Лаборатория Касперского

Подписка на Лента Лаборатория Касперского Лаборатория Касперского
Официальный русский блог "Лаборатории Касперского" пишет обо всем, что поможет вам защититься от вирусов, хакеров, шпионских приложений, спама и других угроз.
Обновлено: 7 часов 24 минуты назад

Психология целевого фишинга

пт, 18/01/2019 - 18:28

Как правило, говоря об уязвимостях, мы подразумеваем разного рода ошибки программирования или недостатки информационных систем, возникшие на этапе их проектирования. Однако есть целый ряд других уязвимостей, существующих непосредственно в голове у человека.

И мы сейчас говорим не о недостаточной осведомленности или халатном отношении к кибербезопасности — как справляться с этими проблемами, более-менее понятно. Просто мозг пользователя иногда срабатывает не так, как хотелось бы экспертам по информационной безопасности, а так, как его вынуждают специалисты по социальной инженерии.

По сути, социальная инженерия — это сплав социологии и психологии. Совокупность приемов, методов и технологий создания такого пространства, условий и обстоятельств, которые максимально эффективно приводят к конкретному необходимому результату. Благодаря этому злоумышленники, играя на эмоциях, чувствах, страхах и рефлексах людей, получают доступ к интересующей их информации. И именно на этой «науке», по большому счету, базируется большая часть современных целевых атак.

Среди чувств, к которым обычно взывают мошенники, можно выделить четыре основных:

  • Любопытство
  • Жалость
  • Страх
  • Жадность

Однако их сложно назвать уязвимостями — все-таки это естественные для человека чувства. Это скорее каналы воздействия, через которые манипуляторы пытаются влиять на жертву. В идеале — так, чтобы мозг сработал автоматически, не применяя критическое мышление. Для этого у злоумышленников припасено немало трюков. Разумеется, против каждого человека различные приемы работают с разной эффективностью. Но мы решили рассказать о нескольких самых распространенных и объяснить, как именно их используют.

Подчинение авторитету

Это одно из так называемых когнитивных искажений — систематических отклонений в поведении, восприятии и мышлении. Его суть заключается в склонности людей беспрекословно подчиняться человеку, обладающему опытом или определенной властью, игнорируя свои собственные суждения о целесообразности действия.

На практике это может выглядит как фишинговое письмо, написанное от имени вашего начальника. Разумеется, если в таком письме потребуют станцевать лезгинку на камеру и разослать это видео десяти друзьям, то получатель задумается. Но вот если прямой руководитель просит подчиненного ознакомиться с содержащимися в письме материалами для нового проекта, то скорее всего получатель автоматически откроет вложенный файл.

Дефицит времени

Один из наиболее частых приемов в психологии манипуляций — создание ощущения дефицита времени. Часто для того, чтобы принять взвешенное, рациональное решение, требуется изучить информацию подробнее. А на это нужно время. Именно его и пытаются лишить жертву мошенники.

Как правило, манипуляторы в таких случаях взывают к чувству страха («В ваш аккаунт пытались зайти, если вход был произведен не вами, немедленно перейдите по ссылке…») или к жажде легкой наживы («Скидка доступна только первым десяти кликнувшим, не упусти свой шанс…»). Тогда появляется высокая вероятность поддаться чувствам и принять эмоциональное, а не рациональное решение.

Письма, пестрящие словами «срочно» и «важно», как раз из этой категории. Ключевые моменты в них любят выделять красным цветом для пущего устрашения или для демонстрации фантастического везения, которое вот-вот можно упустить.

Автоматизмы

Автоматизмы в психологии — это действия, реализуемые без непосредственного участия сознания. Автоматизмы бывают первичные (врожденные, никогда не осознававшиеся) и вторичные (прошедшие через сознание и переставшие осознаваться). А еще автоматизмы делятся на моторные, речевые и интеллектуальные.

Злоумышленники пытаются использовать автоматизмы, присылая письма, реакция на которые могла автоматизироваться. Сообщения типа «не получилось доставить сообщение, нажмите для повторной доставки», безумные рассылки с большой кнопкой «отписаться», фальшивые уведомления о новых комментариях в соцсетях. Реакция на письма классифицируется как вторичные моторные и интеллектуальные автоматизмы.

Неожиданное откровение

Это еще один, достаточно часто встречающийся вид манипуляций. Суть его заключается в том, что информация, которая следует после некоего признания, воспринимается гораздо менее критически, чем если бы она была подана независимо.

На практике это может выглядеть, как письмо типа: «У нас случилась утечка паролей, проверьте, нет ли вас в списке потерпевших».

Что с этим делать?
  1. Возьмите за правило тщательно обдумывать письма от начальства. Зачем руководитель просит вас открыть запароленный архив и присылает ключ к нему в том же письме? Почему он просит вас перевести деньги новому партнеру, хотя у него есть доступ к платежному счету? Почему он ставит вам необычную задачу по почте, а не по телефону, как обычно? Если вы заметите какую-нибудь странность, то лучше лишний раз уточнить задание по другому каналу связи, чем слить мошенникам корпоративные данные или деньги.
  2. Не реагируйте сразу на письма, побуждающие к немедленным действиям. Здесь важно сохранять хладнокровие и спокойствие, даже если содержание письма вызвало у вас страх. Обязательно перепроверьте, от кого пришло это письмо, соответствует ли ссылка отображаемому адресу, легитимен ли домен, прежде чем переходить по ней. Если все равно сомневаетесь — лучше обратиться к специалистам.
  3. Если вы заметите за собой склонность к автоматической реакции на какие-то письма, попробуйте выполнить те же действия, только осознанно. Это может привести к «деавтоматизации», нужно лишь активировать свое сознание в нужный момент.
  4. Не забывать о ранее данных нами советах о том, как не попасться на удочку фишеров:
  5. Используйте защитные решения с надежными антифишинговыми технологиями. В таком случае большую часть писем от злоумышленников вы просто не увидите.
Категории: Новости вендоров

Мои учетные данные попали в Collection #1: что делать?

пт, 18/01/2019 - 18:00

Совсем недавно Трой Хант (Troy Hunt), эксперт в области безопасности, сообщил в своем блоге, что в сети обнаружилась огромная база данных под названием Collection #1. В ней более 700 миллионов уникальных e-mail адресов и более 1,1 миллиарда не менее уникальных наборов логинов и паролей. Рассказываем, как проверить, попали ли в базу ваши данные, и что делать, если беда вас не миновала.

Утечки данных и дыры в системе безопасности — нередкое явление. Но иногда они бывают особенно крупными. Многие киберпреступники собирают слитую в сеть информацию, создавая собственную базу логинов и паролей. Причем некоторые хватаются чуть ли не за каждую утечку, чтобы пополнить свою коллекцию. Так и появляются такие гигантские коллекции, как предмет исследования Троя Ханта — Collection #1.

Эта база не сформирована в результате какого-то одного крупного инцидента, как было в случае с кражей аккаунтов пользователей Yahoo, — старательный коллекционер с 2008 года пополнял ее данными из 2000 разных утечек. Некоторые записи появились в Collection #1 совсем недавно.

Странно, что в базу не вошли логины и пароли таких известных утечек, как случай с LinkedIn в 2012 году и обе бреши Yahoo (мы уже писали и про первую брешь в Yahoo, и про вторую).

Как узнать, есть ли мои данные в Collection #1?

Поискать свои данные в Collection #1 можно на сайте haveibeenpwned.com. Чтобы узнать, в каких базах украденных данных (которые известны авторам сервиса, конечно) встречается ваш e-mail, просто введите его в соответствующее поле.

Если ваш адрес электронной почты попал в Collection #1, сайт сообщит вам об этом. Если нет — вам повезло, и вопрос можно считать закрытым. Но если удача изменила вам, то готовьтесь к приключениям.

Что делать, если мой аккаунт есть в базе данных Collection #1?

Итак, ваш e-mail попал в коллекцию украденных данных. К сожалению, haveibeenpwned.com не подскажет, какой именно аккаунт пострадал, ведь вы могли использовать этот почтовый ящик для регистрации на многих сайтах: на форуме криптовалют, в электронной библиотеке, в онлайн-сообществе любителей котиков — да где угодно. У вас есть два варианта действий, и выбор зависит от того, использовали вы один и тот же пароль для нескольких сервисов или нет.

Первый вариант: вы используете один и тот же пароль в нескольких аккаунтах, привязанных к одному почтовому ящику. В этом случае придется попотеть — вам нужно будет сменить пароли везде, где использован этот злосчастный e-mail. Да, на каждом сайте. Не забудьте, что пароли должны быть длинными и уникальными. Понятное дело, если вы привыкли использовали один и тот же пароль на всех сайтах, запомнить кучу новых комбинаций будет трудновато. В этом случае может пригодиться менеджер паролей.

Второй вариант: вы используете уникальные пароли во всех аккаунтах, привязанных к одному почтовому ящику. Спешим вас обрадовать: это сильно упрощает задачу. Конечно, можно поступить как в первом случае — взять и сменить все пароли подряд. Но реальной необходимости в этом нет. Сначала стоит проверить пароли с помощью Pwned Passwords, еще одной полезной функции haveibeenpwned.

Достаточно ввести в поле пароль к одному из ваших аккаунтов, чтобы узнать, хранится ли он в базе данных сервиса — в виде простого текста или хэша. Если haveibeenpwned скажет, что ваш пароль был затронут при утечке данных хотя бы один раз, лучше его сменить. Если нет, то все в порядке и можно приступать к проверке следующего пароля.

Если вы не хотите слепо довериться haveibeenpwned и выдать сайту свои конфиденциальные данные, то вместо пароля вы можете ввести в поисковую строку его хэш SHA-1. Сервис покажет те же результаты. В Интернете есть куча ресурсов, которым можно скормить любую информацию и получить ее хэш SHA-1 (можете не гуглить, вот они). Попробуйте этот способ, если не доверяете haveibeenpwned, — одним поводом для паранойи меньше.

Пара советов о том, как максимально обезопасить себя и не стать жертвой очередной утечки

В последние несколько лет случилась уйма утечек, и нет никаких оснований полагать, что их станет меньше — скорее, наоборот. Аналоги Collection #1 будут периодически появляться в свободном доступе, и кибержулики будут все так же рады заграбастать чужие пароли и логины. Соблюдайте несколько простых предосторожностей, чтобы ваши данные не попали в недобрые руки:

  • Используйте длинные и уникальные пароли для каждого аккаунта. Если какой-то сервис, которым вы пользуетесь, «протечет», вам придется сменить всего один пароль — остальные ваши аккаунты не пострадают.
  • Включайте двухфакторную аутентификацию везде, где только можно. Так хакеры не смогут войти в ваш аккаунт, даже имея на руках ваш логин и пароль.
  • Пользуйтесь защитными решениями, которые могут предупредить вас об утечках. Такая функция есть, например, в Kaspersky Security Cloud.
  • Обзаведитесь менеджером паролей, где можно создавать и хранить надежные и уникальные комбинации, чтобы не запоминать их. В некоторых менеджерах также есть функция быстрой смены пароля. Kaspersky Password Manager, например, эффективно справляется со всеми перечисленными задачами.
Категории: Новости вендоров

После нас хоть потоп: киберместь бывших сотрудников

вт, 15/01/2019 - 21:29

Расставание с сотрудниками — обычное явление в жизни бизнеса. Однако в некоторых случаях оно может оказаться болезненным. Помимо испорченных нервов менеджеров недовольство бывших сотрудников несет для организации репутационные и финансовые риски — вам могут попытаться отомстить.

Рассказываем, к чему может привести обида бывшего сотрудника и как защитить себя от кибермести.

Пароль за 200 тыс. долларов

Руководство онлайн-школы American College of Education («Американский образовательный колледж») не смогло найти общий язык с системным администратором Триано Уильямсом (Triano Williams), работавшим на компанию удаленно.

В 2016 году сотрудник обратился к начальству с жалобой на расовую дискриминацию в организации. Через некоторое время ему предложили переехать в Индианаполис, чтобы работать в офисе. Уильямс отказался, поскольку удаленная работа была для него одним из ключевых условий. В результате его уволили. Несмотря на то что он получил выходное пособие, IT-специалист затаил обиду: он решил, что вся история с переездом была затеяна из-за его обращения. Чтобы отомстить школе, он сменил пароль от ее Google-аккаунта, лишив бывших коллег доступа к электронной почте и учебным материалам более 2 тыс. студентов.

Уильямс утверждал, что пароль сохранился автоматически на служебном ноутбуке, который он вернул вскоре после увольнения. Однако, по словам представителей колледжа, бывший администратор предварительно очистил жесткий диск устройства.

Руководство American College of Education обратилось в Google с просьбой восстановить доступ к аккаунту, но оказалось, что профиль зарегистрирован на личный, а не корпоративный электронный адрес уволенного администратора. Адвокат бывшего сотрудника намекал, что его клиент постарается вспомнить утерянный секретный ключ, если получит от компании 200 тыс. долларов и положительные рекомендации.

Показательная атака на клиента

Ричард Нил (Richard Neale), один из создателей и бывший IT-директор компании Esselar, занимающейся информационной безопасностью, ушел из нее в результате конфликта и почти полгода вынашивал план мести.

Чтобы дискредитировать бывших коллег, он дождался дня, когда представители Esselar проводили демонстрацию своих услуг для заказчика — страховой компании Aviva. Пока все были увлечены презентацией, Нил взломал около 900 мобильных телефонов сотрудников Aviva и удалил с устройств всю информацию.

После инцидента Aviva разорвала отношения с Esselar и потребовала компенсацию в размере 70 тыс. фунтов стерлингов. Общие репутационные потери и потенциальные убытки бывшие партнеры Нила оценили в 500 тыс. фунтов стерлингов. По словам представителей организации, его действия нанесли такой ущерб, что в Esselar задумывались о ребрендинге.

