Group-IB
Программирование
Подписаться

#Цифры #мошенничество👆Генпрокуратура подвела итоги первого полугодия: число киберпреступлений за шесть месяцев этого года увеличилось на 91,7 %. Основной рост
- за счет мошенников. Например, в период самоизоляции, с апреля по июнь, прокуратура зафиксировала 82,5 тыс. уголовных дел по мошенничеству, из них две трети (71%) приходятся на телефонное мошенничество или интернет-аферы. В Санкт-Петербурге по сравнению с прошлым годом число зарегистрированных случаев мошенничества выросло вдвое, в Москве
- на 76%, в Свердловской области
- на 60%. Ранее МВД поделилось своей статистикой: число «классических преступлений» снижается (уличных разбоев стало меньше на 23,6%, грабежей – на 20,7%, краж – на 19,6%, угонов машин – на 28,7%), а количество киберпреступлений растет. За январь-июнь рост IT-преступности составил 91,7% по сравнению с аналогичным периодом прошлого года.

Другие статьи канала Group-IB

Group-IB
Программирование
Подписаться
🎥Вот это, действительно, часик в радость:

интервью этих парней в black and white tee-shirts смотрится на одном дыхании. 💣Выйдя из тюрьмы, бывший белорусский кардер Сергей Павлович решил завязать с преступным прошлым. Теперь он
- писатель, предприниматель и ведущий популярного YouTube-канала, на котором с учетом своего опыта честно рассказывает об изнанке жизни и альтернативах криминальному пути.

⚔️А шансы сесть велики, когда на белой стороне работают такие специалисты как Сергей Никитин, заместитель руководителя Лаборатории компьютерной криминалистики Group-IB. В эфир вышла первая из четырех частей интервью: «КТО И КАК ЛОВИТ ХАКЕРОВ // GROUP-IB И ЭВОЛЮЦИЯ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ».

👉Из этой серии вы узнаете:

📌Пирамида киберпреступности: от мошенников к APT-группам 📌По денежному следу: на чем прокалываются хакеры? 📌Вдруг, как в сказке, вылетела дверь: как проходит задержание и обыск? 📌Охота на «мамонта»: популярные мошенничества с досками объявлений и курьерскими сервисами 📌Перевод не туда: вся правда о тюремных колл-центрах 📌Изображая жертву: почему потерпевшим нужно обязательно писать заявление? 📌Экскаваторы для аптеки: как крадут деньги у юриков и банков. Смотрим, комментируем, ждем следующих выпусков💪

Group-IB
Программирование
Подписаться

#JSснифферы #UltraRank 🎥Если вчера по какой-то причине вы не прочитали наше исследование, посвященное хакерской группе UltraRank, занимающейся кражей данных банковских карт интернет-пользователей, об этом кейсе за две с половиной минуты расскажет аналитик департамента Threat Intelligence Group-IB Виктор Окороков. 💻И да, отчет все-таки надо скачать. Исследование Group-IB описывает не только одного из наиболее успешных игроков рынка кражи и сбыта данных банковских карт, но и прослеживает трансформацию JS-снифферов из второстепенной в сложную угрозу, за которой стоит четко сегментированный киберпреступный бизнес. В финальной главе отчета эксперты Group-IB приводят блок рекомендаций, который поможет принять превентивные меры против угрозы UltraRank и подобных ей.

Group-IB
Программирование
Подписаться

#simклоны #мошенничество⚔️Петербург накрыла волна преступлений, связанных с применением информационных технологий. По итогам первого полугодия 2020 года город стал первым в России по приросту такого вида преступлений, обогнав Москву в 5 раз, сообщает издание "Деловой Петербург". Более 80% из них, по статистике МВД, совершаются путем кражи или мошенничества. Зачастую мошенники выбирают будущую жертву таргетно, из числа обеспеченных людей и бизнесменов. Самой востребованной на черном рынке является информация о персональных данных
- "сливы" от операторов связи и банков. Именно она необходима для того, чтобы провернуть один из популярных сценариев мошенничества с подменой сим–карты. Как это технически происходит мы объясняли тут .

