+38 (044) 361-14-80 +38 (0482) 428-755      Пн - Пт, с 11.00 до 18.00

 Новости компьютерной безопасности

Втр, 04 Дек 2018 06:28:00
Специалист ИБ-компании Hacken Боб Дьяченко (Bob Diachenko) на досуге искал через поисковик Shodan незащищенные серверы и в итоге обнаружил интересный сервер ElasticSearchс, содержавший 73 Гб данных (некоторые БД были в кеше памяти сервера).
Подробнее...

Специалист ИБ-компании Hacken Боб Дьяченко (Bob Diachenko) на досуге искал через поисковик Shodan незащищенные серверы и в итоге обнаружил интересный сервер ElasticSearchс, содержавший 73 Гб данных (некоторые БД были в кеше памяти сервера).

В одной из баз исследователь нашел персональные данные 56 934 021 американского гражданина.

В большинстве случаев сведения о человеке подразумевали под собой имя и фамилию, домашний адрес, страну, индекс, номер телефона и IP-адрес.

Другая БД, называвшаяся Yellow Pages («Желтые страницы»), содержала еще 25 917 820 записей и, судя по всему, здесь речь шла уже о компаниях. Эта база данных была более информативна и содержала названия и подробности о предприятиях, индексы, точные координаты (широту и долготу),  информацию о переписных участках, телефонные номера, сетевые адреса, email-адреса, данные о количестве сотрудников, сведения о доходах, коды NAICS, SIC и так далее.

Дьяченко обнаружил проблемный сервер еще на прошлой неделе, 20 ноября 2018 года, но вскоре заметил, что Shodan проиндексировал эту установку ElasticSearch еще 14 ноября. То есть в настоящее время данные миллионов людей и компаний находятся в открытом доступе уже как минимум пару недель.

Исследователю не удалось установить точно, кому именно принадлежит неверно настроенный сервер, но Дьяченко полагает, что канадская фирма Data & Leads прямо или косвенно связана с найденными данными. В Data & Leads не ответили на запросы специалиста, а когда о находке Дьяченко написали журналисты издания ZDNet, сайт компании и вовсе ушел в оффлайн.

Хорошая новость заключается в том, что вместе с сайтом из сети пропал и проблемный сервер ElasticSearch. Впрочем, неясно, что именно это спровоцировало, и сыграли ли предупреждения специалиста хоть какую-то роль.

Дьяченко поделился обнаруженной информацией с операторами агрегатора утечек Have I Been Pwned (HIBP), чтобы в будущем пострадавшие пользователи могли воспользоваться услугами HIBP и узнать о компрометации своих данных.

Втр, 04 Дек 2018 06:15:00
Специалисты «Лаборатории Касперского» рассказали о наборе утилит KoffeyMaker, который не содержит фактической малвари и позволяет грабить банкоматы.
Подробнее...

Специалисты «Лаборатории Касперского» рассказали о наборе утилит KoffeyMaker, который не содержит фактической малвари и позволяет грабить банкоматы.

Исследователи рассказывают, что невзирая на установленные повсеместно видеокамеры и прочие риски, атаки типа black box (то есть атаки на банкоматы с использованием прямого подключения) по-прежнему весьма популярны. Можно предположить, что основной причиной этого являются низкие требования к квалификации грабителя – на специализированных сайтах можно найти как нужные инструменты, так и инструкции по их применению.

Такие атаки, объединенные инструментарием под условным названием KoffeyMaker, специалисты «Лаборатории Касперского» расследовали в 2017-2018 годах, когда несколько восточноевропейских банков обратились к компании за помощью в расследовании: преступники быстро и практически беспрепятственно опустошали их банкоматы.

Вскоре специалистам стало ясно, что они имеют дело с black box: злоумышленник вскрывал банкомат, подключал диспенсер к своему ноутбуку, закрывал банкомат и покидал место преступления, оставив устройство внутри. Дальнейшее расследование показало, что в качестве «орудия преступления» выступал ноутбук с установленными драйверами для диспенсера банкомата и пропатченной утилитой KDIAG; для организации удаленного доступа к нему был подключен USB GPRS модем. В качестве ОС использовалась Windows, скорее всего, версии XP, ME или 7 для лучшей совместимости с драйверами.

Дальше ситуация развивалась по стандартному сценарию: в условленное время злоумышленник возвращался и имитировал работу с банкоматом, тогда как его сообщник удаленно подключался к спрятанному ноутбуку, запускал KDIAG и отдавал диспенсеру команду на выдачу банкнот. После этого преступник забирал деньги, а затем и ноутбук.

Всю операцию вполне мог реализовать и один человек, однако более распространенной оказалась партнерская схема, в которой один участник является «мулом» и работает непосредственно с деньгами и банкоматом, а второй за долю от награбленного обеспечивает техническое сопровождение операции. Исследователи подчеркивают, что добыча с одного банкомата может исчисляться десятками тысяч долларов, а помешать осуществлению такой атаки может только hardware-шифрование данных на участке «диспенсер – ATM PC».

Аналитики пишут, что в целом атаки с использованием KoffeyMaker напоминают метод Cutlet Maker, описанный в прошлом году (за исключением использованного ПО). Специалистам «Лаборатории Касперского» удалось воспроизвести все стадии атаки KoffeyMaker в тестовой лаборатории. Необходимые для этого инструменты тоже нашлись без труда — для осуществления атаки использовались легитимные программы, за исключением пропатченного KDIAG, который продукты «Лаборатории Касперского» детектируют как RiskTool.Win32.DIAGK.a. Отмечается, что ранее той же самой версией этой программы пользовались члены известной хак-группы Carbanak.

Втр, 04 Дек 2018 06:10:00
Компания Microsoft рассказала, что за последние два месяца индийская полиция приняла меры в отношении 26 колл-центров фальшивой техподдержки, чьи операторы выдавали себя за представителей Microsoft, Google, Apple и других крупных ИТ-компаний.
Подробнее...
все антивирусы в одном приложении

Сообщение : Ошибка (#950)

Возникла ошибка, возможно, неверный адрес?

Втр, 04 Дек 2018 06:01:00
Специалисты компании CheckPoint рассказали об эволюции майнинговой малвари KingMiner, впервые обнаруженной еще летом 2018 года.
Подробнее...

Специалисты компании CheckPoint рассказали об эволюции майнинговой малвари KingMiner, впервые обнаруженной еще летом 2018 года.

За это время вредонос, атакующий Windows-серверы, получил два обновления, обзавелся обфускацией, и количество его атак постоянно растет.

Аналитики пишут, что KingMiner преимущественно атакует серверы Microsoft IIS и SQL, используя брутфорс и словарные атаки, чтобы получить доступ к системе. Если доступ получен, вредонос проверяет, с какой архитектурой CPU он имеет дело, а также ищет в системе собственные старые версии (если таковые обнаруживаются, KingMiner удаляет их, заменяя новыми). При этом KingMiner старается по возможно избегать обнаружения и действовать скрытно. Так, вредонос обнаруживает эмуляторы и не запускается в тестовом окружении, а также использует пейлоады XML, замаскированные под архивы ZIP.

Малварь строится на базе открытого майнера XMRig и добывает криптовалюту Monero. В конфигурации малвари можно обнаружить данные о приватном майниновом пуле с отключенным API, что тоже позволяет преступникам избегать ненужного внимания. Это обстоятельство также не позволяет узнать, сколько Monero уже добыли операторы вредоноса.

По данным исследователей, KingMiner должен оттягивать на себя 75% мощностей CPU зараженных систем, однако по какой-то причине майнер использует процессоры на все 100%. Очевидно, в этом виноват некий баг в коде.

