Rose debug info
---------------

Блог компании Антифишинг

как поведение людей влияет на безопасность

Наши продуктыДайджестыСтатьиСписок постов

Антифишинг-дайджест № 250 с 26 ноября по 2 декабря 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Злоумышленники проводят внутренние фишинговые атаки против сотрудников IKEA, используя для этого украденные цепочки электронных писем.

Для таких атак злоумышленники похищают настоящую корпоративную переписку, а затем встраиваются в уже существующие цепочки писем, присылая участникам переписки ссылки на документы, которые устанавливают вредоносное ПО Emotet или Qbot на устройства получателей.

Поскольку письма выглядят как настоящие и отправляются от имени реальных сотрудников, чьи учётные записи скомпрометированы, получатели, как правило, доверяют таким посланиям.

Авторы очередной мошеннической кампании предлагают сторонникам конспирологических теорий «дечипизацию» после прививки от коронавируса.

Мошенники заявляют, что разработали «дечипизатор» — небольшое одноразовое устройство, которое нужно приложить к месту введения инъекции, чтобы уничтожить все внедрённые «чипы». Сделать это они готовы за «совершенно небольшую плату».

Конспирологические теории о чипировании путем вакцинации от коронавируса стали распространяться в начале пандемии в 2020 году. Одними из популярных были высказывания, что основатель и экс-глава Microsoft Билл Гейтс хочет вживлять людям микрочипы под видом вакцинации от коронавируса.

Жителей Финляндии атакуют огромным количеством мошеннических SMS, содержащих ссылки на вредоносное ПО.

Схема кампании;

  • В сообщениях говорится, будто абонент получил сообщение по голосовой почте, и прослушать его можно по ссылке.
  • На Android-устройствах после этого появляется запрос на установку приложения, содержащего вредоносное ПО Flubot.
  • На iPhone пользователи перенаправляются на мошеннический web-сайт, где им также предлагается загрузить Flubot.

Мобильная безопасность

В Play Market обнаружены 12 Android-приложений, способных обойти защитные механизмы магазина приложений и красть данные банковских приложений.

Приложения имитируют сканеры документов и QR-кодов. Вредоносные компоненты загружаются только при работе в определенных регионах, в том числе в России. Среди российских банков, приложения которых атакуют вредоносы — Сбербанк, Тинькофф-банк, «Уралсиб», Почта-банк и ОТП-банк.

После установки вредоносное приложение проверяет регион и если условия соответствуют заданным, просит пользователя скачать «обновление» и предоставить разрешение на установку неизвестных приложений. Под видом обновления загружается собственно вредоносный код, который затем запрашивает разрешение на предоставление полного доступа к телефону.
Из-за того что вредоносный код загружается отдельно от приложения, вирус проходит проверки при публикации в магазине приложений.

Инциденты

Американская биофармацевтическая компания Supernus Pharmaceuticals стала жертвой вымогательской кибератаки, в результате которой злоумышленники похитили и заблокировали важные данные.

В середине ноября 2021 года преступники получили доступ к системам компании и развернули вымогательское ПО, заблокировав сотрудникам доступ к файлам.. После этого они пригрозили опубликовать похищенную информацию, если не будет уплачен выкуп.

В компании заявляют, что атака не оказала существенного влияния на ее работу, и в настоящее время не планирует платить выкуп. Затронутые атакой файлы восстановлены, усилена безопасность сетей. Однако она обеспокоена тем, что злоумышленники могут предпринять попытки воспользоваться похищенными данными.

Ответственность за инцидент взяла на себя группировка Hive, заявившая, что взломала сеть Supernus Pharmaceuticals и похитила 1 268 906 файлов объёмом 1,5 Тб.

Корпорация Panasonic сообщила о кибератаке, в ходе которой неизвестные злоумышленники получили доступ к серверам в его сети.

По сообщению японских информагентств, неизвестные преступники имели доступ к серверам Panasonic в период с июня по ноябрь 2021 года. Им удалось получить доступ к конфиденциальной информации — сведениям о клиентах, личным данным сотрудников, техническим файлам Panasonic и базам с внутренними операциями компании.

Представители Panasonic сообщили об инциденте в соответствующие органы и приняли меры по предотвращению доступа к своей сети с внешних серверов. Компания также наняла сторонних ИБ-экспертов для расследования атаки и выяснения, включают ли какие-либо скомпрометированные данные личную информацию клиентов.