Как с этим бороться на местах? Есть несколько соображений: 👉На стороне операторов мы полагаем целесообразно добавить больше контроля и бюрократии в процесс перевыпуска SIM-карты, благо процедура далеко не рядовая. Условно: ограничить число офисов, где это возможно сделать. Мы, в Group-IB, всегда настоятельно рекомендует клиентам обратиться к оператору с заявлением
- запретить перевыпуск SIM-карты по доверенности. Только при личном присутствии и только в определенном офисе!

👉Сейчас бывает сложно контролировать добросовестность исполнителей на местах
- поэтому нужно включить в процесс несколько лиц (один делает, 2-3 заверяют), добавить обязательное условие предварительного прозвона заменяемой SIM-карты, как это начали делать некоторые банки и т.п. И, конечно, ответственность перед законом. Когда девочки и мальчики из салонов связи будут получать за соучастие сроки наравне с организаторами, потому что их роль едва ли не ключевая, многие подумаю, стоит ли вставать на путь криминала.

Group-IB
Программирование
Подписаться

#JSснифферы #UltraRank

⚔️По данным Group-IB, с 2015 года UltraRank заразила 691 веб-сайт преимущественно в Европе, Азии и Америке. Но атакующие выбирали для себя и более крупные цели, под которые планировались значительно более сложные атаки через поставщика (supply chain). Так, их жертвами стали 13 поставщиков услуг для онлайн-торговли, к которым относятся различные рекламные сервисы и сервисы браузерных уведомлений, агентства веб-дизайна, маркетинговые агентства, разработчики сайтов и др. Скачать полностью отчет можно тут

Group-IB
Программирование
Подписаться

#JSснифферы #UltraRank

👉Сейчас мы с вами стали свидетелями важных событий, происходящих в темных закоулках андеграунда. Окончательно вытеснив банковские трояны, преступные группы, использующие JS-снифферы, стали основными поставщиками баз текстовых данных банковских карт для продаж на специализированных хакерских форумах – кардшопах. Как так вышло
- мы разберем на примере новой «засвеченной» группы.

👉Сегодня Group-IB представила исследование, посвященное хакерской группе UltraRank, занимающейся кражей данных банковских карт пользователей, совершающих покупки в онлайне. UltraRank активна в течение 5 лет: за это время она атаковала около 700 онлайн-магазинов в Европе, Азии, Северной и Латинской Америке, используя JavaScript-снифферы. Группа оперирует тремя семействами JS-снифферов, получившими названия FakeLogistics, WebRank и SnifLitе и используемыми для заражения различных онлайн-магазинов, где используется оплата банковской картой. Украденные данные хакеры продавали в собственном кардшопе, зарабатывая до 500 тыс. рублей ($7 000) в день. Любопытно и то, что в состав UltraRank входят русскоязычные хакеры.

👉 Обнаружили UltraRank так: в феврале 2020 года специалисты Group-IB Threat Intelligence зафиксировали, что пять сайтов, созданных американским маркетинговым агентством The Brandit Agency для своих корпоративных клиентов, заражены JS-снифферами. Исследование этой атаки позволило команде Threat Intelligence обнаружить инфраструктуру злоумышленников и связать ее с другими, более ранними инцидентами, в которых также использовались JS-снифферы, и восстановить полную хронологию атак. Подробности
- тут

Group-IB
Программирование
Подписаться

#уязвимость #GoogleDrive

🙈В сервисе Google Drive обнаружена уязвимость. Ею могут воспользоваться злоумышленники для подмены настоящих документов или изображений их вредоносными версиями. Об этом сообщает «Российская газета» со ссылкой на thehackernews.com Проблема заключается в функции "Управление версиями" (англ. Manage Versions), которая дает пользователям возможность загружать и управлять различными версиями файла, а также менять его расширение.

✅Функция "Управление версиями" должна предоставлять пользователям сервиса возможность обновить предыдущую версию файла, но, как выяснил специалист по безопасности А. Никоси, Google Drive позволяет загружать новую версию файла с любым разрешением, а не только с тем, которое было у файла изначально. Никоси полагает, что злоумышленник, у которого есть доступ к файлу, может легко подменить его на вредоносный, при этом в режиме предпросмотра он будет казаться безобидным. Эксперт уже предупредил Google о проблеме, но компания оставила ее без внимания.

👉Так на что следует обращать внимание при загрузке файлов с файловых хранилищ?

