотеке Apache log4j обнаружена критическая уязвимость CVE-2021-44228, которой присвоен максимальный уровень опасности — 10 из 10 баллов по шкале CVSS.
Ее эксплуатация не требует выдающихся технических навыков и укладывается в одну строчку кода.
Выпущенное Apache Software Foundation экстренное обновление безопасности не исправило ситуацию.
CVE-2021-44228 затрагивает почти все корпоративные продукты Apache Software Foundation и присутствует фактически во всех основных корпоративных приложениях и серверах на основе Java.
Тысячи компаний остаются уязвимы для атак Log4Shell прямо сейчас.

Как исключить влияние этой и аналогичных уязвимостей

— Это же 0-day уязвимость, что можно сделать заранее?
— А вот что:

Software Composition Analysis — это класс решений, позволяющий оценивать риски, связанные с использованием стороннего и открытого программного обеспечения в ваших проектах. На момент применения данной практики ни о какой уязвимости в log4j не было известно, но при правильной реализации процесса компонентного анализа можно быстро выявить все ПО, имеющее уязвимые сторонние компоненты.

Для всего разрабатываемого в компании ПО должны применяться AppSec практики, а для этого лучше всего подходят решения Application security requirements and threat management (ASRTM):

С помощью ASRTM заранее формируются требования о необходимости подключения к инструменту компонентного анализа или другим актуальным инструментам и практикам для контроля компонентов.
После получения информации об уязвимости можно быстро описать шаги для устранения данной уязвимости и за одну минуту сформировать это как новое требование для всех команд, которые разрабатывают ПО с использованием log4j.
Далее автоматически сформируется задача в Jira с наивысшим приоритетом для каждой команды разработки.

Продукт Антифишинг. START относится к решениям ASRTM и позволяет не только управлять требованиями по ИБ, но и обучать ваши команды безопасной разработке.

Напишите нам на devsecops@antiphish.ru, мы поможем разобраться в основах AppSec практик и покажем, как наши продукты способствуют организации процессов безопасной разработки.

Безопасность в соцсетях для подростков

Start X — Tue, 26 Oct 2021 12:51:19 +0300

Андрей Жаркевич
редактор

Большинство подростков уверены, что рассказы родителей и учителей о безопасности в интернете — попытка защитить их от несуществующих угроз. На самом деле это не так.

В этом посте расскажем, чем могут быть опасны соцсети, как правильно себя вести в соцсетях и как настроить ВК и Инстаграм для максимальной защиты своего аккаунта.

Содержание

Соцсети: что может пойти не так

кража учётной записи и использование её в преступных целях;
вовлечение в секты, политические и экстремистские группировки;
предложения нелегального заработка (кладмены, курьеры и т. п.);
троллинг/кибербуллинг;
компрометация и шантаж;
деанон — публикация полной информации о вас и ваших родителях;
атаки на родителей, друзей и знакомых.

Общие правила

Не публикуйте в соцсетях личные данные — номер телефона, адрес, номер школы и даже настоящую фамилию. Имея эту информацию, любой недоброжелатель может испортить вам жизнь, например, позвонить в школу и сказать, что вы занимаетесь чем-то незаконным или непристойным. Даже если это полный бред, администрация школы будет вынуждена отреагировать — вызвать родителей, провести беседу с вами.
Не ставьте геометки на фото, чтобы посторонние не могли отследить, где вы находитесь.
Во время общения в личной переписке, в комментариях или беседах оставайтесь вежливыми, не ведитесь на провокации троллей, которые пытаются вывести на эмоции.
Не публикуйте, не лайкайте, не сохраняйте и не репостите запрещённый законом контент — мемы с матом и обнажёнкой, фразы, которые могут быть расценены как призыв к суициду («убейся» и т. п.), оправдание терроризма или создать другие подобные проблемы.
Не вступайте в споры, конфликты или агрессивные дискуссии.
Если собеседник угрожает или требует чего-то странного, обязательно сообщите родителям или другим взрослым.
Не добавляйте родителей и родственников в друзья, чтобы ваши недоброжелатели не смогли навредить им (смс-бомбинг, ложные звонки в полицию или сообщения о несуществующих угрозах).
Не ведитесь на «заманчивые» предложения заработать большие деньги без усилий.

Настройка конфиденциальности в Instagram

1. Сделайте ваш аккаунт закрытым.

Настройки →Конфиденциальность → Конфиденциальность аккаунта

После этого подписаться на вас смогут лишь те, кого вы сами одобрите.
Все остальные не получат доступа к вашему профилю и вашим фото.

2. Отключите показ сетевого статуса.

По умолчанию ваши подписчики и люди, на которых подписаны вы, а также все, кому вы отправляете сообщения в Instagram, могут видеть, когда вы заходили
в приложение последний раз. Отключив показ статуса, вы не сможете
увидеть статус других аккаунтов

3. Запретите посторонним писать вам и добавлять вас в группы.

Настройки → Конфиденциальность → Сообщения

4. Запретите комментировать ваши посты всем кроме подписчиков и тех, на кого вы подписаны.

Настройки → Конфиденциальность → Комментарии

5. Сделайте ваши истории приватными.

Настройки → Конфиденциальность → Истории

Выберите из списка подписчиков тех, кто не должен видеть ваши истории.
Задайте список близких друзей, чтобы делать некоторые истории доступными только для них.
Разрешите комментировать истории только подписчикам.
Отключите сохранение историй в архиве Instagram и на телефоне, чтобы не возникало неловких ситуаций.
Запретите репостить ваши истории, делиться ими в сообщениях и публиковать их на Facebook.

6. Запретите отмечать вас на фото без вашего одобрения.

Настройки → Конфиденциальность → Отметки

Чек-лист по конфиденциальности Инстаграм

✔ Статус аккаунта изменён на закрытый;

✔ Отключён показ сетевого статуса;

✔ Для посторонних отключена возможность писать вам письма и добавлять в группы;

✔ Комментировать ваши посты могут только ваши подписчики и те, на кого подписаны вы;

✔ Ваши истории видят только те, кому вы хотите их показать;

✔ Ваши истории нигде не сохраняются;

✔ Ваши истории нельзя репостнуть или поделиться ими в Facebook;

✔ Вас нельзя отметить на фото без вашего одобрения.

Настройки безопасности Instagram

1. Установите надёжный пароль

Настройки → Безопасность → Пароль

Базовые критерии надёжного пароля:

длина более 8 знаков,
состоит из букв в верхнем и нижнем регистре,
содержит цифры,
содержит спецсимволы

2. Настройте двухфакторную аутентификацию

Настройки → Безопасность → Двухфакторная аутентификация

Когда двухфакторная аутентификация включена, для входа с нового устройства потребуется ввести не только пароль, но и код, который можно получить:

через SMS на привязанный к учётной записи телефон;
в приложении-аутентификаторе Яндекс.Ключ, Google Authenticator или Microsoft Authenticator

После включения двухфакторной аутентификации Instagram выдаст пять резервных кодов для входа в учётную запись в случаях, когда телефон недоступен.

Распечатайте эти коды и сохраните в надёжном месте, чтобы иметь возможность восстановить доступ к учётной записи.

3. Проверьте подлинность писем, которые направлял вам Instagram

Настройки → Безопасность → Электронные письма от Instagram

Каждый раз, когда на почту приходит письмо от Instagram, воспользуйтесь этой функцией, чтобы убедиться в подлинности письма и не стать жертвой мошенников, которые пытаются похитить ваши учётные данные.

4. Проверьте, где и с каких устройств входили в вашу учётную запись

Настройки → Безопасность → Входы в аккаунт

Здесь же можно подтвердить, что вход произвёден вами или отключить активные сеансы.

5. Проверьте, какие приложения и сайты имеют доступ к вашей учётной записи

Настройки → Безопасность → Приложения и сайты

Удалите лишние приложения и сайты из списка.

Проверьте безопасность Instagram

✔ Установлен надёжный пароль;

✔ Включена двухфакторная аутентификация через телефон;

✔ Включена двухфакторная аутентификация через приложение;

✔ Сохранены резервные коды для входа в учётную запись;

✔ Вы не получали писем от Instagram, не перечисленных в учётной записи;

✔ Вы проверили все входы в учётную запись и завершили подозрительные сеансы;

✔ Вы отключили доступ к учётной записи для приложений и сайтов, которыми не пользуетесь.

