Информация об утечке появилась на одном из форумов. Некий хакер из России хвастался, что к нему попали данные об аккаунтах сотен миллионов пользователей – в общей сложности якобы более миллиарда. Когда с ним связались представители Hold Securities, он предложил продать им всю базу.

Детали, правда, вызывают сомнения. Со слов Холдена, за информацию хакер запросил всего 50 рублей. А в итоге вообще согласился отдать ее бесплатно – в обмен на то, что ему пообещали «положительные комментарии на хакерских форумах».

По оценке Hold Securities, база содержит данные о 273 млн аккаунтов. В основном – с почтовых ящиков Mail.ru (около 57 млн, общее число активных аккаунтов сервиса – около 100 млн), а также Yahoo Mail (40 млн), Microsoft Hotmail (33 млн) и Gmail (24 млн). В базу также попали сотни тысяч аккаунтов с немецких и китайских сервисов.

Тысячи украденных аккаунтов, по словам Холдена, могут принадлежать сотрудникам крупных американских банков, промышленных предприятий и торговых сетей.

Как отреагировали почтовые сервисы?

Представитель Microsoft, согласно Reuters, подтвердил факт хищения данных (хотя и не уточнил их масштаб). Он заявил, что администрация сервиса сейчас разбирается с ситуацией.

Администрация Mail.ru, со своей стороны, заявила, что предварительный анализ данных, оказавшихся у Холдена (последний передал их почтовому сервису), не выявил там «паролей, подходящих к активным живым аккаунтам». «Кроме того… база содержит большое количество одних и тех же логинов с разными паролями, что свидетельствует о том, что она была скомпилирована из фрагментов разных баз, где юзеры использовали в качестве логина свою электронную почту», – говорится в заявлении ресурса.

Проверка базы будет продолжена. В дальнейшем администрация пообещала «предупредить пользователей, которые могли пострадать».

Версию поддержали и в «Лаборатории Касперского». Там заявили, что база, вероятнее всего, была собрана в результате нескольких фишинговых атак – массовых рассылок электронных писем пользователям от имени известных ресурсов или организаций. Представитель «Лаборатории Касперского» добавил также, что активные аккаунты составляют лишь небольшую часть базы.

Что было раньше?

Еще одна крупная утечка данных о почтовых аккаунтах произошла два года назад. Тогда в Сеть были выложены пароли с ящиков на Mail.ru, «Яндекс.Почте» и Gmail – в общей сложности более 10 млн.

В Mail.ru тогда, как и теперь, заявили, что «база старая и собрана из кусочков, то есть из нескольких баз паролей, которые были украдены у пользователей в разное время». В администрации добавили, что «в абсолютном большинстве случаев причиной утечки является неопытность пользователя или его легкомысленное поведение», а взлом оказывается возможным в том числе из-за того, что владельцы аккаунтов используют простые пароли и пользуются одинаковыми паролями на различных сервисах.

Другие полагали, что виноваты не только пользователи. В прессе появились выдержки из отчета Cloudseller – авторизованного дилера Google в России. Его авторы указывали на возможные уязвимости в самих сервисах. «Как Yandex, так и Mail.ru в ядре своих сервисов используют операционную систему Linux и ряд open-source продуктов, – говорилось в отчете. – Часто эти продукты дорабатываются компаниями под свои нужды, но основа остается неизменной. Мы предполагаем, что взлом произошел через неопубликованную уязвимость либо в веб-сервисе, либо в системе управления базами данных…».

Из документов, опубликованных бывшим сотрудником Агентства национальной безопасности США Эдвардом Сноуденом, также следовало, что по сложности взлома Mail.ru с точки зрения АНБ находится на среднем уровне.

Альтернативная версия – ее выдвинул Антон Носик – сводилась к тому, что сами сервисы никто не взламывал, а речь шла лишь о похищении паролей «у некоторого количества неосторожных пользователей». Громкая история о взломе, по его мнению, понадобилась либо власти, либо близким к ней людям. «Тут вариантов два: либо государству нужен предлог для того, чтобы активно вмешиваться в вопросы безопасности пользователей, либо жуликам около государства нужен предлог для того, чтобы освоить бюджетные деньги на создание “надежной государственной системы”, которую никто никогда не взломает», – рассуждал он.

Сколько стоит взлом?

По данным Dell SecureWorks, за взлом почтового ящика, размещенного на одном из популярных российских сервисов (Mail.ru, «Яндексе» или «Рамблере»), хакеры просят от $65 до $100. Аккаунты на зарубежных ресурсах (Gmail, Hotmail или Yahoo) обходятся дороже – около $130. Корпоративные почтовые ящики – около $500.

Взломать аккаунт в одной из американских соцсетей, согласно источнику, хакеры могут примерно за $130. В случае с российскими сетями – «ВКонтакте» и «Одноклассниками» – их услуги стоят дороже – около $200.

По информации «Лаборатории Касперского», от взлома аккаунта как минимум один раз пострадали около трети российских интернет-пользователей. В основном доступ к чужим аккаунтам использовался для рассылки фишинговых сообщений, в некоторых случаях данные пользователей были использованы в преступных целях, в 20 процентах случаев информация профиля после взлома была уничтожена.

Полученные данные мошенники записывают/передают на карты-клоны — для дальнейших операций (влекут хищения средств с подлинных банковских карт). Из доступной «по воздуху» информации для злоумышленников также представляет интерес и история операций по карте, включающая в себя точные суммы и даты списаний. Располагая этими данными, несложно составить примерный профиль владельца и предположить текущий остаток по счету. У мошенников есть и более дешевые способы кражи данных с бесконтактных карт — обычный смартфон с поддержкой NFC. Им можно с расстояния в несколько сантиметров воровать данные банковских клиентов.

