197 заметок с тегом

дайджест

Антифишинг-дайджест № 197 с 13 по 19 ноября 2020 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошеннические кампании

Обнаруженная в открытом доступе базу данных ElasticSearch содержала информацию о 100 тыс. учётных записях пользователей Facebook.

Размер базы данных превышал 5,5 ГБ, она содержала в общей сложности 13 521 774 записей, и оставалась доступной с июня по сентябрь нынешнего года.

Учётные данные из базы преступники использовали для распространения спам-комментариев, связанных с фальшивой торговой площадкой по продаже биткоинов.

Преступники включали в комментарии ссылки на различные фальшивые новостные сайты, чтобы обмануть механизмы Facebook по выявлению мошенничества и ботов. Если бы взломанные учетные записи публиковали одни и те же ссылки на мошеннические ресурсы, они быстро были бы заблокированы социальной сетью.

Для сбора данных мошенники предлагали участникам социальной сети воспользоваться инструментом, который якобы сообщал о посетителях их страниц:

Если пользователь соглашался с предложением, ему выводилось предложение авторизоваться в социальной сети:

Получив логин и пароль пользователя, мошенники выводили ему фальшивый список посетителей профиля и рекомендовали рассказать об этом друзьям:

Атаки и уязвимости

Новая атака VoltPillager может нарушить конфиденциальность и целостность данных в анклавах Intel SGX путём манипуляций с напряжением ядра процессора.

Видео: демонстрация атаки

SGX — Software Guard Extensions — набор инструкций процессора, с помощью которых приложения могут создавать защищенные области памяти в адресном пространстве приложения (анклавы). Данные внутри анклавов изолированы на аппаратном уровне от другой памяти ЦП и зашифрованы. Технология SGX предназначена для защищённого хранения различных конфиденциальных данных во время работы приложений.

Новая атака частично базируется на обнаруженной год назад уязвимости CVE-2019-11157, получившей название Plundervolt. Plundervolt злоупотребляет интерфейсом, с помощью которого ОС контролирует напряжение и частоту процессора, и который геймеры используют для разгона.

После раскрытия информации о Plundervolt в декабре 2019 года разработчики Intel устранили уязвимость, отключив возможность снижения напряжения процессора с помощью обновлений микрокода и BIOS.

VoltPillager работает даже на тех системах, которые получили патч для уязвимости CVE-2019-11157. Суть атаки заключается во внедрении сообщений в шину Serial Voltage Identification (SVID), между ЦП и регулятором напряжения, с помощью специального оборудования, стоимость которого составляет всего 36 долларов США.

Оборудование для проведения атаки VoltPillager на базе Teensy 4.0 Development Board.

Ограничением VoltPillager является необходимость физический доступ к серверу, вскрытие корпуса и подключение специального оборудования.

Инциденты

Криптовалютный обменник Liquid стал жертвой кибератаки, в результате которой злоумышленник похитил информацию о пользователях биржи из базы данных. Похищенная база содержит имена пользователей, их домашние адреса, адреса электронной почты и пароли в зашифрованном виде.

«Мы не считаем, что существует какая-то прямая угроза для ваших учетных записей, так как мы использует надежное шифрование паролей. Тем не менее, рекомендуем всем клиентам Liquid сменить пароли и учетные данные 2ФА при первой возможности»

глава Liquid Майк Каямори.

Схема атаки:

  1. С помощью социальной инженерии злоумышленник убедил сотрудников регистратора доменных имён предоставить ему доступ к управлению DNS Liquid.
  2. Получив контроль над DNS криптообменника, преступник изменил A-записи DNS, направив входящий трафик на подконтрольный ему сервер.
  3. Сотрудники Liquid заходили на фальшивую страницу авторизации, считая, что заходят на собственный сервер, и вводили учётные данные, которые отправлялись преступнику.
  4. Эти данные использовались для доступа к почтовым аккаунтам сотрудников и дальнейшего перемещения по внутренней сети Liquid.

Летом 2020 года жертвой аналогичной атаки через DNS стала биржа Coincheck. Тогда на поддельные страницы логина перенаправляли не только сотрудников, но и пользователей, что позволило злоумышленнику собрать пароли от 200 учётных записей.

