На платформе GitHub зафиксировано распространение нового вредоносного программного обеспечения (ПО) для Windows под названием Keyzetsu Clipper, нацеленного на пользовательские криптовалютные кошельки. Чтобы обмануть пользователей, злоумышленники создают фальшивые репозитории с названиями популярных проектов, которые выглядят легитимно, обманом заставляя жертв скачивать вредонос, угрожающий безопасности их криптоактивов.

Источник изображения: Vilkasss / Pixabay

Компания Checkmarx, специализирующаяся на кибербезопасности, подчёркивает, что такие действия не только маскируют угрозы, но и способствуют их распространению через злоупотребление результатами поиска на GitHub. Вредоносные репозитории могут выглядеть легитимно, появляясь в начале результатов поисковой выдачи, и иметь множество фальшивых звёздочек, а также частые модификации, чтобы казаться активными, что помогает им подняться в результатах поиска GitHub.

Вредонос Keyzetsu Clipper атакует до 12 различных адресов криптовалютных кошельков, причём эти атаки происходят ежедневно в заданное время. Эта программа способна украсть широкий спектр криптовалют, включая Bitcoin и Ethereum, за счёт подмены адресов кошельков в момент совершения транзакций жертвой.

Криптовалютные транзакции осуществляются через сети блокчейна, которые настолько децентрализованы, что совершённую транзакцию уже невозможно отменить. Поэтому пострадавший не может потребовать возврата средств, если злоумышленнику удалось получить доступ к криптокошельку или совершить нежелательную транзакцию.

Юхуда Гельб (Yahuda Gelb), инженер-исследователь из Checkmarx, сообщает, что данный вредонос не только перенаправляет финансовые средства на контролируемые злоумышленниками адреса, но также передаёт личные данные жертв специальному Telegram-боту. Это усугубляет риски, поскольку кража данных сопровождается их дальнейшим использованием в мошеннических схемах.

Keyzetsu Clipper также определяет геолокацию жертвы и имеет другие инструкции, если пользователь находится в России, хотя Гельб отмечает, что для России эта функция, похоже, ещё не активирована. Неактивированное состояние российского сценария вредоноса указывает на потенциальное расширение атак в будущем.

Группа учёных во главе со специалистами из Оксфордского университета потратила три года на разработку первого в истории «Мирового индекса киберпреступности» (World Cybercrime Index, WCI). Индекс снимает маску анонимности с киберпреступников и раскрывает их географию. Это нужно, чтобы служащие, бизнес и специалисты понимали, в каких странах необходима предельная бдительность, а в каких на киберзащите можно сэкономить. Это первое такое исследование, и оно будет расширено.

Источник изображений: PLOS ONE

Индекс WCI показывает, что крайне серьёзная киберпреступность обнаружилась в ограниченном числе стран. Россия возглавляет список, за ней следуют Украина, Китай, США, Нигерия и Румыния. Великобритания занимает восьмое место.

«Исследование, лежащее в основе [разработки] индекса WCI, поможет снять завесу анонимности с киберпреступников, и мы надеемся, что это поможет в борьбе с растущей угрозой киберпреступности, направленной на получение прибыли, — говорят авторы исследования. — Теперь у нас есть более глубокое понимание географии киберпреступности и того, как разные страны специализируются на разных видах киберпреступности».

Появление индекса WCI позволит государственному и частному секторам сосредоточить свои ресурсы на ключевых центрах киберпреступности, тратить меньше времени и средств на противодействие киберпреступности в странах, где проблема не столь значительна.

«Продолжая собирать данные, мы сможем отслеживать появление любых новых горячих точек, и, возможно, в странах, подверженных риску, можно будет предпринять ранние меры вмешательства ещё до того, как возникнет серьёзная проблема киберпреступности», — считают разработчики индекса.

Лежащие в основе индекса WCI данные были собраны в ходе опроса 92 ведущих экспертов по киберпреступности со всего мира, которые занимаются сбором и анализом соответствующей информации и расследованиями киберпреступлений. В ходе опроса экспертам было предложено рассмотреть пять составленных учёными основных категорий киберпреступности и назвать страны, которые, по их мнению, являются наиболее значимыми источниками каждого из этих видов киберпреступности. Также специалистов попросили ранжировать каждую страну в соответствии с влиянием, профессионализмом и техническими навыками киберпреступников.

По мнению изобретателей индекса WCI, анонимный характер киберпреступлений не позволяет эффективно провести исследование людьми не в теме. Поэтому обращение к специалистам стало лучшим и единственным решением, поскольку те зарабатывают на разборе преступной деятельности. Что касается пяти пунктов, по которым необходимо было создать критерий для оценки степени киберпреступлений в той или иной стране, то они следующие:

• Технические продукты/услуги (например, кодирование вредоносных программ, доступ к ботнетам и скомпрометированным системам, производство инструментов).
• Атаки и вымогательство (например, атаки типа «отказ в обслуживании», программы-вымогатели).
• Кража данных/личных данных (например, взлом, фишинг, компрометация учётных записей, кража кредитных карт).
• Мошенничество (например, мошенничество с авансовыми платежами, компрометация деловой электронной почты, мошенничество с онлайн-аукционами).
• Обналичивание/отмывание денег (например, мошенничество с кредитными картами, денежные мулы, незаконные платформы виртуальной валюты).

