Как спамеры используют сервисы Google

Google — это не только поиск, но еще и множество других сервисов, которыми миллиарды людей пользуются каждый день и все они интегрированы друг с другом: календарь привязан к почте, почта — к Google Drive, Google Photos — туда же, и так далее.

Это удобно: зарегистрировался один раз — и можешь пользоваться сразу всем. Эту особенность научились эксплуатировать онлайн-мошенники, используя сервисы Google для рассылки спама и других недобрых дел.

Спам через сервисы Google: Calendar, Photos, Drive, Storage и Forms и как защититься от спама через Google и другие широко используемые сервисы.

Фоторедактор с подпиской

Каждый раз, рассказывая про безопасность на Android, мы советуем скачивать приложения только из Google Play Store — там значительно меньше зловредов, чем за пределами официального магазина. Однако и там они есть. Как же не натолкнуться на что-нибудь нехорошее, скачивая очередное приложение из Google Play? Совет: внимательно следите за тем, какие разрешения требует приложение, и хорошенько подумайте, зачем они ему, прежде чем все разрешить — ну или не разрешить. Сегодняшняя история — как раз про то, чем может быть опасно приложение из Play Store, требующее доступ к вроде бы ненужным ему разрешениям.

QR-платежи: изучаем технику безопасности

Оплата покупок одним касанием банковской карточки или смартфона уже стала обычным делом. Однако в небольших магазинах и киосках часто все равно требуют наличку — не всем по карману POS-терминалы. Впрочем, скоро современные технологии дойдут и до малого бизнеса: систему оплаты по QR-кодам, не требующую специального оборудования, в нашей стране запускают сразу три крупных организации — Центробанк, Сбербанк и Visa. Рассказываем, как работает эта система, в чем ее удобство и о каких опасностях стоит помнить.

Sign In with Apple — быстрый вход для сторонников приватности

На прошедшей в начале июня конференции WWDC компания Apple представила новую систему аутентификации Sign In with Apple, позволяющую создавать аккаунты на сайтах и в приложениях с помощью Apple ID в один клик. Планируется, что летом эту систему протестируют, а ближе к концу года она станет доступна широкой общественности.
Сама идея не нова: похожую опцию уже не первый год предлагают, например, Facebook и Google. Однако подход Apple принципиально отличается от подхода ее предшественников. Рассказываем, чем.

Распад интернета: крупные отключения происходят еженедельно

Конец июня ознаменовался сразу тремя крупными сбоями в интернете. Если раньше они проявляли себя раз в месяц, теперь участились и с конца июня возникают еженедельно. Самая заметная авария — в Facebook, когда пользователи не видели картинок. Неделей раньше перестали загружаться многие сайты — причиной стала ошибка маленького провайдера и слишком доверившийся ему большой.

Под угрозой не только сайты, но и сервисы мобильных экосистем. 4 июля Apple, чья репутация держится на бережном отношении к пользовательским данным, уронила облачный сервис iCloud. Что происходит с интернетом и когда это кончится?

Код в картинке, или Что такое стеганография?

Сейчас «читает между строк» говорят про человека, который умеет понимать намеки и скрытые смыслы. Между тем когда-то в буквальном смысле между строк действительно передавали тайные сообщения, написанные невидимыми чернилами.
Прием, когда автор послания прячет секретную информацию внутри чего-то на первый взгляд совершенно невинного, называется стеганография и применяется с незапамятных времен. В отличие от криптографии, которая делает сообщение нечитаемым без знания ключа для расшифровки, задача стеганографии в том, чтобы посторонние просто не догадались о существовании этого сообщения. Как и многие другие методы работы с информацией, сегодня стеганография используется и в цифровых технологиях.

Удаленный доступ… для мошенника

Один из самых простых способов получить доступ к вашему компьютеру, как ни парадоксально, — очень убедительно попросить. Злоумышленники прикрываются самыми разными поводами — от решения технических проблем до расследования (что иронично) кибермошенничества. Рассказываем, какими ухищрениями они пользуются и почему ни в коем случае не стоит им доверять.

Угнать дрон. Методы перехвата управления коптерами

Одновременно с развитием интернета вещей эволюционируют и методы взлома умных девайсов. Уже сейчас существует целый зоопарк троянов для IoT, но одними только роутерами, телеприставками и IP-видеокамерами ассортимент интеллектуальных устройств отнюдь не исчерпывается. Особый интерес с точки зрения информационной безопасности представляют дроны — научиться управлять чужим летательным аппаратом мечтают многие. Имеются ли способы «угона» коптеров? Сейчас разберемся!

Власти выступили против YouTube из-за рекламы несогласованных акций через push-уведомления.

Ответы на главные вопросы про первую за долгое время попытку властей надавить на крупнейший видеохостинг, ставший альтернативой телевизору.

- Что именно не понравилось Роскомнадзору и сенатору Климову?
- YouTube действительно присылает уведомления от каналов, на которые пользователь не подписан?
- Разве можно купить уведомление, ведущее на ролик с канала, на который не подписывался пользователь?
- Будет ли Google исполнять требования Роскомнадзора?