Конфиденциальность ВКонтакте

1. Сделайте свой профиль закрытым

Настройки → Приватность → Закрытый профиль

В этом случае информация на вашей странице будет доступна только друзьям. Подписчики и остальные участники соцсети не смогут увидеть ваши публикации и какие-либо сведения о вас.

2. Ограничьте видимость информации на своей странице

отметки на фотографиях и ваша музыка —только для друзей;
список ваших групп, подарков и сохранённых фотографий — только для вас;

3. Ограничьте возможность связаться с вами

запретите звонить вам, вызывать в приложениях, приглашать в сообщества и приложения;
запретите находить вас при импорте контактов по номеру телефона.

запретите поисковым системам индексировать вашу страницу;
запретите сообществам отправлять вам сообщения по номеру
телефона.

Это позволит избавиться от приглашений и вызовов в приложениях, а также от спама и фишинга в личных сообщениях. Личные сообщения и заявки в друзья можно оставить доступными для всех, при необходимости блокируя чрезмерно навязчивых персонажей.

скройте от всех местоположение ваших фотографий;
запретите показывать скрытых друзей;
отключите видимость чужих записей на вашей странице;
отключите для всех возможность оставлять записи на своей странице.

4. Скройте свои действия в соцсети от друзей и подписчиков

Ссылка для изменения настроек: https://vk.com/settings?act=privacy

Эта настройка имеется только в веб-версии соцсети, в мобильном приложении настройка видимости обновлений отсутствует.

По умолчанию все ваши комментарии, отметки «Нравится» и другие действия попадают в ленту новостей ваших друзей и подписчиков. Обязательно отключите все обновления, чтобы не оказаться в ситуации, когда комментарий или
отметка «Нравится» стали причиной конфликта.

Безопасность ВКонтакте

1. Установите надёжный пароль

Базовые критерии надёжного пароля:

длина более 8 знаков,
состоит из букв в верхнем и нижнем регистре,
содержит цифры,
содержит спецсимволы.

2. Включите двухфакторную аутентификацию

В этом случае для входа в соцсеть с нового устройства потребуется ввести код, получить который можно:

по SMS на привязанный к учётной записи номер телефон;
в приложении-аутентификаторе Яндекс.Ключ, Google Authenticator или Microsoft Authenticator;
из списка резервных кодов — запишите их и храните в надёжном месте.

Здесь же можно сбросить подтверждение входа на всех остальных устройствах, если имеются подозрения в компрометации учётной записи.

3. Проверьте историю активности — кто, когда и с каких устройств заходил в ваш аккаунт.

Если есть подозрение на компрометацию — завершите все сеансы.

Проверьте конфиденциальность и безопасность ВКонтакте

✔ Профиль сделан закрытым;

✔ Ограничена видимость информации на странице;

✔ Вы запретили приглашать вас в сообщества и приложения, а также находить вас по номеру телефона;

✔ Вы отключили индексацию страницы в поисковых системах;

✔ Никто не может делать публикации на вашей странице;

✔ Ваши скрытые друзья скрыты от всех;

✔ Никто не видит информацию о месте, где сделаны ваши фотографии;

✔ Ваши друзья и подписчики не оповещаются о том, что вы поставили отметку «Нравится» или оставили комментарий;

✔ Установлен надёжный пароль;

✔ Включена двухфакторная аутентификация через телефон;

✔ Включена двухфакторная аутентификация через приложение;

✔ Сохранены резервные коды для входа в учётную запись;

✔ Вы проверили все входы в учётную запись и завершили подозрительные сеансы;

✔ Вы отключили авторизацию для устройств, которыми не пользуетесь.

Заключение

Приложения соцсетей постоянно обновляются и дополняются. Если что-то из приведённых здесь рекомендаций уже неактуально или нуждается в уточнении — напишите нам об этом.

Антифишинг вошёл в топ-45 российских EdTech-компаний по итогам 2 квартала 2020 года

Start X — Tue, 10 Nov 2020 07:50:44 +0300

В период пандемии люди становятся самым уязвимым звеном как в реальной жизни, так и в цифровой среде. По данным МВД, за три месяца 2020 года число преступлений с использованием IT-технологий выросло почти на 84% по сравнению с аналогичным периодом прошлого года.

Наша компания делает платформу, которая помогает компаниям обучать и тренировать сотрудников. На фоне роста числа мошенничеств и массового перехода на удаленную работу спрос на «Антифишинг» во втором квартале 2020 года вырос на 87,5% по сравнению с аналогичным периодом 2019 года.

Это позволило Антифишингу войти в топ-45 российских EdTech-компаний, составленный компанией Smart Ranking и ИТ-холдингом TalentTech.

«Антифишинг» — платформа, которая обеспечивает полную автоматизацию дистанционного обучения сотрудников, непрерывную тренировку навыков в сфере информационной безопасности и контроль над этими процессами со стороны ИБ- и HR-подразделений:

Простота и эффективность «Антифишинга» сделала его популярным в HR-службах компаний, в которых нашу платформу уже использовали ИБ-подразделения.

В числе достоинств «Антифишинга» HR-специалисты отмечают:

Простоту и автоматизацию. В нашей системе импорт сотрудников, назначение курсов, выдача сертификатов, контроль статусов по обучению и формирование отчетности выполняются автоматически. Пользователи легко попадают на свои курсы и быстро их проходят, а HR-службе не приходится по несколько дней отвечать на вопросы пользователей о том, как и где авторизоваться, чтобы добраться до назначенного курса.
Синхронизацию с корпоративным каталогом. Данные по сотрудникам и отделам всегда актуальны, система всегда может выбрать новичков и автоматически провести их по согласованному процессу обучения и тренировки навыков.
Оповещения в нужных форматах. Оповещения от «Антифишинга» приходят с внутренних адресов электронной почты, не попадают в спам и не требуют настройки исключений на защитных системах компании, а также выглядят именно так, как решат HR-специалисты и согласуют ИБ-подразделения.

Подробный обзор возможностей «Антифишинга» от портала Anti-Malware.

Сайт Антифишинга

Мошенничество на теме COVID-19. Часть 2. Шантаж, вакцины и полный абсурд

Start X — Wed, 15 Apr 2020 13:08:07 +0300

В предыдущей публикации мы рассказали о том, как мошенники используют темы фальшивых компенсаций.

Мошенничество на теме COVID-19. Часть 1. Несуществующие компенсации

В сегодняшнем выпуске разберём ещё несколько способов атак, связанных с вирусом и использующих социальную инженерию:
— «Проверьтесь, возможно вы заражены»;
— «Плати выкуп или заразим твою семью»;
— Фальшивые тесты и вакцины;
— Маски, которых нет;
— Вредоносные информеры;
— Антивирус от коронавируса.

Андрей Жаркевич
автор

«Проверьтесь, возможно, вы заражены»

Жертва получает письмо от имени ближайшей клиники. В письме сообщается, что зафиксирован контакт получателя с больным коронавирусом, поэтому нужно срочно провериться.

Для проверки нужно заполнить, распечатать и принести в больницу прикреплённую к письму таблицу Excel. При её открытии на компьютер устанавливается вредоносное ПО, которое похищает криптовалюту и учётные данные жертвы.

Вектор: страх в квадрате. Человек уже боится заражения, и ему сообщают, что оно, возможно произошло. Нужно как можно скорее пройти тест, чтобы принять меры.

«Плати выкуп, или заразим всю семью»

Организаторы мошеннической кампании угрожают заразить пользователей и их семьи коронавирусом COVID-19, если они не заплатят выкуп в размере 4 тыс. долларов США.

Для убедительности в письмо добавляют логин и пароль пользователя, полученный из общедоступных баз скомпрометированных учётных записей, и сообщают, что скрыться невозможно.

Вектор: страх в квадрате. К абстрактному страху заболеть случайно прибавляется ужас от мысли, что неизвестные преступники, от которых не скрыться, целенаправленно заразят всю семью.