«Мы надеемся расширить исследование, чтобы мы могли определить, связаны ли с киберпреступностью национальные особенности, такие как уровень образования, проникновение интернета, ВВП или уровень коррупции. Многие люди думают, что киберпреступность глобальна и изменчива, но это исследование подтверждает мнение о том, что, подобно формам организованной преступности, она встроена в определенные контексты», — говорят разработчики индекса.

Microsoft в очередной раз столкнулась с крупным проколом в области кибербезопасности. Её сервер, связанный с поисковой системой Bing, на котором хранились учётные данные сотрудников для доступа к внутренним системам, содержащиеся в различных скриптах, коде и файлах конфигурации, не был защищён паролем и оставался открытым для свободного доступа из интернета.

Источник изображения: methodshop / Pixabay

Уязвимость была обнаружена 6 февраля тремя специалистами компании SOCRadar, специализирующейся на обнаружении слабых мест в кибербезопасности корпораций, и уже 5 марта Microsoft закрыла доступ к злополучному серверу. Тем не менее, остаётся неясным, успели ли злоумышленники воспользоваться уязвимостью до её устранения.

Ситуация вызвала беспокойство среди специалистов по кибербезопасности, поскольку использование злоумышленниками этих учётных данных могло бы открыть им дорогу к более чувствительной информации. Джан Йолери (Can Yoleri), один из специалистов SOCRadar, выразил опасения, что такой инцидент может привести к более значительным утечкам данных и, возможно, скомпрометировать используемые сервисы. В настоящее время Microsoft пересматривает свои практики информационной безопасности и активно работает над усилением защиты своих систем и данных.

Проблемы с кибербезопасностью в Microsoft не новы. В начале месяца компания столкнулась с критикой Совета по оценке кибербезопасности (CSRB) США за недостаточную защиту данных. Так, в 2023 году из-за уязвимостей в программном обеспечении Exchange Online китайские хакеры смогли получить доступ к системам электронной почты американского правительства. Ещё один инцидент произошёл в 2022 году, когда сотрудники Microsoft загрузили на платформу GitHub секретные учётные данные для входа в системы Microsoft.

Компания Microsoft могла бы предотвратить прошлогоднюю хакерскую атаку на свои сервисы, в рамках которой злоумышленникам удалось получить доступ к содержимому почтовых ящиков госслужащих США, в том числе работающих в сфере национальной безопасности. Об этом сказано в опубликованном на этой неделе докладе Совета по оценке кибербезопасности (CSRB) США, входящего в состав Министерства внутренней безопасности (DHS).

Источник изображения: Franz Bachinger / pixabay.com

Речь идёт об инциденте, который описывался как «каскад сбоев в системе безопасности» Microsoft и позволил предположительно китайским правительственным хакерам получить доступ к электронным почтовым ящикам сотрудников 22 государственных организаций. В общей сложности инцидент затронул более 500 госслужащих. В сообщении CSRB сказано, что взлом можно было «предотвратить», а ряд принимаемых внутри Microsoft решений способствовал формированию «корпоративной культуры, не придающей приоритетного внимания инвестированию в корпоративную безопасности и принятию жёстких мер по снижению рисков».

В ходе той атаки злоумышленники задействовали ключ подписи потребительских аккаунтов Microsoft для генерации поддельных токенов, открывающих доступ к аккаунтам в веб-версии почтового сервиса Outlook (OWA) и Outlook.com. В отчёте CSRB сказано, что Microsoft до сих пор точно не установила, как именно хакерам удалось украсть ключ подписи аккаунтов. По одной из версий, он являлся частью аварийного дампа, но специалисты так и не смогли его найти. Не имея доступа к этому дампу Microsoft не может точно установить, как именно был похищен ключ.

«Наша основная гипотеза заключается в том, что в результате операционных ошибок ключ покинул защищённую среду подписания токенов, и позднее к нему был получен доступ в среде отладки через взломанную учётную запись инженера», — говорится в сообщении Microsoft.

«Совет считает, что это вторжение можно было предотвратить и оно не должно было произойти. Совет также пришёл к выводу, что культура безопасности Microsoft не отвечает современным требованиям и требует пересмотра, особенно в свете центральной роли компании в технологической экосистеме и уровня доверия клиентов к компании в плане защиты своих данных и операций», — сказано в заявлении CSRB.

