Дайджест Start X № 434

1. Злоумышленники завлекают потенциальных жертв рекламой на интернет-ресурсах и в мобильных приложениях, которая предлагает получить дивиденды от продажи природных ресурсов, участие в фейковой программе «ГосБонус» или несуществующие социальные выплаты.
2. Если пользователь откликается на такую рекламу и переходит на фейковый сайт, где оставляет свои контакты для связи, с ним связываются сотрудники мошеннического кол-центра.
3. Преступники представляются сотрудниками инвестиционных проектов ведущих российских банков и сообщают: выплаты якобы производятся через благотворительные фонды.
4. Мошенники уговаривают потенциальных жертв вступить в инвестиционный проект и сообщают, что нужно сделать перевод в указанный ими благотворительный фонд — якобы для того, чтобы «активировать» счёт.
5. Злоумышленники называют для перечисления денег реальные реквизиты действующих фондов с многолетней историей. В некоторых случаях мошенники дают указания, как перевести деньги фонду через мобильное приложение банка, и подсказывают, как должна выглядеть картинка, обозначающая нужного получателя.
6. Первый платёж в адрес реальной организации необходим злоумышленникам, чтобы укрепить доверие к себе со стороны жертвы.
7. После перечисления денег в благотворительный фонд злоумышленники присылают пользователю ссылку на ресурс, который якобы показывает динамику инвестиций.
8. На самом деле мошенники полностью управляют показателями графика, чтобы убеждать жертву — всё идёт по плану. И даже «увеличивают» суммы «инвестиций»: в известных случаях злоумышленники обещали, что «добавят» к перечисленным 14 тысячам ещё 3 тысячи, и пользователь видел эту ложную «прибавку» на графике.

В дальнейшем развитие сценария, скорее всего, возвращается к типичной схеме инвестиционного мошенничества: пользователю через интернет показывают «график» изменений его инвестиций, который злоумышленники меняют по своему желанию, показывая то рост, то снижение. Затем преступники предлагают вывести «заработанное». Обычно в таких случаях злоумышленники просят под разными предлогами — например, оплаты «комиссии» за снятие денег — перевести определённую сумму по реквизитам, и это требование может повторяться несколько раз.

Компания предупредила пассажиров о несанкционированном доступе к файлам у стороннего поставщика. Скомпрометированы данные клиентов и сведения о прошлых поездках, но платёжная информация и пароли не затронуты. Движение поездов и продажа билетов не пострадали. Пострадавшим рекомендуют быть осторожнее с неожиданными письмами и звонками.

Подобные инциденты, как правило, происходят с компаниями, подрядчики которых имеют доступ к клиентской базе, особенно если у этих подрядчиков слабее организована безопасность.

Канадский финтех сообщил, что злоумышленники через цепочку поставок получили доступ к части клиентских данных. Пароли и денежные средства не затронуты; вторжение локализовали в считаные часы. Компания уведомляет пользователей и предоставляет мониторинг кредитной истории.

Как сообщили в организации, 30 августа была обнаружена компрометация программного пакета стороннего разработчика, на который полагалась система. Это привело к кратковременному несанкционированному доступу к персональной информации менее 1% пользователей. Денежные средства и пароли при этом не пострадали, все счета сохранили полный контроль за владельцами.

Производитель инструментов подтвердил, что стал жертвой атаки группы Cactus: злоумышленники украли данные и заявили о своём «успехе». Компания информирует пострадавших; детали массивов данных не раскрываются публично, но речь идёт о типичных наборах персональной информации.

Инцидент представляет собой классику вымогательского жанра: проникновение, шифрование/эксфильтрация, прессинг публикациями. Причины — уязвимые внешние сервисы, фишинг и слабый контроль доступа.

Американский производитель мебели сообщил о несанкционированном доступе и утечке персональных данных. Масштаб аудитории не раскрыт, но сеть розничных салонов у бренда обширная. На фоне заявлений вымогателей компания проводит расследование и уведомляет пострадавших.

Ритейл — лакомая цель из-за большого объёма ПДн и значительного числа подрядчиков. Чаще всего цепочка начинается с фишингового письма или злоупотребления доступом к облачному сервису.

Об инциденте стало известно после публикации на хакерском форуме, в которой утверждалось, что хакерам удалось получить доступ к административным учётным записям, позволяющим работать с инфраструктурой Anuvu в AWS и базами данных Postgres. Для подтверждения своих слов автор поста приложил выборку конфиденциальных данных.

В числе украденного — массив учётных данных с полными именами, адресами электронной почты, хэшами паролей и физическими адресами. По оценке исследователей, значительная часть записей относится к 2024 году. В числе компрометированных оказались и имена топ-менеджеров Anuvu, а многие адреса привязаны к офисам компаний-клиентов.

Anuvu, ранее известная под названием Global Eagle, работает с более чем 150 авиакомпаниями и 30 круизными операторами. Среди её партнёров — Air France, Delta, Southwest и British Airways.

Сервис медиастриминга подтвердил кражу пользовательской информации, включая имена, e-mail и хешированные пароли, а также часть данных аутентификации. Финансовые реквизиты не хранятся у Plex, но риски для входа в аккаунты есть — особенно при повторном использовании паролей в других сервисах.

Даже если пароли хранились корректно, при совпадении паролей от аккаунтов на разных сайтах возникает эффект домино — взлом одной учётной записи приводит к взлому всех остальных. Включите 2FA, а сам пароль сделайте уникальным и длинным — менеджер паролей здесь незаменим. А если приходят «письма от Plex» — лучше зайдите в аккаунт напрямую через закладку в браузере, а не по ссылке в письме.

Несанкционированный доступ был обнаружен в конце июня, но анализ показал, что атака произошла дважды — 5 и 18 числа того же месяца. Взломщики получили доступ исключительно к документам в стороннем приложении для передачи данных. Базы и код Chess.com не подвергались компрометации, а признаков злоупотребления или публикации утекших материалов компания не выявила.

В уведомлении указано, что инцидент затронул более 4500 человек. Если учитывать общую аудиторию, которая недавно превысила 200 миллионов, речь идёт о 0,003% пользователей. Несмотря на небольшую долю затронутых аккаунтов, руководство сочло необходимым принять дополнительные меры для снижения рисков.

Девочке позвонил неизвестный и, представляясь сотрудником правоохранительных органов, оказывая психологическое давление, запугивая нарушением закона и, угрожая проблемами с налоговой инспекцией, убедил её перевести деньги со счета бабушки на счета, подконтрольные аферистам, якобы в целях декларирования.

Напуганная девочка не сказала ничего взрослым и выполнила все указания звонивших.

Воспользовавшись телефоном бабушки, она перевела с ее счета двумя транзакциями сначала 750 тыс. рублей, а затем еще 200 тыс. рублей.

Впоследствии со счета бабушки в другом банке мошенники списали еще 280 тыс. рублей. Общий ущерб превысил 1,2 млн рублей.

Компания сообщила, что атака затронула менее 1% пользователей и не повлияла на остальные Earn-программы или средства в приложении. По данным SwissBorg, инфраструктура остаётся в безопасности, а ежедневная работа компании не нарушена.

Взлом был связан с уязвимостью API партнёра по стейкингу Kiln, поставщика инфраструктуры для Solana и Ethereum. Через этот API приложение SwissBorg взаимодействовало с сетью Solana. Компрометация позволила злоумышленникам подменять запросы и выводить средства.