Лаборатория Касперского

Подписка на Лента Лаборатория Касперского Лаборатория Касперского
Официальный русский блог "Лаборатории Касперского" пишет обо всем, что поможет вам защититься от вирусов, хакеров, шпионских приложений, спама и других угроз.
Обновлено: 15 часов 49 минут назад

Умная пробирка для злобной малвары

пт, 24/05/2019 - 13:46

Вы задавали себе вопрос, почему компьютерные вирусы назвали именно «вирусами»? Вопрос на самом деле риторический, но если для кого-то это не очевидно, то в нашей энциклопедии есть краткий и исчерпывающий ответ.

Эту подводку я использую с другой целью: а почему до сих пор всю компьютерную гадость многие так и называют «вирусами», хотя вирусов как таковых уже надцать лет не было замечено в «дикой цифровой природе»?

Дело в том, что по сей день технологии компьютерной безопасности вызывают ну уж очень сильные ассоциации с людьми в белых скафандрах, карантином, пробирками и прочей атрибутикой изучения микробиологических глубин мира. Именно так: вирусы уже давно повывелись, но методы их анализа и разработки защиты остались, развились и очень даже хорошо показывают себя в борьбе с современными вредоносами. Например, эмулятор.

Вкратце, эмулятор — это метод выявления неизвестных угроз, при котором подозрительный файл запускается в виртуальном пространстве, имитирующем реальный компьютер. Антивирус* смотрит за поведением файла «на лету» и при обнаружении опасных действий изолирует его от греха подальше для проведения дополнительных исследований.

Чувствуете аналогию с оригинальной, микробиологической вирусологией? Зачем делать сомнительную инъекцию живому человеку и потом снимать показания, как его колбасит? Ведь можно эмулировать среду обитания «в пробирке» и наблюдать за поведением подозрительного объекта для выявления его вредоносной сущности.

Впрочем, как и в микробиологии, здесь перед нами встаёт непростая задача эмуляции этой самой естественной среды обитания — так, чтобы вирус зловред комар носа не подточил. Не знаю, как у наших коллег в белых скафандрах :), но мы («ЛК») без ложной скромности делаем это давно и «впереди планеты всей».

Первый в мире эмулятор я разработал ещё в далёкую DOS-эпоху летом 1992 г. Скоро эксперты начали восторгаться детектом нашего антивируса (да, тогда он ещё был «антивирусом»), который рвал конкурентов в независимых тестах, в том числе благодаря работе эмулятора.

Шло время, ландшафт угроз усложнялся: классические вирусы покинули сцену, им на смену пришли сетевые черви, трояны и прочие многоклеточные. Росло разнообразие компьютерных-мобильных-IoT-всех прочих цифровых технологий, а с ними и вредоносного инструментария, а с ним и компетенция эмулятора. Мы прикрутили его к облаку безопасности KSN, обучили новым языкам программирования, браузерам и прочим объектам операционной системы, чтобы автоматически ловить неизвестных зловредов. Никакой маркетинговой ИИ-лапши, только ловкость рук и мощь мозга в лучших традициях принципа инновационных реальных разработок HuMachine :)

Сегодня немногие конкуренты могут похвастаться такой технологией, что вполне понятно: эмулятор — это очень непростая задача, которая требует многолетней экспертизы, трудозатратной интеграции в «боевые» продукты и постоянного развития. Многие новички индустрии кибербезопасности предпочитают вкладываться в развесистый «ля-ля-маркетинг». В краткосрочной перспективе такой подход может дать увесистый толчок развитию бизнеса, но долго морочить голову пользователям не получится — до первого крупного прокола. Иными словами, наличие эмулятора свидетельствует об уровне экспертизы и зрелости разработчика, а его отсутствие — верный признак пустышки-однодневки.

Но я отвлёкся.

На самом деле кибернегодяи тоже, пардон, «не пальцем деланы» (с) и прилагают серьёзные усилия для защиты своего бизнеса и кибершпионских операций, в том числе в плане защиты от эмулятора.

Наиболее продвинутые группировки используют разнообразные антиэмуляторные уловки для распознавания «пробирки». Например, запуск недокументированной функции, проверка подлинности выполнения вызовов по изменению регистров процессора, анализ кодов ошибки, поиск в памяти определённого кода, использование «логических бомб», вводящих эмулятор в бесконечный цикл и так далее. Если зловред учуял что-то подозрительное, то он сворачивает выполнение вредоносной функции, прикидываясь «белым и пушистым» файлом. Но мы лучше их «пальцем не деланы» :) и с этими напастями и разными прочими технологическими особенностями (прежде всего, ресурсоёмкостью) эмулятора успешно боремся. Например, для его ускорения мы используем разные ограничители, оптимизаторы и профили настроек, вплоть до полного отключения этой фичи в определённых условиях, когда задержка BSoD‘у подобна.

А на днях наши патентоведы принесли ещё одну радостную весть: мы получили патент (US10275597) на эмулятор программного кода с функцией интерпретации неизвестных объектов! Насколько мне известно, ни в одном конкурирующем продукте такой фичи нет: для защиты от антиэмуляторных уловок малвары им приходится переделывать весь эмулятор, что, разумеется, процесс небыстрый. Мы же научили эмулятор обновляться «на лету» из локальной базы данных! В общем, очень полезная фича, а посему нет и повода не рассказать вам о ней, ибо знание того, как мы вас защищаем, — сила! :)

Дело в том, что некоторые файлы распространяются не в машинном коде, а непосредственно в коде программном. Для их выполнения на компьютере требуется интерпретатор (например, JavaScript или VBA), который в масштабе реального времени переводит этот код на понятный машине язык. И, понятное дело, в таких файлах тоже частенько встречаются зловреды.

Для обнаружения неизвестных угроз этого типа много лет назад мы создали эмулятор программного кода, который перед выполнением файлов проверяет их в «пробирке». Однако эмулировать интерпретатор целиком — слишком ресурсоёмкий вариант. Задержка в обработке web-страниц со скриптами вряд ли сделает счастливым среднего пользователя. Поэтому эмуляторы воссоздают компромиссный вариант виртуального пространства, приемлемый как с точки зрения производительности, так и качества защиты. Но что делать, когда эмулятор встречает в коде неизвестный объект, метод или функцию, без которых полноценный анализ файла не представляется возможным?

Задачу «надёжно и быстро» мы решили другим способом — при помощи умного интерпретатора, способного быстро обучаться эмулировать такие объекты. Во время обновления через облако KSN продукт получает вспомогательный код на языке анализируемого объекта (JavaScript, VBA, VB Script, AutoIt — список открыт для других языков) и уже с новыми знаниями возвращается к проверке файла. В сложных случаях, когда вспомогательного кода ещё нет, задача автоматически передаётся нашим аналитикам, которые его разрабатывают и оперативно добавляют в базу данных.

В итоге пользователь получает в распоряжение не только сильную, но и высокоскоростную технологию, способную быстро реагировать на киберугрозы, не дожидаясь перевыпуска всего эмулятора. Бинго!

* «Антивирус» — ещё один архаизм эпохи компьютерных вирусов. Современные антивирусы борются не только с вирусами, но со всем зловредством вообще, а также содержат много других полезных функций, например менеджер паролей, VPN, родительский контроль, резервное копирование и многое другое. Т. е. если называть антивирус по-новому, то получится что-то вроде Анти-всё-плюс-много-чего-ещё :)

Категории: Новости вендоров

Безопасность в поездке: 5 советов для умеренных параноиков

ср, 22/05/2019 - 13:00

Дисклеймер: этот пост для тех, кто боится стать объектом слежки. Стоит ли считать это паранойей — решайте сами

Все мы многое делаем для того, чтобы сделать свое жилище как можно более уютным и безопасным. Некоторые даже предпочитают работать из дома, чтобы наслаждаться комфортом круглый день. Но даже таким домоседам иногда приходится выбираться в «большой мир», лишаясь как минимум части привычного уюта — и безопасности! — ради возможности посетить новые интересные места.

На конференции Security Analyst Summit 2019 эксперты команды GReAT Марко Пройс (Marco Preuss) и Ариэль Юнгхайт (Ariel Jungheit) рассказали, как защитить приватность во время путешествий. Ниже вы найдете краткое изложение их доклада в виде 5 советов.

1. Не оставляйте вещи без присмотра

Капитан Очевидность напоминает: если на некоторое время оставить вещи без присмотра в аэропорту, то их могут физически уничтожить сотрудники службы безопасности.

Но по большому счету это относится не только к аэропортам. Всегда держите при себе ценные вещи, особенно смартфон и ноутбук. Не стоит оставлять их на столике в кафе, когда отправляетесь в туалет. В номере отеля они тоже не будут в полной безопасности, гостиничные двери и сейфы — это очень условная защита. Так что если собираетесь отлучиться, лучше возьмите ноутбук с собой. И, конечно же, обязательно защитите все устройства паролем и блокируйте их, когда вы ими не пользуетесь.

2. Зашифруйте свои устройства

Даже тех, кто всегда берет ценные вещи с собой, могут обокрасть. Качественные рюкзаки с защитой от воров — вещь хорошая, но и они не гарантируют 100%-ной безопасности. Как правило, информация на устройстве в разы ценнее, чем сам девайс, — ее-то и нужно защитить в первую очередь. В этом вам поможет полное шифрование диска.

Вся информация в памяти смартфонов и планшетов с последними версиями Android и iOS, защищенных кодом доступа или паролем, шифруется по умолчанию. А вот в случае ноутбука о шифровании придется позаботиться самостоятельно. Здесь можно узнать, как включить полное шифрование диска BitLocker на устройствах с Windows. А здесь рассказано о FileVault — аналогичном инструменте для macOS.

3. Научитесь находить и обманывать «жучки» и скрытые камеры

Слышали пугающие истории о скрытых камерах в квартирах, арендованных через Airbnb? Проблема никуда не ушла, и не угадаешь, кто станет следующей жертвой. А если вы бизнесмен, политик, борец за права человека или журналист, то имеет смысл опасаться прослушивающих устройств, установленных в гостиничных номерах или арендованных апартаментах.

К счастью, найти скрытые устройства слежения не так сложно. Для этого понадобится небольшой прибор, состоящий из сканера радиочастот и оптического детектора на основе светодиодов и красного светофильтра. Первый обнаруживает источники электромагнитных волн (в частности, беспроводные «жучки»), второй — скрытые камеры.

Дело в том, что объективы камер отражают свет лучше, чем другие поверхности. Вы направляете светодиоды на окружающие предметы и смотрите на них через красное стекло: объектив камеры будет выглядеть, как яркая точка. Такие приборы продаются в интернет-магазинах и стоят в пределах 50 долларов.

Если в помещении есть камеры с инфракрасной подсветкой, их можно найти с помощью смартфона — в отличие от человеческого глаза, камеры мобильных телефонов могут видеть инфракрасное излучение. Но имейте в виду, что этот трюк работает не на всех устройствах: в камерах айфонов, например, используются слишком сильные ИК-фильтры.

Вышеописанные методы не подходят для обнаружения проводных подслушивающих устройств, но их можно обмануть, включив воду или заглушив речь с помощью других фоновых звуков, которые можно найти на сайте Noisli. Фоновый шум портит запись и позволяет безопасно разговаривать в номере.

4. Как найти двустороннее зеркало

В детективах часто показывают комнаты для допроса с двусторонними зеркалами, помните такие? С одной стороны они выглядят, как обычные зеркала, а для тех, кто находится с другой стороны, это окна, через которые можно наблюдать за происходящим. Конечно, в реальной жизни такие зеркала встречаются не очень часто. Но если вы когда-нибудь неожиданно для себя окажетесь в центре настоящего шпионского сюжета, то будете знать, как защититься от трюка с зеркалом.