По данным CheckPoint, уже сейчас KingMiner распространен в разных странах мира, включая Мексику, Индию, Норвегию и Израиль. И аналитики предрекают, что в будущем 2019 году майнер может стать еще опаснее, так как его разработчики, похоже, всерьез намерены добавить в арсенал KingMiner и другие техники уклонения от обнаружений. Уже в настоящее время последние версии малвари плохо обнаруживаются защитными продуктами. Так, на момент публикации отчета, угрозу в KingMiner усматривали только семь защитных решений, представленных на VirusTotal.

Втр, 04 Дек 2018 05:46:00
Представьте: вы торопитесь домой после утомительного рабочего дня.
Подробнее...

Представьте: вы торопитесь домой после утомительного рабочего дня.

Открываете приложение на смартфоне, касаетесь кнопки на экране — и тут же в десятке километрах от вас оживает ваша квартира. Загораются умные лампочки, умный термостат начинает нагревать помещение, умный чайник кипятит воду для вечернего чаепития. Удобная штука умный дом!

Но у каждой медали две стороны, и на оборотной стороне этой — зависимость умных домов от работоспособности многих других вещей. Выйти из строя может любой компонент системы, и чем больше в ней сторонних продуктов, тем меньше стоит рассчитывать на ее надежность.

В холодном плену

На прошлой неделе Twitter захлестнула волна жалоб: пользователи термостатов Netatmo писали, что внезапно потеряли возможность контролировать температуру в своих домах. Оказалось, что несколько серверов Netatmo упали, а оставшиеся не смогли справиться с нагрузкой и обработать запросы всех пользователей.

На этот случай в термостатах Netatmo предусмотрен режим ручного управления, который позволяет изменить температуру вручную, без приложения. Но, по всей видимости, у некоторых пользователей этот режим просто не работал, поэтому они вынуждены были дрожать от холода, любуясь на гениальное, но полностью бесполезное достижение техники.

Зависимость от сторонних поставщиков дополнительно повышает вероятность сбоев, и проблема ненадежности встает еще острее. Например, некоторые гаджеты для продвинутых домов управляются через весьма занятный сервис под названием IFTTT (If This Then That, что можно примерно перевести как «Если произойдет это, сделать то»), размещенный на платформе Amazon Web Services. В прошлом году серверы IFTTT остановились из-за сбоя в работе инфраструктуры Amazon, и пока они не ожили, пользователи потеряли контроль над своими умными домами.

Срок годности вашего умного дома подошел к концу

Проблемы могут быть связаны не только с перебоями в работе ЦОД. Когда-то давно (до 2014 года, если быть точным) существовала небольшая компания Revolv, которая производила «смарт-хабы». Это умные коробочки, которые служат центром умных домов и позволяют управлять компонентами их системы через мобильное приложение. Хабы и приложение общались друг с другом через сервер.

Как вы знаете, компании продаются и покупаются, что и произошло с Revolv — ее приобрел более крупный поставщик решений для умного дома, компания Nest. Которую, в свою очередь, за несколько месяцев до сделки поглотила компания Google.

Сразу после приобретения конкурента Nest прекратила продажи смарт-хабов Revolv. Уже проданные устройства некоторое время продолжали работать, но в 2016 году в Nest решили полностью избавиться от наследия Revolv и отключили серверы, на которых держалась инфраструктура поглощенной компании.

Таким образом, в мае 2016 года смарт-хабы Revolv стали абсолютно бесполезными. Они просто-напросто ничего больше не делали. Ничегошеньки. Приложение тоже перестало работать. В 2014 году хабы Revolv продавались по 300 долларов за штуку — отличная цена за устройство, которое через пару лет превратится в никчемную пластиковую коробку.

Ваша лампочка несовместима с GDPR

Когда вступил в силу Общий регламент по защите данных ЕС (он же GDPR — документ, определяющий порядок обработки данных), в Интернете многое изменилось. Помимо всего прочего, некоторые американские сайты перестали открываться с европейских IP-адресов, поскольку их владельцы, опасаясь штрафов за неправильную обработку данных европейцев, решили просто с ними не связываться.

Регламент GDPR повлиял и на вполне реальные объекты, ведь сейчас виртуальная среда очень тесно связана с физической. Например, в Европе умные лампочки Xiaomi Yeelight с управлением через приложение полностью утратили свои умные функции после GDPR-совместимого обновления. Они превратились в обычные лампочки, которые загораются только по нажатию выключателя. Конечно, это лучше, чем полная неработоспособность, но, скорее всего, у покупателей были несколько другие ожидания.

Робопылесос-шпион

Все злоключения, о которых мы написали выше, никак не связаны с действиями пользователей: термостаты Netatmo, хабы Revolv и лампочки Yeelight работали бы отлично и дальше, если бы не происходило всякое на стороне серверов. А что на этих серверах происходит на самом деле — это вообще отдельная история.

Разработчики гаджетов для умных домов собирают и обрабатывают данные, которые получают от своих приложений и устройств. Им это нужно, во-первых, для того, чтобы поддерживать функциональность умных устройств, а во-вторых, чтобы разрабатывать новые возможности. Ну и, конечно, чтобы получше вас узнать. Ах да, еще некоторые разработчики приторговывают собранной информацией.

То, что наши данные стали разменной монетой корпораций, ни для кого не новость (если, конечно, вы не провели последний десяток лет в глуши тайги). Но не все хорошо понимают, какую информацию о нас собирают поставщики умных устройств и как именно они это делают. То есть мы, например, знаем, что Google и Facebook что-то там собирают, когда мы ходим по Интернету или сидим в соцсетях. Но понимают ли все пользователи Nest, что сама Nest уже в кармане Google, и что теперь Google владеет, к примеру, информацией о том, какая температура установлена в их доме?

А в курсе ли владельцы роботов-пылесосов iRobot, что iRobot и Google недавно заключили соглашение, где, в числе прочего, говорится, что Google сможет заглянуть в карты помещений, составленные роботами-пылесосами? По сути, компания пополнила и без того огромную копилку ваших личных данных планировкой дома.

Не только Google и Facebook одержимы данными о своих пользователях — компания Xiaomi тоже фиксирует планы помещений с помощью своих роботов-пылесосов Xiaomi Mi Robot и автоматически загружает их себе на сервер. Любопытный факт: роботы-пылесосы Xiaomi управляются через приложение, которое работает только при подключении к серверу (и для большинства пользователей это сервер, который находится в Китае).

Just letting you know you can&

Втр, 04 Дек 2018 05:35:00
Из-за современных технологий секреты людей все чаще становятся достоянием общественности — и примеров тому множество: от массовых утечек персональных данных до появления в сети приватных (и даже очень приватных) фотографий и частной переписки.
Подробнее...

Из-за современных технологий секреты людей все чаще становятся достоянием общественности — и примеров тому множество: от массовых утечек персональных данных до появления в сети приватных (и даже очень приватных) фотографий и частной переписки.

В рамках этого поста мы не будем учитывать бесчисленные досье на каждого гражданина, хранящиеся в базах данных государственных и коммерческих структур — беззаботно предположим, что эти данные надежно защищены от посягательств (хотя на самом деле это не так). Также отбросим утерю флешек, атаки хакеров и другие подобные инциденты, которые, конечно, тоже регулярно случаются. Рассмотрим пока только ситуацию, когда пользователь сам выкладывает данные в Сеть. Казалось бы, не хочешь — не публикуй. Но проблема здесь в том, что разместить в Интернете деликатную информацию о человеке может не только он сам, но и кто-то другой — например, его друзья или родственники, в том числе без его согласия.