«В первую очередь, необходимо обращать внимание на источник ссылки: если она должна была вести на внутренний сетевой ресурс, а после перехода вы видите, например, Google Drive
- это повод усомниться в ее легитимности,
- напоминает Олег Скулкин, ведущий специалист Лаборатории компьютерной криминалистики Group-IB.
- Также очень важно внимательно относиться к загруженным файлам: по умолчанию, Windows не показывает расширения файлов, поэтому казавшийся безобидным PDF-документ может оказаться вредоносным исполняемым файлом, как, например, это было в кампаниях RedCurl. Отображение расширений файлов можно включить в меню Вид Проводника Windows».

Group-IB
Программирование
Подписаться

#Phishing #Avia #CERT #BrandProtection

?Отличный пример оперативного взаимодействия между странами: CERT-GIB предупредил коллег из Казахстана, KZ-CERT, о мошеннических интернет-ресурсах, торгующих билетами. Получив «сигнал» от Group-IB, эксперты KZ-CERT выявили на территории Казахстана две мошеннические схемы. «Пользователям предлагалось приобрести билеты по выгодной цене. После выбора билета и формы оплаты пользователя просили ввести реквизиты своей банковской карты (номер карты, CVV-код). После согласия осуществить оплату происходила передача реквизитов кредитной карты злоумышленникам, о чем пользователь даже и не догадывался»,
- сообщили в пресс-службе ведомства.

?Напомним, что еще в конце июля команда Brand Protection Group-IB обнаружила три десятка фишинговых ресурсов, предлагающих “дешевые авиа и жд-билеты”, а в середине августа таких ресурсов было уже более
100. Большая часть из них уже заблокирована. Тем не менее, чтобы не стать жертвой мошенников при покупке билетов, не лишним будет напомнить рекомендации наших коллег из KZ-CERT:

? Проверять дату регистрации сайтов при помощи сервисов whois.net, pr-cy.ru или cy-pr.com. Мошеннические ресурсы не работают дольше одного-двух месяцев в связи с приостановлением деятельности домена со стороны хостинг-провайдера;
? Проверять, соответствует ли адресная строка официальному названию сайта;
? Проверять способ оплаты билета. Если вас просят перевести деньги на виртуальный кошелек или на номер карты
- перед вами злоумышленник. Компании не оформляют счета на физические лица или на сервисах типа Web Money;
? Проверять билеты в популярных системах бронирования по коду PNR (специальный уникальный код, который указывается в вашем билете), если он уже приобретён (viewtrip.com, checkmytrip.com, myairlines.ru);
? Проверять, имеется ли служба поддержки и как быстро она реагирует на сообщения и звонки. Также необходимо заранее найти отзывы о продавце и их активности на других ресурсах.

Group-IB
Программирование
Подписаться

#вебинар #ThreatHunter?Более 65% организаций планируют увеличить инвестиции в проактивный поиск угроз для обеспечения максимальной защиты от кибератак.?Чтобы научить вас обнаруживать и исследовать потенциальные угрозы до того, как они нанесли финансовый и репутационный ущерб, мы запустили онлайн-курс, который познакомит вас с новой востребованной профессией Threat Hunter и даст возможность получить прикладные знания от практикующего эксперта Лаборатории компьютерной криминалистики Group-IB.За 5 дней курса вы:?Изучите основы поиска аномалий в сетевой инфраструктуре организации;
?Получите базовые навыки в области цифровой криминалистики и анализа вредоносного кода;
?Научитесь проверять сложные гипотезы;
? Сможете пообщаться с опытным экспертом Group-IB и получить ответы на свои вопросы;
?Попрактикуетесь на реальных кейсах;
?Получите именной сертификат от Group-IB.? Курс стартует уже 7 сентября, успейте записаться! Узнать больше о курсе и зарегистрироваться можно здесь.

Group-IB
Программирование
Подписаться

#сбп #мобильныйбанкингИнтересная новость, на которую стоит обратить внимание. ЦБ выявил новый способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей (СБП), сообщает сегодня «Коммерсант». При установке в мобильном банке одной из кредитных организаций возможности переводов по СБП была оставлена уязвимость, связанная с открытым API-интерфейсом. Через нее мошенники смогли подменять счета отправителя. Система быстрых платежей Банка России (СБП)
- система, позволяющая клиентам переводить средства по идентификатору (в нашем случае, по номеру телефона) получателя, даже если счета в разных банках.