Обнаружить двустороннее зеркало довольно просто: прижмите палец к поверхности и посмотрите, есть ли зазор между пальцем и его отражением. Если он есть, перед вами самое обычное зеркало — поверх отражающей поверхности установлено стекло. Если же зазора нет, то это может быть двусторонним зеркалом — и это может значить, что с противоположной стороны кто-то за вами наблюдает или снимает вас на камеру. А может и не значить: в некоторых обычных зеркалах нет стекла поверх отражающей поверхности — например, такие зеркала встречаются в автомобилях.

В любом случае, если есть сомнения, то лучше перестраховаться. Благо, никакие специальные приспособления не нужны: просто накройте зеркало покрывалом — и вам не придется, переодеваясь, прикидывать «слепую зону» камеры, возможно, установленной с другой стороны. Ну и, конечно же, не стоит работать перед подозрительным зеркалом с конфиденциальными документами.

5. Используйте проводные мышь и клавиатуру

Все знают, что пользоваться общедоступным компьютером в холле гостиницы или на съемной квартире небезопасно. И скорее всего, вы путешествуете с собственным ноутбуком. Если при этом вы используете мышь и клавиатуру, то лучше бы им быть проводными.

Дело в том, что злоумышленники могут атаковать беспроводные периферийные устройства, перехватывать сигналы или, наоборот, передавать собственные, управляя кликами и вводимыми символами, даже если соединение между устройствами и компьютером зашифровано.

Беспроводную клавиатуру вы, скорее всего, с собой не повезете, но и беспроводную мышь стоит оставить дома. Тачпада ноутбука будет вполне достаточно, а если вам некомфортно с ним работать — используйте старую добрую проводную мышь.

Некоторые описанные здесь меры предосторожности могут показаться очевидными, но о других вы могли и не знать. Однако, на мой взгляд, все они одинаково важны. Довольно часто я встречаю людей, не соблюдающих элементарные правила безопасности, и порой мне трудно удержаться, чтобы не подшутить над ними и их незаблокированными, оставленными без присмотра устройствами. Поэтому я считаю, что время от времени стоит повторять в том числе и сравнительно простые советы. На этом все — безопасных вам путешествий!

Категории: Новости вендоров

Онлайн-просмотр «Игры престолов» — бесплатное кино может дорого обойтись

вт, 21/05/2019 - 14:01

Несмотря на далеко не маленький ценник канала HBO, премьера финального сезона сериала «Игра престолов» побила все рекорды просмотров и взорвала соцсети, в результате чего количество потенциальных зрителей выросло еще больше.

Многие, впрочем, не планировали раскошеливаться и отправились за своей дозой придворных интриг и кровавых побоищ на пиратские сайты: кому-то было жалко платить за просмотр, а в некоторых регионах сериал был просто недоступен или транслировался в версии, основательно порезанной цензурой.

Ищете бесплатную онлайн-трансляцию «Игры престолов»? Будьте осторожны!

С самого начала восьмого сезона «Игры престолов» люди стали активно искать его в Интернете. Способов увидеть его бесплатно законным путем не было: хотите смотреть — извольте раскошелиться. Этим и пользуются мошенники. Начинается все с того, что киноман находит сайт, обещающий бесплатный показ нового сезона «Игры престолов».

Начало просмотра не предвещает подвоха, и потенциальная жертва теряет бдительность. Однако вскоре после начала трансляции появляется всплывающее сообщение, требующее от зрителя зарегистрироваться на сайте.

Разумеется, это бесплатно: нужно только указать адрес электронной почты и придумать пароль.

Однако после того как пользователь нажмет кнопку «Продолжить», выясняется, что этого недостаточно. Новый аккаунт должен пройти проверку, для которой нужны данные кредитки, включая CVC-код с обратной стороны карты.

Сайт обещает, что денег не снимут, а платежная информация нужна только для подтверждения того, что пользователь находится в регионе, где этот сайт имеет лицензию на распространение контента.

«Ну, раз уж ввязался…», — думает незадачливый зритель и вводит данные карты.

Но вне зависимости от того, какую еще информацию о себе он предоставит, «кина не будет». Первые несколько секунд из нового сезона «Игры престолов», которые ему показали, были всего лишь приманкой, и пользователь, клюнув на нее, только что передал мошенникам ценную личную информацию.

Даже просто создать аккаунт на таком сайте будет ошибкой

Запрос данных кредитной карты на сайте такого рода, разумеется, выглядит подозрительно, и наверняка большинство пользователей не станет их вводить и сразу закроет сайт. Но даже в этом случае злоумышленники уже получили то, что хотели — адрес электронной почты и пароль.

Дело в том, что многие люди используют для аккаунтов в разных сервисах один и тот же пароль. Поэтому велика вероятность того, что какие-то из собранных мошенниками сочетаний электронного адреса и пароля подойдут к другим веб-сайтам: онлайн-магазинам, игровым, стриминговым или почтовым сервисам, соцсетям и так далее.

Похитив эти аккаунты, киберпреступники могут использовать их для кражи денег или цифровых ценностей — подписок на сервисы, игровых предметов и так далее, или для отмывания уже украденного. В крайнем случае такие аккаунты можно будет продать спамерам.

«Игра престолов» — магнит для киберпреступников

Вышеприведенная схема — далеко не единственная из афер, базирующихся на популярности «Игры престолов». С начала показа восьмого сезона мы наблюдаем резкий скачок киберпреступной деятельности, имеющей отношение к телесериалу. К примеру, количество атак, зафиксированных нашими продуктами, после премьеры нового сезона выросло в несколько раз:

!function(e,t,s,i){var n="InfogramEmbeds",o=e.getElementsByTagName("script")[0],d=/^http:/.test(e.location)?"http:":"https:";if(/^\/{2}/.test(i)&&(i=d+i),window[n]&&window[n].initialized)window[n].process&&window[n].process();else if(!e.getElementById(s)){var r=e.createElement("script");r.async=1,r.id=s,r.src=i,o.parentNode.insertBefore(r,o)}}(document,0,"infogram-async","https://e.infogram.com/js/dist/embed-loader-min.js");

Как защититься от подобного мошенничества

Возможность даром посмотреть сверхпопулярный сериал выглядит очень соблазнительно. Мошенники делают ставку на то, что в поисках бесплатного контента пользователь, решивший непременно его заполучить, забудет об элементарных мерах предосторожности. Но повышенная бдительность и знания о подобных угрозах надежно защитят вас.

  • Не стоит слепо верить всему, что есть в Интернете. В Сети всегда есть шанс натолкнуться на подделку, обман, а то и откровенно вредоносные сайты или файлы.
  • Никогда не оставляйте на сайтах, доверять которым у вас нет оснований, ценную информацию, особенно данные кредитных карт.
  • Не используйте один и тот же пароль для аккаунтов в разных сервисах. Само собой, держать в памяти множество надежных и уникальных паролей тяжело, но от этих трудностей вас избавит менеджер паролей.
  • Установите надежный антивирус с защитой от интернет-мошенничества и фишинга.
Категории: Новости вендоров

Каким должен быть хороший пароль

пн, 20/05/2019 - 14:54

Одна из распространенных традиций в информационной безопасности — это регулярная смена паролей. Например, многие компании заставляют сотрудников менять пароль для входа в свои рабочие аккаунты каждые три месяца. Предполагается, что это помогает уберечься от взлома. Рассказываем, почему это не совсем верно.

От регулярной смены паролей мало пользы

К паролям есть два требования, которые могут показаться не очень-то совместимыми. С одной стороны, чтобы надежно защитить учетную запись, нужно придумать пароль, который будет трудно подобрать. С другой стороны, этот пароль должно быть легко запомнить, иначе им невозможно будет пользоваться. Регулярная смена паролей действительно отчасти помогает с первым требованием, но второе делает трудновыполнимым.

Нам трудно постоянно заучивать длинные и сложные комбинации символов — мы же люди, а не роботы. Человек пытается «обмануть систему», так уж он устроен. Когда нас заставляют сменить пароль, мы не придумываем новый — мы просто немного меняем старый.

Для примера возьмем пароль batman2018. Если нужно будет его сменить, многие, скорее всего, просто сделают так: batman2019. Система воспримет этот пароль как новый, но по сути он остался тем же самым. И если старый пароль каким-то образом попадет в руки злоумышленникам, им несложно будет угадать новый.

View this post on Instagram

А как у вас дела с паролями?

A post shared by Kaspersky Lab Russia (@kasperskylabrus) on May 16, 2019 at 5:36am PDT

На самом деле постоянно менять пароли не так уж эффективно. Гораздо лучше использовать надежные и, что особенно важно, уникальные комбинации символов. Об этом мы сейчас и поговорим.

Почему пароль обязательно должен быть уникальным

Казалось бы, имеет смысл придумать один максимально надежный пароль и использовать его для всех аккаунтов. Тогда все они будут хорошо защищены, а уж один набор символов, пусть и сложный, запомнить можно — беспроигрышная ситуация!

Так было бы в идеальном мире, но наш мир, увы, не идеален. Утечки данных случаются регулярно, и пароли попадают в руки злоумышленников — как пользователь вы ничего не можете с этим поделать. Если вы везде используете один и тот же пароль, всего одна утечка — и все ваши аккаунты будут под угрозой. Иными словами, вы не убиваете одним выстрелом двух зайцев, а, скорее, кладете все яйца в одну корзину.

Надежный пароль — это какой?

Каким должен быть пароль, чтобы его можно было назвать «надежным»? Развернутый ответ будет длинным и сложным (математические расчеты и все такое), но принципиально важны две простых вещи. Во-первых, в нем нужно использовать как можно более разнообразные символы (так ваш пароль будет менее предсказуемым, а значит, более надежным). Во-вторых, пароль должен быть длинным — и чем длиннее, тем лучше.

К счастью, эти свойства компенсируют друг друга: если вам трудно запомнить все эти #, %, & и прочие закорючки, вы можете просто сделать комбинацию на несколько символов длиннее.

И еще: надежный пароль вовсе не должен быть случайным набором символов. Рандомные комбинации, несомненно, хороши с точки зрения безопасности, но запоминать их — настоящая пытка. Лучше придумайте легко запоминаемый пароль, но подлиннее, минимум 12 символов — а лучше больше.

Надежные и уникальные пароли, которые легко запомнить

На самом деле запоминать сложные и уникальные пароли проще, чем кажется на первый взгляд. Нужно просто знать правильный подход. Сложный на вид (и для запоминания) и сложный для взлома — это совсем не одно и то же.

К примеру, легко запоминаемый пароль 12345-vyshel-zaychik-naprimer и страшная комбинация символов ?Y][email protected]{nKw!’q обладают близкой надежностью — а на вид и не скажешь, верно? Фокус в том, что «зайчик» компенсирует все свои недостатки большей длиной.

Дэвид Якоби (David Jacoby), аналитик нашего Глобального центра исследования и анализа угроз (GReAT), простым и понятным языком объясняет, как правильно обращаться с паролями. В своей статье он рассказывает, как придумать свою собственную «систему запоминания паролей», с которой вы больше их не забудете.

И напоследок еще пара советов, которые помогут вам усилить защиту аккаунтов. Во-первых, включите двухфакторную аутентификацию для всех своих учетных записей. Во-вторых, попробуйте использовать менеджер паролей в качестве «Плана Б».

Категории: Новости вендоров

Цена приватности в Интернете: готовы ли пользователи рисковать личными данными?

пт, 17/05/2019 - 18:47

Передача личных данных и ценной информации через Интернет в современном мире стала абсолютно естественной и повседневной. Онлайн-транзакции и общение в Сети значительно упрощают жизнь, однако могут привести к утечке конфиденциальной информации. И эта утечка может иметь очень неприятные последствия, выходящие за пределы цифровой среды. Многие пользователи озабочены приватностью в Интернете, но далеко не все знают, как ее обеспечить.