Уничтожение данных

Опасным кибермстителем может стать и сотрудник, только заподозривший, что вы собираетесь его уволить. Помощница директора архитектурного бюро Мэри Лупе Кули (Marie Lupe Cooley) увидела в газете объявление о поиске работника на свою позицию, где в качестве контактной информации был указан телефон ее начальника.

Заподозрив, что ее собираются уволить, Кули удалила архив с проектами компании за последние семь лет. Организация оценила ущерб от ее действий в 2,5 млн долларов. При том что нового сотрудника, как выяснилось, искали в компанию, принадлежащую супруге пострадавшего директора.

Как не стать жертвой кибермести

Чтобы бывшие сотрудники не могли навредить вашей IT-инфраструктуре, следите за их IT-правами с первого рабочего дня. Вот несколько правил для тех, кто хочет обезопасить свою компанию.

  • Ведите реестр прав сотрудников в IT-среде, а также аккаунтов и ресурсов, к которым у них есть доступ. Дополнительные права выдавайте, только если вы уверены, что работнику они действительно необходимы. И незамедлительно вносите информацию о них в реестр.
  • Время от времени проверяйте, анализируйте и пересматривайте списки прав. Не забывайте отзывать неактуальные разрешения.
  • Регистрируйте корпоративные ресурсы только на корпоративные адреса. Какими бы выгодными ни были условия оформления аккаунта на физическое лицо и каким бы надежным ни казался работник, помните: ваши с ним отношения — это лишь эпизод деловой жизни и он рано или поздно закончится. Доменные имена, аккаунты в соцсетях, панель управления сайтами — это активы организации, и раздавать их персоналу недальновидно.
  • Все права доступа и аккаунты бывшего работника блокируйте как можно раньше, в идеале — как только вы объявите ему об увольнении.
  • Не обсуждайте возможные сокращения и реорганизации штата в общедоступных местах, а размещая объявление о поиске нового работника на редкую должность, помните, что его могут увидеть не только соискатели.
  • Старайтесь всегда поддерживать хорошие человеческие отношения с сотрудниками и доброжелательную атмосферу в компании. Зачастую людьми, совершающими громкие кибератаки на бывшего работодателя, движет не жадность, а задетые чувства.
Категории: Новости вендоров

Маленькая секс-игрушка с большими проблемами

пн, 14/01/2019 - 18:50

Вернер Шобер (Werner Schober) работает в компании Sec Consult и параллельно учится в Австрийском Университете прикладных наук. И однажды — на пятом курсе — перед ним встал сложный вопрос, который наверняка многим знаком: какую же тему для диплома выбрать?

Вернер начал с того, что составил облако тегов со словами из тех тем, которые выбрали его однокурсники. И там, конечно же, оказались все стандартные ключевые слова современного ИТ — биткойн, GDPR, облака и так далее. Но почему-то там не было Интернета вещей — тоже крайне популярной нынче темы. Ей-то Вернер и решил заняться, тем более что благодаря работе в Sec Consult у него был немаленький опыт пентестов (по сути, взлома устройств или сетей), который вполне можно было применить в данной области.

Однако Интернет вещей — понятие очень широкое. Туда входит буквально все — от умных светофоров и модуляторов сердечного ритма до умных чайников. Надо было как-то сузить тему, выбрать что-то более конкретное. Но по той части Интернета вещей, которая относится к более-менее критической инфраструктуре, вроде тех же светофоров или модуляторов, и без Вернера Шобера достаточно исследователей и их публикаций. А про умный дом с чайниками и лампочками, с которыми знакомо множество людей, тоже написано изрядно, да и совсем уж критических уязвимостей там нет. Ну, устроил кто-то DDOS на вашу газонокосилку — ладно, покосите разок вручную.

Поэтому Вернер решил выбрать такую подкатегорию Интернета вещей, про которую и исследований не так уж много (хотя они тоже есть — хакеры любят это ломать), и уровень проблемности уязвимостей в ней весьма высокий, — его диплом посвящен «умным» секс-игрушкам.

Вернер протестировал три устройства — два китайских и одно немецкое. В каком нашлось больше уязвимостей? Забежим чуть вперед: в немецком. И еще каких! Они оказались настолько критическими и их было так много, что Вернер забросил китайские устройства и весь диплом посвятил немецкому. О нем же он и рассказывал в своем докладе на 35-м Chaos Communication Congress (35C3).

Немецкое устройство называется Vibratissimo Panty Buster. Оно подключается к смартфону на Android или iOS при помощи Bluetooth и управляется через специальное приложение — либо локально, либо удаленно, с другого смартфона. Впрочем, возможности приложения куда шире — по сути, это полноценная соцсеть с чатами, групповыми чатами (интересно, зачем они здесь?), галереями фотографий, списками друзей (тоже интересная функция для секс-игрушки) и так далее.

Программная часть: как познакомиться со всеми пользователями секс-игрушек

Начнем с программных уязвимостей. В корневом каталоге сайта Vibratissimo обнаружился файл .DS_Store — по сути, это список всех папок и файлов в этом каталоге с дополнительными параметрами, который операционная система macOS создает, чтобы корректно отображать иконки файлов и то, как они разложены. Вернеру удалось расшифровать этот файл — и так он узнал названия всех папок и файлов, лежащих в корневом каталоге.

Интерес там представляет папка Config, в которой обнаружился одноименный файл, содержащий логин и пароль для доступа к базе данных, записанные без какого-либо шифрования. Вернер смог найти интерфейс для подключения к ней, ввел логин и пароль — и получил доступ к данным всех пользователей устройств Vibratissimo. В том числе к их логинам и паролям (которые опять-таки хранились без шифрования), а также чатам, изображениям и видео. Догадываетесь, какие чаты и изображения могут быть в соцсети, посвященной секс-игрушке? Довольно приватные.

Или вот еще проблема: при создании галереи в приложении ей присваивается некоторый ID. Когда вы хотите просмотреть галерею, приложение отправляет запрос, в который в том числе включен этот ID. Для тестовых целей Вернер создал галерею с двумя фотографиями котиков, узнал, какой у нее ID, а потом подумал: а что если изменить в запросе этот ID, скажем, вычтя из него единичку? В результате он получил доступ к чьей-то галерее, в которой были совсем не котики.

Также в приложении можно создать ссылку для удаленного включения устройства, которой владелица гаджета может с кем-то поделиться. Причем когда кто-то использует эту ссылку, никакого подтверждения не требуется — устройство включается сразу же. В ссылке тоже содержится ID. Угадайте, что будет, если вычесть из этого ID единичку? Правильно, вы совершенно без подтверждения включите чье-то чужое устройство, ведь никаких проверок при использовании ссылки не предусмотрено.

Ну а при аутентификации, когда вы входите в приложение на своем телефоне, оно отправляло на сервер запрос, в котором имя пользователя и пароль отправлялись в текстовом виде, без шифрования. В публичной сети перехватить их может любой. Это совсем уж сомнительная практика для наших дней. Нашлись и еще программные уязвимости, но они были не столь значительными. Зато значительных хватало на остальных уровнях — транспортном (то, как устройство обменивается данными) и аппаратном (собственно в «железе» самой секс-игрушки).

Интерфейсная часть: как «порадовать» незнакомку в метро

Как уже упоминалось, Vibratissimo Panty Buster подключается к смартфону при помощи Bluetooth. В данном случае это энергоэффективная версия Bluetooth LE, и она подразумевает наличие одного из пяти методов «спаривания» устройств, то есть обмена ключами между ними для установки соединения. Код для подключения может быть написан на самом устройстве, или, скажем, подключаемое устройство покажет вам его на своем дисплее — и его потребуется ввести на смартфоне. Или же этот код заранее известен (скажем, это 0 или 1234). Также устройства могут обмениваться кодом при помощи интерфейса NFC, ну или никакого обмена может вообще не происходить.

NFC и дисплея у Panty Buster нет, так что эти варианты отпадают. Остается еще два ну хоть сколько-то безопасных варианта, но создатели устройства, видимо, решили максимально упростить подключение и выбрали самый простой и самый небезопасный — никак ключами не обмениваться. Это значит, что если записать команду активации устройства и постоянно отправлять ее, то все оказавшиеся рядом Panty Buster дружно завибрируют. То есть кто-то может просто ходить, скажем, по метро с активированным приложением и «радовать» случайных встречных, кому «посчастливилось» иметь устройство при себе.

Вернер написал простую программу, которая ищет поблизости включенные Bluetooth LE-устройства, опрашивает их, являются ли они секс-игрушками, и если да, то включает их на стопроцентную мощность. Кстати, формально по австрийским законам это не считается изнасилованием. Впрочем, в местном уголовном кодексе все же нашелся параграф и на такие действия тоже, да и в других странах наверняка найдется.

Аппаратная часть: как узнать, что внутри у вибратора

Во-первых, производитель просто не предусмотрел возможность обновления прошивки. Ну, то есть сам производитель может это сделать, а вот пользователь — нет. Узнав об исследованиях Вернера, производитель предложил: а пусть пользователи вернут свои устройства, им обновят прошивку и вышлют обратно. Но вряд ли кто-то будет отправлять свои уже использованные секс-игрушки.

Во-вторых, если вскрыть устройство, то в нем можно найти интерфейсы, которые производитель использовал для отладки — и забыл закрыть. С помощью этих интерфейсов можно выкачать из устройства прошивку и хорошенько ее изучить.

Вместо заключения

Различных проблем в получасовом рассказе Вернера было упомянуто множество, а вот способов их решения он особо не предлагал — просто потому, что их нет. То есть Вернер, конечно, достучался до производителя, и вместе они исправили большую часть проблем — но в приложении и новых устройствах. А вот проблемы на аппаратном уровне в тех устройствах, которые уже проданы, никуда не делись, и ничего поделать с ними нельзя.

Так что вывод здесь один — и мы повторяем его едва ли не в каждом посте про «умные» вещи: прежде чем покупать «умную» вещь, почитайте про нее в Интернете. А главное, десять раз подумайте, действительно ли вам нужны ее умные функции. Может, можно обойтись обычной вещью, которая не подключается к Интернету и не управляется через приложение? Она наверняка окажется безопаснее — и дешевле.

Категории: Новости вендоров

Бот-пенсионер против телефонных мошенников

чт, 10/01/2019 - 15:13

Мы уже не раз писали про телефонное мошенничество. Помните фальшивых сотрудников техподдержки Microsoft, которые пугали людей несуществующими вирусами, обещая, что смогут устранить проблему за скромное вознаграждение? А псевдополицейских, которые звонили родителям и сообщали, что их ребенок якобы в беде? Подобные персонажи вызывают отвращение даже у тех, кто никогда не попадался на их удочку. На хакерском конгрессе 35C3 я попал на доклад, в котором рассказали про потрясающего помощника в борьбе со всеми этими злодеями. Нового супергероя зовут Ленни.

Ленни — незамысловатый голосовой чат-бот, который просто произносит заранее записанные фразы в определенной последовательности, как только собеседник делает паузу. Все реплики Ленни голосом пенсионера читает талантливый актер, а их общая длительность — всего несколько минут. Закончив последнюю фразу, бот заводит ту же шарманку сначала. При этом все реплики звучат настолько реалистично, что телемаркетологи и мошенники ведут разговоры с Ленни по десять-двадцать минут и даже дольше.

Почему они на это ведутся? Во-первых, в арсенале бота есть шаблонные фразы, вроде «Алло, вас плохо слышно», «Минуточку, не кладите трубку» или «Да-да» — набор, который подойдет для любого телефонного разговора. К тому же борец с телефонным мошенничеством умеет ловко и при этом достаточно аккуратно переводить беседу на темы, не имеющие ничего общего с изначальной. Он может, например, начать рассказывать про свою семью и хвастаться умницей-дочкой. Телемаркетологам и телефонным жуликам только и остается выслушивать его старческую болтовню. Вот пример диалога с Ленни (к сожалению, бот умеет разговаривать только на английском):

Мы не знаем создателя Ленни, но он явно разбирается в тонкостях психологии: его творение на удивление хорошо работает против телемаркетологов и мошенников. На YouTube можно найти большую подборку презабавных диалогов с Ленни. Причем самый продолжительный длится почти час. Только представьте: настоящий живой человек вел диалог с «пенсионером» и только спустя 40 минут начал догадываться, что пытается заинтересовать своим предложением автоответчик! Более того, даже после этого оператор продолжила беседовать с ботом и провисела на трубке еще минут двадцать! Возможно, в тот день Ленни спас многих от общения с этим оператором.

В своем докладе на конференции 35C3 Мерве Шаин (Merve Sahin) и Орельян Франсийон (Aurélien Francillon) из компании Eurecom представили результаты анализа нескольких сотен YouTube-роликов с участием Ленни. Они разделили беседы на несколько категорий в зависимости от целей звонящего и выяснили, что средняя длительность разговора для всех категорий составляет чуть больше 10 минут. За это время запись бота проигрывается 1,7 раза.

Телемаркетологи обычно выдерживали болтовню Ленни примерно 12 минут, а вот мошенники оказались менее терпеливыми и вешали трубку в среднем после 7 минут беседы. Но если вы послушаете Ленни, то убедитесь, что даже 7 минут разговора с ботом-пенсионером вполне достаточно, чтобы чувствовать себя полным идиотом весь оставшийся день. Так мошенникам и надо!

Докладчики также отметили, что, в отличие от «специалистов по холодным продажам», у мошенников довольно часто сдают нервы — примерно в 10% случаев они начинают поливать руганью беднягу Ленни и быстрее начинают раздражаться. К счастью, его все это ни капли не заботит. Еще один интересный факт — лишь в 5% звонков собеседники однозначно распознавали в Ленни аудиозапись или бота. Многие телемаркетологи клали трубку, все еще думая, что имеют дело с настоящим человеком, что само по себе прекрасно.