По данным источника, Microsoft работает над пересмотром системы безопасности в своём программном обеспечении, и эта деятельность началась вскоре после инцидента со взломом почтовых ящиков правительственных чиновников в прошлом году. Новая инициатива Microsoft Secure Future Initiative (SFI) призвана полностью изменить методы проектирования, сборки, тестирования и эксплуатации своего программного обеспечения и услуг.

Объём утёкших персональных данных россиян составил 1,12 млрд записей в 2023 году. Это почти на 60 % больше по сравнению с аналогичным показателем 2022 года, когда было скомпрометировано 702 млн записей. Об этом пишет РБК со ссылкой на данные исследования экспертно-аналитического центра ГК InfoWatch.

Источник изображения: pixabay.com

«Если говорить о количестве инцидентов, то в 2023 году оно сократилось на 15 % и составило 656 эпизодов. Однако это незначительное снижение с лихвой компенсируется растущим ущербом, который организации получают от результативных утечек», — прокомментировал данный вопрос руководитель направления аналитики и спецпроектов экспертно-аналитического центра ГК InfoWatch Андрей Арсентьев. Он также добавил, что среднее количество слитых за один инцидент данных в прошлом году увеличилось почти вдвое, с 0,9 млн до 1,7 млн записей.

В общей сложности за год из российских компаний утекли 95 крупных баз данных, что на 28 % больше по сравнению с показателем 2022 года. Результатом кибератак стали более 80 % утечек. При этом каждая десятая утечка напрямую связана с действиями персонала, но относительно 2022 года этот показатель снизился на 45 %. Опрос InfoWatch указывает на то, что 35 % представителей компаний относят утечки, вызванные действиями персонала, к наиболее актуальным угрозам.

Масштаб ущерба от утечек персональных данных может быть недооценён, поскольку более чем в 35 % таких случаев объём украденной информации остался неизвестен. По мнению экспертов, эта тенденция связана с появлением крупных хранилищ персональных данных в рамках ускоренной цифровизации экономики страны. В настоящее время основными мишенями для кибератак становятся социальные сервисы, операторы связи, маркетплейсы и другие интернет-платформы.

По данным источника, с 2022 года российскую инфраструктуру регулярно атакуют так называемые хактивисты, которые не пытаются извлечь финансовую выгоду, а стремятся скомпрометировать как можно больше данных по политическим мотивам. В последнее время количество таких атак неуклонно растёт. Представители малого и среднего бизнеса наиболее уязвимы перед такими атаками, поскольку в их распоряжении значительно меньше ресурсов для обеспечения информационной безопасности, чем у крупных компаний.

На этом фоне аналитики зафиксировали увеличение доли ИП и компаний малого бизнеса в структуре утечек с 18,5 % до 34,1 %. При этом доли крупных и средних игроков снизились с 54,3 % до 47,3 % и с 27,2 % до 18,6 % соответственно. С точки зрения отраслевого распределения за год выросла доля банков с 7,5 % до 10 %. При этом доля компаний из IT-сферы и информационной безопасности сократилась с 27,1 % до 18,8 %. В InfoWatch также отметили увеличение доли утечек государственной тайны в 2023 году с 1,8 % до 6,6 % (из них 73,6 % информации относились к персональным данным). Общий объём утёкших из госорганов данных вырос до 19,2 % (рост на 5,3 % относительно 2022 года).

Для обеспечения более надёжной защиты данных в прошлом году 59 % организаций провели обучение сотрудников основам информационной безопасности и цифровой гигиены, 27 % — внедрили системы защиты от кибератак, 17 % — установили DLP-системы, помогающие предотвращать утечки данных.

Офис национального директора по кибербезопасности (ONCD) Белого дома США призвал разработчиков отказаться от использования языков программирования C и C++ в разработке критически важного ПО. Этот совет основывается на опасениях, связанных с безопасностью управления памятью — аспекте, играющем критическую роль в предотвращении уязвимостей, таких как переполнение буфера и висячие указатели.

Источник изображения: xusenru / Pixabay

Неправильное управление памятью в программном коде может привести к серьёзным уязвимостям, позволяя злоумышленникам осуществлять кибератаки. Языки программирования, такие как Java, благодаря своим механизмам обнаружения ошибок во время выполнения, считаются безопасными в отношении управления памятью. В отличие от них, C и C++ позволяют разработчикам выполнять операции с указателями и обращаться непосредственно к адресам в памяти компьютера. Это включает в себя чтение и запись данных в любом месте памяти, к которому они могут получить доступ через указатель.

Однако эти языки не проводят автоматической проверки на то, выходят ли эти операции за пределы выделенного для данных или структур пространства в памяти. Такая проверка называется «проверкой границ». Отсутствие такой проверки означает, что программист может случайно или намеренно записать данные за пределы выделенного блока памяти, что может привести к перезаписи других данных, испорченным данным или, в худшем случае, к уязвимостям безопасности, которые злоумышленники могут использовать для выполнения вредоносного кода или получения контроля над системой.