В 2018 году «Лаборатория Касперского» опросила более 11 000 пользователей из 21 страны, узнав их мнение о приватности в Интернете. Ниже приведены основные результаты исследования.

Основные факты:
  • 56% респондентов не верят в возможность обеспечить полную конфиденциальность личных данных в Интернете. Скептиков больше среди людей старше 55 лет, тогда как «цифровое поколение» настроено более оптимистично.
  • 46% опрошенных пользователей сообщили, что кто-то хотя бы раз получал доступ к их личным данным без их согласия через их онлайн-аккаунты.
  • 21% пользователей теряли деньги из-за утечки данных. От этого чаще страдают пожилые люди, тогда как более молодые пользователи в основном жаловались на травлю и публичные оскорбления.
  • Киберпреступники — основная угроза приватности по мнению опрошенных. На втором и третьем месте – Интернет в целом и госструктуры.
  • 35% пользователей регулярно проверяют и меняют настройки приватности на своих устройствах, в используемых сервисах и приложениях (для молодежи этот процент выше).
  • Только 62% пользователей используют пароль для блокировки своих устройств и 25% прикрывают веб-камеры.
  • Невзирая на все потенциальные угрозы, 18% пользователей ответили, что готовы поделиться личными данными в обмен на бесплатные услуги, программы или подарки. Вдвое больше респондентов согласились бы продать свои данные за миллион долларов.
Как обезопасить себя

Несмотря на все опасения по поводу использования личных данных в Интернете, приватность должна быть доступна каждому. Чтобы обезопасить свое присутствие в Сети и не стать жертвой неправильного обращения с личными данными, следуйте простым правилам:

  • Дважды подумайте, прежде чем поделиться чем-либо в социальных сетях. Может ли публикация вашего мнения или личной информации иметь более серьезные последствия, чем кажется на первый взгляд? Можно ли использовать эту информацию против вас сейчас или в будущем?
  • Не делитесь паролями от учетных записей с членами семьи и друзьями. Каким бы удобным ни казалось совместное использование одного аккаунта, это увеличивает вероятность доступа к нему злоумышленников.
  • Не сообщайте личные данные и не давайте к ним доступ сторонним организациям, если в этом нет крайней необходимости. Узнайте, как защититься от онлайн-слежки.

Подробнее о том, как защитить личные данные в Интернете, вы узнаете здесь. Следуйте приведенным советам и используйте надежное защитное решение, например Kaspersky Security Cloud, чтобы полностью обезопасить себя в Сети.

Также вы можете прочитать полную версию отчета (только на английском языке).

Категории: Новости вендоров

FIN7 пережила арест руководства

пт, 17/05/2019 - 18:36

В прошлом году усилиями Европола и Министерства юстиции США было арестовано несколько киберпреступников, предположительно возглавлявших хакерские группировки FIN7 и Carbanak. СМИ моментально растиражировали новость о «гибели» этих преступных групп, но наши эксперты по-прежнему наблюдают признаки их деятельности. Более того, количество взаимосвязанных группировок, использующих схожий инструментарий и ту же самую инфраструктуру, продолжает расти. Вот список основных инструментов и приемов киберпреступников, а также ряд советов, как сохранить ваш бизнес в безопасности.

FIN7

FIN7 специализируется на краже финансовых данных компаний и получении нелегального доступа к инфраструктуре точек продаж. Группа использует целевой фишинг с применением сложных приемов социальной инженерии. Например, перед отправкой жертве вредоносных документов они могут обменяться с нею десятком «нормальных» сообщений, чтобы усыпить ее бдительность.

В большинстве случаев при атаках используются документы с макросами для установки на компьютер жертвы вредоносного ПО и создания повторяющихся задач, поддерживающих зловреда в рабочем состоянии. Затем зловред получает дополнительные модули и запускает их в системной памяти. Наши эксперты видели модули для сбора информации, загрузки дополнительного вредоносного ПО, создания скриншотов и сохранения в реестре резервной копии зловреда на случай обнаружения основной). Разумеется, в любой момент киберпреступники могут создать новые модули.

Группа CobaltGoblin/Carbanak/EmpireMonkey

Еще одни киберпреступники, использующие схожие инструменты и методы. Их основное отличие — цели атак. Эти специализируются на банках и разработчиках банковского и финансового ПО. Основная стратегия группировки Carbanak (также известной как CobaltGoblin и EmpireMonkey) — закрепиться в сетях компании-жертвы и затем осуществлять поиск компьютеров, содержащих информацию, которую можно было бы монетизировать.

Ботнет AveMaria

AveMaria — новый ботнет, используемый для кражи информации. После заражения компьютера он собирает всевозможные учетные данные из самых разных программ: браузеров, клиентов электронной почты, мессенджеров и так далее, а также работает кейлоггером.

Для доставки боевой нагрузки злоумышленники используют целевой фишинг, социальную инженерию и вредоносные вложения. Наши эксперты подозревают об их связи с Fin7 из-за схожести используемых методов и управляющей инфраструктуры. Еще одним признаком наличия такой связи является подбор целей: 30% — мелкие и средние компании, являющиеся поставщиками услуг для более крупных игроков, а 21% — различные производственные компании.

CopyPaste

Наши эксперты обнаружили следы преступной деятельности под кодовым названием CopyPaste, нацеленной на финансовые учреждения и компании одного африканского государства. Злоумышленники использовали ряд инструментов и методов, схожих с теми, что применяет Fin7. Однако есть вероятность, что эти киберпреступники воспользовались открытыми источниками и в действительности не связаны с FIN7.

Техническая информация, включая индикаторы компрометации, доступна на Securelist.com.

Как обезопасить себя
  • Используйте защитные решения, позволяющие обнаруживать и блокировать фишинг. Локальные системы электронной почты можно защитить при помощи специальных приложений в составе пакета Kaspersky Security для бизнеса.
  • Повышайте уровень осведомленности ваших сотрудников и обучайте их практическим навыкам противодействия атакам. Такие решения, как Kaspersky Automated Security Awareness Platform, закрепят у сотрудников навыки в сфере кибербезопасности.
  • Работа киберпреступных групп значительно упрощается, если их жертвы используют необновленные версии программного обеспечения. Чтобы ограничить возможности злоумышленников, следуйте надежной стратегии обновлений и используйте защитное решение, способное автоматически обновлять важное ПО, например тот же Kaspersky Security для бизнеса.
Категории: Новости вендоров

Мошенники на Airbnb расширяют аудиторию

чт, 16/05/2019 - 14:47

Мошенники охотятся за нашими деньгами круглый год, но один из самых прибыльных периодов для них — это сезон отпусков. Несмотря на то, что цены на билеты и отели в это время взлетают до небес, их все равно раскупают, как горячие пирожки. И тем, кто не позаботился о покупке билета или бронировании номера заранее, приходится лихорадочно прочесывать Интернет в поисках билетов и номеров за сколько-то приемлемые деньги.

В сезон отпусков Сеть наполняется спешащими и не очень внимательными пользователями. Интернет-мошенникам не так уж легко нажиться на них, ведь приходится размещать колоссальное количество фальшивых объявлений и рекламы, а потом еще и следить, чтобы клюнувшие на наживку не срывались с крючка. Но теперь в распоряжении преступников есть мощный инструмент как раз для этого — он называется Land Lordz.

Что такое Land Lordz?

Land Lordz — это работающий по подписке сервис, созданный для интернет-мошенников, которые специализируются на обмане туристов. Обычно преступники вручную создают объявления, размещают их и отвечают пользователям или мастерски делают поддельные веб-страницы, которые выглядят точь-в-точь как Airbnb. Новый инструмент помогает им автоматизировать эти процессы.

Сейчас, по наблюдениям ИБ-экспертов, эту программу используют только мошенники, которые промышляют на Airbnb. Но мы подозреваем, что сервис в скором времени потянется и к другим популярным сайтам для путешественников.

Базовая подписка Land Lordz стоит $550 в месяц. За эти деньги злоумышленник получает возможность одновременно управлять более чем 500 предложениями и общаться с сотней ничего не подозревающих пользователей Airbnb.

Что именно делают жулики?

Используя Land Lordz, мошенники создают фальшивые предложения о сдаче жилья в аренду и размещают их на Airbnb. Как правило, имена и фотографии берутся из настоящих объявлений, а для убедительности к каждой поддельной записи добавляется несколько фальшивых позитивных отзывов из готового набора.

В каждом предложении говорится, что оплата будет проходить исключительно через сайт Airbnb, как это обычно бывает на этом сервисе. Так создается ощущение, что пользователь находится под защитой Airbnb и в случае чего сможет потребовать возврат.

Предложение выглядит соблазнительным, и путешественнику, конечно, хочется связаться с владельцем, чтобы узнать больше деталей. В ответ на сообщение пользователю приходит ссылка, ведущая на фишинговый сайт. Это уже совсем не Airbnb, но выглядит солидно и внешне очень похоже на официальный ресурс. На фальшивой странице пользователя просят указать логин и пароль.

Как только пользователь вводит свои учетные данные, они сразу попадают в руки к мошенникам. Но на этом неприятности не заканчиваются. Мы уже упоминали, что сервис Land Lordz позволяет злоумышленникам отслеживать все взаимодействия с будущими жертвами.

Увидев, что турист уже почти клюнул, мошенники запрашивают аванс: не будет аванса — не будет и бронирования. Само собой, как только пользователь переводит деньги, «арендодатель» перестает реагировать на личные сообщения и исчезает в тумане.

Как не стать очередным обманутым туристом?
  • С недоверием относитесь к слишком заманчивым предложениям. Если что-то кажется неправдоподобно хорошим, скорее всего, правдой там и не пахнет. Узнайте, как избежать разочарований (или более неприятных последствий) при подготовке к отпуску, в нашей статье об опасностях, которые могут подстерегать при планировании поездок.
  • Будьте особенно осторожны, если арендодатель просит вас перейти по каким-либо ссылкам. А если он сразу же требует оплату напрямую — это явный признак обмана.
  • Всегда проверяйте URL страницы в адресной строке браузера, чтобы убедиться, что вы на официальном ресурсе. Пользуйтесь менеджером паролей: если он не заполнил поле для ввода пароля на странице входа автоматически, велик шанс, что вы на фальшивом сайте.
  • Обзаведитесь надежным антивирусным решением, которое предупредит вас, если ссылка ведет на мошеннический, вредоносный или фишинговый сайт.
Категории: Новости вендоров

Звонка по WhatsApp достаточно, чтобы начать слежку

ср, 15/05/2019 - 12:18

Недавно обнаруженная уязвимость нулевого дня в WhatsApp — самом популярном мессенджере в мире — позволяет хакерам подслушивать разговоры пользователей, читать их зашифрованные чаты, включать микрофон и камеру, а также устанавливать шпионское ПО, которое открывает еще больше возможностей для слежки. С его помощью можно, например, просматривать фотографии и видео жертв, список их контактов и так далее. Что еще хуже, для эксплуатации этой уязвимости хакеру достаточно просто позвонить вам в WhatsApp.

Что известно о новой уязвимости в WhatsApp

Пока достоверной информации о баге не слишком много. Точно известно, что особым образом сконфигурированный звонок в WhatsApp может спровоцировать переполнение буфера, что позволит хакерам захватить контроль над приложением и выполнить в нем произвольный код.

Похоже, атакующие использовали этот метод не только чтобы просматривать чаты и подслушивать разговоры, но и для эксплуатации прежде неизвестных уязвимостей в операционной системе, позволяющих устанавливать на устройство новые приложения. Именно это и делали злоумышленники: загружали в систему spyware — шпионское ПО.