Хостинг-провайдер Managed.com стал жертвой вымогателя, который зашифровал данные на сайтах некоторых клиентов и нарушил работу инфраструктуры. Среди отключенных систем оказались решения управляемого хостинга WordPress и DotNetNuke, почтовые серверы, DNS-серверы, точки доступа RDP, FTP-серверы и online базы данных.

Изначально администрация Managed.com заявляла, будто сбои в работе связаны с незапланированными техническими работами, но затем все-таки призналась, что проблемы вызваны вредоносным ПО.

Ещё одной жертвой кибератаки с использованием вымогательского ПО стал канадский город Сент-Джон. В результате инцидента были отключены системы online-платежей, электронная почта, приложения для обслуживания клиентов и сайт городской администрации. В рабочем состоянии остаётся лишь инфраструктура службы спасения 911.

По заявлению администрации города, пока неизвестно, были ли скомпрометирована персональная информация граждан, поэтому жителям Сент-Джона рекомендовали регулярно проверять свои банковские счета и кредитные карты на предмет возможной подозрительной активности.

Власти города пытаются сгладить последствия инцидента, пообещав, не начислять пени за просрочку коммунальных платежей. С населением администрация общается через Facebook и Twitter.

Логистическая компания Americold подверглась кибератаке, остановившей все её операции, в том числе телефонные системы, электронную почту, управление запасами и заказами. В результате клиенты Americold, попытавшиеся забрать со складов свой товар, не смогли получить к ним доступ.

Инцидент произошёл 16 ноября 2020 года. Компания предприняла шаги по изоляции угрозы и ввела в действие план обеспечения непрерывности бизнеса, Расследованием происшествия занимаются правоохранительные органы и привлечённые ИБ-эксперты.

Чилийский ретейлер Cencosud пострадал от атаки шифровальщика Egregor.

Инцидент с Cencosud произошел 14-15 ноября. За выходные Egregor зашифровал устройства практически во всех магазинах компании. Записки с требованием выкупа были распечатаны на принтерах в магазинах Чили и Артентины. Это ещё одна «фишка» вредоноса: закончив шифрование, он распечатывает вымогательское сообщение на всех доступных принтерах.

В записке преступники сообщают, что похитили данные компании и угрожают обнародовать их, если не получат выкуп. Никаких ссылок на украденную информацию и доказательств своих слов хакеры не приводят.

Детская игровая площадка Animal Jam стала жертвой утечки данных 46 млн пользователей.

Причиной взлома предположительна стало хищение ключа от AWS-ресурсов компании после недавней компрометации корпоративного сервера.

Злоумышленники опубликовали часть БД, содержащую около 7 млн пользовательских записей детей и родителей, которые зарегистрировались в игре.

Похищенные данные содержат:

  • Имена и хэшированные SHA-1 пароли игроков;
  • 7 млн адресов электронной почты родителей, чьи дети зарегистрированы в Animal Jam;
  • IP-адреса, которые родители или игроки использовали при регистрации учетной записи;
  • 116 записей, датированных 2010 годом, содержали имя и адрес для выставления счетов, хотя не содержали информации о банковской карте.

Всего на Animal Jam зарегистрировано более 130 млн игроков, более 3 млн из них пользуются площадкой каждый месяц.

Умные устройства

Платформа для управления солнечными батареями Tesla Backup Gateway уязвима для несанкционированного использования.

Источник проблемы — ошибки в реализации схемы авторизации пользователей:

  • для управления шлюзом владелец может подключиться к нему через через проводной или мобильный интернет, либо через сеть Wi-Fi самого устройства;
  • имя беспроводной сети (SSID) устройства содержит три последние цифры серийного номера устройства;
  • для первичной авторизации пользователя используется его е-мейл и последние пять цифр серийного номера устройства;
  • количество попыток подбора пароля никак не ограничено.

Таким образом, для несанкционированного подключения к шлюзу достаточно подобрать оставшиеся две цифры серийного номера, а это всего 99 комбинаций.

Ещё хуже обстоит дело со шлюзами, подключенными по локальной сети. В этом случае имя хоста содержит полный серийный номер устройства, так что для несанкционированного использования достаточно просто посмотреть список устройств в сети. Ситуацию усугубляет то, что во многих округах разрешения на установку бытовых систем Tesla Solar и Powerwall публикуются в интернете, что дает злоумышленникам список потенциальных целей для атак.