Фальшивые вакцины

Уже закрытый мошеннический сайт CoronavirusMedicalkit(.)com предлагал всем желающим бесплатно заказать вакцину от коронавируса, оплатив лишь стоимость пересылки в размере 4,95 долларов США. Для большей убедительности использовались фотографии зала заседаний Всемирной организации здравоохранения и её сотрудников.

Вектор: страх. Несмотря на заявления официальных органов о том, что вакцина от коронавируса появится не раньше чем через несколько месяцев, сторонники теории заговора охотно верят, что государство их обманывают, поэтому нужно позаботиться о себе самим. Тем более, что вакцина раздаётся бесплатно.

Фальшивые тесты

Фишинговый сайт vaccinecovid-19[.]com предлагал приобрести тест на заражение коронавирусом всего за 19 тыс. рублей.

Вектор: страх. Некоторые люди настолько боятся заразиться, что готовы заплатить любые деньги, чтобы не мучиться от неизвестности. Сводки новостей с растущим количеством заболевших лишь усиливают это намерение.

Фальшивые сайты и приложения, информирующие о распространении COVID-19

Мобильный вымогатель CovidLock изображает из себя приложение для отслеживания в реальном времени вспышек коронавируса более чем в 100 странах. После установки и запуска он блокирует смартфон и требует выкуп.

Вектора: страх и любопытство. Приложение обещает показывать заражения, которые происходят рядом с пользователем — на его улице и в его доме. Люди готовы дать вредоносу любые разрешения, чтобы уберечь себя и свою семью.

Мошенники сделали клон сайта университета Джона Хопкинса на домене Corona-Virus-Map[.]com. На клоне в реальном времени отображаются данные о заражении коронавирусом, полученные с оригинального ресурса. Для более оперативного получения сведений предлагается скачать приложение. Вместо полезной программы на компьютер загружается инфостилер AZORult, который похищает данные банковских карт и криптокошельков, а также сохранённые в браузерах учётные данные.

Вектора: страх и любопытство. Людям страшно и любопытно одновременно, поэтому они хотя получать оперативную информацию об угрозе и о том, как её избежать.

Полный абсурд

Совершенно нелепо выглядит сайт, предлагающий скачать и установить Corona Antivirus, который «поможет защититься от нового коронавируса COVID-19». Всё, что делает «антивирус» — устанавливает на компьютер жертвы бэкдор BlackNET, открывающий преступникам полный доступ к системе.

Вектор: страх. Очевидно, создатели сайта рассчитывают, что для спасения от пандемии пригодятся любые средства, в том числе и компьютерный антивирус.

Как противостоять цифровым атакам

Главный инструмент всех мошенников — простые эмоции. Они стараются вызвать их у жертвы, рассчитывая на немедленную реакцию, пока не включилось критическое мышление. Если выдержать даже небольшую паузу, угроза окажется не такой уж неминуемой, а предложение — не настолько привлекательным, как в первый момент.

От вашего спокойствия и внимательности зависит ваша цифровая безопасность.

О компании «Антифишинг»

Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Мошенничество на теме COVID-19. Часть 1. Несуществующие компенсации

Start X — Tue, 07 Apr 2020 20:03:18 +0300

Пандемия COVID-19 сильно помогла мошенникам: придумывать способы эмоционального воздействия на жертву больше не нужно. Увидев зловещее название, люди послушно выполняют самые абсурдные указания.

В цикле статей мы разберемся, как мошенники эксплуатируют тему пандемии: через какие каналы и с помощью каких эмоций происходят атаки.

В сегодняшнем выпуске — примеры атак от организаций, которые обещают компенсации или какие-то выплаты:
— Объединённый компенсационный фонд.
— Портал здравоохранения граждан СНГ.
— Группа финансовой помощи.

Андрей Жаркевич
автор

Мошенники № 1. Объединённый компенсационный фонд

Несуществующий «Объединённый Компенсационный Фонд» (ОКФ) с прошлого года предлагает гражданам получить компенсации «при наличии законных оснований».

Для привлечения доверчивых граждан используются массовые рассылки в вайбере и соцсетях от имени портала госуслуг:

После перехода по ссылке жертва попадает на небрежно сделанную страницу, содержащую картинку с кнопкой, которая ведёт на уже более приличный мошеннический «портал».

Ну как не заплатить всего 281 рубль, чтобы получить 127 тысяч?

Мошенники № 2. Портал здравоохранения граждан СНГ

Благодаря пандемии тема получения компенсаций от государства обрела второе дыхание. Вместо кустарного ОКФ на сцене появился прилично сделанный сайт под названием «Портал здравоохранения граждан СНГ». Портал предлагает получить выплату на борьбу с коронавирусом.

На Яндекс.Дзене мошенники создали канал с названием «Россия Сегодня», в котором размещают публикации, рекламирующие различные мошеннические ресурсы:

После перехода по ссылке из публикации жертва попадает на вполне приличный «Портал»:

Для убедительности на сайте указан номер лицензии и размещён виджет с отзывами, в котором постоянно появляются новые записи:

Время от времени в нижней части экрана появляется сообщение о том, что очередной гражданин получил причитающуюся ему компенсацию.

После нажатия кнопки «Получить помощь» пользователю предлагается заполнить анкету и отправить её:

Сайт имитирует выполнение запросов к базе данных и отображает информацию о происходящем:

После прохождения всех этапов «проверки» выводится «Постановление» о выплате компенсации. Печать, подписи — выглядит убедительно за исключением одной опечатки в верхней части страницы:

Получение компенсации производится только в режиме ONLINE. Нажимаем кнопку:

Появляется окно чата, в котором «юрист» что-то набирает.

Мошенники стремятся создать иллюзию диалога с живым человеком, однако ответы пользователя не анализируются.

Как и на других сайтах с «компенсациями» для получения крупной суммы нужно заплатить мелкую. В этом случае — 365 рублей. После нажатия кнопки «Добавить запись в реестр» происходит переход на форму оплаты:

На этот раз страх связан не столько с заражением, сколько с возможностью выжить, лишившись работы и постоянного дохода. Когда на горизонте маячит крупная выплата, подпитанная этим страхом жадность перехватывает инициативу у разума и заставляет людей снова и снова отправлять небольшие суммы мошенникам, которые именно на такой вариант развития событий и рассчитывают.

Мошенники № 3. Группа финансовой помощи

В качестве исходного ресурса для кампании используется уже знакомый нам мошеннический Дзен-канал «России Сегодня». Согласно публикации, каждый россиянин гарантированно может получить финансовую помощь от китайских бизнесменов:

После перехода на сайт оказывается, что помощь оказывают российские бизнесмены, но к этому моменту о Китае уже никто не вспоминает, потому что на горизонте замаячили деньги:

Факторы для повышения доверия и вовлечения в процесс:

праведный гнев на Китай, ставший источником пандемии;
положительные комментарии в подвале сайта;
неудача на первом этапе «рассмотрения» заявки, после которой «наконец-то» принимается положительное решение о крупной выплате.

Наши рекомендации

Выдержите паузу прежде чем переходить по ссылке, открывать вложение или нажимать на кнопку оплаты. Встаньте с рабочего места, отложите в сторону смартфон, закройте глаза и досчитайте от 10 до 1.
Перечитайте ещё раз. Обратите внимания на адрес отправителя, оформление письма и стиль написания.
Сделайте завтра. Во всех сомнительных ситуациях откажитесь от немедленных действий, которых от вас добиваются авторы сообщений или незнакомые собеседники. Отложите их на завтра, чтобы обдумать или даже обсудить с кем-то из знакомых.

Телеграм-канал Антифишинга

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Разбор Антифишинга от Артемия Лебедева: «Мне нравится такой подход»

Start X — Mon, 30 Mar 2020 15:40:05 +0300

Основной продукт, который с 2016 года делает наша команда — система «Антифишинг». С её помощью службы безопасности непрерывно обучают своих сотрудников и тренируют их навыки.

Несмотря на то, что продукт используют профессионалы — менеджеры и специалисты по безопасности, — нам важно, чтобы его задачи и ценность были понятны каждому руководителю и собственнику бизнеса.

Именно для этого мы попросили Артемия Лебедева разобрать и прокомментировать наш сайт, — первое и часто единственное, на что готовы посмотреть руководители такого уровня.

В статье мы собрали главные цитаты из разбора и добавили комментарии, которые помогут лучше понять ценность «Антифишинга».

