Rose debug info
---------------

Блог компании Антифишинг

как поведение людей влияет на безопасность

ДайджестыСтатьиСписок постов

Антифишинг-дайджест № 218 с 16 по 22 апреля 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена масштабная фишинговая кампания против пользователей Facebook в 84 странах мира., включая Россию.

Схема кампании:

  1. Злоумышленники распространяли среди пользователей социальной сети ссылки на скачивание несуществующего «обновления» Facebook Messenger.
  2. Чтобы усыпить бдительность пользователей, мошенники использовали в аккаунтах, с которых распространялись сообщения, названия, созвучные популярному мессенджеру: Messanger, Meseenger,
  3. В самих рекламных публикациях говорилось о новых функциях мессенджера, причем как реальных, так и вымышленных. Предлагалось, например, скачать несуществующую Gold-версию мессенджера.
  4. При переходе по ссылке пользователи попадали на фишинговый сайт с фиктивной формой авторизации в соцсети. Если жертва вводила данные, она могла потерять доступ к своему аккаунту и «слить» свои персональные данные — номер телефона и электронную почту. В дальнейшем эти сведения могут быть использованы киберпреступниками для вымогательства, рассылки спама или продажи на хакерских форумах.

По словам экспертов, «злоумышленники не только умело играют на человеческих чувствах — любопытстве, страхе, жажде наживы, но и используют технологии продвижения, обхода модерации и маскировки своих мошеннических схем.»

Авторы вредоносной кампании Tag Barnakle взломали 120 рекламных серверов, чтобы распространять вредоносную рекламу.

Схема вредоносной кампании Tag Barnakle.

Хакеры атакуют рекламные сети, использующие старые версии рекламного сервера Revive. Если атака удалась, они добавляют свой вредоносный код к существующей рекламе. Когда такие зараженные объявления загружаются на различные сайты, вредоносный код перехватывает и перенаправляет их посетителей на вредоносные ресурсы.

Пример вредоносного объявления на мобильном устройстве.

В прошлом году Tag Barnakle атаковала пользователей десктопных версий браузера, а в этом злоумышленники переключились на владельцев мобильных устройств.

Обнаружена вредоносная рекламная кампания фишинговых сайтов, которые имитируют магазин Microsoft Store, музыкальный сервис Spotify и online-конвертер документов. Поддельные площадки распространяют вредоносное ПО для кражи данных кредитных карт и паролей, сохраненных в web-браузерах.

Схема кампании

  1. Рекламное объявление предлагает пользователям установить online-приложение Chess. После нажатия на рекламу пользователь перенаправляется на поддельную страницу магазина Microsoft Store с приложением xChess 3, которое автоматически загружается с сервера Amazon AWS.
  2. Загруженный zip-файл xChess_v.709.zip на самом деле является замаскированным вредоносным ПО для кражи информации Ficker (или FickerStealer).
  3. После распаковки архива и запуска исполняемого файла вместо установки нового приложения Chess запускается вредоносная программа Ficker и начинает красть данные, хранящиеся на его компьютере: сохраненные пароли в web-браузерах, клиентах обмена сообщениями на рабочем столе и FTP-клиентах.
  4. Собранная информация упаковывается в zip-архив и передается злоумышленнику.

Авторы ещё одной фишинговой кампании прячут вредоносный код внутри BMP-картинок. С их помощью они загружают на компьютер жертвы троян для удаленного доступа и похищают конфиденциальную информацию.

Фальшивый документ и поддельная форма заявки.

Схема кампании;

  1. Атака начинается с рассылки электронных писем, содержащих вредоносный документ.
  2. Фальшивый документ, написанный на корейском языке, представляет собой форму заявки на участие в ярмарке в одном из южнокорейских городов и предлагает пользователям включить макросы при первом открытии.
  3. После запуска макросов на систему жертвы загружается исполняемый файл AppStore.exe.
  4. Gолезная нагрузка извлекает зашифрованный вредонос декодирует и дешифрует его, после чего устанавливается связь с управляющим сервером для получения дополнительных команд и передачи данных
  5. Для обхода механизмов безопасности хакеры встроили вредоносный файл HTA, сжатый в виде zlib, в PNG-изображение, которое затем было преобразовано в формат BMP.

