Британское Национальное агентство по борьбе с преступностью сообщило, что в начале текущей недели правоохранительные органы Англии и Шотландии арестовали восемь человек, которые занимались подменой SIM-карт и похищали деньги у американских знаменитостей и богатых людей. Часто атаки группы затрагивали известных спортсменов, музыкантов и так далее.
Представители Европола добавляют, что эти аресты стали продолжением крупной операции, начавшейся на Мальте и Бельгии, где ранее были задержаны другие члены этой же преступной группы. Данное расследование началось еще в прошлом году, после масштабного взлома Twitter, и в нем принимали участие власти США, Великобритании, Канады, Мальты и Бельгии.
По данным властей, преступники действовали по классической схеме и обманом вынуждали сотрудников американских операторов сотовой связи присвоить их SIM-карте телефонный номер знаменитости. Имея доступ к номеру жертвы, мошенники сбрасывали пароли и обходили двухфакторную аутентификацию в различных учетных записях. Суммарно такая активность принесла группировке более 100 000 000 долларов США в криптовалюте.
Источник:https://xakep.ru/2021/02/11/celebrity-sim-swap/
Фактическая реализация закона, обязывающего производителей смартфонов, компьютеров и смарт-ТВ предустанавливать на устройства отечественные приложения и сервисы, может не оправдать надежд разработчиков документа и создателей ПО. С большой вероятностью эти программы можно будет легко проигнорировать.
Увидеть отечественное ПО пользователи смогут лишь в окне выбора в процессе активации нового устройства. При этом установку можно будет легко пропустить.
Показывать ссылки на программы только в процессе активации гаджета производителям позволяет подзаконное постановление правительства. Это один из трех вариантов предустановки, остальные два — размещение программ непосредственно на устройстве или добавление на него значков-ссылок, позволяющих запустить скачивание и установку.
То же постановление не позволяет производителям устройств брать за предустановку приложений плату с их разработчиков. Один из источников Коммерсанта отметил, что такая ситуация не устраивает, например, "Яндекс": "Компания настаивает на установке на жесткий диск, причем требует, чтобы ее сервисы располагались на главном экране смартфона наравне с сервисами Google, которые предустановлены на всех устройствах с Android".
При этом платить поисковик (замаскировав платежи, например, под маркетинг, чтобы формально не нарушать постановление) готов гораздо меньше, чем раньше платил в открытую — около 25 рублей вместо 1-5 долларов за каждый смартфон.
В список 16 обязательных приложений российской разработки для смартфонов и планшетов вошли Яндекс.Браузер, поисковик Яндекс, Яндекс.Диск, Яндекс.Карты, Почта Mail.ru, ICQ, глосовой ассистент «Маруся», Новости Mail.ru, OK Live, ВКонтакте, «Одноклассники», MirPay (только Android), Госуслуги, «МойОфис Документы», Kaspersky Internet Security (только Android) и Applist.ru.
За нарушение закона предлагается штрафовать должностных лиц на сумму до 50 тыс. рублей, а юридических – до 200 тыс. рублей.
Кибератака повинна в смерти жительницы Германии. Хакеры взломали 30 серверов университетской больницы в Дюссельдорфе и зашифровали её базы данных, чтобы требовать выкуп в обмен на ключ для расшифровки. Прокуратура считает, что женщина умерла из-за задержки с оказанием медицинской помощи. Больница утратила доступ к медицинской истории пациентки, расписанию работы врачей и другим компьютерным системам, и была вынуждена отказывать пациентам в неотложной помощи.
В результате женщина в опасном для жизни состоянии была отправлена в друную больницу в 20 милях, где скончалась от задержек с лечением.
Почти все требования выкупов в подобных обстоятельствах обеспечиваются через даркнет. Злоумышленники больше не принимают оплату вручную через электронную почту – теперь они создают автоматизированные сервисы, в которых жертвы логинятся с помощью токена, вложенного в письмо с требованием выкупа. Как только вымогатель получает биткоины, жертва получает ключ для расшифровки.
Больницы часто становятся мишенью для киберпреступников – особенно мишенью для атак с использованием программ-вымогателей. Необходимость доступа к медицинским картам и компьютерным системам создаёт срочность, а это увеличивает вероятность того, что жертвы заплатят выкуп.