Андрей Жаркевич
редактор

«Да, на%бывают так — только в путь»

Это правда.

По статистике Банка России фишинг и другие цифровые атаки на людей стали причиной кражи денег у физических лиц в 97% случаев, а у юридических лиц, вместе с воздействием вредоносного кода — в 85% случаев:

Согласно отчету Verizon, электронная почта была и остается главным вектором распространения вредоносного кода — в 92% случаев, а также и фишинга — в 96% случаев.

ФинЦЕРТ Банка России. Обзор несанкционированных переводов денежных средств за 2018 год.

Verizon’s 2018 Data Breach Investigations Report.

«Система рассылает псевдо-фишинговое письмо, чтобы понять, в какой момент сотрудник дал слабину, нажал, и тут ему вылетает из-за угла кувалда, &$ошит по башке со словами: „Не делай так больше никогда“»

Да, Антифишинг умеет работать и так :-)

Есть детали:

Мы рекомендуем начинать с обучения: через наши электронные курсы сотрудники узнают главные правила безопасности и увидят примеры самых разных ситуаций, в которых могут оказаться.
Мы больше трех лет изучаем и внимательно классифицируем инциденты, связанные с поведением людей. Поэтому имитированные атаки через Антифишинг максимально полно покрывают все возможные ситуации и лучше, чем любой спам тренируют навыки людей.
«Кувалда» — мгновенная и эмоциональная обратная связь, — действительно очень важна, и мы обеспечиваем ее в каждой атаке. Например, так:

Описание и демо-версии курсов Антифишинга.

Классификация цифровых атак Антифишинга.

«Мне кажется, для большой компании, особенно где много людей получают всякие входящие переписки по емейл, это прям вещь. Мне нравится такой подход»

Для больших компаний особенно полезны будут:

Автоматизация Антифишинга. Система умеет отслеживать статусы каждого сотрудника, планировать обучение и тренировки навыков при отклонениях от нормального поведения или по времени. На управление процессом понадобится не более одного часа в неделю, даже если у вас больше тысячи сотрудников.
Интеграция с другими системами и процессами. Антифишинг умеет работать с каталогом LDAP, корпоративными HR-системами и системами дистанционного обучения. Благодаря встроенному RESTful API Антифишинг легко интегрируется с любыми процессами и существующими системами безопасности: IDM, IRP/SOC, SIEM и другими.
Контроль уязвимостей приложений. Для сотрудников, которые продемонстрировали небезопасное поведение — открывали имитированные фишинговые письма, переходили по ссылкам или открывали вложения — Антифишинг определяет версии браузеров, плагинов, офисных программ и операционных систем. Это помогает выявить и устранить самые опасные уязвимости как можно раньше, до их реальной эксплуатации злоумышленниками.

«Я бы для себя тоже такое заказал, но у нас в компании все прошаренные, не открывают левые письма, и у нас хорошая служба безопасности»

Грамотные и опытные сотрудники, а также хорошая служба безопасности — лучшая защита от таких атак. Однако наш опыт показывает, что даже «прошаренные» специалисты вполне могут стать жертвами атаки, которая хорошо подготовлена:

задействует эмоции — страх, жадность, любопытство или желание помочь;
содержит усилители — срочность или авторитет;
имеет корпоративную или внешнюю атрибуцию — выглядит как сообщение от руководителя или важного партнера.

Даже если в вашей компании все сотрудники — опытные специалисты, важно непрерывно обучать и регулярно тренировать их навыки в самых сложных имитированных атаках.

Это же относится к людям, которые внезапно оказались в новых для себя условиях, например, из традиционной офисной среды ушли работать удалённо, из дома, с личных устройств.

Что нужно знать о фишинге.

Как работать удалённо и оставаться в безопасности —по-русски.
How to Work From Home and Stay Safe — in English.

«Отличный проект»

Спасибо!

Для тех, кто еще не использует «Антифишинг», рекомендуем:

1. Прочитайте и перешлите коллегам актуальные статьи:

Психологическая помощь себе, близким и коллегам в условиях социальной изоляции.

Как действуют хакеры.

Как узнать фишинговое письмо.

Опасные вложения.

2. Подпишитесь на наш дайджест, телеграм-канал и группу ВК.

3. Организуйте регулярное дистанционное обучение для своих сотрудников, а также процесс тренировки практических навыков по безопасности.

О компании «Антифишинг»

Наша платформа помогает непрерывно и дистанционно обучать сотрудников на электронных курсах, измерять и тренировать их навыки с помощью имитированных атак.

Ведём собственные психологические исследования, разрабатываем методологию, создаем и обновляем реалистичные сценарии и актуальные шаблоны атак.

Телеграм-канал Антифишинга

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Психологическая помощь себе, близким и коллегам в условиях социальной изоляции

Start X — Fri, 20 Mar 2020 21:49:30 +0300

В прошлой статье мы рассказали, как работать удалённо и оставаться в безопасности. Но риски безопасности — не самая большая угроза, с которой может столкнуться человек на карантине или при внезапной социальной изоляции.

Ольга Лимонова
автор

Андрей Жаркевич
редактор

Тема сегодняшней статьи — основные психологические проблемы, с которыми может столкнуться каждый из нас, и методы борьбы с ними. Вы узнаете, как помочь себе и близким максимально комфортно адаптироваться к новым условиям жизни и работы, преодолеть панические, депрессивные и тревожные состояния, а также что рекомендовать своим коллегам и сотрудникам для поддержания ментального здоровья и рабочего настроения.

Введение

В России еще не ввели обязательный домашний карантин. Пока мы можем перемещаться относительно свободно. Однако многие работодатели уже объявили о переходе на дистанционную работу и рекомендовали оставаться дома. Учебные заведения также переводят занятия в онлайн-формат, а самые тревожные граждане организуют себе собственный карантин, ограничивая выходы на улицу, посещения публичных мест и контакты с другими людьми.

С точки зрения эпидемиологии эти меры можно назвать оправданными, но к сожалению, спасая от заражения, они создают угрозу психологическому здоровью людей. Как показывают исследования психологического воздействия карантина во время вспышек заболеваний, даже краткосрочный опыт изоляции может привести к появлению симптомов посттравматического стресса (ПТСР), депрессии, замешательства, гнева, страха и злоупотреблению психоактивными веществами.

Во время вспышки атипичной пневмонии обнаружили, что у 29% тех, кто был помещен в карантин, были признаки ПТСР, а у 31% — симптомы депрессии после изоляции. Говорить о продуктивной работе дома в подобной ситуации не приходится.

Кто в зоне риска?

Важно! Не думайте, что если вы не относитесь ни к одной из перечисленных групп, вас не затронут психологические последствия социальной изоляции. Возможно, вы будете более устойчивы к происходящему, однако вполне вероятно, столкнётесь с тревогой, ночными кошмарами и другими стрессовыми реакциями вашего организма, которые сложно подавить логикой и здравомыслием.

Наиболее психически уязвимы к изоляции:

люди, у которых есть или были проблемы с психическим здоровьем, включая проблемы с употреблением психоактивных веществ;
люди, которые уже имеют тревогу о здоровье или генерализованное тревожное расстройство;
люди, уже имевшие опыт вынужденной изоляции или напоминающий его;
люди со слабыми социальными связями/отношениями;
дети, подростки и пожилые граждане;
люди с ярко выраженными экстравертными чертами, высокой потребностью в общении и активном образе жизни;
люди, чья профессия связана с активным взаимодействием с другими людьми;
люди, находящиеся на обследовании с подозрением на COVID-19, на лечении или уже выписаны из больницы после лечения COVID-19;
люди, которые помогают в реагировании на COVID-19, такие как врачи и другие медицинские работники (рабочая изоляция от собственных семей и дома).

С какими психическими проблемами можно столкнуться?

Стресс вызывает одни и те же психофизические реакции вне зависимости от его причины. И чем дольше человек пребывает в этом состоянии, тем серьезнее будут последствия для организма.