По словам представителей Facebook (этой компании принадлежит WhatsApp), уязвимость уже исправлена. Она присутствует в WhatsApp для Android до версии v2.19.134, WhatsApp Business для Android до версии v2.19.44, WhatsApp для iOS до версии v2.19.51, WhatsApp Business для iOS до версии v2.19.51, WhatsApp для Windows Phone до версии v2.18.348 и WhatsApp для Tizen до версии v2.18.15. Одним словом, безопасны только самые новые версии приложения. Баг устранили всего пару дней назад.

При этом уже были замечены попытки использовать эту уязвимость. Служба безопасности WhatsApp приняла меры, позволяющие блокировать такие атаки на стороне сервера. Однако как много людей и кто именно успел стать жертвой шпионажа, пока не разглашается.

Также не вполне ясно, какое именно шпионское ПО злоумышленники устанавливали на второй стадии атаки. Тем не менее некоторые эксперты предполагают, что это мог быть зловред Pegasus, печально известный своими широкими возможностями по заражению разнообразных устройств, включая iOS.

Стоит упомянуть, что подобные уязвимости трудно эксплуатировать и что Pegasus (если это действительно был Pegasus) — весьма дорогой и сложный зловред, который используют в основном хакерские группировки, имеющие государственную поддержку. Обычные пользователи атакующих такого рода редко интересуют, так что скорее всего пока эту уязвимость использовали только для атак на «крупные цели». Однако всегда есть шанс, что шпионские инструменты утекут в сеть и ими воспользуется кто-то еще, так что в любом случае следует позаботиться о своей безопасности.

Как защититься от атаки через WhatsApp

Пока лучший способ защиты — это обновить WhatsApp. Для этого перейдите в магазин Apple App Store или Google Play, найдите WhatsApp и нажмите Обновить. Если кнопка «Обновить» отсутствует, но вы видите кнопку «Открыть», это значит, что у вас уже установлена последняя версия WhatsApp, защищенная от подобных атак.

Мы обновим эту статью, когда у нас будет больше информации об этой атаке или о средствах защиты от нее.

Категории: Новости вендоров

Почему не стоит искать в Интернете «Мстители: Финал»

вт, 14/05/2019 - 18:59

Как правило, фильмы появляются на стриминговых сайтах лишь спустя некоторое время после проката в кинотеатрах. Релиз «в цифре» порой откладывается на долгие месяцы — и чем успешнее картина, тем дольше приходится его ждать. Дело в том, что студиям выгоднее, чтобы люди ходили на их фильмы в кинотеатр, а не смотрели их дома на диване.

Но многие все равно ищут новые блокбастеры онлайн сразу же после их выхода — или даже не дожидаясь его. Честные киносайты, конечно же, помочь с этим не могут, а вот интернет-мошенников ничто не останавливает. Точнее, ничто не мешает им наобещать с три короба, а в процессе «развести» посетителя на что-нибудь. Самый свежий пример — мошенническая схема, связанная с недавним выходом фильма «Мстители: Финал».

Cкачать полную версию фильма «Мстители: Финал»? Скорее всего, это обман

Все начинается с обычного поиска. Среди результатов вы видите веб-сайт, где якобы можно посмотреть онлайн или скачать полную версию последних «Мстителей».

И действительно, онлайн-просмотр начинается — но почти сразу появляется окно с требованием создать учетную запись.

Это бесплатно, нужно просто указать адрес электронной почты и придумать пароль.

Но если после этого нажать на кнопку «Продолжить», окажется, что это еще не все: теперь учетную запись нужно подтвердить. Для этого система просит пользователя указать данные кредитки, включая код безопасности с обратной стороны карты.

При этом мошенники обещают, что деньги с карты списываться не будут. На сайте говорится, что платежные данные нужны только для проверки: вы якобы должны находиться в стране, где веб-сайт лицензирован для распространения такого контента.

Но даже если вы решитесь пройти эту проверку, никаких «Мстителей», вам, конечно, не покажут. Те несколько секунд настоящего контента из начала трансляции вырезали из трейлера. А вот ваши данные и платежная информация окажутся в руках мошенников.

Почему опасно создавать учетные записи на таких сайтах

Большинство посетителей сайта, скорее всего, закроют вкладку сразу же, как только от них потребуют данные карты. Но если вы уже указали адрес электронной почты и пароль, мошенники не останутся с пустыми руками.

Дело в том, что многие пользователи — да что уж там, почти все — используют один и тот же пароль для учетных записей на разных сайтах. Поэтому многие пары адресов и ключевых комбинаций, которые мошенники собрали на своем сайте, наверняка подойдут к учетным записям на других ресурсах — в онлайн-магазинах, на игровых или стриминговых сайтах, в сервисах электронной почты, социальных сетях и так далее.

Все эти аккаунты представляют для мошенников ценность. С их помощью можно воровать деньги или какие-нибудь цифровые ценности (услуги, предметы в играх, личные данные), отмывать украденные средства — ну а на худой конец, использовать для рассылки спама.

Как защититься от такого мошенничества
  • Всегда с подозрением относитесь ко всему, что нашли в Интернете. Поисковые системы делают очень многое для фильтрации контента, но полностью избавить Сеть от мошенников даже им не под силу.
  • Не вводите на непроверенных сайтах личную информацию, особенно данные банковской карты.
  • Не используйте один и тот же пароль на разных ресурсах. Установите менеджер паролей — он избавит вас от необходимости запоминать кучу разных комбинаций символов.
  • Обзаведитесь надежным антивирусом с защитой от фишинга и онлайн-мошенничества.
Категории: Новости вендоров

Интернет-мошенники открыли сезон охоты на YouTube-каналы

пн, 13/05/2019 - 20:18

Ведете канал на YouTube? Уже набрали больше тысячи подписчиков? Если так, то со дня на день вам может прийти долгожданное сообщение вроде этого: «Ваш запрос на монетизацию канала находится на рассмотрении». Однако будьте осторожны: это может оказаться ловушкой.

Не успели отгреметь кампании, нацеленные на охоту за учетными записями пользователей Instagram и Twitter, как преступники переключились на новую жертву — YouTube-блогеров.

Последний раз администрация YouTube ужесточала требования к каналам, претендующим на монетизацию видео, больше года назад — правила, которые действуют сейчас, были приняты в феврале 2018 года. Сегодня, чтобы зарабатывать деньги на своем канале, нужны как минимум тысяча подписчиков и 4 тысячи часов суммарного просмотра для всех видео за последний год.

При подаче заявки на монетизацию контента YouTube сразу предупреждает: после того как вы станете партнером сервиса, он будет регулярно проверять, соответствует ли ваш канал условиям программы. Неудивительно, что большинство владельцев каналов на YouTube крайне серьезно относятся к письмам, где говорится, что их канал проверяют.

Как выглядит новая мошенническая схема на YouTube

«Наша команда проверила ваш канал… В процессе проверки вашей учетной записи мы обнаружили более одного нарушения», — так начинается письмо под официальным логотипом YouTube. Тут же вам сообщают, что администрация контролирует все YouTube-каналы вручную, и просят предоставить свои данные, ответив на письмо. Фишеры покушаются ни много ни мало на пароль от вашей учетной записи, а заодно просят указать URL канала — видимо, чтобы уж точно не промахнуться.

По словам YouTube-блогеров, которые столкнулись с этим мошенничеством, поддельные уведомления приходили на почтовые адреса, находящиеся в открытом доступе, а не на адреса, которые были привязаны к их учетным записям на платформе (разумеется, в тех случаях, когда эти почтовые ящики различаются).

ATTN: @YouTube creators @i1Tesla @LikeTeslaKim @tesla_raj @Model3Owners @BenSullins @marc_benton @TesLatino @Teslatunity (plz tag others you know of). I got this phishing email today from "[email protected]" asking for my password. DO NOT RESPOND & REPORT IT pic.twitter.com/GVWZ33YEMc

— Tesla Joy (@TeslaJoy) May 5, 2019

Заполучив нужные данные, мошенники тут же пытаются перехватить контроль над вашим каналом. Зачем им это нужно? На самом деле возможности «нецелевого использования» вашей учетной записи практически безграничны. Например, преступники могут попробовать «развести на деньги» ваших (и не только ваших) подписчиков, продвигая от вашего имени фишинговые опросы или фальшивые лотереи. Список можно долго продолжать — к сожалению, у интернет-мошенников очень богатая фантазия.

Как защитить учетную запись

Помните, что администрация YouTube никогда не попросит пароль от вашей учетной записи.
Всегда тщательно проверяйте письма, которые вам приходят, особенно если вы не до конца уверены, кто на самом деле их отправил.
Включите для своей учетной записи двухфакторную аутентификацию: эта функция есть во всех приложениях и службах Google, в том числе и на YouTube. О том, как активировать 2FA, можно прочитать здесь.

Категории: Новости вендоров

Фильм «Хан Соло» с точки зрения кибербезопасности

ср, 08/05/2019 - 17:51

До сих пор в своих кинорасследованиях киберинцидентов компания Lucasfilm показывала нам исключительно имперские военные базы. Это было интересно, но достаточно однообразно. Solo: A Star Wars Story позволяет нам взглянуть на безопасность достаточно нетипичных объектов: пункта пограничного контроля на Кореллии, железную дорогу на плане Вандор-1 и рудный комбинат Кесселя, находящий в частной собственности. Произошедшие на них события нельзя назвать в чистом виде ИБ-инцидентами. Поэтому рассмотрим их в порядке убывания важности информационной составляющей.

Кессель. Рудный комбинат

Инцидент: Банда Бекетта проникает на территорию шахты, где добывается и хранится необработанный коаксиум. Там они захватывают центр управления, ломают ограничители дроидов, чем нарушают их нормальную работу и, благодаря спровоцированному этим бунту, похищают коаксиум.

Разбор: Дроиды, работающие в центре управления, снабжены ограничивающим устройством. Из прошлых кинорасследований мы знаем, что такие устройства применяются только в том случае, если это «пиратский» дроид. Фактически в центре управления объектом критической инфраструктуры работают нелицензионные, краденные машины, верность которых достигается за счет хакерского вмешательства в их систему мотивации.

Надо сказать, эта проблема характерна не только для вселенной «Звездных Войн». По итогам анализа ландшафта угроз для систем промышленной автоматизации, проведенного нашим KL ICS Cert, выдается рекомендация беспощадно избавляться от нелицензионного программного обеспечения, поскольку оно может иметь закладки и, по сути, контролироваться третьей стороной. Дроид — это киберфизическое устройство и в данном контексте ничем не отличается от современного пиратского ПО, работающего на промышленном объекте.

Но все было бы ничего, если бы директору шахты не пришло в голову приводить посторонних в свой кабинет, расположенный в центре управления всеми системами предприятия. В том числе системами безопасности. Разве нельзя организовать переговорную комнату где-то еще? В результате злоумышленники не только получают доступ к камерам наблюдения и дистанционному управлению дверьми, но и отключают ограничители у дроидов, что приводит к бунту и всеобщему хаосу.

Вандор-1. Железная дорога

Инцидент: две конкурирующие банды злоумышленников пытаются похитить контейнер с гипертопливом, который перемещается между двумя имперскими объектами по железной дороге типа «конвеекс» (Conveyex). Банда Бекетта глушит передачи поезда, отцепляет вагоны, расположенные после нужного контейнера, взрывает мост и, сбросив в пропасть остатки состава, пытается украсть горючее при помощи заранее угнанного имперского транспорта для перевозки шагоходов. В операцию вмешивается банда под предводительством Энфис Нест, пытающаяся перехватить контейнер, в результате чего тот падает и разрушается.

Разбор: Коаксиум — очень дорогое и чрезвычайно взрывоопасное вещество, поэтому ветка конвеекса, связывающая два имперских объекта, должна быть надежно защищена. И Империя вполне серьезно подходит к обеспечению безопасности транспортной инфраструктуры — в одном из вагонов поезда едет вооруженная охрана, а у дороги находятся башни с боевыми дроидами, готовыми вмешаться в случае инцидента. Кроме того, вдоль путей расположены дополнительные сенсоры, в которые, по всей видимости, встроен датчик, проверяющий их целостность и передающий данные о состоянии сенсора по проводному каналу связи. Именно уничтожение одного из сенсоров приводит к срабатыванию системы безопасности и вызывает дроидов.