С технической точки зрения бот Ленни представляет собой всего лишь несколько аудиофайлов и ровно четыре строчки кода. К сожалению, его не так просто запустить самостоятельно. Для этого сначала придется обзавестись VoIP сервером Asterisk или Freeswitch — это можно сделать бесплатно, но надо кое-что смыслить в IT. Затем идет установка самого чат-бота: нужно будет скопировать аудиофайлы и вставить программный код в нужное место. Если это вас не пугает, то вы найдете всю необходимую информацию опять же на YouTube — Крис из Crosstalk Solution снял отличное видео, в котором объясняет, как установить Ленни с использованием FreePBX, графического интерфейса для Asterisk.

Ну и на прощание я просто не могу не показать вам еще одно видео, где Ленни показывает себя во всей красе. Жги, Ленни!

Категории: Новости вендоров

SiliVaccine: антивирус из Северной Кореи

сб, 05/01/2019 - 09:00

Однажды исследователям из Cheсk Point написал журналист издания Bloomberg Мартин Уильямс (Martyn Williams), которому некто якобы из Японии переслал северокорейский антивирус. Не так часто увидишь программу из Северной Кореи, поэтому эксперты — Марк Лехтик (Mark Lechtik) и Майкл Кажилоти (Michael Kajiloti) — с радостью согласились исследовать, что же представляет собой антивирус чучхе. О результатах своих исследований они рассказали на хакерском конгрессе 35C3.

Но прежде чем мы перейдем собственно к рассказу о северокорейском антивирусе, стоит сказать несколько слов о том, какие отношения у Северной Кореи с Интернетом, а у Интернета — с Северной Кореей.

Роль Северной Кореи в развитии всемирной сети

Атрибуция, то есть заявление, что такая-то группировка из такой-то страны провела такую-то атаку, дело сложное и ужасно неточное — трудно трактовать улики, легко принять ложные улики за настоящие, ну и так далее. Тем не менее сразу несколько групп исследователей в свое время атрибутировали некоторые атаки именно Северной Корее. Ну и в целом существует своего рода поверье, что в Северной Корее есть отряды государственных хакеров, цель которых — зарабатывать деньги для режима. Официально КНДР это, естественно, отрицает.

При этом как такового Интернета в Северной Корее, в общем-то, и нет: доступ во всемирную сеть есть только у избранных, тогда как основное население страны может выходить только в интранет — внутреннюю сеть под названием Кванмен, куда не попадает информация из загнивающего запада. Ну а загнивающий запад, в свою очередь, не имеет возможности заглянуть во внутреннюю северокорейскую сеть, так что любая возможность краем глаза подглядеть, как оно там, — всегда праздник.

Как корейский антивирус SiliVaccine вообще оказался в руках исследователей

Корейско-японский антивирус

Первый и довольно логичный вопрос: а зачем вообще Северной Корее антивирус, если там нет Интернета? На него есть два ответа. Ответ первый: чтобы защищаться от вирусов, которые попадают в страну на контрабандных флешках с западными статьями, южнокорейскими сериалами и прочей официально недоступной в КНДР информацией. Контрабандные флешки — на удивление распространенное в этих краях явление. Ответ второй, менее очевидный: похоже, что Северная Корея собиралась продавать этот антивирус на международном рынке — на это намекает наличие как минимум у одной из версий англоязычного интерфейса.

Следующий, не менее логичный вопрос: а откуда вообще взялся у КНДР свой антивирус? Ведь это довольно сложный продукт, который с чистого листа в условиях ограниченных ресурсов написать довольно тяжело. Исследователи из Check Point занялись этим вопросом — и пришли к весьма интересным выводам: корейский антивирус образца 2013 года (именно такая версия им досталась) основан на движке известного антивируса Trend Micro, правда, версии 2008 года.

Разработчики северокорейского антивируса явно не хотели, чтобы кто-то копался в коде продукта, поскольку большое количество компонентов было защищено при помощи упаковщика Themida, который сильно затрудняет инженерный анализ файлов. Однако те, кто упаковывал компоненты SiliVaccine, не использовали внушительную часть функций Themida, в результате чего исследователям из Check Point удалось получить доступ к коду программы.

Примерно четверть кода SiliVaccine полностью совпадает с элементами кода антивируса Trend Micro, однако часть функций была немного изменена. Исследователи обратились в Trend Micro с вопросом: откуда бы у Северной Кореи взялся исходный код японского антивируса? На это в Trend Micro ответили, что не знают, как именно в КНДР добыли движок, и считают его использование незаконным, а также упомянули, что этот движок могли в свое время использовать партнеры Trend Micro, распространявшие защитные решения под собственными брендами. Это дает хотя бы намек на то, как исходники могли достаться программистам КНДР.

Официальная реакция Trend Micro на исследование

В Северной Корее же явно хотели скрыть тот факт, что в SiliVaccine используется движок Trend Micro, и провели для этого ряд косметических изменений. Например, на первый взгляд кажется, что у этих антивирусов абсолютно по-разному устроена работа с вирусными сигнатурами: Trend Micro использует единственный файл с сигнатурами, тогда как у SiliVaccine их двадцать. Но при этом оказывается, что при загрузке движка все эти файлы объединяются в один. Ну а сами сигнатуры подозрительно напоминают те, что использует Trend Micro: скажем, если в Trend Micro какой-то зловред имеет сигнатуру TROJ_STEAL-1, то в SiliVaccine у него будет сигнатура Trj.Steal.B. По сути, меняется регистр букв, дефисы и подчеркивания меняются на точки, ну и еще происходит пара мелких изменений.

Также по ходу изучения корейского антивируса исследователи столкнулись с огромным количеством багов и странностей. Например, в антивирусе есть компонент, который должен бы добавлять возможность просканировать файл, если в «Проводнике» нажать на него правой кнопкой и выбрать соответствующий пункт. Пункт в меню действительно есть, но нажатие на него ни к чему не приводит.

Еще странность: вместе с антивирусом поставляется драйвер, который собирает информацию о сетевых подключениях… и ничего с ней не делает. В теории к нему должны бы обращаться какие-то другие файлы, но ни в одном другом файле SiliVaccine обращений к этому драйверу нет.

Какие-то из компонентов оказались зашифрованы при помощи упаковщика BopCrypt, некогда популярного в русскояычной среде — лет эдак 20 назад. Также код некоторых компонентов выглядит очень мусорным. Создается впечатление, что основное занятие части файлов — просто тратить время. Также у исследователей сложилось мнение, что авторы как минимум части компонентов SiliVaccine позаимствовали чужие файлы, попробовали провести реверс-инжиниринг, но не разобрались до конца в том, как же этот код работает.

Наконец, похоже, что люди, которые писали разные части кода, не очень хорошо умеют работать вместе. Скажем, один файл вызывает функцию второго файла с некоторым параметром, тогда как во втором файле специально указано, что, если значение этого параметра именно такое, то функция ничего не делает.

В общем, северокорейский антивирус SiliVaccine оказался изрядно переработанным антивирусом Trend Micro с кучей багов.

А не зловред ли это?

Третий вопрос, который закономерно возникает у людей, знакомых с внешней интернет-политикой КНДР: а не троян ли этот антивирус на самом деле? Не должен ли он подсаживать вам зловредов или делать еще что-нибудь в таком духе? В Check Point попытались ответить и на этот вопрос тоже.

Результаты опять-таки оказались интересными. Начнем с того, что сам по себе антивирус SiliVaccine вроде бы не зловреден. То есть никаких вредоносных возможностей в нем найти не удалось. Но по каким-то причинам в исполняемых файлах упоминается некая одна сигнатура, которую антивирус должен игнорировать. То есть если при проверке файла он оказывается зловредом с такой сигнатурой, то SiliVaccine его просто пропускает.

SiliVaccine игнорирует вредоносный файл с определенной сигнатурой

Естественно, исследователям стало интересно, что это за зловред такой, и они попытались сопоставить эту сигнатуру из базы SiliVaccine с соответствующей сигнатурой Trend Micro. Но выяснилось, что это эвристическая сигнатура, то есть она присваивается всем файлам, ведущим себя определенным образом, так что понять, какой именно зловред северокорейский антивирус должен пропускать, не удалось. Зато исследователи обнаружили, что в одном месте разработчики SiliVaccine опечатались, и в белый список отправилась вообще несуществующая сигнатура.

И хотя сам установщик SiliVaccine оказался незловредным, в архиве, который журналист Bloomberg получил от неизвестного якобы инженера из якобы Японии, был еще один файл. Название которого намекало на то, что это патч для SiliVaccine, а вот метаданные утверждали, что он якобы связан с автоматическим обновлениями Microsoft.

В архиве, который получил журналист Bloomberg, также обнаружился зловред, связанный с APT DarkHotel

Проанализировав этот файл, исследователи из Check Point выяснили, что это зловред под названием Jaku, обнаруженный в 2016 году компаний Forcepoint. Ну а Forcepoint в своем исследовании поясняет, что, во-первых, Jaku использовался против отдельных личностей, так или иначе связанных с Северной Кореей, а во-вторых, говорит о явной связи Jaku с DarkHotel — корейскоязычной группировкой, исследование деятельности которой мы публиковали в 2014 году.

Мартин Уильямс — журналист Bloomberg, получивший письмо с SiliVaccine — много пишет о Северной Корее, поэтому исследователи предположили, что вся эта затея с письмом с антивирусом могла быть целевой атакой против него: вряд ли его труды нравятся вождям КНДР. Ну а антивирус SiliVaccine, похоже, настоящий и, возможно, действительно используется в Северной Корее в качестве антивируса — за неимением лучших альтернатив.

Категории: Новости вендоров

Спектрология: аппаратные уязвимости процессоров в 2019 году

пт, 04/01/2019 - 09:00

На 35-м Chaos Communications Congress, спустя почти год после первой публикации об аппаратных уязвимостях процессоров, получивших названия Meltdown и Spectre, группа исследователей из технологического университета Граца (Австрия) рассказала о том, как сейчас обстоят дела с аппаратными уязвимостями в процессорах. Спойлер: теперь их известно намного, намного больше.

Кратко объясняем суть Meltdown и Spectre

Для начала немного напомним, что это за звери такие — Meltdown и Spectre —и чем они различаются.

Уязвимость Meltdown возникла из-за того, что современные процессоры умеют обрабатывать инструкции вне очереди. Это очень удобно и действительно ускоряет обработку кода, вот только в некоторых случаях процессор успевает обработать тот код, который на самом деле выдает ошибку и который не надо было выполнять. То есть сначала процессор исполняет код, а потом уже выясняется, что эту операцию выполнить невозможно — и такие ситуации случаются именно из-за выполнения инструкций вне очереди.

Конечно, потом результаты этой операции никуда не идут и нигде не используются, но они оставляют следы на микроархитектурном уровне — в кеш-памяти процессора. И их можно оттуда извлечь. Например, это приводит к тому, что из кеша можно достать те данные, к которым не должно быть доступа: скажем, извлечь оставшийся там пароль. Это выглядит так: программа запрашивает доступ к этим данным в памяти — на это она получит вполне резонный ответ от системы, что доступ к ним ей не полагается. Но при этом из-за выполнения операций вне очереди пароль все же будет загружен в кеш, откуда его в результате вполне можно выудить. В общем, Meltdown может возникнуть при попытке выполнить недозволенное действие.

Уязвимость Spectre похожа на Meltdown, но имеет другую причину, впрочем, тоже относящуюся к способам ускорения вычислений в процессоре — она возникла из-за наличия в современных процессорах предсказания ветвлений. По сути, процессор умеет предсказывать с определенной точностью, что после действия A обычно идет действие B, и успевает сделать действие B еще до того, как будут ясны результаты действия A. Если и правда надо было делать B, то все хорошо, ну а если результаты A оказываются такими, что после A нужно было выполнять не B, а C, то процессор забрасывает ту ветвь, где он сделал операцию B, и переходит к другой ветви, где надо делать C.

Поскольку блок предсказания ветвления обучаем, то в большинстве случаев он запоминает закономерности в последовательностях действий — и оказывается, что предсказание ветвлений действительно ускоряет работу (если несколько раз после А надо было делать B, то процессор логично предположит, что и в этот раз после А надо делать именно B). Однако неправильные предсказания тоже случаются (иногда все же надо делать не B, а C, хотя блок предсказания помнит, что после А чаще идет B).

Если долго тренировать систему, показывая ей, что определенная ветвь является правильной и всегда выполняется, а потом поменять параметр так, чтобы она оказалась неверной, то процессор все равно ее сначала выполнит, а затем отменит, поскольку выяснит, что выполняться должна была другая ветвь. Но, как и в случае с Meltdown, результат действия останется, например, в кеш-памяти, и его опять-таки можно будет оттуда извлечь.

Последствия у этой проблемы примерно те же: возможность получить несанкционированный доступ к данным. Spectre может возникнуть только при неправильном предсказании ветвлений — а оно, в свою очередь, возникает просто по теории вероятности.

Год спустя

После обнаружения первых Meltdown и Spectre исследователи стали намного активнее копать в этом направлении и вскоре нашли похожие проблемы, но чуть отличающиеся в деталях. Оказалось, что разработчики процессоров используют и другие оптимизации, которые приводят к появлению Meltdown-подобных или Spectre-подобных уязвимостей. Исследователи из университета Граца упоминают 14 вариаций Meltdown-подобных уязвимостей и 13 Spectre-подобных уязвимостей, итого целых 27 штук разных аппаратных уязвимостей в процессорах — против всего двух из тех же семейств на начало 2018 года.

Классификация найденных за год вариаций Meltdown и Spectre

Более того, хотя раньше, например, AMD заявляла, что ее процессоры не подвержены уязвимостям класса Meltdown, исследователи смогли обнаружить вариант Meltdown (его назвали Meltdown-BR), который очень даже работал на процессорах AMD. То есть на текущий момент процессоры трех крупнейших мировых разработчиков — AMD, ARM и Intel — подвержены как Meltdown, так и Spectre. Ну или как минимум каким-то из вариаций обоих семейств уязвимостей.

По счастью, немалая часть из всех многочисленных найденных вариаций вообще не работает ни на ARM, ни AMD, ни на Intel — по крайней мере исследователям не удалось заставить их работать. Впрочем, большая часть все же работает хоть где-то.