 127   5 дн   дайджест   фишинг

Антифишинг-дайджест № 196 с 6 по 12 ноября 2020 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошеннические кампании

Обнаружена новая схема мошенничества с использованием стриминговой платформы Twitch.

  1. Злоумышленники находят каналы популярных стримеров и создают похожие по названию, и оформлению аккаунты-клоны.
  2. На них мошенники запускают записи стримов с оригинальных каналов, добавляя в трансляцию баннер с обещанием легкого заработка, чаще всего с розыгрышем призов.
  3. В чате стрима публикуется специальная команда, и пользователи, кликнувшие на баннер, отправляются на мошеннический ресурс — например, https: //winstainq[.]dub/draw.
  4. На сайте мошенников жертве предлагается выплата до 5000 долларов США за небольшую «комиссию» по оформлению и переводу.
  5. Пользователь вводит на мошенническом ресурсе данные своей банковской карты (номер, имя владельца, срок действия, CVV-код), со счета жертвы списывается небольшая сумма, а все реквизиты карты остаются у злоумышленников.

Чтобы потенциальные жертвы гарантированно попадали на канал-клон, злоумышленники выводили его в топ поиска стримов, используя сервисы для накрутки. Для большей убедительности мошенники размещали фейковые отзывы от «счастливчиков», где те писали, сколько денег им удалось получить, обсуждали процесс зачисления выигрыша, советовали, какими банками лучше пользоваться для более удобного вывода денег.

Телефонные мошенники продолжают совершенствовать схемы обмана. Теперь жертву отправляют в офис банка, а по пути убеждают расстаться с деньгами.

Схема действий преступников:

  1. Жертве звонит фальшивый «младший менеджер банка». Он сообщает о попытке несанкционированного перевода денег и уговаривает клиента приехать в отделение банка для выяснения обстоятельств, после чего уточняет, сколько для этого требуется времени.
  2. На полпути в офис потенциальную жертву переводят на другого «менеджера», который сообщает, что сотрудники в отделении замешаны в мошенничестве поэтому средства необходимо прямо сейчас перевести на подставной «безопасный счет».
  3. Номер «безопасного счёта» в другом банке жертве сообщает уже третий «сотрудник».
  4. В случае блокировки операции банком жертву предупреждают, что сейчас ему позвонят те самые неблагонадежные сотрудники, и для защиты предлагают набор «правильных» ответов, которые на самом деле нужны для разблокировки операции. Инструкция направляется клиенту через мессенджер с аккаунта, который оформлен в похожем с банком стиле.

Опасность новой схемы состоит в том, что она использует психологическое воздействие сразу по нескольким направлениям, что повышает доверие к словам злоумышленников.

Мобильная безопасность

В Google Play обнаружены семь мошеннических приложений для модификации игры Minecraft, которые тайком списывали денежные средства с установивших их пользователей.

Приложения относятся к категории fleeceware. Эта разновидность ПО предлагает пользователям бесплатно пользоваться им в течение нескольких дней, после автоматически оформляется платная подписка. Злоумышленники рассчитывают, что жертва забудет об установленном приложении и его непродолжительном пробном периоде, либо не обратить внимание на списание средств с карты. При этом самые наглые представители fleeceware списывали со счетов жертв до 120 долларов США за месяц.

Примечательно, что если просто просто удалить приложения, деньги за подписку продолжат списываться. Отключить автоматические списания можно только вручную.

Банковский троян Ghimob атакует мобильные устройства пользователей в Парагвае, Перу, Португалии, Германии, Анголе и Мозамбике.

Ghimob распространяется через вредоносные письма, якобы сообщающие о долге, который числится за адресатом. Получателю предлагается пройти по ссылке, чтобы узнать о проблеме больше. Если пользователь нажимает на ссылку, в систему загружается троян удаленного доступа.

После заражения устройства злоумышленник может получить доступ к нему удаленно, выполнить несанкционированную транзакцию со смартфона жертвы, обойти встроенные в устройство средства идентификации, меры безопасности, принимаемые финансовыми учреждениями, а также все системы противодействия мошенничеству. Даже если пользователь использует графический ключ для блокирования экрана, Ghimob может записать его и позже воспроизвести, чтобы разблокировать устройство.

