Получить бесплатный пилот
Отправьте заявку — мы запустим пилотный проект за 5 рабочих дней
Обзор новостей информационной безопасности с 13 по 19 февраля 2026 года
Дайджест Start X № 455
19 февраля 2025
11 минут
эксперт по информационной безопасности в Start X
Андрей Жаркевич
Киберкампании
Компания SOCRadar раскрыла масштабную кампанию под названием Operation DoppelBrand. Злоумышленники создавали поддельные сайты крупнейших мировых компаний — банков, страховых и технологических фирм — и получали для них настоящие сертификаты безопасности. Из-за этого на фальшивой странице был виден привычный значок «замочка» в адресной строке браузера — тот самый, который многие считают гарантией безопасности.
Кампанию ведёт группировка, известная как GS7. По данным SOCRadar, она действует как минимум с 2022 года, а последняя волна атак пришлась на декабрь 2025 — январь 2026 года. Злоумышленники подделывали сайты таких компаний, как Wells Fargo, Fidelity Investments, Citibank, Microsoft и Apple. Исследователи выявили около 200 связанных вредоносных доменов (адресов сайтов). Мошенники использовали сертификаты от Google Trust Services и постоянно меняли регистраторов доменов, чтобы их было сложнее отследить.
Жертва попадает на поддельный сайт, вводит логин и пароль — данные тут же уходят мошенникам через специального бота в Telegram. В ряде случаев после «входа» показывают окно с «обязательным обновлением» — на деле это программа для удалённого управления компьютером, которая даёт злоумышленникам полный доступ к устройству.
Для обычного пользователя это означает, что одного «замочка» в браузере уже недостаточно для проверки безопасности сайта. Нужно обращать внимание на точный адрес в адресной строке, на контекст — откуда вы пришли на этот сайт и что именно от вас требуют.
Что делать: заходить в банк и важные сервисы через закладки в браузере или вводя адрес вручную. Не ставить «обновления» из всплывающих окон. При любых сомнениях — закрыть страницу и начать вход заново.
Источник: SOCRadar, февраль 2026.
Кампанию ведёт группировка, известная как GS7. По данным SOCRadar, она действует как минимум с 2022 года, а последняя волна атак пришлась на декабрь 2025 — январь 2026 года. Злоумышленники подделывали сайты таких компаний, как Wells Fargo, Fidelity Investments, Citibank, Microsoft и Apple. Исследователи выявили около 200 связанных вредоносных доменов (адресов сайтов). Мошенники использовали сертификаты от Google Trust Services и постоянно меняли регистраторов доменов, чтобы их было сложнее отследить.
Жертва попадает на поддельный сайт, вводит логин и пароль — данные тут же уходят мошенникам через специального бота в Telegram. В ряде случаев после «входа» показывают окно с «обязательным обновлением» — на деле это программа для удалённого управления компьютером, которая даёт злоумышленникам полный доступ к устройству.
Для обычного пользователя это означает, что одного «замочка» в браузере уже недостаточно для проверки безопасности сайта. Нужно обращать внимание на точный адрес в адресной строке, на контекст — откуда вы пришли на этот сайт и что именно от вас требуют.
Что делать: заходить в банк и важные сервисы через закладки в браузере или вводя адрес вручную. Не ставить «обновления» из всплывающих окон. При любых сомнениях — закрыть страницу и начать вход заново.
Источник: SOCRadar, февраль 2026.
Исследователи из подразделения Unit 42 компании Palo Alto Networks опубликовали отчёт о резком росте мошенничества через QR-коды. Ежедневно их системы фиксируют более 11 000 вредоносных QR-кодов — и это только то, что удаётся обнаружить.
В отчёте описаны три основные схемы. Первая — цепочки скрытых перенаправлений: вы сканируете код, вас перебрасывает через несколько промежуточных сайтов и в итоге вы оказываетесь на поддельной странице входа. Вторая — использование так называемых «глубоких ссылок», которые открывают конкретный экран внутри приложения. Например, исследователи нашли более 35 000 QR-кодов со ссылками на авторизацию в Telegram — около 20% из них вели на вредоносные страницы. Третья схема — прямая установка вредоносных приложений: вы сканируете код, и вам предлагают скачать файл, который обходит проверки официальных магазинов приложений.
Особенно активно используются финансовые приманки: «подтвердите вход в банк», «оплатите штраф», «получите возврат средств». Внешне всё выглядит как обычный переход по ссылке.
