Новые вирусные угрозы

[студент]

Поклонники «Игры престолов» рискуют доиграться


Киберпреступники всегда зорко следят за массовыми поветриями в интернете, а потому они, разумеется, но могли пройти мимо премьеры нового сезона «Игры престолов» - сериала, который уже несколько лет лидирует по числу скачиваний на пиратских ресурсах. Накануне выхода первой серии шестого сезона создатели опасного набора эксплойтов Magnitude сумели разместить на знаменитом торрент-трекере Pirate Bay вредоносную рекламу. Всплывающие рекламные окна раскрываются фоном, под основной страницей браузера (pop-under), а потому могут не сразу быть замечены пользователями, что и представляет основную опасность.

Как сообщает исследователь MalwareBytes Джером Сегура, вредоносные баннеры анализируют состояние ПО и характеристики браузера каждого конкретного компьютера. И при обнаружении «нужных» уязвимостей (а в Magnitude заложены средства эксплуатации множества из них) инфицируют систему вредоносным ПО. Речь идет о троянце-шифровальщике Cerber, который «славится» тем, что даже после выплаты выкупа восстановить зашифрованные им файлы удается далеко не всегда. Важно также, что инфицирование не требует клика на рекламный баннер или каких-либо других действий со стороны пользователя.

Накануне появилась информация о том, что на другом популярном торрент-трекере – TorrentFreak – только за 12 часов после премьеры первая серия шестого сезона «Игры престолов» была скачана более миллиона раз. Статистика Pirate Bay на данный момент неизвестна, но есть все основания полагать, что число жертв вредоносной рекламы на этом ресурсе может оказаться весьма значительным.

[студент]

75 процентов хакерских атак достигают цели в течение нескольких минут

Компания Verizon опубликовала данные своего уже девятого по счету ежегодного исследования Data Breach Investigations Report. Оно обобщает свыше 100 тысяч инцидентов, связанных с нарушениями кибербезопасности, и 2260 подтвержденных фактов утечек данных в прошлом году. Информацию о них предоставили более 50 организаций-партнеров, включая центры реагирования на компьютерные угрозы (CERT) многих стран мира.

Из документа следует, что хакеры по-прежнему опережают борцов с ними, оставаясь на шаг впереди в «гонке вооружений» в киберпространстве. 99 процентов всех атак достигают своих целей в течение нескольких дней. А в 75 процентах случаев хакерам удается скомпрометировать системы жертв за считанные минуты. При этом обнаружить атаку в сопоставимые сроки удается менее чем в 25 процентах случаев. Намного чаще ее обнаружение занимает недели и даже месяцы.

Причиной примерно 60 процентов всех утечек данных становятся похищенные пароли, с помощью которых киберпреступники проникают в системы. А наиболее эффективным инструментом их похищения остаются фишинговые атаки. Согласно данным Verizon, несмотря на все предупреждения, открытым оказывается каждое третье фишинговое сообщение электронной почты. А более чем в 10 процентах случаев пользователи открывают и вредоносные вложения, содержащиеся в таких сообщениях.

[студент]

Данные дороже золота

Крупная канадская золотодобывающая компания Goldcorp стала жертвой масштабной хакерской атаки. Неизвестные киберпреступники выложили в открытый доступ в сети огромный – порядка 14.,8 гигабайт – массив данных, похищенных, по их уверениям, с серверов Goldcorp.

Данные включают не только обычные для подобных случаев имена и пароли учетных записей сотрудников, но и явно конфиденциальные документы бухгалтерского учета, в том числе платежные ведомости, данные о банковских трансферах и т.д.

Более того, хакеры пообещали не останавливаться на «достигнутом» и в ближайшее время выложить в сеть вторую порцию данных, в числе которых – внутренняя переписка сотрудников, демонстрирующая «образцы откровенного расизма и сексизма».

Судя по всему, киберпреступникам действительно удалось получить едва ли не полный доступ к системам Goldcorp. Золотодобытчики, очевидно, не учли, что в цифровую эпоху данные могут быть дороже золота и нуждаются в столь же серьезной защите.

Эксперты, анализируя ситуацию, предполагают, что речь может идти о мести кого-то из обиженных сотрудников самой компании либо о происках конкурентов. В противном случае хакеры наверняка предпочли бы извлечь выгоду из своих действий, выставив данные на продажу, а не публикуя их в открытом доступе.

[студент]

Хакеры призвали ИГ атаковать жителей Нью-Йорка


Группа хакеров, связанная с террористической группировкой «Исламское государство» (ИГ), опубликовала в интернете личные данные нескольких тысяч жителей Нью-Йорка и призвала экстремистов атаковать граждан, передает Reuters. Полиция и ФБР уже начали поиск указанных в списке людей с целью обеспечения их безопасности.

Хакеры выложили в сеть не только имена, но и координаты жителей Нью-Йорка, а также адреса их электронной почты. Однако, по информации источников агентства, некоторые данные уже устарели. В списке много сотрудников Госдепартамента и Министерства обороны США. Но при этом там есть и простые жители, которые никак не связаны с государственными структурами.

Американские эксперты полагают, что реальной угрозы утечка данных не представляет. По их мнению, это очередная кампания ИГ по устрашению населения.

Ранее, 26 апреля, группа хакеров-исламистов, известная как «Объединенный кибер-халифат» и поддерживающая запрещенное в России «Исламское государство», украла личную информацию сотрудников Госдепа США. В качестве доказательств киберпреступники разослали СМИ скриншоты с именами, фамилиями и телефонами 50 сотрудников. В заявлении хакеры грозились убить этих сотрудников, «раздавить» США и сокрушить систему госбезопасности снова. В американском внешнеполитическом ведомстве не прокомментировали эти заявления.

В августе 2015 года хакеры, утверждающие, что сотрудничают с ИГ, заявили о получении доступа к именам, номерам телефонов, адресам и паролям электронной почты американских военных из нескольких ведомств. Данная информация появилась в Twitter-аккаунте подозреваемого в сотрудничестве с экстремистами британца Абу Хуссейна Аль-Британи (настоящее имя — Джунаид Хуссейн).

После публикации сообщения Twitter-аккаунт мужчины был заблокирован. Насколько свежими являются предоставленные ими сведения и актуальны ли до сих пор, он не уточнил. Заявление сопровождал комментарий: «Мы на очереди в их списке на уничтожение, а они — в нашем». Как писала британская газета Express, речь идет о личных сведениях более 1,4 тысячи американских военнослужащих.

[студент]

Российского хакера приговорили в США к штрафу в $6,9 млн


Российский хакер Никита Кузьмин приговорен в США к выплате компенсации за ущерб от его действий в размере $7 млн. Суд учел его сотрудничество с властями и не стал назначать ему срок больший, чем он уже провел в тюрьме

Россиянин Никита Кузьмин приговорен в США к 37 месяцам тюрьмы и выплате компенсации в размере $6,9 млн за создание вируса Gozi, который заразил более миллиона компьютеров по всему миру, сообщает Bloomberg со ссылкой на решение суда Южного района Нью-Йорка. Агентство отмечает, что подсудимому зачли его сотрудничество с властями и не стали назначать срок наказания выше уже отбытого им в тюрьме в ходе следствия.

Прокурор Николь Фридландер заявила судье, что мотивом действий Кузьмина была алчность. По ее словам, обвиняемый тратил похищенные деньги на роскошные спортивные автомобили, а также на «экстравагантные путешествия и развлечения по Европе и России».

Представитель обвинения отметила, что Кузьмин оказал правительству США «значительное» содействие, однако подробности его сотрудничества с властями не были преданы огласке.

Кузьмин был арестован в 2010 году, а в 2011 году он признал вину в преступлении. Согласно материалам дела, подсудимый и еще двое обвиняемых разработали вредоносную программу под названием «вирус Gozi», которая позволила им похищать деньги с банковских счетов в Европе и США. Представитель стороны обвинения подчеркнул, что ущерб от деятельности ответчиков составил десятки миллионов долларов.