Разумеется, система могла бы быть и надежнее. Но фактически ошибка тут одна — потеря связи с поездом уже должна работать как триггер для включения тревоги и призыва охранных дроидов. Не то чтобы они были сверхэффективны, но, возможно, если бы действовали одновременно со штурмовиками охраны, преступление удалось бы предотвратить.

Кореллия. Пункт пограничного контроля

Инцидент: Злоумышленники пытались покинуть Кореллию, не имея документов. По дороге в космопорт они протаранили заграждение и уничтожили дроида у КПП на въезде в охраняемую зону. Далее они подкупают имперского офицера и получают возможность покинуть зону контроля. Офицер поднимает тревогу только после того, как Ки’ру хватают местные бандиты.

Разбор: По большому счету, этот инцидент имеет отношение скорее к физической безопасности, чем к информационной. Однако в качестве удостоверяющего личность документа в порте используется идентификационный чип. На пограничном пункте космопорта действуют строгие правила — человек, не имеющий идентификационного чипа, не может покинуть зону контроля. Сама по себе Кореллия — индустриальная планета, специализирующаяся на кораблестроении. На территории порта можно увидеть детали имперских военных кораблей. Несмотря на это, невооруженным взглядом видны две проблемы:

  1. Имперский персонал коррумпирован. Любая система безопасности окажется ненадежной, если людей, отвечающих за ее работу, можно подкупить. Причем это не единичная проблема — Хан и Ки’ра идут не к заранее известному продажному офицеру, а предлагают взятку первому попавшемуся. То есть тот факт, что персонал ненадежен, знают все. По сути именно в этом и кроется причина падения Империи.
  2. Идентификационный чип, который в теории нужен каждому покидающему планету, фактически никак не используется для реальной идентификации пассажира. Дверь открывает офицер, вручную. В идеале, если чипы все равно используются, их считыватель можно было бы подключить к системе, открывающей дверь. Такой вариант позволил бы контролировать количество прошедших через пункт и вести логи считанных чипов. Не стопроцентная гарантия, разумеется, но, по крайней мере, затруднило бы жизнь коррупционерам.

А по-хорошему, автоматизированная система безопасности должна была сработать еще в момент проникновения на территорию порта путем тарана. Уж, по крайней мере, тревогу по порту объявить можно было.

Все три инцидента показывают, что рассматривать чисто информационную безопасность без связи с физической — нельзя. Службы безопасности должны быть скоординированы и действовать совместно, только тогда получится обеспечить надежную защиту. Особенно на объекте критической инфраструктуры.

Категории: Новости вендоров

Почему покупка «умного» замка — плохая идея

вт, 07/05/2019 - 13:26

Последние пару недель я подсел на просмотр канала LockPickingLawyer на YouTube. Из этих роликов можно узнать кучу всего интересного о замках и их взломе — особенно если вы никогда всерьез не погружались в эту тему. Но одна из вещей, которые меня зацепили больше всего, — это насколько уязвимы с точки зрения физической защиты «умные» замки.

Думаю, будет излишним расставлять ироничные кавычки по всему тексту, так что просто помните, что каждый раз, используя слово умный, я мысленно их добавляю и подразумеваю «умный» — в кавычках. Ну и если уж на то пошло, замок тоже очень даже можно понимать как «замок».

Начнем с умного замка для чемоданов eGeeTouch. Его можно отпереть с помощью приложения на смартфоне либо с помощью специальной NFC-метки. Вообще, все эти замки для багажа — по определению бесполезная штука. Дело в том, что их можно открыть с помощью универсальных ключей, которые использует американская служба транспортной безопасности. Полный набор этих ключей можно за копейки купить на AliExpress или просто распечатать на 3D-принтере. Так что никого такой замок не остановит.

Впрочем, конструкция eGeeTouch настолько плоха, что можно обойтись вообще без ключей — замок можно полностью разобрать и отпереть с помощью обычного складного ножа. Подозреваю, что подойдет даже пластиковая карта, ведь все, что нужно сделать — это поддеть пластиковую панель на лицевой части замка:

Примерно то же можно сказать про замок Pavlit со сканером отпечатков пальцев. Сняв пластиковую переднюю панель с помощью плоской отвертки или ножа, легко добраться до рычажка, который размыкает дужку:

Еще один пример — умный велосипедный замок TurboLock TL-400KBL. По задумке производителя, его можно открыть через мобильное приложение, к которому замок подключается по Bluetooth, либо введя PIN-код на кнопочной панели. Не нужно быть специалистом, чтобы заметить очевидный минус: замок сделан из пластика, так что его несложно разбить или сжечь. Но такие крайние меры в данном случае будут излишни — он легко разбирается с помощью отвертки, как какая-нибудь детская машинка:

Теперь посмотрим на замок с распознаванием отпечатков пальцев Uervoton. Его металлический корпус выглядит довольно прочным. По идее, его будет непросто вскрыть ножом или отверткой. Но, увы, конструкция замка оставляет желать лучшего: винты расположены на поверхности, и их легко выкрутить. После этого Uervoton буквально рассыпается на отдельные детали:

Наконец, умный замок BoxLock. Пожалуй, самая осмысленная из всех перечисленных моделей. Он отпирается с помощью штрихкода, напечатанного на посылке. Идея в том, что доставивший посылку курьер сможет без проблем открыть замок, оставить посылку в почтовом ящике и запереть его — и таким образом защитить доставленный товар от воров. BoxLock выглядит весьма внушительно, но это только на первый взгляд. С помощью обычной отвертки его несложно разобрать на части и после этого отпереть:

Можно было бы продолжить приводить подобные примеры — на канале LockPickingLawyer есть куча обзоров умных замков. Но я думаю, что приведенных примеров достаточно для того, чтобы понять общую проблему умных замков: они разрабатываются как потребительские электронные устройства и поэтому не защищены от простейших физических действий потенциального взломщика.

Обычные замки устроены совершенно иначе. Во-первых, корпус добротного замка обычно сделан из цельного куска металла. Во-вторых, все винты тщательно скрыты, и как минимум один из них можно открутить только тогда, когда дужка открыта. Конечно, в конструировании замков есть еще целая куча тонкостей, но это элементарные свойства, которыми обладают даже недорогие замки. В качестве примера того, как должен быть устроен хороший замок, можно взять вот эту модель, произведенную компанией Yale:

Судя по всему, производители замков с электронной начинкой не в курсе этих конструктивных особенностей. Поэтому прежде чем покупать умный замок, подумайте дважды. Скорее всего, вы одновременно и сильно переплатите, и не получите тот уровень безопасности, на который рассчитывали. А вы, скорее всего, хотите защитить что-то более-менее ценное — иначе зачем вам вообще замок?

Категории: Новости вендоров

Пересылка чужого спама вредит бизнесу

пн, 06/05/2019 - 17:26

К нам за помощью в расследовании инцидента обратилась крупная бразильская компания государственного уровня. Суть проблемы заключалась в том, что злоумышленники каким-то образом начали рассылать спам через адреса сотрудников этой организации. То есть не имитировать легитимного отправителя, как это часто происходит, а именно пересылать письма через почтовый сервер компании. Мы провели тщательное расследование и смогли понять, как именно действуют злоумышленники.

Схема атаки на бизнес

Сначала мошенники рассылают фишинговые письма сотрудникам. В письмах они говорят, что почтовый ящик адресата будет заблокирован по тем или иным причинам. Чтобы избежать этого, они просят обновить данные учетной записи и услужливо предлагают перейти по ссылке. Разумеется, фишинговой. Она ведет на страницу с формой, где требуется ввести данные для авторизации в системе.

Перевод: Уважаемый пользователь, ваш почтовый ящик будет удален из-за множественного игнорирования писем. Чтобы избежать этого, кликните сюда для обновления учетной записи. Приносим извинения за доставленные неудобства. Системный администратор.

После того как жертва заполнит форму, мошенники получают полный доступ к ее почтовому аккаунту и теперь могут рассылать любые сообщения от ее имени. При этом им даже не приходится подделывать технические заголовки своих писем и пытаться сделать их похожими на легитимные. В результате письма, отправленные таким образом, не вызывают подозрений у спам-фильтров, ведь они отправлены через оригинальные и с репутационной точки зрения абсолютно чистые серверы.

Дальнейшие действия злоумышленников

Получив контроль над ящиками, злоумышленники приступали к следующей волне рассылок. В расследуемом нами инциденте мошенники рассылали «нигерийский спам» на разных языках. Однако в теории там может оказаться что угодно — от предложений теневой фармацевтики до вредоносов.

Анализ показал, что обратившаяся к нам организация не была единственной жертвой — тот же самый «нигерийский спам» рассылался также в большом количестве с адресов различных государственных, а также некоммерческих организаций, что добавляло еще больший репутационный вес отправляемым письмам.

Согласитесь, с репутационной точки зрения использование ваших серверов для рассылки мошеннических предложений выглядит не очень хорошо. А уж если они примутся за рассылку вредоносов, то это и вовсе выставит вашу компанию в негативном свете.

Но есть и еще более серьезные последствия. Нередко учетные данные для входа в почтовый ящик полностью совпадают с доменным логином и паролем сотрудника. А по ним можно получить доступ не только к почте, но и к другим сервисам компании.

Более того, воспользовавшись доступом к почтовому ящику сотрудника уважаемой организации, злоумышленники могут попробовать провернуть и целевую атаку на коллег, деловых партнеров или представителей государственной и бизнес-сферы. Да, такие атаки достаточно сложно реализовать, так как для этого нужно применить мастерство социальной инженерии и заставить получателя выполнить все необходимые действия. Однако и ущерб от подобных атак может быть непредсказуемо велик.

Такой тип мошенничества является разновидностью Business Email Compromise (BEC) и способен причинить немало головной боли компании жертвы. Суть его заключается в том, что поддельный отправитель вступает в переписку с целью получить данные счетов, финансовые документы и прочую конфиденциальную информацию.  И распознать в отправителе BEC сообщения мошенника при реальных технических заголовках, настоящем адресе и актуальной тематике контента очень сложно.

Как обезопасить компанию и сотрудников

Чтобы защитить репутацию компании и не стать злостным рассыльщиком спама, мы рекомендуем пользоваться надежными защитными решениями, которые отслеживают попытки фишинга как на стороне почтового сервера, так и на рабочих станциях сотрудников. И, разумеется, не пропускать обновления эвристических баз антиспам- и антифишинг-компонентов.

Категории: Новости вендоров

Можно ли защититься от атак на GPS?

пт, 03/05/2019 - 09:00

Вы ведете свой автомобиль через центр города, бросаете взгляд на экран навигационного приложения и неожиданно понимаете, что навигатор «видит» вас за городом, поблизости от аэропорта. Неприятно? О да! Что еще неприятнее — это не фантастика, а реальный пример использования технологии GPS spoofing, то есть подмены GPS-координат при помощи трансляции с земли более сильного фальшивого GPS-сигнала, который заглушает собой спутниковый.

Кто и зачем этим занимается, точно неизвестно, но практических применений этому трюку придумано множество — от угона дронов до внесения помех в навигацию яхт и танкеров. Из свежих и хороших новостей могу добавить только одно: стали появляться защитные решения от этого типа атак.