Среди негативных симптомов, с которыми вы можете столкнуться в условиях социальной изоляции:

страх и тревога за своё здоровье и здоровье близких, выраженные в кошмарах и психомоторном перевозбуждении;
подозрение и паранойя, часто сопровождающиеся агрессией и ксенофобией;
острые стрессовые реакции — плач, истерика, апатия, агрессия, двигательное возбуждение, нервная дрожь и др.;
нарушение когнитивных (мыслительных) функций: ухудшение гибкости мышления, концентрации и запоминания, нарушения восприятия, притупление ощущений, появление поспешности и хаотичности в принятии решений;
истощение — физическое (хроническая усталость, упадок сил), психическое (отрицательная оценка себя, своей деятельности и жизни в целом) и эмоциональное (чувство безнадежности и беспомощности);
развитие посттравматического стрессового расстройства;
появление депрессии или её усугубление, вызванное чувством безнадежности в отношении будущего и невозможности планировать;
обострение хронических проблем со здоровьем и появление психосоматических заболеваний.

Как сохранить психическое здоровье в условиях карантина?

Мы выяснили, что у карантина более чем достаточно негативных психологических эффектов. Так что же делать? Как позаботиться о себе?

Строго соблюдайте режим дня. Первые дни в изоляции сильно расслабляют и заставляют потерять счет времени. Сбивается привычный ритм жизни, что превращается в дополнительный физический стресс для организма и приводит к развитию психических недугов. Четко распланируйте и соблюдайте режим дня. Особенно это важно, если с вами дети. В приоритете должна быть забота о себе и своих близких.
Ограничьте просмотр новостей о пандемии. К сожалению, сейчас все диванные эксперты переквалифицировались из политиков в медиков, и заполонили интернет пугающими мнениями и «авторитетными» заявлениями. Растущие показатели смертности, обвал фондового рынка и карты, иллюстрирующие стремительное распространение COVID-19 способны вызывать лишь панику и страх. Если вы тревожная личность, избавьте себя от этой информации. Не нужно день и ночь изучать новости про коронавирус.
Это не значит, что нужно совсем отказаться от новостей, ведь это создаёт ощущение контроля над ситуацией. Но вы вполне в состоянии сохранить контроль, если ограничитесь просмотром двух-трёх авторитетных источников, например, сайта Всемирной организации здравоохранения и правительственных ресурсов. Тогда вам будет достаточно выделить изучению новостей 15 минут утром и вечером.
Разработайте себе план достижений в условиях карантина. Что вы давно хотели сделать дома, но постоянно откладывали или не успевали? Небольшой ремонт? Перестановку мебели? Прочитать наконец купленные впрок книги или даже написать свою? Зафиксируйте эти цели и распланируйте их реализацию. Это позволит преодолеть чувство беспомощности и депрессию. Наличие планов и целей всегда приободряют и стимулируют возникновение положительных эмоций.
Если у вас есть психические или физические заболевания, составьте план того, как вы можете продолжать лечение и терапию, включая контакт с группами поддержки и обеспечение себя запасом лекарств.
Позаботьтесь о своем теле. Организуйте себе физическую активность. Даже если у вас нет спортинвентаря, делайте элементарную зарядку утром и вечером. Разумная физическая активность снимает стресс и поддерживает тело в тонусе. От вас не требуется спортивных рекордов, не калечьте себя! Делайте глубокие вдохи, потягивайтесь, медитируйте. Выбирайте здоровую сбалансированную пищу, соблюдайте режим сна и бодрствования, избегайте алкоголя и наркотиков.
Общайтесь с друзьями, родственниками и коллегами. Хотя вы в изоляции, технические средства позволяют это компенсировать. Ваш телефон, планшет и компьютер вполне могут обеспечить живое общение через интернет. Проявляйте инициативу, интересуйтесь другими людьми. Это поможет не только вам, но и окружающим. Не отказывайте себе в дистанционном общении, даже если раньше вы этого не любили. Чувство связи и поддержки полезно для иммунной системы, даже если вы создаёте его сознательно.
Примите свои отрицательные эмоции. Важно признать, что в карантине у вас появится много тревожных мыслей и эмоций. Нужно принять их, а не пытаться игнорировать. Это же касается печали из-за утраты нашего обычного образа жизни, беспокойства о нехватке припасов или опасений, что дети заболеют. Избегание негативных эмоций сделает их только сильнее. Замечайте их, когда они возникают, изучайте и описывайте без осуждения, а затем отпускайте. Это суть осознанности, которая обеспечивает психологическое здоровье;
Делитесь своими эмоциями. Не бойтесь просить о помощи! Изоляция от внешнего мира не означает, что нужно захлопнуть дверь и во внутренний мир. Используйте социальные сети для самовыражения или ведите личный дневник. Если вы или кто-то, о ком вы заботитесь, почувствуете избыток эмоций, подобных печали, депрессии или тревоге, если вы заметите желание навредить себе или другим, позвоните на телефон психологического доверия: 8-800-2000-122 — для детей, подростков и их родителей. Телефон доверия для взрослых в каждом городе свой.
Делитесь только точной информацией из правительственных источников, либо, если есть шанс что вы исказите по смыслу или вас не поймут, поделитесь ссылками на ресурсы с достоверной информацией. Не распространяйте домыслы и противоречивую информацию! Это заставляет переоценивать угрозу и недооценивать свои способности справляться с ней, а значит, лишь усиливает беспокойство.
Старайтесь не делать предположений. Не судите людей и не делайте поспешных выводов о том, кто в ответе за распространение болезни, независимо от пола, расы или социальной принадлежности. Данные предположения формируют агрессивные настроения и подпитывают паранойю у вас и окружающих.
Не пытайтесь говорить близким и коллегам «успокойтесь», «не паникуйте». Это не помогает. Лучше давайте чёткие инструкции, что делать («мойте и увлажняйте руки», «закупите все самое нужное» и т. д.). Вы также можете предложить присоединиться к какому-либо действию. Здесь главная цель — сосредоточить внимание на чём-то конкретном, чтобы уменьшить панику и смягчить чувство тревоги.
Осмыслите свое место в этом мире. Карантин так или иначе будет подталкивать вас к саморефлексии из-за ограниченного набора возможных альтернативных действий. Сделайте этот процесс управляемым и полезным.
Помогайте окружающим, особенно одиноким старикам. Общайтесь, помогите им купить лекарства и еду. Чувство социальной полезности уменьшит чувство изоляции и испуг, снизит паранойю и вернёт доверие к другим людям.
Участвуйте в виртуальных флешмобах и создавайте свои. Социальная вовлечённость — это то, чего больше всего не хватает в условиях изоляции. Не отказывайте себе в веселье, даже если оно кажется слишком детским или даже глупым.

Хотите хорошую новость? Изучение паники, как явления, привело учёных к пониманию того, что настоящая паника случается очень редко. В кризисных ситуациях людям свойственно сплочаться, поддерживать друг друга и действовать смело. А значит даже в условиях социальной изоляции мы со всем справимся.

Что ожидать родителям?

Хорошо подготовленный родитель — лучшая психологическая опора для ребёнка. Информированность, спокойствие и уверенность,— вот те качества, которыми он должен обладать. Дети и подростки реагируют на стресс по-разному.
Вот с чем вы можете столкнуться:

чрезмерный плач или раздражение у детей младшего возраста;
возвращение к поведению, которое они переросли (например, ночное недержание мочи);
чрезмерное беспокойство или печаль;
нездоровые привычки в еде или в сне;
раздражительность и «отыгрывающее» поведение у подростков;
плохая успеваемость в школе или уклонение от учебы;
трудности с концентрацией внимания;
избегание привычной деятельности;
необъяснимые головные боли или боли в теле.

Что сделать, чтобы поддержать своего ребёнка?

Поговорите с детьми (старше 6 лет) о вспышке COVID-19. Ответьте на вопросы и поделитесь фактами о COVID-19 так, чтобы ребенок мог их понять. Поддержите их, не вызывая тревоги. Не нужно избегать «страшной темы»;
Убедите детей, что они в безопасности и что нормально испытывать по поводу этой ситуации самые разные чувства. Поделитесь с ними тем, как вы справляетесь со своим стрессом, чтобы они тоже смогли научиться этому.
Ограничьте доступ членов семьи к новостному освещению этого события, в том числе в социальных сетях. Дети могут неправильно истолковать увиденное или услышанное и испугаться чего-то, чего не понимают.
Соблюдайте режим дня и помогайте его соблюдать детям. Если школы закрыты, создайте расписание для учебных занятий, отдыха и развлечений. Очень важно вовлекать детей в планы по поддержанию хорошего здоровья.
Общайтесь с другими родителями, особенно родителями друзей детей. Помогайте организовывать общение ребенка со своими сверстниками.
Будьте образцом для подражания. Делайте перерывы в работе, много спите, занимайтесь спортом и хорошо питайтесь. Общайтесь со своими друзьями и членами семьи.