Мошенники заманивают жертв на поддельный сайт производителя дефицитной криптофермы и выманивают крупную сумму в криптовалюте.

Схема кампании:

  1. Потенциальный криптодобытчик получает на почту письмо-уведомление о том, что его упомянул в Документе Google пользователь с никнеймом BitmainTech (китайский производитель ферм для майнинга криптовалюты).

2. В письме-уведомлении сообщается о старте продаж майнинг-фермы Antminer S19j. От имени отдела продаж Bitmain мошенники сообщают, что оборудование доступно для заказа, и торопят с оплатой, поскольку количество товара ограничено, а отгружать его будут по системе «кто раньше заказал, тот раньше получит».

3. Если заинтересованный пользователь перейдет по ссылке в письме, то через цепочку редиректов попадет на сайт bitmain[.]sa[.]com, копирующий дизайн официального bitmain[.]com

4. На настоящем сайте Bitmain кнопка покупки была неактивна, потому что последнюю партию Antminer S19j уже разобрали, а новые поставки ожидались аж в октябре. Зато на фальшивом ресурсе положить ферму в корзину можно без каких-либо проблем. Ещё одна убедительная деталь: цена на нее совпадает с официальной — 5017 долларов США.

5. Чтобы продолжить оформление заказа, жертву просят войти в аккаунт на сайте или зарегистрироваться.

6. После регистрации необходимо указать адрес доставки и выбрать транспортную компанию. Киберпреступники просят за доставку всего около пяти долларов США, независимо от пункта назначения и службы — UPS, DHL или FedEx.

7. Затем жертву просят выбрать способ оплаты, причем рассчитаться можно только криптовалютой, но с несколькими вариантами — помимо BTC мошенники также согласны на оплату в BCH, ETH и LTC.

8. Завершающий этап — оплата заказа. Злоумышленники предлагают отправить платеж на криптокошелек и предупреждают, что транзакцию нужно осуществить в течение двух часов, иначе «заказ» отменят. Cтоимость доставки по каким-то причинам в итоговую сумму не включена.

9. После того как покупатель дефицитной фермы расстается с немалой суммой в криптовалюте, имитация легитимности заканчивается. В личном кабинете пользователя данных о заказе нет, кнопки не работают.

Умные устройства

В умных аэрофритюрницах Cosori обнаружены уязвимости, которые позволяют удалённо выполнить произвольный код.

Умные аэрофритюрницы Cosori.

Аэрофритюрница Cosori Smart Air Fryer подключается к домашней сети Wi-Fi и даёт владельцам возможность включать и отключать её, находить рецепты блюд в интернете и следить за процессом приготовления.

Используя уязвимости CVE-2020-28592 и CVE-2020-28593, злоумышленники могут с помощью вредоносного кода изменять температуру, время приготовления и другие настройки аэрофритюрницы, а также незаметно включить её.

Для использования язвимости достаточно отправить на устройство особым образом сконфигурированные пакеты с уникальным JSON-объектом.

Инциденты

Операторы вымогателя REvil шантажируют Apple, угрожая опубликовать конфиденциальную информацию о продуктах корпорации.

Хакеры утверждают, что получили данные о продуктах Apple после взлома тайваньской компании Quanta Computer, крупнейшего в мире производителя ноутбуков, который собирает устройства Apple на основе предоставленных им дизайнов и схем.

На своем сайте в даркнете злоумышленники разместили вымогательское послание, адресованное Quanta Computer, заявляя, что компания должна выплатить 50 млн долларов США до 27 апреля или 100 млн долларов США в криптовалюте после указанной даты. В противном случае операторы REvil угрожают слить в открытый доступ более десятка схем и чертежей компонентов MacBook.

