Дайджест Start X № 403

1. Преступники звонят своей жертве от имени оператора связи и под предлогом продления договора на обслуживание абонентского номера просят сообщить код из СМС.

2. На самом деле это код для доступа к личному кабинету портала госуслуг. Получив код, злоумышленник входит в личный кабинет Госуслуг и меняет пароль, а в поле подсказки к контрольному слову пишет: «Ваш аккаунт заблокирован, позвоните по указанному номеру».

3. Когда жертва звонит по указанному номеру, мошенники начинают убеждать её, что через личный кабинет «Госуслуг» кто-то пытается взять кредиты и похитить денежные средства, поэтому деньги нужно срочно спасать и перевести их на «безопасный счет».

1. Мошенники находят привязанный к учетной записи ЕСИА абонентский номер, которым перестал пользоваться владелец и который выставлен оператором связи на повторную реализацию, а затем регистрируют его на нового владельца.

2. На сайте портала госуслуг осуществляется восстановление пароля к учётной записи путем ввода одноразового кода, поступающего на абонентский номер.

3. Законный владелец учетной записи может не подозревать о факте неправомерного доступа к его учётной записи, поскольку при смене пароля не блокируется доступ из приложения «Госуслуги», в котором законный владелец был авторизован ранее.

4. Используя доступ к учётной записи госуслуг, мошенники направляют заявки на получение онлайн-микрозаймов в микрофинансовые организации и кредитов в банки. Для этого они обращаются в бюро кредитных историй, получают справки 2-НДФЛ и регистрируют дополнительные абонентские номера, подписывая договора сгенерированной в мобильном приложении «Госключ» усиленной неквалифицированной электронной подписью.

Инцидент обнаружили эксперты PeckShieldAlert. Они рекомендовали пользователям прекратить любые взаимодействия с платформой и немедленно отозвать все одобрения смарт-контрактов, связанных с Orange Finance, чтобы избежать дальнейших потерь.

Атака отразилась на трейдерах, использовавших сервисы Orange Finance. Потеря значительного объёма ликвидности уже вызвала снижение торговых объёмов и может привести к резким ценовым колебаниям на связанных парах.

Хакеры Silent Crow заявили, что им удалось взломать Росреестр и похитить данные. В качестве доказательства они опубликовали ссылку на скачивание фрагмента якобы похищенной БД, содержащего 81 990 606 строк объёмом 44,7 ГБ

В опубликованном фрагменте БД содержатся: ФИО, email-адреса (401 000 уникальных адресов), телефоны (7,5 млн уникальных номеров), адреса, паспорта (серия, номер, кем и когда выдан), даты рождения, СНИЛС, даты и названия компаний. Наиболее «свежая» запись датирована 10 марта 2024 года.

Хакеры утверждают, что общий размер похищенных данных Росреестра составляет около 1 ТБ (более 2 млрд строк).

Официальный Telegram-канал Росреестра сообщает, что в настоящее время в ведомстве «проводятся дополнительные проверки информации, опубликованной в ряде телеграмм-каналов». Ведомство «не подтверждает утечку данных из Единого государственного реестра объектов недвижимости (ЕГРН)».

Украденные данные включают военные документы, связанные с территориальным спором между Китаем и Филиппинами в Южно-Китайском море. Хакеры использовали похищенные учётные данные для установки вредоносных программ и удаления следов своей деятельности.

Министерство информации и коммуникации Филиппин подтвердило, что атаки являются «постоянными» и «согласуются с действиями APT-групп», но отказалось подтвердить утечку данных.

Китай, госхакерам которого приписывают взлом, отрицает свою причастность, заявляя о своём принципиальном неприятии кибератак.

По данным ведомства, злоумышленники получили удалённый доступ к нескольким рабочим станциям через украденный ключ безопасности. Эксперты, расследовавшие инцидент, заявляют, что взлом произвели китайские госхакеры.

Точные цели атаки пока не установлены. Имеется лишь предположение, что это была шпионская операция. Высокопоставленные чиновники настаивают, что произошедшее не связано с попытками внедрения вредоносного кода в инфраструктуру США.

Министерство финансов заверило, что совместно с ФБР и другими службами устранило последствия утечки. Взломанный сервис отключён, доказательств текущего доступа нет.

Китайская сторона отвергла обвинения, назвав их беспочвенными, и заявила, что выступает против кибератак. Одновременно Министерство торговли США объявило о запрете на оставшиеся операции компании China Telecom в стране.

Из-за неправильной настройки облачного хранилища Amazon данные оставались незащищёнными в течение нескольких месяцев. В результате злоумышленники могли получить доступ к геолокации автомобилей с точностью до нескольких сантиметров, а также к личной информации водителей.

Информация касалась владельцев машин марок Volkswagen, Audi, Seat и Skoda. Данные включали подробные координаты местоположения автомобилей, включая долготу и широту при выключении электродвигателя. Сведения о 466 тысячах автомобилях оказались настолько исчерпывающими, что по ним можно было узнать о распорядке дня тех, кто эти машины водит.

Злоумышленники получили доступ к чужим учётным записям и внесли изменения. После обнаружения атаки компания немедленно приостановила доступ мошенников к сервису.

Незадолго до этого инцидента злоумышленники провели фальшивую рекламную кампанию, в рамках которой сотрудников General Dynamics направляли на фишинговый сайт, где их просили ввести свои имена пользователей и пароли. В общей сложности жертвами мошенников стали 37 человек.

Скомпрометированные учётные записи позволили злоумышленникам получить доступ к личной информации персонала General Dynamics, включая имена, даты рождения, номера документов удостоверяющих личность, номера социального страхования, информацию о банковских счетах и сведения об инвалидности.

Сообщают, что в некоторых случаях атакующие вносили изменения в информацию о банковских счетах владельцев взломанных учётных записей.