Лаборатория Касперского

Подписка на Лента Лаборатория Касперского Лаборатория Касперского
Официальный русский блог "Лаборатории Касперского" пишет обо всем, что поможет вам защититься от вирусов, хакеров, шпионских приложений, спама и других угроз.
Обновлено: 16 часов 8 минут назад

Тренинги по кибербезопасности для европейских госорганов

вт, 17/07/2018 - 16:01

Раньше в вопросы киберзащиты были погружены только немногочисленные профессионалы, но в последние несколько лет эта тема стала актуальна для самого широкого круга лиц, от бизнесменов до простых пользователей. Региональные госорганы — не исключение. Особенно остро этот вопрос стоит в Европейском союзе. Недавно Европейская комиссия представила проект COMPACT, название которого расшифровывается как Competitive methods to protect local public administration from cyber security threats — то есть «эффективные методы защиты региональных государственных органов от киберугроз». Проект призван помочь госучреждениям стать более устойчивыми к кибератакам. Наш вклад в COMPACT — тренинги для повышения осведомленности о проблемах информационной безопасности.

Проект COMPACT должен стать комплексной экосистемой, своеобразной платформой для передачи знаний и опыта, для наблюдения, обсуждения и обучения. Все региональные государственные органы Евросоюза будут иметь доступ к этой платформе. Над проектом работают сразу несколько организаций. Наша роль — организация обучения в игровой форме.

Обучение сотрудников — задача первостепенной важности, поскольку именно человеческий фактор чаще всего становится причиной киберинцидентов, приводящих к утечке информации. А ведь самое ценное, что есть у органов местной власти — как раз персональные данные жителей. Поэтому в рамках проекта мы разрабатываем для Kaspersky Interactive Protection Simulation особый сценарий с акцентом на защите персональных данных. В свете вступления в силу регламента GDPR этот аспект приобретает особую значимость.

Этот сценарий, дополненный рядом упражнений и тренингов, позволит не только понять методы современных киберпреступников, но и сформировать на основе полученных знаний готовую модель поведения. Иными словами, сотрудники региональных госорганов научатся при необходимости быстро принимать верные решения, связанные с кибербезопасностью.

Больше о проекте COMPACT и его участниках можно узнать на его странице на сайте информационной службы CORDIS. С информацией о наших тренингах можно ознакомиться на странице программ повышения осведомленности «Лаборатории Касперского».

Категории: Новости вендоров

10 советов по защите личных данных в Интернете

пн, 16/07/2018 - 13:39

Крупные утечки данных, темные личности, копающиеся в лентах соцсетей, вездесущие рекламщики, отслеживающие каждый шаг пользователей в цифровом мире, — может показаться, что конфиденциальности в Интернете просто не существует. На самом деле все не так плохо: у нас все же есть возможность контролировать наши данные и не делиться ими с кем попало. Вот несколько советов, которые в этом помогут.

1. Проверьте настройки конфиденциальности в социальных сетях

Все мы волей-неволей храним в соцсетях немало личной информации — и если вы используете настройки по умолчанию, то значительную часть этих данных может видеть буквально кто угодно. Поэтому обязательно проверьте настройки конфиденциальности во всех соцсетях, которыми пользуетесь. Что стоит показывать всем подряд, а что могут видеть только ваши друзья (или вообще никто, кроме вас) — должны решать вы, а не Марк Цукерберг.

2. Не используйте общедоступные хранилища для личных данных

Случайно выдать лишнюю информацию можно не только через социальные сети. Например, не стоит хранить конфиденциальные данные в онлайн-службах, предназначенных для обмена информацией. Например, Google Документы — не лучшее место для файла с паролями, а сканы паспорта не надо выкладывать на Dropbox (разве что предварительно упаковав их в зашифрованный архив).

  • Не используйте для хранения личных данных файлообменники и сервисы для совместной работы.
3. Защитите себя от веб-слежки

Когда вы заходите на сайт, ваш браузер сообщает ему много всего интересного о вас и о том, какие сайты вы посещаете. С помощью этой информации специалисты по маркетингу составляют ваш профиль и показывают вам адресную рекламу. Режим инкогнито от такого отслеживания на самом деле не защищает — для этого надо использовать специализированные инструменты.

  • Чтобы избежать слежки в Интернете, используйте Защиту от сбора данных в Kaspersky Internet Security.
4. Не сообщайте свою основную электронную почту и номер телефона всем подряд

Что будет, если всегда и везде указывать свой электронный адрес и номер телефона? Тонны спама в почтовом ящике и сотни автоматических звонков во входящих вызовах, вот что. Даже если приходится оставлять контактные данные интернет-сервисам и онлайн-магазинам, уж по крайней мере не стоит давать их случайным людям в социальных сетях. Еще лучше создать отдельный «мусорный» почтовый ящик, который не жалко будет удалить. В идеале хорошо бы иметь и отдельный номер телефона для таких случаев.

  • Зарегистрируйте дополнительный адрес электронной почты и купите лишнюю SIM-карту для регистрации в онлайн-магазинах. Используйте их и в других ситуациях, где от вас требуется оставлять свои данные незнакомцам.
5. Используйте мессенджеры со сквозным шифрованием

Большинство современных мессенджеров использует шифрование. Но во многих из них сообщения шифруются только во время передачи на сервер — а там уже хранятся незашифрованными. Что будет, если кто-нибудь взломает такой сервер? Пусть даже этот риск не слишком велик, лучше его полностью избежать. Для этого надо пользоваться мессенджерами со сквозным (end-to-end) шифрованием. В таких приложениях даже их создатели не смогут прочитать ваши разговоры, ведь ключи от шифра есть только у вас и вашего собеседника.

  • Используйте мессенджеры со сквозным (end-to-end) шифрованием, например WhatsApp.
  • Обратите внимание, что Telegram, Facebook Messenger и Google Allo не используют сквозное шифрование по умолчанию. Чтобы включить его, необходимо вручную начать секретный чат.
6. Используйте надежные пароли

Информацию, которая защищена слабым паролем, можно с тем же успехом прокричать в мегафон у метро. Конечно, запомнить длинные уникальные пароли для всех многочисленных сервисов и приложений, которыми вы пользуетесь, практически невозможно. Тут на помощь приходит менеджер паролей — достаточно запомнить только одну комбинацию для доступа к нему, все остальные он сохранит за вас.

  • Используйте длинные пароли — хотя бы 12 символов, а лучше еще больше.
  • Для каждого сервиса создавайте новый, уникальный пароль.
  • Чтобы не повторяться и ничего не забывать, лучше всего завести менеджер паролей.
7. Просматривайте разрешения мобильных приложений и расширений браузеров

Мобильные приложения часто просят дать доступ к контактам или файлам на вашем устройстве, разрешить им использовать камеру, микрофон, геолокацию и так далее. Некоторым приложениям это действительно нужно для того, чтобы нормально работать. Но далеко не всем: многие используют полученную информацию для маркетинговой слежки (или даже для чего похуже). К счастью, права приложений довольно легко контролировать. То же относится и к расширениям для браузеров, которые, к сожалению, также известны шпионскими наклонностями.

  • Проверяйте разрешения, которые вы даете мобильным приложениям. Вот как это сделать в Android, а вот как в iOS.
  • Не устанавливайте браузерные расширения без крайней необходимости и тщательно следите за тем, что вы им разрешаете.
8. Защитите ваш телефон и компьютер паролями или кодами доступа

Пароль для разблокировки компьютера не обязательно должен быть ужасно сложным: вы защищаетесь не столько от взлома, сколько от праздного любопытства. Смартфоны часто теряются, иногда их воруют — поэтому лучше дополнительно подстраховаться и использовать ПИН-код из шести цифр (или даже длиннее), а не из четырех, как это предлагает операционная система по умолчанию. Сканер отпечатка пальца и распознавание лица — это тоже неплохо. Но помните, что и у биометрических технологий есть свои ограничения.

  • Используйте для входа на телефоны, планшеты и компьютеры пароли или биометрическую аутентификацию.
9. Отключите уведомления на экране блокировки

Допустим, вы защитили телефон длинным надежным ПИН-кодом, но оставили всплывающие уведомления на экране блокировки. В этом случае любой сможет подсмотреть, о чем вы переписываетесь. Чтобы личная информация не появлялась на экране блокировки, необходимо правильно настроить уведомления.

  • Отключите уведомления на экране блокировки или скройте их содержимое. Вот как это сделать в Android и в iOS.
10. Соблюдайте осторожность в общедоступных сетях Wi-Fi

Публичные сети Wi-Fi обычно не шифруют трафик. А это значит, что кто угодно может подсмотреть, что вы отправляете и получаете, подключившись к той же точке доступа. Старайтесь не передавать через общественные сети конфиденциальные сведения: логины, пароли, данные кредитных карт и тому подобное. Лучше всего использовать VPN, чтобы зашифровать передачу данных и защитить их от посторонних глаз.

Категории: Новости вендоров

Зловред, исходный код которого недавно утек — это не Carbanak

чт, 12/07/2018 - 18:29

Ранее утверждалось, что в открытом доступе появился исходный код Carbanak. Однако аналитики «Лаборатории Касперского» выяснили, что это код другого финансового вредоносного ПО, известного под названиями Karamanak, Ratopak и Pegasus (не следует путать с шпионским ПО Pegasus для iOS). Временные метки позволяют предположить, что код был создан в 2015-2016 годах. Вирусописатели определённо являются русскоговорящими, а их целью были финансовые организации в России.

Каждая вредоносная атака на финансовые учреждения, особенно на хорошо защищённые, требует тщательной подготовки и обычно состоит из двух ключевых этапов: заражения и собственно кражи денег. Утечка исходного кода продвинутого зловреда теоретически может облегчить злоумышленникам реализацию первого этапа, однако вторая стадия всё равно требует много планирования и усилий. Другими словами, мы вряд ли незамедлительно услышим о новых киберинцидентах, которые спровоцировала эта утечка.

