Угнали Телеграм, что делать?

Обычно если к нам приходят с таким запросом, то приходится долго и подробно расспрашивать об обстоятельствах.
Куда и что ввели? Была ли двухфакторка? Могут ли сейчас сами зайти в аккаунт? И прочее прочее.

Но наконец в одном из чатов увидели отличную подробную инструкцию!
Там написаны ответы на все типовые вопросы, от восстановления, до типичных способов взлома и даны исчерпывающие рекомендации.

Спасибо авторам, теперь зачастую достаточно отправить ее.

Российские мошеннические колл-центры

Помните, как в начале 2010ых активно работали колл-центры из мест заключения? Ходили еще шутки в стиле "Вам ответит первый не освободившийся оператор". Проблему решили, колл-центры прекратили свое существование.

А что сейчас? Колл-центры на территории России есть? Да, такие бывают, но они очень редки.
Ведь если до зарубежных наше правосудие дотянуться не может, то до этих дотягивается, и еще как. Например, в декабре начался процесс сразу по двум мошенническим колл-центрам. Один процесс в Москве, второй в Петербурге. Суммарно 16 фигурантов.

Какие схемы? Стандартные "зарубежные" схемы. Звонки от имени Центробанка или службы безопасности какого-либо банка, просьба или скачать вредонос для удаленного управления телефоном, или сразу перевести деньги на "безопасный" (мошеннический) счет, или хотя бы сообщить все реквизиты карт. В последнем случае оформляли заказы сразу, просили сообщить смс-код от 3ds.

Как выводили деньги? Одни конвертировали в криптовалюту и выводили зарубеж. Вторые по "вещевой" схеме, покупали дорогие товары, чаще всего технику и сбывали их через свои торговые точки. У одной из групп была даже своя точка в Москве на известной "горбушке".

Большие будут сроки? Да, мошенников объединили в преступное сообщество, потерпевших более 240, ущерб почти 85 миллионов.

Про самую большую группу писал Коммерсант.

Всем привет и с наступающим!

Это был очень интересный год. По-сути, первый полноценный год работы 3side — в конце 2022 у нас появились первые серьезные заказы. Много ли было сделано? И да, и нет. С одной стороны, компания уже давно существует без сторонних инвестиций, мы развиваемся и ищем людей. С другой стороны — конечно, хочется всего, сразу и побольше.

Мы очень рады, что наши клиенты возвращаются к нам. Особенно рады мы были, когда к нам пришел один из первых заказчиков — практически через год! ИБ — очень консервативная сфера, мы прекрасно осознавали, что будет сложно, но пока полет вполне нормальный. Могло быть лучше, могло быть хуже, но проект чуть более чем жив.

Какие планы на новый год? Самое главное — систематизация продаж. Здесь и сторонняя лидогенерация, и партнерские программы, и прямые продажи, и некоторые другие вещи. За год у нас многое изменилось — от позиционирования продукта до понимания необходимости некоторой собственной разработки. А еще мы поняли, что мы — "внешний проектный офис" и хорошо увидели наш бизнес глазами клиента. Был интересный опыт.

Познакомились с множеством отличных людей, которых мы очень надеемся увидеть снова и много раз. Вообще, именно люди — пожалуй, главное открытие этого года. Мы удивлены тому, какое количество совершенно разных людей нам помогало — и совершенно бескорыстно, и видя в нас возможных партнеров, и просто проникнувшись идеей. И это очень круто.

Мы рады, что у нас появляются новые стратегические партнеры и возможности. Надеемся, что в новом году вместе с ними мы построим что то большее.

Верим, что новый год будет лучше предыдущего — для всех нас. С наступающим!

Экстремистская гирлянда

Тут на днях случилось следующее — несколько человек по инструкции в интернете собрали себе Wi-fi гирлянды и установили на них некую прошивку, которая 1 января начала демонстрировать вместо поздравлений политические лозунги. Как минимум один владелец гирлянды получил административку за дискредитацию ВС РФ! Хотя так такового умысла с его стороны не было.

Мы это к чему. Любые прошивки, находящиеся в открытом доступе, по умолчанию считаются скомпрометированными — если мы не говорим о чем-то, достаточно подробно исследованном и проверенном. Если кодом не пользуются на постоянной основе тысячи человек, если его не используют крупные компании, если он не разобран специалистами по ИБ, есть как минимум ненулевой шанс столкнуться с закладкой.