Еще в январе 2018-го компании начали выпускать патчи для микрокода процессоров, операционных систем и отдельных программ, которые в теории должны были закрыть эти уязвимости. Но к сожалению, Spectre и Meltdown — это аппаратные уязвимости, они существуют на уровне компьютерного «железа», и программными заплатками их полностью просто не исправишь.

Например, одна из «заплаток» была реализована в ядре операционной системы Linux, но, поскольку она очень сильно замедляла работу компьютера, через некоторое время ее удалили из кода системы — с обещаниями, что появится более эффективный патч.

Ну и в целом проблема со Spectre состоит в том, что уязвимыми оказываются разные микроархитектурные компоненты, и для каждого нужно изобретать свой патч. А каждый такой патч негативно влияет на производительность, поскольку требует либо отключения каких-то функций, либо выполнения дополнительных действий.

Собственно, во многих случаях патчи влияют на производительность настолько катастрофическим образом, что система с патчами работает медленнее, чем система, в которой вообще отключены уязвимые компоненты процессора.

Радикальный способ решения проблемы — удаление уязвимой части процессора с помощью высверливания в отмеченном месте (на самом деле это шутка)

Будущее Spectre и Meltdown

В октябре 2018-го Intel объявила о том, что в новых процессорах (речь про поколение, которое появится в 2019 году) на аппаратном уровне будет реализована защита от Spectre и Meltdown. Правда, речь шла всего про две «базовые» версии уязвимостей, а их, как мы выяснили выше, куда больше. AMD также собирается залатать одну из вариаций Spectre в новом поколении процессоров с архитектурой Zen 2, которое должно выйти в 2019-м. ARM тоже обещает исправления на аппаратном уровне, заявляя, что «все грядущие процессоры будут защищены от Spectre-подобных атак».

Это все, конечно, хорошо, вот только речь идет именно о новых устройствах. Тем же, кто приобрел компьютер, смартфон или какое-то другое устройство на базе процессоров Intel, AMD или ARM в 2018 году или раньше, остается устанавливать патчи для всего на свете, которые ощутимо снижают производительность. Вероятно, делать это будут далеко не все.

Производители слишком долго игнорировали уязвимости на аппаратном уровне, оптимизируя процессоры исключительно для повышения производительности, но все такие оптимизации оказываются не совсем бесплатными — что-то удалось улучшить, но где-то при этом добавились проблемы. Теперь же устранять эти уязвимости будет довольно тяжело — слишком уж на глубинном уровне они находятся. Впрочем, и эксплуатировать такие уязвимости довольно непросто — и на это вся надежда. По крайней мере до выхода новых поколений процессоров.

Категории: Новости вендоров

Еврождество

вт, 25/12/2018 - 16:18

Граф Дракула сделал последний глоток и аккуратно положил тело на лавочку. Несколько капель крови скатились по клыкам и неаккуратным пятном легли на его плащ. Дракула поморщился. В этом году ему предстояло еще одно дело — нужно было зайти в официальное учреждение. И он предпочел бы обойтись без подозрительных пятен. Хорошо хоть плащ черный.

Дракула снял плащ и повесил его через руку. А потом достал из рукава свиток и быстрым шагом пошел в сторону здания с вывеской «Европейская комиссия по делам вымышленных существ».

Мужчина за столом оторвал взгляд от бумаги и посмотрел на Дракулу.

— GDPR, значит? — он изменил тембр, придав голосу идиотское звучание и произнес: — «Санта-Клаус собирает персональные данные бедных детишек с неизвестными целями, хранит эти данные, профилирует детей по их поведению и все такое…». Считаешь себя большим оригиналом? — добавил он уже нормальным голосом.

— Но ведь данные… — промямлил граф.

— Да эту ерунду про GDPR и Санта-Клауса нам приносят примерно с того самого дня, как эту инициативу анонсировали. Только ленивый еще не накатал кляузу. — Еврокомиссар выдвинул ящик стола, в котором была внушительная стопка бумаг и смахнул жалобу Дракулы внутрь.

Комиссар посмотрел на часы в ноутбуке, а затем сложил его и взял с собой:

— Данные собирает. Пойдем я тебе кое-что покажу. Чисто из уважения к древности рода.

Вдвоем они подошли к двери хранилища. Еврокомиссар распахнул ее и жестом предложил:

— Прошу!

Хранилище занимали полки с разноцветными папками. Многие по виду были старыми. На них стояли грифы секретности на разных языках. Комиссар подошел к крайнему стеллажу, уходящему куда-то в бесконечность, и хлопнул по нему рукой:

— Незаконное проникновение. Нарушение неприкосновенности жилища. Чаще всего через дымоход. Даже в домах, где дымохода отродясь не было. Некоторые из этих дел заведены в таких местах, что даже думать об их существовании — угроза национальной безопасности.

Он прошел еще несколько шагов и указал на стеллаж поменьше:

— Нарушение границ воздушного пространства. Полеты без транспондера. Несогласованные полеты.

Комиссар ткнул пальцем на стеллаж с папками салатового цвета:

— Это жалобы «зеленых». Жестокое обращение с животными. Он заставляет оленей летать, видите ли. Плюс требуют оказать срочную медицинскую помощь Рудольфу, потому что красный нос — это ненормально.

Дракуле было не по себе. Он озирался на бесконечные полки с бумажными папками. Комиссар же явно входил в раж. Подойдя к очередному стеллажу, он достал папку, раскрыл ее и начал зачитывать: «Да будет вам известно, Клаус — это НЕМЕЦКАЯ форма имени Николас. Допустимо ли, чтобы сейчас, в 1944 году, по домам офицеров британской армии ходил человек с немецким именем Клаус…», — он положил папку на место и взял другую, с соседней полки. — А, вот, мое любимое! Времен холодной войны! «А задумывались ли вы, почему Санта-Клаус всегда ходит в КРАСНОМ?! Агенты коммунизма, летающие над нашими домами, подрывают устои. А в то же время крупнейший магазин Москвы, торгующий игрушками и товарами для детей, находится на площади Дзержинского, бывшей Лубянке, а в соседнем здании расположено главное управление КГБ СССР. Так что надо еще узнать, где он там берет эти свои подарки…».

— Но ведь это все история… — попытался встрять Дракула. — Сейчас речь идет совершенно не об этом. В век цифровой революции…

Цифровой век? Ты хочешь поговорить о цифровом веке? Да пожалуйста! — комиссар рывком распахнул ноутбук, поставил его на одну из полок и вывел на экран какой-то документ. — Вот, читай!

Дракула приблизился к экрану и посмотрел в текст:

«Я работаю на сверхсекретное учреждение, название которого я не имею права раскрывать. Часто я работаю дома с сверхсекретной информацией, о природе которой я не могу говорить. При этом мой компьютер остается включенным на ночь, в том числе и на Рождество. Поэтому я уверен, что Санта-Клаус мог получить доступ к исходному коду, назначение которого я не могу раскрывать. Более того, он мог передать этот код в руки людей, представляющих угрозу нацбезопасности».

— Ну, это идиотизм какой-то, — нерешительно промямлил Дракула.

— Это идиотизм? Нет, это еще более-менее вменяемая жалоба. Вот это — идиотизм! — Комиссар открыл другой файл. На этот раз текст представлял собой скан рукописного текста с корявой подписью: «Да будет вам известно, Санта-Клаус имеет удостоверение личности гражданина Российской Федерации на имя Деда Мороза. Таким образом он, прикрываясь легендой корпоратива, имеет возможность проникать на территорию офисов компаний, работающих в сфере информационной безопасности. Более того, мы уверены, что он может получить несанкционированный доступ к данным клиентов этих компаний и передать их третьим лицам.

Анонимные экс-эльфы фабрики Санта-Клауса»

— Так что, дорогой мой граф, вы не уникальны, — улыбнулся комиссар, закрывая ноутбук. — Вас таких много. Поводы меняются, а суть у всех жалоб одна — вам главное праздник испортить. Но даже если бы я захотел — а я разумеется не хочу, — прижать Санту не получится. По всему миру работает огромная сеть его имперсонаторов. И как только кто-то пытается предъявить конкретное обвинение, оказывается, что в этом случае действовал совершенно другой человек в костюме Санта-Клауса. А c GDPR и вовсе пустой трюк. Вы вообще знаете, что пишут Санте современные дети? Вот, почитайте, — комиссар протянул Дракуле исписанную детским почерком бумагу.

Там было написано:

«Дорогой Санта! От своего имени, а также от имени и по поручению моего четырехлетнего брата Маркуса, разрешаю тебе сбор, обработку и хранение наших персональных данных с целью подбора и доставки рождественских подарков. Нотариально заверенные копии разрешения, подписанные нашими родителями как законными представителями наших интересов, прилагаются. Подари мне, пожалуйста, гироскутер, а моему брату удочку или конструктор.

Аманда, 7 лет».

Дракула изрядно помрачнел.

— А откуда у вас это письмо? Вы влезаете в тайну переписки? Это вообще законно? — огрызнулся он.

— Думаешь, ты тут самый умный?! — побагровел комиссар. — Тайна переписки! GDPR! Ты думаешь, что понимаешь, как работает GDPR? Что ты там — кровь сосешь? А ты знаешь, что в крови содержится ДНК? А это, между прочим, генетические персональные данные, входящие в перечень Special categories of personal data. А ты их мало того, что собираешь, то есть выступаешь как контроллер данных, так еще и хранишь, а может быть, даже обрабатываешь!

— Я не обрабатываю! Я даже не профилирую по вкусу! — испуганно закричал граф, инстинктивно выставляя вперед руку, через которую все еще был перекинут плащ.

— А это что?! — закричал еврокомиссар, тыкая пальцем на потеки крови. — УТЕЧКА ДАННЫХ?! Ты хотя бы известил надзорные органы?

В этот момент забытый ноутбук на полке звякнул уведомлением о новом письме с каким-то отчетом. Но внимание Дракулы привлекла первая фраза письма: «Уважаемый комиссар Ван Хелсинг…»

— Ты! — презрительно процедил Дракула. — Мне нужно было сразу догадаться. Твой чеснок и осиновые колья не взяли меня в прошлый раз, не подействуют и теперь…

— О, в этот раз у меня припасено гораздо более смертельное оружие. Посмотрим как ты справишься со штрафами за утечку данных. А это, для начала, 10 миллионов евро или 2% от твоего глобального годового оборота за предыдущий финансовый год, смотря что больше. — ответил Ван Хелсинг.

Категории: Новости вендоров

Жулик к нам приходит: каких писем стоит опасаться в праздничный сезон

вт, 25/12/2018 - 15:11

Канун зимних праздников — горячая пора для спамеров. Количество рассылок перед праздниками традиционно растет. Что более неприятно — среди обычного, «честного» спама чаще встречаются и откровенно мошеннические рассылки, главной целью которых является установка на компьютер получателя вредоносных программ, кража аккаунтов в популярных онлайн-сервисах или выманивание денежных средств.

У мошенников есть проверенный годами способ добиться поставленных целей — это использование известных брендов для придания сообщениям правдоподобности. Все мы привыкли к тому, что в преддверии праздников многие компании устраивают распродажи, проводят акции, раздают скидки и даже подарки, так что разные приятные предложения не вызывают подозрений. Рассказываем, какие мошеннические письма сейчас наиболее популярны и как их распознать.

1. Мошеннические опросы и призы, за получение которых нужно заплатить комиссию

Мы уже не раз писали про мошеннические опросы — например, когда их массово рассылали от имени российских операторов связи. Эти опросы могут быть приурочены к любой теме: громкому событию, выдуманной акции и даже простой раздаче несуществующих подарков и выигрышей. И предстоящие праздники не стали исключением. Мошенники рассылают поддельные поздравления от имени известной организации и предлагают ценные подарки — а чтобы узнать, какой именно, необходимо «пройти викторину». Таким образом спамеры заманивают пользователей на мошеннические сайты.

На сайте пользователю необходимо ответить на несколько вопросов якобы для «улучшения качества услуг». Это выглядит достаточно правдоподобно, ведь действительно некоторые компании используют опросы для того, чтобы получать обратную связь пользователей для улучшения сервиса.

В качестве подарка пользователю предлагают крупную сумму денег, которую можно будет получить, ответив на несколько вопросов. Однако забрать заветный подарок можно только после оплаты комиссии. Итог участия в подобных опросах один — пользователи переводят деньги в качестве так называемой комиссии на счет мошенников и никогда не получают обещанных подарков. А попутно еще и предоставляют мошенникам данные своей карты.

2. Праздничные купоны с вирусами

Спамеры, рассылающие сообщения с вирусными вложениями, также нередко имитируют праздничные акции известных брендов. Например, опасные вложения могут маскироваться под бесплатные купоны на скидки, розыгрыши призов и прочие выгодные предложения.

Для придания поддельным сообщениям правдоподобного вида мошенники могут использовать похожий на настоящий адрес отправителя. Однако это отнюдь не свидетельствует о том, что письмо действительно отправлено известной компанией, ведь адрес отправителя можно легко подделать, как и оформление письма.

Наличие вложения сразу должно стать тревожным сигналом: праздничные купоны вряд ли будут рассылаться таким образом, а вот вредоносные файлы так рассылаются всегда. Задача мошенников состоит в том, чтобы придумать правдоподобный повод, который заставит получателя распаковать вложенный в письмо архив и запустить опасные файлы, которые в нем содержатся.

3. Поддельные интернет-магазины, банки и сервисы онлайн-оплаты

Традиционно во время праздников увеличивается число сайтов-подделок, имитирующих популярные онлайн-магазины. Часто фальшивые интернет-магазины сложно отличить от официальных. Поэтому при поиске подарков аккуратно выбирайте сайт, на котором вы собираетесь их приобрести. Иначе есть риск не только не получить товар, но и потерять деньги на банковской карте из-за того, что ее данные будут украдены мошенниками.