Публичные гены

Причем деликатная информация может быть такая, что нарочно не придумаешь. Например, в Сети без вашего ведома может оказаться ваша ДНК. В последнее время набирают популярность «генетические» онлайн-сервисы, такие как 23andMe, Ancestry, GEDmatch и MyHeritage (кстати, MyHeritage не так давно протек, но это тема для отдельного поста). Пользователи сервисов добровольно передают им образец биоматериала (мазок с внутренней стороны щеки или слюну), на основе которого в лаборатории формируют их генетический профиль. С его помощью можно, например, выяснить собственную родословную или определить генетическую предрасположенность к тем или иным заболеваниям.

Ни о какой конфиденциальности при этом речи не идет: генеалогические сервисы дают всем желающим возможность сличить свой профиль с ранее загруженными (иначе семья никак не отыщется). Впрочем, и сам пользователь обычно раскрывает информацию о себе по доброй воле — по той же самой причине: чтобы другие пользователи, оказавшиеся его родственниками, смогли бы его найти. Занятная деталь состоит в том, что клиенты подобных сервисов заодно публикуют и генеалогическую информацию своих родственников, наследующих общие с ними гены. Родственники же, вполне возможно, вообще не хотят, чтобы их кто-то искал, и особенно — по ДНК.

Польза от генеалогических сервисов несомненна — взять хотя бы счастливое воссоединение семей. Однако не стоит забывать, что воспользоваться открытой генетической базой можно и с не очень мирными целями.

Все люди — братья

На первый взгляд может показаться, что проблема размещения в открытом доступе генетической информации надумана и никаких практических последствий не имеет. Однако на деле с помощью генеалогических сервисов и частички биоматериала (кусочка кожи, ногтя, волос, крови, слюны и так далее) можно при определенных обстоятельствах установить личность человека — для поиска не понадобится даже его фотография.

Реальность угрозы раскрыта в исследовании, опубликованном в октябре в журнале Science. Один из авторов работы, Янив Эрлих (Yaniv Erlich), не понаслышке знает тонкости этой отрасли, так как является сотрудником компании MyHeritage, предоставляющей услуги по анализу ДНК и созданию генеалогического древа.

По данным исследователей, к настоящему времени около 15 миллионов человек провели генетический тест и сформировали свой профиль в электронном виде (при этом, по другим данным, у одного только MyHeritage более 92 миллионов пользователей). На примере США исследователи предсказали, что уже в ближайшем будущем открытые генетические данные позволят по ДНК установить личность любого американца, имеющего европейских предков (доля таковых среди протестировавшихся в настоящее время особенно велика). При этом нет разницы, проходил искомый субъект тест сам или это сделали его любопытные родственники.

Чтобы показать, насколько легко установить личность человека по ДНК, Эрлих с коллегами взяли находящийся в открытом доступе генетический профиль участницы научного проекта, посвященного изучению генома, «пробили» его по базе сервиса GEDmatch и в течение дня установили фамилию и имя владелицы ДНК, пишет Nature.

Эффективность метода уже оценили правоохранители, сумевшие раскрыть благодаря генеалогическим онлайн-сервисам несколько безнадежных дел.

Как цепочка ДНК привела к преступнику

Этой весной, спустя 44 года безуспешных поисков, в Калифорнии был арестован 72-летний подозреваемый в серии убийств, изнасилований и грабежей. Вычислить его удалось именно благодаря доступной в Интернете генеалогической информации.

На основе найденного на месте одного из преступлений биоматериала в лаборатории сформировали генетический профиль, удовлетворяющий требованиям публичных генеалогических сервисов. Затем детективы, как обычные пользователи, проверили полученный файл через сервис GEDmatch и составили список вероятных родственников преступника.

Всего их нашлось более десятка, все — довольно дальние родственники (не ближе троюродных). Другими словами, у этих людей были с преступником общие предки в начале XIX века. По описанию The Washington Post, в ходе расследования пять специалистов по генеалогии, вооружившись архивами переписи населения, газетными некрологами и другими данными, стали шаг за шагом продвигаться от этих предков «вперед во времени», заполняя пустые места в ветвистом генеалогическом древе.

В итоге образовался огромный круг ныне живущих дальних родственников преступника. Отбросив тех из них, кто не подходил по полу, возрасту и другим критериям, следователи в конце концов вышли на подозреваемого. Детективы установили за ним слежку, добыли предмет с сохранившимся образцом ДНК и сравнили его с материалом, найденным на месте преступления много лет назад. ДНК в образцах оказалась одинаковой — и 72-летнего Джозефа Джеймса ДиАнджело арестовали.

Этот случай показал главное преимущество генеалогических онлайн-сервисов общего пользования перед базами данных о ДНК правоохранительных органов с точки зрения следователей: в их собственных базах хранятся только сведения о преступниках, в то время как базы онлайн-сервисов наполняют сами пользователи, косвенно «затягивая» туда и родственников.

А теперь представим, что человека искали не правоохранители, а преступники — например, им понадобилось найти случайного свидетеля или заинтересовавшую их жертву. Сервисы ведь публичные, воспользоваться ими может каждый. Страшновато получается.

Отметка как улика

И все же поиск по ДНК с использованием публичных сервисов — это пока экзотика. Добрые друзья и родные могут случайно помочь найти вас преступникам, правоохранительным органам и вообще кому угодно, не только создавая генетические профили. Мы говорим про повсеместно распространенную практику отмечать человека на фотографиях, видео или просто в постах в соцсетях.

Даже если никто не искал вас с недобрым умыслом, из-за этих отметок может возникнуть неловкая ситуация. Скажем, солидный профессор не станет публиковать снимки с веселой вечеринки, а беззаботный лаборант не только загрузит их, но и отметит на них профессора. После этого фотография автоматически всплывет на странице последнего, подрывая его авторитет в глазах студентов.

Подобный неосторожный пост для отмеченного в нем человека вполне может стать причиной увольнения с работы, отчисления из учебного заведения и других проблем. К слову, любая информация в соцсетях легко может также стать недостающим звеном в упомянутом поиске с помощью открытых данных генеалогических сервисов.

Где и как можно вас отметить — и как это настроить

Социальные сети позволяют своим пользователям в разной степени контролировать упоминания о себе. Так, Facebook и «ВКонтакте» дают возможность удалять отметки с опубликованных другими людьми фотографий и ограничивать круг тех, кто может просматривать материалы с отметками или отмечать вас. Например, пользователь Facebook может при публикации запретить показывать их друзьям отмеченного, а для «Вконтакте» в настройках приватности указать круг тех, кто сможет просмотреть фото с ним.

Любопытно, что Facebook не только побуждает пользователей отмечать друзей чаще, формируя подсказки при помощи технологии распознавания лиц (эту функцию можно отключить в настройках аккаунта), но и помогает контролировать свою конфиденциальность: соцсеть присылает уведомление, если та же технология опознает вас на чужом снимке.

В Instagram, цитируем, все люди, кроме заблокированных вами, могут отмечать вас на своих фото и видео. Зато в этой соцсети можно выбрать, будут ли фотографии, на которых вы отмечены, появляться в вашем профиле автоматически — или только после вашего одобрения. Также можно выбрать, кто будет видеть эти посты в вашем профиле.

Несмотря на все эти функции, частично позволяющие контролировать, где и как вы «засветились», потенциальные угрозы по-прежнему велики. Даже если вы запретите отмечать себя на снимках, ваше имя (в том числе со ссылкой на страницу) по-прежнему могут упомянуть в описании или в комментариях к фото. В итоге фотография все равно будет связана с вами, и уследить за подобными утечками практически невозможно.

