На теневых форумах появились новые объявления о продаже персональных данных клиентов Сбербанка. На этот раз обнаружились сразу два "лота" - с 20 тыс. и со 100 тыс. строк. "Известия" проверили тестовый фрагмент первой базы и удостоверились в подлинности информации. При этом анализ экспертов показал, что сведения не совпадают с ранее выставленными на продажу - это говорит о том, что утечка новая. По словам продавца, он готов выгружать по 10 тыс. новых записей еженедельно и продавать каждую строку по 35 рублей. Мошенники могут воспользоваться этой информацией для кражи денег с использованием методов социальной инженерии.

Объявление о продаже свежей базы клиентов Сбербанка появилось в DarkNet во вторник, 12 февраля. Его разместил пользователь, который зарегистрировался на портале в середине января. Тогда же он и начал предлагать купить информацию о потребителях услуг Сбера.

Продавец заявил, что обладает 20 тыс. записей о клиентах Сбербанка стоимостью по 35 рублей. Он уверяет, что эти граждане проживают в регионах с часовым поясом +5 UTC, то есть в субъектах Уральского и Приволжского федеральных округов. Продавец добавил, что может дополнительно выгружать по 10 тыс. строк еженедельно.

В распоряжении "Известий" оказался тестовый фрагмент базы из 10 записей. Каждая содержит название банковского подразделения, полные ФИО, номер счета, паспортные данные, даты рождения и телефоны граждан. Судя по сокращенному названию подразделения, клиенты получили карты в Республике Башкортостан. Серия паспорта совпадает с кодовым номером (ОКАТО) региона.

"Известия" проверили мобильные телефоны через приложение "Сбербанк Онлайн", где при введении номера можно увидеть имя, отчество и первую букву фамилии. Шесть из десяти записей совпали, еще три оказались не привязаны к приложению, один телефон показал другое имя.

По указанным номерам удалось дозвониться до четырех клиентов: все подтвердили имя и дату рождения. Еще два номера оказались недоступны, остальные не ответили на звонки. В телефонном разговоре корреспондент предупредил, что эти данные могут быть использованы мошенниками, и напомнил о необходимости быть бдительными.

С высокой долей вероятности, это действительно клиенты Сбербанка, подтвердил технический директор компании по кибербезопасности DeviceLock Ашот Оганесян. По просьбе "Известий" он проверил данные из тестового фрагмента и заверил, что новая база не стала частью массовой утечки, о которой СМИ писали в октябре прошлого года. У новых записей другой формат, пояснил он, а данные, которые могут быть сверены (например, телефоны) в тестовых фрагментах, предоставленных продавцами тогда и сейчас, не совпадают.

Скорее всего, данные попали в продажу через инсайдера - сотрудника банка, который имеет доступ к информационной системе или серверу баз данных, откуда и делает выгрузку, предположил эксперт DeviceLock.

"Известия" направили запросы в Сбербанк, ЦБ и Роскомнадзор об объявлениях, размещенных на форуме.

Как пишет источник, компания Microsoft работает над новыми и более простыми путями установки драйверов и обновлений, не связанных с безопасностью, в Windows 10. Об этом было объявлено во время выпуска Windows 10 Build 19536.

По замыслу, новая система позволит пользователям отказаться от сторонних приложений для установки драйверов, а также едва ли не забыть о Менеджере устройств, который сейчас часто используется для установки, отката или удаления драйверов. Microsoft собирается вынести функции обновления драйверов, а также установки обновлений связанных с функциональностью и не связанных с безопасностью, в одно место, с которым уже и будет работать пользователь.

Ожидается, что новая система будет внедрена в следующее крупное обновление (например, весеннее) операционной системы в 2020 году.

Названы самые ненадежные пароли уходящего года. В рейтинге 200 позиций самых популярных паролей, которые были обнаружены анонимными исследователями (хакерами). Результатом поделился сервис по созданию надежных паролей NordPass. Всего было проанализировано 500 млн паролей.