Отчёт ONCD подчёркивает, что около 70 % всех уязвимостей в системе безопасности, выявленных инженерами Microsoft в 2019 году и Google в 2020 году, были связаны именно с нарушениями безопасности памяти. Эта статистика ясно демонстрирует необходимость переосмысления подходов к разработке ПО в контексте нынешней стратегии кибербезопасности США.

В отчёте не только указывается на проблемы с C и C++, но и предлагается ряд альтернатив — языков программирования, признанных «безопасными для памяти». Среди рекомендованных Агентством национальной безопасности (NSA) языков находятся: Rust, Go, C#, Java, Swift, JavaScript и Ruby. Эти языки включают в себя механизмы, предотвращающие распространённые типы атак на память, тем самым повышая безопасность разрабатываемых систем.

Индекс TIOBE на февраль 2024 года (источник изображения: tiobe.com)

Анализ популярности языков программирования по версии индекса TIOBE показывает, что из предложенных NSA языков C# занимает пятое место по популярности, Java — четвёртое, JavaScript — шестое, а Go — восьмое. Эти данные указывают на то, что часть рекомендуемых языков уже имеет широкое распространение и признание в профессиональном сообществе разработчиков.

Инициатива Белого дома выходит за рамки простого перечисления рекомендаций. Она включает в себя стратегический план по укреплению кибербезопасности на национальном уровне, что отражено в исполнительном приказе президента Джо Байдена (Joe Biden) от марта 2023 года. Этот документ задаёт направление для всестороннего сотрудничества между государственным сектором, технологическими компаниями и общественностью в целях разработки и внедрения безопасного ПО и аппаратных решений.

Заключение отчёта ONCD призывает к сознательному выбору языков программирования с учётом их способности обеспечивать безопасное управление памятью. Это не только техническое руководство для разработчиков, но и стратегическое направление для организаций, занимающихся разработкой критически важного ПО. Переход на использование языков программирования, гарантирующих безопасность памяти, может существенно снизить риск возникновения уязвимостей, повысить надёжность и безопасность цифровой инфраструктуры.

Злоумышленники стали практиковать новый метод вымогательства через социальные сети и мессенджеры с использованием ИИ для создания поддельных голосовых сообщений. Получив доступ к аккаунту пользователя, они рассылают его знакомым и во все чаты, где он состоит, поддельные голосовые сообщения с просьбами о переводе денег.

Источник изображения: B_A / Pixabay

При этом мошенники не ограничиваются созданием с помощью ИИ поддельных голосовых сообщений: они также используют фотографии банковских карт, указывая на них имя и фамилию владельца украденного аккаунта. Это делается для придания дополнительной достоверности их просьбам о переводе денег. Так, один из пользователей социальной сети «ВКонтакте» потерял 200 000 рублей, а другой — 3000 рублей.

Важно отметить, что в некоторых случаях злоумышленники использовали данные паспорта пользователя украденного аккаунта, которые отличались от информации в его социальных сетях, что дополнительно затрудняло выявление обмана. Это свидетельствует о высокой степени изощрённости и планирования таких атак.

Представители «ВКонтакте» подчеркнули, что подобные массовые мошеннические схемы на их платформе отсутствуют. Для борьбы с такими угрозами компания использует системы безопасности, в том числе автоматические инструменты на основе ИИ, которые способны оперативно реагировать на обращения пользователей.

По словам Евгения Егорова, ведущего специалиста департамента Digital Risk Protection компании F.A.C.C.T., взлом аккаунтов в Telegram или WhatsApp чаще всего происходит через фишинговые атаки, в том числе с использованием фейковых голосований. После кражи аккаунта мошенники скачивают сохранённые голосовые сообщения пользователя и с помощью ИИ создают поддельные аудиозаписи с нужным содержанием.

Диана Селехина, эксперт центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар», сообщила о значительном росте числа случаев мошенничества в Telegram, связанных с кражей аккаунтов. Она добавила, что за последние 30 дней было выявлено более 500 новых доменных имён, созвучных с названием мессенджера, что указывает на активизацию мошенников.

Селехина отметила, что в Telegram наряду с фейковыми голосованиями и схемами подписки Premium активно распространяются и другие мошеннические методы. Общим элементом всех этих схем является требование от пользователей вводить свой номер телефона и SMS-код, которые затем используются для несанкционированного доступа к аккаунтам. В последнее время эксперты фиксируют участившееся использование дипфейков в Telegram, часто сочетаемых с поддельными голосовыми сообщениями.

Упомянутая ситуация требует повышенного внимания со стороны пользователей социальных сетей и мессенджеров. Важно быть бдительным и критически подходить к любым просьбам о переводе финансовых средств, в том числе от знакомых лиц. Развитие ИИ открывает новые горизонты не только для положительных инноваций, но и для мошеннических схем. Всё это подчёркивает важность осведомлённости и предосторожности в цифровом мире.