Для обычного пользователя это важно, потому что QR-код кажется безопасным — за ним не видно длинной подозрительной ссылки. На деле это тот же фишинг (обман с целью выманить ваши данные), только быстрее и незаметнее.
Что делать: сканировать QR-коды только в понятном контексте (в ресторане, на билете), не устанавливать приложения после сканирования кода, не подтверждать платежи или вход в аккаунт без проверки адреса в браузере. При сомнениях — откройте нужный сервис вручную через закладки или набрав адрес.
Источник: Unit 42 / Palo Alto Networks, 13 февраля 2026.
В отчёте описаны три основные схемы. Первая — цепочки скрытых перенаправлений: вы сканируете код, вас перебрасывает через несколько промежуточных сайтов и в итоге вы оказываетесь на поддельной странице входа. Вторая — использование так называемых «глубоких ссылок», которые открывают конкретный экран внутри приложения. Например, исследователи нашли более 35 000 QR-кодов со ссылками на авторизацию в Telegram — около 20% из них вели на вредоносные страницы. Третья схема — прямая установка вредоносных приложений: вы сканируете код, и вам предлагают скачать файл, который обходит проверки официальных магазинов приложений.
Особенно активно используются финансовые приманки: «подтвердите вход в банк», «оплатите штраф», «получите возврат средств». Внешне всё выглядит как обычный переход по ссылке.
Для обычного пользователя это важно, потому что QR-код кажется безопасным — за ним не видно длинной подозрительной ссылки. На деле это тот же фишинг (обман с целью выманить ваши данные), только быстрее и незаметнее.
Что делать: сканировать QR-коды только в понятном контексте (в ресторане, на билете), не устанавливать приложения после сканирования кода, не подтверждать платежи или вход в аккаунт без проверки адреса в браузере. При сомнениях — откройте нужный сервис вручную через закладки или набрав адрес.
Источник: Unit 42 / Palo Alto Networks, 13 февраля 2026.
С 10 февраля 2026 года Роскомнадзор начал замедлять работу Telegram в России. Пользователи столкнулись с долгой загрузкой фото, видео и документов. На этом фоне мошенники тут же запустили массовую кампанию: в комментариях популярных каналов стали появляться «советы» по ускорению мессенджера со ссылками на скачивание якобы полезного приложения.
На самом деле вместо «ускорителя» пользователь получает банковский вирус «Мамонт». Кампания стартовала 14 февраля — исследователи из «Лаборатории Касперского» обнаружили более 400 таких сообщений в каналах с десятками тысяч подписчиков. Схема работает так: человек переходит по ссылке в отдельный канал, скачивает файл с расширением APK (установочный файл для Android) и ставит его на телефон. После этого вирус получает доступ к СМС и уведомлениям и перехватывает коды подтверждения из банков.
Блокировка одного канала не помогает — на его месте тут же появляется новый. Операторы постоянно меняют названия и оформление вредоносного файла. По данным «Касперского», количество атакованных пользователей мобильных устройств в 2025 году выросло почти в десять раз по сравнению с 2024-м.
Для обычного человека это прямая угроза: на волне неудобств из-за замедления Telegram легко кликнуть на «полезный совет» и лишиться денег со счёта. Чем сильнее сбой привычного сервиса, тем выше шанс поверить мошенникам.
Что делать: ни в коем случае не скачивать файлы из чатов и комментариев, отключить на телефоне установку приложений из неизвестных источников, ставить программы только из официальных магазинов (Google Play, App Store). Включите двухфакторную защиту и банковские уведомления о входах и переводах. Держите запасной способ связи и проверяйте любые «срочные инструкции» только через официальные источники.
Источник: «Лаборатория Касперского», 16 февраля 2026.
На самом деле вместо «ускорителя» пользователь получает банковский вирус «Мамонт». Кампания стартовала 14 февраля — исследователи из «Лаборатории Касперского» обнаружили более 400 таких сообщений в каналах с десятками тысяч подписчиков. Схема работает так: человек переходит по ссылке в отдельный канал, скачивает файл с расширением APK (установочный файл для Android) и ставит его на телефон. После этого вирус получает доступ к СМС и уведомлениям и перехватывает коды подтверждения из банков.
Блокировка одного канала не помогает — на его месте тут же появляется новый. Операторы постоянно меняют названия и оформление вредоносного файла. По данным «Касперского», количество атакованных пользователей мобильных устройств в 2025 году выросло почти в десять раз по сравнению с 2024-м.