Американская компания DNA Diagnostics Center (DDC) обнаружила утечку данных, затронувшую 2 102 436 человек.

Утечка обнаружена 6 августа текущего года. В этот день выяснилось, что неизвестные получили несанкционированный доступ к сети DDC и к архивной БД, содержащей «личную информацию, собранную в период с 2004 по 2012 год». Подчеркивается, что эта база данных не связана с активными системами и БД, используемыми DDC сейчас.

Согласно результатам недавно завершившегося расследования, хакеры оставались в сети в период с 24 мая по 28 июля текущего года и даже успели удалить некоторые файлы и папки.

Предполагается, что в руки хакеров могли попасть:

  • полные имена пользователей;
  • номера банковских карт + CVV;
  • финансовые документы;
  • пароли от учетных записей платформы.

Данные, связанные непосредственно с генетическими тестированиями, затронуты не были, так как хранятся в другой системе.

Сингапурская грузовая судоходная компания Swire Pacific Offshore (SPO) стала жертвой атаки вымогательского ПО Clop.

Swire Pacific Offshore обнаружила несанкционированное проникновение в свои IT-системы, которое привело к компрометации некоторых данных сотрудников и коммерческой информации. Кибератака не повлияла на глобальные операции SPO.

Вымогательская группировка Clop опубликовала скриншоты данных, похищенных во время атаки. Согласно скриншотам, преступники получили доступ к паспортам, информации о заработной плате, идентификационным номерам, данным банковских счетов, адресам электронной почты и сообщениям внутренней корреспонденции.

По некоторым оценкам похищены данные 2500 сотрудников компании из 18 стран. SPO намерена связаться со всеми потенциально затронутыми людьми и проинформировать их об инциденте.

 46   1 д   дайджест   фишинг

Антифишинг-дайджест № 249 с 19 по 25 ноября 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Авторы очередной мошеннической схемы заманивают жертв денежными компенсациями за ноябрьский локдаун.

Схема кампании

1. Жертва получает письмо от несуществующего «Компенсационного фонда» с обещанием вернуть НДС в рамках «материальной помощи населению» за нерабочие дни. Для этого нужно подать заявление «на официальном портале», перейдя по ссылке.

2. Ссылка из письма ведет на сайт некой Единой Службы Социальной Поддержки Населения. Оформлен он достаточно убедительно и дизайном отдаленно напоминает портал Госуслуг. Адрес страницы выглядит нетипично для официального ресурса: вместо названия организации — абстрактный kabinet124, вместо доменов .ru или gov.ru, в которых располагаются сайты государственных органов РФ, — неизвестный .xyz.

3. На сайте жертве предлагают получить социальную компенсацию в размере от 8 до 240 тыс. рублей. Деньги обещают зачислить на карту в течение 15—20 минут. Но действовать нужно быстро — срок подачи заявления ограничен. Это типичное поведение мошенников: они торопят жертву, чтобы та не успела принять взвешенное решение.

4. Чтобы узнать сумму выплаты, требуется заполнить анкету: ввести Ф. И. О., «три последние цифры паспорта» и нажать на красную кнопку.

5. Сразу под анкетой перечислены категории граждан, которые имеют право на компенсацию:. самозанятые, те, кто попал под сокращение, младший медицинский персонал и работники общепита.

6. Здесь же можно почитать «реальные отзывы» счастливчиков, которым «сайт очень помог» получить деньги. Примечательно, что на настоящих Госуслугах оставить отзыв нельзя.

7. Если заполнить форму и нажать на красную кнопку, начнется «обработка данных». Сначала это будет поиск по базам «единого реестра» (звучит солидно, что бы это ни значило). Затем сайт переключится на «базы соцстраха» — возможно, имеется в виду Фонд социального страхования. Для пущей важности жертве обещают защитить ее персональные данные с помощью SSL-шифрования

8. Наконец, появляется заветное сообщение с итоговой суммой выплат. Чтобы их получить, нужно связаться с юристом и оформить заявку.

9. Юрист — это просто бот для сбора данных. Сначала «специалист» якобы ищет анкету пользователя в своей базе, не находит ее там и предлагает заполнить новую.