Друзья как на подбор

Впрочем, технологии могут сдать посторонним подробности вашей жизни, которые вы предпочли бы держать в тайне, и совсем без участия друзей и родственников. Например, из-за особенностей механизма рекомендаций. «ВКонтакте» предлагает подружиться с людьми, с которыми у пользователя есть общие друзья в соцсети. А вот алгоритм Facebook ищет кандидатов гораздо активнее. Эта соцсеть может порекомендовать вам обратить внимание на тех, кто состоит с вами в одной группе или относится к одному сообществу (школе, университету, организации). Кроме того, для подбора друзей используется контактная информация пользователей, загруженная в Facebook с мобильных устройств. Однако всех критериев, по которым алгоритм подбирает потенциальных друзей, Facebook не раскрывает, и иногда остается только гадать, откуда соцсеть знает о ваших социальных связях.

Как это связано с приватностью? Вот пример. Известен случай, когда система рекомендовала стать друзьями незнакомым между собой пациентам одного психиатра — и один из них даже догадался, откуда дует ветер. А ведь данные, которые касаются здоровья, особенно психического, — одни из самых чувствительных. Хранить их в социальной сети добровольно решились бы далеко не все.

Подобные случаи были упомянуты в обращении комиссии Сената США к руководству Facebook по итогам сенатских слушаний в апреле 2018 года, посвященных приватности пользователей Facebook. Представители соцсети в своем ответе случаи с пациентами не прокомментировали, перечислив лишь упомянутые выше источники сведений для алгоритма подбора друзей.

Что будет дальше?

Уже сейчас в Сети хранится гораздо больше социальной и даже биологической информации о нас, чем мы думаем. И не всегда мы можем ее контролировать — хотя бы потому, что зачастую просто о ней не знаем. Весьма вероятно, что вскоре, с дальнейшим развитием технологий, сами понятия о личном и секретном уйдут в прошлое — наши жизни в реальности и в Сети все сильнее переплетаются, а в Интернете любое тайное рано или поздно становится явным.

Впрочем, последнее время проблемой приватности озаботились на уровне государств и даже содружеств стран, так что, возможно, человечество все же найдет способ отгородиться от нежеланных глаз в Сети.

Втр, 04 Дек 2018 04:14:00
Практически у каждого интернет-провайдера есть такая услуга: фиксированный внешний IP-адрес.
Подробнее...

Практически у каждого интернет-провайдера есть такая услуга: фиксированный внешний IP-адрес.

Его же иногда называют «реальным IP», «белым IP» или «прямым IP». Некоторые подключают ее по принципу «чтобы было», некоторые — с вполне осознанной целью. Однако внешний IP-адрес может таить множество опасностей. Что это за услуга, кому она может понадобиться и чем вы рискуете, подключив ее, — расскажем прямо сейчас.

Что такое IP-адрес и как это все работает

Если вы хотите отправить другу открытку из путешествия, вам нужно знать его адрес. Без этого почтовая система никак не сможет узнать, где искать вашего друга. Интернет работает примерно так же: все действия в Интернете, от проверки почты до просмотра смешных видеороликов, требуют обмена данными между вашим устройством и серверами, и у каждого участника должен быть свой адрес, по которому его можно идентифицировать.

Например, чтобы открыть страницу в браузере, компьютер должен обратиться к серверу по его адресу, а тот, в свою очередь, отправит эту страницу обратно — тоже по адресу. Передача и запросов, и ответов происходит при помощи пакетов, которые, как и обычные бумажные письма, содержат адреса отправителя и получателя. Такие адреса называются IP-адресами и записываются в виде четырех чисел от 0 до 255, разделенных точками: например 92.162.36.203. Всего возможных комбинаций немногим более 4 миллиардов, а это гораздо меньше, чем устройств, подключенных к Интернету.

Поэтому IP-адреса решили экономить и придумали механизм NAT (Network address translation) — «трансляцию сетевых адресов». Работает этот механизм следующим образом: интернет-провайдер использует один внешний IP-адрес для всех своих абонентов, а самим им присваивает внутренние.

Это похоже на офисную АТС: когда вам звонят из какой-нибудь фирмы, то всегда определяется один и тот же номер, а телефоны разных сотрудников имеют дополнительные, внутренние номера. Дозвониться до конкретного человека напрямую нельзя, но можно набрать общий номер — и секретарь соединит вас с нужным абонентом.

В роли такого «секретаря» и выступает NAT: получив пакет для внешнего сервера, он запоминает, какое устройство его отправило (чтобы знать, куда передавать ответ), и подставляет вместо его адреса-номера свой, общий для всех, после чего пересылает пакет дальше. Соответственно, при получении ответного пакета, который изначально был отправлен на общий адрес, NAT подставляет в него адрес во внутренней сети провайдера, и «письмо» летит дальше, к тому устройству, которому оно в действительности адресовано.

Механизм NAT может работать по цепочке — например, ваш домашний Wi-Fi-роутер создает локальную сеть со своими IP-адресами и переадресует пакеты, направляемые в сеть провайдера и из нее. При этом он может даже не знать, что сам находится за NAT провайдера. Казалось бы, все прекрасно, зачем тогда внешний IP-адрес?

Дело в том, что с NAT все отлично работает до тех пор, пока все соединения инициируются именно из внутренней сети. То есть если это вы открываете сайты, скачиваете файлы и смотрите видео. Но если к вашему устройству нужно подключиться из Интернета, то через NAT это реализовать невозможно: все пакеты, которые поступят на IP-адрес провайдера, уйдут в никуда, потому что они не являются ответом на чей-то внутренний запрос, и кому их слать дальше — непонятно.

Поэтому для тех случаев, когда к своей сети нужен доступ извне, используют внешний IP-адрес — уникальный и неповторимый. Это примерно как телефону директора в офисе присвоить отдельный прямой городской номер, чтобы те, кто его знает, могли позвонить сразу ему, минуя секретаря.

Зачем нужен внешний IP

Дома это может пригодиться, например, если вы хотите получать доступ к файлам на домашнем компьютере с работы или, скажем, из гостей, вместо того чтобы держать их в облачных хранилищах.

Очень популярны внешние IP-адреса у геймеров: можно создать собственный сервер для многопользовательской игры со своими правилами, модами, картами и приглашать друзей играть. А еще внешний IP-адрес нужен для стриминга игр с удаленных устройств типа Xbox, Playstation или вашего игрового компьютера на ноутбук, когда вы, допустим, решили поиграть в гостях или в поездке.

Иногда внешний IP-адрес требуется для работы сервисов видеонаблюдения и прочих охранных систем, решений для «умного дома» и так далее, однако преимущественно старых. Большинство современных систем — облачные. Это значит, что вы регистрируете свои домашние устройства на специальном доверенном сервере.

После этого все команды устройствам вы отправляете не напрямую им, а на этот сервер. В свою очередь, устройства периодически обращаются к нему и спрашивают, не поступило ли для них команд. При таком подходе реальный IP не требуется — на всех этапах система NAT понимает, куда возвращать пакеты. Заодно через этот же сервер вы можете получать информацию с устройств и управлять ими из любой точки мира.

Чем опасен внешний IP

Главная опасность внешнего IP-адреса заключается в том же, в чем и его преимущество: он позволяет подключиться к вашему устройству напрямую из Интернета. Из любой точки мира, кому угодно — то есть и злоумышленникам тоже. Затем, используя те или иные уязвимости, киберпреступники вполне могут добраться до ваших файлов и украсть какую-нибудь конфиденциальную информацию, которую потом можно или продать, или вас же ею и шантажировать.

Кроме того, злоумышленник может изменить настройки вашего доступа в Интернет, например, заставить роутер вместо некоторых сайтов подсовывать вам их фишинговые копии — тогда у вас очень быстро украдут все логины и пароли.