Для обычного человека это прямая угроза: на волне неудобств из-за замедления Telegram легко кликнуть на «полезный совет» и лишиться денег со счёта. Чем сильнее сбой привычного сервиса, тем выше шанс поверить мошенникам.
Что делать: ни в коем случае не скачивать файлы из чатов и комментариев, отключить на телефоне установку приложений из неизвестных источников, ставить программы только из официальных магазинов (Google Play, App Store). Включите двухфакторную защиту и банковские уведомления о входах и переводах. Держите запасной способ связи и проверяйте любые «срочные инструкции» только через официальные источники.
Источник: «Лаборатория Касперского», 16 февраля 2026.
Специалисты компании LayerX обнаружили скоординированную кампанию под названием AiFrame. В магазине расширений Chrome появились более 30 дополнений, которые выдавали себя за помощников на основе искусственного интеллекта — якобы аналоги ChatGPT, Claude, Gemini и других популярных сервисов. Суммарно их установили более 260 000 раз.
Хитрость в том, что в самих расширениях не было вредоносного кода — проверка магазина Chrome ничего подозрительного не находила. Вместо этого расширения загружали полноэкранное окно с удалённого сервера злоумышленников (домен tapnetic.pro). Пользователь видел знакомый интерфейс чат-бота, но на самом деле общался с поддельной страницей, которая имела доступ ко всему, что он делал в браузере. 15 из 30 расширений были нацелены конкретно на пользователей Gmail — они внедряли код прямо в интерфейс почты и копировали содержимое писем.
Операторы использовали тактику «распыления»: заваливали магазин почти одинаковыми расширениями под разными именами. Когда одно удаляли, его клон уже был доступен. Несколько расширений даже получили значок «рекомендовано» от Chrome.
Для обычного человека это риск тихой утечки переписки, файлов и паролей. Последствия проявляются не сразу, а спустя время — взлом почты, попытки входа в аккаунты, мошенничество от вашего имени.
Что делать: откройте список расширений в браузере (chrome://extensions), удалите всё подозрительное и незнакомое. Оставьте только те расширения, в которых вы уверены. Не устанавливайте «ИИ-помощников» с малым количеством отзывов и незнакомыми названиями. Если устанавливали подобные расширения — смените пароли от почты и важных сервисов.
Источник: LayerX, февраль 2026.
Хитрость в том, что в самих расширениях не было вредоносного кода — проверка магазина Chrome ничего подозрительного не находила. Вместо этого расширения загружали полноэкранное окно с удалённого сервера злоумышленников (домен tapnetic.pro). Пользователь видел знакомый интерфейс чат-бота, но на самом деле общался с поддельной страницей, которая имела доступ ко всему, что он делал в браузере. 15 из 30 расширений были нацелены конкретно на пользователей Gmail — они внедряли код прямо в интерфейс почты и копировали содержимое писем.
Операторы использовали тактику «распыления»: заваливали магазин почти одинаковыми расширениями под разными именами. Когда одно удаляли, его клон уже был доступен. Несколько расширений даже получили значок «рекомендовано» от Chrome.
Для обычного человека это риск тихой утечки переписки, файлов и паролей. Последствия проявляются не сразу, а спустя время — взлом почты, попытки входа в аккаунты, мошенничество от вашего имени.
Что делать: откройте список расширений в браузере (chrome://extensions), удалите всё подозрительное и незнакомое. Оставьте только те расширения, в которых вы уверены. Не устанавливайте «ИИ-помощников» с малым количеством отзывов и незнакомыми названиями. Если устанавливали подобные расширения — смените пароли от почты и важных сервисов.
Источник: LayerX, февраль 2026.
Издание The Record сообщило о масштабной атаке на пользователей «ВКонтакте». Исследователи из компании Koi Security выяснили, что за кражей аккаунтов стоят пять вредоносных расширений для браузера Chrome, замаскированных под полезные инструменты для работы с VK.
Суммарно эти расширения установили более 500 000 раз. После установки они выполняли действия от имени пользователя: автоматически подписывали на группы злоумышленников, меняли настройки аккаунта каждые 30 дней и перехватывали платежи. Кампания велась с середины 2025 года по январь 2026-го и была нацелена в первую очередь на русскоязычных пользователей. Исследователи связывают её с одним оператором, действовавшим под псевдонимом «2vk» на GitHub.