10. Анкета короткая — нужно ввести всего лишь дату рождения и номер банковской карты, чтобы было куда переводить положенную сумму. Если жертва заполнит форму, у преступников окажется довольно внушительный объем личных данных вместе с Ф. И. О. и последними цифрами номера паспорта, которыми пользователь поделился ранее.

11. После отправки анкеты «юрист» напишет, что за ее регистрацию нужно заплатить 650 рублей. Но для оплаты нужно ввести все данные карты, включая CVV-код и адрес электронной почты.

12. Если жертва оплачивает «услуги юриста», она не только лишается 650 рублей, но и передаёт свои платёжные данные мошенникам

Авторы фишинговой рассылки рассылали с почты Яндекса письма от имени вымышленной «Службы финансового мониторинга», обещая получателям возврат пенсионных накоплений.

Схема кампании

  1. В фишинговых письмах злоумышленники упоминали поправки к закону об обязательном пенсионном страховании и сообщали, что возврат пенсионных накоплений в автоматическом режиме не прошел, поэтому теперь нужно завершить его оформление в онлайне.
  2. В письмо встроена кнопка «Оформить возврат» и указан «уникальный номер перевода». В конце — предложение обратиться в многофункциональный центр, если с онлайн-оформлением возникают проблемы. Упоминание госорганизации повышает доверие пользователей к письму.
  3. Если абонент кликнет на кнопку, он окажется на фишинговом сайте, который попросит ввести данные карты. Вместо ожидаемого перевода средств человек лишится денег.
  4. При соблюдении алгоритма, предлагаемого в рассылке, жертва предлагается оплатить «комиссию» за возврат средств в размере 459 рубле на сайте с подключенным SSL-сертификатом.

Атаки и уязвимости

В однокристальных системах MediaTek обнаружены уязвимости, позволяющие злоумышленнику повысить права и даже выполнить вредоносный код в прошивке аудиопроцессора.

Проблемным оказался цифровой сигнальный процессор (digital signal processor, DSP) в составе системы MediaTek. Злоумышленник может использовать специальное вредоносное межпроцессорное сообщение, которое приведёт к выполнению кода в DSP-прошивке

Всего выявлено три уязвимости: CVE-2021-0661, CVE-2021-0662 и CVE-2021-0663. Среди проблемных чипсетов MT6779, MT6781, MT6785, MT6853, MT6853T, MT6873, MT6875, MT6877, MT6883, MT6885, MT6889, MT6891, MT6893 и MT8797.

На сегодняшний день чипы MediaTek установлены примерно на 37% всех смартфонов в мире, поэтому уязвимости создают огромную поверхность атаки для любого вредоносного приложения и разработчика вредоносного ПО.

Разработан сверхбюджетный способ копирования отпечатков пальцев, для которого достаточно фото со смартфона, лазерного принтера и столярного клея.

Как продемонстрировали исследователи, похитить чужой отпечаток пальца можно, сделав его фото с помощью камеры любого современного смартфона. Полученный отпечаток превращают в негатив с помощью ПО для обработки фотографий. Даже такого базового редактирования достаточно, чтобы подготовить образец к печати, то есть зеркальная камера с высоким разрешением не понадобится.

Для печати подходит любой лазерный принтер, способный работать с прозрачной пленкой, которую обычно используют для изготовления различных карточек, трафаретов и накладок. В данном случае лазерный принтер используется из-за того, что он сможет «протравить» отпечаток, сделав его объемным.

После печати на полученный отпечаток пальца нужно нанести столярный клей и дать ему высохнуть. После этого «отпечаток» сможет обмануть практически любые сканеры отпечатков пальцев, к примеру, использующиеся в новом MacBook Pro.

Стоимость изготовления такого отпечатка составляет около 5 долларов США.

Три новые атаки на принтеры под общим названием Printjack позволяют использовать принтеры для DDoS-атак, вызывать отказ в обслуживании (DoS) и перехватывать данные, отправленные принтеру для печати.

Первая атака Printjack позволяет включить принтер в DDoS-ботнет путем эксплуатации известной уязвимости удаленного выполнения кода, для которой есть доступный PoC-эксплоит. В качестве примера исследователи использовали уязвимость CVE-2014-3741, но, по их словам, в базе данных MITRE подходящих уязвимостей наберется несколько десятков.

Ставшие жертвой такой атаки принтеры могут не отвечать, потреблять больше электроэнергии, нагреваться, а их электроника выходит из строя.

