Дайджест Start X № 443

Швейцарский национальный центр кибербезопасности (NCSC) предупредил о новой волне мошенничества: преступники рассылают СМС-сообщения с текстом «ваш iPhone найден» людям, которые включили режим пропажи на своих устройствах через сервис Apple.

Особенности кампании:

1. Сообщения выглядят очень убедительно: в них указаны правильная модель iPhone, его цвет и даже текст, который вы сами разместили на экране блокировки (например, «Пожалуйста, верните, вознаграждение гарантирую»).
2. В СМС есть ссылка, которая якобы ведёт на сервис Apple «Найти iPhone» (Find My), но на самом деле это поддельный сайт, очень похожий на настоящий, с формой для ввода вашего Apple ID и пароля.
3. Цель мошенников проста: они хотят получить ваш Apple ID и пароль, чтобы снять блокировку активации (Activation Lock), перепрошить украденный телефон и продать его как обычный рабочий iPhone. Apple официально подтвердила, что никогда не рассылает такие уведомления ни по СМС, ни по электронной почте — все настоящие уведомления приходят только через приложение «Найти» на других ваших устройствах Apple или через сайт iCloud.com.

Почему это опасно: когда вы теряете дорогой гаджет, вы готовы ухватиться за любую надежду его вернуть. Мошенники пользуются именно этим эмоциональным состоянием. Если вы введёте свой Apple ID и пароль на их поддельном сайте, они получат доступ не только к вашему iPhone, но и ко всем фотографиям в облаке iCloud, ко всем паролям, сохранённым в связке ключей iCloud Keychain, и ко всем резервным копиям ваших устройств.

Как правильно реагировать: включайте режим пропажи (Lost Mode) только через официальный сайт iCloud.com, войдя туда через браузер. Обязательно установите PIN-код на вашу SIM-карту (SIM-PIN), чтобы мошенники не могли ей воспользоваться. На экране блокировки указывайте отдельный email, который не связан с вашими основными сервисами и банками. Если вам пришло СМС о найденном iPhone — немедленно добавьте отправителя в чёрный список и удалите сообщение, не переходя по ссылке.

Источник: BleepingComputer, 9 ноября 2025

Крупный бизнес-провайдер Conduent (компания, которая обрабатывает данные для других компаний и государственных учреждений) признал, что хакер находился в их компьютерной сети почти три месяца — с 21 октября 2024 года по 13 января 2025 года. За это время злоумышленники украли 8,5 терабайта данных, что затронуло 10,5 миллионов человек.

Особенно сильно пострадал штат Техас — более 4 миллионов жителей. В украденные данные попали медицинские записи, номера медицинских страховок и финансовая информация клиентов различных компаний и государственных агентств, которые пользовались услугами Conduent.

Несмотря на то, что компания раскрыла информацию об инциденте Комиссии по ценным бумагам (SEC) ещё в апреле, письма пострадавшим начали рассылать только в октябре — через шесть месяцев. Из-за этой задержки прокуроры штатов и адвокаты уже готовят судебные иски против Conduent, обвиняя компанию в задержке уведомлений и отказе предоставить бесплатный мониторинг всем пострадавшим.

Большинство обычных людей никогда не слышали о компании Conduent, но она обрабатывает очень чувствительную информацию: платежи за медицинскую страховку, социальные пособия и даже дорожные штрафы. То есть какой-то неизвестный вам подрядчик, о котором вы даже не знали, внезапно «слил» ваши медицинские тайны и финансовые данные хакерам.

Источник: Austin American-Statesman, 13 ноября 2025

Издание Business Insider получило внутреннюю переписку сотрудников компании Klarna (популярный сервис отложенных платежей «купи сейчас — заплати потом»). Выяснилось, что из-за ошибки в системе авторизации новые владельцы телефонных номеров могли входить в аккаунты предыдущих владельцев этих номеров. Потенциально были затронуты 288 000 аккаунтов.

Команда разработчиков Klarna месяцами откладывала внедрение более безопасного способа подтверждения входа через email (одноразовые коды на почту вместо СМС), потому что боялась, что это снизит конверсию — то есть меньше людей будут завершать покупки. В результате даже push-уведомления на телефон не спасали от проблемы. Ошибку устранили только после того, как возможный ущерб оценили в 41,8 миллиона долларов.