Одно из ключевых расширений — VK Styles — было удалено из магазина Chrome только 6 февраля 2026 года, после публикации исследования. Опасность кампании была в том, что вредоносная активность шла через саму инфраструктуру «ВКонтакте», поэтому долгое время выглядела как обычное поведение пользователя.
Для владельца аккаунта VK это серьёзная проблема: социальная сеть у многих связана с личной перепиской, группами, учёбой и работой. Угон страницы быстро превращается в рассылку спама, мошенничество от вашего имени и взломы по цепочке.
Что делать: проверить список расширений в браузере и удалить всё подозрительное. Сменить пароль «ВКонтакте», завершить все активные сессии в настройках безопасности, включить двухфакторную аутентификацию (подтверждение входа по СМС или через приложение). Просмотрите журнал входов и проверьте подписки — если появились незнакомые группы, отпишитесь.
Источник: The Record (по данным Koi Security), 16 февраля 2026.
Суммарно эти расширения установили более 500 000 раз. После установки они выполняли действия от имени пользователя: автоматически подписывали на группы злоумышленников, меняли настройки аккаунта каждые 30 дней и перехватывали платежи. Кампания велась с середины 2025 года по январь 2026-го и была нацелена в первую очередь на русскоязычных пользователей. Исследователи связывают её с одним оператором, действовавшим под псевдонимом «2vk» на GitHub.
Одно из ключевых расширений — VK Styles — было удалено из магазина Chrome только 6 февраля 2026 года, после публикации исследования. Опасность кампании была в том, что вредоносная активность шла через саму инфраструктуру «ВКонтакте», поэтому долгое время выглядела как обычное поведение пользователя.
Для владельца аккаунта VK это серьёзная проблема: социальная сеть у многих связана с личной перепиской, группами, учёбой и работой. Угон страницы быстро превращается в рассылку спама, мошенничество от вашего имени и взломы по цепочке.
Что делать: проверить список расширений в браузере и удалить всё подозрительное. Сменить пароль «ВКонтакте», завершить все активные сессии в настройках безопасности, включить двухфакторную аутентификацию (подтверждение входа по СМС или через приложение). Просмотрите журнал входов и проверьте подписки — если появились незнакомые группы, отпишитесь.
Источник: The Record (по данным Koi Security), 16 февраля 2026.
«Лаборатория Касперского» опубликовала результаты исследования вредоносной программы Keenadu для Android. В отличие от обычных вирусов, этот попадает на устройство не через скачанное приложение, а прямо с завода — он встроен в прошивку (системное программное обеспечение) некоторых планшетов, в том числе марки Alldocube. Заражённая прошивка имеет настоящую цифровую подпись, поэтому устройство не распознаёт вирус как что-то постороннее.
Помимо заражённых прошивок, Keenadu распространялся и через приложения в Google Play — три таких приложения набрали более 300 000 загрузок до удаления. Вирус внедряется в системный процесс Android (Zygote) и получает широкий контроль над устройством: может подменять поисковик в браузере Chrome (в том числе в режиме инкогнито), устанавливать другие программы, давать им любые разрешения и собирать данные — сообщения, фотографии, информацию о местоположении, банковские данные. В одном случае он был обнаружен в системном приложении для разблокировки по лицу — а это означает потенциальный доступ к биометрическим данным.
Исследователи зафиксировали заражение на тысячах устройств в разных странах, включая Россию, Японию, Германию, Бразилию и Нидерланды. Установлены связи Keenadu с другими крупными ботнетами (сетями заражённых устройств) — Triada, Vo1d и BadBox.
Для обычного пользователя это означает, что устройство может быть заражено прямо из коробки — без каких-либо ошибок с его стороны. В телефоне хранятся коды подтверждения, переписка, фото и доступ к банковским приложениям. При глубоком заражении простого удаления приложения недостаточно.
Что делать: обновить систему до последней версии, удалить сомнительные приложения, выбирать устройства известных производителей с регулярными обновлениями безопасности. Google Play Protect (встроенная защита Android) уже распознаёт известные версии Keenadu. Если есть подозрения на заражение — обратитесь в сервисный центр для полной перепрошивки устройства.
Источник: Securelist / «Лаборатория Касперского», 17 февраля 2026.
Помимо заражённых прошивок, Keenadu распространялся и через приложения в Google Play — три таких приложения набрали более 300 000 загрузок до удаления. Вирус внедряется в системный процесс Android (Zygote) и получает широкий контроль над устройством: может подменять поисковик в браузере Chrome (в том числе в режиме инкогнито), устанавливать другие программы, давать им любые разрешения и собирать данные — сообщения, фотографии, информацию о местоположении, банковские данные. В одном случае он был обнаружен в системном приложении для разблокировки по лицу — а это означает потенциальный доступ к биометрическим данным.