В прошлом году в США был осужден гражданин Латвии Денис Чаловскис (Чаловский), который, по версии следствия, написал часть программного кода, позволявшего проникать в компьютерные системы конкретных банков. Он признал себя виновным и был приговорен к 21 месяцу тюрьмы, которые он уже отбыл во время следствия.

Третий обвиняемый Михай Ионут Паунеску был арестован в Румынии в декабре 2012 года. По словам федерального прокурора Манхэттена Прита Бхарары, он ожидает экстрадиции в США.

В материалах дела, как отмечает Bloomberg, говорится, что вирус заражал компьютер потерпевшего, как правило, после того, как жертва скачивала и открывала документ. С помощью вредоносной программы хакеры получали данные о банковских счетах пользователя, в том числе его логины и пароли.

Следствие установило, что на сервере, где хранились похищенные данные, содержалась информация о 10 тыс. счетах, которые принадлежали более 5,2 тыс. чел. Обвинение отметило, что среди пострадавших были более 160 сотрудников NASA. Зараженные вирусом Gozi компьютеры были также обнаружены в Германии, Великобритании, Польше, Франции, Финляндии, Италии и Турции, говорится в материалах дела.

[студент]

Утечка данных о пользователях Mail.ru: что известно?

Четвертого мая стало известно о масштабной утечке данных об аккаунтах на сервисе Mail.ru, а также почтовых службах Yahoo, Microsoft и Google. Информацию распространил эксперт в области компьютерной безопасности, глава компании Hold Securities Алекс Холден. По его словам, похищены логины и пароли сотен миллионов пользователей. В Mail.ru уже заявили, что база данных, попавшая в чужие руки, была скомпилирована из разных источников (иначе говоря, это не результат однократной утечки данных с самого сервиса).

Нечто подобное в администрации сервиса говорили пару лет назад – в связи с другой масштабной утечкой данных. Другие источники, правда, предположили, что речь все же шла о взломе, который стал возможным из-за уязвимостей в бесплатном программном обеспечении, использующемся российскими интернет-компаниями. Обсуждалась и версия, что масштабного взлома не было, а вся история была раздута в интересах российских властей, которым понадобился повод для усиления контроля над Сетью.

О чем рассказал Холден?

Скрытый текст

Информация об утечке появилась на одном из форумов. Некий хакер из России хвастался, что к нему попали данные об аккаунтах сотен миллионов пользователей – в общей сложности якобы более миллиарда. Когда с ним связались представители Hold Securities, он предложил продать им всю базу.

Детали, правда, вызывают сомнения. Со слов Холдена, за информацию хакер запросил всего 50 рублей. А в итоге вообще согласился отдать ее бесплатно – в обмен на то, что ему пообещали «положительные комментарии на хакерских форумах».

По оценке Hold Securities, база содержит данные о 273 млн аккаунтов. В основном – с почтовых ящиков Mail.ru (около 57 млн, общее число активных аккаунтов сервиса – около 100 млн), а также Yahoo Mail (40 млн), Microsoft Hotmail (33 млн) и Gmail (24 млн). В базу также попали сотни тысяч аккаунтов с немецких и китайских сервисов.

Тысячи украденных аккаунтов, по словам Холдена, могут принадлежать сотрудникам крупных американских банков, промышленных предприятий и торговых сетей.

Как отреагировали почтовые сервисы?

Представитель Microsoft, согласно Reuters, подтвердил факт хищения данных (хотя и не уточнил их масштаб). Он заявил, что администрация сервиса сейчас разбирается с ситуацией.

Администрация Mail.ru, со своей стороны, заявила, что предварительный анализ данных, оказавшихся у Холдена (последний передал их почтовому сервису), не выявил там «паролей, подходящих к активным живым аккаунтам». «Кроме того… база содержит большое количество одних и тех же логинов с разными паролями, что свидетельствует о том, что она была скомпилирована из фрагментов разных баз, где юзеры использовали в качестве логина свою электронную почту», – говорится в заявлении ресурса.

Проверка базы будет продолжена. В дальнейшем администрация пообещала «предупредить пользователей, которые могли пострадать».

Версию поддержали и в «Лаборатории Касперского». Там заявили, что база, вероятнее всего, была собрана в результате нескольких фишинговых атак – массовых рассылок электронных писем пользователям от имени известных ресурсов или организаций. Представитель «Лаборатории Касперского» добавил также, что активные аккаунты составляют лишь небольшую часть базы.

Что было раньше?

Еще одна крупная утечка данных о почтовых аккаунтах произошла два года назад. Тогда в Сеть были выложены пароли с ящиков на Mail.ru, «Яндекс.Почте» и Gmail – в общей сложности более 10 млн.

В Mail.ru тогда, как и теперь, заявили, что «база старая и собрана из кусочков, то есть из нескольких баз паролей, которые были украдены у пользователей в разное время». В администрации добавили, что «в абсолютном большинстве случаев причиной утечки является неопытность пользователя или его легкомысленное поведение», а взлом оказывается возможным в том числе из-за того, что владельцы аккаунтов используют простые пароли и пользуются одинаковыми паролями на различных сервисах.

Другие полагали, что виноваты не только пользователи. В прессе появились выдержки из отчета Cloudseller – авторизованного дилера Google в России. Его авторы указывали на возможные уязвимости в самих сервисах. «Как Yandex, так и Mail.ru в ядре своих сервисов используют операционную систему Linux и ряд open-source продуктов, – говорилось в отчете. – Часто эти продукты дорабатываются компаниями под свои нужды, но основа остается неизменной. Мы предполагаем, что взлом произошел через неопубликованную уязвимость либо в веб-сервисе, либо в системе управления базами данных…».

Из документов, опубликованных бывшим сотрудником Агентства национальной безопасности США Эдвардом Сноуденом, также следовало, что по сложности взлома Mail.ru с точки зрения АНБ находится на среднем уровне.

Альтернативная версия – ее выдвинул Антон Носик – сводилась к тому, что сами сервисы никто не взламывал, а речь шла лишь о похищении паролей «у некоторого количества неосторожных пользователей». Громкая история о взломе, по его мнению, понадобилась либо власти, либо близким к ней людям. «Тут вариантов два: либо государству нужен предлог для того, чтобы активно вмешиваться в вопросы безопасности пользователей, либо жуликам около государства нужен предлог для того, чтобы освоить бюджетные деньги на создание “надежной государственной системы”, которую никто никогда не взломает», – рассуждал он.

Сколько стоит взлом?

По данным Dell SecureWorks, за взлом почтового ящика, размещенного на одном из популярных российских сервисов (Mail.ru, «Яндексе» или «Рамблере»), хакеры просят от $65 до $100. Аккаунты на зарубежных ресурсах (Gmail, Hotmail или Yahoo) обходятся дороже – около $130. Корпоративные почтовые ящики – около $500.

Взломать аккаунт в одной из американских соцсетей, согласно источнику, хакеры могут примерно за $130. В случае с российскими сетями – «ВКонтакте» и «Одноклассниками» – их услуги стоят дороже – около $200.

По информации «Лаборатории Касперского», от взлома аккаунта как минимум один раз пострадали около трети российских интернет-пользователей. В основном доступ к чужим аккаунтам использовался для рассылки фишинговых сообщений, в некоторых случаях данные пользователей были использованы в преступных целях, в 20 процентах случаев информация профиля после взлома была уничтожена.