Как хакеры узнают, на кого нападать? Во-первых, есть общедоступные интернет-сервисы, которые регулярно проверяют все IP-адреса подряд на предмет уязвимостей и позволяют буквально в пару кликов найти тысячи устройств, имеющих ту или иную дырку, через которую их можно взломать. Во-вторых, при желании злоумышленники могут узнать именно ваш IP — например, через запущенный Skype. Еще ваш адрес видно, когда вы просто заходите на страницы сайтов.

Кстати, по реальному IP-адресу можно не только взломать вашу домашнюю сеть, но и устроить на вас DDoS-атаку, отправляя вам одновременно множество пакетов с разных устройств и перегружая интернет-канал и роутер. У вашего интернет-провайдера от этого есть защита, а у вас? Такие атаки часто проводят против геймеров и стримеров — например, чтобы «выкинуть» сильного противника из соревнования, «подвесив» ему Интернет.

Как защититься

Лучший способ защиты — это, конечно, вообще не использовать внешний IP-адрес, особенно если вы не уверены, что он вам необходим. Не ведитесь на рекламу интернет-провайдеров, как бы убедительна она ни была.

Если же уверены, что прямой IP вам нужен, то первым делом поменяйте используемый по умолчанию пароль от роутера. Это не защитит вас от хакеров, эксплуатирующих уязвимости конкретной модели устройства, но спасет от менее квалифицированных злоумышленников. Хорошей идеей будет использовать роутер той модели, в которой меньше известных и популярных среди хакеров дырок — правда, чтобы это понять, придется как следует порыться в Интернете.

Прошивку роутера желательно регулярно обновлять — в более свежих версиях прошивок, как правило, устраняют ошибки, которые были найдены в ранних версиях. И, конечно, в роутере нужно включить все имеющиеся встроенные средства защиты — в домашних моделях это не самые эффективные решения, но хоть что-то.

Кроме того, желательно использовать VPN — например, Kaspersky Secure Connection. Тогда ваш внешний IP-адрес, по крайней мере, не будет виден везде, где вы бываете в Интернете: вместо него будет отображаться адрес VPN-сервера.

Наконец, не пренебрегайте защитными решениями как на компьютерах, так и на мобильных устройствах. Сегодня они не просто ловят зловредов, но и позволяют защититься от другого рода атак вроде перенаправления на зловредные сайты или добавления вредоносной рекламы — а именно такие атаки наиболее вероятны при взломе роутера.

Вск, 02 Дек 2018 04:49:00
Как правило, злоумышленники используют несколько традиционных каналов распространения вредоносных программ, в основном – спам-рассылки.
Подробнее...

Как правило, злоумышленники используют несколько традиционных каналов распространения вредоносных программ, в основном – спам-рассылки.

Но иногда встречаются и иные подходы к дистрибуции компьютерных угроз, об одном из которых специалисты компании «Доктор Веб» рассказывают в этой статье.

Сам по себе Trojan.Click3.27430 не представляет особого интереса: это обычный троянец-кликер для искусственной накрутки посещаемости веб-сайтов. Гораздо любопытнее метод, используемый злоумышленниками для установки этой вредоносной программы на устройства потенциальных жертв.

Целевая аудитория этого троянца — пользователи программы DynDNS, которая позволяет привязать субдомен к компьютеру, не имеющему статического IP-адреса. Вирусописатель создал в Интернете веб-страницу dnsip.ru, с которой якобы можно бесплатно скачать эту программу. Также вирусописателю принадлежит домен dns-free.com, с которого происходит автоматическое перенаправление посетителей на сайт dnsip.ru.

С указанного сайта действительно можно загрузить некий архив. В нем содержится исполняемый файл setup.exe, который на самом деле представляет собой не программу установки DynDNS, а загрузчик. В этом загрузчике хранится имя скачиваемого из Интернета файла, который в исследованном нами образце называется Setup100.arj.

Несмотря на «говорящее» расширение, Setup100.arj — не ARJ-архив, а исполняемый MZPE-файл, в котором вирусописатель изменил три значения таким образом, чтобы он не распознавался в качестве MZPE автоматизированными средствами анализа и другими приложениями.

В первую очередь с использованием PowerShell он отключает Windows Defender и для пущей надежности вносит изменения в записи системного реестра, отвечающие за запуск этой программы.

Затем дроппер сохраняет в папку System32 файлы instsrv.exe, srvany.exe, dnshost.exe и yandexservice.exe. Instsrv.exe, srvany.exe и dnshost.exe — это разработанные Microsoft утилиты для создания в Windows определяемых пользователем служб, а yandexservice.exe — сам троянец Trojan.Click3.27430. Затем дроппер регистрирует исполняемый файл yandexservice.exe, в котором и реализованы все вредоносные функции Trojan.Click3.27430, в качестве службы с именем «YandexService». При этом в процессе установки настраивается автоматический запуск этой службы одновременно с загрузкой Windows. Сохранив на диске и запустив вредоносную службу, дроппер устанавливает настоящее приложение DynDNS. Таким образом, если впоследствии пользователь решит деинсталлировать его с зараженного компьютера, будет удалена только сама программа DynDNS, а Trojan.Click3.27430 по-прежнему останется в системе и продолжит свою вредоносную деятельность.

Вирусные аналитики исследовали и другой компонент троянца, выполненный в виде исполняемого файла с именем dnsservice.exe, который также устанавливается на зараженный компьютер в качестве службы Windows с именем «DNS-Service». Вирусописателя выдают характерные отладочные строки, которые он забыл удалить в своих вредоносных программах:

  • C:\Boris\Программы\BDown\Project1.vbp
  • C:\Boris\Программы\BarmashSetService\Project1.vbp
  • C:\Boris\Программы\Barmash.ru.new\Project1.vbp
  • C:\Boris\Программы\Barmash_ru_Restarter3\Project1.vbp

Этот компонент распространяется в виде маскирующегося под архив файла dnsservice.arj с сайта barmash.ru. 

Все известные на сегодняшний день модификации Trojan.Click3.27430 распознаются и удаляются Антивирусом Dr.Web, а сайты dnsip.ru, dns-free.com и barmash.ru были добавлены в базы нерекомендуемых интернет-ресурсов веб-антивируса SpIDer Gate.

Согласно информации, которую удалось собрать аналитикам «Доктор Веб», на сегодняшний день от этого троянца пострадали порядка 1400 пользователей, при этом первые случаи заражения датируются 2013 годом.

Вск, 02 Дек 2018 04:41:00
Тайная добыча криптовалют с использованием ресурсов компьютера без ведома его владельца — один из наиболее распространенных сегодня способов криминального заработка.
Подробнее...

Тайная добыча криптовалют с использованием ресурсов компьютера без ведома его владельца — один из наиболее распространенных сегодня способов криминального заработка.

Компания «Доктор Веб» рассказывает об обнаруженном недавно майнере, способном инфицировать устройства под управлением ОС Linux. Эта вредоносная программа может заражать другие сетевые устройства и удалять работающие в системе антивирусы.

Троянец, добавленный в вирусные базы Dr.Web под именем Linux.BtcMine.174, представляет собой большой сценарий, написанный на языке командной оболочки sh и содержащий более 1000 строк кода. Эта вредоносная программа состоит из нескольких компонентов. При запуске троянец проверяет доступность сервера, с которого он впоследствии скачивает другие модули, и подыскивает на диске папку с правами на запись, в которую эти модули будут затем загружены. После этого сценарий перемещается в ранее подобранную папку с именем diskmanagerd и повторно запускается в качестве демона. Для этого троянец использует утилиту nohup. Если та в системе отсутствует, он самостоятельно загружает и устанавливает пакет утилит coreutils, в который в том числе входит nohup.

В случае успешной установки на устройство вредоносный сценарий скачивает одну из версий троянца Linux.BackDoor.Gates.9. Бэкдоры этого семейства позволяют выполнять поступающие от злоумышленников команды и проводить DDoS-атаки.