"Мы говорили это раньше, и мы скажем это снова. И снова. И снова. Пароли - очень важны. Но эта мысль по-прежнему не доходит до миллионов людей, которые выбирают „12345" в качестве пароля", - сетуют авторы исследования.

Итак, самые популярные (и одновременно ненадежные) пароли содержат очевидные и легко угадываемые комбинации чисел: 12345, 111111, 123321, а также женские имена (Николь, Джессика, Ханна) и просто наборы букв, образованные горизонтальной или вертикальной линией на клавиатуре (QWERTY, asdfghjkl, qazwsx, 1qaz2wsx и т. д.). Очень популярным остается и "пароль" ("password") - такой пароль используют не менее 830 846 пользователей.

Эксперты отмечают, что люди выбирают легкие пароли потому, что их просто запомнить. По той же причине они обычно используют один пароль ко всем аккаунтам на всех устройствах.

Технология VPN-туннелей очень распространена и часто используется для допуска в защищённую корпоративную сеть пользователей, работающих удалённо.

Но совсем недавно появилось сообщение о методе атаки, который позволяет подменять или подставлять пакеты в TCP-соединениях IPv4 и IPv6, пробрасываемых через VPN.

Уязвимость получила порядковый номер CVE-2019-1489, она была обнаружена специалистами из Университета Нью-Мексико. Проблема затрагивает почти все UNIX-like операционные системы: Linux, FreeBSD, OpenBSD, Android, MacOS, iOS и другие.

Применяемые в туннелях алгоритмы шифрования не имеют значения: "поддельные" пакеты хотя и поступают из внешнего интерфейса, но обрабатываются ядром, как принадлежащие VPN-интерфейсу. При наличии дополнительных слоёв шифрования (TLS, HTTPS или SSH) вклиниться в VPN-туннель не получится.

Специалисты продемонстрировали успешную подмену для OpenVPN, WireGuard и IKEv2/IPSec. Tor уязвимости не подвержен, поскольку использует SOCKS и lo-интерфейс. В системах с ядром Linux уязвимость для IPv4 напрямую связана с тем, как настроена функция rp_filter (reverse path filtering). В режиме "Strict" уязвимости нет, но дело в том, что начиная с версии systemd 240 по умолчанию используется режим "Loose".

Для защиты VPN-туннелей с адресацией IPv4 достаточно будет переключиться на "Strict", в остальных случаях рекомендуется блокировать прохождение пакетов, у которых в качестве адреса назначения указан виртуальный адрес туннеля. Это временное решение до тех пор, пока в ядра подверженных уязвимости ОС не будет добавлена защита от описанной атаки.

 

Чтобы избежать таких проблем, эксперты порекомендовали внимательно изучить настройки конфиденциальности телевизора, выключать камеру и микрофон, когда они не нужны, или вовсе - просто заклеить объектив липкой лентой.

тут был плохой текст от рерайтера-журналиста

Вначале юзер просканировал Сеть, обнаружив большое количество открытых портов - на всё это он потратил меньше получаса.

Пользователи социальных сетей жалуются на шквал звонков с незнакомых номеров. На том конце провода не называются службой безопасности банка и не просят назвать CVC-код от пластиковой карты или пароль от онлайн-банка. А только задают странные вопросы. Например, "Это Наталья Александровна Иванова?" или "Вас беспокоят из социологического фонда. Скажите, вы пользуетесь интернетом?".

У граждан складывается впечатление, что звонящие - мошенники, заинтересованные только в одном: чтобы им ответили словом "да". Зачем им это нужно? Одного "да" мало

Отвечать словом "да" на прямой вопрос незнакомца (особенно если на том конце провода назвали ваши фамилию/имя/отчество) действительно опасно, говорят эксперты. Таким образом злоумышленники собирают цифровые отпечатки голоса: биометрию.