[свернуть]

[студент]

Белые хакеры подшутили над черными

Компания Avira сообщила о любопытном инциденте, ставшем, вероятно, следствием борьбы «белых» (стоящих на стороне закона) хакеров с «черными». Неизвестным лицам удалось установить контроль над одним из серверов, используемых киберпреступниками для распространения троянца-шифровальщика Locky. Этот зловред шифрует файлы на инфицированных компьютерах, требуя плату за возвращение доступа к данным, и пользуется большим спросом у хакеров. По информации компании Fortinet, Locky является вторым среди самых популярных зловредов-шифровальщиков, уступая лишь CryptoWall.

Locky распространяется во вложениях в сообщения электронной почты, и его исполнительный файл замаскирован под некий важный документ (банковский счет, товарную накладную и т.д.). Открытие такого документа ведет к неизбежному инфицированию устройства. Однако в данном случае «что-то пошло не так». По словам специалистов Avira, ими зафиксировано несколько мощных волн спам-рассылок, которые должны были бы содержать файлы Locky. Но вместо самого исполнительного файлы эти сообщения содержат лишь абсолютно безобидный файл с надписью Stupid Locky («глупый Locky»).

Очевидно, белые хакеры, получив доступ к серверу организаторов атак, смогли подменить файл – и не упустили возможности посмеяться над киберпреступниками. Правда, эксперты предостерегают от излишнего оптимизма. По их словам, этот инцидент вряд ли серьезно повлияет на хакеров, стоящих за атаками Locky. Речь идет лишь о временных «неудобствах», которые легко устранить. Говорить же о победе над опасным зловредом явно преждевременно.

[satvitek]

Android-троянец из Google Play обманом заставляет устанавливать программы

Каталог цифрового контента Google Play считается самым надежным источником ПО для смартфонов и планшетов под управлением ОС Android, однако в нем время от времени все же обнаруживаются всевозможные вредоносные программы.
Недавно специалисты компании «Доктор Веб» выявили в этом каталоге более 190 приложений, в которых находится троянец Android.Click.95, пугающий пользователей наличием проблем на мобильных устройствах и заставляющий их устанавливать рекламируемые программы.
Все приложения, в которые встроен Android.Click.95, являются довольно примитивными поделками. В большинстве случаев они представляют собой типичные программы-сборники, содержащие различные советы, гороскопы, сонники, анекдоты и другую информацию на каждый день, свободно доступную в Интернете. Вирусные аналитики «Доктор Веб» обнаружили более 190 таких приложений, распространяемых в Google Play как минимум шестью разработчиками: allnidiv, malnu3a, mulache, Lohari, Kisjhka и PolkaPola. При этом в общей сложности троянца успели загрузить как минимум 140 000 пользователей. Компания Google уже оповещена об этом инциденте, однако на момент написания материала многие из выявленных приложений все еще доступны для загрузки.
Попадая на мобильное устройство, Android.Click.95 начинает вредоносную деятельность не сразу, а лишь через 6 часов после того, как будет запущена содержащая троянца программа. Это сделано для того, чтобы отвести подозрения жертвы от истинного источника нежелательной активности в системе. По прошествии 6 часов Android.Click.95 проверяет, установлено ли на зараженном устройстве приложение, которое заранее указано в настройках троянца. В зависимости от результата Android.Click.95 открывает в веб-браузере мошеннический сайт с определенным тревожным сообщением. Например, если троянец не находит определенное приложение-браузер, пользователю демонстрируется соответствующее предупреждение о том, что его текущий веб-обозреватель небезопасен и нуждается в замене. Если же рекламируемая программа уже установлена, жертву пугают иной неполадкой – например, неисправностью аккумулятора.

Как же пользователю решить возникшую внезапно «проблему», о которой он раньше и не подозревал? Естественно, установить предлагаемое злоумышленниками ПО. А чтобы наверняка заставить жертву установить рекламируемую программу, Android.Click.95 загружает мошенническую веб-страницу каждые 2 минуты, фактически не давая владельцу смартфона или планшета нормально пользоваться устройством.

После того как хозяин атакованного мобильного устройства все же соглашается установить предлагаемое ему ПО и нажимает соответствующую кнопку на веб-странице, он перенаправляется в каталог Google Play, в котором автоматически открывается раздел с той или иной программой, рекламируемой троянцем в данный момент. За каждую успешную установку злоумышленники получают денежное вознаграждение в рамках рекламных партнерских программ, поэтому неудивительно, что они создали так много различных копий Android.Click.95 в надежде на наибольшую финансовую отдачу.

[satvitek]

ХАКЕРЫ ANONYMOUS ОБЪЯВИЛИ ВОЙНУ ВСЕМ БАНКОВСКИМ СИСТЕМАМ МИРА

Во вторник хакеры Anonymous атаковали центральный банк Греции. По словам представителей банка, атака длилась несколько минут и вывела из строя сайт организации.

Но ею дело не завершилось. Хакеры Anonymous опубликовали на YouTube видеообращение, в котором объявили войну всем центральным банкам мира. По словам Anonymous, в течение следующих 30 дней группа будет атаковать все центральные банки мира. Это будет самая масштабная атака в истории группы. Хакеры обещают обвалить системы MasterCard и Visa, обрушить фондовую биржу NASDAQ и вывести из строя все крупные банковские системы. Согласно видеообращению, таким образом активисты намерены освободить человечество от рабства у банковских систем.

[студент]

Индия нашла «ключ от всех дверей»

В распоряжении правоохранительных органов и спецслужб Индии есть технические средства, с помощью которых можно при необходимости получать информацию с защищенных механизмами блокировки и шифрования данных устройств, включая iPhone. Об этом заявил министр коммуникаций и информационных технологий Индии Рави Шанкар Прасад, чьи слова приводит издание New Indian Express. Заявление министра вызвало серьезный резонанс в мире, поскольку проблема защиты данных пользователей и возможности спецслужб получать доступ к ним остается одной из самых обсуждаемых.

Ранее этот вопрос стал причиной острого конфликта между ФБР США и корпорацией Apple, которая отказывалась создать программу для доступа к данным заблокированного iPhone 5C, принадлежавшего одному из организаторов теракта в Сан-Бернардино. Apple не выполнила требования суда создать такую программу, подав апелляцию в вышестоящую судебную инстанцию. В результате ФБР смогли получить доступ к данным смартфона, воспользовавшись услугами неназванной третьей стороны. Позднее сообщалось еще о двух случаях, когда правоохранители получали доступ к данным защищенного блокировкой и шифрованием iPhone. Однако во всех этих случаях речь шла о разовых инструментах, позволявших «взломать» конкретное устройство.

Судя по заявлению Рави Шанкара Прасада, Индии удалось создать намного более универсальный инструмент, позволяющий получать информацию с любых смартфонов, вне зависимости от марки и модели. Впрочем, никаких подробностей на сей счет пока неизвестно. Индийский министр их не предоставил, а технологические компании, включая и Apple, пока воздерживаются от комментариев.

[satvitek]

«Лаборатория Касперского»: Главной угрозой становятся программы-шифровальщики

По данным компании, в январе-марте нынешнего года с шифровальщиками столкнулось примерно в два раза больше пользователей, чем за весь 2015 год.
Начало 2016 года ознаменовалось бурным ростом числа и разнообразия программ-шифровальщиков. Согласно анализу киберугроз «Лаборатории Касперского», в первом квартале было обнаружено на 14% больше новых модификаций этого вида троянцев, чем в предыдущем, а также появилось девять новых семейств — почти столько же, сколько за прошлые 12 месяцев. В январе-марте с шифровальщиками столкнулось примерно в два раза больше пользователей, чем за весь 2015 год, говорится также в сообщении компании.

Причину этого аналитики видят в простоте бизнес-модели, используемой киберпреступниками. Если зловреду удается проникнуть в систему, то шансов избавиться от него, не потеряв при этом личные данные, практически не остается. Мошенникам также играет на руку то, что они получают выкуп в биткойнах. Это означает, что оплата происходит анонимно и ее почти невозможно отследить. Более того, уже появился термин RaaS — Ransomware-as-a-Service. По этой схеме злоумышленники предлагают платить за распространение троянца, обещая за это процент от полученных денег, сообщили в «Лаборатории Касперского».