Четыре киберпреступника в Китае были арестованы за разработку программ-вымогателей с помощью ChatGPT и их применение, что стало первым подобным случаем в стране. И это при том, что популярный чат-бот от OpenAI официально не доступен в Китае, да и Пекин ужесточает меры в отношении иностранного ИИ.

Источник изображения: pexels.com

Согласно сообщению государственного информагентства Синьхуа, об атаке первой сообщила малоизвестная компания из Ханчжоу, системы которой были заблокированы вымогательским ПО. Хакеры потребовали 20 000 стэйблкоинов Tether, что эквивалентно 20 тыс. долларов, за восстановление доступа. Вероятно, это был не единственный подобный случай.

В конце ноября полиция арестовала двух подозреваемых в Пекине и ещё двух во Внутренней Монголии. Они признались, что «писали версии программ-вымогателей, оптимизировали программу с помощью ChatGPT, проводили сканирование уязвимостей, получали доступ путём проникновения, внедряли программы-вымогатели и занимались вымогательством», — говорится в сообщении. В отчёте не говорится, было ли использование ChatGPT частью обвинений. В Китае он находится в серой правовой зоне, поскольку Пекин стремится ограничить доступ к иностранным продуктам генеративного искусственного интеллекта.

После того как в конце 2022 года OpenAI представила своего чат-бота, вызвав «гонку вооружений» в этой области среди технологических гигантов, ChatGPT и подобные продукты заинтересовали китайских пользователей. Вместе с тем OpenAI заблокировала работу чат-бота в Китае, Гонконге и ряде других стран, таких как Россия, Северная Корея и Иран. Однако с помощью виртуальных частных сетей и телефонного номера из поддерживаемого региона можно обойти блокировку.

Судебные дела, связанные с генеративным ИИ, участились, учитывая популярность технологии. В том числе и в Китае. В феврале полиция Пекина предупредила, что ChatGPT может «совершать преступления и распространять слухи». В мае полиция северо-западной провинции Ганьсу задержала человека, который якобы использовал ChatGPT для создания фальшивой новости о крушении поезда и распространил её в интернете, получив более 15 000 переходов по ссылке с новостью. В августе полиция Гонконга арестовала шесть человек в рамках борьбы с мошенническим синдикатом, который использовал дипфейк для создания поддельных изображений идентификационных документов, используемых для мошенничества с кредитами, направленного на банки и кредиторов.

Споры вокруг этой технологии возникают и на Западе. Брайан Худ (Brian Hood), мэр австралийского города Хепберн-Шайр, в марте направил OpenAI судебное уведомление после того, как ChatGPT ошибочно обвинила его во взяточничестве и коррупционном скандале. В этом году Федеральная торговая комиссия США выпустила предупреждение о мошенниках, использующих клонированные ИИ голоса для выдачи себя за людей, что можно сделать с помощью всего лишь короткого аудиоклипа голоса человека.

В последнее время люди и организации, чьи работы были использованы для обучения больших языковых моделей, выступают против того, что они считают массовым нарушением интеллектуальной собственности. На этой неделе газета The New York Times подала в суд на OpenAI и Microsoft, главного спонсора ИИ-компании, утверждая, что нейросети компании использовали миллионы статей для обучения без разрешения.

Хакеры, которые, как считается, располагают поддержкой правительства Северной Кореи, за последние шесть лет похитили примерно $3 млрд с помощью атак на криптовалютную индустрию. Только за прошлый год Kimsuky, Andariel, Lazarus Group и другие северокорейские хакерские группировки стали причиной 44 % всех хищений криптовалюты, что составляет $1,7 млрд. Это эквивалентно 5 % ВВП Северной Кореи или 45 % её военного бюджета.

Источник изображения: Pixabay

«С 2017 года Северная Корея значительно усилила своё внимание к индустрии криптовалют, украв криптовалюту на сумму около 3 миллиардов долларов», — говорится в недавно опубликованном отчёте Insikt Group из аналитической компании Recorded Future. В число целей северокорейских хакеров входят не только биржи криптовалют, но и отдельные пользователи, венчурные компании и другие технологические компании.

Исследователи рассказали, что северокорейские киберпреступники начали свою деятельность со взлома банковской сети обмена данными SWIFT, а затем переключили своё внимание на криптовалюту во время бума 2017 года, начав с криптовалютного рынка Южной Кореи, а затем расширяясь по всему миру.

Recorded Future утверждает, что кража криптовалюты была основным источником доходов Северной Кореи, используемых для финансирования военных и оружейных программ. Украденная криптовалюта часто конвертируется в фиатные ресурсы (реальные деньги). Северокорейские злоумышленники используют различные методы, в том числе кражу личных данных и изменённые фотографии, чтобы обойти меры по борьбе с отмыванием денег.