Поскольку представители Quanta Computer отказались платить, операторы REvil действительно начали обнародовать схемы на своем сайте. Предположительно, хакеры решили, что шантажировать одного из основных клиентов Quanta Computer, компанию Apple, может быть выгоднее.

Источник изображения: The Record.

Сейчас на сайте злоумышленников опубликован 21 скриншот со схемами Macbook, и злоумышленники обещают публиковать новые данные каждый день, пока Apple или Quanta Computer не согласятся заплатить выкуп.

Корпоративные данные нескольких сотен крупных и тысяч небольших российских компаний оказались в открытом доступе и были проиндексированы поисковыми сервисами. Причина инцидента — размещение конфиденциальной информацию на публичных досках бесплатного онлайн-менеджера проектов Trello.

Организации размещали на досках списки сотрудников и клиентов, договоры, сканы паспортов, документацию, касающуюся участия в тендерах, и разработки продукции, а также учетные данные от корпоративных аккаунтов и пароли от различных сервисов. Сейчас по тематическим запросам в поисковых системах находится более 9 тыс. досок с упоминаниями логинов и паролей,

У компаний, данные сотрудников и клиентов которых оказались публично доступны, могут быть серьезные проблемы, поскольку подобная практика ведения бизнеса может вызвать вопросы у регулирующих органов: хранение, например, сканов паспортов клиентов в публичном и размещенном за рубежом хранилище противоречит закону «О персональных данных». За нарушение закона компаниям грозят штрафы.

 11   4 ч   дайджест   фишинг

Антифишинг-дайджест № 217 с 9 по 15 апреля 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Обнаружена киберкампания, в ходе которой преступники атакуют уязвимые серверы Microsoft Exchange и устанавливают на них ПО для майнинга криптовалюты Monero, используя уязвимости ProxyLogon.

Схема кампании:

1. Используя уязвимость ProxyLogon, злоумышленники проникают на сервер и запускают PowerShell-команду, которая загружает файл через скомпрометированный Outlook Web Acces.

2. Этот файл имеет расширение zip, однако представляет собой обычный bat-файл, который с помощью системной утилиты certutil загружает исполняемую полезную нагрузку для установки майнера Monero, которая состоит из двух файлов, закодированных в base64.

3. Один из этих файлов представляет собой собственно майнер, а второй — вполне легальную утилиту PEx64-Injector, доступную на GitHub. Она позволяет внедрить исполняемый файл x64 в память любого процесса.

4. Именно эту операцию и выполняет bat-файл, внедряя майнер в память одного из системных процессов на скомпрометированном сервере. После этого все следы установки уничтожаются, а собственно майнинг происходит в памяти, также не оставляя следов.

В рамках очередной вредоносной кампании злоумышленники используют контактные формы на легитимных сайтах для распространения вредоносного ПО IcedID.

Схема кампании

1. Преступники с помощью автоматических скриптов находят сайты легитимных компаний с формами для обратной связью и заполняют их фиктивными юридическими угрозами.

2. После отправки формы она поступает к сотруднику компании в виде электронного письма. Поскольку письма приходят с сайта компании, в которой работает жертва, у неё не возникает подозрений о возможной кибератаке.

3. В тексте письма получателям предлагается перейти по ссылке для просмотра предполагаемых свидетельств, лежащих в основе их обвинений.

4. Нажав на ссылку, жертва попадает на страницу авторизации Google, где от него требуется войти в систему со своими учетными данными. Из-за добавленного уровня аутентификации системы защиты могут вообще не идентифицировать такое письмо как вредоносное.

5. После авторизации в учётной записи Google страница sites.google.com автоматически загружает на компьютер жертвы вредоносный ZIP-архив с файлом .js.

6. Вредоносный файл выполняется через WScript для создания объекта оболочки, запуска PowerShell-скрипта и загрузки вредоноса IcedID в виде файла .dat, который расшифровывается DLL-загрузчиком и позволяет злоумышленникам удаленно управлять компьютером.