Нам переодически пишут с просьбой помочь разместить свое резюме в поисках работы в ИТ сфере или наоборот помочь найти сотрудника. Поэтому мы создали канал https://news.1rj.ru/str/hh_it в качестве эксперимента.
Если вы заинтересованы в этом, заходить, смотрите, отправляйте свои предложения @it_scrt или @FCK_RKN_bot с соответствующим хештегом.

Охота на селфи: не спешите подтверждать свою личность

Некоторые интернет-сервисы при регистрации просят пользователей подтвердить свою личность, загрузив селфи с паспортом или другим документом. Это удобно: не надо никуда идти, чтобы доказать, что вы — это вы. Сделали фото, загрузили, немного подождали — готово: администрация ресурса одобрила ваш аккаунт.
К сожалению, помимо вполне легальных сайтов с хорошей репутацией ваши селфи интересуют и фишеров.

Рассказываем, как выглядит мошенническая схема, зачем преступникам ваше фото с документами и как не попасться на их удочку.

Ищем рекламного менеджера в этот канал и прокси в Telegram. Задача: поиск тех, кто купит у нас рекламу. Желательно с опытом работы в этой сфере. 30%.Писать администратору сюда @it_scrt или в бот @FCK_RKN_bot

Спамеры начали красть деньги через Google-календарь

С начала лета в России — волна нового интернет-мошенничества: злоумышленники добавляют запись со вредоносной ссылкой в Google-календарь жертвы. Технически этот способ мошенничества мало чем отличается от обычного спама — но в отличие от почты, в календаре нет спам-фильтров по умолчанию, а пользователь не ждет подвоха. The Bell разобрался, как действуют мошенники и можно ли обезопасить себя от них.

Как это работает, как крадут деньги, как защититься (подробная инструкция для Google и не только)

Конфиденциальность в интернете для начинающих

Мы живем в удивительное время. Можем одним нажатием запечатлеть все, что приглянулось; не выходя из дома купить что угодно: от сущей ерунды до автомобиля; через соцсети или блог донести свои мысли до сотен тысяч людей; найти информацию по любой теме в любом объеме в любое время дня.
Еще 30 лет назад все это звучало бы весьма фантастично, а для нас — обычное дело. По-другому просто не бывает. Но, как известно, за все приходится платить. Мы платим своей конфиденциальностью.

Зачем нам конфиденциальность, о межгосударственных союзах, цель которых — массовая слежка, браузеры и ваши «отпечатки» и что с этим всем можно сделать.

Шифровальщик Syrk под видом чита для Fortnite

Киберпреступники пытаются нажиться на всем, что пользуется спросом. В том числе — на популярных играх. Зловреды нередко притворяются пиратской копией или мобильной версией игры, особенно если последняя еще не вышла официально.
Недавно в Сети появился вымогатель Syrk, который злоумышленники выдают за набор читов к Fortnite — игре, собравшей за два года 250-миллионную аудиторию. Авторы зловреда обещают игрокам два чита в одном: «аим» (aimbot, автоматический наводчик) и «вх» (он же WH или ESP, возможность видеть, где находятся другие игроки). На деле же зловред шифрует файлы жертвы и требует выкуп.

​​РЖД потеряли данные 700 тысяч сотрудников, а оборудование для СОРМ уличили в трансляции координат пользователей

Утечка в РЖД

- Утечка данных сотрудников «Российских железных дорог» стала второй по масштабу в России в 2019 году после июньской утечки данных 900 тысяч клиентов ОТП-банка, Альфа-банка и ХКФ-банка.
- Обнаружил утечку специалист по корпоративной защите данных, техдиректор DeviceLock Ашот Оганесян. В открытый доступ попали номера СНИЛС, адреса, телефоны, фото, ФИО и должности 703 тысяч сотрудников РЖД из 730 тысяч. Сайт с данными, скорее всего, будет в ближайшее время заблокирован, но Оганесян уверен, что данные уже скопированы и уже через пару дней начнуть гулять по рунету в виде базы данных в Excel.
- Специалист предполагает, что хакеры добыли базу данных службы безопасности РЖД со снимками на пропуска. Пользователи Habr, где Оганесян сообщил об утечке, предполагают, что дыра могла образоваться в недавно запущенном Сервисном портале сотрудника и пенсионера.
- РЖД с аккаунтами всех работников. РЖД проверяет публикацию и готовит обращение в правоохранительные органы. Персональные данные пассажиров похищены не были, уверяет компания.

Утечка через СОРМ

- Еще одну утечку обнаружил в 2018 году и сейчас о ней рассказал программист Леонид Евдокимов. Подробно о ней рассказывает «Медуза». В ней пугает не объем, а способ — по предположению программиста, данные могли утечь через систему СОРМ, с помощью которой спецслужбы могут читать переписку и следить за трафиком граждан.
- Евдокимов обнаружил в открытом доступе статистику пользовательского трафика, которая позволяла узнать мобильные телефоны клиентов интернет-провайдеров, их логины, имейлы, сетевые адреса, номера мессенджеров и даже GPS-координаты, переданные смартфонами. В совокупности данные позволяли определить, чей именно это трафик. В числе местностей, откуда в открытый доступ передавались данные клиентов провайдеров, был даже ядерный Саров.
- Сотрудники пострадавших провайдеров, к которым обратился Евдокимов, пояснили ему, что найденную им статистику передавала «стандартная „коробка“» компании «МФИ Софт» — разработчика оборудования для СОРМ и системы «Ревизор», с помощью которой Роскомнадзор следит за запрещенным контентом. В компании «Медузе» ситуацию не прокомментировали.
- После обращения Евдокимова летом 2018 года провайдеры начали закрывать найденные им страницы со статистикой, но последнюю закрыли только в августе 2019-го.