Установившись в системе, Linux.BtcMine.174 ищет конкурирующие майнеры и при обнаружении завершает их процессы. Если Linux.BtcMine.174 не был запущен от имени суперпользователя (root), для повышения своих привилегий в зараженной системе он использует набор эксплойтов. Вирусные аналитики «Доктор Веб» выявили как минимум два применяемых Linux.BtcMine.174 эксплойта: это Linux.Exploit.CVE-2016-5195 (также известный под именем DirtyCow) и Linux.Exploit.CVE-2013-2094, при этом загруженные из Интернета исходники DirtyCow троянец компилирует прямо на зараженной машине.

После этого вредоносная программа пытается отыскать работающие сервисы антивирусных программ с именами safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets и xmirrord. В случае их обнаружения троянец не просто завершает процесс антивируса, но с помощью пакетных менеджеров удаляет его файлы и директорию, в которой был установлен антивирусный продукт.

Затем Linux.BtcMine.174 регистрирует себя в автозагрузке, после чего скачивает и запускает на инфицированном устройстве руткит. Этот модуль также выполнен в виде сценария sh и основан на исходном коде, который ранее был опубликован в свободном доступе. Среди функций руткит-модуля можно выделить кражу вводимых пользователем паролей команды su, сокрытие файлов в файловой системе, сетевых соединений и запускаемых процессов. Троянец собирает информацию о сетевых узлах, к которым ранее подключались по протоколу ssh, и пробует заразить их.

Выполнив все эти действия, Linux.BtcMine.174 запускает в системе майнер, предназначенный для добычи криптовалюты Monero (XMR). С интервалом в минуту троянец проверяет, запущен ли этот майнер, и при необходимости автоматически перезапускает его. Также он в непрерывном цикле соединяется с управляющим сервером и скачивает оттуда обновления, если они доступны.

Linux.BtcMine.174, а также все его компоненты успешно детектируются Антивирусом Dr.Web для Linux, поэтому не представляют опасности для наших пользователей.

Чтв, 29 Ноя 2018 05:49:00
Администрация сервиса предложила пользователям создать «персональные» зеркала.
Подробнее...

Администрация сервиса предложила пользователям создать «персональные» зеркала.

В рамках мошеннической операции преступники использовали инновационные методы взлома и специализированное ПО.

Сотрудники правоохранительных органов Болгарии арестовали троих участников киберпреступной группировки, обвиняемых в хищении 5 млн. долл. в криптовалюте, сообщает издание «24 часа».

Полиция изъяла у подозреваемых криптовалюту на сумму 3 млн. долл., используемое для кражи компьютерное оборудование, а также записные книжки с настоящими и вымышленными именами людей, задействованных в мошеннической операции. Кроме того, правоохранители обнаружили тайник с закрытыми ключами, связанными с криптобиржами и провайдерами кошельков.

Расследование по данному делу велось с июня 2018 года. Как отмечается, в ходе операции злоумышленники использовали инновационные методы взлома и специализированное программное обеспечение. В настоящее время двое подозреваемых находятся под стражей, третий был выпущен под залог в размере 50 тыс. болгарских левов (примерно 27 тыс.долл.).

Согласно недавнему отчету компании CipherTrace, за последние девять месяцев объем хищений криптовалюты путем взлома криптовалютных бирж и торговых платформ вырос на 250% (до 927 млн. долл.) по сравнению с минувшим годом.

Чтв, 29 Ноя 2018 05:41:00
Администрация сервиса предложила пользователям создать «персональные» зеркала.
Подробнее...

Администрация сервиса предложила пользователям создать «персональные» зеркала.

Команда российского торрент-портала RuTracker объявилао запуске программы «Мой.Рутрекер», предназначенной для обхода блокировки форума на территории РФ. Администрация сервиса предложила пользователям создать «персональные» зеркала, являющиеся полной функциональной копией ресурса.

Для этого пользователям потребуется зарегистрировать доменное имя в любой зоне «можно даже в зонах .ru или .рф, но лучше всего в любой международной, благо их уже сотни». Команда также разместила подробнуюинструкциюпо настройке «зеркал», по оценке RuTracker, вся процедура займет примерно 10 минут.

Как отметил представитель команды RuTracker, по состоянию на 27 ноября пользователи зарегистрировали уже порядка трех сотен «зеркал». По его словам, технология обхода блокировки не содержит «никакой специфики», поэтому ее может использовать любой сайт.

В декабре 2015 года Мосгорсудвынес решениео пожизненной блокировке сайта RuTracker на территории РФ в связи с нарушением авторских прав. Решение официально вступило в силу в январе 2016 года. Год спустя представители RuTracker сообщили, что аудитория портала сократилась примерно на 40-50%, но число скачиваний осталось почти на прежнем уровне.

Чтв, 29 Ноя 2018 05:20:00
ФБР, Google и 20 представителей отрасли кибербезопасности совместными усилиями ликвидировали крупную киберпреступную сеть, занимавшуюся мошенничеством с рекламой.
Подробнее...

ФБР, Google и 20 представителей отрасли кибербезопасности совместными усилиями ликвидировали крупную киберпреступную сеть, занимавшуюся мошенничеством с рекламой.

За четыре года мошенникам удалось заработать миллионы долларов на подделке кликов и фальшивых просмотрах рекламы.

В результате скоординированных действий специалистам удалось отключить несколько использовавшихся преступниками ботнетов. Кроме того, восьми подозреваемым были предъявлены обвинения по 13 пунктам. Трое обвиняемых находятся под арестом и ожидают экстрадиции в США.

Согласнообвинительному заключениюМинистерства юстиции США иотчету, подготовленному экспертами Google и White Ops, восемь подозреваемых являются главными участниками мошеннической схемы под кодовым названием 3ve. Шестеро обвиняемых являются гражданами России, а еще двое – гражданами Казахстана. Специалисты в области ИБ и маркетинга следили за активностью киберпреступной сети в течение года, а сама она работала как минимум с 2014 года.

По данным следствия, за время активности 3ve мошенники испробовали различные методы «накрутки» кликов и просмотров рекламы. В частности они арендовали ботнеты у других киберпреступников, создавали собственные ботнеты с использованием коммерческих дата-центров, взламывали блоки IP-адресов, использовали прокси для сокрытия настоящих IP-адресов и даже создавали web-сайты для отображения рекламы, чтобы у ботов было что загружать и на что кликать.

В зависимости от используемых методов эксперты разделили 3ve на три подгруппы. Группа 3ve.1 использовала ботнеты (в частности MethBot, также известный как Miuref и Boaxxe). Когда рекламные сети стали блокировать связанные с ботнетами IP-адреса, 3ve.2 взяла на вооружение ботнет, распространяющий вредоносное ПО Kovter. Подгруппа 3ve.3 действовала подобно 3ve.1, но использовала меньше ботов и не взламывала IP-адреса, а арендовала серверы в дата-центрах.

Чтв, 29 Ноя 2018 05:14:00
В киберпреступном мире похитить деньги – это лишь полдела, ведь потом нужно придумать, как их вывести.
Подробнее...

В киберпреступном мире похитить деньги – это лишь полдела, ведь потом нужно придумать, как их вывести.

  Когда киберпреступники похищают средства со счетов корпоративного клиента банка путем подмены его реквизитов на реквизиты подставной фирмы-однодневки, банк-отправитель фиксирует хищение, сообщает о нем банку-получателю, и средства замораживаются. Тем не менее, киберпреступники нашли способ обхода данной проблемы.

Как сообщили собеседники издания «КоммерсантЪ», теперь похищенные деньги снимаются по легальным исполнительным листам судебными приставами. В такой ситуации финорганизации не могут отказать в переводе денег, и похищенные средства все равно оказываются в руках у злоумышленников.