Второй вариант Printjack представляет собой «бумажную DoS-атаку», заключающуюся в повторяющейся отправке принтеру задачи печати до тех пор, пока в нем не закончится бумага.

Для проведения атаки достаточно написать простой скрипт на Python и выполнить его в атакуемой сети.

Третий и самый опасный вариант Printjack позволяет провести атаку «человек посередине» и перехватывать предназначенные для печати материалы.

Поскольку передаваемые для печати данные не шифруются, злоумышленники могут воспользоваться уязвимостью в сети, к которой подключен принтер, и перехватить данные в открытом виде.

Инциденты

Операторы вымогателя Conti пострадали от утечки данных: швейцарская ИБ-компания Prodaft смогла определить реальный IP-адрес одного из серверов группы, проникла в него и оставалась в системе более месяца.

Экспертам удалось взломать платежный портал или так называемый «сервер восстановления» группы, на который хакеры приглашали своих жертв для проведения переговоров о выплате выкупа. Сервер размещался у украинского хостера ITL LLC и размещался на IP-адресе 217[.]12.204[.]135.

Через несколько часов после публикации отчета Conti отключила свой платежный портал. Внезапный простой сервера лишил недавних жертв Conti возможности связаться с хакерами и заплатить выкуп, размер которого все увеличивался.

Ппортал Conti вернулся в онлайн спустя более 24 часов после отключения, а в блоге хак-группы появилось гневное сообщение о том, что «европейцы, похоже, решили забыть о своих манерах и повели себя как гопники, пытаясь взломать наши системы».

Омский офис Россювелирторга стал жертвой кибервымогателей, которые проникли в сеть компании зашифровали все файлы, до которых смогли дотянуться.

Как пишет глава Росювелирторга Кирилл Хариби в своём инстаграме, хакеры нанесли следующий ущерб:

  1. Сломали систему штрих-кодирования. Из-за этого у некоторых товаров может не считываться штрих-код и возможны сбои в работе бонусной системы. .
  2. Зашифровали программу. Из-за этого слетели все настройки, которые делали программисты. Часть придётся писать заново, а что-то удалось восстановить.
  3. Внесли изменения в работу интернет магазина и из-за этого пришлось часть доставок сдвинуть по времени. .
  4. Частично уничтожили базу по маркетингу и аналитике. При этом личные данные покупателей не пострадали, т. к. они хранятся на отдельном зашифрованном сервере.

Преступники вышли на связь и начали вымогать деньги за «ключи» для восстановления данных. Поскольку восстановить данные самостоятельно не получилось, пришлось выйти на переговоры, в результате которых решили, что проще будет заплатить.

Переписку с вымогателями вели на английском языке через электронную почту. Деньги требовали перевести на биткоин-кошелёк. В подтверждение имеющейся возможности дешифровать — они расшифровали несколько небольших файлов, которые мы выбрали случайным образом.

После перевода оговорённой суммы с пятью нулями злодеи перестали выходить на связь.

Приглашаем послушать наш доклад на Код ИБ Итоги

Дата: 2 декабря 2021 года
Начало мероприятия: 10:00
Начало сессии «Защита от внутреннего нарушителя»: 12:00

В рамках сессии директор «Антифишинга» Сергей Волдохин расскажет, как атаковали людей в 2021 году и как защитить своих сотрудников в 2022 году.

Регистрация на Код ИБ. Итоги

 88   8 дн   дайджест   фишинг

Антифишинг-дайджест № 248 с 12 по 18 ноября 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

В новой фишинговой кампании BazarBackdoor киберпреступники злоупотребляют функцией приложения AppInstaller.exe для Windows 10.

Схема кампании

1. Преступники рассылают фишинговые письма от имени несуществующего менеджера, который пытается узнать, почему получатель не ответил на жалобу клиента. Письмо содержало ссылку на сообщение в формате PDF.

2. Злоумышленники перенаправляют потенциальных жертв на web-сайт, использующий бренд Adobe, и просят пользователей нажать кнопку для предварительного просмотра файла .PDF. Однако при наведении курсора на ссылку отображается префикс «ms-appinstaller».

3. Ссылка указывает на текстовый файл с именем Adobe.appinstaller, который затем указывает на файл большего размера Adobe_1.7.0.0_x64appbundle, размещенный по отдельному URL-адресу.

4. Затем появляется уведомление о том, что программное обеспечение было подписано цифровой подписью с сертификатом, выпущенным несколько месяцев назад.