В то же время история не раз показывала, что в долгосрочной перспективе различные киберпреступники воспользуются доступным исходным кодом и создадут на его основе новые модификации вредоносного ПО. Эффект может быть разрушительным – примером тому служат последствия утечки исходного кода Zeus в 2011 году. Поэтому вероятным результатом утечки кода Karamanak/Pegasus/Ratopak станет появление в будущем новых группировок, вовлечённых в финансовые киберпреступления.

Категории: Новости вендоров

Постоянные утечки данных выводят вас из себя?

чт, 12/07/2018 - 17:46

Житейская мудрость гласит, что сложнее всего пережить увольнение, развод и переезд. На фоне таких серьезных жизненных трудностей стресс, вызванный утечкой данных, проблемами с управлением паролями и безопасностью устройств, кажется мелочью.

Однако наш опрос показал, что многие находятся в постоянном напряжении, переживая о безопасности информации: 69% опрошенных признали, что они испытывают стресс, читая новость об утечке данных. Учитывая, что почти еженедельно пресса трубит об очередных утечках, этот фактор начинает сказываться на вашем благополучии.

Мы поинтересовались у психологов, почему киберпреступность стала фактором стресса. Психолог Вюрцбургского университета Фрэнк Шваб объясняет это так: «Стресс, вызванный беспокойством о внешних событиях вроде утечек данных и о вещах, в которых вы не разбираетесь (например, как лучше всего защитить свою технику), может привести к серьезным проблемам со здоровьем. Определенной доли волнений, очевидно, не избежать. Но взять ситуацию под контроль вполне реально, когда речь идет о киберстрессе». Все сводится к тому, что мы чувствуем свою беспомощность, когда речь идет о защите цифровой жизни.

Это подтверждает и наше исследование: люди намного больше опасаются стать жертвой кибератаки дома (58%), чем на работе (48%). Видимо, это объясняется тем, что мы надеемся на своих работодателей в вопросах защиты от онлайн-угроз (68%).

Однако это распространенное мнение является заблуждением. Люди считают, что можно не зацикливаться на безопасности корпоративных устройств и учетных записей, но в суровой реальности киберпреступники предпочитают бить как раз по организациям, ведь атаки на отдельных людей гораздо менее прибыльны. И в своих атаках они используют слабое звено — сотрудников.

Поэтому, как дома, так на работе нужно одинаково внимательно относиться к безопасности своих данных: осторожно обращаться с подозрительными письмами, посещать только надежные сайты и пользоваться менеджером паролей, который поможет создать надежные и уникальные комбинации.

Кстати, в ходе нашего опроса мы сделали еще одно интересное наблюдение: люди не очень-то доверяют менеджеру паролей по части хранения информации для входа в устройства (8%), учетных записей (6%), а также данных банковских карт (3%). Зато они с готовностью доверятся в этих вопросах своему спутнику жизни (53%, 47% и 47% соответственно).

С таким засильем и многообразием конфиденциальной информации, расползшейся по серверам множества организаций, логично предположить, что управление ими тоже вызывает стресс — 66% респондентов признали, что их удручает то, какой объем личных сведений приходится хранить онлайн.

Но если всерьез взяться за свою кибербезопасность, можно вернуть контроль над ситуацией, частично избавиться от волнений и заняться более насущными проблемами. Вот несколько советов, которые помогут вам снизить уровень киберстресса:

  1. Возьмите свои данные под контроль — удаляйте неиспользуемые учетные записи (например, старые регистрации в социальных сетях, интернет-магазинах и других спервисах).
  2. Если ваши данные попали в публичный доступ, немедленно смените пароли. Хороший менеджер паролей существенно облегчает подобные задачи.
  3. Будьте осторожны с письмами и сообщениями, призывающими нажать ссылку или загрузить вложения. Фишинговые письма — одна из главных причин компрометации учетных записей. Если что-то выглядит подозрительно, лучше ничего не нажимайте!
  4. Включите антивирусную защиту на всех устройствах, чтобы снизить вероятность заражения через опасные письма или веб-сайты.
  5. Сделайте резервную копию персональных данных на отдельный жесткий диск или устройство. Программы-вымогатели по-прежнему остаются серьезной угрозой — всегда лучше перестраховаться.
Категории: Новости вендоров

Троян Rakhni: «майнить и шифровать»

вт, 10/07/2018 - 18:20

Недавно мы писали о том, что вымогатели постепенно уступают первые строчки в рейтингах самых распространенных киберугроз майнерам. Троян-шифровальщик Rakhni, за которым мы наблюдаем с 2013 года, следуя тренду, пополнился модулем для добычи криптовалюты. Что любопытно, загрузчик вредоносной программы умеет выбирать, какой компонент установить на конкретное устройство. Наши исследователи разобрались, как работает обновленный зловред и чем он опасен.

Целью авторов трояна, судя по всему, являются российские и русскоговорящие пользователи: больше всего атак (95,57%) мы засекли на территории нашей страны, а основным каналом распространения зловреда стала русскоязычная спам-рассылка. В том образце, который в деталях изучили наши специалисты, вредоносное вложение маскировалось под финансовый документ. Это позволяет предположить, что злоумышленников интересуют в первую очередь корпоративные «клиенты».

Вложенный в спам-письмо DOCX-файл содержит PDF-документ. Если пользователь разрешает редактирование и пытается открыть PDF, появляется системный запрос разрешения на запуск исполняемого файла от неизвестного издателя. Получив добро от пользователя, Rakhni начинает действовать.

Очень осторожный зловред

Троян предпринимает целый комплекс мер, чтобы обезопасить себя. Исполняемый при запуске вредоносного PDF файл притворяется средством для просмотра документов. Первым делом зловред демонстрирует жертве сообщение об ошибке, объясняющее, почему ничего не открылось. Затем пытается определить, не попал ли он на компьютер вирусных аналитиков и не работают ли на машине опасные для него антивирусные решения, и проводит еще несколько проверок. После этого он выключает Защитник Windows и устанавливает поддельные цифровые сертификаты. И только почувствовав себя в безопасности, принимает решение, как именно использовать зараженное устройство.

Сделав свое черное дело, вредоносная программа пытается распространиться на другие компьютеры внутри локальной сети. Если на устройствах ваших сотрудников открыт общий доступ к папке «Пользователи», зловред копирует себя на них.

Шифровать или майнить?

Критерий выбора прост: если зловред находит на компьютере жертвы служебную папку под названием Bitcoin, он запускает вымогатель, который шифрует файлы (в том числе документы Office, PDF, изображения и файлы резервных копий) и требует в течение трех дней заплатить выкуп. Размер выкупа и другие подробности злоумышленники обещают сообщить в ответ на запрос по электронной почте.

Если же папок, связанных с биткойнами, на устройстве нет, а его мощность, на взгляд зловреда, достаточна для добычи криптовалюты, он загружает майнер, в фоновом режиме генерирующий токены Monero, Monero Original или Dashcoin. В результате падает производительность устройства и, как следствие, работающего на нем сотрудника.

Как не стать жертвой майнера-шифровальщика?

Чтобы избежать заражения Rakhni и урона, который он может нанести вашей компании, следует критически относиться к входящим письмам, особенно поступившим с незнакомых email-адресов. Если сомневаетесь, открывать ли вложенный файл, — лучше не открывать. Также внимательно читайте предупреждения от операционной системы: приложения неизвестных издателей запускать не стоит, особенно если их название напоминает популярные программы.

Кроме того, в борьбе с майнерами и шифровальщиками в корпоративной сети вам помогут следующие меры:

  • Обучайте ваших сотрудников информационной безопасности и регулярно проверяйте их знания. Если вам нужна в этом помощь, наши специалисты готовы организовать ее для вас.
  • Обязательно делайте резервные копии критически важных данных и храните их на отдельных носителях.
  • Регулярно проверяйте вашу корпоративную сеть на предмет аномалий.
  • Используйте надежные многоуровневые защитные решения, например Kaspersky Endpoint Security для бизнеса.

Даже если вы не используете корпоративные решения «Лаборатории Касперского», это не повод оставлять данные на съедение авторам шифровальщиков. У нас есть специализированный продукт, Kaspersky Anti-Ransomware Tool, который может усилить защитное решение сторонних вендоров. В нем используются самые передовые технологии поведенческого анализа и наши облачные механизмы выявления шифровальщиков.

Категории: Новости вендоров

Пять самых странных проектов по информационной безопасности

пн, 09/07/2018 - 09:00

Защита данных — это очень важно и очень серьезно. Но нельзя все делать со строгой миной, везде есть место творчеству и юмору. Сегодня мы расскажем об интернет-проектах, которые предлагают взглянуть на проблемы безопасности с необычного ракурса.

123456+qwerty=♥

Сколько мы ни бьемся, рассказывая о важности и нужности сложных паролей, верхние строчки по популярности у пользователей по-прежнему занимают легко угадываемые образцы вроде 1q2w3e, iloveyou и так далее. «Кто все эти люди?!» — удивляемся мы, когда выходит очередной аналитический обзор на эту тему. «А что если их между собой перезнакомить?» — подумал программист Криштоф Заяц (Krzysztof Zając) и запустил Words of Heart.

Этот сайт объединяет в пары пользователей, которые указали при регистрации одинаковый пароль. Первое время после его запуска специалисты по безопасности считали новый ресурс оригинальной идеей кибермошенников. Однако создатель Words of Heart быстро вышел на связь и заверил всех, что хотел просто пошутить. Ну и заронить в головы пользователей мысль: «Если у меня такой же пароль, как еще у 10 человек, может быть, не так уж он и хорош?»