Как помочь близким в случае острых стрессовых реакций?

Первые два правила психологической помощи, которые вы должны усвоить, это:

Если вы не готовы помогать, если испытываете страх, неуверенность или нет желания, не делайте этого. Неискренняя помощь, оказываемая через силу, чувствуется и может усугубить состояние. Найдите того, кто сможет это сделать вместо вас.
«Не навреди». Если вы не уверены в правильности своих действий — не совершайте их. Даже одна неправильная фраза может ухудшить положение, не говоря уже про более серьезные действия.

Если вы все же готовы взять на себя ответственность за близких, то наиболее оптимальными являются алгоритмы действия, описанные в учебном пособии Ю. С. Шойгу «Психология экстремальных ситуаций для спасателей и пожарных». Это пособие до сих пор считается лучшим русскоязычным источником по данной теме.

Мы подготовили выдержки из этого пособия, которые помогут справиться со стрессовыми ситуациями, вызванными карантином.

Не меньше, чем социальная изоляция, на ваше состояние и психическое здоровье могут повлиять мошенники. Пожалуйста, помните и соблюдайте базовые правила безопасной удаленной работы.

Оставайтесь в безопасности!

Как работать удалённо и оставаться в безопасности

Start X — Wed, 18 Mar 2020 00:22:48 +0300

В последние недели многим пришлось перейти на новый для себя формат работы — онлайн, удалённо, вне офиса.

Пока службы безопасности заняты подготовкой защищенных каналов связи и другой инфраструктуры, никто не помогает ответить на простые, но важные вопросы:

1. Как безопасно работать в новых для себя условиях?
2. Какие главные правила безопасности нужно знать и соблюдать?
3. Что нужно уметь, чтобы работать эффективно и не стать жертвой мошенников?

В этой статье мы собрали десять главных рекомендаций, которые помогут вам, вашим коллегам и близким работать удалённо, вне офиса, — и оставаться в безопасности.

Сергей Волдохин
автор

Андрей Жаркевич
редактор

— Это же очевидно!

Для продвинутых пользователей и специалистов по безопасности наши советы могут показаться очевидными.

Если вы отвечаете за процессы безопасности — загляните в конец статьи, чтобы узнать, как организовать регулярный процесс для своих сотрудников.

1. Ваш компьютер и рабочее место

1.1 Идеально, если у вас есть корпоративный ноутбук — работайте только на нем. Если приходится пользоваться личным устройством — убедитесь, что на весь период работы им будете пользоваться только вы.

1.2 Блокируйте компьютер каждый раз, когда уходите с рабочего места. Даже если это место — ваша комната.

1.3 Не подключайте чужие флешки и другие USB-устройства к своему компьютеру. Даже если «очень нужно сбросить фоточки».

1.4 Если вам пришлось выйти работать в публичном месте — cмотрите по сторонам, особенно когда работаете с конфиденциальной информацией или вводите пароль. Не позволяйте посторонним стоять у вас за спиной.

2. Пароли и доступы

2.1 Научитесь выбирать и поставьте хороший пароль. Даже на личном компьютере.

2.2 Используйте разные пароли на разных сервисах. Сохраняйте их через парольные менеджеры.

2.3 Включите двухфакторную аутентификацию на всех сервисах, которыми пользуетесь.

3. Подозрительные ситуации

3.1 Уточните контакты вашей службы безопасности: куда можно позвонить или написать при подозрении на инцидент.

3.2 Отправляйте опытным коллегам все, что покажется подозрительным.

4. Безопасная работа с сайтами

4.1 Адрес любого сайта, где вы вводите пароль, должен начинаться с HTTPS.

4.2 Если видите ошибку HTTPS или что-то подозрительное, не вводите на таком сайте свои логин или пароль.

5. Обновления программ

5.1 Проверьте, что ваш антивирус, операционная система, браузер и другие приложения вовремя обновляются.

5.2 Защитите свой браузер.

5.3 Не скачивайте и не запускайте незнакомые файлы из интернета, даже если они выглядят как обновления.

6. Противодействие мошенникам

6.1 Научитесь распознавать эмоции, которые пытаются вызвать мошенники: страх, жадность, любопытство и другие.

6.2 Помните, что эти эмоции отключают критическое мышление, в результате чего вы сможете совершить действие, которые в нормальном состоянии не стали бы выполнять.

6.3 Сообщайте в службу безопасности все, что покажется подозрительным.

Прочитайте статью: Что нужно знать о фишинге.

7. Безопасная работа с почтой, ссылками, файлами

7.1 Мошенники могут выдавать себя за ваших коллег, партнеров и руководителей. Не стесняйтесь перезвонить тем, от кого якобы пришло письмо или даже сообщение в мессенджер. Работая удаленно, вы не можете подойти к человеку лично, но обязаны убедиться, что вам пишет именно он.

7.2 Научитесь отличать мошеннические письма от настоящих.

7.3 Научитесь проверять ссылки и вложенные файлы в письмах, на сайтах и в мессенджерах.

Прочитайте статью: Как узнать фишинговое письмо.

8. Обновления мобильных устройств

Проверьте и настройте автоматические обновления на своих мобильных устройствах.

9. Приложения и мессенджеры

9.1 Не устанавливайте подозрительные приложения.

9.2 Не переходите по неизвестным ссылкам со смартфона.

10. Безопасный выход в интернет

10.1 Не подключайтесь к незнакомым беспроводным сетям: лучше воспользуйтесь мобильным интернетом.

10.2 Используйте корпоративный VPN всегда, когда возможно.

Командам безопасности

Посмотрите, как организовать регулярное дистанционное обучение для своих сотрудников, а также процесс тренировки практических навыков по безопасности:

Заполните форму на сайте или напишите нам, чтобы запустить процесс за следующий рабочий день.

Телеграм-канал Антифишинга

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

«Это не ваш номер»

Start X — Wed, 11 Dec 2019 17:10:07 +0300

Проверьте, на кого оформлен ваш мобильный номер. Даже если пользуетесь им уже много лет.

Ольга Лимонова
автор

Андрей Жаркевич
редактор

источник

Я собралась перейти со своим номером к другому оператору сотовой связи, но получила отказ. В службе поддержки меня спросили, на кого оформлен номер. Я назвала свою фамилию, а мне ответили, что она не совпадает с фамилией владельца номера.

Такой ответ стал не просто неприятным сюрпризом. То, что мой номер оформлен на постороннего человека, означало, у меня серьёзные проблемы: ведь к этому номеру привязана вся моя жизнь.

В этой статье я расскажу, как так случилось, в чём опасность и что делать в подобной ситуации.

1. Покупка SIM-карты

Я оформляла свой номер четыре года назад в передвижном магазине в Москве. Брендированный фургон оператора стоял прямо у метро Люблино. Сотрудники в нём были в фирменной одежде, поэтому даже мысли не возникло, что я делаю что-то не так, тем более что покупка была оформлена по всем правилам: у меня попросили предъявить паспорт, оформили договор в двух экземплярах, я заплатила деньги и получила на руки SIM-карту с новым номером.

Активация прошла без малейших сложностей, как и дальнейшее использование номера: я несколько раз переключала тарифы и получала консультации на горячей линии.

2. Смена оператора

За четыре года номер прочно вошёл в мою жизнь: к нему были привязаны мессенджеры, учётные записи в соцсетях, и интернет-банках, почта и прочие милые сердцу вещи, требующие подтверждения по СМС для большей безопасности. Разумеется, переходя к другому оператору, я планировала сохранить номер, чтобы не менять разом все накопившиеся привязки.