Как свидетельствуют данные, полученные при помощи облачной инфраструктуры Kaspersky Security Network, продолжает расти и количество мобильных зловредов: в первом квартале было зарегистрировано почти в 14 раз больше подобных приложений, чем в предыдущем аналогичном периоде. Россия традиционно остается в первой тройке стран по степени распространенности мобильных банковских троянцев.

Что касается попыток заражения компьютеров пользователей с целью опустошения счетов в системах онлайн-банкинга, то в целом по миру их число снижается, а в России, наоборот, растет. Наша страна заняла пятое место по числу жертв «финансовых» вирусов, хотя по итогам прошлого года не вошла по этому показателю даже в десятку.

Также Россия остается лидером рейтинга стран с наиболее высокой степенью риска столкновения с веб-угрозами – здесь попыткам интернет-атак подверглись устройства 36% пользователей.

[студент]

«Орда викингов» атакует Android

Компания Check Point сообщила об обнаружении в магазине Google Play ряда программ, инфицированных вредоносным ПО. Речь идет, в частности, об играх Viking Jump и Simple 2048, а также о приложениях Parrot Copter, Memory Booster и WiFi Plus. Зловред, получивший название Viking Horde, включает инфицированные устройства в бот-сети. В дальнейшем они без ведома владельцев могут использоваться для накрутки кликов на рекламные баннеры, организации DDoS-атак и спам-рассылок.

Viking Horde угрожает как обычным Android-устройствам, так и прошедшим так называемую процедуру «рутования» или «рутирования», которая открывает владельцу возможность вносить изменения в системный раздел. Причем в последнем случае угроза еще выше, поскольку на «рутованные» устройства зловред может самостоятельно загружать дополнительно вредоносное ПО.

Популярность всех инфицированных приложений оценивается экспертами как сравнительно невысокая. Тем не менее, игра Viking Jump была загружена порядка 50-100 тысяч раз. По данным на вечер вчерашнего дня, инфицированные приложения все еще были доступны в Google Play, хотя специалисты Check Point известили Google о проблеме еще 5 мая.

[студент]

«Обновления ПО? Не, не слышали»


Каждое четвертое устройство на платформе ОС Windows использует устаревшие и не получающие технической поддержки версии браузера Internet Explorer, число известных уязвимостей в которых превышает 700. Таков один из выводов исследования компании Duo Security. Оно основано на изучении информации о более чем 2 миллионах устройств клиентов Duo Security, среди которых как предприятия малого бизнеса, так и компании, входящие в список топ-500 по версии журнала Fortune.

Столь же неутешительны и другие выводы экспертов Duo Security. Порядка 60 процентов всех пользователей Flash имеют в своем распоряжении устаревшие версии этого ПО. А если говорить о Java, то доля устройств, на которых используются его устаревшие версии, составляет 72 процента. Все это представляет серьезнейшую угрозу. Несвоевременно обновляемое ПО превращает интернет в «мечту хакеров», существенно облегчая организацию атак.

Исследование также отмечает, что пользователи Mac оказались в целом более защищены и более склонны своевременно устанавливать обновления, чем те, кто работает на Windows. А самым регулярно обновляемым браузером показал себя Chrome.

[студент]

На Android появился троян, ворующий данные банковских карт


Вирус заставляет своих жертв выдать права администратора, а затем - ввести данные своих банковских карт.
На Android появился троян, ворующий данные банковских карт
Фото for-smart.ru

Avast обнаружил троян, который через приложения внедряется в ***жет на Android и пытается получить данные банковской карты. Описанная в блоге схема действий вируса выглядит следующим образом:

Троян маскируется под приложения AVITO-MMS, KupiVip или MMS Центр. После первого запуска программы ее иконка становится скрытой, из-за чего удалить ее бывает трудно.
Вирус запускает таймер, и через определенные промежутки времени на экран выводится окно с просьбой предоставить приложению права администратора. Закрытие окна ничего не решит - перед пользователем появится новое.

На некоторых моделях ***жетов можно воспользоваться паузой между всплыванием окон и удалить приложение через настройки, однако в большинстве случаев избавиться от назойливых требований можно только перезагрузив устройство, сбросив его затем к заводским настройкам.

Если дать-таки трояну права администратора, он аналогичным способом начнет требовать назначить скачанный AVITO-MMS, MMS Центр или KupiVip приложением для SMS-сообщений по умолчанию.
Согласившись, пользователь даст вирусу возможность связаться с управляющими серверами и отправить информацию об устройстве (серийный номер устройства, код государства, название мобильного оператора и серийный номер SIM-карты, версию Android-устройства, номера телефона и текущей версии вируса) на C&C сервер.
Затем вирус попытается заставить пользователя ввести данные своей банковской карты, для чего используется окно якобы Google Play (правда, там второе слово с маленькой буквы написано), требующее «обновить или повторно подтвердить платежные данные».

Защищаться от вируса советуют не только установкой антивирус на ***жет, но и постоянным резервным копированием файлов.

[satvitek]

Вирус-вымогатель Petya атаковал компьютеры украинцев

Украинские пользователи стали жертвами нового трояна-шифровальщика под названием Petya («Петя»). Вирус скорее ориентирован на HR-менеджеров и маскируется под письмо с резюме.

Об этом сообщает РБК-Украина со ссылкой на разработчика антивируса Zillya!.
Распространяется Petya с помощью спам-рассылки. Как все происходит: обычно пользователю приходит элеткронное письмо с темой, например, «Резюме Senior Python Developer». В тело письма мошенники специально добавляют ссылки на сервис хранения данных Dropbox. Когда жертва переходит по ссылке, ее компьютер заражается трояном, который перезагружает компьютер, одновременно внося деструктивные изменения в операционной системы.
На компьютере, который заражен трояном, появляется изображение с белым черепом на красном фоне. После нажатия на него всплывают условия выкупа и алгоритм оплаты за расшифровку. В качестве оплаты Petya принимает только криптовалюту — биткоины.
Злоумышленники требуют за разблокировку 0,9 биткоина (около 400 долларов). Если вы были неаккуратными и все-таки заразились данным вирусом, то специалисты рекомендуют не платить мошенникам. Только в одном случае из ста доступ к данным действительно восстанавливается после оплаты.…
В целом, чтобы избежать заражения программами-вымогателями, специалисты рекомендуют интернет-специалистам не открывать письма с вложенными файлами, а если уже открыли, не распаковывать их. Не стоит также переходить по ссылкам в теле электронных писем от незнакомых адресатов. Такую входящую корреспонденцию лучше вообще удалить. Советуют также пользоваться антивирусным программным обеспечением на всех устройствах с регулярным резервным копированием важной информации.

[satvitek]

Россияне всё больше теряют из-за краж с карт «по воздуху»

В России активно распространяется новый вид мошенничества — кража с карт, оснащенных технологиями бесконтактной оплаты Visa PayWave и MasterCard PayPass (карта прикладывается к PoS-терминалу, сумма покупки списывается с «пластика»). За январь–апрель 2016 года мошенники похитили у россиян с таких карт 1 млн рублей. В переполненном транспорте, на рынке, в магазине списать деньги по воздуху нетрудно. Человек может даже не заметить, как против него совершается киберпреступление.
За весь 2015 год злоумышленники увели с карт с возможностью бесконтактной оплаты 2 млн рублей, а за январь–апрель 2016-го — уже 1 млн рублей. Это следует из расчетов, которые специально для «Известий» подготовила компания Zecurion, специализирующаяся на вопросах безопасности дистанционного банковского обслуживания.