Основные факты о том, что такое GPS spoofing, зачем он нужен и как от него можно защититься, для тех, кому некогда читать пост целиком:

  • GPS spoofing или подделка GPS — это трансляция с земли фальшивого GPS-сигнала. Все навигаторы вокруг начинают показывать неправильное местоположение.
  • С помощью GPS spoofing можно угонять беспилотные летательные аппараты и автомобили или сбивать с толку дроны, таксистов и моряков.
  • Программы и оборудование для спуфинга GPS довольно доступны — все необходимое обойдется в несколько сотен долларов.
  • Защита уже разрабатывается, но в основном предназначена для крупного GPS-оборудования, например корабельной навигации.
  • Самая простая защита смартфона, хотя и с неудобствами, — переключить смартфон в режим «экономичной геолокации», когда положение определяется только по сотовым вышкам и Wi-Fi точкам, а GPS отключен (этот режим доступен не во всех устройствах).

А теперь подробнее для тех, кому интересно разобраться в деталях.

Как работает GPS spoofing

Чтобы понять, почему вообще возможна подделка GPS, нужно немного вспомнить, как работает такая удобная и повсеместно доступная «спутниковая навигация». Над Землей на геостационарной орбите подвешено несколько группировок спутников — американская GPS, европейская Galileo, российская ГЛОНАСС, китайская BeiDou.

Каждый из этих спутников постоянно передает радиосигнал, содержащий код спутника и сверхточное время передачи сигнала. Ваш телефон или любой другой навигатор ничего никуда не передает, а просто принимает эти радиосигналы от спутника. Анализируя точное время приема каждого сигнала, можно высчитать расстояние от GPS-приемника до каждого из спутников.

Немного математики, и, сопоставив несколько подобных сигналов (минимум три, но лучше больше), можно узнать точное расположение приемника относительно спутников. А поскольку координаты спутников известны и неизменны, это позволяет установить местоположение GPS-приемника на поверхности нашей планеты.

Проблема в том, что сигналы от спутников доходят до земли ослабленными, а антенны у большинства приемников не особо чувствительные. Поэтому, поставив поблизости даже умеренно мощный радиопередатчик и транслируя с него фальшивый, но технически корректный GPS-сигнал, можно легко заглушить спутники и вынудить все GPS-приемники в округе определять неправильные координаты.

При этом приемники не имеют технических средств, чтобы определить направление сигнала, поэтому им невдомек, что сигнал пришел совсем из другого места. К сожалению, оборудование для трансляции «хакерского» сигнала GPS стоит очень недорого — всего 300 долларов, а необходимые программы вообще бесплатны, поэтому подобные трюки могут проделывать не только военные со спецслужбами, а практически любой желающий.

Штефан Герлинг рассказывает о самодельном оборудовании для спуфинга GPS на Security Analyst Summit

Кому и зачем может понадобиться подделка GPS?

Известные случаи взлома GPS-систем относятся к исследовательским проектам (угон яхт — как вам такое исследование?), браконьерству, а также, вероятно, военным операциям. По мере развития автономных систем, таких как дроны и беспилотные автомобили, этот список несомненно будет расширяться. В прессе уже упоминались случаи угона военных беспилотников, и что-то подсказывает, что с гражданскими дронами ситуация вряд ли будет лучше.

Как защититься от подделки GPS

Хотя проблема не слишком нова и о ней говорят уже несколько лет, в разработке мер защиты есть большое препятствие: ключевое оборудование запущено в космос, и заменить его в разумные сроки невозможно. GPS-спутники излучают то, что излучают, и добавить к этому сигналу традиционные для Интернета средства защиты, такие как шифрование и сертификаты, никто не может. Пока меры защиты носят скорее экспериментальный характер и недоступны для широкомасштабного применения.

Один подход, который кроме защиты от подделки также обеспечит более устойчивый прием навигационных сигналов, основан на использовании многоантенных конфигураций приемника (2х2) и технологии формирования луча (beamforming). Эта комбинация не только отсеивает помехи и интерференции, но и позволяет определить направление, откуда пришел сигнал.

При таком подходе отличить подделку от настоящего спутникового сигнала будет легче. Пока подобные установки для GPS существуют только в виде относительно крупных экспериментальных образцов, но их можно в будущем внедрить и в более компактное оборудование. Это будет не так сложно и дорого, как кажется, поскольку сходные технологии используются в сотовых сетях 4G и 5G.

Другой подход, доступный в виде коммерческого решения уже сегодня, но приемлемый только для достаточно крупных GPS-приемников (например, на морских судах), — это так называемый GPS-файрвол. Этот прибор устанавливается между GPS-приемником и его внешней антенной. Он постоянно анализирует сигнал GPS по какому-то набору правил и призван отсекать фальшивые сигналы, допуская до приемника только достоверный сигнал.

В будущем, возможно, производители телефонных чипов смогут встроить что-то вроде GPS-файрвола прямо в основную функциональность навигационного ресивера смартфона, но до этого нам еще несколько лет — сначала должны произойти несколько громких угонов, которые создадут вокруг проблемы необходимый ажиотаж, а значит, и рыночный спрос.

Ну а пока — если вы в какой-то момент обнаружите, что навигационное приложение смартфона или планшета упорно считает, что вы находитесь в аэропорту, хотя на самом деле вы в центре города, можно использовать лайфхак. Переключите геолокацию смартфона в «экономичный» режим, в котором собственно GPS не используется, а координаты определяются на основе сетей Wi-Fi и базовых станций сотовой сети. Точность у такой геолокации невысокая, но все лучше, чем ничего. В iOS это режим, к сожалению, недоступен, а в Android его обычно можно активировать в Настройки → Местоположение и защита → Местоположение → Режим → По координатам сети.

Активация «экономичного» режиме геолокации в Android 8

Категории: Новости вендоров

Чего ждать от утечки исходного кода Carbanak?

вт, 30/04/2019 - 17:40

Недавно в медиа-пространстве промелькнула новость о том, что исходный код Carbanak был найден в свободном доступе. Исследовали нашли его на сайте VirusTotal. Carbanak печально известен тем, что с его помощью было украдено денежных средств на сумму примерно равную миллиарду долларов США.

Немного истории

Наши эксперты изначально обнаружили и проанализировали Carbanak в 2014 году. В то время они расследовали многочисленные киберинциденты в ходе которых наличные исчезали непосредственно из банкоматов различных банков. В результате они вскрыли обширную международную вредоносную кампанию, целью которой были хищения денег из банков по всему миру. Изначально эксперты изучали инциденты, случившиеся в Восточной Европе, однако вскоре обнаружили жертвы и из других регионов мира — США, Германии и Китая.

Как и большинство других атак, эта начиналась с целевого фишинга: жертва получала письмо, зараженное вредоносным вложением, которое устанавливало бэкдор на основе зловреда Carberp. Бэкдор давал злоумышленникам доступ ко всей сети банка, заражая компьютеры, с которых можно было отдать распоряжение о выдаче или переводе денег.

Изъятие средств производилось разными способами. В некоторых случаях банкоматы получали дистанционную команду на выдачу наличных, после чего деньги забирали мулы. Иногда преступники переводили деньги на свои счета через систему SWIFT. На момент 2014 года такие методы были достаточно редки, так что масштаб операции и методы, которыми оперировали преступники, наделали немало шума в среде специалистов по кибербезопасности.

Как могут развиваться события?

С момента первого обнаружения Carbanak, наши эксперты успели отследить несколько атак, в которых преступники пользовались схожими тактиками (например, Silence), а также другие операции той же группировки (которая остается активной до сих пор). Теперь, с публикацией исходного кода, подобные инциденты могут значительно участиться. Ведь к исходному коду получат доступ киберпреступники, не имеющие навыков программирования, достаточных для создания столь сложных вредоносов. Вот что по этому поводу думает Сергей Голованов, исследователь «Лаборатории Касперского», который занимался Carbanak с самого начала:

«Появление исходного кода печально знаменитого зловреда Carbanak на публичном портале — очень нехороший знак. Ведь и сам Carbanak был когда-то создан на базе Carberp, после того как код этого зловреда опубликовали в Сети. У нас есть все основания полагать, что сценарий повторится и что в будущем нам придется иметь дело с еще более опасными модификациями Carbanak. Однако есть и хорошие новости: с момента утечки Carberp отрасль кибербезопасности не стояла на месте, и теперь мы можем без труда опознать измененный код. Мы призываем компании и отдельных пользователей обезопасить себя от этой и будущих угроз с помощью надежного защитного решения».

Как обеспечить свою безопасность

Чтобы оградить себя от этой и подобной угроз, мы рекомендуем следующие меры:

Интегрируйте в SIEM-системы и другие механизмы управления безопасностью свежие и актуальные аналитические данные об угрозах, чтобы вовремя готовиться к возможным атакам.

Помимо базовой защиты рабочих мест, имеет смысл использовать решение, способное обнаружить продвинутые угрозы на уровне сети, например Kaspersky Anti Targeted Attack Platform.

Категории: Новости вендоров

Фишинг без границ, или Не забывайте обновлять свой роутер

пн, 29/04/2019 - 18:39

Ничто не вечно под луной, но даже из этого, казалось бы, незыблемого правила бывают исключения. Фишинг был и остается самой распространенной сетевой угрозой.

Если вы регулярно читаете наш блог, то наверняка знаете, как противостоять попыткам выманить у вас данные. Однако иногда стандартных мер защиты недостаточно. Можно избегать публичных сетей Wi-FI, тщательно проверять все ссылки и все равно оказаться жертвой злоумышленников. Сегодня мы поговорим об одной из схем, которые очень сложно распознать, — фишинговых атаках через взломанные роутеры.

Как взламывают роутеры

Есть два основных способа взломать ваш роутер. Первый работает, если после покупки устройства вы не меняли пароль администратора (речь идет не о наборе символов, который вы вводите при подключении к Wi-Fi, а о пароле, который нужен для входа в панель настроек самого роутера).

Любой пользователь может поменять пароль, который задан по умолчанию, но большинство из нас, как правило, решает «не заморачиваться». Проблема в том, что это сильно упрощает работу взломщикам — стандартные пароли для многих моделей роутеров, установленные производителем, не так трудно угадать методом подбора, а иногда и просто «нагуглить».

Второй способ — использовать уязвимость в прошивке вашего устройства. К сожалению, надеяться на отсутствие брешей в прошивках большинства современных роутеров не приходится.

Какой бы подход злоумышленники ни выбрали, непосредственный доступ к роутеру им не нужен: в обоих случаях они «работают» удаленно. Сам процесс автоматизирован и рассчитан на максимально возможное количество потенциальных жертв.

Использовать взломанные роутеры можно по-разному, но сегодня мы остановимся на проведении с их помощью фишинговых атак. Как мы уже говорили, опасность в том, что такого рода атаки крайне сложно заметить.

Зачем фишерам взломанный роутер

Злоумышленники взломали ваш роутер. Что дальше? На самом деле, все довольно просто. Они меняют настройки — совсем чуть-чуть: всего лишь указывают новый адрес DNS-сервера, с помощью которого роутер обрабатывает данные о доменных именах. Большинство пользователей редко обращают на этот параметр внимание, поэтому давайте разберемся, что это такое и чем грозит его подмена.

Фактически DNS (Domain Name System, система доменных имен) — это основа всего Интернета. Например, вы решили зайти в свой аккаунт во ВКонтакте. Вы вводите vk.com в адресную строку браузера. Изначально адреса всех сайтов и серверов в Интернете состоят из цифр (так называемые IP-адреса), а буквенные удобочитаемые названия (те самые доменные имена) — это их своеобразные «псевдонимы», придуманные для удобства пользователей. Ваш браузер не знает, где находится сайт vk.com, но сможет открыть его, если узнает его IP-адрес. Поэтому:

  1. Браузер отправляет запрос DNS-серверу.
  2. DNS-сервер «переводит» доменное имя в IP-адрес, состоящий из цифр, и отправляет этот адрес его браузеру.
  3. Узнав IP-адрес сайта, браузер загружает нужную вам страницу.