Чтобы перенести номер к другому оператору, нужно подать заявление на сайте или в салоне связи нового оператора и получить новую сим-карту. После этого операторы уже без участия абонента сверят данные владельца номера и проверят отсутствие блокировок и задолженностей. Если всё хорошо, процесс завершится успешно. Если же какие-то данные отличаются, перевод номера останавливается до решения проблемы. Здесь возможны два варианта:

Ошибка в паспортных данных. Эта проблема устраняется относительно быстро. Достаточно предъявить паспорт для корректировки сведений у операторов.
Не совпадает владелец. Это значит, что SIM-карта не принадлежит вам, и вы не можете поменять оператора.

С каким типом ошибки я столкнулась, мне сообщили в службе поддержки оператора. Моя SIM-карта оказалась оформлена на другого человека. Сотрудник поддержки сказал, что для решения вопроса нужно написать заявление в ближайшем отделении оператора. Посмотреть, на которого оформлен номер, можно в мобильном приложении оператора.

Установив приложение, я выясняю, что мой номер оформлен на некую Ниязову Ферузу Очаловну. Очаровательно. Сомнений не осталось: я стала жертвой мошенников.

В чём опасность?

Я хотела сохранить свой номер, потому что к нему привязана моя социальная и финансовая жизнь, моя цифровая безопасность. Но что могут сделать мошенники?

Вариант 1. Заблокировать номер. Меньшее из бед, но очень неприятно неожиданно потерять возможность зайти в свой онлайн-банк по СМС. Дискомфорт и беготня с выяснением обстоятельств обеспечены на пару дней точно. Тем более что многие банки меняют номер телефона только при личном визите в офис.

Вариант 2. Прийти в любой салон оператора, сообщить, что потеряли SIM-карту, предъявить свой паспорт и совершенно бесплатно получить новую SIM-карту за тем же номером. Вместе с SIM-картой они получат возможность перехватить весь мой поток конфиденциальных СМС-кодов. Лакомый кусочек для любого мошенника.

В подобных ситуациях сотовые операторы не несут никакой ответственности, а значит нужно позаботиться о себе.

3. Решение проблемы

В абонентском отделе оператора сообщаю продавцу-консультанту о случившемся. Мне выдают два бланка и просят заполнить их:

Заявление о рассмотрении вопроса переоформления договора на пользователя. В нём нужно указать паспортные данные и обстоятельства приобретения SIM-карты.
Приложение к заявлению — опросный лист с внушительным списком данных, среди которых:

IMEI оборудования, в котором используется SIM карта;
ICC ID и PUK sim-карты. Если вы не сохранили коробку от SIM-карты или если она была поддельная, у вас проблемы;
дата последнего пополнения баланса;
последний набранный номер;
три номера, на которые вы звонили чаще всего за прошедший месяц. Если вы не фанат телефонных звонков, поймёте боль алгебраических подсчётов в уме;
выходили ли в интернет с этого номера за последние три дня;
если за последние полгода вы выезжали за пределы региона, совершали и принимали звонки, укажите в каком месяце это было;
кодовое слово;
три примера звонка за последние три дня с указанием времени, даты и точного места.

Радуюсь, что вся информация есть и в течение 20 минут заполняю все бланки. Продавец тем временем проверяет документы на SIM-карту и сообщает, что печать в договоре напечатана на принтере. Внимательно изучаю бумажку и убеждаюсь, что это правда.

Отдаю заполненные документы и выясняю, что будет происходить дальше:

Операторы дозваниваются до «настоящего» владельца номера, и он говорит, что номер не его. Это самый простой вариант. Меня проинформируют об этом, и я смогу переоформить свой номер на себя.
Операторы дозваниваются до «настоящего» владельца SIM-карты, и он говорит, что номер его. В этом случае я могу попрощаться с номером. Мне никогда его не вернут и не переоформят, а скорее всего, моментально заблокируют.
Операторы не дозваниваются до «настоящего» владельца SIM-карты. По стандарту на дозвон отводится 2 месяца. Как только время истекло, меня проинформируют, что предыдущий владелец не откликнулся, и я смогу переоформить договор на владение своим номером. Вариант неплохой, но времени жалко. К сожалению, это мой вариант и чаще всего выпадает именно он.

В разговоре с продавцом я выяснила, что такие ситуации возникают у всех операторов, и это в целом довольно распространённое явление.

«Вроде бы бывают иногда SMS-рассылки с советом проверить свои паспортные данные», — виновато говорит продавец. Но я таких рассылок за четыре года ни разу не получала, либо не обращала на них внимания. И на сайтах операторов почему-то нет упоминаний о подобных ситуациях.

Три шага, чтобы защититься

1. Внимательно покупайте SIM-карту

Выбирайте стационарные отделения оператора. Передвижные пункты легче подделать, нежели обычные.
При оформлении договора на приобретение SIM-карты, убедитесь, что печать на договор ставят при вас и что это не заранее распечатанный бланк (как было в моём случае).
Сохраняйте все документы, сопровождающие покупку.

2. Удостоверьтесь, что SIM-карта оформлена на вас

Позвоните оператору и попросите проверить владельца номера.
Установите мобильное приложение оператора и проверьте в нём ФИО владельца.

3. Чтобы переоформить SIM-карту

Обратитесь в салон сотового оператора.
Возьмите с собой документы на SIM-карту, телефон и паспорт.

Телеграм-канал Антифишинга

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Массовые атаки #Petya: первичный вектор заражения

Start X — Tue, 27 Jun 2017 23:03:55 +0300

Главной сегодняшней новостью стали массовые атаки вируса-шифровальщика в Украине. Мы опишем по крайней мере один вектор заражения, который стал известен нашим специалистам.

Сергей Волдохин
sv@antiphish.ru

По данным СМИ, «сотни» организаций в Украине пострадали от вируса-шифровальщика. Во всех пострадавших организациях компьютеры блокировались, а на экране появлялось сообщение с требованием выкупа:

источник

К сожалению, антвирусные вендоры, СМИ и специалисты по безопасности до последнего времени не давали ясных описаний, как именно мошенникам удалось так быстро заразить такое большое число крупных организаций.

Но для эффективной защиты от любой кибератаки важно понимать, какой первичный вектор заражения используется.

Что объединяет множество организаций в Украине? Как можно заразить множество организаций, компьютеры которых не доступны из интернета?

1. Изолированный сервер

Наши специалисты участвовали в расследовании инцидента, в результате которого на одном из серверов внутри организации появилось как раз такое сообщение о зашифрованных файлах:

Это был служебный сервер, на нем не работали сотрудники и не было сессий администраторов — заражение через флешки или фишинговые письма исключается.
Он не был доступен ни из интернета, ни из большинства других сетей организации — внешнее заражение через 0day в SMB или других публично доступных сервисах операционной системы исключается.
На нем был антивирус, установлены последние обновления и не было никаких программных уязвимостей (сервер буквально за день до инцидента проверялся коммерческим сканером уязвимостей) — заражение через 1day-уявзимости и массовые эксплойты исключается.

Первичный вектор заражения оставался неясен.

2. Сетевые подключения

Чтобы определить его, пришлось проводить анализ:

Журналов сетевых подключений с межсетевых экранов и маршрутизаторов.
Журналов веб-доступа через прокси (сервер имел доступ в интернет).
Событий безопасности с сервера (все экспортировалось в SIEM).

Ничего подозрительного обнаружено не было, кроме подобного HTTP GET-запроса:

На зараженной системе была установлена серверная часть программы «М.Е. Doc», которая именно сегодня несколько раз обращалась за обновлениями. Программа была обновлена, и обычный файл по указанному URL весил менее килобайта, а выглядел примерно так:

Однако сегодня в ответ на указанный запрос с сервера программы «М.Е. Doc» было загружено более 300 Килобайт.

Как раз после этого сервер перезагрузился и показал сообщение о зашифрованных файлах.

3. Первичный вектор заражения

С помощью программы «М.Е. Doc» (My Electronic Document) автоматизируются процессы отчености и документооборота более чем у 400 тысяч пользователей:

Сегодня на сайте производителя появилось сообщение о том, что на их сервера осуществляется вирусная атака:

Вероятно, для распространения внутри сети новый шифровальщик может использовать старые уязвимости и техники, аналогичные WannaCry.

Но, если бы атакующие выбирали самый эффективный вектор первичного заражения для множества организаций в Украине, взлом и компрометация механизма обновлений такой популярной программы выглядит почти идеальным вариантом.