Самыми агрессивными атаками на медицинские учреждения на сегодняшний день были атаки с использованием северокорейского вымогателя WannaCry в 2017 году – они остановили работу британских больниц, которые вынудили врачей отменить операции и выслать пациентов; а также российские атаки NotPetya месяц спустя, из-за которых больницы в штатах Вирджиния и Пенсильвания отказывали в приёме пациентам.
WannaCry сумели быстро нейтрализовать, сумев расшифровать данные, не заплатив выкуп, но большая часть данных, захваченных NotPetya, так и не была восстановлена. Сообщений о гибели людей из-за этих нападений не поступало, но эксперты по безопасности заявили, что это лишь вопрос времени.
Программы-вымогатели стали настоящим бичом в Соединенных Штатах, и больницы являются одной из самых уязвимых. целей. В 2019 году рекордные 764 американских поставщика медицинских услуг пострадали от программ-вымогателей. Пациентам отказывали в неотложной помощи, не определяли в стационары, задерживались анализы, отменялись хирургические операции и даже скорая помощь переставала выезжать.
Хотя ФБР советовало не платить выкупы, эксперты по страхованию советовали платить – так как это всё равно дешевле, чем терпеть ущерб от атаки.
По данным Emsisoft, компании по кибербезопасности, в 2019 году эти атаки нанесли ущерб на более чем 7.5 миллиардов долларов.
А так как выкупы платились охотно, атаки стали происходить ещё чаще. Суммы серьёзные – например, вломщики 110 домов престарелых требовали за расшифровку 14 миллионов долларов.
В первые шесть месяцев 2020 года количество атак несколько снизилось, но на фоне пандемии наступление возобновилось.
Почти 10% взломанных баз данных поступают в продажу в даркнет – иногда не за фиксированную цену, а в виде аукционов. За такие утечки больницы несут ответственность по закону о защите персональных медицинских данных.
Университетская больница Дюссельдорфа, из-за атаки на которую произошла смерть, по всей видимости попала под удар случайно. Записка о выкупе была адресована Университету Генриха Гейне, который является филиалом больницы, а не самой больницей. Полиция связалась с вымогателями и объяснила, что пострадала больница, а не университет, и её пациенты в опасности. Вымогатели тут же без оплаты передали полиции ключ шифрования. Поэтому уголовное дело было возбуждено по статье о причинении смерти по неосторожности.
Однако даже в том маловероятном случае, если личность преступника будет установлена, он вряд ли будет арестован – подавляющее большинство вымогателей базируется в России, а Россия не экстрадирует своих граждан. На сегодняшний день российских хакеров задерживают только во время поездок за границу.
Так, в 2016 году российский киберпреступник был арестован во время отпуска в Праге по обвинению во взломе LinkedIn, социальной сети и других американских компаний.
А в 2014 году агенты Секретной службы США согласовали действия с властями Мальдив, чтобы экстрадировать российского киберпреступника на Гуам. Позже хакер был признан виновным по 38 пунктам обвинения во взломе розничных сетей США и приговорен к 27 годам лишения свободы. Российские официальные лица назвали экстрадицию «похищением».
Живучесть этой схемы по вымогательству – по большей части заслуга неуязвимости сайтов в onion-сегменте. Раньше собирать миллионы долларов на нелегальных сайтах было просто невозможно – их тут же блокировали хостеры. Теперь же жертвы безо всяких препятствий и задержек снабжают мошенников деньгами, стимулируя их наносить ещё больше вреда.
Американская некоммерческая организация «Коалиция за безопасный интернет» (Coalition for a Safer Web) подала иск к компании Apple с требованием удалить мессенджер Telegram из магазина приложений AppStore. НКО полагает, что Apple не должна размещать на своей платформе Telegram, поскольку руководство мессенджера не стало банить пользователей, которые распространяли в нем экстремистские сообщения перед штурмом Капитолия 6 января.
Согласно иску, фрагмент которого приводит Washington Post, заявители требуют удалить Telegram с платформы, потому что руководство Telegram не предприняло никаких мер, чтобы ограничить или заблокировать «экстремистские сообщения» 6 января и ранее. Кроме того, мессенджер обвиняют в причинении эмоционального стресса по небрежности и в нарушении бизнес-кодекса Калифорнии.
Аналогичный иск «Коалиция за безопасный интернет» планирует подать и к Google, которая распространяет приложения для операционной системы Android через магазин Google Play Store.