Все это происходит быстро и незаметно. Однако если злоумышленники взломали ваш роутер и подменили адрес DNS-сервера, то все запросы будут попадать на этот поддельный сервер, находящийся под их контролем. Таким образом, вместо IP нужного вам сайта браузер будет получать поддельный адрес.

Для вас все будет выглядеть как обычно, только вместо настоящих страниц будут загружаться фишинговые — и все введенные на этих страницах логины и пароли будут отправляться злоумышленникам. Самое неприятное в этой ситуации то, что и вы, и ваш браузер будете совершенно уверены в том, что находитесь на настоящем сайте.

Ограбление по-бразильски

Недавно волна подобных атак прокатилась по Бразилии. Злоумышленники пользовались уязвимостями в роутерах D-Link DSL, DSLink 260E, ARG-W4 ADSL, Secutech и TOTOLINK и подменяли настройки DNS.

Когда жертвы пытались зайти на сайты банков или воспользоваться каким-то другим популярным интернет-сервисом, вредоносный сервер подменял IP-адреса и отправлял пользователей на фальшивые сайты. Мошенники создали поддельные страницы целого списка бразильских банков, финансовых организаций, хостинг-провайдеров и облачных платформ. В результате логины, пароли, а нередко и платежные данные владельцев взломанных роутеров оказывались у фишеров.

Помимо клиентов бразильских организаций, злоумышленников также интересовали учетные записи нескольких крупнейших интернет-сервисов. В ходе этой вредоносной кампании мошенники с помощью того же самого метода охотились на пользователей PayPal, Netflix, Uber и Gmail.

И что делать?

Как мы уже говорили, в отличие от многих других сортов фишинга, заметить атаку такого рода крайне сложно. Впрочем, совершенно безнадежных ситуаций не бывает, и у нас есть пара соображений на этот счет:

  1. Войдите в меню настроек роутера и смените пароль, который там стоит по умолчанию. И раз уж вы в них зашли, заодно отключите несколько потенциально опасных функций вроде удаленного администрирования.
  2. Регулярно обновляйте прошивку роутера: обновления обычно «закрывают» уязвимости. Для некоторых моделей патчи приходят автоматически, но иногда их приходится загружать и устанавливать самостоятельно. Узнать, как обновить ПО вашего устройства, можно на сайте производителя.
  3. Даже если страница выглядит очень знакомо, обращайте внимание на подозрительные детали — например, на странные всплывающие уведомления, которых там быть не должно. Попробуйте перейти в другие разделы сайта: злоумышленникам редко удается идеально скопировать внешний вид всего ресурса.
  4. Прежде чем вводить свои логин и пароль или другие важные данные, убедитесь, что сайт использует защищенное соединение. Если страница безопасна, вы увидите значок замка и https:// в начале адреса.
  5. Проверьте, совпадает ли имя домена с именем в сертификате безопасности:
    • В Internet Explorer или Edge: нажмите на значок замка перед адресом сайта в адресной строке.
    • В Firefox: нажмите на значок замка, а затем выберите Соединение и нажмите стрелку справа.
    • В Chrome: нажмите на значок замка, а затем выберите Сертификат, затем General и проверьте, что написано в строке Issued to.
Категории: Новости вендоров

Почему вам надо прибраться на своем компьютере прямо сейчас

чт, 25/04/2019 - 16:19

Если вы работаете с компьютером, то почти наверняка имеете дело с множеством документов. Самых разных — финансовых, технических, секретных, да и просто писем, которых в день приходит не по одному десятку. И наверняка вы хоть раз в жизни отправляли письмо или сообщение — с документами или без — не тому адресату.

В рабочих терминах это называется утечкой информации. Наше прошлогоднее исследование показало, что примерно одна из трех утечек заканчивается чьим-нибудь увольнением. Но утечки возникают не только потому, что сотрудник компании отправил важные документы не по адресу, а еще и из-за бардака с настройками доступа. Вот о них и поговорим, но не с точки зрения работодателя, а с точки зрения рядового сотрудника: как обращаться с документами так, чтобы не случилось ничего плохого.

Не берите работу домой

Иногда вы не успеваете что-то доделать в рабочее время — и кажется, что было бы удобно добить это уже из дома. Но помимо традиционного аргумента о том, что в жизни должен быть баланс между работой и отдыхом, тут есть и еще один аргумент против — безопасность работы из дома.

В офисе за безопасность отвечает соответствующая служба. У нее есть всякие политики, она в ответе за то, чтобы у компании были сервисы для безопасного хранения данных, она заботится о том, чтобы ваш компьютер был надежно защищен, и так далее. Сервисы для компаний обычно защищены сильнее и настраиваются более гибко, чем для индивидуальных пользователей. Например, для защиты One Drive для бизнеса Microsoft задействует несколько уровней шифрования данных и позволяет компаниям запрещать делиться документами с кем попало. В One Drive для обычных пользователей такого нет.

И если выяснится, что какие-то данные из сервиса, который использует ваша компания, утекли потому, что политики безопасности были неправильными или компьютер оказался недостаточно защищенным, то виноваты в этом не вы, а ответственные люди из СБ.

Но как только вы берете работу домой или начинаете использовать какие-то внешние сервисы для хранения рабочих документов, на вас ложится вся ответственность за сохранность этой информации и за то, что она не попадет не в те руки. А различных способов эту информацию потерять или нечаянно слить — великое множество.

Вы можете не задумываться и даже не подозревать о некоторых важных нюансах, например о том, что Google-документы с доступом по ссылке видят не только те люди, которым вы их хотите показать, но и поисковики. Или что ваш незапароленный ноутбук кто-то может украсть. Или что кто-то может подключиться к вашему смартфону через USB-зарядку в аэропорту.

Не забывайте закрывать доступ

Совместная работа с документами — это, конечно, очень удобно, и недаром ей пользуются почти везде. Возможность указать, кто имеет доступ к документу, тоже здорово упрощает жизнь. Вот только в реальной жизни многие легко раздают права доступа и часто забывают их забирать.

Представьте, что вы вместе с подрядчиком работали над какой-то задачей. Тот этап проекта, для которого требовался этот подрядчик, вы закончили, но доступ к документам, которые были ему открыты, не отозвали. Подрядчик заключил договор с конкурентами, и те очень рады возможности узнавать от него, что происходит у вас в проектах. Угадайте, чем эта история для вас обернется, когда о ней узнает руководство, — а рано или поздно оно так или иначе обычно узнает.

Поэтому регулярно проводите ревизию: к каким документам вы давали доступ, кому, нужен ли он еще этим людям или его смело можно отзывать. Сотрудник уволился? Посмотрите, к каким документам лично вы давали ему доступ. И отзовите его. Контракт с подрядчиком закончился — то же самое.

Не сообщайте коллегам информацию, которая их не касается

Как показало наше недавнее исследование, 30% молодых сотрудников и 18% представителей старшего поколения готовы поделиться с коллегами логином и паролем от своего рабочего компьютера или аккаунта. То, что таких людей меньше половины, конечно, хорошо. А вот то, что они в принципе есть, — плохо.

Во-первых, ваш коллега может вести нечестную игру и намеренно сливать на сторону конфиденциальную информацию. Если к этой информации доступ есть только у вас, нетрудно догадаться, кто станет виноватым в случае утечки.

Во-вторых, даже добросовестный сотрудник может случайно удалить или отправить не туда важный документ с вашего компьютера. К сожалению, то, что в его действиях не было злого умысла, не освободит вас от ответственности.

Так что в информации, которую вы сообщаете коллегам, должен быть точно такой же порядок, как и во всем остальном. По сути, сказав что-то, вы дали коллеге доступ к информации. А что бывает с неправильно выданными доступами, мы уже разбирали выше.

Наведите порядок в почте

Отправляли письмо не тому адресату? Наверняка хоть раз случалось. Или забывали убрать кого-то из копии, и потом было очень неудобно. И обычно это все происходит из-за спешки и невнимательности. Простой лайфхак: чтобы избегать таких ситуаций, сделайте какой-нибудь ярлык — скажем, Private — и вешайте его на все письма чувствительного содержания. Когда будете пересылать такое письмо или отвечать на него, глаз зацепится за ярлык, и вы лишний раз проверите, тех ли адресатов указали и ту ли информацию собираетесь отправить.

Кстати, порядок в почте неплохо наводить и по другой причине. У всех в почтовом ящике хранятся какие-то документы или письма, к которым периодически приходится обращаться. И если на поиск такого письма тратится больше минуты, потому что вы не помните, по какому признаку его искать, это ужасно неэффективно. Так что организация строгой системы и сортировка писем по папкам — дело совсем небесполезное.

Приберитесь дома

Все то же наше исследование показало, что бытовые привычки человека тесно связаны с деловыми. Иными словами, если у вас бардак дома, то и на рабочем месте тоже, скорее всего, будет бардак. Так что начните с малого и наведите какой-никакой порядок дома, а там и правильные привычки по организации рабочего цифрового пространства появятся.

Категории: Новости вендоров

Цифровой бардак как киберугроза компании

ср, 24/04/2019 - 14:00

С тех пор как у нас появилась возможность разводить беспорядок не только в физическом мире, он постепенно захватывает компьютеры и сетевые ресурсы, а затем расползается и по облачным сервисам. Недавно агентство OnePoll, специализирующееся на онлайновых опросах, провело исследование, в ходе которого эксперты попытались сопоставить, как люди относятся к порядку в своем холодильнике и как они же управляются с цифровыми ресурсами на работе. А точнее, сравнить уровень бардака.

Я не знаю, почему они выбрали именно холодильник — возможно, потому, что все, что творится в этом темном холодном шкафу, сокрыто от глаз, точно также как и бардак, царящий в цифровом пространстве. Однако отчет прочитал с большим интересом. Они, например, выяснили, что более трети людей на работе находили конфиденциальные данные своих коллег. А треть имеет доступ к файлам с прежних рабочих мест. Все эти находки заставили меня вспомнить три реальных случая из моей жизни. Они неплохо иллюстрируют опасность цифрового бардака. Поэтому я решил поделиться ими с читателями.

Удаленная рабочая машина

Несколько лет назад я работал на небольшую компанию, специализирующуюся на системной интеграции. Помимо всего прочего, мне приходилось писать о программных продуктах, которые компания предлагала клиентам. Чтобы не подвергать рабочий компьютер лишней нагрузке из-за постоянной установки и удаления программ, я попросил организовать мне виртуальную машину. Ее легко сбросить до состояния чистой системы. Да и с точки зрения безопасности такая схема выглядит разумно. Если, конечно, машина правильно сконфигурирована.

Мою просьбу удовлетворили, однако машину выделили одну на всю команду. С одним универсальным пользователем на всех. Что еще хуже — она была подключена к корпоративной сети, потому что периодически нам нужно было перекидывать скриншоты. Но бардак, собственно, заключается не в этом. Это — всего лишь отсутствие понимания основ кибербезопасности у местной IT-службы.

Бардак в том, что я не работаю там более пяти лет, а машина все еще существует. Она висит по тому же адресу и пускает людей под теми же логином и паролем. Я спокойно зашел на нее, посмотрел на файлы, с которыми там сейчас работают люди. Послал на принтер рекомендацию сменить хотя бы пароль, а лучше лишить машину доступа в корпоративную сеть.

Бесхозные google-документы

Некоторое время назад я в качестве внештатного автора сотрудничал с компанией, которая очень серьезно заботилась о своей физической безопасности. Попасть на ее территорию можно было только заранее известив о своем приходе кого-то из штатных сотрудников, который должен был оставить на проходной заявку с моими паспортными данными.

Однажды мне пришлось заменить паспорт. Я написал редактору в мессенджер, что у меня изменился номер паспорта, и предложил продиктовать новый. На что получил ответ: «Ой, сейчас совсем некогда, замени сам». И ссылку на google-документ, в котором был список всех авторов, их дни рождения и данные паспортов. Я постарался объяснить редактору, что я думаю по этому поводу, но он меня не услышал.