Сама компания утверждает, что реальное число пострадавших на 99% меньше расчётного, но регуляторы всё равно могут счесть это повторным серьёзным инцидентом, потому что у Klarna уже были утечки данных в 2021 и 2022 годах.

Почему это важно: аккаунты в сервисах отложенных платежей хранят ваш адрес доставки, полную историю покупок и настроенные автоматические списания. Если вы меняли телефонный номер или SIM-карту, есть риск, что новый владелец вашего старого номера увидит все ваши заказы, штрафы за просрочку платежей, а в худшем случае — сможет оформить кредит на ваше имя.

Источник: Business Insider, 6 ноября 2025

Бюджетное управление Конгресса США (CBO — Congressional Budget Office, организация, которая рассчитывает стоимость законопроектов) официально подтвердило, что стало жертвой кибератаки. В заявлении говорится, что инцидент локализован (ограничен), а на все системы установлены новые средства мониторинга и контроля.

Издание The Washington Post первым сообщило, что за атакой, вероятно, стоит иностранная хакерская группа. Служба безопасности Сената США разослала предупреждение всем сотрудникам: переписка с CBO могла быть скомпрометирована, и её могут использовать для фишинга от имени CBO.

Исследователь безопасности Кевин Бомонт отметил интересную деталь: до длительного отключения систем у CBO работало устаревшее оборудование Cisco ASA (межсетевой экран), на которое не были установлены обновления безопасности 2025 года. Именно это устройство могло стать точкой входа для хакеров.

Почему это должно волновать обычных граждан: CBO регулярно рассылает расчёты и отчёты, связанные с налогами, социальными программами и медициной. Если хакеры получили доступ к переписке, они могут создавать очень убедительные поддельные письма якобы от CBO или от конгрессменов. Такое письмо легко заставит вас раскрыть личные данные или скачать «черновик законопроекта», который на самом деле содержит троянскую программу.

Источник: TechCrunch, 7 ноября 2025

Газета The Washington Post официально подтвердила, что стала жертвой той же волны атак на корпоративное программное обеспечение Oracle E-Business Suite, которую использует вымогательская хакерская группа Cl0p совместно с группой FIN11.

Хакеры воспользовались уязвимостью удалённого выполнения кода (RCE — когда злоумышленник может запустить свою программу на чужом сервере) в версиях Oracle 12.2.3—12.2.14. Атаки начались ещё до того, как Oracle выпустила исправление, поэтому преступники успели проникнуть в сети сотен компаний. В список жертв, кроме Washington Post, попали Гарвардский университет и крупная компания Schneider Electric.

Группа Cl0p добавила газету на свой сайт в даркнете (специальная витрина, где хакеры публикуют украденные данные и требуют выкуп) и, по данным СМИ, наказала издание за отказ платить выкуп. Другим жертвам они требовали до 50 миллионов долларов США. Правоохранительные органы напоминают: выплата выкупа только финансирует новые атаки этих же преступников.

Для читателей газеты и её сотрудников это означает утечку внутренних документов, возможно паспортных данных журналистов и их источников, а также контактных списков. Такая информация потом используется в целевых фишинговых атаках (когда письмо составлено специально для вас, с упоминанием реальных людей и проектов, что делает его очень убедительным) и в доксинге (публикация личной информации для запугивания или мести). Эти атаки могут продолжаться месяцами.

Источник: TechRadar, 10 ноября 2025

Европейская полиция провела глобальную операцию под кодовым названием «Endgame» и отключила 1 025 серверов, которые использовались киберпреступниками. На этих серверах работали вредоносные программы — так называемые ботнеты (сети заражённых компьютеров) и «стилеры» (программы, ворующие пароли и другие данные).

С 10 по 13 ноября штаб-квартира Европола в Гааге координировала одновременные обыски в разных странах. Операция была направлена против трёх опасных программ: Rhadamanthys, VenomRAT и Elysium. Полиции удалось задержать ключевого оператора VenomRAT в Греции 3 ноября — это человек, который управлял одной из таких преступных сетей.