Опрошенные изданием эксперты полагают, что это начало кампании по давлению на Telegram, схожей с недавно прошедшим ударом по соцсети Parler. Parler ранее удалили из AppStore и Google Play Store после множества жалоб — пользователи платформ потребовали заблокировать соцсеть, поскольку ей пользовались правые радикалы и консервативные сторонники уходящего президента США Дональда Трампа.
Dailystorm - Соцсети в США стали новыми цензорами. Ваше право высказывать мнение в интернете могут отобрать
Ранее издание The Telegraph сообщило, что Telegram в последнее время вышел на второе место по числу скачиваний в США. По версии журналистов, это объясняется блокировкой аккаунтов действующего президента США Дональда Трампа почти во всех соцсетях, а также удалением площадки Parler (где собирались сторонники американского лидера). Перед этим пользователи Parler призывали переходить в Telegram.
11 января Дуров призвал пользователей перейти с операционной системы iOS на Android. Он пояснил, что американская компания Apple, смартфоны и другие устройства которой работают на iOS, может ограничить доступ к приложениям.
9 января Twitter навсегда заблокировала личный аккаунт Трампа. Компания объявила о решении спустя два дня после того, как президент США был первоначально заблокирован за публикацию серии постов, которые «вводили пользователей в заблуждение относительно результатов президентских выборов». На момент блокировки на личном аккаунте Трампа было 88,7 миллиона подписчиков. Facebook и Instagram ранее также заблокировали профили Трампа до инаугурации Джо Байдена.
8 февраля у популярного мессенджера WhatsApp в силу вступят новые Условия использования. Разработчики уже готовятся к переходу и совсем скоро начнут собирать разрешения от пользователей.
Новое обновление условий и политики конфиденциальности основано на аналогичном изменении, о котором WhatsApp объявил в июле прошлого года.
Однако в предыдущем обновлении WhatsApp давал пользователям возможность «не предоставлять Facebook информацию о вашей учетной записи WhatsApp». В последнем обновлении WhatsApp отказался от этой опции, и пользователям придется принять новые условия и политику конфиденциальности, если они хотят продолжать использовать мессенджер.
Планируется, что обработка данных пользователей будет проводиться иначе, в частности это затрагивает ряд обязательств по конфиденциальности. Также добавляются новые опции, связанные с возможностями дополнительных продуктов, обработки сведений для гарантии безопасности, целостности и защищенности. Кроме того, в обновлениях появятся новые прямые ссылки на параметры пользовательских настроек, пункты Справочного центра и методы контроля данных.
Пользователь может принять соответствующие условия до 8 февраля или отказаться от использования мессенджера.
«Лаборатория Касперского» не планирует переезжать из России, чтобы снять подозрения в шпионаже со стороны западных клиентов, заявил генеральный директор компании Евгений Касперский. По его словам, налоговый режим, который действует в России по отношению к IT-компаниям — «словно рай».
«Честно говоря, мне комфортно, чтобы мы оставались московской компанией… потому что на нас никак не влияет правительство России»,— рассказал господин Касперский в интервью Financial Times.
Он сравнил ограничения, введенные правительствами США и Великобритании на использование продуктов «Лаборатории Касперского», результатом геополитических действий. В 2017 году США ввели запрет на продукты компании для федеральных агентств, а Великобритания — для государственных подразделений, ответственных за национальную безопасность. По словам господина Касперского, после запретов «Лаборатория Касперского» столкнулась с падением продаж в корпоративном секторе США на 25%.
Эксперты компании Microsoft в очередной раз подняли вопрос о небезопасности многофакторной аутентификации через телефон, то есть посредством одноразовых кодов в SMS-сообщениях или голосовых вызовов. Вместо этого компания призывает использовать более новые технологи, в том числе приложения-аутентификаторы и ключи безопасности.
На этот раз предупреждение исходит от главы по безопасности идентификационной информации компании, Алекса Вейнерта (Alex Weinert). В прошлом году, ссылаясь на внутреннюю статистику Microsoft, эксперт писал, что пользователи, включившие многофакторную аутентификацию (МФА), были защищены от 99,9% автоматических атак на свои учетные записи. Однако теперь Вейнерт объясняет, что если у пользователя есть стоит между несколькими способами МФА, то ни в коем случае нельзя делать выбор в пользу телефона.