Мошенники используют старые уловки: регистрируют домены, похожие на адреса официальных сайтов, полностью копируют контент официальных ресурсов и завлекают пользователей невероятно щедрыми скидками и заманчивыми предложениями. На сайтах подобного рода пользователь рискует потерять не только персональные данные, но и денежные средства со счетов.

Помимо онлайн-магазинов мошенники не перестают подделывать сайты популярных банков и платежных систем. Пугая пользователей блокировками аккаунтов, потерей денежных средств или подозрительными транзакциями на их счетах, злоумышленники побуждают ввести данные банковского аккаунта в фейковые формы.

Вот несколько советов, как не попасть в неприятную ситуацию в канун праздников и как чувствовать себя безопасно в онлайн-пространстве

  1. Относитесь с осторожностью ко всем письмам: даже если на первый взгляд письмо пришло от известной компании, это может быть подделкой.
  2. Обращайте внимание на детали письма, наличие вложений и подозрительных ссылок. Проверяйте на официальных сайтах, проводятся ли те акции и существуют ли те купоны, о которых говорится в письмах.
  3. Подозрительные, пусть и небольшие комиссии за получение выигрышей и призов — это несомненный признак мошенничества. Даже если объяснение причин оплаты комиссии выглядит вполне логично.
  4. Всегда проверяйте в адресной строке браузера, на каком сайте вы на самом деле оказались. В спорных ситуациях — например, когда вы попали на отдельный сайт акции, а не на основной сайт компании — можно проверить информацию о домене. В этом случае особое внимание надо обращать на то, когда и на кого зарегистрирован этот домен. Есть еще несколько проверок, которые помогают вывести интернет-мошенников на чистую воду.
  5. Используйте надежные защитные решения со встроенной защитой от спама и фишинга.
Категории: Новости вендоров

Вымогательство «для взрослых»

пт, 21/12/2018 - 09:00

В один прекрасный — ну или не очень прекрасный — день вы просматриваете почту и обнаруживаете там письмо, которое начинается примерно так:

«Кажется, ********** — это ваш пароль. Вы меня не знаете и наверняка очень удивились, получив это письмо. Дело в том, что я взломал порносайт, на который вы заходили…».

Или так:

«Я взломал этот почтовый ящик и заразил вашу операционную систему вирусом…».

Или:

«Я — член международной хакерской группировки. Как вы можете догадаться, ваш аккаунт был взломан…».

Вариантов на самом деле множество. Но в итоге все сводится к тому, что автор письма якобы взломал какой-то из ваших аккаунтов или разместил вредоносную программу на порносайте и заразил ваш компьютер. Получив полный доступ к вашему устройству, он, дескать, смог собрать все ваши контакты из электронного ящика, социальных сетей, мессенджеров и телефонной книги. А также использовал вашу веб-камеру для того, чтобы сделать видео: на нем одну часть картинки занимает просматриваемый вами ролик, а вторую — ваша реакция на него.

Злоумышленники угрожают отправить видео всем вашим друзьям и коллегам. Если вы не хотите, чтобы это случилось, они требуют, чтобы вы перевели некую сумму в криптовалюте на анонимный кошелек.

Некоторые мошенники дают вам на это несколько суток, уверяя, что точно знают, когда вы прочли письмо: в нем якобы содержится «особый пиксель», позволяющий им проследить за тем, что письмо прочитано. Иногда, чтобы окончательно убедить вас в существовании компрометирующего видео, вам предлагают ответить на сообщение — тогда мошенники отправят ролик нескольким избранным знакомым.

Разумеется, в случае оплаты вам обещают немедленно уничтожить видео и базу контактов ваших родных и друзей.

Успокойтесь, вас никто не снимал

На самом деле ни всемогущего «вируса», ни постыдного ролика не существует в природе. Откуда же кто-то знает ваш пароль? А все очень просто: вымогатель пользуется одной из многочисленных баз данных, продающихся в даркнете, в которых содержатся учетные записи и пароли, утекшие из разнообразных интернет-сервисов. Увы, такие утечки не редкость — только в США за неполный прошлый год утекло не менее 163 млн записей.

Что касается информации о просмотре видео для взрослых, то вымогателю про это ничего не известно. Это массовая рассылка — он отправляет аналогичные письма тысячам или даже миллионам людей, автоматически подставляя в письмо пароль адресата из базы (или какие-то другие «личные» подробности). Мошеннику будет вполне достаточно, если хотя бы пара десятков из получивших письмо с угрозой согласится заплатить.

То же самое можно сказать про обещание выслать видео трем-пяти вашим друзьям. Мало кому захочется проверять, что компромат действительно существует, таким образом. Большинство людей предпочтет не рисковать даже ограниченным разглашением своей тайны.

Вымогательское письмо — и троян-шифровальщик в подарок

Впрочем, недавно мошенники придумали еще более эффективный способ заставить вас заплатить: в начале декабря исследователи из Proofpoint обнаружили рассылку, в которой жертве предлагают лично убедиться в существовании видео, не привлекая знакомых. Для этого достаточно перейти по ссылке в письме.

Естественно, если вы это сделаете, то никакого ролика не найдете. Вместо этого вам предложат скачать ZIP-архив – а вот если его распаковать и запустить его содержимое, то вы заразите свою систему уже по-настоящему.

Нет, ролик о том, как вы смотрите порно, злоумышленники все равно не снимут. Они просто зашифруют все ваши файлы при помощи зловреда GandCrab. И снова потребуют выкуп в криптовалюте — теперь уже за восстановление данных.

Что делать?

Чтобы не стать жертвой мошенников-вымогателей, рекомендуем проявлять осторожность и соблюдать несколько простых правил. Итак, чего делать не надо:

  • Прежде всего — не паникуйте и ни в коем случае не платите вымогателям!
  • Не рекомендуем отвечать на вымогательское письмо — так вы только покажете, что ваш адрес действующий, и подобные «деловые предложения» будут приходить чаще.
  • Не переходите по ссылкам в подобных письмах: ничего хорошего вы там не найдете. В лучшем случае вас завалят рекламой, в худшем — загрузите вирус.

А вот что сделать стоит:

  • Если вы все еще используете присланный в вымогательском письме пароль на каких-то ресурсах, обязательно смените его. И лучше сразу придумать пароль понадежнее.
  • Если же вы боитесь, что не запомните новый пароль, за вас это сделает менеджер паролей, например Kaspersky Password Manager.
  • Также не повредит завести надежный антивирус.
Категории: Новости вендоров

Открытое письмо коллегам из российского представительства BitDefender

чт, 20/12/2018 - 19:39

Обновление от 21.12.2018: Все посты на блоге BitDefender, на которые мы ссылаемся в этом посте, более не существуют. Благодарим коллег из BitDefender за понимание.

Добрый день, коллеги! С наступающим! Для компаний конец года всегда время непростое — это период подведения итогов, планирования бюджетов и так далее. Поэтому мы решили именно сейчас обратить ваше внимание на такую проблему: людям, которые ведут ваш новостной блог, платят либо слишком мало, либо слишком много.

Поясняем мысль. Они, мягко говоря, заимствуют чужой контент, неумело маскируя этот факт использованием синонимов и изменением логики. От этого не меняется структура текста, а вот смысл (да и орфография) иногда страдает.

Взять, например, наш блогпост про троян Rotexy, вышедший 22 ноября. После обработки его вашими умельцами 27 ноября троян начал местами называться Roxety (только в заголовке и в первом абзаце — дальше по тексту осталось изначальное название), а советы перешли в разряд абсурда.

Пост про зловред Rotexy: было у «Лаборатории Касперского», стало у BitDefender

3 декабря вы позаимствовали наш пост про опасность внешнего IP-адреса, вышедший 26 ноября. 19 декабря опубликовали пересказ материала «Почему нельзя использовать один и тот же пароль для нескольких сервисов», вышедший у нас 4 декабря. Ну и сегодня вышли с ремейком поста «Почему нельзя вводить чужой Apple ID на своем айфоне», который у нас висит уже почти неделю.

Пост про опасности внешнего IP-адреса: было у «Лаборатории Касперского», стало у BitDefender

Пост про чужой Apple ID: было у «Лаборатории Касперского», стало у BitDefender

Если у команды вашего блога просто не хватает средств для создания оригинального контента, то такой подход, конечно, можно объяснить. Если же вы платите им достаточно, то, кажется, самое время воззвать к их совести. В цивилизованном мире так поступать не принято. Если уж вы заимствуете контент, то хотя бы ставьте ссылку.

Всего вам хорошего! Счастливых праздников!

Редакция блога Kaspersky Daily.

Категории: Новости вендоров

Злые новогодние подарки и поздравления от спамеров

чт, 20/12/2018 - 09:00

Любые праздники — это всегда хлопоты, а Рождество и Новый год, пожалуй, самые хлопотные из всех: тут и покупка подарков, и планирование мероприятий, и попытки наготовить еды на неделю вперед, и надо еще не забыть поздравить всех близких и друзей. Для мошенников это тоже праздник — из-за большого количества дел и спешки люди теряют бдительность, и в результате их легче обвести вокруг пальца. Рассказываем про два актуальных среди мошенников в нынешнем сезоне способа зарабатывать на жертвах, с головой ушедших в подготовку к рождественским каникулам.

Вирусная подарочная карта

В современном мире подарочные карты магазинов стали универсальным подарком: не знаешь, что подарить — подари карту популярного магазина на какую-нибудь сумму денег. А если вам досталась карта какого-то магазина, который вас не очень привлекает, то ее всегда можно передарить.

Поэтому когда вам приходит письмо о том, что кто-то неизвестный презентовал вам карту, скажем, Amazon или Apple, это кажется весьма приятным событием. Правда, тут стоит задуматься, с чего вдруг этому неизвестному человеку дарить вам недешевую карту?

Первое, что вызывает подозрения в таком письме, — адрес, с которого его отправили. Письмо выглядит так, как будто оно пришло от самого сервиса, будь то Apple, Amazon или какой-то еще магазин, но при этом в адресе отправителя отчетливо виден публичный почтовый сервис а-ля Gmail или Hotmail.

Вторая причина для сомнений — вложение. Как следует из письма, получить подарочную карту можно, выполнив указания из инструкции, которая находится во вложении, — к письму действительно приложен doc-файл. Вот только это не инструкция, а троян Trojan-PSW.Win32.Azorult.

И не стоит думать, что вложения в формате doc безобидны — в них могут быть макросы, которые скачивают вредоносное ПО. Стоит отметить, что в последнее время в электронной почте можно встретить вложения самых разных расширений (zip, rar, pub, pif, ace и так далее), и то, что вам незнакомо какое-то вложение или, наоборот, вы часто работаете с такими файлами, не может быть гарантией безопасности.

В общем, нет, случайный благожелатель не прислал вам подарочную карту — это опять мошенники, которые пытаются подсунуть вам троян. Троян же попытается украсть ваши аккаунты и личные данные, что вряд ли станет для вас приятным подарком на Рождество. Игнорируйте такие письма как спам.

Открытка со зловредом

Электронные поздравительные открытки достаточно популярны среди пользователей Интернета — их удобно разослать всем знакомым и с чистой совестью считать задачу «поздравить всех» выполненной. Вот только не всегда такие открытки содержат именно поздравления. Под видом поздравительных открыток мошенники могут рассылать вредоносные файлы, например банковский троян Trojan-Banker.Win32.Emotet.

Чтобы распознать подделку, необходимо в первую очередь обращать внимание на адрес отправителя. Если он вам незнаком, то лучше сразу удалить письмо и ни в коем случае не открывать вложения. Если письмо отправлено с известного вам адреса, но написано не в стиле отправителя или нетипично для него, то спешить открывать вложения тоже не стоит. К сожалению, взломать чужой аккаунт в большинстве случаев не так уж сложно, а разослать с него вредоносные письма по списку контактов — еще проще. В общем, с открытками надо быть осторожнее, особенно если это не просто картинка в формате JPEG или PNG.

Существуют и специальные сервисы, при помощи которых пользователи могут отправить поздравительные открытки друзьям, близким и знакомым — причем массово, что особенно удобно. Этим умело пользуются и злоумышленники. Напомним, что известные компании для мошенников — это всего лишь эффективное средство обмана, а популярность подобных поздравлений только увеличивает шансы на успех. Кроме того, подделать сообщение от имени известных сервисов не так уж сложно.

Поэтому, если вы получили поздравительную открытку якобы от имени известного сервиса, но адрес отправителя не похож на адрес этого самого сервиса или же сама открытка находится во вложении, но в письме не сообщается, от кого она пришла, то открывать такое письмо не стоит, а уж запускать вложение — тем более. С большой вероятностью там находится вредоносный файл, например Backdoor.Win32.Androm, который превратит ваш компьютер в часть ботнета.

Что делать

Чтобы зловредные активности мошенников не испортили вам праздники, советуем не терять бдительность и следовать вот этим правилам:

  1. Будьте предельно внимательны и не открывайте вложения из подозрительных писем, даже если в них говорится о, казалось бы, безобидных подарках и поздравительных открытках. Письмо следует считать подозрительным, если оно отправлено кем-то неизвестным, анонимно или выглядит так, будто его отправил какой-либо известный сервис, хотя адрес отправителя говорит о том, что это не так.
  2. Не верьте письмам, в которых говорится о неожиданных подарках, призах и выигрышах, даже если они приурочены к наступающим праздникам. Это лишь очередная уловка злоумышленников. Исключение — письма от официальных магазинов со скидками и купонами (но ничего полностью бесплатного они вам никогда не предложат).
  3. Используйте проверенные защитные решения, у которых есть антиспам-модуль.
Категории: Новости вендоров

Как не стать спамером

ср, 19/12/2018 - 18:27

Массовая рассылка писем — далеко не всегда зло. Иногда это бизнес-необходимость. Как еще срочно оповестить всех клиентов о внезапно возникшей проблеме? Или разослать всем заинтересованным повестку конференции? Вот только бдительные спам-фильтры не всегда могут отличить нужную рассылку от спама. Иногда в этом виноваты излишне параноидальные настройки фильтров, но чаще проблема в самом письме. Давайте попробуем разобраться, как правильно разослать письма так, чтобы их не сочли нежелательными.