Следователи выяснили ужасающие масштабы: сотни тысяч обычных компьютеров были заражены, преступники украли миллионы паролей и данных для входа на различные сайты. Они получили доступ к ста тысячам криптовалютных кошельков обычных людей.

Самое опасное в том, что жертвы даже не подозревали о заражении своих компьютеров. Это значит, что украденные пароли, данные банковских карт и криптовалюта могут всплывать в различных мошеннических схемах ещё много месяцев. Если вы используете один и тот же пароль на нескольких сайтах — вы в особой опасности.

Вот что нужно сделать прямо сейчас: проверьте свой email на сайте haveibeenpwned.com — он покажет, участвовал ли ваш адрес в утечках данных. Включите двухфакторную аутентификацию (когда для входа нужен не только пароль, но и код с телефона или специального устройства) на всех важных сайтах, особенно на криптовалютных кошельках. Обновите антивирус и не игнорируйте уведомления от банков о подозрительных входах — полиция надеется, что люди сами заметят попытки мошенников войти в их аккаунты.

Источник: eKathimerini, 13 ноября 2025

Google обратилась в федеральный суд Нью-Йорка с требованием закрыть китайскую платформу под названием «Lighthouse». Эта платформа помогает мошенникам массово рассылать поддельные СМС-сообщения, в которых людям пишут о якобы неоплаченных дорожных штрафах E-ZPass (система электронной оплаты дорог в США) или о несуществующих посылках от почтовой службы USPS.

По оценкам Google, через эту платформу уже пострадали более миллиона человек из 120 стран мира. Всего за 20 дней мошенники создали более 200 000 поддельных сайтов, причём как минимум 107 из них использовали логотипы Google, чтобы выглядеть надёжными. Исследователи из компаний Cisco Talos и Netcraft выяснили, что «Lighthouse» — это платформа-как-сервис для фишинга: преступники платят от 88 долларов в неделю до 1 588 долларов в год за подписку, которая даёт им готовые инструменты для обмана.

Особенно опасно, что эта платформа умеет перехватывать даже коды двухфакторной аутентификации. То есть даже если у вас включена дополнительная защита, мошенник может получить полный доступ к вашей банковской карте и электронному кошельку. Некоторые преступные группы, использующие «Lighthouse», называли себя «Smishing Triad» (от слов SMS и phishing — фишинг через СМС).

Почему это касается каждого: по подсчётам Google, эти мошенники могли украсть данные от 12,7 до 115 миллионов банковских карт только в США. Теперь любое СМС о «задолженности» или «неполученной посылке» нужно проверять особенно тщательно, потому что мошенники научились делать сообщения очень правдоподобными.

Вот как защититься: никогда не переходите по ссылкам из СМС, которые вы не ждали. В почтовом приложении настройте фильтры на английские слова «toll» (дорожный сбор) и «parcel» (посылка), чтобы подозрительные письма автоматически попадали в спам. Если вы действительно ждёте квитанцию или посылку — не кликайте на ссылку из СМС, а откройте браузер и зайдите в личный кабинет E-ZPass или почтовой службы самостоятельно, набрав адрес вручную.

Источник: BleepingComputer, 12 ноября 2025

Команда безопасности Amazon, которая следит за кибератаками по всему миру (проект MadPot), обнаружила, что некая хакерская группа начала атаковать корпоративное оборудование ещё до того, как производители успели выпустить обновления. Речь идёт о серьёзных уязвимостях в продуктах Citrix NetScaler (Citrix Bleed 2, номер CVE-2025−5777) и Cisco ISE. Такие атаки называются «zero-day» — атаки нулевого дня.

Цель хакеров была в том, чтобы украсть специальные цифровые ключи (токены) с серверов Citrix NetScaler. А на оборудовании Cisco ISE они устанавливали вредоносную программу с невинным названием «IdentityAuditAction», которая маскировалась под обычный системный компонент. Эта программа тайно принимала команды через специальные невидимые заголовки в интернет-запросах.