Схема работает следующим образом. Преступники создают подставную фирму и находят готовых к сотрудничеству юристов. Затем юристы подают иск, требуя взыскать с фирмы долг за оказанные услуги, предоставляя суду весь необходимый пакет документов, включая акты выполненных работ. Были ли услуги оказаны в действительности, никто не проверяет, поскольку подставная фирма признает свой долг.

Суд выносит решение о взыскании долга, в результат чего появляется исполнительный лист. Тогда и только тогда происходит хищение и на счет фирмы-однодневки поступают похищенные деньги. Поскольку имеется исполнительный лист о взыскании долга, нужная сумма сразу же переводится на счет юридической компании. В таком случае банки обязаны провести транзакцию, даже если им известно, откуда взялись деньги.

Жертва хищения может попытаться опередить преступников и добиться ареста похищенных денег, однако, как правило, средства сразу же уходят по исполнительному листу. Некоторые недобросовестные приставы могут сговориться с преступниками и отправлять исполнительные листы в банк в день совершения хищения.

Чтв, 29 Ноя 2018 04:55:00
Инцидент произошел 28 ноября в 14:00.
Подробнее...

Инцидент произошел 28 ноября в 14:00.

Компьютерные серверы Московской канатной дороги подверглись кибератаке, в связи с чем канатная дорога от смотровой площадки на Воробьевых горах до Лужников временно приостановила свою работу.

«Сегодня в 14:00 мск компьютерные серверы Московской канатной дороги подверглись несанкционированной кибератаке. Сотрудники, обнаружив это, приостановили движение дороги, после чего оперативно высадили всех пассажиров на станциях назначения для обеспечения максимальной безопасности пассажиров», - цитирует ТАСС сообщение пресс-службы Московской канатной дороги.

Из-за инцидента администрация объекта временно приостановила перевозку пассажиров.

«Приносим свои извинения за доставленные неудобства. О дальнейшем графике работы будет сообщено на сайте фуникулера», - добавили в пресс-службе.

Канатная дорога от спортивного комплекса «Лужники» до Воробьевых гор была запущена 26 ноября. Маршрут канатной дороги проходит над Москвой-рекой и связывает смотровую площадку на ул. Косыгина со стадионом «Лужники». Длина маршрута составляет 720 метров. Подъемник может перевозить 1,6 тыс. пассажиров в час.

Сбт, 24 Ноя 2018 08:12:00
Ноябрь — первый месяц самого оживленного сезона шопинга. Сначала — 11.11 — проходит Всемирный день шопинга, изобретенный одной популярной китайской интернет-площадкой, а потом сразу и Черная пятница, которая в этом году приходится на 23 ноября.
Подробнее...

Ноябрь — первый месяц самого оживленного сезона шопинга. Сначала — 11.11 — проходит Всемирный день шопинга, изобретенный одной популярной китайской интернет-площадкой, а потом сразу и Черная пятница, которая в этом году приходится на 23 ноября.

Ну, а дальше и до рождественских и новогодних распродаж недалеко. С одной стороны, это самое благоприятное время для шопинга — скидки и акции встречаются на каждом шагу. С другой — злоумышленники в этот период тоже активизируются: из-за больших скидок люди теряют бдительность и чаще попадаются на фишинговые атаки.

Статистика по фишингу

Вот так выглядит статистика за несколько лет по доле финансового фишинга — последние несколько лет она составляет не менее четверти всех фишинговых атак за год, а в 2017-м перевалила за половину.

Увеличение доли финансового фишинга из года в год

На графике хорошо виден тренд на увеличение доли финансового фишинга в каждом следующем году начиная с 2014-го. Хотя 2018 год еще не закончился, можно предположить, что тенденция на увеличение сохранится.

Ну а в период распродаж, по нашей статистике, финансовый фишинг может занимать на 10% большую долю. Кроме того, в это время значительно увеличивается количество атак на пользователей онлайн-магазинов и платежных систем, тогда как в другое время мошенники чаще целятся в клиентов различных банков.

На примере Всемирного дня шопинга хорошо виден всплеск заблокированных нашими защитными решениями попыток перехода на опасные ресурсы.

Количество предотвращенных попыток перехода пользователей на фишинговые сайты

Всплеск приходится на девятое ноября, и в этом нет ничего удивительного — мошенники всегда начинают готовиться заранее и обычно проводят свои массовые атаки незадолго до даты, к которой приурочена распродажа.

Если смотреть только на фишинг, рассчитанный на пользователей сервисов компании Alibaba Group, основного участника акции, то тенденция сохранится — резкий скачок вверх, примерно в два раза, по сравнению со средним количеством атак в этом месяце.

Количество предотвращенных попыток перехода пользователей на фишинговые ресурсы, копирующие сервисы Alibaba Group

Фишинг на Всемирный день шопинга

Киберзлодеи явно хорошо подготовились и создали к Международному дню шопинга много разнообразных фишинговых сайтов.

Фишинг, направленный на торговую площадку Alibaba, и крупный инфоповод 11.11

Например, на скриншоте выше приведен сайт, использующий стандартные приемы социальной инженерии — множественное упоминание «alibaba» в адресе страницы, чтобы сбить с толку невнимательных или неуверенно чувствующих себя в Интернете людей, копию логотипа компании для придания достоверности, а также яркую картинку-завлекалочку, которая должна отвлекать и рассеивать внимание. Ниже — другой пример похожего фишинга.

Сайт, пытающийся получить данные аккаунта пользователей Alibaba

Крупный американский онлайн-магазин Amazon не отстает от Alibaba и в этом году тоже участвует в акциях и распродажах. Не отстают и злоумышленники, которые сделали немало фишинговых сайтов, имитирующих Amazon.

График предотвращенных попыток перехода наших пользователей на фишинговые сайты с тематикой Amazon

Мошенники тоже сделали упор на выгодные предложения в качестве наживки, но чтобы воспользоваться ими, нужно заполнить форму и поделиться с преступниками личной информацией, такой как адрес, телефон и так далее. После заполнения нужно отослать ссылку на сайт 10 друзьям через мессенджер, но и это не поможет — жертву обмана просто будут до бесконечности перекидывать на различные сайты с бесполезными опросами, за клики на которые, кстати, мошенники также получают деньги.

Мошеннический сайт якобы с распродажами Amazon

Фишинг на Черную пятницу

В этом году Черная пятница приходится на 23.11, но многие магазины начнут делать скидки на несколько дней раньше. Исходя из статистики, мы ожидаем рост фишинговых атак в период перед Черной пятницей. В пользу этого, помимо всего прочего, говорит большое количество зарегистрированных и пока «спящих» доменов вида blackfridayscom.tld, black-fridaywalmart.tld и так далее, которые ждут наполнения контентом. Перед Черной пятницей злоумышленники активируют их, рассчитывая собрать личные и банковские данные доверчивых покупателей.

Собственно, мошенники уже приступили к массовым рассылкам фишинговых сообщений в электронной почте, да и многие мошеннические сайты, имитирующие магазины-участники Черной пятницы, уже функционируют.

Фишинговая атака на пользователей Mercado Livre — популярной торговой площадки в Латинской Америке

Домен фейкового магазина, прикидывающегося Walmart, явно говорит о том, для какого события он был создан. Для покупки прекрасного телевизора по отличной цене нужно всего лишь подарить свои конфиденциальные данные злоумышленникам, заполнив формы, а также оплатить выставленный на частный интернет-кошелек счет.

Фишинговая страница, имитирующая сайт Walmart

Что касается промоакций в почте, мы обнаружили почтовую рассылку, направленную на страны Латинской Америки, где получателям предлагают в честь Черной пятницы получить бесплатно подписку на два месяца Netflix. По ссылке из письма можно попасть на мошеннический сайт, имитирующий Netflix.