Во-первых, это красиво

Вы слыхали, как поют хосты? Теперь можете услышать — благодаря проекту американских исследователей, которые создали музыкальную панораму глобального интернет-трафика. Они разбили поток сетевых данных на несколько категорий и привязали к каждой свой звук — скрипку, виолончель, арфу, ксилофон и другие. Чем больше объем данных одного типа, тем громче соответствующий инструмент. Создатели утверждают, что это даже довольно приятно звучало, хотя единственный ролик с демонстрацией, к сожалению, удален с YouTube по каким-то причинам.

По словам «ИБ-композиторов», делалось это все не только для красоты. Передача информации звуками (сонификация) давно применяется в системах тревожного оповещения. Озвучка интернет-трафика помогает отслеживать его интенсивность, резкое возрастание которой может говорить о DDoS-атаке.

На этом авторы работы решили не останавливаться и дополнили свою «сигнализацию» устройством, позволяющим при звуке крещендо включать активную защиту от DDoS простым нажатием на… помидор. И выключать огурцом. Не спрашивайте, при чем здесь овощи — этого мы не знаем. Зато авторы проекта с демонстративной гордостью утверждают, что это был первый помидор, принимавший непосредственное участие в защите от DDoS.

Вечное радио

Спам так прочно вошел в нашу жизнь, что мы его практически не замечаем. Разве только в тех случаях, когда важное письмо вдруг проваливается в «мусорную» папку, и в ней приходится копаться. Тогда глазам открывается бездна «уникальных предложений» и обещаний нигерийских богатств. Этот кладезь человеческой мысли вдохновил неизвестных интернет-деятелей на запуск SpamRadio.com. Да-да, это радио, которое транслирует спам.

Здесь вы можете круглые сутки слушать, как робот читает бесконечную рекламу под ненавязчивую музыку. Трансляция полностью автоматизирована — движок сайта преобразует в речь электронные письма, из которых предварительно убирают все адреса. Так что связаться с автором заинтересовавшего вас предложения не получится. Впрочем, оно и к лучшему.

Людям вход воспрещен

Наш век характеризуют не только высокие технологии, но и повсеместная борьба против несправедливости. Вот, например, ЮНЕСКО предлагает задуматься о правах роботов. Как знать, возможно, через 10-15 лет нашим электронным собратьям тоже понадобятся клубы по интересам, чтобы отвести душу после тяжелого дня. Если что, средство фейсконтроля на этот случай уже есть — убедитесь сами на HumansNotInvited.com («Людей не приглашали»).

Для входа на сайт нужно пройти капчу. Ее механика знакома всем интернет-пользователям — нужно выбрать среди множества картинок те, на которых изображен определенный объект. Вот только иллюстрации так размыты, что человеческий глаз не может различить образ, тогда как боты с машинным зрением справляются с этой задачей на отлично. Как, впрочем, и некоторые пользователи Reddit — подозрительные личности, если задуматься…

Нагнать туману

Последний в нашем списке сайт серьезных общечеловеческих проблем не поднимает и создан скорее для забавы. Вы слышали про сервисы коротких ссылок, которые сокращают длинные URL до десятка символов? Есть одна проблема: никогда не знаешь, куда именно такая ссылка тебя приведет. Поэтому их нередко используют мошенники, а подкованные интернет-пользователи относятся к ним с подозрением.

Сервис ShadyURL тоже преобразует ссылки, сокращая их и делая максимально подозрительными даже для не самых подкованных пользователей (это и заявлено в названии — shady значит «теневой, серый»). Например, вот эта крайне сомнительная на вид ссылка — http://www.5z8.info/bomb_shhf — на самом деле ведет на наш блог. Впрочем, пусть даже за этими ссылками может скрываться что-то нормальное, менее подозрительно относиться к ним не стоит.

Категории: Новости вендоров

Тайный майнинг на ваших серверах

пт, 06/07/2018 - 14:58

По наблюдениям наших экспертов, заражения программами-вымогателями постепенно уступают ведущие позиции в статистике киберугроз новой проблеме — несанкционированному майнингу криптовалют. Если в 2016–2017 гг. с майнерами столкнулись почти 1,9 млн пользователей, то в 2017–2018 гг. их число выросло почти в полтора раза, до 2,7 млн человек. И все чаще жертвами становятся целые компании, что грозит куда большими потерями.

Преступный, или черный майнинг отличается от законного только тем, что злоумышленники используют оборудование, которое им не принадлежит. Для этого они либо заражают чужие компьютеры , либо заманивают жертв на сайт со скриптами, запускающими процесс майнинга в браузере. Рост популярности черных криптомайнеров начался ничем не примечательно — с атак на домашние компьютеры. Однако рядовые пользователи приносят злоумышленникам копейки, поэтому те начали искать более денежные цели.

Куда выгоднее заразить не домашний компьютер, а сервер: они работают на куда более мощном железе, которое может добывать больше криптовалюты. Кроме того, заражение сервера сложнее заметить (особенно если преступники не слишком жадничают и не пытаются занять своими процессами все ресурсы). И наконец, веб-серверы можно использовать для размещения на них веб-майнеров, которые будут заражать майнинговыми скриптами клиентские браузеры.

Вам это ничего не напоминает? Нам напоминает: вредоносные майнеры следуют тем же путем, которым уже прошли программы-вымогатели, — от домашних компьютеров к бизнес-машинам. Следующим логическим шагом должны стать целевые атаки, рассчитанные на внедрение майнеров в корпоративную инфраструктуру. Наши эксперты ничуть не сомневаются, что скоро и такие примеры обнаружат в дикой природе.

Допустим, кто-то майнит. Ну и что?

Некоторые компании считают вредоносный майнинг незначительной угрозой. Скрытая добыча криптовалюты никак не влияет на сохранность корпоративной информации. Порой она не мешает и бизнес-процессам — в основном потому, что киберпреступники тщательно анализируют нагрузки зараженного сервера и занимают только часть его ресурсов, чтобы их присутствие не обнаружили.

Однако компаниям вряд ли стоит закрывать глаза на попытки темных личностей получить прибыль за их счет, превращая оплаченную ими электроэнергию в криптовалюту. Дополнительная нагрузка ускоряет износ оборудования и приводит к досрочному отказу серверов. Кроме того, если кто-то разместил криптомайнер у вас на сервере, это значит, что преступники уже преодолели вашу защиту и внедрились в инфраструктуру. Может быть, прямо сейчас ваши секреты им и не нужны, однако нет гарантии, что позже они не решат дополнительно «заработать» на краже данных.

Что же делать?

Для начала — следовать рекомендациям, которые мы не устаем повторять: с подозрением относиться ко всем вложениям электронной почты и сообщениям от людей, которых вы не знаете; вовремя обновлять программы; использовать защитные решения — в общем, принимать стандартные меры безопасности. В конце концов, криптомайнеры — вредоносное ПО, и распространяются они теми же методами: через вредоносные почтовые вложения и уязвимости.

В отношении майнеров есть и особые советы. В первую очередь — следите за ресурсами ваших серверов. Если повседневная нагрузка неожиданно и резко выросла, это может быть симптомом скрытого майнера. Кроме того, полезно регулярно проводить аудиты безопасности корпоративной сети. И не стоит забывать, что под угрозой и менее очевидные мишени: системы электронной очереди, платежные терминалы и автоматы для продажи товаров. Заразив армию таких устройств, преступники могут намайнить значительный капитал.

В качестве надежного решения для защиты и серверов, и компьютеров сотрудников советуем использовать Kaspersky Endpoint Security для бизнеса. Этот продукт защищает от вредоносного ПО, блокирует вредоносные сайты, автоматически обнаруживает уязвимости, сам загружает и устанавливает патчи. Он также способен обеспечить безопасность веб-шлюзов, серверов электронной почты, платформ совместной работы и других серверных элементов инфраструктуры. Хотите попробовать? Жмите на баннер ниже.

Категории: Новости вендоров

Загадка Черного Квадрата

чт, 05/07/2018 - 16:00

Кто догадается, что это такое? Нет, это не испорченный вандалами «Черный квадрат» Малевича.

Примерно так (но без намекающего «вотермарка») выглядит заблокированный скриншот экрана, снятый подозрительным приложением на компьютере, защищенном нашими продуктами (например, Kaspersky Total Security). Как так? Почему? Зачем? А вот зачем…

Киберпреступники, кибервоенщина, кибергопота и прочие кибернегодяи очень, ОЧЕНЬ охочи до получения доступа к пользовательским учеткам. У всех своя мотивация (деньги, шпионаж, геростратова мания величия, слежка за партнерами, конкурентами, супругами и т. д.), но цель одна, и ее пытаются достичь разными путями. Один из таких путей — делать скриншоты экрана во время заполнения формы для регистрации/входа в учетную запись.

Внимательный читатель логично спросит: зачем малваре делать скриншоты экрана, если сайты и программы все равно закрывают поле с вводимым паролем точками?

Ответ прост: есть множество нюансов, которые переводят исключение в ранг правила.

На самом деле, часто пользователю предоставляется возможность увидеть вводимый пароль (помните флажок «показать мой пароль» рядом с формой?). Многие сервисы для повышения юзабилити временно показывают последние символы пароля. Или закрывают пароль точками только при переходе на следующее поле. А некоторые вообще не используют точки, а вместо этого форматируют пароль до малочитабельного состояния, чтобы никто не подсмотрел из-за спины (ха!).

Наконец, есть разные пограничные лайфхаки и инструменты (вроде pwdcrack), которые позволяют злоумышленникам отключить «точки-невидимки». В общем, вероятность вывода пароля на экран далеко не нулевая, да и подсмотреть его нехитрыми программными методами тоже проще простого.

Важно: угроза подглядывания пароля из-за спины/записи на камеру наблюдения (с чем борются юзабилити-методы квазибезопасности, описанные абзацем выше) ничтожно мала по сравнению с угрозой считывания пароля малварой через скриншоты экрана.