Исследователи зафиксировали заражение на тысячах устройств в разных странах, включая Россию, Японию, Германию, Бразилию и Нидерланды. Установлены связи Keenadu с другими крупными ботнетами (сетями заражённых устройств) — Triada, Vo1d и BadBox.
Для обычного пользователя это означает, что устройство может быть заражено прямо из коробки — без каких-либо ошибок с его стороны. В телефоне хранятся коды подтверждения, переписка, фото и доступ к банковским приложениям. При глубоком заражении простого удаления приложения недостаточно.
Что делать: обновить систему до последней версии, удалить сомнительные приложения, выбирать устройства известных производителей с регулярными обновлениями безопасности. Google Play Protect (встроенная защита Android) уже распознаёт известные версии Keenadu. Если есть подозрения на заражение — обратитесь в сервисный центр для полной перепрошивки устройства.
Источник: Securelist / «Лаборатория Касперского», 17 февраля 2026.
Инциденты
Нидерландский мобильный оператор Odido (бывший T-Mobile Netherlands) сообщил о крупной утечке персональных данных. Злоумышленники получили несанкционированный доступ к системе управления клиентами (CRM-системе на платформе Salesforce) 7—8 февраля 2026 года.
Под ударом оказались клиенты Odido и дочернего бренда Ben — около 6,2 миллиона человек, включая бывших абонентов за последние два года. Среди украденных данных — имена, адреса, номера телефонов, электронная почта, даты рождения, номера банковских счетов, а также данные паспортов и водительских удостоверений. Атака была проведена с помощью фишинга: злоумышленники обманом получили пароли сотрудников службы поддержки и через их учётные записи выкачали данные с помощью специальной программы.
По заявлению компании, пароли абонентов и детализация звонков не были затронуты. Odido закрыл доступ злоумышленникам, усилил меры безопасности и уведомил регулятора. Пока данные не были обнаружены в открытом доступе, но компания продолжает мониторинг.
Для обычного человека опасность в том, что даже без паролей такого набора данных достаточно для убедительных звонков «из службы поддержки» и попыток выманить код подтверждения из СМС.
Что делать: не сообщать коды подтверждения никому по телефону, проверять любые обращения только через официальный сайт оператора, усилить контроль за банковскими уведомлениями и подозрительными операциями.
Источник: SecurityWeek, 13 февраля 2026.
Под ударом оказались клиенты Odido и дочернего бренда Ben — около 6,2 миллиона человек, включая бывших абонентов за последние два года. Среди украденных данных — имена, адреса, номера телефонов, электронная почта, даты рождения, номера банковских счетов, а также данные паспортов и водительских удостоверений. Атака была проведена с помощью фишинга: злоумышленники обманом получили пароли сотрудников службы поддержки и через их учётные записи выкачали данные с помощью специальной программы.
По заявлению компании, пароли абонентов и детализация звонков не были затронуты. Odido закрыл доступ злоумышленникам, усилил меры безопасности и уведомил регулятора. Пока данные не были обнаружены в открытом доступе, но компания продолжает мониторинг.
Для обычного человека опасность в том, что даже без паролей такого набора данных достаточно для убедительных звонков «из службы поддержки» и попыток выманить код подтверждения из СМС.
Что делать: не сообщать коды подтверждения никому по телефону, проверять любые обращения только через официальный сайт оператора, усилить контроль за банковскими уведомлениями и подозрительными операциями.
Источник: SecurityWeek, 13 февраля 2026.
Европейский сервис железнодорожных проездных Eurail подтвердил, что украденные ранее данные клиентов появились на криминальных площадках и распространяются как в даркнете, так и на обычных форумах.
Хакеры утверждают, что похитили около 1,3 терабайта данных из облачных хранилищ AWS S3, системы поддержки Zendesk и репозитория GitLab (хранилища исходного кода). Среди украденных сведений — контактные данные, информация о заказах и поездках, а для обладателей проездных DiscoverEU — ещё и копии паспортов, данные о здоровье и банковские реквизиты. Анализ SecurityWeek показал, что в продаже есть базы от 50 000 до 17 миллионов записей. Переговоры о выкупе с Eurail провалились, и хакеры пригрозили опубликовать все данные.
