Атаки на сотрудников и клиентов. Технологии, психология и меры противодействия.
4 и 5 июля этого года мы выступали на конференции PaymentSecurity 2019 в Санкт-Петербурге.
Коллеги из команды организаторов записали наш доклад и опубликовали видео.
О чём доклад?
По данным ФинЦЕРТ, за 2018 год 98% атак на физических лиц и большая часть атак на юридических лиц проводилась с помощью методов социальной инженерии и вредоносного кода. Артём Сычев назвал социальную инженерию самой большой проблемой информационной безопасности.
На докладе, вместе с аудиторией, мы посмотрели примеры и ответили на вопросы:
— Как именно выглядят современные цифровые атаки на сотрудников?
— Что должны знать и понимать сотрудники?
— Достаточно ли повышения осведомленности? Или нужно тренировать навыки?
— Что именно должны уметь делать сотрудники?
— Как службам безопасности могут помочь психологические исследования и собственный отдел кадров?
— Как быть с клиентами финансовых организаций, юридическими и физическими лицами? Можно ли тренировать и обучать их?
В докладе использованы:
— актуальные примеры, которые мы еженедельно собираем в дайджесте;
— наши наблюдения и собственные психологические исследования;
— опыт действующих клиентов Антифишинга.
Приятного просмотра!
#доклад #видео #Антифишинг #paymentsecurity
4 и 5 июля этого года мы выступали на конференции PaymentSecurity 2019 в Санкт-Петербурге.
Коллеги из команды организаторов записали наш доклад и опубликовали видео.
О чём доклад?
По данным ФинЦЕРТ, за 2018 год 98% атак на физических лиц и большая часть атак на юридических лиц проводилась с помощью методов социальной инженерии и вредоносного кода. Артём Сычев назвал социальную инженерию самой большой проблемой информационной безопасности.
На докладе, вместе с аудиторией, мы посмотрели примеры и ответили на вопросы:
— Как именно выглядят современные цифровые атаки на сотрудников?
— Что должны знать и понимать сотрудники?
— Достаточно ли повышения осведомленности? Или нужно тренировать навыки?
— Что именно должны уметь делать сотрудники?
— Как службам безопасности могут помочь психологические исследования и собственный отдел кадров?
— Как быть с клиентами финансовых организаций, юридическими и физическими лицами? Можно ли тренировать и обучать их?
В докладе использованы:
— актуальные примеры, которые мы еженедельно собираем в дайджесте;
— наши наблюдения и собственные психологические исследования;
— опыт действующих клиентов Антифишинга.
Приятного просмотра!
#доклад #видео #Антифишинг #paymentsecurity
paymentsecurity.ru
#paymentsecurity 2019
Технические особенности:
архив с паролем — для обхода технических средств защиты;
js–скрипт, который маскируется под документ MS Word;
загрузка вредоносного файла с внешних URL — вероятно, на скомпрометированных ресурсах (на данный момент — определяется большинством антивирусов).
#фишинг #почта #вложение
архив с паролем — для обхода технических средств защиты;
js–скрипт, который маскируется под документ MS Word;
загрузка вредоносного файла с внешних URL — вероятно, на скомпрометированных ресурсах (на данный момент — определяется большинством антивирусов).