Дело в том, что с 1 июля прошлого года российские банки могут оказывать услуги без личного присутствия клиента. По данным Центрального банка РФ, биометрию сейчас можно сдать в 140 банках (в общей сложности - 5 тысяч отделений). Как говорится в исследовании консалтинговой компании KPMG "Banking Fraud Survey", 67% финансовых организаций по всему миру инвестируют деньги в развитие биометрии.

Чтобы удаленно пользоваться услугами банка, гражданин в своем финансовом учреждении должен подключить возможность аутентификации по голосу и передать биометрическую информацию (произнести несколько фраз). Это нужно для процедуры подтверждения личности.

"Злоумышленники могут перепродать собранную таким образом базу цифровых слепков голоса жертв, - говорит директор по стратегическим коммуникациям Infosecurity Softline Company Александр Дворянский. - Мошенники, помимо простого „да", как правило, пытаются добиться, чтобы жертва также произнесла фразу „я подтверждаю". Или даже кодовое слово. При наличии записи одной фразы система защиты банка может не поверить одному только телефонному „да", вырванному из контекста. А вот если у злоумышленника будет слепок голоса жертвы, состоящий из нескольких ключевых фраз, - „да", „я подтверждаю" и т. п. - это может дать ему дополнительные возможности добиться своего. Оформить кредит злоумышленники вряд ли смогут, но вот подтвердить перевод денежных средств у них может получиться".

В кол-центрах банков действительно есть системы, которые определяют людей по голосу. Помимо этого, клиентов узнают по кодовому слову, уникальному идентификатору SIM-карты и даже по лицу, рассказывает директор Департамента информационной безопасности компании Oberon Андрей Головин.

"Не стоит забывать, что разговор с оператором всегда вариативен, а мошеннику сложно предугадать, какие вопросы ему зададут. Оператор заметит, что речь и интонация записанных фраз неестественны. Также через контакт-центр деньги не могут быть переведены с вашего счета на какую угодно карту - только на те, которые вы сами добавили в личном кабинете. Поэтому, отвечая на вопрос о том, смогут ли мошенники с помощью данных записей снять деньги с вашего счета, уверенно скажу: нет", - успокаивает эксперт.

Тем не менее, по его словам, "развести на деньги" с подобными записями мошенники могут. Вот так:

- под видом соцопроса заставить произнести слова "да", "нет", "возможно";

- затем смонтировать аудиозапись, на которой вы как будто соглашаетесь на какие-либо сомнительные услуги или покупки;

- шантажировать, угрожая распространить эту "запись" среди ваших друзей, например, в социальных сетях.

Как себя обезопасить?

По словам Александра Дворянского, прежде всего надо приучить себя использовать христоматийное "алло". "Хорошим правилом также является не отвечать словом „да" на звонки с незнакомых номеров", - добавляет он.

Также можно записать реальный номер своего банка в адресную книгу на телефоне, так будет видно, когда звонят из финансового учреждения.

Если вы не планируете пользоваться услугами банка удаленно при помощи биометрии, от подключения такой возможности следует отказаться. "Напомню, что обязать гражданина „сдать биометрию" (отпечатки пальцев, образец голоса, сетчатки глаза или рисунка вен) ни одна финансовая организация не может. Это будет прямым нарушением Федерального закона „О персональных данных"", - объясняет Головин.

"И самое главное - если диалог с мошенником все-таки состоялся или есть подозрение, что собеседник действует незаконно, незамедлительно обращайтесь в свой банк и опишите эту ситуацию", - резюмирует Дворянский.

Исследователи из компании ESET выявили распространение неизвестными злоумышленниками вредоносной сборки Tor Browser. Сборка позиционировалась как официальная русская версия Tor Browser, в то время как к проекту Tor её создатели не имеют никакого отношения, а целью создание была подмена кошельков Bitcoin и QIWI.

