Проведение фишинговой атаки с точки зрения злоумышленника можно представить в виде пяти шагов:

Шаг 1. Проведение разведки
Перед осуществлением фишинговой атаки, злоумышленники определяют цели нападения. Далее они собирают сведения (рабочая эл. почта, информация о руководстве и т. п.), что позволяет повысить вероятность успеха атаки.

Шаг 2. Разработка инструментов для проведения атаки
Мошенники могут ставить себе разные задачи при проведении фишинга – чаще всего это кража учетных данных и внедрение вредоносного ПО. Для кражи учетных данных мошенники создают фишинговые ресурсы, похожие на легитимные сервисы - эл. почта, веб-сайт соцсети или мобильное приложение банка. Вредоносное ПО может быть замаскировано под текстовый рабочий документ, например, проект договора или счет на оплату.

Шаг 3. Подготовка фишингового сообщения
Мошенники должны обойти два этапа проверок – технические спам-фильтры и человеческое недоверие. Чтобы жертва «клюнула» на сообщение, необходимо составить убедительное письмо, например, схожее с официальным обращением от известной организации.
Для обхода технических фильтров существует ряд различных техник. Стандартные действия – специфичная настройка доменного имени и почтового сервера. Более сложные техники могут включать отправку писем через формы обратной связи Google.

Шаг 4. Рассылка
Наиболее распространенными каналами для рассылок являются эл. почта, SMS или соцсети. При этом, мошенники делают рассылки постепенно, каждой жертве отдельно. Фишинговые сообщения делают персональными, без шаблонных фраз, так мошенники учитывают личность жертвы.

Шаг 5. Сбор и использование украденной информации
В результате удачной атаки злоумышленники получают доступ к устройству или конфиденциальные данные жертвы. Далее, злоумышленники могут продать полученные результаты другим хакерским группировкам или же могут проводить более сложные атаки, которые приведут к еще большим финансовым и репутационным потерям для компании.

#ИБ
#Социнженерия

Ранее мы выяснили, что cookies – это персональные данные (ПДн), значит для их обработки необходимо обеспечить правовое основание. Для этого можно использовать cookie-баннер, при этом, законодательством РФ не предъявляются требования к его формату и содержанию.
Тем не менее, при выборе функционала cookie-баннера важно помнить о принципах предметности и конкретности согласия (ч. 1 ст. 9 152-ФЗ):

• Если на сайте обрабатываются только строго необходимые cookies, требуемые для его бесперебойной работы, то необходимо оповестить пользователя сайта о такой обработке ПДн.
Исходя из позиции Роскомнадзора, согласие на обработку ПДн может быть получено путем уведомления пользователя через всплывающее окно (пример в карточке 1).
 
• Если сайт обрабатывает строго необходимые и, например, статистические cookies, то баннер должен предусматривать возможность выбора обрабатываемых cookie – принять опциональные или оставить только строго необходимые (пример в карточке 2).
 
• Если на сайте обрабатываются более двух видов cookies, то необходимо предоставить возможность пользователю сайта отдельно согласиться на обработку каждого вида cookies. Требование возникает в связи с разными целями обработки данных у разных видов cookies.
Сделать это можно с помощью управления видами cookies (пример в карточке 3).
 
Важно, чтобы предпочтения пользователя по видам обрабатываемых cookies учитывались и сохранялись, а не просто создавали видимость выбора.

#Privacy
#ПолезноЗнать

Вступило в силу 03 июня 2024 г.:

Письмо Федерального казначейства от 17.05.2024 № 07-04-05/11-13417 об интеграции ИС УЦ с ГИС ЕБС
· для кого: заявители на выпуск сертификата ключа проверки электронной подписи (СКПЭП)
· что делать: подать запрос на выпуск СКПЭП через ГИС ЕБС

Опубликовано 05 июня 2024 г.:

Информационное сообщение ФСТЭК России от 27.05.2024 № 240/82/1376 о порядке представления субъектами КИИ сведений о результатах категорирования
· для кого: субъекты КИИ
· что делать: при изменении сведений о результатах категорирования объекта КИИ следует учесть рекомендации об информировании ФСТЭК России.

Вступило в силу 13 июня 2024 г.:

Указ Президента РФ от 13.06.2024 № 500 о внесении изменений в Указ Президента РФ от 01.05.2022 № 250
· для кого: органы госвласти, госфонды, госкорпорации, стратегические и системообразующие предприятия, а также субъекты КИИ
· что делать: принять к сведению сведения о новых полномочиях ФСБ России в отношении центров ГосСОПКА, а также учесть запрет использования услуг по ИБ из недружественных стран с 01.01.2025

Вступило в силу 18 июня 2024 г.:

Приказ Минэкономразвития России от 23.04.2024 № 247 об отнесении информации к общедоступной информации, размещаемой госорганами и органами местного самоуправления на своих веб-сайтах
· для кого: государственные органы, органы местного самоуправления
· что делать: при публикации на веб-сайтах открытых данных руководствоваться методическими указаниями

Опубликовано 22 июня 2024 г.:

Федеральный закон от 22.06.2024 № 158-ФЗ о внесении изменений в 149-ФЗ и 236-ФЗ
· для кого: иностранные операторы поисковых систем в сети Интернет, осуществляющих деятельность на территории РФ и не распространяющих рекламу, направленную на потребителей, находящихся на территории РФ
· что делать: быть готовыми реализовать требования потребителей об удалении их персональных данных из общего доступа («право на забвение»)

#ДеЮре
#ИБ

Вопрос:
Распространяется ли 152-ФЗ при осуществлении парсинга?

Ответ:
Да, 152-ФЗ применяется при парсинге персональных данных (ПДн).

Несмотря на то, что действующим законодательством РФ не предусмотрено понятие «парсинг», суды определяют это понятие как:
· автоматизированный сбор информации с сайтов при помощи специальной программы;
· технический способ автоматизированной обработки информации из открытых источников по определенному алгоритму, без взломов и нарушения авторского права.

В первую очередь важно понять, будут ли собираться ПДн с веб-сайтов. Если компания планирует проводить сбор данных в состав которых будут входить ПДн, то тогда необходимо учесть требования по предоставлению доказательств получения правового основания (например, согласия на обработку ПДн субъекта (п. 3 ст. 9 152-ФЗ)).
При отсутствия указанных доказательств, для компании возникает риск привлечения к ответственности (ч. 1 ст. 13.11 КоАП РФ)

В свою очередь владелец веб-сайта может предпринимать попытки ограничения сбора ПДн, например, включить запрет использования автоматизированных скриптов для сбора информации в пользовательское соглашение веб-сайта.
Кроме того, введённая норма о распространении ПДн (ст. 10.1 152-ФЗ), о которой мы рассказывали ранее, предоставляет субъектам ПДн правовую защиту от незаконного сбора ПДн.

Также стоит упомянуть известный спор о парсинге ПДн - дело ВКонтакте против Double Data и Национального бюро кредитных историй. В результате судебных процессов Double Data и ВКонтакте пришли к мировому соглашению об уничтожении пользовательских данных, собранных Double Data, и не допущению сбора таких данных в будущем.

В итоге можно сделать вывод о необходимости соблюдать требования 152-ФЗ и подзаконных актов в области обработки и защиты ПДн при проведении парсинга ПДн. Применение технологий парсинга ПДн может быть связано с правовыми рисками и должно быть всесторонне оценено перед их использованием.

#Privacy