#фишинг #почта #вложение
Новости о технологиях фишинга и других атаках на человека с 23 по 29 августа: вредоносные резюме в файлах MS Word с паролем, фишинг против пользователей Инстаграма, способ узнать чужой пароль через комментарии в Фейсбуке и две новые схемы мошенничества по телефону
https://blog.antiphish.ru/all/digest-134/
#фишинг #дайджест
https://blog.antiphish.ru/all/digest-134/
#фишинг #дайджест
Новости о технологиях фишинга и других атаках на человека с 30 августа по 5 сентября: новые атаки через Google Docs, вредоносные HTML и JS-файлы, поддельные настройки против пользователей Андроид и звонок с подменой голоса, который стоил жертве 240 тысяч долларов
https://blog.antiphish.ru/all/digest-135/
#фишинг #дайджест
https://blog.antiphish.ru/all/digest-135/
#фишинг #дайджест
Новости о технологиях фишинга и других атаках на человека с 6 по 12 сентября: мошенническая копия PayPal, фишинг против аккаунтов Microsoft, новые атаки группировки COBALT и одно письмо, с помощью которого мошенники получили 37 миллионов долларов
https://blog.antiphish.ru/all/digest-136/
#фишинг #дайджест
https://blog.antiphish.ru/all/digest-136/
#фишинг #дайджест
По данным Центра рассмотрения жалоб на киберпреступления ФБР, ущерб от атак с компрометацией деловой переписки (Business Email Compromise, BEC) с мая 2018 по июль 2019 увеличился на 100%.
За три года — с июня 2016 по июль 2019 — BEC-атаки привели к потерям в размере 26 миллиардов долларов США. За этот период центр зафиксировал более 160 тысяч BEC-инцидентов.
https://www.ic3.gov/media/2019/190910.aspx
Business Email Compromise/Email Account Compromise (BEC/EAC) is a sophisticated scam that targets both businesses and individuals who perform legitimate transfer-of-funds requests.
The scam is frequently carried out when a subject compromises legitimate business or personal email accounts through social engineering or computer intrusion to conduct unauthorized transfers of funds.
The scam is not always associated with a transfer-of-funds request. One variation involves compromising legitimate business email accounts and requesting employees’ Personally Identifiable Information or Wage and Tax S
За три года — с июня 2016 по июль 2019 — BEC-атаки привели к потерям в размере 26 миллиардов долларов США. За этот период центр зафиксировал более 160 тысяч BEC-инцидентов.
https://www.ic3.gov/media/2019/190910.aspx
Business Email Compromise/Email Account Compromise (BEC/EAC) is a sophisticated scam that targets both businesses and individuals who perform legitimate transfer-of-funds requests.
The scam is frequently carried out when a subject compromises legitimate business or personal email accounts through social engineering or computer intrusion to conduct unauthorized transfers of funds.
The scam is not always associated with a transfer-of-funds request. One variation involves compromising legitimate business email accounts and requesting employees’ Personally Identifiable Information or Wage and Tax S
Новости о технологиях фишинга и других атаках на человека с 13 по 19 сентября: фишинг против аккаунтов Microsoft, троян для Android через смс и фальшивый сайт Авито, уязвимость в LastPass и утечка персональных данных всех граждан Эквадора
https://blog.antiphish.ru/all/digest-137/
#фишинг #дайджест
https://blog.antiphish.ru/all/digest-137/
#фишинг #дайджест
Новости о технологиях фишинга и других атаках на человека с 20 по 26 сентября: целевые атаки через документы MS Word с загрузкой вредоносного шаблона, фишинговые письма против электроэнергетических компаний США, фальшивая версия macOS-приложения для биржевой торговли, а также атаки через WhatsApp и взломы YouTube-блогеров
https://blog.antiphish.ru/all/digest-138/
#фишинг #дайджест
https://blog.antiphish.ru/all/digest-138/
#фишинг #дайджест
Новости о технологиях фишинга и других атаках на человека с 27 сентября по 3 октября: фишинговые атаки на подрядчиков с целью добраться до крупных клиентов, ODT-файлы как альтернативы MS Office с макросами, атаки на пользователей WhatsApp через GIF-изображения, а также потенциальные утечки персональных данных 60 и 20 миллионов россиян