Эта функция есть у самого, пожалуй, известного банковского трояна Zeus и его многочисленных клонов. Один из этих клонов, именуемый KINS, проводит специфическую атаку для получения снимков области вокруг… клика мышки! То есть даже если на сайте банка используется виртуальная клавиатура для ввода пароля или одноразовых кодов, зловред все равно сможет считать вводимые символы.

Кроме того, пароли — это ведь далеко не единственное, что может интересовать злоумышленников! А как насчет реквизитов пластиковой карты, вводимых при онлайн-покупке? А проверочные вопросы для восстановления доступа к аккаунту? Личные данные? Переписка в мессенджерах? Много всего разного!

Увы, экран — кладезь наших тайн и секретов, которые ни разу не для посторонних глаз и скриншотов. И ведь далеко не все пользуются «Безопасными платежами» или «Безопасным вводом», чтобы спрятать «чувствительные» данные. Но и эти функции — необходимая, но недостаточная защита. У кибернегодяев остается лазейка — украсть данные через скриншот окна.

Для защиты пользователей от этой угрозы в наших продуктах есть специальная технология (патент RU2634168). Она перехватывает API-функции, которые позволяют приложениям снять изображение на экране. И вот что происходит дальше:

  • Продукт определяет, какие приложения в получаемой области экрана имеют свои окна.
  • По данным разных компонентов и подсистем (например, SystemWatcher и SafeBanking) продукт вычисляет критичность этих окон с точки зрения наличия там конфиденциальных/личных данных.
  • Продукт анализирует рейтинг доверенности приложений, получающих доступ к экрану.
  • Продукт принимает решение — блокировать скриншот или нет. Черный квадрат или не черный квадрат.

Ну и the last but not the least: технология защиты экрана от скриншотов помогает в обнаружении неизвестных кибератак. Подозрительная активность приложений, проявляющих повышенный интерес к чужим окнам, снижает их (приложений) рейтинг и приближает к проактивному детекту машинным обучением через KSN или к ручному анализу экспертом. Вот так, по капельке, мировым усилием и натренированным кибермозгом мы все вместе снижаем градус напряженности в Интернете на благо каждого.

Категории: Новости вендоров

Купон на бесплатную заразу

пн, 02/07/2018 - 08:58

Бесплатный сыр — только в мышеловке. Это касается как бесплатных авиабилетов, про которые мы уже рассказывали, так и купонов в известные супермаркеты или закусочные, информацию о которых сами же пользователи рассылают друзьям в мессенджерах в надежде эти самые купоны получить.

Проблема частично состоит еще и в том, что современный пользователь привык к халяве. Существует столько купонных сайтов, дающих скидки и предлагающих какие-то выгодные акции, что даже совсем уж нереалистичные предложения не вызывают у людей подозрения — мало ли, всякое бывает.

Например, далеко не всякий пользователь мессенджера WhatsApp заподозрит неладное, получив от кого-то из своего списка контактов сообщение про новую «акцию» со ссылкой «на выгодное предложение». Это может быть какой-то заманчивый подарок от McDonalds, купон на 5 000 рублей от «Пятерочки» или ваучер «Леруа Мерлен» на целых 8 000 рублей.

Примеры сообщений в мессенджере, распространяющих мошеннические ссылки

При переходе по указанным ссылкам открывается сайт, оформленный в общей стилистике упомянутого в сообщении бренда. Все сайты прилично выглядят, все как один используют защищенное соединение, на всех есть комментарии с благодарностями от якобы настоящих пользователей соцсетей. В общем, сайты очень стараются создавать доверительное впечатление.

Да и «акция» выглядит просто и заманчиво: нужно всего лишь ответить на три вопроса и поделиться информацией с тремя контактами в мессенджере. Кажется, что даже если удача тебе и не улыбнется, то уж точно ничего не потеряешь.

На самом деле не все так радужно, и под прикрытием выгодного предложения скрывается мошенническая схема. Никаких купонов, к сожалению, на этих сайтах получить не получится. Все опросы и дизайн в стиле известных брендов – только для того, чтобы усыпить бдительность пользователя. После прохождения опроса и распространения ссылки среди своих контактов жертву просто перенаправят на другой сайт. На какой – возможны варианты:

  • на фишинговый сайт, пытающийся выманить ваши персональные данные;
  • на страничку с предложением скачать вредоносный файл под заманчивым предлогом;
  • сайт, предлагающий поделиться персональной информацией для получения приза или смартфона за 70 рублей;
  • на страницу установки вредоносного расширения, которое запрашивает разрешение видеть и изменять содержимое всех страниц;
  • очередную поддельную лотерею;
  • что-то другое.

Получается, что мошенники, организовавшие «акцию» от лица известных брендов, пытаются монетизировать ее за счет трафика на зловредные сайты. А залогом успеха всей этой деятельности становится то, что жертвы, уже успевшие представить, что как они потратят деньги с ваучеров или купонов, с готовностью рассылают ссылки на сайты «акций» своим знакомым. Если лет десять назад люди множили «письма счастья» (перешлите это сообщение десяти людям, а то все волосы на голове выпадут), то сейчас точно так же множат мошеннический контент.

Вот так выглядят просьба поделиться акцией с контактами и поддельные комментарии на странице, подталкивающие к данным действиям

Сайты с «акциями» довольно однотипны, но могут появится и другие. Количество используемых брендов также может расширится, так что не теряйте бдительности и следуйте простым советам:

  • Не становитесь соучастником. Чтобы не стать частью мошеннической схемы, не распространяйте информацию, в подлинности которой не уверены.
  • Что-то выглядит слишком хорошо, чтобы быть правдой? Скорее всего, так и есть: правдой оно не окажется.
  • Чтобы убедится в подлинности акции, свяжитесь с представителями компании. С появлением соцсетей это стало предельно просто сделать.
  • Используйте антивирус, в котором есть защита от фишинга, например Kaspersky Internet Security. Он попросту не даст вам перейти на мошеннический сайт.
Категории: Новости вендоров

Продли домен: мошеннические e-mail рассылки

пт, 29/06/2018 - 09:07

Недавно мы обнаружили мошенническую рассылку якобы от имени крупной компании, занимающейся регистрацией доменных имен. Поддельные письма представляли собой уведомления об истечении срока регистрации реально существующих доменных имен и рассылались на адреса администраторов этих доменов.

Также письма содержали предупреждение о том, что в случае неоплаты в течение суток делегирование доменного имени будет прекращено, и оно поступит в свободную продажу. Эдакая ненавязчивая угроза, подталкивающая получателя заплатить за продление как можно скорее — а сделать это очень легко, ведь в том же письме есть удобная кнопка «Оплатить».

Примеры мошеннических писем якобы от лица доменного регистратора

После нажатия кнопки оплаты пользователи попадали на сайты, не имеющие никакого отношения к регистратору, а при переходе на них PHP-скрипт перенаправлял посетителей на сервис «Яндекс.Деньги» для моментальной оплаты услуги. В форме оплаты уже были заполнены все необходимые поля (сумма, номер счета получателя). Оставалось лишь ввести номер банковской карты и подтвердить перевод денег на счет злоумышленников.

Мошенники заботливо упрощают оплату: чтобы потерять деньги, нужно только ввести данные карты

Стоит отметить, что данные подделки рассчитаны в основном на тех, кто не слишком часто имеет дело с регистрацией доменов. Опытные люди сразу заметят, что подделки не содержат никакой релевантной информации, кроме правильно указанного доменного имени, — нет ни номера договора, ни конкретного срока окончания регистрации. В подлинных уведомлениях обычно эта информация есть, как есть и все официальные ссылки на необходимые инструкции и текущие тарифы, а также контакты для связи на случай возникновения дополнительных вопросов.

Вот так выглядит реальное уведомление от регистратора доменных имен. Как говорится, почувствуйте разницу

Другие примеры мошеннических писем

Мошеннические письма с доменами рассылаются и на английском языке. Основная цель злоумышленников та же самая — выманить у владельцев доменов деньги. Популярной уловкой является предложение зарегистрировать домен в поисковых системах, чтобы потенциальным клиентам было проще найти его в Интернете.

Однотипные мошеннические спам-рассылки в течение многих лет могут гулять по электронным ящикам пользователей. Иногда доходит до смешных ситуаций, когда пользователь получает письмо из прошлого — в теле письма указан, например, 2015 год, хотя на календаре уже 2018-й.

Внимание к таким мелочам сразу помогает раскусить обманщиков. Конечно, спамеры редко оказываются настолько беспечными и в основном стараются разнообразить свои творения: могут меняться тема и текст письма, адреса отправителей и алгоритм их генерации, а также другие детали. Но идея текста письма и основные уловки мошенников остаются неизменными.

Чтобы продлить/зарегистрировать домен в поисковых системах, мошенники предлагают перейти по ссылке, выбрать желаемый тариф и оплатить услугу картой. Стоимость тарифа зависит от срока его действия и количества поисковых систем, а на самые дорогие и «выгодные» тарифы предоставляются скидки. Злоумышленники пытались выудить у пользователя не только деньги, но и личные данные, предлагая заполнить специальную форму-квитанцию.

Также они пытались получить контроль непосредственно над доменом. В поддельных сообщениях от имени крупной компании, занимающейся регистрацией доменных имен, говорилось о необходимости активировать домен, чтобы подтвердить свой статус администратора и возможность управления доменом. Эти меры приняты якобы в соответствии с поправками, внесенными в регламент ICANN (Корпорации по управлению доменными именами и IP-адресами).

Для этого в течение ограниченного срока в корневой директории сайта администратору предлагали создать PHP-файл определенного содержания. Дескать, если эти условия не соблюсти, то регистрация домена не будет подтверждена и его обслуживание будет приостановлено.