Во время мошеннических транзакций троян закрывает изображение на экране чёрным оверлеем, запуская в фоновом режиме банковское приложение. В общей сложности Ghimob может атаковать 153 финансовых приложения, включая системы онлайн-банкинга и криптовалютные кошельки.

Атаки и уязвимости

Новая атака Platypus позволяет воспользоваться интерфейсом управления энергопотреблением процессоров Intel для хищение обрабатываемых данных.

Название атаки представляет собой акроним от «Power Leakage Attacks: Targeting Your Protected User Secrets». В переводе на русский Platypus — это утконос, животное, которое может улавливать электрический ток своим клювом.

Атака базируется на эксплуатации RAPL-интерфейса процессоров Intel (Running Average Power Limit), который позволяет управлять энергопотреблением процессора и оперативной памяти. Используя RAPL, можно выяснить, какие данные обрабатываются в процессоре, ориентируясь на его энергопотребление. Это позволяет обнаружить ключи шифрования, пароли, конфиденциальные документы и другие данные, доступ к которым защищён с помощью рандомизации адресного пространства ядра (KASLR) и других технологий.

Видео: обход KASLR за 20 секунд путём наблюдения за энергопотреблением RAPL:

Используя Platypus, удалось извлечь приватные ключи RSA из защищенного анклава Intel SGX с помощью отслеживания значений RAPL в течение 100 минут. Для извлечения ключей шифрования AES-NI из анклава SGX и из пространства памяти ядра Linux, требуется от 26 до 277 часов.

Инциденты

Мошенникам удалось перехватить управление крупным русскоязычным Телеграм-каналом Reddit.

Администратору канала написал некий человек, заявивший, что он представляет компанию Wondershare Filmora, и спросил, сколько стоит рекламная интеграция в видео. Администратор сообщил стоимость, с которой заказчик согласился и прислал техническое задание, уточнив, что «оплата производится непосредственно перед выходом рекламного поста», после согласования всех материалов, в том числе, видео, которое необходимо прикрепить к публикации.

Далее заказчик скинул администратору ссылку с архивом, не настаивая на установке программы. Однако администратор решил не только скачать видео, необходимое для выполнения технического задания, но и установить программу.

Установив программу, администратор несколько минут изучал её, после чего выключил свой компьютер. Вскоре он вернулся, и обнаружил, что лишился прав доступа к каналу. А в описании канала изменилась ссылка на профиль человека, которому следует писать для сотрудничества.

Пока неизвестно, каким именно образом мошенники сумели перехватить управление каналом, однако администратор заявляет, что до момента угона к его аккаунту была подключена двухфакторная аутентификация.

Более того, в своих сессиях администратор в момент кражи канала «ничего аномального» не заметил. Оказалось, что злоумышленнику каким-то образом удалось незаметно передать права основателя, а также удалить других администраторов и привязанных ботов.

Житель Череповца обнаружил уязвимость в программном обеспечении банкоматов и воспользовался ей для кражи.

Преступник использовал несколько банковских карт, и в ходе каждой операции банкомат зачислял на счет по 3 650 рублей. В результате сбоя в работе купюроприемника банкомат подсчитывал номиналы находившихся внутри купюр — 2 000, 1 000, 500, 100 и 50 рублей.

Мужчина признался, что узнал об уязвимости в ПО случайно. Используя банковскую карту на свое имя, мужчина совершил одно хищение, а потом просил у своих знакомых карты и таким же способом похитил еще часть денежных средств. В общей сложности ему удалось таким образом присвоить 21900 рублей.

Из-за ошибки администратора в открытом доступе оказалась база данных участников программы «РЖД Бонус» объёмом 2,3 Гб.

По неустановленной причине администратор выложил в корневой каталог сайта rzd-bonus.ru резервную копию базы и bash-скрипт, в котором содержался логин и пароль пользователя, а также секретный ключ RSA.