А далее, как бы между прочим, просят ввести данные банковской карты и другую конфиденциальную информацию. Естественно, данные будут отправлены прямиком к злоумышленникам, а жертва обмана не только не получит вожделенную подписку, но и имеет все шансы остаться без денежных средств на счете.

Фишинг якобы от лица Netflix: запрос банковской и другой конфиденциальной информации

Также к Черной пятнице создаются фейковые интернет-магазины, якобы предлагающие товары мировых брендов с нереальными скидками.

Теплая зимняя куртка популярного бренда с сумасшедшей скидкой на фишинговом сайте

В таких ситуациях следует вспомнить, что если в Интернете вы встретили какое-то суперпредложение, которое слишком хорошо, чтобы быть правдой, то это, скорее всего, неправда. Так и оказывается. Отложив товар в корзину, мы попадаем на страницу оформления заказа. Разработчики сайта не поскупились украсить его огромным количеством значков подтверждения валидности.

Но на поверку оказывается, что это всего лишь некликабельные картинки, что сразу должно насторожить внимательного человека. Если же посетитель не насторожится, то ему предлагают заполнить форму доставки, а затем — ввести банковские данные для оплаты покупки. Вся эта информация уходит мошенникам, а вот купить куртку по заманчивой цене не получается.

Страница кражи данных банковской карты на сайте поддельного магазина. Множество значков валидации — просто картинки

Как понять, настоящий магазин или поддельный?

  • Избегайте магазинов, зарегистрированных на бесплатных хостингах.
  • Внимательно проанализируйте URL-страницы с полями ввода конфиденциальных данных. Если интернет-адрес состоит из бессмысленного набора символов или URL выглядит подозрительно, не оформляйте на странице с этим адресом платеж.
  • Если сайт магазина вызывает сомнения, изучите на сервисах whois информацию о том, как давно существует домен и кто его владелец. Если домен свежий и зарегистрирован на не-пойми-кого, не стоит связываться с таким магазином.

Советы по безопасному шопингу

  • Заведите специальную карту для онлайн-покупок и не держите на ней большую сумму денег.
  • Не переходите на сайты по ссылкам в почтовых сообщениях, сообщениях в социальных сетях и чатах или кликнув по рекламному баннеру на сомнительном сайте.
  • Старайтесь не использовать для шопинга публичные Wi-Fi-сети, а в случае необходимости обязательно используйте VPN
  • Перед тем как вводить личную информацию, убедитесь, что вы находитесь на настоящем сайте. В адресной строке при этом должен быть правильный URL (проверяйте внимательно, совпадение должно быть точным), а перед ним должны быть буквы https или зеленый замочек. Если доменное имя хоть на букву отличается — не стоит вводить на таком сайте конфиденциальные данные.
  • Используйте надежное защитное решение с защитой от фишинга — например, Kaspersky Internet Security.
Сбт, 24 Ноя 2018 07:52:00
Сегодня Яндекс представил «Андромеду» — большое обновление поиска. «Андромеда» объединяет более тысячи новшеств, которые мы внедрили за последний год.
Подробнее...

Сегодня Яндекс представил «Андромеду» — большое обновление поиска. «Андромеда» объединяет более тысячи новшеств, которые мы внедрили за последний год.

В этом посте мы расскажем о трёх ключевых направлениях: это быстрые ответы, помощь в решении сложных задач и сохранение находок.

Быстрые ответы

Люди часто обращаются к поиску, чтобы уточнить тот или иной факт — узнать [высоту геостационарной орбиты] или выяснить, [где говорят на йоруба]. На такие запросы Яндекс уже давно даёт ответ прямо на странице результатов поиска.

За минувший год спектр вопросов, на которые можно получить такой ответ, сильно расширился. Сейчас Яндекс отвечает фактами на запросы в среднем 13 миллионов раз в день — и каждый шестой факт при этом показывается впервые.

Быстрые ответы теперь можно использовать не только для короткой справки, но и для решения повседневных задач. Поиск сообщит, что сейчас идёт в кино, поможет подыскать гостиницу, расскажет, где пообедать. Сделать выбор помогут подробности: фотографии, цены, данные о загруженности, отзывы посетителей.

Следить за спортивными событиями тоже можно прямо на поиске. Например, в ответ на запрос [чемпионат испании по футболу] Яндекс покажет турнирную таблицу, новости, записи уже сыгранных матчей и календарь предстоящих игр Ла Лиги. Если вы боитесь пропустить важную игру, поставьте напоминание, и за несколько минут до начала трансляции вам придёт уведомление.

Бывают ситуации, когда короткого ответа недостаточно, — нужно объяснение. Само собой, хочется, чтобы объяснили понятно, по-человечески. В этом году мы запустили сервис Яндекс.Знатоки — это сообщество специалистов в разных областях, которые отвечают на вопросы пользователей. Скажем, студент МИФИ объяснит, [почему электроны не падают на ядро], а сотрудники портала «Чердак» расскажут, [как появляются звёзды]. Лучший ответ попадает в результаты поиска.

Решение сложных задач

Есть запросы, на которые нельзя дать однозначный ответ. Они подразумевают исследование темы: поиск даёт источники, а человек их изучает. Чем более качественными будут источники, тем быстрее пользователь решит задачу.

Мы обновили алгоритм ранжирования: теперь качество сайта существенно влияет на его позицию в выдаче. Качество алгоритм определяет по нескольким параметрам. Во-первых, он обращает внимание на то, насколько хорошо сайт решает текущую задачу пользователя. Во-вторых, оценивает долгосрочную полезность ресурса — насколько велика у него доля лояльной аудитории. Наконец, учитывается баланс полезного и навязчивого контента на сайте и индекс качества по результатам попарного сравнения с другими ресурсами по этому же запросу.

Некоторые параметры сайтов Яндекс теперь показывает прямо на странице результатов поиска в виде значков-подсказок. Они помогают сориентироваться в потоке информации. Значки присваивает специальный алгоритм: он помечает ими сайты, которые могут оказаться особенно полезными в контексте данного запроса.

Значок «Популярный сайт» алгоритм выдаёт ресурсам с высокой посещаемостью и постоянной аудиторией. Это, например, «Википедия» или YouTube. Значок «Выбор пользователей» похож на «Популярный сайт» по смыслу — но разница в том, что его могут получить и нишевые проекты. По сравнению с гигантами вроде «Википедии» посещаемость таких ресурсов может быть невелика, но они хорошо решают задачи людей и имеют постоянную лояльную аудиторию.

Третьим значком — синего цвета — помечаются официальные сайты организаций по данным Яндекс.Справочника, официальные сайты банков по данным ЦБ РФ, а также государственные сайты, например gosuslugi.ru и гибдд.рф.

Коллекции

Самые удачные находки хочется отложить, чтобы они всегда были под рукой. Новый поиск позволяет в один клик сохранять найденное — статьи, фотографии, видео, фильмы, места — на сервисе Яндекс.Коллекции. Личную коллекцию можно собрать на любую тему — например, «Идеи для ремонта квартиры».

В Яндекс.Коллекциях есть рекомендательная система. В ней используются технологии Яндекса: компьютерное зрение и искусственный интеллект. Система на основе ваших подборок советует материалы, которые сохранили себе в коллекции другие пользователи. Это упрощает поиски: вам становятся доступны открытия, которые уже сделали люди с похожими вкусами.

Личную коллекцию можно сделать приватной — в этом случае она будет доступна только вам — или публичной: тогда на неё смогут подписаться другие пользователи. Лучшие публичные коллекции Яндекс показывает в результатах поиска.

Ссылка на источник