Запуск такого скрипта дает злоумышленникам полный контроль над сайтом и возможность запускать любой код. Стоит заметить, что немало таких писем было отправлено на адреса банков. Функция в скрипте также позволяет собирать все пользовательские данные, вводимые на сайте, на котором он размещен и запущен. И если мошенники получат доступ к вводимым на сайте банка данным, то смогут перехватывать в том числе логины и пароли от интернет-банка.

Как защититься от подобного мошенничества

Выясните, от какой именно компании пришло письмо.

  • Даже если отправителем является известный регистратор и от вас требуют совершить какие-то действия со своим доменом (продлить регистрацию, создать какие-то каталоги, обновить ПО и прочее), и в письме присутствие ссылка или вложение,  — не спешите переходить к действию. Зайдите на сайт компании и в личный кабинет, проверьте сроки регистрации. Если действительно пора что-то делать — выполните необходимые действия на официальных ресурсах.
  • В случае если компания неизвестна или совершенно непонятно, кто это такие (даже названия нет, а поиск в Интернете также не дает результатов), то не стоит вступать с ней в сотрудничество, какие бы услуги и скидки ни предлагались. Настоятельно рекомендуем обращаться исключительно к известным и проверенным организациям, в качестве услуг которых вы уверены. Приобретение товаров и услуг из спама — неоправданный риск стать очередной жертвой мошенников или получить некачественные товары и услуги.
  • Не верьте в угрозы о блокировке/приостановлении работы домена и прочих негативных последствиях в случае, если не будут выполнены действия, указанные в письме. Это верный признак мошенничества. У настоящего регистратора доменов нет поводов угрожать своим клиентам.
Категории: Новости вендоров

Не помогайте карманникам — поставьте PIN-код на телефон

чт, 28/06/2018 - 09:05

Карманники повадились красть мобильные телефоны примерно тогда же, когда они вообще появились — трубки были дорогими, на их перепродаже можно было здорово нажиться. Собственно, индустрия воровства мобильников никуда не делась и сейчас, в мире победивших смартфонов. Умные аппараты в основном тоже совсем не дешевые, а то, что хранится в их памяти, иногда может оказаться еще дороже.

Почему мобильные телефоны до сих пор воруют

Все могло бы быть иначе, если бы люди не ленились ставить пароли на свои смартфоны. Смартфон, который не получается разблокировать, нельзя продать — он никому не нужен. Как минимум часть Android-смартфонов не позволяют сбросить их к настройкам по умолчанию, если вы не знаете пин-код. То есть воровать их ради перепродажи бессмысленно – не купят.

И уж тем более не зная пин-кода нельзя украсть с телефона данные — к ним попросту нет доступа. А ведь современный смартфон — просто кладезь ценных данных: тут и банковские приложения с платежными системами, и доступ к аккаунтам в соцсетях или почте, и приватные фото, и все что угодно.

Однако среди опрошенных нами людей меньше половины — всего 48% — защищают свои мобильные устройства пин-кодом или паролем. В какой-то мере можно даже сказать, что так они помогают карманникам продолжать заниматься своим черным делом. Если бы все ставили пароли на свои телефоны, карманники бы уже давно осваивали новые профессии, потому что рынок ворованных телефонов просто перестал бы существовать.

Просто добавь пароль

В общем, не хотите помогать карманникам — поставьте пароль на свой телефон. Хотя бы простенький 4-значный PIN-код, а лучше — 6-значный или даже целое парольное слово. Если удобнее пользоваться разблокировкой по отпечатку пальца или по лицу — тоже можно (хотя лучше ознакомиться с особенностями этих технологий: вот наш пост про дактилоскопию, а вот — про разблокировку по лицу).

Ну а если вы хотите повысить свои шансы вернуть аппарат в случае кражи и уж точно не дать злоумышленникам получить доступ к вашим данным, стоит озаботиться еще и включением системы «Антивор». В современные мобильные ОС такие возможности уже встроены. У Apple в iOS это называется Find my iPhone, а у Google в Android — Find your phone. Эти функции позволяют найти устройство при помощи данных о его геолокации, а при необходимости заблокировать его или даже удалить с него все данные.

Для Android-смартфонов существуют специальные приложения с расширенной функциональностью. Например, наш Kaspersky Internet Security для Android не только позволяет отлавливать вредоносные программы на смартфонах и планшетах, но и оборудован системой «Анти-вор», которая умеет следующее:

  • установить местонахождение устройства;
  • заблокировать его;
  • включить на устройстве громкий и противный сигнал тревоги, который невозможно отключить, не зная пин-кода;
  • скрытно сделать снимок фронтальной камерой — так можно узнать, кто же украл ваш телефон;
  • удалить из памяти устройства личные и другие данные.

Скачать Kaspersky Internet Security для Android можно здесь. Базовая версия бесплатна, и функция «Анти-вор» в ней есть.

Категории: Новости вендоров

Популярность криптомайнеров растет

ср, 27/06/2018 - 10:00

В конце 2017 года мы сделали прогноз о том, что в будущем году криптомайнеры серьезно потеснят вымогателей среди наиболее популярных у киберпреступников угроз. Новое исследование, проведенное нашими экспертами, показывает, что так и вышло.

Сбылось пророчество насчет криптомайнеров

Программы-вымогатели действуют радикально, едва не доводя своих жертв до инфаркта. Обычных пользователей они могут запугать якобы найденными на компьютере незаконными или непристойными файлами, а владельцы крупных компаний нередко готовы отдавать круглые суммы, чтобы вернуть доступ к важнейшим данным. Однако популярность вымогателей заметно снижается — и это хорошая новость.

По нашим данным, количество пользователей, атакованных шифровальщиками, в последнее время сократилось почти вдвое: с 1,2 миллиона в 2016–2017 годах до 750 тысяч в 2017–2018 годах.

Между тем место вымогателей заняли изворотливые криптомайнеры. Они проникают на личные или корпоративные устройства и незаметно используют их вычислительные мощности, чтобы набить карманы их создателей криптовалютой. За те же два года количество атак криптомайнеров значительно выросло — с 1,9 до 2,7 миллиона, а их доля в общем количестве обнаруженных угроз увеличилась с 3 до 4%.

Криптомайнеры: признаки и симптомы

Если программы-вымогатели стараются произвести как можно больше шума, чтобы оказать на жертв психологическое давление, то криптомайнеры, наоборот, не афишируют свое присутствие — чем дольше они останутся незамеченными, тем выше будет выручка злоумышленников. В результате пострадавшие могут долгое время не понимать, что заразились.

Если вы когда-нибудь собирались майнить криптовалюту самостоятельно, то наверняка знаете о последствиях. Если же кто-то использует ваши электронные ресурсы тайно, обнаружить признаки работы майнера сложно, но все-таки можно: компьютер или мобильное устройство начинает вести себя слегка (или не слегка) иначе.

  • Система медленнее реагирует на ваши действия, потому что память, процессор и видеокарта устройства заняты криптомайнингом.
  • Батарея зараженного ноутбука, планшета или смартфона будет значительно быстрее разряжаться, также увеличится нагрев.
  • Если вы используете тариф передачи данных с ограничением по объему, оплаченный пакет трафика будет расходоваться заметно быстрее.
Как не заразиться или вылечить устройство

Если вы заметили какие-либо из указанных выше симптомов, то вам стоит озаботиться проверкой и, возможно, лечением устройства — а также защитить его от заражения в будущем. Вот, что мы можем посоветовать:

  • Регулярно обновляйте операционную систему и все приложения. Предлагаем для разнообразия не откладывать и начать прямо сейчас.
  • По умолчанию не доверяйте вложениям электронной почты. Перед тем как кликнуть по вложению или перейти по ссылке, спросите себя, доверяете ли вы тому, кто отправил это письмо? Ожидали ли вы этого письма? Уверены ли вы, что оно безопасно? Всегда наводите курсор на ссылки и вложения, чтобы посмотреть, как они на самом деле называются или куда ведут.
  • Не устанавливайте программы и приложения из неизвестных источников. Они могут содержать — и частенько действительно содержат — вредоносные криптомайнеры.
  • Пользуйтесь надежными антивирусами на всех своих компьютерах и мобильных устройствах, например Kaspersky Internet Security для Android или Kaspersky Total Security.
  • Полный отчет можно прочитать на Securelist. Щелкните здесь, чтобы узнать, как продукты «Лаборатории Касперского» защищают от криптомайнеров.
Категории: Новости вендоров

Слежка в электронной почте и как от нее защититься

вт, 26/06/2018 - 12:15

Представьте, что в вашем почтовом ящике — том, который для настоящей почты, — установлена камера, которая внимательно следит, какие рекламные листовки вас заинтересовали, а какие вы отправляете в мусор не читая. Возможно, вы об этом не задумывались, но электронная почта предоставляет создателям спама и рекламных рассылок именно такие возможности.

За время своего существования электронная почта прошла путь от отправки простых текстов до возможности создавать красочные письма с использованием разных шрифтов, стилей и встроенных изображений. Теперь по своим возможностям электронные письма близки к обычным интернет-сайтам — и это дает отправителям возможность встраивать в них элементы, позволяющие следить за тем, что вы делаете в своем почтовом ящике.

Как работает слежка в электронной почте?

Исследователи из Принстонского университета проанализировали около тысячи рекламных рассылок на предмет наличия в них возможностей следить за адресатами. Как выяснилось, 70% полученных ими писем содержали рекламные трекеры — автоматически загружающиеся элементы вроде невидимых картинок, которые не только сообщают отправителю, когда и сколько раз вы открыли письмо, но и передают в строке запроса личные данные, такие как e-mail. Кроме того, запрос на трекинговый домен раскрывает ваш IP-адрес, по которому можно примерно установить ваше местоположение.