Авторы очередной фишинговой кампании, ориентированной на кражу учетных данных пользователей Microsoft 365 используют новый трюк для обхода почтовых фильтров. Они разделили HTML-код фальшивой страницы на фрагменты, которые собираются воедино с помощью JavaScript-сценария, размещённого на бесплатном ресурсе.

Схема кампании:

1. Жертва получает письмо без текста с темой «price revision» — «пересмотр цен». К письму прикреплен файл с именем «hercus-Investment|547183-xlsx.H?t|m?|», содержащим недопустимые символы.

2. Файл представляет собой документ HTML, имитирующий таблицу Excel. Документ содержит небольшой фрагмент HTML-кода и зашифрованный текст с двумя ссылками на сценарии, размещённые на сайте yourjavascript.com.

3. Сценарии помимо JavaScript-кода содержат фрагменты html-разметки, после сборки которой жертва получает фишинговую форму для авторизации в учётной записи Microsoft.

4. Мошенническая страница автоматически подставляет е-мейл жертвы и проверяет его на корректность, а также производит валидацию пароля.

5. Как и во всех подобных кампаниях, введённые учётные данные попадают к мошенникам и используются для вредоносной деятельности.

Атаки и уязвимости

Новый вариант Rowhammer позволяет проводить атаки с использованием JavaScript на современные модули ОЗУ DDR4 в обход всех мер безопасности, принятых производителями электроники за последние семь лет.

Атака, получившая название SMASH ((Synchronized MAny-Sided Hammering, синхронизированная многосторонняя ударная обработка), использует сведения о политиках замены кэша, чтобы создать оптимальные шаблоны доступа для проведения атаки Rowhammer:

Выяснилось, что несмотря на технологию TRR (Target Row Refresh), которая предотвращения искажения рядов ячеек во время атаки Rowhammer, некоторые современные модули DDR4 по-прежнему уязвимы к манипуляциям с битами.

Синхронизируя запросы к памяти с командами обновления DRAM, исследователи разработали сквозной эксплойт на JavaScript, способный скомпрометировать браузер Firefox за 15 минут. Это означает, что вредоносные сайты могут нанести вполне реальный ущерб своим посетителям.

Обнаруженная в WhatsApp уязвимость позволяет удалённо запустить процесс удаления учетной записи мессенджера., причём от этого не защитить даже двухфакторная аутентификация, встроенная в приложение.

Схема атаки:

1. Когда пользователь впервые устанавливает приложение на свой телефон, платформа отправляет SMS-код для проверки учетной записи. Злоумышленник устанавливает приложение на своё устройство, после чего вводит для входа номер телефона жертвы.

2. Жертве на устройство приходит SMS-код для проверки, который нельзя никому сообщать. Пользователь, как правило, игнорирует данное сообщение, а хакер вводит код наугад.

3. WhatsApp ограничивает число неправильных попыток ввода кода верификации, поэтому после нескольких ошибок атакующий получит сообщение о том, что попытки надо повторить спустя 12 часов.

4. В течение этих 12 часов жертва не будет получать проверочные коды. А в это время преступник с нового адреса электронной почты пишет письмо в службу поддержки WhatsApp с просьбой деактивировать аккаунт, поскольку доступ к нему был утерян, и указывает номер жертвы.

5. После этого поддержка блокирует учетную запись. Владелец аккаунта увидит в приложении WhatsApp сообщение о том, что номер телефона больше не работает на данном устройстве, причём это произойдёт даже если у него была включена двухфакторная аутентификация.

Мошенники научились обходить обновлённые процедуры техосмотра транспортных средств, которые по замыслу властей должны были прекратить торговлю диагностическими картами. Оказалось, что фотографии и координаты прибывающих на техосмотр автомобилей, которые с 1 марта передаются в полицейскую базу данных, не защищены и могут быть модифицированы.