Recorded Future также сообщила, что персональные данные жертв северокорейских хакеров могут использоваться для создания учётных записей в процессе отмывания украденной криптовалюты. Поскольку большинство вторжений начинается с социальной инженерии и фишинговой кампании, организациям следует обучать своих сотрудников отслеживать эту деятельность и внедрять надёжные меры многофакторной аутентификации.

В Северной Корее на сегодняшний день предположительно «трудятся» около 6000 хакеров, которых страна использует для получения финансовой выгоды и сбора разведывательной информации, сообщило ранее в этом году Федеральное бюро расследований США.

По данным платформы по борьбе с мошенничеством Arkose Labs, ошеломляющие 73 % посещений сайтов и взаимодействий с приложениями в мире в период с января по сентябрь 2023 года были выполнены вовсе не людьми, а вредоносными ботами с повышенной криминальной активностью. Количество атак ботов во втором квартале возросло на 291 % по сравнению с первым. Этот всплеск может быть результатом использования машинного обучения и ИИ для имитации человеческого поведения.

Источник изображения: Pixabay

Самым «популярными» вредоносными действиями ботов стали мошенничество с SMS-сообщениями, веб-скрейпинг (парсинг), тестирование платёжных карт, захват учётных записей, создание фиктивных учётных записей, управление учётными записями и злоупотребления в продуктах (накопление инвентаря, злоупотребление баллами лояльности и тому подобное).

Мошенничество с SMS-сообщениями продемонстрировало в третьем квартале наибольший рост по сравнению с предыдущим кварталом, увеличившись на 2141 %. Количество атак на колл-центры служб поддержки клиентов возросло на 160 %. С первого по второй квартал самый большой рост продемонстрировал парсинг — получение данных путём извлечения их со страниц веб-ресурсов возросло на 432 %.

Аналитики утверждают, что рост числа атак вредоносных ботов означает, что их использование продолжает приносить прибыль киберпреступникам. В дальнейшем рост использования ИИ преступниками, вероятно, только усугубит ситуацию, и единственное способ борьбы с этими правонарушениями — «идти по следу денег». Если деятельность ботов перестанет приносить криминалу прибыль, преступники утратят к ней интерес.

Стоит отметить, что не все боты наносят вред. Часть из них используются для выполнения полезных задач, таких как индексирование сайтов для поисковых систем, архивирование веб-ресурсов, обслуживание клиентов и управление взаимодействием с социальными сетями.

В комментариях на сайте techspot.com один из пользователей выразил опасение, что «теория о смерти интернета реальна. Если 73 % составляют плохие боты, ещё сколько-то — хорошие боты, то люди, вероятно, составляют менее 10 %».

В 2023 году компания NordPass, известная своими решениями для управления паролями, опубликовала свежий рейтинг самых распространённых паролей, и результаты неутешительны. Простейший пароль «123456» возглавил список, тем самым подчёркивая общее пренебрежение пользователей вопросами кибербезопасности. Пароль «password», лидировавший в прошлом году, опустился на 7-е место. Этот рейтинг подчёркивает продолжающуюся тенденцию использования слабых и предсказуемых паролей, что ставит под угрозу цифровую безопасность пользователей.

Источник изображения: AbsolutVision / Pixabay

Анализ рейтинга 200 наиболее распространённых паролей показывает, что большинство из них крайне уязвимы. В топ-10 входят такие простые комбинации, как «123», «1234», «12345», «12345678», «123456789» и «1234567890», а также «Aa123456» и, конечно же, «password». Особенно обескураживает, что эти пароли могут быть взломаны злоумышленниками менее чем за секунду с помощью простых методов брутфорса — подхода к взлому паролей путём перебора всех возможных комбинаций.

Впрочем, есть и исключения, такие как «theworldinyourhand», занимающий 173-е место в рейтинге. Этот пароль практически не поддаётся взлому обычными методами и потребовал бы столетий для его подбора вручную. В то время как пароль «admin», занявший 2-е место, является стандартным на многих устройствах и легко взламывается.

Добавление «123» к «admin» или использование символа «@» между словом и числами значительно увеличивает время взлома. Например, «admin123» и «admin@123» требуют значительно больше времени для подбора. Интересным является факт популярности пароля «Eliska81», занимающего 40-е место в рейтинге, используемого более чем 75 755 людьми. Это подчёркивает, как случайные и неожиданные комбинации могут стать популярными.

Кроме того, стоит отметить, что пароль «admintelecom» находится на 54-м месте. Этот пароль требует около 23 дней для взлома методом брутфорса, что делает его одним из самых безопасных в списке.

Специалисты прогнозируют, что в следующем году список наиболее распространённых паролей останется практически неизменным. От выбора пароля зависит безопасность личных данных и надёжность защиты от несанкционированного доступа. В современном цифровом мире ответственность за сохранность своих данных лежит на каждом пользователе.