Эксперт рассказывает, что многофакторная аутентификация через телефон может зависеть хотя бы от состояния телефонных сетей. Так как SMS-сообщения и голосовые вызовы передаются в открытом виде, они могут быть легко перехвачены злоумышленниками с помощью таких методов и инструментов, как SDR (Software-Defined Radio), FEMTO или различных багов SS7.
Кроме того, одноразовые коды из SMS-сообщений могут быть извлечены с помощью опенсорсных и доступных фишинговых инструментов, таких как Modlishka, CredSniper или Evilginx. Или же сотрудники мобильных операторов могут быть обмануты мошенниками с целью подмены SIM-карты жертвы (такие атаки обычно называют SIM swap), что позволит злоумышленникам получать одноразовые коды МФА от лица цели.
По словам Вейнерта, все это делает МФА на основе SMS-сообщений и голосовых вызовов «наименее безопасным из всех доступных на сегодня методов МФА». Специалист советует пользователям применять более мощный механизм многофакторной аутентификации, если таковой доступен, и рекомендует приложение Microsoft Authenticator. А если пользователи хотят только лучшего, им вообще следует использовать аппаратные ключи, которые Вайнерт еще в прошлом году называл лучшим решением в области МФА.
Напомню, что высказанная Вейнертом точка зрения совсем не нова. Еще в 2016 году Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации будет рассматриваться как «недопустимое» и «небезопасное».
Источник: https://xakep.ru/2020/11/12/no-sms-mfa/
Мошенники придумали новый способ обхода двухфакторной аутентификации (2FA) в социальной сети Facebook. Киберпреступники рассылают поддельные уведомления о нарушении авторских прав с угрозой удаления страниц, если пользователь не попытается подать «апелляцию». По словам исследователей из компании Sophos, суть «апелляции» заключается в предоставлении мошенникам логина, пароля и кода 2FA с мобильного устройства.
«Ни одна из этих тактик не нова — афера была просто интересной и информативной комбинацией. Во-первых, электронное письмо короткое и простое; во-вторых, ссылка в письме ведет на легитимный сайт, а именно Facebook; в-третьих, рабочий процесс на мошенническом сайте удивительно правдоподобен», — отметили эксперты.
Поддельные электронные письма Facebook достаточно убедительны, чтобы побудить администраторов в социальных сетях нажать на вредоносную ссылку. В электронном письме содержится угроза удаления страницы жертвы, если «апелляция» не будет подана в течение 24 часов.
Фишинговый URL-адрес отличается от связанного текста и перенаправляет жертву на домен .CF, расположенный в Центральноафриканской Республике.
Сайт был временно настроен на облачном web-хостинге, который генерирует сертификат HTTPS после того, как сайт находится в режиме online, усложняя его обнаружение.
Получив доступ к учетным данным жертвы в Facebook, злоумышленники могут выставить похищенную персональную информацию в даркнете, использовать ее для взлома или удаления страниц, требований выкупа или даже совершения мошеннических покупок в приложениях.
Ничто так не характеризует человека, как его история поиска в интернете, и для того чтобы получить столь важные сведения о пользователе, сотрудникам правоохранительных органов требуется решение суда. Тем не менее, как показывают недавно рассекреченные судебные материалы, следователи могут действовать и в обратном порядке – запрашивать не историю поиска конкретного подозреваемого, а перечень всех пользователей, вводивших в поисковик определенные ключевые слова.
Как сообщает CNet, в августе нынешнего года полиция арестовала помощника певца R. Kelly, обвиняемого в сексуальных домогательствах, Майкла Уильямса (Michael Williams) за поджог автомобиля свидетеля в штате Флорида. Ему были предъявлены обвинения в давлении на свидетеля и поджоге после того, как полиция запросила у Google информацию о тех, кто гуглил адрес владельца автомобиля примерно в то время, когда был осуществлен поджог.
Согласно материалам суда, Google предоставила полиции IP-адреса пользователей, искавших адрес жертвы, и ей удалось связать IP-адрес с номером телефона Уильямса. По этому номеру следствие смогло установить местонахождение подозреваемого на момент пожара и подтвердить, что именно он осуществил поджог.
Такие ордеры на раскрытие пользователей по ключевым словам (так называемые ордеры «keyword») похожи на ордеры «geofence» , когда полиция запрашивает у Google данные обо всех устройствах, зарегистрированных поблизости места преступления в определенное время.