Фотографирование авто на пункте ТО — одно из ключевых нововведений реформы процедуры техосмотра, вступившей в силу с 1 марта. Таким образом планировалось устранить мошеннические схемы, когда машина на проверку не приезжает, а диагностическая карта, необходимая для оформления ОСАГО, все равно оформляется.

Снимок, согласно приказу Минтранса №97, должен содержать координаты, совпадающие с расположением пункта ТО. Данные проверяются в тот момент, когда технический эксперт с помощью своей электронной подписи формирует карту в информационной системе техосмотра ЕАИСТО МВД.

Однако используя программу для редактирования EXIF-информации на снимках, можно ввести туда любые координаты, в том числе и совпадающие с пунктом ТО.

Инциденты

В открытом доступе оказалась полная база данных мобильного приложения Elector, использовавшегося для регистрации избирателей на парламентских выборах 2021 года в Израиле.

В дампе содержатся:

  • 🌵 ФИО,
  • 🌵 номер удостоверения личности,
  • 🌵 адрес,
  • 🌵 телефон (не у всех),
  • 🌵 адрес эл. почты (не у всех),
  • 🌵 дата рождения,
  • 🌵 пол.

Из-за атаки шифровальщика на компанию Bakker Logistiek на полках супермаркетов Голландии пропал сыр.

Объявление в одном из супермаркетов, где закончился сыр.

Bakker Logistiek — один из крупнейших поставщиков логистических услуг в Нидерландах, занимающийся хранением и транспортировкой продуктов питания для голландских магазинов. Блокировка шифровальщиком устройств в сети компании привела к коллапсу: заказы от клиентов не поступали, работники складов не могли найти нужные продукты, поскольку это крайне сложно сделать вручную из-за огромной площади помещений. Планирование перевозок также было невозможно, поскольку в компании сотни грузовиков.

О том, какой именно шифровальщик вызвал коллапс, на данный момент неизвестно.

Фармацевтическая компания Pierre Fabre стала жертвой вымогателя REvil. Злоумышленники потребовали выкуп в размере 25 млн долларов США, а когда жертва отказалась платить, увеличили сумму вдвое.

Атака произошла 31 марта 2021 года, и была изолирована в течение cenjr. Однако чтобы вредоносное ПО не распространялось внутри компании, пришлось временно приостановить значительную часть производственных процессов.

Выявив атаку, сотрудники компании ввели в действие план управления рисками. Информационная система Pierre Fabre была переведена в режим ожидания, чтобы не дать вирусу распространяться. Постепенно это остановило большую часть производственных процессов в подразделениях, выпускающих ингредиенты для фармацевтических и косметических продуктов.

 86   7 дн   дайджест   фишинг

Антифишинг-дайджест № 216 со 2 по 8 апреля 2021 года




Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Киберкампании

Хакерская группировка Molerats использует комбинированный фишинг для распространения вредоносного ПО среди военных на Ближнем Востоке.

Схема кампании

  1. Преступники знакомятся с военными в социальных сетях, выдавая себя за женщин.
  2. Для создания профилей используются фотографии моделей из инстаграм.
  3. Жертв вовлекают в разговоры, которые ведутся с использованием ПО  Morph Vox Pro для изменения голоса на женский (все члены группировки — мужчины).
  4. Когда жертва «разогрета», ей направляется письмо с вредоносным ПО которое она без сомнений устанавливает, предоставляя хакерам доступ к своему компьютеру.

Ещё одна мошенническая кампания ориентирована на безработных пользователей LinkedIn. Преступники заманивают людей несуществующими должностями с высокими окладами, а затем заражают их компьютеры вредоносным ПО.

