Дайджест Start X № 399

Обзор новостей информационной безопасности с 29 ноября по 5 декабря 2024 года
5 декабря 2024
10 минут
эксперт информационной безопасности в Start X
Андрей Жаркевич
эксперт информационной безопасности в Start X
Андрей Жаркевич
Обучение навыкам безопасного поведения

Киберкампании

Атакующие прикладывают к своим письмам умышленно повреждённые документы, чтобы обойти защитное ПО.
Как действуют преступники
1. Повреждённые документы и письма замаскированы под послания от HR или отдела по расчету заработной платы. Вложения якобы связаны с выплатами и бонусами, которые начислены жертве.
2. При открытии документов Word обнаруживает, что файл повреждён, сообщает, что «обнаружено нечитаемое содержимое», а затем предлагает восстановить файл.
3. После восстановления жертва видит брендированное сообщение, в котором ей предлагают отсканировать QR-код, чтобы загрузить документ.
4. Если пользователь не замечает подвоха и сканирует QR-код, он попадает на фишинговый сайт, который маскируется под сайт Microsoft и пытается похитить учётные данные жертвы.
Как действуют мошенники
1. К продавцу дорогостоящего или сложного товара (например, телевизора) обращается покупатель, который готов сразу же перевести оплату и максимально быстро забрать товар. Но сначала он просит показать товар по видео.
2. Функциональность большинства онлайн-барахолок не предусматривает такую возможность, а если она есть, то по «счастливой» случайности оказывается мошеннику неудобна: «Вы знаете, у меня почему-то тут не работает звонок, давайте лучше в WhatsApp?» В результате разговор перемещается в мессенджер.
3. Покупатель долго обсуждает товар: спрашивает, где покупали, как он служил и почему решили продавать. С каждой минутой диалог всё сильнее становится похож на разговор двух приятелей, которые еще пару часов назад и знакомы-то не были. Кажется, покупателю товар нравится, он готов оплатить покупку. Нужно всего лишь сообщить номер карты для перевода средств.
4. Под тем или иным предлогом, и даже не называя функцию по имени, покупатель просит включить в WhatsApp режим демонстрации экрана. Сделать это якобы нужно для того, чтобы убедиться в факте перевода денег — всё ли дошло туда, куда надо.
5. Если жертва включает демонстрацию, мошенники видят экран её банковского приложения и пытаются на своем компьютере войти в онлайн-банк продавца.
6. В этот момент на смартфон жертвы приходит SMS-код для входа в банк. На большинстве устройств код отображается во всплывающем сообщении, которое видят в том числе и киберпреступники. Если жертва в режиме демонстрации экрана проверит, что за сообщение ей пришло, мошенникам даже не потребуется всплывающее уведомление, они увидят код.
7. В зависимости от того, что было известно «покупателям» и какой доступ к банковскому счету жертвы они получили, мошенники могут либо сразу делать переводы со счетов, либо, если суммы на счетах крупные и провести перевод не вышло, перейти к розыгрышу другой популярной схемы со «звонком следователя», который будет «расследовать инцидент с мошенническим доступом в банк» и уговаривать жертву самостоятельно «перевести деньги на безопасный счёт».

Инциденты

Первый звонок поступил в ноябре 2023 года, когда неизвестный представился следователем. Аферист сообщил женщине, что ей «занялись» мошенники и все её сбережения могут быть похищены. Чтобы спасти деньги, он посоветовал срочно снять их и перевести на «безопасные» счета.
После этого пенсионерка регулярно контактировала с телефонными мошенниками, которые притворялись банковскими служащими и сотрудниками правоохранительных органов. Женщина снимала деньги со своих счетов и передавала их курьерам.
В итоге она лишилась всех сбережений, а также денежных средств от продажи акций банка и квартиры на шоссе Энтузиастов. Осознав, что её обманули, пенсионерка обратилась в полицию.
Представитель министерства финансов уточнил, что инцидент был оперативно передан на расследование уголовному департаменту полиции и в офис аудитора. Ведётся проверка обстоятельств происшествия, результаты которой будут представлены позже.
Сообщается, что взломщики из Юго-Восточной Азии перевели часть украденных средств в Японию. Центральному банку удалось вернуть более половины суммы. Некоторые эксперты считают, что в взлому способствовали действия инсайдеров.