5. Жертву просят разрешить установку Adobe PDF Component, и в случае успеха вредоносная программа BazarBackdoor развертывается и запускается в считанные секунды.

Авторы новой фишинговой кампании атакуют инфлюенсеров в TikTok, угрожая удалить их аккаунты.

Киберпреступники выдавали себя за сотрудников TikTok, угрожая удалить учётные записи инфлюенсеров за мифическое нарушение правил социальной площадки.

В других случаях мошенники предлагали получить значок «Подтверждённый аккаунт», чтобы добавить значимости учётной записи. Многие клевали на подобную уловку, поскольку такой значок даёт ряд существенных преимуществ.

В этом случае жертвы получали от атакующих ссылку якобы на верификацию аккаунта, но на самом деле их перенаправляли в чат WhatsApp.

В чате мошенники изображали сотрудников TikTok., чтобы с помощью социальной инженерии выманить электронную почту, телефонный номер и одноразовый пароль для многофакторной аутентификации.

Организаторы очередной фишинговой кампании пытаются выведать учетные данные от корпоративной почты, присылая списки спам-писем, попавших в карантин.

Схема атаки

1. Сотруднику компании присылают извещения о письмах, якобы пришедших на его адрес и находящихся в карантине.

2. Получателю предлагают сделать выбор — удалить каждое письмо или допустить его до почтового ящика. Также есть возможность удалить сразу все письма в карантине или же зайти в настройки почтового ящика. Пользователю даже предлагают наглядную инструкцию:

3. Под всеми кнопками и гиперссылками зашит один и тот же адрес, который отправляет кликнувшего на стандартную страницу, имитирующую страницу входа в веб-интерфейс почтового сервиса:

4. Надпись Session Expired должна обосновать необходимость логина в почту. Ну а в целом вся эта страница служит одной цели: собирать учетные данные от корпоративной почты.

Мобильная безопасность

Новый Android-троян SharkBot использует Accessibility service для хищения учетных данных из банковских и криптовалютных приложений в Италии, Великобритании и США.

SharkBot может маскироваться под медиаплеер, стриминговое приложение или приложения для восстановления данных.

После установки приложения SharkBot просит пользователя предоставить ей доступ к Accessibility service (службе специальных возможностей Android). Полученные права вредонос использует для имитации касаний экрана и выполнения разных вредоносных задач, в том числе: предоставления себе прав администратора, отображения поддельных экранов входа, кейлоггинга, перехвата и сокрытия SMS-сообщений двухфакторной аутентификации, а также доступа к банковским и криптовалютным приложениям с целью перевода средств.

Основная цель SharkBot — инициировать денежные переводы со взломанных устройств с помощью Automatic Transfer Systems (ATS), минуя механизмы многофакторной аутентификации (например, SCA),

Android-троян GravityRAT маскируется под мессенджер SoSafe Chat, в котором якобы реализовано сквозное шифрование.

Вредонос атакует преимущественно высокопоставленных лиц из Индии, а также представителей вооружённых сил. В 2020 году GravityRAT маскировался под приложение для путешествий, но в условиях пандемии стал изображать «защищённый мессенджер».

После установки на устройстве жертвы GravityRAT открывает операторам удалённый доступ, позволяя извлекать данные и шпионить за пользователем. Кроме того троян умеет:

  • Читать СМС-сообщения, проверять контакты и вызовы.
  • Менять настройки устройства.
  • Считывать данные о сотовой связи: телефонный номер, серийный номер и т. п.
  • Читать или записывать файлы на внешнем хранилище.
  • Записывать аудио.
  • Отслеживать местоположение мобильного устройства.

Атаки и уязвимости

Уязвимость CVE-2021-0146 позволяет активировать режимы тестирования или отладки в нескольких линейках процессоров Intel. Это позволяет пользователю, имеющему физический доступ к системе, получить повышенные привилегии.

Проблема присутствует в процессорах Pentium, Celeron и Atom платформ Apollo Lake, Gemini Lake и Gemini Lake Refresh, которые используются в мобильных компьютерах и во встраиваемых системах. Она затрагивает обширный перечень ультрамобильных нетбуков и систем интернета вещей (IoT) на базе процессоров Intel — от бытовой техники и систем умного дома до автомобилей и медицинского оборудования.