Схема кампании:

  1. Злоумышленники создают фиктивные предложения работы, используя названия должностей из профилей атакуемых
  2. В предложениях работы содержатся вредоносные файлы или ссылки.
  3. Если жертва открывает такой файл, на её компьютере запустится бесфайловый бэкдор more_eggs, который представляет собой выполняющийся в памяти сценарий для компрометации атакуемого компьютера.
  4. В одном из вариантов «предложений работы» используется вредоносный ZIP-архив, названный именем жертвы, указанным ею в LinkedIn, а также LNK-файл для выполнения.
  5. Предположительно, кампания является частью сервиса «доступ по заказу», в рамках которого хакеры взламывают целевые корпоративные системы, а затем продают доступ третьим лицам или устанавливают вредоносные программы по выбору «клиента».

В рамках ещё одной кампании злоумышленники выманивают учётные данные клиентов банков, предлагая вклады под высокий процент.

Схема кампании:

  1. Жертва по почте, в смс или в мессенджере получает ссылку на фишинговый сайт с комментарием о том, что там можно оформить вклад под выгодный процент. В кредитной организации якобы проводится акция, которой нет на ее официальном сайте,
  2. Сайт замаскирован под легитимный ресурс кредитной организации и выглядит вполне убедительно.
  3. Чтобы оформить выгодный кредит, жертва должна ввести логин и пароль для доступа к онлайн-банку (в некоторых вариантах — полные реквизиты банковской карты).
  4. Введённые сведения попадают к злоумышленникам, которые используют их на своё усмотрение.

Расчет сделан на то, в стремлении получить выгоду жертва не станет проверять информацию и перейдёт по предлагаемой мошенниками ссылке на поддельную страницу и введёт конфиденциальные данные.

Мобильная безопасность

В официальном Google Play Store обнаружено фальшивое приложение FlixOnline. Внедренный в приложение вредонос умеет распространяться, используя встроенные ответы WhatsApp для рассылки сообщений с полезной нагрузкой, полученной с командного сервера.

При установке FlixOnline запрашивает разрешения

  • на вывод своего окна поверх окон других приложений (Overlay) — чтобы воровать учетные данные с помощью поддельных страниц регистрации;
  • на включение в белый список оптимизации батареи (Battery Optimization Ignore) — для непрерывной работы даже во время глубокого сна системы:
  • на доступ к уведомлениям (Notification) — для перехвата входящих сообщений и выполнения ответных действий в соответствии с заданными настройками.

Если источник входящего сообщения WhatsApp, вредонос отменяет уведомление, скрывая его от жертвы, но считывает его заголовок и содержимое, а затем с помощью автоответчика отсылает сообщение с короткой ссылкой, полученной с C2-сервера.

Неизвестные злоумышленники скомпрометировали сервер обновлений немецкого производителя Gigaset и разослали с него вредоносное ПО на устройства некоторых клиентов.

На смартфонах жертв были установлены следующие приложения:

com.yhn4621.ujm0317;
com.yileiya.ayase (Tayase);
com.wagd.xiaoan (xiaoan);
com.wagd.smarter (smart);
com.dolphinstudio.hook;
com.dolphinstudio.taiko;
com.relax.rain;
BBQ Browser;
easenf.

У многих пользователей возникли трудности с удалением этих приложений, так как те снова появлялись на устройствах.

По заявлению Gigaset, инцидент затронул часть пользователей, получавших обновления прошивки с одного конкретного сервера.

Атаки и уязвимости

Разработана атака на компьютеры под управлением macOS через текстовый файл с использованием особенностей работы встроенного редактора TextEdit.

В отличие от Блокнота Windows редактор TextEdit имеет больше функций. Одной из них является обработка HTML-тегов, причём TextEdit обрабатывает их даже если файл имеет расширение TXT.

В результате, используя эту уязвимость, можно:

  • организовать отказ в обслуживании (DoS), например, путём обращения из HTML-кода к файлу /dev/zero, представляющему
  • узнать реальный IP-адрес пользователя, вызвав из TXT-файла AutoFS — штатную программу для монтирования файловой системы, в процессе работы которой ядро системы автоматически посылает TCP-запрос;
  • похитить файлы с компьютера жертвы с помощью тега iframedoc>, который позволяет вставлять в текстовый файл содержимое других файлов.