Телеграм-канал Start X

Подписаться
Наши разборы мошеннических схем поймет даже бабушка
Злоумышленники с помощью фишинга получили доступ к шести учётным записям сотрудников управления, включая руководителя ведомства. Учётные записи не были защищены двухфакторной аутентификацией, что позволило хакерам перенаправить два крупных платежа, предназначенных для компании Burbank Housing, выполняющей подготовительные работы по проекту.
Первые признаки мошенничества появились в сентябре, спустя месяц после отправки первого транша средств. О хищении стало известно только после того, как подрядчик сообщил об отсутствии платежа. К этому времени второй транш также был похищен.
Все клиентские аккаунты и активы будут переданы другой криптоплатформе — SBI VC Trade, дочерней структуре японского финансового конгломерата SBI Group.
Инцидент произошёл 31 мая, когда хакеры вывели с платформы 4502,9 биткоина, стоивших на тот момент 308 млн долларов США. На текущий момент их стоимость превышает 429 млн долларов США.
В июне компания привлекла кредиты на сумму 55 миллиардов иен (367 млн долларов США), чтобы компенсировать потери. Однако расследование, проведённое японским Агентством финансовых услуг, выявило серьёзные недостатки в управлении рисками. В частности, не проводился независимый аудит, а ключевые функции по управлению рисками и безопасностью были в руках небольшой группы сотрудников. Компании также вменяются нарушения правил обработки криптовалютных транзакций, включая отсутствие логов, необходимых для расследования кражи.
Эксперты в области блокчейн-безопасности выяснили, что украденные средства были быстро распределены по нескольким кошелькам и частично отмыты через сомнительные платформы, связанные с организованной преступностью.
Кибератака парализовала цифровые системы оплаты. Это потребовало ручного проведения операций по продаже топлива. Операции на нефтеналивных терминалах для танкеров были продлены до поздней ночи 27 ноября и расширены 28 ноября. В общей сложности 28 ноября были заправлены 203 топливозаправщика.
За расшифровку данных вымогатели потребовали выкуп в 5 млн долларов США, однако RECOPE отказалась от проведения переговоров. Прибывшие в страну эксперты из США смогли постепенно восстановить часть систем, но пока операции проводятся в ручном режиме до полной уверенности в безопасности процессов.
Обнаружив атаку 25 ноября, ENGlobal Corporation ограничила доступ сотрудников к своей IT-инфраструктуре, оставив доступ только для выполнения критически важных операций. Для решения проблемы ENGlobal Corporation начала внутреннее расследование и привлекла внешних экспертов по кибербезопасности.
Сроки восстановления полного доступа к IT-системе пока неизвестны. Также неясно, окажет ли инцидент существенное влияние на финансовые результаты компании. Пока ни одна из известных хакерских группировок не взяла на себя ответственность за нападение.
Компания работает под брендом Propertvrec, предоставляя данные о владельцах недвижимости и сведения о криминальном прошлом.
База содержит 644 869 PDF-файлов общим объемом 713,1 ГБ. Среди документов содержались судебные записи, информация о транспортных средствах (номерные знаки и VIN-коды), а также отчеты о владельцах недвижимости. Примерно 95% изученных исследователем документов были помечены как «проверки биографических данных». Эти материалы включали полные имена (имя, фамилию и среднее имя), домашние адреса, номера телефонов, электронные адреса, сведения о трудоустройстве, информацию о членах семьи, аккаунтах в социальных сетях и истории судимостей.
Через неделю после уведомления об уязвимости доступ к базе был закрыт. За это время количество документов увеличилось с 513 876 до 664 934.
Ответственность за атаку взяла на себя группировка RansomHub. 19 ноября 2024 года злоумышленники заявили, что «руководство клуба отказалось защитить конфиденциальные данные игроков и спонсоров» и пригрозили публикацией украденной информации через два дня, утверждая, что клуб «предал их».
Позже хакеры предоставили клубу дополнительное время для выплаты выкупа, однако данные, по их словам, всё же были выложены в даркнете. Группировка заявила, что объём украденной информации составил 200 ГБ.
Данные содержат:
— Контракты и данные спонсоров;
— Полная финансовая история клуба;
— Личные и конфиденциальные данные игроков;
— Стратегии трансферов молодых футболистов;
— Информация о болельщиках и сотрудниках;
— Медицинские записи;
— Коммерческие стратегии и бизнес-планы.
Преступники также попытались усилить давление на клуб, указывая, что публикация подобных данных ранее приводила к крупным штрафам, в том числе за несоблюдение требований GDPR.
Мужчина в кресле с ноутбуком

Подпишитесь на дайджест Start X

Еженедельная подборка материалов и аналитики про цифровые атаки на людей, технологии защиты, безопасность инфраструктуры и приложений
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.