Что мне с этого?
Государство собирает все больше данных граждан, а последний мегапроект — объединение их всех в общей государственной базе данных. С одной стороны, это снимет часть рисков — когда каждая госструктура хранит данные как хочет, риск утечки растет. С другой — цена ошибки в единой системе многократно возрастет.

The Bell

Обещают легкие деньги в Instagram? Скорее всего, это обман

«Популярные бренды проводят опрос с вознаграждением!» — пишет незнакомый пользователь в комментарии к посту вашего любимого фэшн-блогера в Instagram. «Мы с Black Star разыгрываем миллион!» — гласит реклама от Тимати в ленте чуть ниже. Звучит заманчиво, не правда ли?

На самом деле вы столкнулись с известной мошеннической схемой, где жертве обещают легкий заработок, а затем выуживают у нее деньги «комиссиями», «сервисными сборами» и «закрепительными платежами». Рассказываем, как это работает и как не попасться на удочку злоумышленников.

Mozilla по умолчанию запретила отслеживание части cookies в Firefox. Это помешает таргетингу рекламы и криптомайнерам

Mozilla выпустила Firefox 69, в которой по умолчанию включила блокировку отслеживания пользователей через cookies. Из-за этого рекламным сетям станет сложнее составлять портреты пользователя для таргетинга.

Функция Enhanced Tracking Protection (ETP, расширенная защита от трекинга) позволяет заблокировать отслеживание пользователей через cookies третьими сторонами. Обычно этим пользуются рекламные сети, которые составляют портрет человека на основе его действий, чтобы таргетировать рекламу.
Многие сайты используют cookies не для слежки за пользователями, а для сохранения сессии логина и пароля. Чтобы не заставлять пользователей каждый раз вводить данные, Firefox блокирует только часть cookies из специального списка Disconnect.

Функция запрета отслеживания также позволит избежать скрытого майнинга. Firefox будет автоматически блокировать сайты, которые начинаю пытаются использовать ресурсы компьютера для добычи криптовалюты.
В Mozilla рассказали, что до Firefox 69 только 20% пользователей использовали возможность запрета отслеживания по cookies. С выходом обновления компания намерена защитить 100% своих пользователей по умолчанию.

В браузере функция будет отображаться в адресной строке значком щита. По клику на иконку пользователи смогут увидеть, какие конкретно cookies блокирует Firefox.
Как отметили в Mozilla, новая версия браузера не обеспечивает полную приватность пользователей. Например, функция ETP не избавляет от техники браузерных отпечатков.
tjournal

В 2017 году Mozilla начала работать над протоколом DNS-over-HTTPS (DoH), а с июня 2018 года мы проводим эксперименты в Firefox, чтобы обеспечить высокую производительность и удобство работы пользователей.

Мы планируем постепенно разворачивать DoH в США, начиная с конца сентября. Наш план состоит в том, чтобы начать медленное включение DoH для небольшого процента пользователей, одновременно отслеживая любые проблемы, прежде чем подключать более широкую аудиторию. Если все пойдет хорошо, мы сообщим вам, когда будем готовы к 100% развертыванию.

Что это значит:

Ничего особенного. Просто все блокировки РКН превратятся в тыкву. Для обходов блокировок не понадобится ничего, кроме браузера Firefox. Блокировки по DNS не будут работать от слова совсем, ибо все запросы там будут зашифрованы. А блокировки по IP перестанут рабатать, ибо теперь можно будет тупо изменить IP заблокированного адреса и РКН об этом не узнает...

Великий и ужасный DPI здесь тоже не поможет. Ибо ну вот идет https трафик до рандомных хостов... и чо вы с ним сделаете?

ЗаТелеком, Firefox

Trusted Recursive Resolver (TRR) и DNS over HTTPS (DoH)

Краткий курс по HTTP.

В предыдущем посте затронули тему DoH и вас это заинтересовало. Наглядно расскажем о перспективных «технологиях обхода блокировок» в следующих постах

- DNS по HTTPS — новый стандарт IETF, в разработке которого мы приняли участие
- Trusted Recursive Resolver — новый безопасный способ резолвить DNS, предоставляется совместно с Cloudflare

Благодаря двум этим инициативам устраняются утечки данных, которые являлись частью системы доменных имен с момента её создания 35 лет назад. Давайте посмотрим, как DNS по HTTPS и Trusted Recursive Resolver защищают пользователей Mozilla.

Но сначала посмотрим, как веб-страницы передаются по интернету. Краткий курс по HTTP.