И вот тут мы приходим к понятию "бытовой безопасности". Использовать непроверенные приложения — это примерно как покупать молоко у непонятного продавца на рынке. Скорее всего, все будет хорошо — но риски есть, и гарантий качества вам никто не даст, если вы сами не знаете этого человека. С софтом похожая история. Крупные сетевые магазины тоже не всегда проверяют качество, но у них обычно столько клиентов, что о проблемах вы узнаете сразу. Так что будьте осторожны.

Опасность Bluetooth-спам атак

Мы уже писали вот тут о том, что подобные атаки стабильно вызывают перезагрузку IPhone, повторяли и тогда, повторили и сейчас. Несмотря на множество обновления с тех пор, все еще работает. Но это далеко не самое страшное.

Мы тогда упомянули, что и Андроид устройства уязвимы к подобным атакам, но на популярных смартфонах спам работает, но добиться их перезапуска не получается. Но Андроид устройства и совместимые с ними устройтва, это не только телефоны, наушники и браслеты. Это еще и, например, инсулиновые помпы!

Владелица одной из таких помп, сообщила, что ее Андроид устройство из-за спам атаки на Bluetooth перестало работать, и если бы она вовремя это не заметила, наверняка бы уехала в больницу.

Flipper Zero, хоть и по документам "игрушка", дает зачастую совсем не детские возможности, помните об отвественности за свои действия! А вообще ждем патчей хотя бы на флагманы.

Атака на инди-геймдев. Экзотика, но тоже бывает.

Инди — это простые и очень низкобюджетные компьютерные игры, которые зачастую создают 1-2 человека или небольшие студии. Обычно для злоумышленника нет никакого смысла их атаковать: выкуп все равно не заплатят, для хактивистов они тоже не интересны. Потому инди-разработчики крайне редко занимаются любыми видами ИБ: им других своих проблем хватает.

Так вот, недавно выяснилось, что злоумышленникам удалось скомпрометировать выложенный в Steam бесплатный фанатский мод для инди-игры Slay the Spire, фактически предлагая вполне официально скачать зараженную (как выяснилось) версию игры. Конечной целью злоумышленников были, конечно, не разработчики, а скачавшие мод геймеры. Как выяснилось чуть позже, злоумышленники по-сути получили доступ к аккаунту разрабов в Steam и их дискорду и фактически просто сделали зараженный релиз. И вот тут появляется два интересных вывода.

Первый — Steam становится идеальным средством доставки. По умолчанию считается, что выпущенные через него файлы могут считаться условно безопасными при том, что мы говорим даже не про релиз игры, а релиз мода к ней. Второй — это тот очевидный факт, что инди-разрабы более-менее успешных игр могут оказаться почти идеальной мишенью для злоумышленников с точки зрения соотношения затрачиваемых сил и полученного результата.

Мы сомневаемся в том, что подобные атаки будут массовыми, но уверены, что как минимум о нескольких случаях мы еще точно услышим.

ИБ для топ-менеджмента

Нам уже несколько раз предложили сделать полноценный курс по персональной информационной безопасности для топ-менеджеров, владельцев бизнеса и других людей, которые "не-ковбой Джо" и которым есть, чего опасаться. Сразу важный дисклеймер: курс не массовый, корпоративный, и достаточно специфический и нишевый.

Вопрос в следующем: как бы вы отнеслись к такой идее?
Опрос ниже.

Нас ежедневно атакуют 10 миллионов раз

Такие заголовки откровенно раздражают специалистов, но мы хотим объяснить откуда вообще берутся эти заявления.
Чаще всего о "миллионах" атак говорят люди, которые очень далеки от ИБ и которые хотят произвести некое впечатление на аудиторию. Которая, зачастую, тоже далекая от ИБ и легко представляет, как "тысячи хакеров" трудятся чтобы атаковать кого-то в течении одного дня.