Чтобы сообщение благополучно прошло антиспам-фильтр, оно должно соответствовать нескольким критериям. Во-первых, оно должно быть безупречно с технической точки зрения, во-вторых, иметь «чистый» контент, а также незапятнанную репутацию. Разберем подробнее, что это значит.

Технические заголовки

Существует почтовый стандарт RFC, который описывает, как нужно пересылать по электронной почте различные типы данных (текстовые файлы, исполняемые, графические, мультимедийные). Сообщения должны строго соответствовать этому стандарту, особенно те поля, которые считаются обязательными. Отсутствие или некорректное оформление этих полей немедленно вызовет подозрения у фильтра.

Даже в легальных почтовых клиентах есть возможность подменять или заполнять рандомно некоторые поля заголовков. Однако слишком частое изменение таких полей или даже их нетипичный вид могут стать причиной блокировки. Например, постоянная смена имени отправителя и использование адресов типа [email protected], похожих на сгенерированные случайным образом наборы символов, наверняка посчитаются подозрительными. Как и логическое несоответствие доменов адреса отправителя другим заголовкам сообщения.

Также сообщения должны содержать корректные SPF-записи и DKIM-подписи. Эти технологии дают возможность проверить, не подделан ли домен отправителя и действительно ли сообщение пришло с него. Такой подход упрощает борьбу с поддельными адресами отправителей — на подлог фильтры реагируют особенно чутко.

Кроме того, в массовых рассылках следует проставлять заголовок Precedence:bulk, который указывает на данный тип рассылки. При этом в письме необходимо указать ссылку на механизм удаления из рассылки и отразить это в заголовке List-Unsubscribe. Ссылка должна быть легко распознаваемой, процесс удаления не должен вызывать трудностей у пользователей.

В легальных инструментах рассылки с надежной репутацией все служебные заголовки и технические данные, как правило, уже имеют дефолтные настройки.

Форматирование и содержание

Некачественная верстка сообщений, большое количество незакрытых и подозрительных HTML-тегов также могут служить сигналом спама.

Наличие больших блоков скрытого текста, резкая смена шрифтов в абзаце или в слове, изменение цветов или использование символов различных алфавитов в рамках одного слова — типичные спамерские признаки, которых следует избегать. Спамеры любят «замусоривать» свои сообщения, чтобы таким образом скрыть истинные размеры и содержимое писем, поэтому фильтры обязательно обращают на них внимание.

Не менее подозрительно выглядит письмо, в котором много картинок и мало (либо совсем нет) текста. Кроме того, если в рассылке должны быть картинки, то следует убедиться, что они корректно отображаются в браузере.

В теме и тексте сообщений не следует использовать типичные фразы рекламно-навязывающего характера. Эта грань не очень четкая и не существует конкретных запретов на определенные тематики или слова. Можно, например, порекомендовать избегать описаний чего-то «очень дешевого, что можно приобрести только сегодня и только у нас в срочном порядке».

Отдельного внимания заслуживают ссылки из сообщений. Если они ведут на пустые или созданные совсем недавно домены либо на подозрительные ресурсы, уже попавшие в базы фишинговых или спамерских сигнатур, то рассылка будет заблокирована, даже если в ней нет спама как такового, а ссылка на скверный домен попала туда случайно — например, при цитировании партнерских материалов. Всегда следует контролировать, какие ресурсы упоминаются в ваших рассылках и какая репутация у их владельцев.

Стоит также упомянуть популярные сервисы коротких ссылок и ссылки на облачные хранилища. В них легко можно «спрятать» мошенническую или вредоносную ссылку, чем постоянно пользуются спамеры, поэтому их наличие, особенно в большом количестве, всегда вызывает подозрение у фильтров.

То же можно сказать и о вложениях. Если массовые сообщения содержат документы или архивы, они точно будут проверяться системой достаточно скрупулезно, чтобы исключить возможность заражения получателя вредоносным ПО.

Прочие внешние факторы

Главный «закон» антиспама гласит: отправляй рассылку только тем получателям, которые в явном виде дали свое согласие на ее получение. Подписка на рассылку должна осуществляться посредством двойного подтверждения (double-opt-in), а в каждом письме должно быть явным образом указано, когда и как получатель подтвердил свое желание получать данную информацию. Рассылка по купленной или скачанной из открытых источников базе сразу же выявляется, ведь такие базы, как правило, содержат множество адресов-ловушек, по которым можно идентифицировать недобросовестных рассыльщиков.

База получателей должна быть актуальной и содержать только действующие адреса. Адреса, с которых приходит ошибка hard bounced (получатель не существует) или запрос на удаление из базы, должны быть немедленно исключены из последующих рассылок. Если сервер будет фиксировать повторные ошибки и запросы данного типа, то вероятность блокировки увеличится.

Однако важно следить не только за «чистотой» клиентской базы, но и за своей репутацией как отправителя. Влияет на это репутация IP-адреса и домена, с которого производятся рассылки. И существует огромное количество сервисов, которые дают возможность оценить эту репутацию и проверить, не числится ли данный ресурс в черных списках, и даже увидеть реальные отзывы других пользователей, получавших подобные рассылки. В этом могут помочь такие сервисы, как alexa.com, mywot.com, talosintelligence.com, spamhaus.org и многочисленные whois-сервисы.

Если рассылка производится через специализированного рассыльщика (ESP – Email Service Provider), то обычно он предоставляет в пользование свой домен и IP-адрес, о репутации которых он заботится и поддерживает на высоком уровне. Поэтому об этих вопросах можно не думать. Однако если вы решите купить и использовать индивидуальный IP и домен, то забота об их репутации и настройка всех необходимых параметров ляжет на ваши плечи. И стоит помнить, что, однажды испортив репутацию, нелегко вновь вернуть доверие к своим ресурсам и добиться исключения из черных списков.

В заключение

Как правило, попадание рассылки в спам зависит от сочетаний вышеперечисленных факторов. При этом можно сказать, что некоторые из них более критичны, чем другие. Небольшие отклонения от стандарта или странный адрес, скорее всего, не станут причиной блокировки. А вот в сочетании с некорректной SPF-записью или отсутствующей DKIM-подписью это уже будет поводом для бана.

Стоит также помнить, что технологии не стоят на месте и компании постоянно разрабатывают новые методы защиты электронной почты от мошенников и назойливого спама. Большой популярностью сейчас пользуются решения на базе ИИ, способные анализировать поведение пользователей и на его основе в дальнейшем выносить вердикт. Эти методики сегодня используют многие популярные антиспам-решения, почтовые хостинги и крупные рассыльщики. Если пользователю не нравятся ваши рассылки, и он несколько раз подряд отправит их в папку Junk, то в следующий раз они попадут туда автоматически. Поэтому, составляя контент, следует делать его разнообразным и интересным, а рассылки проводить с частотой, не переходящей в раздражительную назойливость.

Категории: Новости вендоров

Как удалить Instagram, сохранив свои фото

пн, 17/12/2018 - 09:00

Сейчас модно избавляться от профилей в социальных сетях. Забавно, но именно через соцсети это поветрие зачастую и распространяется — взять хотя бы хэштег #DeleteFacebook. Или этот пост — весьма вероятно, что ссылку на него вы нашли в соцсети. Instagram — не исключение из популярного тренда. Желание удалить свой аккаунт может быть вызвано самыми разными соображениями, однако в целом идея покинуть вторую по величине социальную сеть сегодня набирает все больше последователей.

Для меня, например, причиной стало то, что мне надоело чувствовать себя несчастным и завидовать другим, разглядывая все эти фотографии вкусной еды, которую я не пробовал, и красивейших мест, где я не бывал. Уже через пять минут в Instagram мне начинает казаться, что моя жизнь невыносимо скучна (хотя на самом деле это совсем не так), поэтому я решил совсем перестать пользоваться этой социальной платформой.

В этой статье я объясню, как создать резервную копию вашего профиля в Instagram, временно отключить его или даже покинуть эту социальную сеть навсегда, полностью удалив свою учетную запись.

Как создать резервную копию вашего профиля Instagram

Что удобно, при сохранении резервной копии профиля Instagram позволяет сохранить практически любую информацию, которая относится к вашему профилю. Вы можете скачать не только сами фотографии, но и кучу других данных: все ваши лайки, комментарии, контакты, подписи к фотографиям, включая все использованные хэштеги, и даже ваши поисковые запросы и настройки.

Однако все, кроме фотографий, будет упаковано в файлы формата JSON (JavaScript Object Notation). Такие файлы можно открыть и попытаться прочесть, используя простые текстовые редакторы — Блокнот, Wordpad, TextEdit и так далее, — но вычленять информацию из мешанины символов не очень удобно.

К счастью, фотографии вы получите в нормальном, человеческом формате JPEG — и они даже рассортированы по папкам для каждой даты. Одна маленькая проблема: у всех снимков будет характерно «инстаграмное» невысокое разрешение — 1080 x 1080. Поскольку именно в таком виде они хранятся в социальной сети, ситуацию никак не поправишь — просто имейте это в виду.

Как создать резервную копию своих данных из Instagram через приложение Android или iOS

Чтобы заказать резервное копирование вашего профиля Instagram со смартфона или планшета, выполните следующие действия:

  • Откройте приложение Instagram.
  • Нажмите на кнопку профиля — это самая правая кнопка на нижней панели, справа от сердечка.
  • Нажмите на кнопку меню (три горизонтальных полоски) в правом верхнем углу.
  • В самом низу появившейся панели прячется кнопка Настройки — вот она-то вам и нужна.
  • Прокрутите открывшееся меню до раздела Конфиденциальность и безопасность и выберите Скачивание данных.
  • Instagram покажет вам адрес электронной почты, к которому привязана ваша учетная запись. Если вы хотите, чтобы данные были доставлены на какой-то другой адрес, можете указать его.
  • Подтвердите электронную почту для доставки резервного архива и введите свой пароль Instagram.
  • Вот и все. В течение 48 часов (обычно это происходит гораздо быстрее — через несколько минут) Instagram вышлет вам ссылку, по которой вы сможете загрузить архив со всеми своими данными.
  • Откройте письмо от Instagram в своем почтовом приложении и нажмите ссылку.
  • Откроется страница входа на сайт Instagram. Введите свой логин и пароль, чтобы войти в учетную запись.
  • Нажмите Скачать данные. Начнется загрузка ZIP-архива с фотографиями и другой информацией, связанной с вашим профилем.
Как создать резервную копию своих данных из Instagram, используя веб-браузер

Сделать резервную копию профиля Instagram из браузера несколько проще, особенно если вы пользуетесь компьютером или ноутбуком. Вот что для этого потребуется:

  • Откройте браузер, перейдите на сайт Instagram.com и войдите со своими текущими учетными данными.
  • Нажмите на аватарку своего профиля в правом верхнем углу экрана.
  • Нажмите Редактировать профиль рядом с вашим именем.
  • В меню слева выберите Конфиденциальность и безопасность.
  • Прокрутите открывшийся список и выберите Запросить файл в разделе Скачивание данных. После этого Instagram отправит вам письмо со ссылкой на архив, в котором будут фотографии и другая информация из вашего профиля.
  • Дальше все то же самое, что и при работе с приложением: получив электронное письмо от Instagram, откройте его в приложении или браузере и кликните ссылку.
  • Откроется страница входа на сайт Instagram. Введите свой логин и пароль, чтобы войти в учетную запись.
  • Нажмите Скачать данные. Начнется загрузка ZIP-архива с вашими фотографиями и другой информацией, связанной с вашим профилем.

Теперь, когда резервная копия ваших фотографий готова и загружена на компьютер, можно удалять профиль Instagram.

Как удалить аккаунт Instagram

Если покопаться в настройках Instagram в веб-браузере, то можно найти разве что возможность временно отключить профиль. Но есть и секретная ссылка, зная которую, можно удалить профиль навсегда. Ниже мы обсудим оба варианта. Обратите внимание, что Instagram не позволяет ни удалить, ни временно отключить учетную запись из мобильного приложения: вам придется открыть веб-интерфейс в браузере.

Временное отключение аккаунта в Instagram через веб-интерфейс

  • Запустите браузер и откройте сайт Instagram.com.
  • При необходимости укажите свои логин и пароль и нажмите Войти.
  • Нажмите на аватарку своего профиля в правом верхнем углу экрана.
  • Нажмите Редактировать профиль рядом с вашим именем.
  • В нижней части экрана вы найдете ссылку Временно заблокировать мой аккаунт — нажмите ее.
  • Выберите из списка причину, по которой вы отключаете учетную запись, введите пароль и нажмите кнопку Временно заблокировать аккаунт.
  • Нажмите Да. Теперь ваш аккаунт заблокирован. Это значит, что профиль, комментарии и лайки будут скрыты, пока вы снова его не включите.
Полное удаление аккаунта Instagram через веб-интерфейс

  • Нажмите на эту ссылку или откройте браузер и введите в адресной строке https://www.instagram.com/accounts/remove/request/permanent/.
  • Введите свои учетные данные Instagram.
  • Выберите из списка причину, по которой вы удаляете учетную запись, введите пароль и нажмите большую красную кнопку, на которой написано Безвозвратно удалить мой аккаунт.
  • Нажмите OK. Ваша учетная запись будет удалена. Помните, что в этом случае восстановить ее будет невозможно. Так что если у вас остались сомнения, лучше временно заблокируйте свой профиль.
Как снова активировать учетную запись Instagram

Если вы решили не удалять свою учетную запись насовсем, а лишь временно ее заблокировать, то разблокировать аккаунт обратно будет довольно просто: достаточно войти со своими учетными данными либо в приложение, либо на сайт Instagram.com.

В отличие от Twitter, Instagram не отключает вашу учетную запись насовсем, сколько бы времени ни прошло, поэтому можете не волноваться, что профиль исчезнет, если вы долго не будете его посещать. Однако, в отличие от Twitter, Instagram не позволит вам включить свой аккаунт немедленно после того, как вы отправили запрос на его отключение. По правилам Instagram для отключения учетной записи требуется несколько часов после подачи заявки. Так что сначала придется дождаться, пока аккаунт отключится — и только потом включать его обратно.