База содержит около 1,4 млн записей с данными участников программы накопления бонусов РЖД. В каждой записи — логины и хешированные пароли, даты регистрации и последнего входа в систему (с IP-адресом, User-Agent и версией ОС), а также ФИО, дата рождения, город, паспортные данные, номер телефона, email.

По заявлению пресс-службы компании, «РЖД зафиксировали попытку взлома программы лояльности „РЖД Бонус“; злоумышленник получил доступ только к служебному файлу, а система безопасности предотвратила доступ к персональным данным участников».

Тайваньская компания Compal, один из крупнейших в мире производителей электроники, стала жертвой шифровальщика DoppelPaymer.

Вымогательское сообщение

Атака была обнаружена утром 8 ноября и затронула примерно 30% всего компьютерного парка Compal. Пришедших на работу в понедельник сотрудников встречало уведомление от ИТ-специалистов Compal, которые просили проверить состояние рабочих станций и сделать резервные копии важных файлов, если система не пострадала. Сообщается, что в настоящее время ИТ-персонал компании занимается восстановлением зашифрованных данных из резервных копий.

Итальянская компания Campari Group стала жертвой вымогательского ПО RagnarLocker.

Вымогательское сообщение

Преступники зашифровали файлы в компьютерных сетях компании и потребовали за их восстановление выкуп в размере 15 млн долларов США. В записке с требованием выкупа злоумышленники сообщают, что похитили 2 ТБ конфиденциальных данных Campari Group, и если выкуп не будет уплачен в течение недели, данные будут выложены в открытый доступ.

В качестве подтверждения взлома вымогатели опубликовали скриншоты внутренних сетей компании и ее корпоративных документов на своем «портале утечек». Среди скриншотов присутствует копия договора Campari Group с голливудским актером Мэттью Макконахи о его участии в рекламной кампании бурбона Wild Turkey:

Скриншот контракта Мэттью Макконахи с Campari Group

Campari Group решила не платить выкуп и восстановить работу систем самостоятельно. Компания заявляет, что атака была оперативно обнаружена специалистам удалось быстро изолировать инфицированные системы, поэтому инцидент не окажет существенного влияния на работу компании.

Возмущённые таким решением преступники решили оказать давление на жертву в информационном поле и разместили в Facebook рекламу, в которой сообщили, что у Campari Group большие проблемы, и компания просто скрывает правду от общественности:

Ещё одной жертвой RagnarLocker стала японская корпорация Capcom. Преступникам удалось скачать около 1 Тб документов и зашифровать около 2 тысяч устройств в сети компании.

Вымогательское сообщение

Среди похищенной информации бухгалтерские файлы, банковские отчеты, информация о бюджетах и доходах, налоговые документы и интеллектуальная собственность, личная информация клиентов и сотрудников. На сайте Ragnar Locker размещен архив размером 24 Мб, содержащий часть украденных документы, включая прогнозы доходов, таблицы с данными о заработной плате, соглашения о неразглашении, корпоративные сообщения.

За расшифровку файлов и удаление похищенных данных преступники требуют 11 млн долларов США в биткоинах.

 165   12 дн   дайджест   фишинг

Антифишинг-дайджест № 195 с 30 октября по 5 ноября 2020 года



Андрей Жаркевич
редактор


Артемий Богданов
технический директор


Сергей Волдохин
выпускающий редактор

Мошеннические кампании

Мошенники используют Google Disk для рассылки электронных писем и push-уведомлений от Google, которые перенаправляют людей на вредоносные сайты.

На мобильных устройствах для рассылки используется функция совместной работы на Google Диске, которая создаёт push-уведомление, приглашающее к совместной работе над документом. Если нажать на уведомление, пользователь будет перенаправлен к документу, содержащему привлекательную ссылку.

Результат переадресации при щелчке со ссылке

В отличие от обычного спама, который Gmail фильтрует, подобные сообщения попадают в почтовый ящик жертвы и получают дополнительный уровень легитимности, поступая от самой Google.

Пользователи получают уведомления в Google Диске и электронные письма, написанные на русском или ломаном английском, с просьбой совместно поработать над документами. Документы всегда содержат ссылку на мошеннический web-сайт, один из которых, например, засыпает людей уведомлениями и просьбами перейти по ссылкам для розыгрыша призов. Другие версии мошеннических сайтов предлагают проверить свой банковский счет или получить платеж.

