ИНТЕРЕСНОЕ ЗА НЕДЕЛЮ В МИРЕ КИБЕРБЕЗОПАСНОСТИ (19-23 июня)

  1. Обнаружена новая фишинговая атака на пользователей Facebook. Специалисты компании PhishLabs рассказали о новой фишинговой кампании, затрагивающей исключительно владельцев мобильных устройств. В основном атаки направлены на пользователей Facebook, а также сервисов Apple iCloud, Comcast, Craigslist и OfferUp. Новый метод базируется на том, что мобильные браузеры не полностью отображают ссылки в адресной строке. Этой недоработкой и пользуются злоумышленники, добавляя в URL дефисы и поддомены, чтобы на мобильном устройстве ссылка выглядела настоящей.
  2. Эпидемия WannaCry могла произойти из-за случайной утечки. Ошибки в коде и реализации вымогательского ПО WannaCry, в мае нынешнего года заблокировавшего сотни тысяч компьютеров по всему миру, могут служить подтверждением теории о том, что авторы шифровальщика допустили утечку вредоносной программы, и ее распространение началось до того, как она была полностью завершена.
  3. Власти РФ получили право без суда блокировать «зеркала» пиратских сайтов. В пятницу, 16 июня, Госдума РФ приняла во втором, решающем чтении законопроект, разрешающий властям без решения суда блокировать «зеркала» сайтов с пиратским контентом. Закон вступит в силу с 1 октября текущего года. По мнению депутатов, блокировку смогут обойти только пользователи, обладающих техническими навыками, а таких насчитывается немного.
  4. Хакеры могут взломать ПК с помощью электронной сигареты. В ходе конференции BSides в Лондоне ИБ-эксперт Росс Бевингтон (Ross Bevington) продемонстрировал, как с помощью электронной сигареты можно взломать компьютер. Пока что его атака работает только на разблокированных системах, однако ее можно доработать и адаптировать под заблокированные, уверен Бевингтон. Взлом ПК через электронную сигарету базируется на том, что для подзарядки гаджеты зачастую подключаются не к электрической розетке, а к компьютеру через USB. Если внедрить в сигарету специальную микросхему, можно «убедить» компьютер, будто это клавиатура, и он начнет выполнять все отправляемые устройством команды. Существует и другой вектор атаки, предполагающий взаимодействие сигареты с трафиком.
  5. Перевод по номеру телефона может упростить работу хакеров. Россияне смогут переводить друг другу деньги — причем между разными банками — по номеру мобильного телефона. Для этого номер телефона будет привязываться к определенному номеру карточного счета, и вместо реквизитов карты отправителю нужно будет указать только мобильный телефон. Руководитель направления противодействия мошенничеству центра информбезопасности компании «Инфосистемы джет» Алексей Сизов опасается, что такое упрощение переводов повысит процент ошибок.
  6. Центробанк и МВД поддержали ограничения на деятельность анонимайзеров. Роскомнадзор, ЦБ и МВД поддержали идею законопроекта, запрещающего использование анонимайзеров для доступа к заблокированным сайтам. Поправки разработаны «в целях повышения эффективности ограничения доступа к информационным ресурсам, доступ к которым в России ограничен на законном основании», говорится в пояснительной записке. Они вводят запрет для владельцев анонимайзеров и VPN-сервисов предоставлять доступ к сайтам, которые заблокированы на территории России. Кроме того, согласно поправкам Роскомнадзор получает право заблокировать любой сайт, где будет размещена информация о средствах обхода блокировок. Наконец, законопроект предписывает операторам поисковых систем прекращать на территории России выдачу ссылок на информационные ресурсы, включенные в перечень Роскомнадзора.
  7. 91% российских компаний скрывают факты утечек данных. Эксперты «СёрчИнформ» оценили уровень информационной безопасности российских компаний. Специалисты «СёрчИнформ» провели опрос в ходе весенней серии конференций Road Show SearchInform 2017 «DLP будущего», в которой приняли участие 1806 ИБ-специалистов и экспертов, еще 885 участников следили за онлайн-трансляцией мероприятия из 12 стран мира. Часть данных была собрана в ходе онлайн-опроса сотрудников отделов информационной безопасности. В исследовании были проанализированы организации из разных сфер: IT, нефтегазовый сектор, кредитно-финансовая сфера, ритейл, строительство и другие. Выяснилось, что 38% компаний столкнулись с утечками конфиденциальных данных и еще 28% компаний отметили попытки кражи информации. 31% организаций не сталкивались с подобными инцидентами. 3% опрошенных не владеют такой информацией.
  8. Учебник по троянам с российского форума вызвал волну атак на банки. Эксперты компаний Fortinet, Checkpoint и «Доктор Веб» нашли объяснение недавнему резкому росту количества банковских троянов для платформы Android, отследив начало волны до одного-единственного поста на андерграундном русскоязычном форуме Exploit.in. Некто под ником maza-in опубликовал там учебник по созданию банковского трояна с примером кода. Это привело к лавинообразному росту количества клонов. Как отмечает автор статьи в Bleeping Computer, maza-in не только опубликовал учебник и исходный код для BankBot, но и пригласил поразвлечься всех желающих и регулярно обновлял информацию о своем детище.