Технологии PayPass и PayWave применяются на картах с чипом и магнитной полосой. При расчетах такой картой не нужно вводить PIN-код, а также ставить подпись на чеке, если сумма покупки небольшая (до 1 тыс. рублей). По оценкам Zecurion, карты с бесконтактной технологией оплаты есть у 2 млн россиян. По оценкам, в России больше 30 тыс. точек приема PayPass: предприятия транспорта, торговли, сферы услуг.

По словам замдиректора департамента аудита защищенности Digital Security Глеба Чербова, объем хищений «по воздуху» растет пропорционально распространению технологии бесконтактной оплаты.

— Также увеличению такого вида хищений способствует совершенствование злоумышленниками техник считывания данных с карт и схем списания и вывода средств, — поясняет Чербов. — Основной стратегией защиты клиентов должно стать информирование пользователей о возможных рисках, связанных с наличием бесконтактного интерфейса в платежной карте. Значительная часть обладателей может даже не до***ываться о возможностях новой карты и о возможностях потенциальных злоумышленников соответственно.

По прогнозам компании Zecurion, за 2016 год объемы хищений с бесконтактных карт граждан достигнут 2,5 млн рублей. А по итогам 2017 года — 5 млн рублей.

Руководитель разработки карточных продуктов группы Бинбанка Никита Игнатенко указывает, что бесконтактная технология не уступает контактным способам оплаты с точки зрения безопасности.

— Данные «обычной» карты могут считать с помощью скимминг-устройства, а при бесконтактной оплате это практически невозможно, — поясняет Никита Игнатенко. — Для мошеннических операций с помощью RFID-ридеров необходимо, чтобы карта располагалась очень близко к считывателю, что минимизирует риски. Но даже если мошенники смогут соорудить супермощный считыватель, максимум, что может потерять человек, — это 1 тыс. рублей, для проведения операции на более крупные суммы всегда требуется введение PIN-кода.

По словам директора департамента платежных систем СМП Банка Елены Биндусовой, для защиты от несанкционированного списывания средств с помощью специальных сканирующих устройств вендоры предлагают защитный «пластик» размером с банковскую карту.

— Данная технология достаточно давно и активно используется для защиты карт с возможностью бесконтактной оплаты в Европе, — поясняет Елена Биндусова. — Разработчики гарантируют, что при использовании защитного пластика сигнал до карты не доходит, а значит, считать данные невозможно. В России технология пока не получила широкого распространения. По мере увеличения количества карт, поддерживающих технологию PayWave/PayPass, предложение по защите данных будет расширяться.

https://www.anti-malware.ru/files/st...?itok=6PthZpW8

В поле зрения предприимчивых киберпреступников, распространяющих банковских троянцев, попали любители мобильных игр, которые стремятся получить все и сразу, не заплатив ни копейки и не потратив на это никаких усилий. В частности, когда пользователи пытаются найти в популярных поисковых системах информацию о читах для облегчения прохождения игр – например, возможности получить бесконечное золото, кристаллы и другую игровую валюту, – либо просто хотят скачать взломанную версию любимого игрового приложения, в результатах поиска потенциальным жертвам демонстрируются ссылки на многочисленные мошеннические веб-сайты, специально созданные для любителей пресловутой «халявы».

Веб-порталы злоумышленников содержат информацию о более чем 1000 различных популярных игр, поэтому при поиске практически любой известной игры в первых строчках результатов поисковых систем пользователи непременно увидят предложение злоумышленников. Примечательно, что данные сайты имеют действительную цифровую подпись, в результате чего многие потенциальные жертвы могут посчитать их безопасными, пишет news.drweb.ru.

При попытке скачать с этих веб-порталов то или иное приложение владелец мобильного устройства перенаправляется на еще один мошеннический сайт, с которого под видом взломанных версий ПО или программ для читерства скачивается банковский троянец Android.BankBot.104.origin. Помимо этого вредоносного приложения, на смартфоны и планшеты могут также загружаться и другие троянцы, в частности, представители семейства банкеров Android.ZBot.

Распространяемый злоумышленниками троянец Android.BankBot.104.origin защищен специальным упаковщиком, который снижает вероятность обнаружения антивирусами и затрудняет анализ. Одна из последних его модификаций детектируется антивирусными продуктами Dr.Web для Android как Android.BankBot.72, однако вирусописатели постоянно создают новые перепакованные версии банкера, поэтому вредоносное приложение может обнаруживаться и под другими именами. Сам Android.BankBot.104.origin является обфусцированной версией банковского троянца Android.BankBot.80.origin – его код серьезно зашифрован, что также призвано осложнить анализ и обнаружение защитным ПО.

Android.BankBot.104.origin устанавливается на Android-смартфоны и планшеты как приложение с именем «HACK» и после запуска пытается получить доступ к функциям администратора устройства. Затем троянец удаляет свой значок из списка приложений на главном экране, скрываясь от пользователя.

Далее он приступает к непосредственному выполнению вредоносной деятельности. В частности, пытается определить, подключена ли у жертвы услуга мобильного банкинга, а также есть ли у нее какие-либо доступные денежные счета. Для этого вредоносное приложение отправляет СМС-сообщения со специальными командами на соответствующие номера банковских систем. Если Android.BankBot.104.origin обнаруживает деньги, он пытается незаметно перевести их на счета злоумышленников.

Кроме того, киберпреступники могут дистанционно управлять банкером. Так, по команде с управляющего сервера троянец способен включить переадресацию вызовов на заданный номер, скрывать от пользователя входящие СМС и перехватывать их содержимое, отправлять СМС-сообщения, выполнять USSD-запросы, а также некоторые другие действия.