Группа анализа угроз Google сообщила, что обнаружила в сервере электронной почты Zimbra уязвимость, которая использовалась для кражи данных у правительств Греции, Молдовы, Туниса, Вьетнама и Пакистана. Эксплойт, известный как CVE-2023-37580, был нацелен на почтовый сервер Zimbra Collaboration с целью кражи данных электронной почты, учётных данных пользователей и токенов аутентификации у организаций.

Источник изображений: Google

Первый раз эксплойт был использован в конце июня в Греции. Злоумышленники, обнаружившие уязвимость, отправили электронные письма с эксплойтом в одну из правительственных организаций. Пользователи, перешедшие по ссылке во время входа в свою учётную запись Zimbra, стали жертвами хакерской атаки, их данные электронной почты были скомпрометированы, а киберпреступники получили контроль над их аккаунтами.

Zimbra опубликовала исправление для уязвимости на Github уже 5 июля, но массовое распространение эксплойта началось позже, так как многие пользователи не обновили вовремя программное обеспечение. «Сложившаяся ситуация демонстрирует, как злоумышленники отслеживают репозитории с открытым исходным кодом, чтобы оперативно использовать уязвимости, когда исправления находятся в репозитории, но ещё не выпущены для пользователей», — уверены участники группы анализа угроз Google.

В середине июля группа киберпреступников Winter Vivern с помощью этого эксплойта атаковала правительственные организации в Молдове и Тунисе. Позже неизвестный злоумышленник использовал уязвимость для получения учётных данных членов правительства Вьетнама. Последний случай использования эксплойта, описанный группой анализа угроз Google, — кража токенов аутентификации с почтового сервера правительства Пакистана. Эти токены используются для доступа к заблокированной или защищённой информации.

Пользователи Zimbra ранее уже становились объектами массовой фишинговой кампании в начале этого года. В 2022 году, злоумышленники использовали другой эксплойт Zimbra для кражи электронной почты европейских правительств и СМИ. Заметим, что почтовым сервером Zimbra по состоянию на 2022 год пользовались около 200 000 клиентов, включая более 1000 правительственных организаций.

«Популярность Zimbra Collaboration среди организаций с низкими ИТ-бюджетами гарантирует, что она останется привлекательной целью для злоумышленников», — уверены исследователи компании ESET, разработчика антивирусного программного обеспечения и решений в области компьютерной безопасности.

Google обнаружил новую угрозу в своём сервисе «Google Календарь»: хакеры могут использовать его для управления вредоносным ПО, замаскировав команды под обычные записи в календаре. Такие действия трудно обнаружить, что создаёт серьёзные риски для кибербезопасности. Что интересно, Google сама предупреждает, что «Календарь» может использоваться для скрытой передачи команд вредоносным программам.

Источник изображения: TheDigitalArtist / Pixabay

Многие вирусы после проникновения в систему жертвы нуждаются в управлении со стороны злоумышленников. Для этого создаётся специальная инфраструктура «команд и управления» (Command and Control или C2). Обычно хакеры посылают команды своему вредоносному ПО через так называемый C2-сервер, однако теперь они нашли способ маскировать свою активность, используя легитимные сервисы, такие как облачные хранилища и почтовые службы.

В прошлом хакеры уже использовали для этих целей такие сервисы, как Dropbox, Amazon Web Services, Google Drive и Gmail. Это позволяло им скрывать команды для вирусов под видом обычного интернет-трафика, что затрудняло их обнаружение антивирусными программами и специалистами по кибербезопасности.

Сейчас Google указывает на потенциальную опасность использования «Календарь» в качестве нового инструмента для C2-коммуникаций. В докладе о будущих угрозах компания ссылается на исследование в сфере кибербезопасности, в котором эксперт под псевдонимом MrSaighnal демонстрирует методику использования «Google Календарь» злоумышленниками.

Источник изображения: IT researcher MrSaighnal / GitHub

Методика, названная Google Calendar RAT (GCR), предполагает размещение команд C2 в описании событий календаря. Вредоносное ПО, установленное хакерами, может регулярно проверять аккаунт «Google Календарь» на наличие новых команд и выполнять их на заражённом устройстве.

«По словам разработчика, GCR взаимодействует исключительно через легитимную инфраструктуру, управляемую компанией Google, что затрудняет обнаружение подозрительной активности защитниками», — отметила Google.

Открытие этой уязвимости в «Google Календарь» ставит новые вопросы о том, насколько безопасны на первый взгляд надёжные цифровые сервисы. Это также подчёркивает необходимость постоянного обновления методов киберзащиты и внимательного отношения к любым изменениям в поведении ПО.