  9. Киберпреступники придумали новый способ взлома банкоматов Сбербанка. Сбербанк выявил новый способ взлома банкоматов и разработал меры противодействия таким атакам с помощью системы фрод-мониторинга, сообщил зампред правления Сбербанка Станислав Кузнецов на Ill международной конференции «Актуальные вопросы наличного денежного обращения». «Мы зафиксировали это впервые с применением технологии искусственного интеллекта. Мошенник вставляет карточку, запрашивает определенную сумму, банкомат начинает считать деньги. В тот момент, когда он подает деньги в приемник внутри, банкомат должен выдать карточку обратно. Мошенник придерживает карточку, она застревает в приемнике. А деньги уже находятся уже в устройстве выдачи, и можно (было раньше — прим. ТАСС) в наших банкоматах эту сумму достать. В результате преступник имел деньги, карточка тоже была у него в руках», — рассказал Кузнецов журналистам. Так как фактически банкомат не фиксировал выдачу денег, списание их со счета также не происходило.
  10. ФНС разрешила иностранным компаниям не платить «налог на Google» в РФ. Российские компании как налоговые агенты зарубежных организаций могут уплатить за них НДС на электронные услуги, оказанные на территории РФ, но иностранные компании не могут платить налог друг за друга. Такое постановление содержится в письме Федеральной налоговой службы, разъясняющем порядок уплаты НДС на электронные услуги, предоставляемые на территории страны. Эксперты полагают, что таким образом иностранные компании получат возможность не платить так называемый «налог на Google» в России.
  11. Сайты уличили в сборе данных пользователей до их отправки. На сайтах компаний, предлагающих услуги того или иного рода, зачастую приходится заполнять формы с указанием электронного адреса и другой персональной информации. Безусловно, в процессе пользователь может передумать и не отправлять форму с данными, но, как выяснилось, информация оказывается в распоряжении многих сайтов даже в том случае, если пользователь закроет страницу, так и не нажав кнопку «Отправить». Журналисты ресурса Gismodo провели расследование, показавшее, что сотни web-сайтов используют JavaScript код компании NaviStone (предоставляет услуги по деанонимизации посетителей интернет-ресурсов), незаметно для пользователей собирающий все данные, указываемые в online-форме, причем это происходит еще до того, как пользователь отправит информацию. По данным сервиса BuiltWith, предоставляющего сведения о том, какие технологии применяются на сайтах, код NaviStone используют по меньшей мере 100 интернет-ресурсов.
  12. Представлен способ взлома процессора взмахом руки. Когда речь идет о взломе, на ум приходят эксплоиты, уязвимости и вредоносное ПО. Тем не менее, исследователи Ан Цуй (Ang Cui) и Рик Хаусли (Rick Housley) разработали физический инструмент, позволяющий взломать устройство одним лишь взмахом руки. Представленный на конференции REcon способ взлома процессора базируется на создании импульсных помех. Путем прерывания нормальной активности с точно выверенными интервалами можно обойти режим безопасной загрузки (Secure Boot), защищающий систему от запуска вредоносного кода, пояснили эксперты.
  13. Хакеры организовали фишинговую рассылку под видом писем о штрафах ГИБДД. Эксперты компании Group-IB сообщили о фишиноговой атаке, в рамках которой ее организаторы рассылали извещения о штрафах ГИБДД под видом уведомлений от портала госуслуг. Письма выглядят как официальные и не вызывают сомнений у среднестатистических пользователей. К письму прикреплено фото автомобиля- «нарушителя», а в шапке уведомления находится логотип Электронного правительства. Кроме прочего, письмо содержит отметку о проверке на наличие вредоносного ПО и его отсутствии. Особое внимание акцентируется на том, что при оплате штрафа в течение короткого времени возможна скидка в размере 50%.
  14. Завод Honda Motor остановил работу в результате новой атаки WannaCry. Компания Honda Motor была вынуждена на день остановить работу одного из своих заводов в Японии в связи с обнаружением в его сетях вымогательского ПО WannaCry. Производство было прекращено в понедельник, 19 июня, на заводе в городе Саяма, где производятся такие модели Honda, как Accord, Odyssey и Step Wagon. За день завод выпускает порядка 1 тыс. автомобилей. Как сообщает Reuters, 18 июня в сетях компании в Японии, Северной Америке, Европе, Китае и других регионах был обнаружен шифровальщик WannaCry, несмотря на меры по усилению безопасности, предпринятые в середине прошлого месяца после волны атак WannaCry. Как оказалось, предпринятых шагов оказалось недостаточно для предотвращения новой атаки.