С одной стороны, такие технологии позволяют создателям рассылок делать их более эффективными: например, с помощью так называемых A/B-тестов определять, на письма и  с какой темой (скажем, с эмодзи или без) люди с большей вероятностью кликают. С другой стороны, рекламные трекеры могут сохранять в браузере cookie-файлы, чтобы потом «узнать» вас на других сайтах, даже не связанных с темой рассылки.

Так рекламная сеть, которой он принадлежит трекер, получает больше информации о ваших интересах, которую может дальше продавать рекламодателям. Скажем, если вы открыли письмо о скидках на кроссовки, вскоре реклама спортивной обуви может начать преследовать вас по всему Интернету.

Как защититься?

Если вы пользуетесь для чтения почты веб-клиентом от Gmail или Yandex, вам повезло чуть больше: эти провайдеры (а возможно, и некоторые другие) сами скачивают для вас все изображения из письма, а потом передают вам. В таком случае рекламные сети не могут ни сохранить у вас в браузере cookie-файл, ни даже узнать, прочли вы письмо или нет.

Есть хорошие новости и для пользователей почты от других компаний: средства для блокировки веб-трекеров неплохо справляются и с почтовой слежкой, а IP-адрес можно скрыть с помощью VPN.

Вот несколько советов, которые помогут вам защититься от слежки через электронный ящик:

  • Отключите автоматическую загрузку изображений в почтовом клиенте и загружайте изображения только для доверенных отправителей.
  • Если письма без картинок кажутся вам слишком скучными, используйте средство для блокировки слежки — например, «Защита от сбора данных» в Kaspersky Internet Security.
  • Использование VPN — например, Kaspersky Secure Connection — поможет скрыть от рекламодателей ваш реальный IP.
Категории: Новости вендоров

Olympic Destroyer расширяет сферу интересов

ср, 20/06/2018 - 18:48

Похоже, что Olympic Destroyer — изощренная APT-угроза, пытавшаяся саботировать зимние Олимпийские игры 2018 года в Южной Корее — снова с нами. Недавно наши эксперты обнаружили следы похожей активности, но в этот раз нацеленной на финансовые организации в России и на лаборатории по предотвращению биологических и химических угроз в Нидерландах, Германии, Франции, Швейцарии и на Украине.

В чем опасность?

Оригинальный Olympic Destroyer использовал изощренные способы маскировки. Во-первых, авторы составили весьма убедительные подложные документы, в которых был спрятан зловред. Во-вторых, они не поскупились на механизмы обфускации, чтобы скрыть вредоносный код от защитных решений. Наконец, самое интересное: злоумышленники добавили множество ложных улик, чтобы специалистам было сложнее проанализировать атаку и установить ее авторов.

Сейчас в руки наших экспертов попали новые документов для целевого фишинга, боевая нагрузка которых напоминает ту, что мы видели в исходном Olympic Destroyer. Признаков распространения червя пока нет, но поддельные документы могут быть частью разведывательного этапа операции (зимняя кибердиверсия тоже предварялась прощупыванием почвы в 2017 году). Техническое описание зловреда и его инфраструктуры вместе с индикаторами заражения приведены в посте на Securelist.

Новые интересы

Главное отличие свежей реинкарнации Olympic Destroyer — сфера интересов. Мы проанализировали подставные письма и прошли к выводу, что в этот раз злоумышленники пытаются внедрить свои вредоносы в лаборатории по анализу биологических и химических угроз. В перечне их целей также оказались российские финансовые учреждения, но нам пока неясно, действительно ли операторы атаки хотят разжиться деньгами или это очередной отвлекающий маневр.

Помимо замаскированных вредоносных скриптов документы содержат упоминания Spiez Convergence (швейцарской конференции по исследованию биохимических угроз), нервно-паралитического вещества, которым предположительно отравили Сергея Скрипаля и его дочь в Солсбери, а также указов Министерства здравоохранения Украины.

Риски для вашего бизнеса

Когда речь идет о фишинговых угрозах, обычно мы в первую очередь советуем не открывать подозрительные вложения. К сожалению, в этот раз такая рекомендация бесполезна: в текущей кампании целевого фишинга документы не вызывают подозрений, поскольку злоумышленники составляют каждый из них так, чтобы заинтересовать конкретную жертву.

Поэтому единственное, что мы можем посоветовать европейским организациям, работающим в сфере исследования и предотвращения биохимических угроз, — это провести внеплановый аудит безопасности. И, конечно, установить надежные защитные решения. Наши системы успешно выявляют и блокируют зловреды связанные с Olympic Destroyer.

Категории: Новости вендоров

Как я покупала (несуществующий) велосипед

пн, 18/06/2018 - 13:58

В некоторых странах на велосипеде можно ездить круглый год, а в некоторых – только летом, и именно ближе к этому времени люди начинают задумываться о покупке нового «железного коня». Среди этих людей оказалась и я. И сейчас я расскажу, как я чуть было не отдала деньги за велосипед, который никогда бы не получила.

Самое долгое – определиться с тем, какой же велосипед выбрать. Просмотрев огромное количество отзывов и сопоставив массу параметров, я наконец поняла, какой именно велосипед я хочу. Оставалось только найти подходящий магазин, в котором можно было бы его приобрести. И занес меня поисковик на прилично сделанный сайт, на котором нужный мне велосипед продавался с гигантской скидкой!

Опыт работы в сфере информационной безопасности заставил меня немедленно насторожиться, но я решила проверить, что же будет дальше – вдруг мне действительно несказанно повезло?

В целом, кроме удивительно низкой цены, пока ничего не настораживало. После выбора всех необходимых параметров велосипеда меня ждала абсолютно стандартная процедура оформления заказа.

Далее появилось уведомление, сообщавшее, что мой заказ зарезервирован и у меня есть 24 часа на оплату. «И здесь ничего не обычного», — подумала я и стала ждать письмо на почту. И через несколько часов я обнаружила его в своем ящике. Вот оно:

Вот здесь и стало понятно, какая именно мошенническая схема выбрана владельцами сайта. После оплаты покупатель может даже не надеяться получить свой товар. Для оплаты предлагается перевести деньги на карту, а она принадлежит физическому лицу. Ни один серьезный магазин никогда не попросит перевести денежные средства на банковскую карту. Это явное мошенничество, и при столкновении с таким и думать не надо о том, чтобы что-то покупать в этом магазине. Если же вам встречается оплата по реквизитам – вы всегда можете их проверить: скажем, по ИНН можно узнать данные об организации и понять, соответствуют ли они указанным на сайте. Если вдруг это оказались данные физического лица или организации с таким ИНН не нашлось – не стоит связываться с этим магазином.

На всякий случай мы проверили домен магазина через специальные whois-сервисы – и выяснили, что он зарегистрирован чуть больше пары недель назад. Это еще один довольно характерный показатель того, что сайт может оказаться неблагонадежным.

Короче говоря, я на эту уловку не попалась и купила велосипед в другом месте. А вот что надо знать вам, если вы соберетесь покупать что-либо в интернет-магазине:

  • Перед покупкой обязательно найдите и почитайте отзывы о магазине. Если негативных отзывов много – лучше не связываться, даже если вам обещают очень приличную скидку только в этом месте.
  • Выбирайте оплату наличными или картой при получении товара. Если не иностранный магазин предлагает только предоплату – это подозрительно.
  • Используйте защитные решения вроде Kaspersky Internet Security, которые при помощи базы фишинговых и вредоносных сайтов помогут уберечь вас от посещения недобросовестных магазинов.
Категории: Новости вендоров

Мобильные твари и где они обитают — часть первая

пт, 15/06/2018 - 16:32

В последние годы помыслы злоумышленников сосредоточены на смартфонах. Ведь именно с мобильниками мы не расстаемся целыми днями, храним на них личные документы и фотографии, используем их как средство общения, камеру, проездной, кошелек и многое другое. На них хранится вагон и маленькая тележка ценных данных, за которые можно получить приличное вознаграждение. Впрочем, и для других нехороших целей мобильные устройства подходят отлично. Поэтому и программ-вредителей для смартфонов немало.

В прошлом году мы отловили 42,7 млн зловредов, которые используют смартфоны и планшеты для своих нехороших дел. Чтобы удобнее было в них разбираться, мы делим их на несколько видов в зависимости от того, чего они хотят и как себя ведут. В этой части мы познакомимся с тремя довольно широко распространенными видами.

Adware: рекламные кликеры и навязчивые баннеры

Один из самых распространенных видов заразы для мобильных устройств — рекламные зловреды. Их задача — накручивать клики по баннерам в Интернете либо самостоятельно, либо вашими руками. Или же они просто показывают вам лишнюю рекламу.

В первом случае вы даже не видите объявления. При этом кликер расходует ваши ресурсы — заряд аккумулятора и мобильный трафик. Зараженный смартфон садится всего за несколько часов, а счета за связь неприятно удивляют.

Второй тип рекламных вредоносов подменяет баннеры на интернет-страницах своими и заваливает вас ненужными объявлениями, чтобы вы сами волей-неволей переходили по ссылкам. При этом нередко поток спама оказывается таким мощным, что устройством становится невозможно пользоваться: реклама заслоняет собой все остальное.

Некоторые экземпляры могут еще и без спроса собирать информацию о вашем поведении в сети. Потом эти данные попадают к рекламодателям, которые с их помощью корректируют настройки своих рекламных кампаний. Кроме того, баннеры могут вести на вредоносные сайты, откуда на ваше устройство скачается что похуже.

SMS- и веб-подписчики

Второй вид зловредов — подписчики, также известные как кликеры (Trojan-clicker). Они занимаются тем, что воруют деньги с вашего мобильного счета — оттуда это делать проще всего, поскольку для этого не требуется никаких конфиденциальных данных вроде номера карточки. Средства утекают через платные WAP- или SMS-подписки, а в некоторых случаях — еще и через звонки на платные номера за счет жертвы.