Мошенники воруют деньги с помощью самодельных считывателей, способных сканировать банковские карты с чипами RFID (аналоги легальных бесконтактных PoS-терминалов: RFID-ридеров, посылающие электромагнитные сигналы). Кроме того, преступники используют для кражи денег «по воздуху» смартфоны, оснащенные чипами NFC (NFC — разновидность RFID).

Бесконтактное кибермошенничество пришло в Россию из Европы. Суть хакерской схемы похожа на перехват сигналов электрозамков угонщиками автомобилей. Хакерский ридер очень похож на легальное устройство, но он отличается более продвинутой функциональностью: злоумышленнику достаточно приблизить на 5–20 см такое устройство к карте с чипом RFID, как вся необходимая информация будет считана. Мошенникам достаточно бесконтактно получить номер карты и дату окончания срока ее обслуживания. С помощью этого минимума уже можно проводить операции через подставные интернет-площадки или изготовить дубликат магнитной полосы, достаточной для списания средств клиентов.

Скрытый текст

Полученные данные мошенники записывают/передают на карты-клоны — для дальнейших операций (влекут хищения средств с подлинных банковских карт). Из доступной «по воздуху» информации для злоумышленников также представляет интерес и история операций по карте, включающая в себя точные суммы и даты списаний. Располагая этими данными, несложно составить примерный профиль владельца и предположить текущий остаток по счету. У мошенников есть и более дешевые способы кражи данных с бесконтактных карт — обычный смартфон с поддержкой NFC. Им можно с расстояния в несколько сантиметров воровать данные банковских клиентов.

Технологии PayPass и PayWave применяются на картах с чипом и магнитной полосой. При расчетах такой картой не нужно вводить PIN-код, а также ставить подпись на чеке, если сумма покупки небольшая (до 1 тыс. рублей). По оценкам Zecurion, карты с бесконтактной технологией оплаты есть у 2 млн россиян. По оценкам, в России больше 30 тыс. точек приема PayPass: предприятия транспорта, торговли, сферы услуг.

По словам замдиректора департамента аудита защищенности Digital Security Глеба Чербова, объем хищений «по воздуху» растет пропорционально распространению технологии бесконтактной оплаты.

— Также увеличению такого вида хищений способствует совершенствование злоумышленниками техник считывания данных с карт и схем списания и вывода средств, — поясняет Чербов. — Основной стратегией защиты клиентов должно стать информирование пользователей о возможных рисках, связанных с наличием бесконтактного интерфейса в платежной карте. Значительная часть обладателей может даже не до***ываться о возможностях новой карты и о возможностях потенциальных злоумышленников соответственно.

По прогнозам компании Zecurion, за 2016 год объемы хищений с бесконтактных карт граждан достигнут 2,5 млн рублей. А по итогам 2017 года — 5 млн рублей.

Руководитель разработки карточных продуктов группы Бинбанка Никита Игнатенко указывает, что бесконтактная технология не уступает контактным способам оплаты с точки зрения безопасности.

— Данные «обычной» карты могут считать с помощью скимминг-устройства, а при бесконтактной оплате это практически невозможно, — поясняет Никита Игнатенко. — Для мошеннических операций с помощью RFID-ридеров необходимо, чтобы карта располагалась очень близко к считывателю, что минимизирует риски. Но даже если мошенники смогут соорудить супермощный считыватель, максимум, что может потерять человек, — это 1 тыс. рублей, для проведения операции на более крупные суммы всегда требуется введение PIN-кода.

По словам директора департамента платежных систем СМП Банка Елены Биндусовой, для защиты от несанкционированного списывания средств с помощью специальных сканирующих устройств вендоры предлагают защитный «пластик» размером с банковскую карту.

— Данная технология достаточно давно и активно используется для защиты карт с возможностью бесконтактной оплаты в Европе, — поясняет Елена Биндусова. — Разработчики гарантируют, что при использовании защитного пластика сигнал до карты не доходит, а значит, считать данные невозможно. В России технология пока не получила широкого распространения. По мере увеличения количества карт, поддерживающих технологию PayWave/PayPass, предложение по защите данных будет расширяться.

[свернуть]

[студент]

Германия подозревает Россию в кибератаке на Бундестаг


В распоряжении спецслужб Германии есть указания на то, что к прошлогодней кибератаке на нижнюю палату немецкого парламента причастны российские хакеры. С таким заявлением выступил Ханс-Георг Маасен, глава Федеральной служба защиты конституции Германии (в задачи которой входит контрразведывательная деятельность на территории ФРГ). По его словам, за атакой может стоять хакерская группировка Sofacy, деятельность которой инспирируется и координируется российскими властями.

Ранее сообщалось, что кибератака на Бундестаг в мае прошлого года нанесла серьезный ущерб. Чтобы ликвидировать ее последствия, специалистам пришлось на несколько дней отключить значительную часть систем немецкого парламента. Также высказывались предположения, что в ходе атаки могли быть похищены важные данные. Хотя Маасен и не обвинил Россию напрямую, наблюдатели расценивают его заявление как чрезвычайно жесткое. Глава Федеральной службы защиты конституции Германии также заявил, что Россия практикует кибешпионаж в отношении Германии уже на протяжении долгого времени, однако с недавних пор перешла и к акциям киберсаботажа.

[студент]

Уязвимость софта из реестра российского ПО проверят с помощью хакеров


Минкомсвязи решило прибегнуть к услугам хакеров для проверки "дыр" в отечественном софте, внесенном в реестр российского ПО. Хакеры, по словам замминистра связи Алексея Соколова, будут привлекаться через специальные программы bug bounty. Об этом пишут "Известия".

На таких сайтах, работающих по программе bug bounty, как правило, представлены так называемые "белые" хакеры, которые проверяют софт и сайты на уязвимости по заявкам разработчиков за определенную сумму денег. Помимо этого, хакеры предлагают пути решения устранения тех или иных проблем. Отмечается, что к услугам хакеров уже прибегают такие российские компании, как Mail.Ru Group и соцсеть "ВКонтакте".

Что касается российских властей, то, по словам представителя пресс-службы Минкомсвязи, сейчас этот вопрос активно обсуждается министерством с отраслевым сообществом. Примечательно то, что в случае привлечения хакеров, их услуги будут оплачиваться не из федерального бюджета. Будет использована система грантов для частных лиц и организаций.

Отметим, что реестр российского ПО является частью отраслевого плана импортозамещения. По данным на 23 мая в нем значилось уже более 950 наименований.

Сейчас власти рассматривают возможность введения административных мер для российских чиновников, которые продолжают закупать иностранное ПО. Несмотря на все действия властей, направленные на снижение использования зарубежного софта, местные чиновники продолжают закупать иностранное ПО. В итоге, "нарушителей" предлагается наказывать специальным штрафом, размер которого еще предстоит обсудить.

[студент]

Фишинг растет невиданными темпами

Антифишинговая рабочая группа (Anti-Phishing Working Group - APWG) – некоммерческая организация, ставящая целью борьбу с фишинговыми атаками – опубликовала отчет, содержащий весьма тревожные данные.

В первом квартале нынешнего года зафиксировано рекордное количество атак – больше, чем за любой трехмесячный период с начала наблюдений APWG в 2004 году. А с октября 2015 по март 2016 года число фишинговых сайтов выросло сразу на 250 процентов.

Эксперты признаются, что пока не могут объяснить эти результаты. Они ожидали традиционного всплеска фишинговых атак в декабре, который связан с активизацией пользователей (и мошенников) накануне рождественских и новогодних каникул.

Однако за этим пиком обычно следовал спад. Ничего подобного в новом году не произошло. В первом квартале 2015 года был выявлен 289371 фишинговый сайт. Причем почти половина из них (123555) были обнаружены в марте. Для сравнения: в ноябре прошлого года эксперты APWG обнаружили лишь 44575 фишинговых сайтов.