Когда дело доходит до создания заслуживающих доверия веб-сайтов, банки терпят поражение

В ходе девятого ежегодного онлайн опроса компании OTA были проанализированы более 1000 веб-сайтов, которые ориентированы на потребителя, на предмет обеспечения безопасности и конфиденциальности электронной почты. Аудит показал, что 52% анализируемых сайтов получили право на включение в список сайтов, заслуживающих доверия, что на 5% больше, чем в 2016 году.

Компания OTA также наблюдает появление тревожной тенденции: сайты либо претендуют на включение в список сайтов, заслуживающих доверия, либо вообще не проводят аудит. Другими словами, сайты все чаще либо воспринимают конфиденциальность и безопасность серьезно и преуспевают, либо значительно отстают по одному или нескольким важным параметрам.

«Данные – это «нефть» для интернет-экономики. Они подпитывают инновации, рост и доходы. В то же время при злоупотреблении существует риск утечки данных, что негативно сказывается на ожиданиях пользователей и, в конечном итоге, на Интернете в целом», — сказал председатель компании OTA Крейг Шпицле.

Сайты, относящиеся к категории потребительски услуг, составили 76% из всего списка сайтов, заслуживающих доверия. При этом компания OTA считает ориентированным на потребительские услуги любой веб-сайт, который требует от пользователей создания онлайн-учетной записи. Сайты, относящиеся к категории банковской деятельности, составляют меньшинство – всего 27% из списка Honor Roll.

Отрасли промышленности: начиная лучшими и заканчивая наименее эффективными

  • Потребительские услуги: эта отрасль снова оказалась лучшей (76% из числа сайтов, заслуживающих доверия). На этот сегмент приходится 26 из 50 лучших сайтов, ориентированных на потребителя (52%).
  • Интернет-магазины: 51% из 500 крупнейших интернет-магазинов вошли в список сайтов, заслуживающих доверия, что значительно лучше по сравнению с прошлым годом (44%). На этот сегмент приходится 10 из 50 лучших сайтов, ориентированных на потребителя (20%).
  • Новости и СМИ: 48% новостных и медиа-сайтов вошли в этом году в список сайтов, заслуживающих доверия, что является самым значительным улучшением по сравнению с предыдущим годом. В 2016 году медиа- и новостные сайты показали наихудшие результаты из всех остальных отраслей, всего 23% вошли в список Honor Roll. На этот сегмент приходится всего три из лучших 50 сайтов, ориентированных на потребителя (6%).
  • Интернет-провайдеры, почтовые серверы и хостинги: 46% компаний из этой новой для 2017 года категории вошли в список Honor Roll. На этот сегмент приходится 7 из 50 лучших сайтов, ориентированных на потребителя (14%).
  • Правительство: 39% сайтов федерального правительства США вошли в список сайтов, заслуживающих доверия. Это меньше, чем в 2016 году (46%).
  • Банковский сектор: процент банковских сайтов, вошедших в список Honor Roll, пережил самое большое падение – с 55% в 2016 году до 27% в 2017. До 2016 года этот сектор демонстрировал последовательное, значительное улучшение своего рейтинга в списке Honor Roll. Резкое падение рейтинга, произошедшее в этом году, случилось из-за увеличения количества нарушений, низких показателей конфиденциальности и низкого уровня аутентификации с использованием электронной почты. 65% сайтов получили отрицательные отзывы.

When it comes to trustworthy websites, banks drop the ball