О том, что такое WAP и как им пользуются злоумышленники, мы уже подробно писали здесь. Чтобы оформить от вашего имени платную подписку, WAP-кликеру достаточно нажать кнопку на сайте. SMS-зловредам требуется разрешение на отправку сообщений, однако многие пользователи готовы выдать его любому приложению не глядя. Чуть сложнее задача программ, тратящих ваши средства на IP-телефонию: им приходится регистрировать аккаунт в соответствующем сервисе.

Один из ярких примеров подписчиков — троян Ubsod. Этот вредитель специализируется на WAP, а чтобы вы как можно дольше не замечали его деятельность, он удаляет все SMS, содержащие ubscri или «одпи» (фрагменты слов subscribe / subscription и «подписка» / «подписаться»). Кроме того, он умеет переключаться с Wi-Fi на мобильный Интернет — только через него можно работать с WAP.

По счастью, избавиться от ненужных подписок несложно: все подписки отображаются в личном кабинете на сайте оператора. Там же вы можете их отключить, и даже запретить оформлять новые на этот номер (впрочем, в некоторых случаях такой запрет можно наложить только временно). Главное — заметить утечку денег со счета достаточно быстро, чтобы у вас не украли слишком много.

SMS-флудеры и DDoS-еры

Эти две категории объединяют зловреды, которые не скачивают, а отправляют данные — много данных! И делают это, конечно же, тайком, не спрашивая вашего разрешения. На том, чтобы за ваш счет испортить кому-то жизнь, тоже можно неплохо подзаработать — этим и пользуются мошенники.

Так, SMS-флуд часто используют хулиганы, чтобы поиздеваться над своей жертвой или вывести ее аппарат из строя. Флудеры можно установить на свое устройство и с него заваливать тысячами СМС своих врагов. Но многие не ограничиваются этим и стремятся отправлять сообщения за чужой счет, незаметно подсовывая приложение посторонним.

DDoS-еры способны «уложить на лопатки» не только смартфон, но и более мощное устройство или даже крупный интернет-ресурс. Для этого злоумышленники объединяют зараженные гаджеты в сеть — ботнет — и засыпают жертву запросами с них. Кстати, в роли DDoS-ера могут выступать и кликеры, пытающиеся открыть одну и ту же веб-страницу бессчетное количество раз.

И флудеры, и DDoS-еры пытаются с помощью вашего смартфона навредить кому-то еще. И все же для вас их деятельность тоже не пройдет бесследно, ведь это нагрузка и на производительность гаджета, и на его аккумулятор, и, естественно, на ваш счет. Обычно эти программы распространяются не очень широко, однако в июле 2013 года SMS-флудер Didat попал в топ-20 вредоносных программ, рассылаемых по почте.

Чем дальше в лес…

Сегодняшние герои нашей энциклопедии мобильной нечисти не слишком опасны. В худшем случае они утянут деньги со счета вашего телефона и попортят вам нервы. При этом многих из них легко обнаружить и удалить с помощью антивируса.

В следующих главах мы расскажем о злодеях повыше рангом. Следите за обновлениями и помните о правилах мобильной безопасности:

  • Не устанавливайте приложения из сторонних источников, а лучше вообще запретите это в настройках операционной системы!
  • Своевременно обновляйте мобильную ОС и все установленные приложения.
  • Защищайте мобильным антивирусом все свои устройства на Android.
  • Регулярно проверяйте список платных услуг в личном кабинете мобильного оператора и отключайте все, на что не подписывались сами. Обнаружив незнакомую подписку, не поленитесь проверить ваше устройство антивирусом.
  • Всегда читайте списки разрешений, которые у вас просит приложение, и не позволяйте лишнего.
Категории: Новости вендоров

Почему не стоит покупать дешевый Android-смартфон

чт, 14/06/2018 - 09:00

Как только вы решаете купить Android-смартфон, то сталкиваетесь с проблемой выбора: разных моделей не просто много, их безумно много. Новые компании-производители появляются как грибы после дождя, а Интернет переполнен мнениями о том, какие устройства достойны приобретения.

Такое многообразие сбивает с толку потенциальных покупателей, и многие решают опираться на цену как на главный, а порой и единственный, решающий фактор. И в результате выбор довольно часто падает на смартфоны малоизвестных производителей: они предлагают возможности и качество именитых брендов за полцены. Трудно устоять перед столь щедрым предложением.

Но не все так просто. Нередко вместе с таким смартфоном в нагрузку вы получаете «скрытые функции» — например, предустановленные вредоносные программы. Как это так получается? Сейчас объясним.

Троян в мешке

Огромное преимущество Android как мобильной платформы — гибкость, чем и объясняется ее популярность среди разработчиков. Google создает лишь базовые программные компоненты и дает разработчикам возможность кастомизировать систему, наполнив ее собственными нативными приложениями, чтобы выделить устройство среди других.

Некоторые нативные программы производитель делает системными, устанавливая их в папку /system/app или даже в /system/priv-app (сокращение от privileged — «привилегированный») на Android-устройстве, откуда их не может удалить пользователь. Пока вроде ничто не предвещает беды, но давайте на этом моменте задумаемся: в чем же все-таки состоит выгода компаний, предлагающих чересчур дешевые устройства?

В теории в папку system/app (или /priv-app) нужно устанавливать полезные пользователю приложения. Но на практике производители таким образом стараются подзаработать. Например, они предлагают разработчикам приложений за определенную плату встраивать их софт в систему. А иногда – сознательно или по недосмотру, – закидывают в эти папки вредоносное ПО.

Предустановленные зловреды могут показывать рекламу, от которой никак нельзя избавиться, или собирать ваши персональные данные и продавать их третьим лицам, а могут и комбинировать обе тактики, показывая персонализированную рекламу. Все это позволяет сбить конечную цену устройства. Замечательная бизнес-модель получается!

За примерами далеко ходить не надо. Скажем, встроенный троян, показывающий рекламу поверх интерфейса ОС, был обнаружен на устройствах относительно крупных производителей, таких как ZTE, Archos, Prestigio и myPhone. Другое расследование показало, что смартфоны OnePlus и BLU содержали предустановленное шпионское ПО, собиравшее персональные данные и передававшее их на серверы производителей.

Забавно, что большинство упомянутых нами производителей числятся как сертифицированные партнеры на официальном сайте Android. Выходит, встроенное вредоносное ПО становится распространенной практикой, и уже нельзя просто положиться на честность известного производителя.

Покупай, но проверяй

Чтобы не нарваться на зараженное устройство или хотя бы вычислить смартфон, который будет показывать рекламу практически в каждом приложении и собирать без разрешения ваши персональные данные, мы настоятельно рекомендуем сделать следующее:

  • Исследуйте вопрос. Высока вероятность, что об интересующей вас модели уже написали в Интернете, особенно если с ней действительно распространяется предустановленное вредоносное ПО.
  • Если устройство неправдоподобно дешевое, вполне вероятно, что с ним что-то не так. Разумно избегать смартфонов, которые заметно дешевле сопоставимых по характеристикам моделей, — скорее всего, производители какими-то сомнительными методами все же дополучат прибыль, которую они не заложили в начальную стоимость.
  • Уточните статус сертификации устройства Android, чтобы убедиться, что его прошивку проверили специалисты Google. Наличие сертификата не гарантирует отсутствия встроенных вредоносных программ, но вероятность нарваться на зараженное «из коробки» устройство в случае с сертифицированными все же поменьше.
  • Установите надежный антивирус, который уведомит и защитит вас в случае обнаружения вредоносного ПО. Несмотря на то, что иногда зловреды дожидаются вас еще в нераспакованном, новеньком смартфоне, риск заразить чистое устройство остается всегда.
Категории: Новости вендоров

GPS-трекеры — находка для кибербраконьеров

ср, 13/06/2018 - 09:00

Мы часто рассказываем о том, кто и как угрожает вам и вашей технике. Но жертвами последствий взлома недостаточно защищенных устройств могут оказаться не только люди. Сегодня речь пойдет о том, чем современные технологии могут быть опасны… для редких животных.

Ученые издавна используют специальные опознавательные знаки, чтобы узнать больше о привычках и повадках диких животных. Начиналось все с применения всяких примитивных штук, например колец с выгравированной на них информацией. Но на протяжении 20 века было придумано много высокотехнологичных методов, в частности использование GPS-трекеры. Эти миниатюрные устройства позволяют исследователям в режиме реального времени узнавать, где животное находится.

Трекеры для избранных

Первые трекеры появились несколько десятилетий назад. В отличие от устройств из 1990-х, современные GPS-приемники компактны и могут долго работать на солнечных батареях, не требуя постоянной замены аккумуляторов.

При этом качественные, долгоживущие спутниковые маячки стоят достаточно дорого и достаются лишь избранным — как правило, представителям вымирающих видов. Тем более что данные с трекеров не только удовлетворяют исследовательский интерес ученых, но и служат своеобразной сигнализацией, оповещающей работников заповедников о том, что животное в опасности.

Но так ли надежны GPS-трекеры?

К сожалению, GPS-маячки и аккаунты, на которые поступает информация с них, тоже можно взломать. А значит, есть риск, что данные о местонахождении зверя окажутся не в тех руках. На черном рынке за тушу редкого животного готовы заплатить столько, что браконьеры не поскупятся даже на самые дорогие услуги хакеров.

На сегодняшний день нет доказанных случаев взлома дорогих GPS-трекеров, и все же истории о нападении на «меченых» зверей то и дело всплывают в новостях, что наводит на тревожные мысли.

Причина смерти — популярность?

Например, в декабре 2012 года ошейник с GPS-трекером стал косвенной причиной гибели 832F — самой известной волчицы Йеллоустоунского национального парка. Она была предводительницей стаи, и за ее жизнью на протяжении 17 лет наблюдали не только исследователи, но и десятки тысяч любителей дикой природы.