Эти уязвимости позволяли получить полный административный доступ к системам ещё до того, как компании Citrix и Cisco выпустили предупреждения. Американское агентство кибербезопасности CISA уже внесло обе уязвимости в список активно эксплуатируемых, что указывает на хорошо финансируемую и профессиональную хакерскую группу.

Для обычных людей это важно, потому что устройства Citrix и Cisco — это «ворота» в корпоративные сети. Через них сотрудники подключаются к рабочим VPN (защищённым сетям), Wi-Fi и внутренним сервисам компании. Если хакер получает доступ к такому оборудованию, он видит всю вашу рабочую переписку, документы и может получить доступ к системам самообслуживания сотрудников, где хранятся ваши личные данные.

Источник: BleepingComputer, 12 ноября 2025

Microsoft выпустила традиционный ноябрьский набор обновлений безопасности (так называемый «Patch Tuesday» — вторник заплаток), который исправляет 63 уязвимости в Windows и других продуктах компании. Среди них одна особенно опасная уязвимость с номером CVE-2025−62 215, которая уже активно используется злоумышленниками для атак.

Из 63 исправленных проблем 29 позволяют хакерам повысить свои права в системе (то есть получить права администратора), а 16 дают возможность удалённо запустить вредоносный код на вашем компьютере. Кроме того, этот месяц стал первым, когда пользователи Windows 10 перестали получать бесплатные обновления безопасности — теперь для них нужна платная подписка ESU (расширенная поддержка).

Та самая опасная уязвимость CVE-2025−62 215 представляет собой так называемую «гонку потоков» в ядре Windows. Если злоумышленник уже получил хотя бы минимальный доступ к вашему компьютеру, он может использовать эту уязвимость, чтобы «выиграть гонку» за системные ресурсы и мгновенно получить максимальные права SYSTEM (это как права суперадминистратора).

Если ваш домашний компьютер или ноутбук ребёнка всё ещё работает на Windows 10 без платной подписки ESU, он больше не получает обновления безопасности автоматически. Это делает такой компьютер идеальной мишенью для программ-воров (стилеров), которые крадут пароли, и программ-вымогателей (шифровальщиков), которые блокируют доступ к вашим файлам и требуют выкуп.

Источник: BleepingComputer, 11 ноября 2025

Опасная вредоносная программа для кражи банковских данных под названием DanaBot вернулась к активной работе после шести месяцев тишины. Новая версия с номером 669 использует технологию Tor (анонимную сеть для скрытия местоположения) и специальные узлы обратного подключения, чтобы спрятать свои командные серверы от правоохранительных органов.

Компания Zscaler, которая занимается безопасностью, обнаружила свежие криптовалютные кошельки операторов DanaBot и подтвердила, что после полицейской операции «Endgame» преступники просто перестроили свою инфраструктуру. Теперь они снова продают вредоносную программу по модели MaaS (Malware-as-a-Service — вредонос как сервис), то есть любой желающий может арендовать DanaBot для своих криминальных целей.

Новые волны заражения распространяются через фишинговые письма (поддельные письма, замаскированные под важные уведомления), поддельные сайты в результатах поиска Google (SEO-подделки) и вредоносную рекламу (малвертайзинг). После заражения программа собирает все пароли, сохранённые в браузере, данные криптовалютных кошельков и может дополнительно загрузить программу-вымогателя.

Даже если вы не заходили на сайт своего банка, DanaBot тихо украдёт все пароли и данные карт, которые вы когда-то сохранили в браузере для автоматического заполнения форм. К тому моменту, когда банк позвонит вам с вопросом о подозрительной операции, ваш счёт или криптокошелёк могут уже оказаться пустыми.

Вот как защититься: не отключайте встроенный фильтр SmartScreen в Windows — он блокирует многие вредоносные сайты. Заведите отдельный браузер специально для онлайн-банкинга, в котором не будет никаких расширений (дополнений) — они часто используются вредоносами. Обязательно держите включённым антивирус с поведенческим анализом (такие антивирусы следят не только за известными вирусами, но и за подозрительным поведением программ) — именно он сможет заметить, когда DanaBot попытается внедриться в систему.

Источник: BleepingComputer, 12 ноября 2025