Как сообщили представители Google в четверг, 8 октября, компания заботится о защите конфиденциальности своих пользователей, при этом оказывая содействие правоохранительным органам.
«Мы требуем судебные ордеры и стремимся сузить рамки конкретных требований, если они слишком широки, в том числе путем опротестования в суде, если это необходимо. Запросы на раскрытие этих данных составляют менее 1% от общего числа ордеров и небольшую часть от общих запросов на раскрытие пользовательских данных, которые мы получаем в настоящее время», - сообщил директор по работе с правоохранительными органами и информационной безопасности Google Ричард Салгадо (Richard Salgado).
Google обновила политику пользования ее магазином приложений: корпорация делает обязательным использование ее платежной системы для цифровых покупок в Google Play. Новые правила вступят в силу через год, 30 сентября 2021 года.
Обновление политики пользования означает, что через год у разработчиков приложений не останется возможности получать платежи от пользователей напрямую, с помощью кредитных карт, или через сторонние платежные системы. А значит, все партнеры Google должны будут платить комиссию 30% с каждого платежа пользователей в Google Play. Таким образом, Google ввела такие же правила для разработчиков приложений, как и у Apple.
Напомним, что обе эти корпорации являются ответчиками по искам Epic Games, требующей отменить правило 30-процентной комиссии. На сторону Epic Games уже встали и другие технологические компании, включая Spotify, Match Group (владеет Tinder и другими сервисами знакомств) и Blockchain.com,— все они стали основателями коалиции против Apple.
Источник: https://www.kommersant.ru/doc/4511075
В протоколе Bluetooth выявлена проблема, позволяющая перезаписывать или снижать устойчивость ключа спаривания, вследствие чего прослушивать чужие коммуникации. Это чревато различными проблемами для конечных пользователей.
Двойной режим, общая проблема
В протоколе беспроводных соединений Bluetooth версий 4.0 и 5.0 обнаружена критическая уязвимость, позволяющая частично перезаписывать или снижать устойчивость ключа спаривания. Баг получил название BLURtooth. Ему подвержены устройства с поддержкой двойного режима Bluetooth, то есть практически все современные смартфоны и иные устройства, оснащенные Bluetooth.
BLURtooth можно эксплуатировать для атак на устройства с поддержкой как режима Bluetooth Classic (более высокоскоростного соединения), так и Low Energy, при условии, что устройства используют метод соединения Cross-Transport Key Derivation (CTKD).
Как установили эксперты Координационного центра реагирования на угрозы при Университете Карнеги-Меллона, CTKD используется для спаривания устройств с поддержкой двухрежимного Bluetooth, процедура осуществляется однократно для обоих режимов. В процессе генерируются долговременный ключ (Long Term Keys) и связующие ключи (Link Keys). Когда передача данных требует более высокий уровень безопасности, эти ключи могут быть перезаписаны.
Это обстоятельство и открывает возможность для атаки BLUR, которая позволяет снизить устойчивость ключа или перезаписать авторизованный ключ неавторизованным, так что злоумышленник получает дополнительный доступ к другим приложениям и службам на целевом устройстве.
В протоколе Bluetooth выявлена проблема, позволяющая перезаписывать или снижать устойчивость ключа спаривания, вследствие чего прослушивать чужие коммуникации
Речь также может идти об атаке «человек посередине», то есть, возможности вклиниваться и подслушивать чужие коммуникации.
Патчей нет
Поскольку найденная ошибка существует на уровне протокола, патча для нее не существует. Единственный способ противодействовать атакам - это контролировать среду, в которой происходит спаривание устройств.
«У соединений Bluetooth ограниченный диапазон действия, так что наиболее вероятный практический сценарий MITM-атаки - это общественные места: транспорт, фудкорты в торговых центрах или кинотеатры, - отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Что касается исправлений, то они, скорее всего, выйдут в ближайшие месяцы в форме обновления прошивок. Не факт, что все уязвимые устройства получат обновления».
Эксперт отметил также, что устройства с поддержкой Bluetooth 5.1 снабжены функциями, позволяющими застраховаться от атак: конкретнее, стандарт BT 5.1 позволяет ограничить функции перезаписи ключей в CTKD, но их надо специально активировать.
Источник:https://www.cnews.ru/news/top/2020-09-11_vse_sovremennye_smartfony