Однако ее популярность, возможно, стала в итоге и причиной ее гибели: 832F и восемь других волков, носивших более дешевые и уязвимые радиомаячки, отследили местные охотники, считавшие, что звери представляют угрозу для домашнего скота.

До сих пор неясно, как именно они вышли конкретно на 832F. Возможно, охотникам (которые, кстати, пожелали остаться неизвестными) удалось взломать ее трекер. Возможно, они просто хорошо изучили повадки знаменитого зверя, ведь информация о перемещениях волчицы многие годы находилась в открытом доступе.

Выследить тигра

В 2013 году кибербраконьеры объявились в национальном парке Панна в Индии. По всей вероятности, они хотели выследить молодого бенгальского тигра с GPS-ошейником, каждый час передававшим ученым информацию о местонахождении зверя с точностью до трех метров.

Преступники попытались взломать закрытый почтовый ящик, на который руководителю программы мониторинга Кришнамурти Рамешу (Krishnamurthy Ramesh) приходили сведения о тигре. На счастье зверя, атака оказалась неудачной. Впрочем, данные с трекера поступали в зашифрованном виде и, просто украв сообщения из почты Рамеша, злоумышленники не смогли бы ими воспользоваться.

Главное — бдительность

Есть и другие случаи, когда современные технологии, призванные защищать животных, вместо этого ставят под угрозу их жизни. Это еще раз подтверждает, что безопасности много не бывает. Поэтому ученым всегда нужно тщательно следить за аккаунтами, собирающими ценные данные, и дважды думать, прежде чем раскрывать широкой общественности местонахождение редкого животного, — даже из самых лучших побуждений.

Категории: Новости вендоров

Голландские хакеры, большая киберполитика и анатомия современного фейкньюса.

вт, 12/06/2018 - 14:00

Пожалуй, в индустрии кибербезопасности нет компании, наевшейся медийного вранья больше, чем мы. Почти 4 года как по команде некоторые американские СМИ накладывают в уши публике невероятные истории о киберзаговоре спецслужбистов-банщиков с вашим покорным слугой во главе против «свободного мира».

Сфабрикованная статья в крупнейшей голландской газете доказывает политический заказ на лживые материалы против «Лаборатории Касперского»

Эти истории лепятся по шаблону – их архитектура и риторика похожи как две капли воды:

  • Слив спецслужбами «шокирующих подробностей» о [нужное вписать] в узкий круг изданий,
  • искажение реальности по принципу Парето (80% правда, 20% вранья, результат – чудовищная ложь),
  • отсутствие доказательств противоправного поведения, апелляция к анонимным источникам и некомпетентным лицам,
  • обоснование этими медийными историями политических решений (пруф).

Вот такая получается «медиакратия» с «фейкньюсом» в главной роли для создания образа врага и управления общественным мнением.

Насколько медиакратия эффективна, настолько она и заразна — увы, её запах сейчас можно слышать по всему миру. Недавно она «накрыла» (простите за двусмысленность) Голландию.

3 февраля крупнейшая газета страны De Telegraaf публикует сенсационную статью о хакерше (или «хакерессе»?), в прямом эфире заявившей о головокружительном взломе нашего голландского офиса и обнаружении там ужасных ужасов, доказывающих всё-всё.

Ну, как бы, дальше у хакерши выбор был невелик – штраф за клевету или в тюрьму за несанкционированный доступ. Второе исключалось – внутреннее расследование показало, что никакого взлома не было. Однако дальнейшее развитие событий увело эту вилку совсем в другую сторону.

Оказывается, хакерша никому ничего подобного не говорила! Журналисты опубликовали сфабрикованные данные, что подтверждено свидетельством хакерши под присягой, другим свидетелем, а также заверенными записями телефонных разговоров и электронной перепиской.

Дальше – больше.

Нити этой запутанной истории приводят к голландскому политику Виллему Верменду (бывшему многократному министру и депутату парламента), который вместе с упомянутой выше хакершей выпустил книгу про кибербезопасность (изъята из продажи из-за плагиата). Доказательства указывают на него как анонимный источник, нашептавший De Telegraaf враньё про взлом голландского офиса «Лаборатории» и подставивший соавтора. В ходе расследования и опроса свидетелей всплыли ещё несколько лиц, возможно причастных к фабрикации политически угодной статьи на злобу дня — в том числе депутаты парламента Нидерландов.

Эта история – проявление гораздо более масштабной болезни, которая поразила далеко не только Нидерланды

И завершают эту картину голландской политической кухни и коррумпированного медийного пространства журналисты De Telegraaf. Несмотря на очевидные расхождения в показаниях источников, несостоятельность обвинений и вопреки журналистской этике они соврали своим читателям конъюнктурной статьёй.

В общем, настоящая «Кибер-Санта-Барбара» 21 века.

А поскольку мы исчерпали возможности решить проблему с этой публикацией мирно, то решили обратиться в суд. 25 мая мы подали иск против газеты и г-на Верменда с требованием опубликовать опровержение и компенсировать ущерб репутации нашей компании. Буду держать вас в курсе хода процесса.

На самом деле примечательна не сама история – это всего лишь проявление гораздо более масштабной болезни, которая поразила далеко не только Нидерланды. Очевидно, обществу навязывают истерику, которая в лучших средневековых традициях «охоты на ведьм» проводит безапелляционную черту по национальному признаку между «плохим» и «хорошим», навешивая ярлыки на «своих» и «чужих», основываясь на более чем сомнительных аргументах и стандартах. Тем более абсурдными представляются медиакратические технологии «евробана»: обоснование политических решений враньём в СМИ и гипотетической угрозой в стиле фильма «Особое мнение».

И напоследок.

Риски использования нашего софта – чисто гипотетические. Ровно такие же, как и у любого другого софта из любой другой страны. А вот риск стать жертвой реальной кибератаки – крайне высокий. И не только кибератаки со стороны недружественного криминального окружения, но и с совсем неожиданной стороны улыбчивого партнёра. И здесь могут помочь только лучшие технологии от по-настоящему независимого производителя, проверенные независимыми тестами и доказавшие способность защищать от любых киберугроз вне зависимости от их происхождения.

«Лаборатория Касперского» подала в суд на крупнейшую голландскую газету De Telegraaf за клевету. Все доказательства налицо

Tweet
Категории: Новости вендоров

Вороватое расширение для Chrome

чт, 07/06/2018 - 14:20

Владельцы магазинов программного обеспечения — Google, Apple, Amazon и так далее — ведут примерно такую же постоянную борьбу с разработчиками зловредных программ, как и компании, разрабатывающие защитные решения. Злоумышленники пишут зловреды, которые попадают в магазины. Там их со временем обнаруживают и с позором изгоняют, внося какие-то изменения в политики безопасности, чтобы такие же зловредные программы не попали в магазин еще раз. Ну а потом злоумышленники учатся обходить эти политики и писать свои зловреды так, чтобы они вновь сколько-то времени могли провести в магазине и чтобы их скачало побольше народу. И так по кругу.

Мы всегда рекомендуем устанавливать приложения только из официальных источников, но это не значит, что там совсем нет зловредов  — просто их там хотя бы меньше, чем в других местах. И если в Google Play всякая гадость действительно встречается уже довольно редко, то в магазине расширений для браузера Google Chrome они попадаются значительно чаще. На днях наши эксперты обнаружили в Chrome Web Store вредоносное расширение, воровавшее банковские данные пользователей.

Банковский троян в вашем браузере

По сути, расширение под названием Desbloquear Conteúdo (что в переводе с португальского значит «Разблокировать содержимое») осуществляло атаку «человек посредине» (Man-in-the-middle). Когда пользователь заходил на страницу банка, зловредный скрипт включал перенаправление трафика через прокси-сервер, принадлежащий злоумышленникам. Таким образом они могли анализировать трафик, добывая из него интересующую их информацию.

Также зловред содержал скрипты, предназначенные для извлечения той или иной информации, вводимой пользователем, с интернет-страниц. Например, когда пользователь попадал на страницу входа в онлайн-банк, зловред перекрывал поля ввода логина, пароля и одноразового кода подтверждения своими, полностью повторявшими интерфейс банка. По нажатии кнопки входа в банк он копировал введенные данные себе и лишь затем передавал эту информацию в реальные поля на банковской странице.

Обнаружить зловред удалось в том числе благодаря тому, что домен, на котором располагался его командный сервер, использовал тот же IP-адрес, что и несколько других доменов, ранее уличенных во вредоносной деятельности. Этим он и привлек внимание исследователей.

Напомним, что расширения для Chrome при установке запрашивают разрешения на доступ, которые чаще всего дают им близкие к безграничным возможности на вашем компьютере. Чаще всего им достаточно даже одного разрешения — «Все данные на посещаемых сайтах», которое позволяет им видеть и изменять всю информацию, которую вы вводите на любых веб-страницах.

Так что с расширениями надо быть предельно аккуратными — они далеко не так безобидны, как многим кажется.

Почему с расширениями для браузеров нужно быть осторожнее

Защита от зловредных расширений для браузера

Вот еще несколько советов, которые помогут не подцепить зловред, прикидывающийся полезным расширением для браузера:

  • Устанавливайте только те расширения, которым вы абсолютно и полностью доверяете. То есть от проверенных разработчиков и с хорошей репутацией.
  • Не стоит устанавливать лишние расширения, если в этом нет реальной необходимости.
  • Если расширение когда-то было вам нужно, но больше вы им не пользуетесь — лучше его удалить, чем держать по принципу «а вдруг пригодится».
  • Используйте надежное защитное решение, например Kaspersky Internet Security. Каждое новое расширение для Chrome автоматически поступает к нам на анализ, так что зловреды даже в самых новых расширениях не останутся незамеченными.
Категории: Новости вендоров

Страницы