По данным исследования Mordor Intelligence, Intel занимает четвертое место на рынке чипов для интернета вещей, а ее IoT-процессоры серии Intel Atom E3900, в которых также присутствует уязвимость CVE-2021-0146, используют автопроизводители, в том числе, по неофициальным данным, компанией Tesla в Tesla Model 3 .

Разработана новая техника атак Blacksmith на современную память DDR4, которая позволяет обойти защиту TRR и получить, например, закрытые ключи для открытых ключей RSA-2048, используемых для аутентификации на узле SSH.

Схема атаки Blacksmith

Атака Rowhammer базируется на утечке электрических зарядов между соседними ячейками памяти и позволяет злоумышленникам манипулировать битами. Эта мощная атака обходит все программные механизмы безопасности, позволяя повышать привилегии и вызывать повреждения памяти.

Для защиты от Rowhammer производители реализовали механизм безопасности Target Row Refresh (TRR), эффективный в основном в отношении DDR4. Но и для него была разработана атака обхода, получившая название TRRespass.

TRRespass позволяла находить эффективные паттерны воздействия на биты в 14 из 40 протестированных модулей памяти DIMM. То есть, атака эффективна в 37,5% случаях. Однако Blacksmith выявила эффективные паттерны Rowhammer на всех 40 протестированных DIMM.

Демонстрация атаки Blacksmith

Новая атака с отслеживанием цифрового отпечатка зашифрованного трафика web-браузера Tor позволяет атакующему определить часто посещаемый пользователем сайт.

Атака обеспечивает точность в 95% при мониторинге пяти популярных сайтов, а против наборов из 25 и 100 сайтов — 80% и 60% соответственно.

В ходе атаки злоумышленники пытаются вычислить паттерны зашифрованного трафика, которыми обменивается жертва и сеть Tor, чтобы вычислить и предугадать посещаемые сайты. Разработанная техника предполагает, что атакующий будет использовать выходной узел, с помощью которого будет собирать следы Tor-трафика, сгенерированные реальными пользователями.

Инциденты

Популярный сайт для взрослых StripChat допустил утечку персональных данных миллионов пользователей и вебкам-моделей.

Доступная кому угодно база данных Elasticsearch содержит множество упоминаний Stripchat и насчитывает почти 200 миллионов записей. Среди потенциально скомпрометированных данных есть адреса электронной почты, имена пользователей, IP-адреса. Все эти сведения принадлежат пользователям сайта и моделям.

Злоумышленники могут использовать открытые данные для шантажа посетителей и моделей StripChat, а также для проведения фишинговых атак.

Неизвестные хакеры взломали почтовый сервер Федерального бюро расследований (ФБР) и разослали письма, имитирующие предупреждения ФБР о кибератаках и краже данных.

Письма были доставлены десяткам тысяч адресатов двумя волнами. При этом эксперты считают, что около 100 000 писем — лишь небольшая часть кампании.

По данным Spamhaus, сообщения приходили с легитимного адреса eims@ic.fbi.gov, с IP 153.31.119.142 (mx-east-ic.fbi.gov), а в теме письма значилось «Urgent: Threat actor in systems» («Срочно: злоумышленник в системах»).

После этой рассылки на офисы ФБР обрушился шкал телефонных звонков и писем от представителей организаций, которые хотели получить дополнительную информацию об атаках. Хотя письма явно были фальшивыми, рассылка посеяла панику, так как письма прошли проверку безопасности SPF и DKIM, то есть были отправлены с реальных серверов ФБР и обошли все спам-фильтры.

Представители ФБР подтвердил факт взлома. Агентство заявило, что проводится расследование инцидента, а скомпрометированный сервер временно отключен, чтобы остановить рассылку спама.

Судя по всему, хакеры воспользовались некой уязвимостью в программном обеспечении, работающем на почтовом сервере.

Неизвестные взломали чат-бота на портале Госуслуг и превратили его в антипрививочника.

Пользователи обратили внимание на происходящее, когда чат-бот Макс стал давать пользователям некорректные ответы. Например, Макс заявляет, что «коронавируса не существует», а QR-коды называет «частью замыслов мирового правительства по сегрегации населения».

В настоящее время Госуслуги и чат-бот работают в штатном режиме, никаких подробностей случившегося пока не раскрывается.

 96   15 дн   дайджест   фишинг
Ранее Ctrl + ↓