Выросло и число фишинговых компаний – массовых рассылок сообщений электронной почты, содержащих ссылки на фальсифицированные страницы. В январе число таких выявленных компаний составляло порядка 100 тысяч, а в феврале и марте – по 230 тысяч. Специалисты APWG отмечают, что большая часть фишинговых сайтов размещаются на серверах в США.

[студент]

Банковский троянец атакует любителей взломанных мобильных игр


Вирусные аналитики компании «Доктор Веб» постоянно фиксируют случаи распространения разнообразных банковских троянцев, которые предназначены для заражения мобильных устройств под управлением ОС Android. Не секрет, что киберпреступники очень часто стараются замаскировать такие вредоносные приложения под безобидные и полезные программы. Не стал исключением и банкер Android.BankBot.104.origin, которого вирусописатели преподносят потенциальным жертвам как ПО для взлома популярных мобильных игр, а также под видом программ для читерства.

Скрытый текст

В поле зрения предприимчивых киберпреступников, распространяющих банковских троянцев, попали любители мобильных игр, которые стремятся получить все и сразу, не заплатив ни копейки и не потратив на это никаких усилий. В частности, когда пользователи пытаются найти в популярных поисковых системах информацию о читах для облегчения прохождения игр – например, возможности получить бесконечное золото, кристаллы и другую игровую валюту, – либо просто хотят скачать взломанную версию любимого игрового приложения, в результатах поиска потенциальным жертвам демонстрируются ссылки на многочисленные мошеннические веб-сайты, специально созданные для любителей пресловутой «халявы».

Веб-порталы злоумышленников содержат информацию о более чем 1000 различных популярных игр, поэтому при поиске практически любой известной игры в первых строчках результатов поисковых систем пользователи непременно увидят предложение злоумышленников. Примечательно, что данные сайты имеют действительную цифровую подпись, в результате чего многие потенциальные жертвы могут посчитать их безопасными, пишет news.drweb.ru.

При попытке скачать с этих веб-порталов то или иное приложение владелец мобильного устройства перенаправляется на еще один мошеннический сайт, с которого под видом взломанных версий ПО или программ для читерства скачивается банковский троянец Android.BankBot.104.origin. Помимо этого вредоносного приложения, на смартфоны и планшеты могут также загружаться и другие троянцы, в частности, представители семейства банкеров Android.ZBot.

Распространяемый злоумышленниками троянец Android.BankBot.104.origin защищен специальным упаковщиком, который снижает вероятность обнаружения антивирусами и затрудняет анализ. Одна из последних его модификаций детектируется антивирусными продуктами Dr.Web для Android как Android.BankBot.72, однако вирусописатели постоянно создают новые перепакованные версии банкера, поэтому вредоносное приложение может обнаруживаться и под другими именами. Сам Android.BankBot.104.origin является обфусцированной версией банковского троянца Android.BankBot.80.origin – его код серьезно зашифрован, что также призвано осложнить анализ и обнаружение защитным ПО.

Android.BankBot.104.origin устанавливается на Android-смартфоны и планшеты как приложение с именем «HACK» и после запуска пытается получить доступ к функциям администратора устройства. Затем троянец удаляет свой значок из списка приложений на главном экране, скрываясь от пользователя.

Далее он приступает к непосредственному выполнению вредоносной деятельности. В частности, пытается определить, подключена ли у жертвы услуга мобильного банкинга, а также есть ли у нее какие-либо доступные денежные счета. Для этого вредоносное приложение отправляет СМС-сообщения со специальными командами на соответствующие номера банковских систем. Если Android.BankBot.104.origin обнаруживает деньги, он пытается незаметно перевести их на счета злоумышленников.

Кроме того, киберпреступники могут дистанционно управлять банкером. Так, по команде с управляющего сервера троянец способен включить переадресацию вызовов на заданный номер, скрывать от пользователя входящие СМС и перехватывать их содержимое, отправлять СМС-сообщения, выполнять USSD-запросы, а также некоторые другие действия.

[свернуть]

[студент]

Браконьеры в поисках уязвимостей

Специалисты Managed Security Services корпорации IBM сообщили о сравнительно новом способе заработка, который освоили киберпреступники. Он получил название bug poaching, что можно приблизительно перевести как «браконьерская охота за уязвимостями». Суть его состоит в том, что хакеры получают доступ к серверам крупных компаний.

Определив потенциально ценную информацию, киберпреступники похищают ее и помещают в облачное хранилище. Затем руководству компании отправляется сообщение со ссылкой на похищенные данные и предложением заплатить за информацию об уязвимостях, которые позволили их похитить.

По данным Managed Security Services, не менее 30 крупных компаний столкнулись с подобными ситуациями в прошлом году, а сумма «гонораров» за рассказ об уязвимостях доходила до 30 тысяч долларов. Как отмечает исследователь IBM Джон Кун преступники пытаются представить свои действия как исключительно благородные. Они, якобы, предлагают бизнесу заплатить за укрепление своей кибербезопасности вместо того, чтобы продавать похищенные данные или уничтожать их.

Однако действия хакеров являются в любом случае незаконными и уголовно наказуемыми. Самое же главное состоит в том, что платить, строго говоря, не за что. Ни в одном из расследованных специалистами IBM подобных случаев не были задействованы уязвимости нулевого дня.

Зато очень широко использовались атаки с внедрением SQL-кода, эксплуатирующие давно известные уязвимости, которые IT-специалисты соответствующих компаний попросту не удосужились ликвидировать, своевременно обновив ПО.

[студент]

На продажу выставлены данные 360 миллионов аккаунтов в Myspace


Киберпреступникам удалось похитить данные порядка трети миллиарда пользователей социальной сети Myspacе. Это официально подтвердил представитель компании Time Inc., которой принадлежит Myspacе. Он, впрочем, отказался назвать точное число потенциальных жертв, однако отметил, что цифра в 360 миллионов, фигурирующая в сообщениях СМИ, «выглядит соответствующей действительности».

За атакой, судя по всему, стоит российский хакер, скрывающийся под ником Peace. Он приобрел в последнее время широкую известность, поскольку ранее он же выставил на продажу на хакерских форумах данные, похищенные в результате двух других очень масштабных утечек. Речь идет о данных пользователей Tumblr и LinkedIn - порядка 65 и 117 миллионов пострадавших аккаунтов соответственно. Во всех трех случаях сами утечки произошли не менее 3 лет назад.

В случае с Myspacе опасность грозит пользователям, зарегистрировавшимся в социальной сети до 11 июня 2013 года. Peace сообщил, что намерен выручить от продажи 360 миллионов адресов электронной почты пользователей и их паролей для сайта Myspacе порядка 2800 долларов. Представители Time Inc. заверили, что пароли всех установленных жертв утечки уже аннулированы, а компания уведомила об инциденте правоохранительные органы и тщательно отслеживает возможные случаи подозрительной активности.

Следует отметить, что Myspacе, некогда являвшаяся самой популярной социально сетью, переживает не лучшие времена, давно уступив лидирующие позиции Facebook и Twitter. Однако чрезвычайно масштабная утечка может стать причиной больших проблем. Прежде всего из-за скверной привычки пользователей ограничиваться одним и тем же паролем для множества ресурсов.

[студент]

DDoS-атаки в РФ по качеству опережают общемировые атаки на 1-1,5 года

DDoS-атаки в России по качеству опережают такие же вредоносные акции в мире на 1-1,5 года, именно поэтому российские финансовые организации и банки чаще подвергаются кибертакам, сообщил РИА Новости гендиректор компании Qrator Labs, которая предоставляет услуги противодействия DDoS-атакам, Александр Лямин.

МВД РФ в среду сообщило, что его сотрудники совместно с ФСБ предотвратили хищение хакерами 2,3 миллиарда рублей у финорганизаций и компаний. Ранее сообщалось, что ФСБ совместно с органами внутренних дел пресекла деятельность хакеров, которые похитили 1,7 миллиарда рублей у финорганизаций РФ. Как сообщали СМИ, премьер-министр РФ Дмитрий Медведев в пятницу проведет совещание с банками, посвященное кибербезопасности.