Обнаружена новая вымогательская кампания нацеленная на пользователей видеосервиса Zoom.

Схема атаки:

  • Жертва получает письмо по электронной почте с темой «Касательно видеоконференции в Zoom»;
  • В первом абзаце уведомления жертве сообщают, что «недавно вы участвовали в конференц-связи Zoom», после чего заявляется, что с помощью уязвимости нулевого дня злоумышленник получил полный доступ к веб-камере пользователя и записал интимные видео.
  • Как правило, человеку говорят, что у вымогателей имеются кадры его обнажённого тела перед камерой, либо записи из личной жизни.
  • Вымогатель требует 2000 долларов США в биткоинах за то, чтобы видео никуда не распространилось.
  • Работающие удалённо пользователи могут поверить этому блефу, поскольку дома все расслабляются и сидят перед компьютером в домашней одежде или без неё.

Атаки и уязвимости

Разработана атака на межсетевые экраны NAT Slipstreaming, с помощью которой можно получить удалённый доступ к сетевым сервисам во внутренней сети жертвы.

Для проведения атаки используется браузер и механизм Application Level Gateway (ALG), который используют межсетевые экраны и маршрутизаторы для отслеживания соединений. Метод позволяет извлекать внутренние IP-адреса с помощью атаки по времени или WebRTC, а также использовать манипуляции с MTU и IP-фрагментации, сжатие TCP-пакетов, неправильное использование аутентификации TURN, точный контроль границ пакетов и создание путаницы протоколов в браузере.

Поскольку порт назначения открывается межсетевым экраном, атака позволяет обходить реализованные в браузере ограничения на доступ к портам. к этой атакеВсе основные современные браузеры уязвимы,

С помощью нового алгоритма можно распознать слова, которые печатает на клавиатуре собеседник во время видеозвонка.

Выделение рук на фото и построение векторов

Алгоритм формирует список слов-кандидатов, анализируя движения контуров плеч и рук. Для этого фон вокруг тела собеседника удаляется, а изображение переводится в оттенки серого. Затем определяется лицо человека, а опираясь на него, выясняется расположение рук. Выделив на изображении руки пользователя, алгоритм оставляет лишь их контур и делит на две части: область около плечевого сустава и остальная часть руки.

На базе кадров с выделенными руками рассчитывается вектор смещения их контуров, а затем вероятность набираемых слов. Для повышения точности результатов также учитывается скорость печати, порядок использования рук во время набора и количество букв в словах.

Пока результаты не очень точные: при использовании словаря в 4 тыс. популярных слов три четверти введенных на клавиатуре слов оказывались в списке из 200 слов, которым алгоритм присвоил самую большую вероятность.

Владельцы ботнетов и мошенники используют припаркованные домены для распространения вредоносного ПО и проведения фишинговых кампаний.

Схема кампании по распространению Emotet

Один из доменов, использовавшихся в таких атаках, valleymedicalandsurgicalclinic[.]com, был зарегистрирован 8 июля 2020 года и сразу же припаркован. Начиная с 14 сентября этот домен стал вредоносным и начал распространять полезные нагрузки ботнета Emotet через фишинговые письма, что в итоге приводило к краже учетных записей и полному захвату контроля над зараженными устройствами.

Инциденты

В результате кибератаки вымогателя компания Mattel была вынуждена приостановить некоторые бизнес-процессы.

В ходе инцидента были зашифрованы данные на некоторых компьютерных системах, что привело к временному сбою некоторых бизнес-операций. По заявлению компании распространение инфекции удалось быстро остановить, и сведений о краже важной корпоративной информации пока не имеется. Компания не сообщает, какой именно вымогательское ПО использовалось для кибератаки.

В даркнете выставлена на продажу база с 34 млн пользовательских записей, похищенных у 17 различных компаний.