Категории: Новости вендоров

В диспетчере транзакций ядра Windows найдена уязвимость

пт, 14/12/2018 - 15:35

Киберпреступники продолжают испытывать на прочность Microsoft Windows, а наши защитные технологии столь же упорно продолжают выявлять их попытки и предотвращать эксплуатацию уязвимостей. Это не первый и даже не второй случай за последний квартал. На этот раз наши системы выявили попытку эксплуатации уязвимости в диспетчере транзакций ядра Windows (Kernel Transaction Manager).

Новый эксплойт нулевого дня применялся против нескольких целей в Азиатском и Ближневосточном регионах. Уязвимость CVE-2018-8611, которую он пытался использовать, допускала повышение привилегий из-за того, что ядро системы не всегда корректно обрабатывало объекты в памяти. В результате это позволяло злоумышленникам запускать произвольный код в привилегированном режиме.

На практике это значит, что злоумышленники могли устанавливать программы, просматривать и изменять данные и даже создавать новые учетные записи. По словам наших экспертов, этот эксплойт также мог использоваться для обхода режима песочницы в современных версиях браузеров, в том числе последних версий Chrome и Edge. Технические детали можно найти в статье на сайте Securelist. Более подробная информация о самой уязвимости CVE-2018-8611, а также о группах, которые пытались ее эксплуатировать, доступна для клиентов сервиса Kaspersky Intelligence Reports.

Наши эксперты сообщили о найденной уязвимости разработчикам, и компания Microsoft на днях выпустила патч, который исправляет эту проблему.

Что с этим делать

И вновь мы вынуждены повторить стандартные советы про уязвимости.

  • Не стоит чувствовать себя в безопасности только потому, что у атаки было не много целей. После публикации этой уязвимостью могут воспользоваться и другие злоумышленники, так что следует незамедлительно установить патч.
  • Регулярно обновляйте все программное обеспечение, используемое в вашей компании.
  • Используйте защитные продукты с функциями автоматического поиска уязвимостей и управления патчами, чтобы упростить процесс обновления.
  • Пользуйтесь защитным решением, имеющим надежные технологии поведенческого анализа, которые позволят обезопасить систему даже от пока неизвестных угроз, таких как уязвимости нулевого дня.

Заметьте, до тех пор, пока наши технологии не обнаружили попытку эксплуатации, об этой уязвимости никто не знал. Так что мы можем порекомендовать конкретные продукты, которые позволят защититься от угроз такого типа. Во-первых, это решение для защиты от целевых атак — Kaspersky Anti Targeted Attack Platform с его технологией Advanced Sandboxing. Во-вторых, решение Kaspersky Endpoint Security для бизнеса, которое имеет технологию автоматической защиты от эксплойтов. Именно благодаря им уязвимость CVE-2018-8611 и была обнаружена.

Категории: Новости вендоров

Почему нельзя вводить чужой Apple ID на своем айфоне

пт, 14/12/2018 - 13:42

У пользователей любой техники Apple обязательно есть Apple ID. Это такой своего рода паспорт «яблочника»: с одной стороны, его везде спрашивают, а с другой — он наделяет вас некоторыми правами. И обращаться с ним тоже надо как с паспортом: во-первых, никому не отдавать свой, а во-вторых, не пытаться ничего делать с чужими.

С первой частью все понятно: отдал кому-нибудь свой Apple ID — потерял доступ к собственным же устройствам и подпискам. А вот со второй частью — почему нельзя вводить чужие Apple ID в свои устройства — часто возникают вопросы. Объясняем на примере Василисы, почему ни в коем случае нельзя вводить чужой Apple ID в свой айфон или айпад.

Как Василиса айфон продавала

Спустя год крайне бережного использования Василиса решила продать свой iPhone X — как-никак, модель уже прошлогодняя, мода велит пользоваться XS ну или хотя бы XR. Вопроса о том, где продавать, не стояло — конечно же, на «Авито». А впрочем, можно еще и на «Юле» объявление разместить.

Стоял вопрос о цене — и спустя пару минут размышлений Василиса решила, что продавать будет задорого: даром, что ли, она весь год с телефона пылинки сдувала. Да на нем ни царапинки! Понятно, что при такой цене покупатель найдется не сразу, ну да и ладно — Василиса не спешит.

На удивление, покупатель нашелся уже на следующий день. Вежливая женщина написала, что ее муж очень хочет купить этот айфон, он сейчас ужасно занят, сможет заехать только в конце недели. Но ему очень понравилось, что аппарат в идеальном состоянии, так что он хочет внести предоплату, а забрать уже потом. Вот только чтобы проверить, что с телефоном действительно все хорошо, женщина просит ввести в аппарат Apple ID мужа — если получится и все заработает, то предоплату переведет тут же.

Василиса радуется: так быстро удалось все уладить! Она думала, что придется пару недель подождать, а тут всего день — и готово. Женщина пересылает ей логин и пароль от Apple ID мужа. Василиса удивляется, как это она так легко передает столь ценные данные постороннему человеку. Но это не ее проблема, поэтому она вводит эту информацию в телефон и сообщает женщине на том конце, что все готово, можно проверять.

И тут происходит то, чего Василиса ну вообще не ожидала. На экране ее айфона вдруг появляется информация о том, что он заблокирован, и чтобы его разблокировать, нужно связаться с кем-то по такому-то адресу электронной почты. И действительно, дальше черного экрана с надписью о блокировке уйти на айфоне не удается: заблокирован — и все тут.

Вежливая женщина Василисе больше не отвечает, игнорируя все ее сообщения (да и не было на самом деле женщины — это очередной поддельный аккаунт). Василиса пишет на приведенный адрес, и там за разблокировку от нее требуют перевести кругленькую сумму на некий счет.

Василиса задумывается — никаких гарантий, что ее не обманут еще раз, нет. Айфон лежит на столе бесполезным кирпичом и остается абсолютно безучастным к Василисиным переживаниям. А она продолжает думать, платить или не платить, и очень злится на себя за то, что ее так просто обвели вокруг пальца мошенники.

В чем опасность чужого Apple ID

Как только вы позволяете кому-либо ввести логин и пароль от их Apple ID в ваше «яблочное устройство», вы как бы признаете, что на самом деле это их устройство. И у злоумышленников есть на этот случай отработанная схема: они просят жертву под тем или иным предлогом ввести их (злоумышленников) Apple ID в свое устройство, после чего используют функцию iCloud, позволяющую заблокировать утерянный аппарат.

В теории эта функция нужна для того, чтобы, во-первых, не дать случайно нашедшему ваш телефон незнакомцу свободно изучать его содержимое, а во-вторых, чтобы отобразить на экране ваши контакты — так нашедший сможет с вами связаться и вернуть телефон.

Конечно, в данном случае аппарат никто не терял. Но как только жертва вводит на нем данные чужого Apple ID, айфон сразу появляется в списке привязанных устройств в iCloud. И дальше владелец этого Apple ID может делать с ним все что угодно. Вот так злоумышленники используют в целом полезную функцию в своих недобрых целях — блокируют чужие айфоны и айпады, а потом требуют выкуп.

При этом случаем с продажей б/у-устройств все не ограничивается. Например, мошенники любят втираться в доверие к людям на форумах, посвященных устройствам Apple, а потом просить ввести их логин и пароль от Apple ID под самыми разными предлогами вроде «телефон утонул, контакты в iCloud, надо позвонить начальнику срочно, помоги, пожалуйста, очень нужно». Ну или какими-то еще в таком духе.

Казалось бы, если уж вы знаете логин и пароль от аккаунта мошенников, можно зайти в веб-версию iCloud и там вернуть все как было. Но не получится: аккаунт мошенников защищен двухфакторной аутентификацией, так что для входа в их iCloud вам потребуется ввести еще и код, который появится на экране одного из их устройств. Его, естественно, видят только они — так что в их аккаунт вы зайти не сможете, несмотря на то, что знаете от него логин и пароль.

В общем, никогда не вводите чужой Apple ID на своих устройствах. Если вас просят это сделать — точно не к добру.

Категории: Новости вендоров

Обман в Интернете: 5 типичных приемов спамеров

вт, 11/12/2018 - 09:00

Спам и фишинг зачастую неотделимы: мошенники массово рассылают письма, в которых пытаются так или иначе выудить у вас какую-нибудь информацию. Личные данные пользователей остаются для них самым ценным и желанным видом добычи — об этом свидетельствуют как постоянные громкие публикации в СМИ, так и наш собственный анализ спам-потока. Одна из главных тем в спаме — почтовый фишинг с использованием различных методов социальной инженерии, цель которого — заполучить доступ к вашим аккаунтам или номера банковских карт.

В этом посте мы расскажем про пять самых распространенных уловок, при помощи которых спамеры пытаются вас обмануть.

1. Поддельные уведомления от соцсетей

Спамеры активно рассылают поддельные уведомления от имени популярных соцсетей — о новых друзьях, их активностях, комментариях и лайках. Такие сообщения, как правило, почти ничем внешне не отличаются от настоящих, но содержат фишинговую ссылку, заметить которую не всегда легко. По ссылке пользователю предлагают зайти в свой аккаунт, введя логин и пароль на поддельной странице авторизации.

Другой распространенный вариант на ту же тему — письма от лица все тех же соцсетей, но уже с угрозами: либо с вашим аккаунтом якобы совершались какие-то подозрительные действия, либо просто соцсеть вводит новые функции и блокирует клиентов, не подтвердивших свое согласие. В любом случае в письме будет кнопка со ссылкой на фишинговую страницу, где вас попросят авторизоваться.

Популярные заходы в фишинговых письмах: поддельные уведомления от соцсетей

2. Банковский фишинг

Фишинг, направленный на получение данных банковских карт пользователей, — по-прежнему самый популярный вид мошенничества. Поддельные письма рассылаются от имени как банков, так и платежных систем. Наиболее популярные темы сообщений связаны с блокировкой счета или «подозрительной активностью» в личном кабинете клиента.

Под предлогом восстановления доступа, подтверждения личности или отмены некоторой транзакции пользователя просят ввести данные банковской карты (зачастую вместе с CVV/CVC-кодом) на поддельной странице банка. Получив эти данные, мошенники незамедлительно выводят деньги со счета жертвы. С платежными системами то же самое — но там злоумышленники просят всего лишь войти в аккаунт.

Популярные заходы в фишинговых письмах: поддельные уведомления от банков и платежных систем

3. Поддельные уведомления от популярных сервисов и продавцов

По такому же принципу создаются и поддельные уведомления от имени популярных магазинов, а также от сервисов доставки посылок, бронирования жилья и авиабилетов, мультимедийных развлечений, поиска работы и прочих востребованных в сети услуг. При рассылке такого спама очень высока вероятность, что сообщение попадет к реальному пользователю упомянутой услуги, а тот среагирует на тревожное уведомление и перейдет по мошеннической ссылке, — на это и делают ставку мошенники.

Популярные заходы в фишинговых письмах: поддельные разнообразных сервисов и магазинов

4. Подделки под почтовые сервисы

При помощи такого рода спама мошенники собирают логины и пароли от почтовых сервисов. Здесь чаще всего используется один из двух предлогов — вам предлагают либо восстановить пароль, либо увеличить доступное место для хранения писем, поскольку ваш ящик якобы забит уже целиком. В последнем случае переход по фишинговой ссылке обещает многократное увеличение лимитов, что сейчас, в эпоху облачных сервисов и постоянно растущих потребностей в хранении больших объемов данных, действительно практикуют многие компании, — в результате фишинг не кажется таким уж подозрительным.

Популярные заходы в фишинговых письмах: поддельные уведомления от почтовых сервисов

5. Нигерийское мошенничество

Наконец, по-прежнему остается актуальным один из старейших видов спама — обещания богатств и пожертвований от имени родственников и адвокатов покойных миллионеров или политиков. Сценарий таких сообщений стандартный: мошенник обещает жертве внушительное вознаграждение, если та согласится помочь незадачливому наследнику вывести средства, застрявшие на счетах. Для этого, разумеется, нужно сначала отправить подробную информацию о себе (паспортные данные, данные о счетах и тому подобное) и некоторую сумму денег на оформлением всех необходимых документов.

Популярные заходы в фишинговых письмах: нигерийское мошенничество

На этом список излюбленных спамерами методов и тематик развода не заканчивается, однако пять перечисленных выше способов — самые часто встречающиеся и, видимо, самые действенные.

Как не стать жертвой мошенников

В целом надо просто быть внимательным. Но это слишком общий совет, так что вот немного конкретики:

  • Когда вы получаете письмо с уведомлением от какого-то сервиса, убедитесь, что оно действительно отправлено с адреса, принадлежащего этому сервису. Например, если речь про Google, то письмо должно прийти от [email protected]google.com, а не от [email protected]google.scroogle.com или чего-нибудь в таком духе.
  • Если вы нажимаете в таком письме на ссылку — опять-таки удостоверьтесь, что вы действительно попали на сайт сервиса, а не на поддельный сайт.
  • Используйте надежное защитное решение с защитой от спама и фишинга — оно распознает мошеннические письма и вовремя предупредит вас.
Категории: Новости вендоров

Как уйти из Twitter (и не потерять свои посты)

пн, 10/12/2018 - 09:00

Идея покинуть Twitter не так популярна в сети, как кампания #DeleteFacebook, но все же есть люди, которые по каким-то личным соображениям хотят раз и навсегда попрощаться с сервисом микроблогинга. Напомним, недавно на эту социальную сеть посыпался град обвинений в том, что администрация игнорирует проблему распространения фейковых новостей и пропаганды в твитах, и к тому же толком не борется с криптомошенничеством. Вот вам и две веских причины для «эвакуации» из Twitter.