А что же на самом деле? Зачастую это просто выгрузка количества инцидентов и срабатываний средств защиты на внешнем периметре компании. Значительная часть которых - это по-сути фоновый шум. Ежесекундно каждый узел в Интернете автоматизировано сканируется с совершенно разными целями. И каждый запрос сканера любят считать и называть "атакой". Отсюда и совершенно неадекватные цифры количества "атак".

А какие вообще бывают сканы?
1. Сканирование портов. По сути инвентаризация всех сервисов/приложений, которые доступны из Интернета. В чистом виде - не несет злонамеренного подтекста и уголовно не наказуема.
2. Сканирование на уязвимости. Поиск уязвимостей у доступных из Интернета сервисов. Многие проверки подразумевают отправку пакетов, которые можно однозначно определить как "атака", поэтому обычно подобное сканирование считается уголовно наказуемым. Прецеденты уголовного преследования за такое в РФ были, результаты - условный срок по 272 УК РФ.

Но зав. кафедры, у которого я учился, рассказывал нам шикарную аналогию:
1. Сканирование на уязвимости - похоже на попытку взломать дверь отмычкой, уголовно наказуемо.
2. Сканирование портов - похоже на то, что вы стоите у двери и смотрите через замочную скважину. Наказать за это не могут, но иногда могут за это спустить с лестницы.

А кто сканирует ваш сервер?
1. Злоумышленники - с понятными всеми целями. Количество атак обычно зависит от вашей платежеспособности.
2. Баг хантеры, исследователи уязвимостей - в попытке найти уязвимость и попросить за нее вознаграждение, если такое предлагается или попробовать если компания такое не предлагает. Количество — см. пункт 1.
3. Сервисы мониторинга Интернета - для актуализации своих баз. Они монетизируют поиск по этим базам, упрощают жизнь многим исследователям/компаниям. Их активность наиболее выражена, это самая часто встречающаяся категория.
4. Любопытные студенты - которые пишут курсовую по сканированию интернета, или делают свой домашний проект. Редки.
5. Невнимательные люди - которые просто ошиблись с маской/адресом и случайно запустили скане не туда! В целом, бывают, но их доля в сравнении с роботами невелика.

Поэтому называть атакой такое количество постоянный автоматизированной фоновой активности у специалистов просто язык не поворачивается. Да и не в количестве дело — действия одной грамотной команды злоумышленников гораздо опаснее, чем "миллионы" сканирований внешнего периметра.

От кражи денег к атакам на детей: фокус колл-центров меняется!

Недавно в России произошла очень показательная история: злоумышленники позвонили 10-ти летнему ребенку и, представившись сотрудниками коммунальных служб, убеждали его открыть газ в конфорках плиты, чтобы таким образом устроить взрыв. Понятно, что речь уже не о киберкриминале: финансовой мотивации тут ноль. К счастью, в этой истории все закончилось хорошо — мальчик сообщил родителям, а те обратились в правоохранительные органы. Но попытка, очевидно, не последняя, и подобные случаи совершенно точно еще будут.

Что важно: очевидно, что тактика колл-центров меняется. От кражи денег и поджогов военкоматов они переходят к использованию детей. По-сути, имела место попытка организации теракта чужими руками. И если пенсионеры сейчас превратились в едва ли не самую подозрительную категорию, то с детьми ситуация гораздо сложнее. И на "той стороне" это понимают.

К слову, в декабре на "КодИБ Итоги" мы уже говорили об этом — что именно дети станут новой и ожидаемой целью манипуляций. "Новой" — потому что раньше тратить на них время имело смысл только в случае очень узконаправленных атаках, конечной целью которых все равно были взрослые. Сейчас картина изменилась.

Лучший способ противодействовать — предупредить. Родители и учителя! Объясните детям, что о любой такой ситуации нужно сообщать взрослым и не делать ничего самостоятельно!

Кибербезопасность в финансовой индустрии. Прогноз на 2024 года
Как отмечают специалисты, принципиальной разницы между кибератаками 2023 и 2022 годов не наблюдется. Скорее всего, и в 2024 году мы будем свидетелями тех же самых видов атак, но больше, злее и интенсивнее. Подробнее о кибербезопасности в финансовой индустрии порталу PLUSworld рассказывает сооснователь компании «Третья сторона» Антон Бочкарев.
https://plusworld.ru/articles/58213/

Громкие, но пустые заголовки

Мы уже писали о том, что ужасные истории про "10 миллионов атак каждый день" не вполне соответствуют действительности, хотя звучат страшно и громко. С утечками похожая история.