Компания Discord объявила, что изменит принцип работы со ссылками на файлы, размещённые на платформе. К концу текущего года такие ссылки будут автоматически обновляться каждые 24 часа. Это будет частью мер по борьбе с распространением вредоносного ПО, которое, как отмечает издание Bleeping Computer, часто хранится именно на серверах Discord. Нововведение затронет всех пользователей популярного сервиса и является важным шагом в укреплении безопасности платформы.

Источник изображения: felipedsilva / Pixabay

Компания рекомендует пользователям, использующим Discord для хостинга файлов, искать альтернативные решения. При этом изменения не затронут тех, кто делится контентом непосредственно внутри клиента Discord: все внутренние ссылки будут обновляться автоматически, обеспечивая непрерывный доступ к файлам.

Компания Trellix, специализирующаяся на кибербезопасности, сообщила о нахождении приблизительно 10 000 образцов вредоносного ПО, распространяемого через Discord. Злоумышленники использовали вебхуки платформы для передачи собранных данных с заражённых компьютеров в каналы Discord, находящиеся под их контролем.

В ответ на эти угрозы Discord реализует систему временных ссылок на файлы для всех пользователей. Так, Discord будет включать новые параметры URL, которые добавят метки истечения срока действия и уникальные подписи. Эти подписи будут оставаться действительными до момента истечения срока действия ссылки, что предотвратит использование Discord для постоянного хостинга файлов.

Согласно разработчикам Discord, уже сейчас к ссылкам добавляются три новых параметра URL: ex (expiration timestamp), is (unique id signature) и hm (hash match). После введения обязательной аутентификации, которая будет реализована позже в этом году, ссылки с этими подписями будут оставаться активными до указанной даты истечения срока действия.

Как только ссылка на файл, размещённый на серверах Discord, истечёт, для доступа к этому файлу будет необходимо получить новый URL, предоставляемый через Discord. Это означает, что каждый раз, когда истекает срок действия старой ссылки, система Discord предоставит обновлённый URL, который будет активен в течение следующих 24 часов. Процесс обновления ссылок будет происходить автоматически через программный интерфейс Discord (API).

Это не только облегчает доступ к файлам без необходимости ручного обновления ссылок, но и служит дополнительным уровнем проверки: если контент был помечен как вредоносный, новая ссылка на него не будет сгенерирована, что предотвращает дальнейшее распространение вредоносного ПО. Таким образом, даже если вредонос был загружен на платформу, его жизненный цикл будет ограничен.

В Индии в нескольких штатах, включая Тамил Наду, Пенджаб, Бихар, Дели и Западную Бенгалию, прошли масштабные рейды Центрального бюро расследований Индии (CBI) при участии международных правоохранительных органов и технологических компаний, таких как Microsoft и Amazon, в рамках борьбы с киберпреступностью, связанной с мошенничеством с технической поддержкой и криптовалютой.

Источник изображения: Pixabay

В ходе 76 полицейских рейдов, являющихся частью операции «Чакра-II», направленной на ликвидацию финансовых группировок, связанных с киберпреступностью, были заморожены «многочисленные» банковские счета и получена важная информация о предполагаемых мошеннических операциях. Также было конфисковано 32 мобильных телефона, 48 ноутбуков и жёстких дисков и 33 SIM-карты.

В результате проведения операции «Чакра-II» CBI выявило две мошеннические схемы, связанные с технической поддержкой, действовавшие не менее пяти лет, в рамках которых мошенники выдавали себя за агентов службы поддержки, работающих на «две известные транснациональные компании».

«Незаконные колл-центры, подвергшиеся рейдам CBI, были созданы для того, чтобы выдавать себя за службу поддержки клиентов Microsoft и Amazon. Они были нацелены на более чем 2000 клиентов Amazon и Microsoft, в основном базирующихся в США, но также в Канаде, Германии, Австралии, Испании и Великобритании», — рассказала Эми Хоган-Берни (Amy Hogan-Burney), генеральный менеджер подразделения Microsoft по борьбе с киберпреступлениями.

Мошенники связывались с жертвами через всплывающие сообщения в интернете, выглядевшие как предупреждения от Microsoft и Amazon о возникновении на компьютере пользователя технических проблем. Пользователю предоставлялся бесплатный номер, по которому он мог связаться со службой поддержки. Получив удалённый доступ к компьютеру жертвы, мошенники убеждали её в наличии несуществующей проблемы, за устранение которой приходилось платить сотни долларов.

Согласно отчёту ФБР об интернет-преступлениях за 2022 год, мошенничество с фиктивной технической поддержкой входит в пятёрку самых распространённых типов преступлений в период с 2018 по 2022 год. Только за последний год эти мошенничества привели к убыткам, превышающим $800 млн, с числом пострадавших, превышающим 32 000, в одних только США.

Кроме того, CBI раскрыло мошенничество с криптовалютой, в результате которого граждане Индии понесли убытки на сумму около $12 млн.