Не стоит оставлять свой аккаунт на произвол судьбы: его может угнать злоумышленник, чтобы затем распространять мошеннические акции и постить фейковые новости от вашего имени или даже писать всякие гадости вашим друзьям. Так что если вы всерьез надумали расстаться с Twitter, лучше всего полностью удалить учетную запись — окончательно и бесповоротно.

Далее в посте мы объясним пошагово, как избавиться от аккаунта Twitter. Но перед этим давайте выясним, как сохранить резервную копию своих данных. Если вы вдруг захотите разорвать отношения с социальной сетью, но при этом оставить на память свои посты, наша инструкция вам поможет. К сожалению, не получится сохранить посты других пользователей, которые вы лайкнули, или список людей, которых вы фолловили, как и, впрочем, любые другие созданные списки — скопировать можно только свои твиты и ретвиты.

Как сделать резервную копию твитов в Twitter

По какой-то причине Twitter разрешает запросить копию постов только в веб-версии. Вот, что вам нужно сделать:

  • В приложении такой функции нет, поэтому придется открыть браузер и залогиниться на сайте twitter.com.
  • Нажмите на аватар своего профиля в правом верхнем углу и в выпадающем меню выберите Настройки и конфиденциальность.
  • В меню слева перейдите на вкладку Учетная запись (по умолчанию настройки открываются на этом разделе), прокрутите страницу вниз и нажмите Запросить архив рядом со словами «Ваш архив твитов».

После этого Twitter создаст архив со всеми вашими твитами (и постами других людей, которые вы ретвитили) и отправит его на электронную почту, которая указана в настройках или при регистрации аккаунта Twitter. Процесс может занять несколько минут.

Вам должно прийти электронное письмо от Twitter с прикрепленным архивом ZIP — извлеките архив и откройте файл index.html. Это автономная веб-страница со списком ваших твитов, аккуратно отсортированных по месяцам, и диаграммой вашей активности в социальной сети. Нажимая на столбцы диаграммы, можно переключаться между месяцами и просматривать все свои твиты за конкретный месяц и год.

Как навсегда удалить свой аккаунт Twitter

Строго говоря, полностью удалить аккаунт Twitter невозможно: сервис не удаляет ваши данные со своих серверов и будет продолжать ими пользоваться в любых целях, которые перечислены в пользовательском соглашении. Но аккаунт и все ваши твиты при этом будет полностью скрыты — никто, включая вас, не сможет их увидеть. В англоязычном интерфейсе это называется «деактивацией» — мы так и будем называть эту функцию, чтобы не вводить вас в заблуждение.

Так вот, деактивировать свою учетную запись в Twitter можно как через веб-интерфейс, так и через официальные приложения для Android или iPhone/iPad. Хорошо, что хоть в этом случае можно сделать все через приложение.

Деактивация аккаунта Twitter через приложение для Android или iOS

  • Нажмите на аватар своего профиля в левом верхнем углу приложения Twitter.
  • В меню выберите пункт Настройки и конфиденциальность.
  • Нажмите Учетная запись.
  • Прокрутите страницу вниз и нажмите Отключите свою учетную запись.
  • Нажмите Отключить под текстом.
  • Введите свой пароль и нажмите Отключить.
  • Нажмите Да, отключить. Теперь ваша учетная запись, наконец, «отключена». Как видите, Twitter делает все, чтобы не допустить случайной деактивации аккаунта.
Деактивация аккаунта Twitter через веб-интерфейс

  • Откройте браузер и войдите в свой аккаунт на сайте twitter.com.
  • Нажмите на аватар своего профиля в правом верхнем углу и выберите пункт Настройки и конфиденциальность.
  • В меню слева перейдите на вкладку Учетная запись, прокрутите страницу вниз и нажмите Отключить вашу учетную запись.
  • Появится страница с предупреждением. Под ним есть кнопка Удалить — нажмите ее.
  • Во всплывающем окне введите свой пароль от Twitter и нажмите Удалить учетную запись. Готово!

После всех манипуляций ваш аккаунт будет деактивирован — вы (или кто-то другой) больше не сможете войти в него через twitter.com или мобильные клиенты Twitter. А если такое желание возникнет, придется активировать учетную запись заново. Но учтите: сам Twitter предупреждает, что часть вашего профиля и ваши посты могут остаться в поисковых системах — Google и другие поисковики индексируют твиты, хотите вы этого или нет.

Как восстановить аккаунт Twitter

Кстати, после деактивации у вас еще будет возможность восстановить свой аккаунт. Для этого достаточно войти в учетную запись на сайте twitter.com, указав старые логин и пароль. То же самое можно проделать и в мобильном приложении. Но у вас есть всего 30 дней, чтобы передумать: по истечении этого срока вы больше не сможете восстановить деактивированную учетку. Так что только через 30 дней после деактивации можно считать ваш аккаунт удаленным безвозвратно, поскольку никто (и вы в том числе) не сможет его восстановить и пользоваться им.

Категории: Новости вендоров

Слабое звено в криптоцепочке

пт, 07/12/2018 - 19:19

Практически каждый разработчик полагается на какие-то сторонние библиотеки. Миллионы программистов делятся своими творениями со всем миром, так что для решения распространенных задач вполне разумно воспользоваться готовыми модулями и сэкономить время. Но внедряя чужой код, вам приходится довериться его разработчику. Компания BitPay, создающая криптокошелек Copay, недавно на себе испытала негативные последствия, связанные с применением сторонних библиотек с открытым исходным кодом.

Copay представляет собой мультиплатформенный криптокошелек для биткойнов и Bitcoin Cash, позволяющий создавать общие кошельки. Copay написан на JavaScript и полагается на множество сторонних библиотек.

Одна из этих библиотек — модуль event-stream. Репозиторий модуля на портале GitHub был долгое время заброшен — разработчик потерял интерес к проекту и уже несколько лет ничего не обновлял. Поэтому когда другой разработчик, новичок на GitHub, попросил у автора права администратора, чтобы оживить репозиторий, тот поделился доступом.

Новый разработчик сразу же взялся за дело. Вначале библиотека event stream начала использовать модуль flatmap-stream, репозиторием которого на GitHub заправлял этот же человек. Потом модуль flatmap-stream был изменен — как позднее выяснилось, разработчик добавил в него вредоносный код. Спустя три дня после обновления в репозиторий была загружена очередная версия flatmap-stream, но уже без вредоносной начинки — вероятно, так злоумышленник попытался замести следы.

В результате библиотека event-stream оказалась скомпрометирована. Она широко использовалась не только BitPay, но и рядом других компаний. Предположительно, скомпрометированная версия прожила всего три дня, но этого оказалось достаточно, чтобы разработчики Copay, не зная о наличии вредоносного кода, включили обновленную версию библиотеки в свой проект. Обновленный криптокошелек разошелся по магазинам приложений и устройствам многих пользователей.

Возможно, разработчики Copay просто не хотели тратить время на отслеживание изменений в сторонних библиотеках. Сейчас обновление библиотек вполне можно доверить автоматизированным инструментам — менеджерам пакетов, таким как npm. Благодаря ему разработчик может обновить все сторонние модули проекта, выполнив всего одну команду.

Но даже если они действительно заглядывали в обновленные библиотеки, вредоносный код было не так просто обнаружить. Потому что эти библиотеки в свою очередь могут зависеть от других библиотек (как в этом случае event-stream зависела от flatmap-stream), а проверка всех таких зависимостей может занять весьма много времени. В данном случае ситуация осложнялась тем, что модуль flatmap-stream был зашифрован.

Как сообщает CCN, модифицированная библиотека flatmap-stream передавала злоумышленнику закрытые ключи (аналог паролей для криптокошельков) из приложений, использовавших одновременно библиотеки event-stream и copay-dash. Такая комбинация наводит на мысль, что это была целенаправленная атака на BitPay, разработчиков Copay и авторов библиотеки copay-dash. Утечка ключей происходила, только если приложение задействовало обе библиотеки, то есть являлось продуктом на основе кода Copay.

Согласно данным ArsTechnica, вредоносный код позволял злоумышленнику получать несанкционированный доступ к кошелькам пользователей и переводить оттуда средства. Брешь обнаружил и обнародовал один из пользователей GitHub. Но к этому моменту по сети уже разошлось несколько версий Copay с вредоносным кодом. Компания BitPay в конечном счете признала факт компрометации и порекомендовала пользователям версий от 5.0.2 до 5.1.0 перейти на версию 5.2.0. Сколько пострадало пользователей и сколько денег они потеряли, пока неизвестно.

Это классическая атака через цепочку поставок — злоумышленник скомпрометировал стороннюю библиотеку, которой пользовались разработчики приложения. Конкретно в этом случае ситуация возникла из-за применения ПО с открытым кодом, развитием которого порой занимается неизвестно кто. В таких условиях невозможно гарантировать, что код будет работать точно так же, как и несколько версий назад. Но и привлечь к ответственности разработчиков открытого ПО нельзя — они предоставляют свой продукт «как есть», не давая никаких гарантий.

Самое интересное, что кошелек Copay тоже является ПО с открытым кодом, которое активно используют разработчики других криптокошельков. Так что вполне вероятно, что проблема еще более серьезна.

Вывод прост: компании, зарабатывающие на ПО, особенно применяемом для переводов больших денежных сумм, перед выпуском новых версий должны проводить тщательную проверку безопасности своих приложений, в том числе анализировать каждую новую версию всех сторонних библиотек, используемых в проекте.

Самое разумное — следить за статусом репозитория, принимать во внимание рейтинги от других разработчиков, проверять, как часто проект обновляется и сколько времени прошло с момента последнего обновления, а также заглядывать в список найденных багов. Любые странности и аномалии — признак того, что требуется более глубокое исследование.

При любых проблемах клиенты будут винить компанию, которая предоставила программу, даже если на самом деле проблема вызвана действиями автора одной из библиотек. Разумеется, мы не выступаем против продуктов с открытым исходным кодом, но рекомендуем быть начеку, доверяясь таким решениям.

Категории: Новости вендоров

DarkVishnya: атака через подброшенные устройства

чт, 06/12/2018 - 23:19

С чего обычно начинается расследование киберинцидента? Как правило, с поисков источников заражения. Как правило, найти их не очень сложно — пришло письмо с зловредом или ссылкой, или кто-то взломал сервер. У нормальных ИБ-специалистов есть список всего оборудования — достаточно вычислить, с какой из машин началась вредоносная активность. Но что делать, если все компьютеры чисты, а вредоносная активность идет? Недавно наши эксперты столкнулись именно с такой ситуацией: злоумышленники подключали собственное оборудование к корпоративной сети.

Суть атаки, названной нашими экспертами DarkVishnya, заключается в том, что преступник приносит в офис жертвы свои устройства и подключает их к корпоративной сети. После этого он получает возможность удаленно исследовать ИТ-инфраструктуру компании, перехватывать пароли доступа к разному оборудованию, считывать информацию из общих папок и многое другое. Технические подробности этой атаки можно найти в посте на сайте Securelist.

В случае, с которым столкнулись наши эксперты, целью атаки были банки в Восточной Европе. Однако потенциально этот метод может применяться против любой крупной цели. Чем больше компания, тем легче спрятать вредоносное устройство. Особенно сложно расследовать инцидент в том случае, если у жертвы множество офисов по всему миру.

Что за устройства?

В ходе расследования наши эксперты выявили три типа устройств. Неизвестно, применялись ли они одной группировкой или несколькими, но принцип во всех трех случаях использовался один.

  • Недорогой ноутбук или нетбук. Топовые характеристики злоумышленникам не нужны, поэтому покупается б/у машина на какой-нибудь барахолке. В него втыкается 3G-модем и устанавливается программа дистанционного управления. После этого достаточно спрятать устройство так, чтобы оно не бросалось в глаза, и подключить его к сети и электропитанию.
  • Raspberry Pi — миниатюрный компьютер, который питается через USB. Это недорогое и незаметное устройство легко приобрести или самостоятельно спаять, а спрятать в офисе — гораздо легче, чем ноутбук. Для питания его можно воткнуть хоть в компьютер, где его не сразу обнаружат среди прочих проводов, хоть в USB-порт телевизора.
  • Bash Bunny — устройство, которое позиционируется как инструмент пен-тестера и свободно продается на хакерских форумах. Ему не нужно отдельного подключения к корпоративной сети, оно работает через USB-порт компьютера. С одной стороны, оно выглядит как флешка, а значит, более незаметно, но с другой — технология контроля подключаемых устройств среагирует на него в момент подключения, так что этот вариант атаки менее универсален.
Как подключают?

Даже в компаниях, где к вопросам безопасности относятся серьезно, подключить такое устройство возможно. Несмотря на жесткую пропускную систему, на территорию офисов часто допускаются курьеры, соискатели работы, представители клиентов или партнеров. Выдать себя за кого-то из них может любой.

Дополнительный риск возникает из-за того, что Ethernet-розетки в офисах зачастую устанавливают где попало — в коридорах, переговорных комнатах, в общих холлах. Иногда еще до поста охраны. Если внимательно осмотреть помещение среднестатистического бизнес-центра, нередко можно найти места, куда можно спрятать небольшое устройство, подключив его к сети и электроснабжению.

Что делать?

У этой атаки есть как минимум одно сомнительное место — злоумышленник должен физически присутствовать на территории офиса жертвы. Поэтому начать следует с ограничения доступа к сети из мест, в которые потенциально могут зайти посторонние.

  • Следует отключить неиспользуемые Ethernet-розетки в местах общего доступа.
  • Если такой возможности нет, имеет смысл выделить их в изолированный сегмент сети.
  • В идеале Ethernet-розетки должны быть в зоне видимости камер безопасности (по крайней мере, это здорово поможет в расследовании инцидента).
  • Используйте защитные решения с надежными технологиями контроля подключаемых устройств (например, Kaspersky Endpoint Security для бизнеса).
  • Подумайте над необходимостью применения специализированных решений для регистрации аномалий и подозрительной активности в сети, таких как Kaspersky Anti Targeted Attack Platform.Kaspersky Endpoint Security for business
Категории: Новости вендоров

Страницы