"По качеству исполнения и инновационности DDoS-атаки, которые мы наблюдаем в России, как правило, идут с опережением на 1-1,5 года общемирового уровня. Есть кадры, есть школа, есть какая-то определенная социальная неустроенность. На мой взгляд, именно по этой причине наши банки подвергаются большим атакам", — сказал Лямин.

По его словам, DDoS-атаки сейчас динамично развивающийся вид вредоносных акций в IT-сфере: общемировой прирост атак в 2015 году составил 18%. "В России ситуация куда более драматичная. Недавно мы провели исследование в банковской сфере и выяснили, что каждый четвёртый банк с этой проблемой в прошлом году столкнулся", — отметил эксперт.

По данным исследования Qrator Labs, в 2015 году количество DDoS-атак на банки по сравнению с 2014 годом увеличилось на 50%, на компании e-commerce – на 70%, туристический сектор – на 150%, рынок недвижимости – на 170%. DDoS-атаки — внешние воздействия на системы банка, вызывающие перегрузки, которые, в конечном счете, могут привести к остановке работы банка. При этом злоумышленники предлагают банкам заплатить выкуп за прекращение DDoS-атаки.

[студент]

Уязвимы с момента распаковки

Приобретая ноутбуки многих популярных производителей, пользователь подвергает себя риску ровно с того самого момента, как извлекает устройство из коробки и включает его. Об этом сообщает компания Duo Labs. Ее специалисты исследовали ноутбуки 5 ведущих компаний – Acer, Asus, Dell, HP и Lenovo. И обнаружили в предустановленном на них ПО не менее 12 уязвимостей, в том числе – одну критическую. При этом использовать их для атак могут даже хакеры, обладающие самыми базовыми навыками.

Это далеко не первый случай, когда предустановленное производителями ПО вызывает проблемы с безопасностью компьютеров, однако проблема, похоже, не только не решается, но и становится все масштабнее. Как объясняют эксперты Duo Labs, предустановленное ПО часто не нужно покупателям компьютеров, а потому они просто не используют его – и, соответственно, могут и понятия не иметь, что программу давно нужно было обновить. Duo Labs предлагает весьма радикальный выход: полностью удалять всю «начинку» новых ноутбуков и переустанавливать операционную систему.

Впрочем, производители, к чести их будет сказано, достаточно оперативно отреагировали на информацию Duo Labs. HP и Dell уже устранили все обнаруженные уязвимости, в Lenovo, Asus и Acer признали факт проблемы и сообщили, что работают над необходимыми обновлениями.

[студент]

Масштабные утечки добрались до Twitter

«Сезон больших утечек», стартовавший в мае, когда в сети появились данные многих десятков миллионов пользователей LinkedIn и Myspace, судя по всему, продолжается. На сей раз пришла очередь Twitter. Русскоязычный хакер, скрывающийся под ником Tessa88, выставил на продажу на одном из подпольных форумов базу, содержащую адреса электронной почты, имена учетных записей и пароли 379 миллионов пользователей популярнейшего сервиса микроблогов. Правда, последующий анализ и исключение повторов уменьшили эту цифру более чем в 10 раз. Однако и последняя оценка – 33 миллиона – выглядит весьма внушительной.

Выборочная проверка показала, что многие адреса, имена и пароли являются реальными. Специалисты по кибербезопасности полагают, что говорить о взломе Twitter не приходится. Скорее всего, речь идет о инфицировании компьютеров многих миллионов пользователей во всем мире вредоносным ПО, которое пересылает хакерам любые хранимые на устройствах имена учетных записей и пароли – в том числе и относящиеся к Twitter. Предполагается, что информация была получена киберпреступниками ориентировочно в 2014 году. Tessa88 планирует продать данные за 10 биткоинов – порядка 5810 долларов США.

[satvitek]

Мошеннический спам и поддельные сервисы по продаже билетов

«Лаборатория Касперского» предупреждает, что злоумышленники активно используют приближающуюся Олимпиаду в Рио-де-Жанейро с целью обмана пользователей и кражи у них денег и персональных данных. Основные инструменты — мошеннический спам и поддельные сервисы по продаже билетов на главное спортивное мероприятие года.
Спам-письма создаются по тому же принципу, что и рассылки, нацеленные на болельщиков Чемпионата Европы по футболу. Обычно фальшивые уведомления содержат DOC- или PDF-вложения с информацией о том, что электронный адрес пользователя, выбранный случайным образом из миллионов других, победил в лотерее, посвященной Олимпиаде. Для получения выигрыша мошенники просят выслать данные банковской карты.

Еще более серьезную угрозу представляют поддельные сервисы по продаже билетов на Олимпийские игры. «Лаборатория Касперского» обнаруживает и блокирует десятки фальшивых доменов, имеющих в названии слова rio, rio2016 и др. Эти сайты позволяют осуществить простую мошенническую схему: фишеры запрашивают всю информацию по банковской карте якобы для оплаты билетов, а затем используют ее для кражи денег со счета жертвы. Чтобы на некоторое время усыпить бдительность покупателя, мошенники уверяют его, что бронь оплачена и принята, а билеты будут отправлены за две-три недели до мероприятия. Таким образом, они не только грабят пользователей, но и лишают их шанса побывать на Олимпиаде, ведь за такой короткий срок достать настоящие билеты будет проблематично, особенно если отложенная на них сумма уже потрачена.

Фальшивые сервисы сделаны очень качественно. Для придания им убедительности злоумышленники часто покупают самые дешевые и простые сертификаты SSL, позволяющие обеспечить передачу данных между веб-сервером и браузером по защищенному протоколу и поставить вызывающий доверие префикс https в начале адресной строки.

«По нашей информации, созданием поддельных ресурсов обычно занимаются международные группировки, состоящие из множества мелких команд, каждая из которых выполняет свою часть работы. Одни создают сайты, другие регистрируют домены, третьи собирают и продают персональные данные жертв, четвертые выводят деньги и так далее. Чтобы не попасться на уловку мошенников, любителям спорта следует быть бдительными и покупать билеты на Олимпиаду только на сайтах официальных продавцов, какими бы низкими ценами ни манили другие ресурсы», — предупреждает Андрей Костин, старший контент-аналитик «Лаборатории Касперского».

Эксперты компании рекомендуют ничего не покупать в магазинах, навязываемых посредством спам-рассылок или рекламных баннеров, будь то билеты или сувенирная продукция, связанная с Олимпиадой. Тем, кто не может удержаться от спонтанных покупок, рекомендуется завести отдельные банковскую карту и счет с небольшой суммой денег и использовать их только для онлайн-платежей, чтобы избежать серьезных потерь в случае кражи финансовой информации.

[satvitek]

Банковский троянец атакует любителей взломанных мобильных игр

Вирусные аналитики компании «Доктор Веб» постоянно фиксируют случаи распространения разнообразных банковских троянцев, которые предназначены для заражения мобильных устройств под управлением ОС Android. Не секрет, что киберпреступники очень часто стараются замаскировать такие вредоносные приложения под безобидные и полезные программы.