Само мошенничество заключалось в том, что в мобильном приложении оказалась уязвимость: не проверялось поле отправителя. Злоумышленники от своего имени осуществляли перевод, но вместо своего номера счета, с которого нужно списать средства, подставляли номер счета жертвы (в системе быстрых переводов можно указать номер телефона)
- в итоге в банк уходило сообщение о переводе с совершено чужого номера телефона на номер мошенника. И банк принимал эту операцию.

«Проблема не в системе быстрых платежей, а в ее реализации в конкретном приложении конкретного банка,
- уверен Сергей Никитин, зам руководителя Лаборатории Group-IB.
- Мошенникам удалось провернуть эту схему потому, что они внимательно изучили приложение мобильного банкинга и обнаружили, что поле отправителя не обновляется и ее можно подменить. Если ли у кого-то еще такие уязвимости? Надеюсь, что мошенничество не стало массовым, и такой баг
- скорее исключение. К сожалению, в этой схеме пользователи не могут себя обезопасить, а вот банки могут и должны провести независимый аудит своих мобильных приложений и внедрить системы поведенческого анализа (как наш Secure Bank Group-IB), которые защищают мобильный банкинг».

Group-IB
Программирование
Подписаться

#ransomware #Dharma #Иран

?Group-IB сегодня рассказывает об атаках молодой да ранней хакерской группы из Ирана, которая активно использует программу-вымогатель Dharma для нападений на компании, в том числе в России, Японии, Китае и Индии. Напомним, что вирус-шифровальщик Dharma, также известный как Crysis, начиная с 2016 года распространялся по модели ransomware-as-a-service (RaaS). Весной 2020 года его исходный код выложили на продажу в андеграунде
- и у вымогателя появились новые хозяева, в том числе на Ближнем Востоке. Похоже что Иран, который в течение последних лет был известен как колыбель прогосударственных APT, пригрел у себя еще и финансово мотивированных киберпреступников.

✅Олег Скулкин, ведущий специалист Лаборатории компьютерной криминалистики Group-IB:

"Тот факт, что исходный код Dharma стал широко доступен, привел к увеличению числа операторов, использовавших его для атак. Удивительно, что Dharma попал в руки иранских хакеров, которые использовали его для получения финансовой выгоды, поскольку Иран традиционно был страной прогосударственных APT, занимающихся шпионажем и саботажем. Несмотря на то, что эти киберпреступники используют довольно распространенные тактики, приемы и процедуры, они оказались достаточно эффективными. Поэтому мы считаем важным сейчас дать некоторые рекомендации о том, как защитить себя от них, и дать полный обзор в таблице, которая построена на базе матрицы MITRE ATT&
CK".

Group-IB
Программирование
Подписаться

#хабр #digitalforensics

?В одной крупной финансовой организации произошел неприятный инцидент: злоумышленники проникли в сеть и «пылесосили» всю критически важную информацию
- копировали, а затем отправляли данные на свой удаленный ресурс. Криминалистов Group-IB призвали на помощь лишь спустя полгода после описываемых событий….

?К тому времени часть рабочих станций и серверов была уже выведена из работы, а следы действий злоумышленников уничтожены из-за использования ими специализированного ПО и из-за неправильного логирования. Однако на одном из серверов, участвовавших в инциденте, был обнаружен файл подкачки Windows, из которого эксперты получили критически важную информация об инциденте.

✅В этой статье Павел Зевахин, специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает о том, какие данные можно обнаружить в ходе криминалистического исследования в файлах подкачки Windows.

Group-IB
Программирование
Подписаться

#впо #рассылки #шпионажКиберпреступники используют белорусские протесты для рассылки трояна TinyPosh

?Утром 19 августа команда CERT-GIB зафиксировала вредоносную рассылку по российским финансовым организациям от имени Минского Тракторного Завода (ОАО МТЗ). Опасные письма
- всего их было более полусотни
- выявила и нейтрализовала система предотвращения сложных киберугроз Threat Detection System (TDS) Group-IB.