https://blog.antiphish.ru/all/digest-139/
#фишинг #дайджест
https://blog.antiphish.ru/all/digest-139/
#фишинг #дайджест
Новости о технологиях фишинга и других атаках на человека с 4 по 10 октября: мошенническая копия сайта Федеральной службы судебных приставов, которая заражала посетителей, уязвимости в мессенджере Signal и клиенте Twitter, а также смартфонах Android и смарт-картах нескольких производителей
https://blog.antiphish.ru/all/digest-140/
#фишинг #дайджест
https://blog.antiphish.ru/all/digest-140/
#фишинг #дайджест
Новости о технологиях фишинга и других атаках на человека с 11 по 17 октября: обход сканера отпечатка пальцев Samsung Galaxy S10 с помощью защитной пленки, мошеннический джейлбрейк для iPhone, рекламная кампания и фальшивый Adobe Flash Player против пользователей macOS, а также сложная вредоносная программа против русскоязычных сотрудников дипломатических миссий
https://blog.antiphish.ru/all/digest-141/
#фишинг #дайджест
https://blog.antiphish.ru/all/digest-141/
#фишинг #дайджест
Новости о технологиях фишинга и других атаках на человека с 18 по 24 октября: атаки через голосовых помощников Alexa и Google Home, раскрытие данных владельцев Mercedes-Benz через собственное приложение, а также уязвимости в беспроводных клавиатурах и антивирусах
https://blog.antiphish.ru/all/digest-142/
#фишинг #дайджест
https://blog.antiphish.ru/all/digest-142/
#фишинг #дайджест
Новости о технологиях фишинга и других атаках на человека с 25 по 31 октября: фишинг против пользователей Steam с проверкой пароля и обходом двухфакторной аутентификации, утечки данных клиентов Unicredit, индийских и колумбийских банков, пользователей Adobe, а также успешная цифровая атака против целого города, Йоханнесбурга
https://blog.antiphish.ru/all/digest-143/
#фишинг #дайджест
https://blog.antiphish.ru/all/digest-143/
#фишинг #дайджест
Новости о технологиях фишинга и других атаках на человека с 1 по 7 ноября: смарт-телевизоры и чужие Android-устройства для кражи денег у пользователей Amazon, атаки на Alexa, Siri и Google Assistant с помощью лазера, а также компрометация деловой переписки с кражей 29 млн долларов
https://blog.antiphish.ru/all/digest-144/
#фишинг #дайджест
https://blog.antiphish.ru/all/digest-144/
#фишинг #дайджест
Новости о технологиях фишинга и других атаках на человека с 8 по 14 ноября: фишинг против пользователей WebEx, подозрения на утечку данных клиентов еще одного банка в РФ, вирус-вымогатель против нефтяной компании и приложение Фейсбук, которое подглядывает за пользователями
https://blog.antiphish.ru/all/digest-145/
#фишинг #дайджест
https://blog.antiphish.ru/all/digest-145/
#фишинг #дайджест
Новости о технологиях фишинга и других атаках на человека с 15 по 21 ноября: уязвимость в WhatsApp с эксплуатацией через отправку MP4-файла, новый фишинг под видом обновлений Windows и атаки на GPS-ретрансляторы морских кораблей
blog.antiphish.ru/all/digest-146/
#фишинг #дайджест
blog.antiphish.ru/all/digest-146/
#фишинг #дайджест
Новости о технологиях фишинга и других атаках на человека с 22 по 28 ноября: мошеннические пуш-уведомления в браузерах, фишинг под видом распродаж к «чёрной пятнице», атаки на светосигнальное оборудование в аэропортах и открытая база данных с персональными данными 1,2 миллиарда человек
https://blog.antiphish.ru/all/digest-147/
#фишинг #дайджест
https://blog.antiphish.ru/all/digest-147/
#фишинг #дайджест
Новости о технологиях фишинга и других атаках на человека с 29 ноября по 5 декабря: атаки на пользователей Телеграм, фишинг против отелей по всему миру, кража учетных записей Steam и опасная уязвимость в Android
https://blog.antiphish.ru/all/digest-148/
#фишинг #дайджест
https://blog.antiphish.ru/all/digest-148/
#фишинг #дайджест
Проверьте, на кого оформлен ваш мобильный номер. Даже если пользуетесь им уже много лет:
https://blog.antiphish.ru/all/your-number/
#мошенничество #номер #SIM
https://blog.antiphish.ru/all/your-number/
#мошенничество #номер #SIM