Выводы

Вирусы могут распространяться через поддельные обновления программ.
На время активной эпидемии #Petya отключите функции автоматических обновлений «М.Е. Doc» и других недоверенных программ сторонних производителей.
Сегментируйте свою сеть, чтобы заражение одного компьютера или сервера не приводило к компрометации всех критичных систем.
Собирайте журналы безопасности и логи сетевых подключений в отдельном, защищенном хранилище. Эти данные очень помогут в расследовании подобных инцидентов.

P.S. Лаборатория Касперского подтверждает компрометацию механизма обновлений программы «М.Е. Doc» как один из первичных векторов заражения:

О компании «Антифишинг»

Мы помогаем обучить сотрудников и контролируем их навыки с помощью учебных фишинговых атак. Используем реалистичные сценарии и учебные примеры мошеннических писем — в том числе те, что применяются для выполнения подобных атак.

Чтобы проверить своих пользователей, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы первыми узнать об актуальных технологиях фишинга и других атаках на человека.

Фишинг против двухфакторной аутентификации

Start X — Wed, 03 May 2017 01:08:42 +0300

С помощью фишинга мошенники могут украсть ваш логин и пароль, чтобы зайти в почту, социальную сеть или любой другой сервис. Считается, что двухфакторная аутентификация помогает защититься от таких атак.

С такой аутентификацией кроме логина и пароля для входа понадобится СМС-код или токен из специального приложения на смартфоне:

Так работает «Гугл аутентификатор» — популярное приложение для генерации кодов двухфакторной аутентификации.

Мы покажем фишинговую атаку, которая позволяет мошенникам получить доступ в аккаунт, даже если он защищен двухфакторной аутентификацией, и объясним, как от этого защититься.

Сергей Волдохин
sv@antiphish.ru

1. «Традиционное» фишинговое письмо

Атака начинается с «обычного» фишингового письма. Такие письма еще два года назад отправляли пользователям «Гугла», чтобы украсть пароль и войти в почту и другие сервисы:

Примеры фишинговых сообщений электронной почты — статья в блоге Pentestit на Хабрахабре

Интересная деталь. Вместо прямой ссылки на неизвестный фишинговый сайт кнопка «Изменить пароль» ведет на популярный сайт liveinternet.ru. Хакеры используют так называемый «открытый редирект» с известного ресурса, чтобы отправить жертву на фишинговую страницу в домене loveandlight.no:

How Open Redirection Threatens Your Web Applications — блог компании Qualys

Аналогичный открытый редирект из домена «Гугла» использовался в недавних атаках на пользователей «Скайпа»:

Адрес мошеннического сайта закодирован, чтобы пользователю было сложнее его прочитать и понять, куда на самом деле ведет ссылка.

2. «Традиционный» фишинговый сайт

Жертва попадает на сайт, который достоверно имитирует интерфейс «Гугла» и предлагает сменить пароль:

Используется универсальный фишинговый скрипт, который в качестве параметра принимает адрес электроннной почты пользователя и отображает его же на этой странице.

3. Атака на двухфакторную аутентификацию

Мошенники понимают, что большинство пользователей «Гугла» уже знает про двухфакторную аутентификацию, поэтому третьим шагом они попытаются украсть одноразовый СМС-код, который нужен для входа кроме логина и пароля. Для этого у пользователя спросят действующий номер телефона:

Креатив от мошенников: выделенная фраза в данном контексте выглядит как злая шутка над жертвой.

И затем предложат ввести полученный код из СМС:

Очевидно, собственный фишинговый сервис позволяет мошенникам автоматически авторизоваться в «Гугле» от имени жертвы и ввести одноразовый код, чтобы получить доступ к почте, документам и другим сервисам «Гугла».

Новый уровень автоматизации

В апреле 2017 года разработчики проекта Evilginx заявили о поддержке имитированных фишинговых атак на сервисы с двухфакторной аутентификацией. Это означает, что мошенникам для создания вредоносных фишинговых кампаний теперь почти не требуется техническая квалификация — открытая платформа уже готова:

Выводы

Мошенники используют фишинг для кражи логинов, паролей и кодов двухфакторной аутентификации.
Не переходите по незнакомым или подозрительным ссылкам.
Проверяйте адреса сайтов, на которых вводите логин, пароль или одноразовый код.
Обязательно включите двухфакторную аутентификацию, если еще не сделали это: в «Гугле», «Яндексе», «Фейсбуке», во «Вконтакте» и других сервисах, которыми пользуетесь.
Обучайте своих пользователей основам информационной безопасности. Для начала можно переслать ссылку на эту статью.
Тренируйте и контролируйте практические навыки противодействия фишингу.

О компании «Антифишинг»

Чтобы проверить своих пользователей, заполните форму на сайте или напишите нам: ask@antiphish.ru

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы первыми узнать об актуальных технологиях фишинга и других атаках на человека.

Блог Start X: заметки с тегом статьи

Главная проблема ИБ — уязвимости людей

Насколько все плохо

Цифровой иммунитет

Модели угроз

Причина инцидентов — злой умысел или случайность?

Знаний недостаточно

Диспозиция/Предустановки/Убеждения

Невидимая горилла

Какие навыки защитят?

Как взламывают соцсети

Атаки на людей как разновидность маркетинга

Как защитить свой аккаунт в Telegram: два шага, которые нужно сделать прямо сейчас

Что происходит?

Схема № 1

Схема № 2

Что делать, если я уже перешел по ссылке и отправил код?

Как защитить свой аккаунт от таких атак?

Разбор мошеннической схемы: дорогой сертификат для участия в поддельном аукционе

Как безопасно забронировать гостиницу

Как люди обычно ищут гостиницу

В чём опасность поддельных сайтов

Фишинговые сайты

Посреднические сайты

Рекомендации по безопасному бронированию гостиниц

Где безопасно бронировать

Как определить что сайт отеля официальный, а не поддельный

Куда пожаловаться на фишинговый сайт

Фишинг после отключения макросов

В чем суть

Отключение макросов

Как приспосабливаются злоумышленники

Совет

Биометрия против мошенничества

Злоумышленники распространяют банковский троян через Яндекс.Формы

В чем суть

Глазами жертвы

Особенности атаки

Совет

Новый способ маскировки фишинговых ссылок для обмана пользователей и для обхода систем защиты

В чем суть

Глазами жертвы

Особенность атаки

Вышел отчёт Антифишинга о защищённости сотрудников за 2021 год

Как не допускать проблем класса Log4Shell

О чем речь

Как исключить влияние этой и аналогичных уязвимостей

Безопасность в соцсетях для подростков

Содержание

Соцсети: что может пойти не так

Общие правила

Настройка конфиденциальности в Instagram

Чек-лист по конфиденциальности Инстаграм

Настройки безопасности Instagram

Проверьте безопасность Instagram

Конфиденциальность ВКонтакте

Безопасность ВКонтакте

Проверьте конфиденциальность и безопасность ВКонтакте

Заключение

Антифишинг вошёл в топ-45 российских EdTech-компаний по итогам 2 квартала 2020 года

Мошенничество на теме COVID-19. Часть 2. Шантаж, вакцины и полный абсурд

«Проверьтесь, возможно, вы заражены»

«Плати выкуп, или заразим всю семью»

Фальшивые вакцины

Фальшивые тесты

Фальшивые сайты и приложения, информирующие о распространении COVID-19

Полный абсурд

Как противостоять цифровым атакам

Мошенничество на теме COVID-19. Часть 1. Несуществующие компенсации

Мошенники № 1. Объединённый компенсационный фонд

Мошенники № 2. Портал здравоохранения граждан СНГ

Мошенники № 3. Группа финансовой помощи

Наши рекомендации

Разбор Антифишинга от Артемия Лебедева: «Мне нравится такой подход»

«Да, на%бывают так — только в путь»

«Мне кажется, для большой компании, особенно где много людей получают всякие входящие переписки по емейл, это прям вещь. Мне нравится такой подход»

«Я бы для себя тоже такое заказал, но у нас в компании все прошаренные, не открывают левые письма, и у нас хорошая служба безопасности»

«Отличный проект»

Психологическая помощь себе, близким и коллегам в условиях социальной изоляции

Введение