Для введения пользователей в заблуждение создатели сборки зарегистрировали домены tor-browser.org и torproect.org (отличается от официального сайта torproJect.org отсутствием буквы "J", что многими русскоязычными пользователями остаётся незамеченным). Оформление сайтов было стилизовано под официальный сайт Tor. На первом сайте выводилась страница с предупреждением об использовании устаревшей версии Tor Browser и предложением установить обновление (ссылка вела на сборку с троянским ПО), а на втором содержимое повторяло страницу для загрузки Tor Browser. Вредоносная сборка была формирована только для Windows.

Троянский Tor Browser с 2017 года продвигался на различных русскоязычных форумах, в обсуждениях связанных с даркнетом, криптовалютами, обходом блокировок Роскомнадзора и вопросами обеспечения конфиденциальности. Для распространения браузера на pastebin.com также было создано множество страниц, оптимизированных для вывода в топе поисковых систем по темам, связанным с различными незаконными операциями, цензурой, именами известных политиков и т.п. Страницы с рекламой фиктивной версией браузера на pastebin.com были просмотрены более 500 тысяч раз.

Фиктивная сборка была основана на кодовой базе Tor Browser 7.5 и кроме встроенных вредоносных функций, небольшой корректировки User-Agent, отключения проверки цифровых подписей для дополнений и блокирования системы установки обновлений была идентична официальному Tor Browser. Вредоносная вставка сводилась к прикреплению обработчика контента в штатное дополнение HTTPS Everywhere (в manifest.json был добавлен дополнительный скрипт script.js). Остальные изменения были произведены на уровне корректировки настроек, а все бинарные части оставались от официального Tor Browser.

Интегрированный в HTTPS Everywhere скрипт при открытии каждой страницы обращался к управляющему серверу, который возвращал JavaScript-код, который следовало исполнить в контексте текущей страницы. Управляющий сервер функционировал как скрытый сервис Tor. Через выполнения JavaScript-кода злоумышленники могли организовать перехват содержимого web-форм, подстановку или скрытие произвольных элементов на страницах, отображение фиктивных сообщений и т.п. Тем не менее, при анализе вредоносного кода было зафиксирован только код для подмены реквизитов QIWI и кошельков Bitcoin на страницах приёма платежей в darknet. В ходе вредоносной деятельности на используемых для подмены кошельках накопилось 4.8 Bitcoin, что соответствует примерно 40 тысячам долларов.

В Android-версии защищенного мессенджера Signal выявлена логическая ошибка, позволяющая шпионить за пользователями. Уязвимость заключается в том, что преступники могут инициировать вызов и автоматически ответить на него без согласия пользователя. Иными словами, с помощью бага можно включить микрофон на устройстве и прослушивать ведущиеся вокруг разговоры.

Проблема схожа с обнаруженным в начале текущего года багом в функции Apple FaceTime в iOS, также позволявшем услышать звук и увидеть видео с устройства собеседника до того, как он ответит на звонок.

Уязвимость в Signal, обнаруженная специалистом команды Google Project Zero Натали Сильванович (Natalie Silvanovich), связана с методом handleCallConnected, отвечающим за конечное соединение вызова.

"В обычной ситуации вызов [handleCallConnected] происходит в двух случаях: когда вызываемое устройство принимает звонок при выборе пользователем ‘принять' или когда вызывающее устройство получает сообщение ‘соединить', если вызываемый принял звонок. С помощью модифицированного клиента возможно отправить сообщение ‘соединить' на вызываемое устройство во время звонка, но до того, как пользователь его принял. Таким образом вызов будет принят даже без участия пользователя", - пишет Сильванович.

Как отмечается, уязвимость срабатывает только при аудиозвонках, для видео звонков данный метод не подходит, поскольку в приложении Signal пользователям требуется вручную включить камеру.

Несмотря на то, что схожая проблема имеется и в iOS-версии мессенджера, в зоне риска находятся только пользователи Android-версии, поскольку в iOS-клиенте происходит сбой вызова из-за ошибки в пользовательском интерфейсе.

Разработчики приложения были проинформированы о проблеме и устранили ее спустя несколько часов после сообщения исследовательницы. Исправленная версия Signal для Android (4.48.13) доступна на GitHub.