?Отправителем письма значилась некая Алеся Владимировна (в других письмах
- Волохина А.В.) гендиректор/исполнительный директор МТЗ, хотя предприятие возглавляет абсолютно другой человек
- Виталий Вовк. Темой для рассылки киберпреступники выбрали протесты и забастовки в РБ: «Увы, порядка недели назад в МТЗ Холдинг нагрянула проверка прокуратуры. Понятное дело, эти события происходят потому, что мы объявили забастовку Лукашенко». Далее в письме получателей просят перейти по ссылке, скачать архив и прислать недостающие документы для проверки.

✅На самом деле, как выяснили аналитики CERT-GIB, после попытки открытия приложенного к письму файла на компьютер загружается и устанавливается вредоносная программа
- бэкдор TinyPosh, которая по команде от управляющего сервера позволяет скачивать и запускать другие вредоносные программы.

?Ярослав Каргалев, зам руководителя CERT-GIB: «Фактически злоумышленники получают удаленный доступ к компьютеру пользователя, который может использоваться как плацдарм для разведки, сбора данных и дальнейшего продвижения по сети организации. Основной целью атакующих может быть шпионаж и хищение конфиденциальных данных, хищение денежных средств, продажа удаленного доступа другим злоумышленникам. Подобная атака уже фиксировалась специалистами Group-IB весной этого года, когда злоумышленники под видом рассылок из финансовых и медицинских организаций также отправляли троян TinyPosh».

Group-IB
Программирование
Подписаться

#мерчGIB?Кстати, совет не забивать болт на кибербезопасность от Руслана Яхудина тут не ради красного словца. После съемок мы подарили Руслану и его съемочной группе сувениры двойного назначения
- «болт обыкновенный многофункциональный». Это реплика реального артефакта из тайных арсеналов спецслужб. Болт тяжелый, способен выдерживать серьезные нагрузки и агрессивную среду. Им можно забивать гвозди, а при определенной сноровке можно и злодеев. Но самое главное
- внутри болта имеется тайная полость, в которой помещаются ценные записи, купюры, флешка или тайные послания. Так-то.

Group-IB
Программирование
Подписаться

#YouTube #ГРАФИКlife #Яхудин

?«Звонит друг, просит срочно перевести денег, а спустя время оказывается, что он и понятия не имел о займе… На что только не идут злоумышленники, желая заработать на доверчивости пользователей. И что самое страшное, очевидность обмана начинает казаться уже после того, как со счета сняли все деньги». ?В гостях у Group-IB
- предприниматель и автор YouTube-канала ГРАФИК.life Руслан Яхудин. Он решил разобраться, какие схемы используют интернет-мошенники, как защитить свои деньги в мобильном банкинге, зачем нужен «второй фактор», и почему нельзя забивать болт на кибербезопасность. Отвечали на вопросы наши эксперты: ?Андрей Бусаргин, заместитель гендиректора Group-IB по направлению интеллектуальной защиты бренда.?Анастасия Баринова, зам руководителя Лаборатории компьютерной криминалистики Group-IB по обучению.?Смотрим, делимся, лайкаем!

Group-IB
Программирование
Подписаться

#Нетология #курс?Долгожданная новость
- совместно с Нетологией мы запускаем партнерский обучающий курс "Специалист по информационной безопасности" с нуля, который позволит начать свой путь в кибербезопасности всем желающим с любым уровнем подготовки.

?Слушателей ждет 7-месячное погружение в профессию, в рамках которого они:?получат практические знания, основанные на экспертизе Group-IB, необходимые для старта карьеры в ИБ?познакомятся с реальным опытом борьбы с современной киберпреступностью из первых рук от практикующих специалистов Group-IB? узнают, как проводить криминалистическое исследование и реагирование на инциденты в организациях? смогут претендовать на позицию junior-специалиста по завершении курса.Лучшие выпускники получат возможность пройти стажировку в Group-IB.

Программа стартует уже 1 сентября! Узнать больше об обучении и записаться можно здесь

Рейтинг авторов

  • "Записки Дизайнера" (про дизайн и только про него 157 157 157
  • (Не) только немецкий 157 157 157
  • #анямастерконтента 157 157 157
  • #Фудтех 157 157 157
  • 10 идей и трендов дня 157 157 157
Показать весь рейтинг
Загрузка ...