Объявление о продаже информации

По заявлению продавца данные были украдены злоумышленниками в 2020 году. Самая крупная утечка в 8,1 млн записей произошла у компании Geekie.com. Самая известная пострадавшая компания — сингапурская RedMart — 1,1 млн записей

О пользователях каждой компании доступна следующая информация:

  • Redmart.lazada.sg: email, пароли (SHA1), почтовые и платежные адреса, полные имена пользователей, номера телефонов, частичные номера кредитных карт и даты истечения их срока действия;
  • Everything5pounds.com: email, хешированные пароли, имена, пол, номера телефона;
  • Geekie.com.br: email, пароли (bcrypt-sha256/sha512), username, имена, DoB, пол, номер мобильного телефона, бразильские номера CPF;
  • Cermati.com: email, пароли (bcrypt), имена, адреса, телефоны, информация о доходах, банк, номер налогоплательщика, номер ID, пол, данные о работе, компании, девичья фамилия матери;
  • Clip.mx: email, телефон;
  • Katapult.com: email, пароли (pbkdf2-sha256/неизвестно), имена;
  • Eatigo.com: email, пароли (md5), имена, телефоны, пол, идентификаторы и токены Facebook;
  • Wongnai.com: email, пароли (md5), IP-адреса, идентификаторы Facebook и Twitter, имена, дата рождения, телефоны, почтовые индексы;
  • Toddycafe.com: email, пароли, имена, телефоны, адреса;
  • Game24h.vn: email, пароли (md5), username, даты рождения, имена;
  • Wedmegood.com: email, пароли (sha512), телефоны, идентификаторы Facebook;
  • W3layouts.com: email, пароли (bcrypt), IP-адреса, страны, города, штаты, телефоны, имена;
  • Apps-builder.com: email, пароли (md5crypt), IP-адреса, имена, страны;
  • Invideo.io: email, пароли (bcrypt), имена, телефоны;
  • Coupontools.com: email, пароли (bcrypt), имена, телефоны, пол, даты рождения;
  • Athletico.com.br: email, пароли (md5), имена, CPF, даты рождения;
  • Fantasycruncher.com: email, пароль (bcrypt/sha1), имя и IP-адрес пользователя.

Злоумышленники взломали сервера IP-телефонии 1,2 тыс. организаций и использовали их для незаконного обогащения.

Реклама услуг телефонии через взломанные компании

Хакеры атаковали Sangoma PBX — пользовательский интерфейс для управления системами VoIP-телефонии Asterisk.

Взлом VoIP-серверов даёт преступникам несколько вариантов их эксплуатации. Наиболее денежные способы — перепродажа услуг телефонии с использование взломанных сервисов и звонки на премиум-номера, которые используют, чтобы за более высокую плату предлагать покупки и другие услуги по телефону, например, перевод звонящих в режим ожидания.

Поскольку осуществление звонков является легитимной функцией, определить, что сервер находится под контролем злоумышленников, очень сложно.

Приглашаем принять участие в XI Международном форуме по борьбе с мошенничеством в сфере высоких технологий AntiFraud Russia 2020

10 декабря 2020 года
10:00 МСК
Мероприятие пройдёт в онлайн-формате.

Программа форума
Зарегистрироваться на AntiFraud Russia 2020

Форум традиционно проводится Академией Информационных Систем при поддержке и участии Банка России, МВД России, Ассоциации банков России и Секретариата ОДКБ. Также к участию приглашаются представители Государственной Думы РФ, ФСБ России, Следственного комитета, Росфинмониторинга, Минкомсвязи России, других федеральных ведомств, российских и международных общественных объединений, отраслевых союзов и ассоциаций.

Эксперты Антифишинга примут участие в круглом столе, на котором будут обсуждаться следующие вопросы:

  1. Почему не всегда работает самый простой совет против телефонных мошенников — положить трубку и перезвонить в банк?
  2. Что делать банкам, если клиенты перестанут верить звонкам и сообщениям от реальных служб безопасности о сомнительных переводах?
  3. Появится ли «популяционный иммунитет» против социнженерии в условиях форсированной цифровизации и появления все новых сервисов?
  4. Социальная ответственность банков и провайдеров цифровых услуг — это дополнительные косты или рост доверия и новые клиенты?
  5. Фишинг в период пандемии: на чем играют мошенники и насколько успешно они эксплуатируют эту новую тему?
  6. Каковы лучшие практики в сфере повышения осведомленности сотрудников, в том числе банков? Роль психологов и специалистов по ИБ в киберучениях.
 218   19 дн   дайджест   фишинг
Ранее Ctrl + ↓