Дайджест Start X № 423

Злоумышленники могут предлагать: поставить дополнительную печать в российском паспорте; сообщить паспортные данные для записи в электронную очередь или дистанционного оформления талона. После этого этапа с жертвой уже могут связаться псевдопредставители других ведомств.

Проблема заключается в том, что на сайте поддержки компании любой желающий мог открыть тикет, указав лишь произвольный адрес электронной почты и тему письма. После этого система автоматически отправляет на указанный email номер заявки и использует ее название в качестве темы письма.

Злоумышленники злоупотребили этой функцией, рассылая пользователям тикеты с фишинговыми заголовками. Например «[СРОЧНО]: vault.trezor.guide — Создайте хранилище Trezor прямо сейчас, чтобы защитить активы, которые могу быть под угрозой».

Поскольку письма приходили с официального адреса help@trezor.io, для получателей они выглядели подлинными, однако в теме сообщений содержались фальшивые предупреждения и ссылка на мошеннический сайт. Пользователи, перешедшие по этой ссылке, попадали на фишинговую страницу, где их просили предоставить данные кошелька.

Как сообщила Ирина Волк, официальный представитель Министерства внутренних дел, деятельность этой группы охватывала три региона России: Москву, Ставропольский край и республику Кабардино-Балкарию.

Злоумышленники использовали персональные данные, включая номера полисов медицинского страхования, чтобы оформлять на случайных людей медицинские карты в подконтрольных частных клиниках. В эти карты вносились ложные сведения об оказанных услугах. Затем эти данные отправлялись в Фонд обязательного медицинского страхования, который производил выплаты за якобы оказанные услуги. Полученные средства участники группы присваивали себе.

С 2021 года сумма хищений превысила 50 миллионов рублей. По факту совершённого преступления было возбуждено уголовное дело по статье 159 часть 4 УК РФ (мошенничество в особо крупном размере). Все участники группы были задержаны.

В их жилищах и клиниках, расположенных в Москве, Ставрополе и Нальчике, были проведены обыски. В ходе следственных действий были изъяты документы, средства связи, цифровые носители и компьютерная техника.

Примерно 5 августа 2024 года компания McLaren узнала о подозрительной активности в инфраструктуре и немедленно активировала процессы экстренного реагирования. Кроме того, McLaren начала расследование с привлечением сторонних специалистов по криминалистике, чтобы обезопасить свою сеть и определить характер и масштабы деятельности.

В ходе расследования было установлено, что в период с 17 июля 2024 года по 3 августа 2024 года неизвестные получили несанкционированный доступ к сети и похитили файлы, содержащие личную информацию и конфиденциальные медицинские данные физических лиц: имя, номер социального страхования, номер водительского удостоверения, медицинские данные и информацию о медицинском страховании.

Представитель Макларен сообщил, в результате инцидента с безопасностью пострадали 743 131 человек. Медицинская организация предоставляет пострадавшим 12 месяцев бесплатного мониторинга кредитной истории, а также рекомендации о том, как защитить себя от мошенничества и кражи личных данных.

Клапан оставался в открытом положении около четырёх часов прежде чем вмешательство было обнаружено. При этом поток воды превышал установленный минимум лишь на 497 литров в секунду, тогда как русло реки способно было принять до 20 000 литров в секунду. Ситуация не угрожала людям или инфраструктуре, но показала, насколько критическая инфраструктура уязвима перед интернет-атаками.

Удачный взлом стал возможен из-за использования простого пароля для веб‑панели управления клапаном. Пока неясно, было ли открытие клапана на полную мощность намеренным или случайным.

В пятницу, 20 июня 2025 года посетители CoinMarketCap заметили странные всплывающие окна, которые предлагали им подключить свои кошельки к сайту. Если пользователи следовали инструкциям, вредоносный скрипт похищал у них криптовалюту.

Злоумышленники использовали уязвимость в анимированном логотипе компании на главной странице сайта и внедрили на страницы ресурса вредоносный JavaScript.

Когда пользователь заходил на страницу, скрипт выполнялся и отображал фальшивое всплывающее окно для подключения кошелька, имитируя легитимный запрос на Web3-транзакцию. Однако на самом деле скрипт был предназначен для кражи активов из подключенных кошельков.

Это была атака на цепочку поставок, то есть взлом был направлен не на собственные серверы CoinMarketCap, а на сторонний инструмент или ресурс, используемый CoinMarketCap. Такие атаки сложно обнаружить, поскольку они используют доверенные элементы платформы.

Позже выяснилось, что у 110 жертв было украдено 43 266 долларов США в криптовалюте, а участники атаки говорили на французском языке в своем Telegram-канале.