Скрытый текст

Не стал исключением и банкер Android.BankBot.104.origin, которого вирусописатели преподносят потенциальным жертвам как ПО для взлома популярных мобильных игр, а также под видом программ для читерства. В поле зрения предприимчивых киберпреступников, распространяющих банковских троянцев, попали любители мобильных игр, которые стремятся получить все и сразу, не заплатив ни копейки и не потратив на это никаких усилий. В частности, когда пользователи пытаются найти в популярных поисковых системах информацию о читах для облегчения прохождения игр – например, возможности получить бесконечное золото, кристаллы и другую игровую валюту, – либо просто хотят скачать взломанную версию любимого игрового приложения, в результатах поиска потенциальным жертвам демонстрируются ссылки на многочисленные мошеннические веб-сайты, специально созданные для любителей пресловутой «халявы». Веб-порталы злоумышленников содержат информацию о более чем 1000 различных популярных игр, поэтому при поиске практически любой известной игры в первых строчках результатов поисковых систем пользователи непременно увидят предложение злоумышленников. Примечательно, что данные сайты имеют действительную цифровую подпись, в результате чего многие потенциальные жертвы могут посчитать их безопасными, пишет news.drweb.ru. При попытке скачать с этих веб-порталов то или иное приложение владелец мобильного устройства перенаправляется на еще один мошеннический сайт, с которого под видом взломанных версий ПО или программ для читерства скачивается банковский троянец Android.BankBot.104.origin. Помимо этого вредоносного приложения, на смартфоны и планшеты могут также загружаться и другие троянцы, в частности, представители семейства банкеров Android.ZBot. Распространяемый злоумышленниками троянец Android.BankBot.104.origin защищен специальным упаковщиком, который снижает вероятность обнаружения антивирусами и затрудняет анализ. Одна из последних его модификаций детектируется антивирусными продуктами Dr.Web для Android как Android.BankBot.72, однако вирусописатели постоянно создают новые перепакованные версии банкера, поэтому вредоносное приложение может обнаруживаться и под другими именами. Сам Android.BankBot.104.origin является обфусцированной версией банковского троянца Android.BankBot.80.origin – его код серьезно зашифрован, что также призвано осложнить анализ и обнаружение защитным ПО. Android.BankBot.104.origin устанавливается на Android-смартфоны и планшеты как приложение с именем «HACK» и после запуска пытается получить доступ к функциям администратора устройства. Затем троянец удаляет свой значок из списка приложений на главном экране, скрываясь от пользователя. Далее он приступает к непосредственному выполнению вредоносной деятельности. В частности, пытается определить, подключена ли у жертвы услуга мобильного банкинга, а также есть ли у нее какие-либо доступные денежные счета. Для этого вредоносное приложение отправляет СМС-сообщения со специальными командами на соответствующие номера банковских систем. Если Android.BankBot.104.origin обнаруживает деньги, он пытается незаметно перевести их на счета злоумышленников. Кроме того, киберпреступники могут дистанционно управлять банкером. Так, по команде с управляющего сервера троянец способен включить переадресацию вызовов на заданный номер, скрывать от пользователя входящие СМС и перехватывать их содержимое, отправлять СМС-сообщения, выполнять USSD-запросы, а также некоторые другие действия.

[свернуть]

[satvitek]

Заряжать смартфоны через USB может быть небезопасно

«Лаборатория Касперского» провела эксперимент, доказывающий, что заряжать смартфоны через USB-порты компьютеров не так уж безопасно, поскольку это открывает путь в систему злоумышленникам и может привести к краже данных и заражению устройства вредоносным ПО.

Эксперты протестировали ряд смартфонов, работающих под управлением Android и iOS, и выяснили, что во время подключения к компьютеру с помощью стандартного USB-кабеля устройства автоматически обмениваются определенным набором данных — каким конкретно, зависит от производителя, версии ОС, прошивки устройства. Это может быть имя и тип устройства, название производителя, серийный номер, информация о прошивке, операционной и файловой системах и др.

Скрытый текст

Опасность заключается в том, что эти данные могут использовать киберпреступники, ведь идентификация устройства позволяет определить его уязвимости и получить контроль над ним. Как показал эксперимент «Лаборатории Касперского», это может быть сделано посредством одной из команд модема, выполняющей перезагрузку смартфона в режиме обновления прошивки. В результате этих действий на устройство может быть незаметно установлено приложение для управления файловой системой, которое нельзя удалить стандартными средствами. Пользовательские данные при этом остаются на месте, но ***жет оказывается полностью скомпрометированным. Таким образом, этот метод дает злоумышленникам возможность устанавливать и удалять приложения, копировать сообщения, фото и видео, кэш приложений и файлов, шифровать и удалять данные и т.д.

Случаи краж данных со смартфонов, подключенных к компьютеру, уже известны. Их совершала, например, кибергруппировка «Красный октябрь». Благодаря информации, полученной в результате соединения с USB-портом, злоумышленники определяли модель устройства, используемого жертвой, и проводили атаку с помощью специального эксплойта.

«О том, что смартфон может быть заражен через USB-порт, мир узнал еще в 2014 году на конференции Black Hat, и тем не менее эта проблема все еще не решена. Владельцы мобильных устройств могут серьезно пострадать, ведь таким образом в систему можно внедрить все что угодно — от рекламного ПО до программы-шифровальщика. Это может сделать даже непрофессиональный хакер, ведь необходимую информацию легко можно найти в Сети. Особенно таких атак следует опасаться сотрудникам крупных компаний, ответственным за принятие решений», — рассказывает Алексей Комаров, исследователь «Лаборатории Касперского».

Чтобы защититься от подобных рисков, «Лаборатория Касперского» рекомендует установить на мобильное устройство и компьютер пароль и надежное защитное решение; использовать только доверенные зарядные станции и компьютеры; выключать смартфон, пока он заряжается; а также использовать технологии шифрования и зашифрованные хранилища.

[свернуть]

[satvitek]

Появился новый вирус-вымогатель ZCryptor

Компания Microsoft предупреждает о новой программе-вымогателе ZCryptor.
Эта программа распространяется через съемные и сетевые диски, сообщает Softpedia.

Злоумышленники используют фальшивые инсталляторы, которые обычно маскируются под Adobe Flash, а также макросы в файлах Office. Попав на компьютер, программа добавляет ключ в реестр и затем начинает шифровать файлы, добавляя к их именам расширения .zcrypt. Microsoft сообщает о том, что шифруются файлы 88 типов.
Кроме этого, в компании отмечают необычное поведение для вымогателя, чего не встречалось ранее. ZCryptor ведет себя в стиле «червя», который может распространяться на ближайшие цели через сетевые и портативные устройства. Создатели вредоносной программы постоянно обновляют код вымогателя и добавляют новые возможности.

[satvitek]

Мошенники заражали компьютеры жертв вирусом Lurk также через веб-ресурсы СМИ и новостные агрегаторы

В "Лаборатории Касперского" сообщили, что хакеры, укравшие около 3 млрд рублей со счетов клиентов шести банков и задержанные силовиками, заражали компьютеры жертв вирусом Lurk также через веб-ресурсы СМИ и новостные агрегаторы.
— Размещение троянца на популярных страницах открывало им возможность широкого распространения зловреда. Заражение жертв обычно происходило либо через взломанные сайты, либо через программы-эксплойты, либо через проникновение в наименее защищённый компьютер внутри корпоративной сети организации, — говорится в сообщении компании.

По словам программистов, троянец Lurk отличается хорошей проработкой – на протяжении пяти лет вирусописатели постоянно дорабатывали его, используя современные технологии. К примеру, он оказался одним из чрезвычайно редких зловредов, чей код не сохраняется на жёстком диске заражённого компьютера, а функционирует в операционной памяти.

Скрытый текст

— Его авторы делали всё, чтобы заразить максимальное количество жертв, не привлекая внимания силовиков. В ходе анализа нам удалось выяснить, что за троянцем всё-таки стояла одна группировка, и в неё входили профессиональные разработчики и тестировщики, — поясняется в сообщении лаборатории.

Операция по вычислению и поимке хакеров, укравших деньги со счетов шести банков, среди которых — "Металлинвестбанк", Русский международный банк, "Метрополь" и "Регнум" — провели сотрудники МВД и ФСБ России при экспертной поддержке "Лаборатории Касперского" и участии Сбербанка.

[свернуть]