Проблема в том, что этот файл существует до сих пор. Он по сей день доступен всем, у кого есть ссылка на документ. Удалить информацию из него нельзя — в истории правок всегда можно посмотреть сделанные изменения. И владелец аккаунта с этим ничего не может поделать, он давно забыл свой пароль и сменил адрес. А ведь это все персональные данные. Так что цифровой мусор запросто может пережить компанию, которая его породила.

Старый жесткий диск

Есть у меня хобби — я коллекционирую старое компьютерное железо. Как правило, покупаю за копейки на интернет-барахолках. Недавно приобрел корпус с останками Pentium III. Продавец сказал, что «это хлам, который сосед оставил, сказав выкинуть на свалку, если никому не нужен».

Для проверки работоспособности загрузился с жесткого диска и чисто из любопытства посмотрел, что на нем. А там, помимо всякой личной информации владельца, папка «work», в которую свалены десятки «коммерческих предложений» и «договоров». Все с пометкой «конфиденциально». Последние датированы августом 2018 года.

Уж не знаю, работал ли предыдущий владелец из дома или просто держал на старом компьютере архив, но выкинул он это все, явно не думая о последствиях. Диск я, разумеется, отформатировал.

В холодильники ко всем этим людям и компаниям я, разумеется, не заглядывал, но, судя по результатам отчета, там наверняка следует ожидать какой-нибудь ужас, вроде прошлогоднего супа и окаменевших крабовых палочек. Но вообще, если задуматься и представить себе, сколько еще до сих пор актуальных конфиденциальных данных валяется по забытым google-документам и жестким дискам, сколько бывших сотрудников могут получить доступ к ресурсам компаний, то становится страшно. Особенно если сопоставить это с результатами исследования, которые можно найти вот в этом отчете.

Категории: Новости вендоров

ShadowHammer: новые подробности

вт, 23/04/2019 - 22:44

В предыдущей статье, посвященной операции группировки ShadowHammer, мы обещали опубликовать дополнительные детали после конференции Security Analyst Summit. Расследование продолжается до сих пор, но наши исследователи уже могут сообщить новые подробности этой хитроумной атаки через цепочку поставок.

Масштаб операции

Как мы уже говорили, ASUS оказалась не единственной компанией, которую использовали злоумышленники для доставки своих зловредов. Изучая этот инцидент, наши эксперты обнаружили и другие образцы, которые работали по схожим алгоритмам и, как и в случае с ASUS, применяли цифровые подписи трех других азиатских ИТ-компаний:

  • Electronics Extreme, разработчика игры Infestation: Survivor Stories в жанре «зомби-апокалипсис»;
  • Innovative Extremist, поставщика веб-сервисов и ИТ-инфраструктур, также занимавшегося разработкой игр;
  • Zepetto, южнокорейского разработчика видеоигры Point Blank.

По данным наших исследователей, атаковавшие либо имели доступ к исходному коду проектов компаний-жертв, либо внедрили вредоносный код на этапе компиляции проектов, что означает, что у них был доступ к сетям этих компаний. В связи с этим сразу же вспоминается еще одна атака, о которой мы писали в прошлом году: инцидент с CCleaner.

Кроме того, наши эксперты обнаружили еще три потенциальные жертвы: компанию — разработчика видеоигр, крупный холдинг и фармацевтическую компанию; все три базируются в Южной Корее. На данный момент мы информируем их о случившейся атаке и пока не можем разглашать дополнительные подробности.

Конечные цели

В случае с Electronics Extreme, Innovative Extremist и Zepetto скомпрометированное ПО устанавливало на компьютеры жертв сравнительно простую вредоносную начинку. Она могла собирать информацию о системе, в частности имена пользователей, спецификации оборудования и версии операционных систем, а также загружать вредоносные объекты с C&C-серверов. В отличие от эпизода с ASUS, список потенциальных жертв уже не ограничивался набором MAC-адресов.

Заметим, что и список из 600 с лишним MAC-адресов не обязательно означает, что жертв было ровно столько же — как минимум один из них принадлежал виртуальному сетевому адаптеру, так что один и тот же MAC-адрес был связан с несколькими пользователями.

Дополнительную техническую информацию можно найти на сайте Securelist.

Как не стать звеном в атаке через цепочку поставок

Все вышеперечисленные инциденты связывает то, что атаковавшие раздобыли легальные сертификаты и, по-видимому, скомпрометировали среды разработки своих жертв. Чтобы избежать такого вмешательства, наши эксперты рекомендуют поставщикам программного обеспечения добавить в свой процесс контроля еще одну проверку на наличие вредоносных закладок, которая проводилась бы уже после цифровой подписи файлов.

Для предотвращения подобных атак вам понадобится помощь опытных борцов с киберугрозами, и нам есть что вам предложить. В рамках сервиса обнаружения активных целевых атак Targeted Attack Discovery наши эксперты отследят подозрительную активность в вашей сети (будь то шпионаж или другие виды киберпреступлений), проведут расследование инцидентов, определят их возможные источники и помогут понять причины. Кроме того, вы можете воспользоваться нашей службой Kaspersky Managed Protection, обеспечивающей круглосуточный мониторинг и анализ данных о киберугрозах. Более подробную информацию об обнаружении продвинутых угроз нашими аналитиками вы найдете на странице Kaspersky Threat Hunting.

Категории: Новости вендоров

10 советов по защите личных данных в Интернете

пн, 22/04/2019 - 15:00

Крупные утечки данных, темные личности, копающиеся в лентах соцсетей, вездесущие рекламщики, отслеживающие каждый шаг пользователей в цифровом мире, — может показаться, что конфиденциальности в Интернете просто не существует. На самом деле все не так плохо: у нас все же есть возможность контролировать наши данные и не делиться ими с кем попало. Вот несколько советов, которые в этом помогут.

1. Проверьте настройки конфиденциальности в социальных сетях

Все мы волей-неволей храним в соцсетях немало личной информации — и если вы используете настройки по умолчанию, то значительную часть этих данных может видеть буквально кто угодно. Поэтому обязательно проверьте настройки конфиденциальности во всех соцсетях, которыми пользуетесь. Что стоит показывать всем подряд, а что могут видеть только ваши друзья (или вообще никто, кроме вас) — должны решать вы, а не Марк Цукерберг.

2. Не используйте общедоступные хранилища для личных данных

Случайно выдать лишнюю информацию можно не только через социальные сети. Например, не стоит хранить конфиденциальные данные в онлайн-службах, предназначенных для обмена информацией. Например, Google Документы — не лучшее место для файла с паролями, а сканы паспорта не надо выкладывать на Dropbox (разве что предварительно упаковав их в зашифрованный архив).

  • Не используйте для хранения личных данных файлообменники и сервисы для совместной работы.
3. Защитите себя от веб-слежки

Когда вы заходите на сайт, ваш браузер сообщает ему много всего интересного о вас и о том, какие сайты вы посещаете. С помощью этой информации специалисты по маркетингу составляют ваш профиль и показывают вам адресную рекламу. Режим инкогнито от такого отслеживания на самом деле не защищает — для этого надо использовать специализированные инструменты.

4. Не сообщайте свою основную электронную почту и номер телефона всем подряд

Что будет, если всегда и везде указывать свой электронный адрес и номер телефона? Тонны спама в почтовом ящике и сотни автоматических звонков во входящих вызовах, вот что. Даже если приходится оставлять контактные данные интернет-сервисам и онлайн-магазинам, уж по крайней мере не стоит давать их случайным людям в социальных сетях. Еще лучше создать отдельный «мусорный» почтовый ящик, который не жалко будет удалить. В идеале хорошо бы иметь и отдельный номер телефона для таких случаев.

  • Зарегистрируйте дополнительный адрес электронной почты и купите лишнюю SIM-карту для регистрации в онлайн-магазинах. Используйте их и в других ситуациях, где от вас требуется оставлять свои данные незнакомцам.
5. Используйте мессенджеры со сквозным шифрованием

Большинство современных мессенджеров использует шифрование. Но во многих из них сообщения шифруются только во время передачи на сервер — а там уже хранятся незашифрованными. Что будет, если кто-нибудь взломает такой сервер? Пусть даже этот риск не слишком велик, лучше его полностью избежать. Для этого надо пользоваться мессенджерами со сквозным (end-to-end) шифрованием. В таких приложениях даже их создатели не смогут прочитать ваши разговоры, ведь ключи от шифра есть только у вас и вашего собеседника.

  • Используйте мессенджеры со сквозным (end-to-end) шифрованием, например WhatsApp.
  • Обратите внимание, что Telegram, Facebook Messenger и Google Allo не используют сквозное шифрование по умолчанию. Чтобы включить его, необходимо вручную начать секретный чат.
6. Используйте надежные пароли

Информацию, которая защищена слабым паролем, можно с тем же успехом прокричать в мегафон у метро. Конечно, запомнить длинные уникальные пароли для всех многочисленных сервисов и приложений, которыми вы пользуетесь, практически невозможно. Тут на помощь приходит менеджер паролей — достаточно запомнить только одну комбинацию для доступа к нему, все остальные он сохранит за вас.

  • Используйте длинные пароли — хотя бы 12 символов, а лучше еще больше.
  • Для каждого сервиса создавайте новый, уникальный пароль.
  • Чтобы не повторяться и ничего не забывать, лучше всего завести менеджер паролей.
7. Просматривайте разрешения мобильных приложений и расширений браузеров

Мобильные приложения часто просят дать доступ к контактам или файлам на вашем устройстве, разрешить им использовать камеру, микрофон, геолокацию и так далее. Некоторым приложениям это действительно нужно для того, чтобы нормально работать. Но далеко не всем: многие используют полученную информацию для маркетинговой слежки (или даже для чего похуже). К счастью, права приложений довольно легко контролировать. То же относится и к расширениям для браузеров, которые, к сожалению, также известны шпионскими наклонностями.

  • Проверяйте разрешения, которые вы даете мобильным приложениям. Вот как это сделать в Android, а вот как в iOS.
  • Не устанавливайте браузерные расширения без крайней необходимости и тщательно следите за тем, что вы им разрешаете.
8. Защитите ваш телефон и компьютер паролями или кодами доступа

Пароль для разблокировки компьютера не обязательно должен быть ужасно сложным: вы защищаетесь не столько от взлома, сколько от праздного любопытства. Смартфоны часто теряются, иногда их воруют — поэтому лучше дополнительно подстраховаться и использовать ПИН-код из шести цифр (или даже длиннее), а не из четырех, как это предлагает операционная система по умолчанию. Сканер отпечатка пальца и распознавание лица — это тоже неплохо. Но помните, что и у биометрических технологий есть свои ограничения.

  • Используйте для входа на телефоны, планшеты и компьютеры пароли или биометрическую аутентификацию.
9. Отключите уведомления на экране блокировки

Допустим, вы защитили телефон длинным надежным ПИН-кодом, но оставили всплывающие уведомления на экране блокировки. В этом случае любой сможет подсмотреть, о чем вы переписываетесь. Чтобы личная информация не появлялась на экране блокировки, необходимо правильно настроить уведомления.

  • Отключите уведомления на экране блокировки или скройте их содержимое. Вот как это сделать в Android и в iOS.
10. Соблюдайте осторожность в общедоступных сетях Wi-Fi

Публичные сети Wi-Fi обычно не шифруют трафик. А это значит, что кто угодно может подсмотреть, что вы отправляете и получаете, подключившись к той же точке доступа. Старайтесь не передавать через общественные сети конфиденциальные сведения: логины, пароли, данные кредитных карт и тому подобное. Лучше всего использовать VPN, чтобы зашифровать передачу данных и защитить их от посторонних глаз.

Категории: Новости вендоров

Страницы