Поскольку большая часть защитных решений, включая встроенную в macOS Gatekeeper, считает файл TXT вполне доверенным — его можно скачивать и открывать встроенным редактором TextEdit без дополнительных проверок, что создаёт богатые возможности для проведения атак.

В процессорах AMD c архитектурой Zen 3 обнаружена уязвимость, связанная с функцией Predictive Store Forwarding (PSF).

Данная функция связана с упреждающим (или спекулятивным — speculative) механизмом исполнения команд, при котором процессор заранее выполняет несколько альтернативных операций для ускорения работы, а затем отбрасывает ненужные «предсказанные» данные.

PSF может использоваться злоумышленниками для проведения атак по сторонним каналам, например, с помощью использования кода, реализующего какой-либо вид контроля безопасности, который можно обойти, когда механизм предсказания работает некорректно.

Инциденты

На одном из хакерских форумов проданы около 900 тыс. подарочных карт на сумму 38 млн долларов США.

Продавец лота заявил, что в его распоряжении имеется 895 тыс. подарочных карт 3010 компаний, включая Airbnb, Amazon, American Airlines, Chipotle, Dunkin Donuts, Marriott, Nike, Subway, Target и Walmart. База была выставлена на аукцион, где начальная стоимость составила 10 000 долларов, а блиц-цена — 20 000 долларов. Торги завершились быстро, то есть базу кто-то купил.

На RaidForums опубликована ссылка на Google Drive с контентом для взрослых, «слитым» с платформы OnlyFans.

Архив на Google Диске содержал папки 279 авторов площадки OnlyFans, причем в одной из папок было более 10 ГБ видео и фотографий.

У создателей контента, чьи права нарушает эта утечка, есть большая проблема: владельцы контента на OnlyFans должны сообщать о нарушениях авторских прав на каждый отдельный файл, чтобы удалить его с Google Drive. Если утечка затронула много файлов, удаление через такую процедуру может затянуться надолго.

На киберпреступных форумах продаётся база данных людей, которые хотели взять кредит в банке «Дом.РФ». База содержит 104 800 записей.

Первые записи в базе датируются февралем 2020 года, последние — мартом 2021 года. В случае минимального заполнения заявки на кредит запись содержит:

  • сумму потенциального кредита,
  • номер телефона,
  • адрес электронной почты.

Если заявка была заполнена полностью, запись содержит:

  • ФИО,
  • дату рождения,
  • сумму и вид кредита,
  • номер телефона,
  • почтовый ящик,
  • паспортные данные, ИНН, СНИЛС,
  • домашний адрес, адрес места работы,
  • должность, размер дохода,
  • информацию о доверенном лице (ФИО, номер телефона, кем приходится заемщику).

Злоумышленник предлагает купить базу целиком за 100 тыс. рублей, а отдельные строки с данными:

  • за 2021 год — по 15 рублей,
  • за вторую половину 2020 года — по 10 рублей,
  • за первую половину 2020 года — по 7 рублей.

Представитель банка «Дом.РФ» подтвердил факт утечки РБК и сообщил, что она произошла из-за уязвимости в дистанционной подаче первичных заявок на получение кредита наличными.

На хакерском форуме опубликованы данные 533 млн пользователей Facebook. Дамп включает в себя номера телефонов, имена, Facebook ID, email-адреса, информацию о местоположении, поле, дате рождения, работе и другие данные, которые могли содержать профили социальной сети.

Более 32 миллионов пострадавших пользователей располагаются в США, 11 млн — в Великобритании, 10 млн — в России, шесть миллионов — в Индии. В общей сложности затронуты граждане 106 стран.

Данные удалось получить с помощью уязвимости в социальной сети, которая позволяла автоматизированным скриптам собирать данные профилей пользователей, используя функцию «Добавить друга», которая позволяла получить доступ к телефонным номерам.. Она была устранена в августе 2019 года.

 116   14 дн   дайджест   фишинг
Ранее Ctrl + ↓