Сейчас же пишут о следующем — в сеть утекло 12 терабайт пользовательских данных, причем в списке фигурируют Weibo, MySpace, Twitter, VK и tg. В оригинальном материале произошедшее называют "матерью всех утечек" и другими громкими словами. То есть масштаб — да, гигантский. Но только если начинать разбираться — выяснится, что по-сути это агрегация множества старых утечек, а данные ВК там вообще 2011 года (основатели 3side тогда еще в университетах учились).

Масштаб вроде бы огромный, но реального ущерба от нее куда меньше, чем могло бы показаться. Многие гораздо более "мелкие" утечки в реальности несут гораздо большую угрозу. И размер тут — далеко не самое главное.

Есть каналы, которые верифицируют утечки и реальный ущерб — всегда лучше опираться на них.

Зимний ProIT Fest: теплее тёплого!

Шикарный лозунг, ведь именно на летнем ProIT Fest было очень холодно и все свое выступление я пил горячий чай)

Ну а 10-11 февраля приглашаю всех в пространство FREEDOM в Санкт-Петербурге, послушать небольшой доклад про "Атаки на GPT", доклад очень легкий, как и полагается на ProIT Fest.

GPT сейчас на хайпе, многие компании стремятся если не создать свой аналог, то хотя бы внедрить открытую версию. Но как и всякий новый вид сервиса, далеко не все понимают, как его защищать. Мы поговорим о том:
- В чем ключевые отличия между ними и привычными веб-приложениями?
- Какие уязвимости наиболее актуальны для GPT и прочих LLM?
- Чем некоторые атаки похожи на социальную инженерию?
- К каким рискам может привести взлом подобного сервиса?
- Какие есть тестовые среды и тренажеры для отработки подобных взломов?

Всего будет 11 секций, например, Vision (Product, Design, Front, Marketing), C Level (CEO, CMO, COO, CTO, etc), BDSM (BizDev, Sales, Marketing), Разработка на Python (Dev, QA, DevOps, DS), System Design (Архитектура Бэка), HypeLoad (ИИ, Blockchain, Scrum и прочие тренды) и прочие. Подробнее на сайте.

Организаторы спикерам выдали единый (не реферальный) промокод на скидку в 20%: SEEYOU
Встретимся на докладе!

Российский венчур — между Кенией и Нигерией?

Этот пост будет немного не про ИБ как таковую, но он напрямую связан со многими молодыми и не очень ИБ-компаниями. Если коротко — он про то, что российская венчурная индустрия за несколько лет деградировала до уровня средней африканской страны. Ушли не только западные — ушли даже российские инвесторы. А те, кто остался, иногда прямо говорят: "будете выходить на международные рынки — приходите" (в целом норм предложение). А вообще, 5 сделок в месяц (в 2023 году в России) — это полный мрак. Для понимания, в США — около 600, в Израиле — около 30. Про объемы просто промолчу.

Венчурный инвестор — это человек, который пытается проинвестировать в компании на ранних стадиях. То есть найти условных Джобса и Возняка в тот момент, когда они еще сидят в гараже, и купить часть их компании. Все в выигрыше — компания получает деньги, инвестор — в перспективе получает прибыль. Короче, венчур — это про заработок на росте стоимости стартапов. Тут все понятно. И видно, что в России хотят построить индустрию, только пока не выходит.

А теперь прикол. Вокруг собственно венчурного инвестирования всегда развивается "поддерживающая" инфраструктура, задача которой — помогать компаниям расти и находить инвевторов. За последний год нас звали десятка в полтора акселераторов. В теории, аксель — это хороший способ для молодой компании получить консультации, инвестиции и связи. Разумеется, большая часть акселераторов — платные, причем зачастую они находятся или на прямой господдержке, или предлагают стартапам получить таковую. Проблема в том, что по факту аксель не дает доступа к инвестициям — потому что российский венчур, повторюсь, схлопнулся.

Получается смешная картина — на фактически мертвом рынке множество компаний продает ... ну не воздух, но нечто подобное. Акселераторы могут давать очень хорошую продуктовую экспертизу, вот только стартапу, которому нужны деньги для разработки продукта она поможет примерно как аспирин на 3 стадии рака. И в итоге получается, что "акселерация" превращается в отдельный бизнес, причем довольно (для компаний) бестолковый. Учиться на экономиста в 90-х было круто, учиться на экономиста в конце нулевых — грустно. Здесь та же история.

Мы вопрос с инвестициями для себя решили, хоть и немного "неортодоксально". Но текущее состояние венчурного рынка в России — это полный мрак. Может быть, через пару лет что-то изменится, а пока оно такое, какое есть.

Киберриски — топ-1 в мире по мнению страховой группы Allianz

Мы тут неожиданно наткнулись на отчет страховой группы Allianz по ключевым рискам в 2023 году, и с удивлением обнаружили, что по их мнению риски ИБ снова оказались главными угрозами среди всех возможных. На втором месте — прерывание бизнеса, дальше — макроэкономика, энергетические кризисы и изменения в регулировании (короче, санкции). К слову, за год снизились только "природные и стихийные" риски — изменение климата, катастрофы и пожары.

"Сайбер" не попал в топ-3 только для двух стран — Китая и Австралии. С Китаем все понятно (с их-то интернет-архитектурой), про Австралию мы знаем мало, но там в лидерах климат и природные катастрофы. В общем, такие дела, занимайтесь безопасностью.

Всем привет!

У нас тут вовсю идет стрим с Garantex про кибербезопасность и крипту.
Присоединяйтесь!

Взлом тюрьмы

В кино неоднократно показывали, как некий хакер ломает тюрьму, и толпы заключённых бегут на свободу!
Например, эпизод - "eps1.5_br4ve-trave1er.asf" сериала Мистер Робот.

В 2017 году злоумышленник из Мичигана попытался освободить своего друга из тюрьмы успешно взломав один из компьютеров администрации, с помощью классического двойного фишинга. Сначала было отправлено письмо, а потом он звонил в тюрьму и убедил сотрудников письмо открыть и запустить вредонос, объяснял все срочными обновлениями.
Далее получил учетные данные одного из сотрудников и распространил свой вирус на другие компьютеры администрации.

В итоге он получил доступ к:
- Системе XJail (осуществляет мониторинга и отслеживание заключённых)
- Данным о показаниях
- Внутренним данным тюрьмы

Собрал базу данных более чем 1500 сотрудников, включая их логины, пароли и персональные данные. А позднее он перешел к главной цели, изменил дату освобождения одного из заключенных - его друга.

Казалось бы успех? Но нет, в тюрьме было всего около 200 заключенных мужчин и они хорошо знали даты освобождения друг друга. Начали расследование об изменении данных, привлекли частную компанию для расследования, и злоумышленника быстро нашли.

Но, на днях случился еще один и уже УСПЕШНЫЙ эпизод освобождения. В 2020 году был задержан по подозрению в убийстве 30-летний Зайон Ривер Шака. Расследование шло своим чередом, подозреваемого регулярно возили в суд на слушания, пока судебные и телефонные и налоговые системы округа Клейтон Джорджии не были взломаны. Туда подозреваемого перевели временно, на время очередных слушаний. Взлом систем округа сопровождался не модификацией данных, а цитата "широкомасштабным отключением систем", скорее всего дело рук распространителей шифровальщиков.

И в результате недоступности данных подозреваемого случайно отпустили после слушания, а не вернули в тюрьму. В данный момент его местонахождение неизвестно, ведется розыск.

Теперь ожидаем эпизода целенаправленного освобождения, если уже почти получилось в 2017 и получилось, но случайно в 2024, то это явно вопрос времени!

Хакеры в кино

В прошлом посте, я упомянул сериал Мистер Робот. Это хороший пример того, как можно показывать кибербез в кино.

А недавно меня попросили высказаться про наиболее частый образ хакеров в кино, и спросили еще нескольких коллег с ИБ рынка.

А в конце статьи ссылка на гит, с неплохим спискам фильмов/сериалов хоть как-то связанных с хакерами, рекомендую!

Но квинтесенция стеба, как это выглядит тут - https://youtu.be/pgl37R7hILE.