Eurail заявил, что защитил затронутые системы, сменил все пароли доступа и усилил мониторинг. Компания работает с экспертами по безопасности и властями.
Для пользователей проблема долгосрочная: данные о прошлых поездках и старых профилях ценны для мошенников, чтобы составить правдоподобное письмо или звонок от имени «Eurail» или «транспортной компании».
Что делать: игнорировать сообщения о «компенсации за утечку» и «срочной верификации», проверять любые обращения только через официальный сайт Eurail, усилить защиту электронной почты и банковских приложений.
Источник: SecurityWeek, 17 февраля 2026.
Хакеры утверждают, что похитили около 1,3 терабайта данных из облачных хранилищ AWS S3, системы поддержки Zendesk и репозитория GitLab (хранилища исходного кода). Среди украденных сведений — контактные данные, информация о заказах и поездках, а для обладателей проездных DiscoverEU — ещё и копии паспортов, данные о здоровье и банковские реквизиты. Анализ SecurityWeek показал, что в продаже есть базы от 50 000 до 17 миллионов записей. Переговоры о выкупе с Eurail провалились, и хакеры пригрозили опубликовать все данные.
Eurail заявил, что защитил затронутые системы, сменил все пароли доступа и усилил мониторинг. Компания работает с экспертами по безопасности и властями.
Для пользователей проблема долгосрочная: данные о прошлых поездках и старых профилях ценны для мошенников, чтобы составить правдоподобное письмо или звонок от имени «Eurail» или «транспортной компании».
Что делать: игнорировать сообщения о «компенсации за утечку» и «срочной верификации», проверять любые обращения только через официальный сайт Eurail, усилить защиту электронной почты и банковских приложений.
Источник: SecurityWeek, 17 февраля 2026.
Новости
Южнокорейский регулятор по защите персональных данных (PIPC) оштрафовал три люксовых бренда, принадлежащих холдингу LVMH, на общую сумму около 36 миллиардов вон (примерно 25 миллионов долларов США). Решение вынесено 12 февраля 2026 года.
Самый крупный штраф — около 15 миллионов долларов США — получил Louis Vuitton Korea: из-за заражения устройств сотрудников вредоносным ПО были скомпрометированы данные 3,6 миллиона человек. Christian Dior Korea оштрафован на 8,4 миллиона долларов США: сотрудник стал жертвой телефонного мошенничества (вишинга), и данные 1,95 миллиона клиентов оказались в руках злоумышленников. При этом компания не обнаружила утечку более трёх месяцев из-за недостаточного контроля за журналами доступа. Tiffany Korea заплатит 1,6 миллиона долларов США за утечку данных 4 600 человек — компания тоже пострадала от телефонного мошенничества и не уведомила клиентов в установленный законом срок. Все три утечки связаны со взломом облачной платформы Salesforce, которую бренды использовали для работы с клиентами.
Регулятор установил, что компании не ограничили доступ к облачной платформе по IP-адресам и не использовали дополнительные способы подтверждения входа (одноразовые пароли, сертификаты).
Для обычного пользователя вывод: известное имя компании не гарантирует безопасность ваших данных. Регуляторы накажут бизнес, но это не устранит угрозу мошенничества для тех, чьи данные уже утекли. После подобных утечек обычно запускается точечный фишинг — убедительные письма и звонки «от бренда», «от доставки» или «от программы лояльности».
Что делать: не передавать коды подтверждения и данные карты по телефону, проверять любые обращения только через официальный сайт компании, использовать отдельную карту с лимитом для онлайн-покупок и держать включёнными уведомления о списаниях.
Источник: SecurityWeek, 16 февраля 2026.
Самый крупный штраф — около 15 миллионов долларов США — получил Louis Vuitton Korea: из-за заражения устройств сотрудников вредоносным ПО были скомпрометированы данные 3,6 миллиона человек. Christian Dior Korea оштрафован на 8,4 миллиона долларов США: сотрудник стал жертвой телефонного мошенничества (вишинга), и данные 1,95 миллиона клиентов оказались в руках злоумышленников. При этом компания не обнаружила утечку более трёх месяцев из-за недостаточного контроля за журналами доступа. Tiffany Korea заплатит 1,6 миллиона долларов США за утечку данных 4 600 человек — компания тоже пострадала от телефонного мошенничества и не уведомила клиентов в установленный законом срок. Все три утечки связаны со взломом облачной платформы Salesforce, которую бренды использовали для работы с клиентами.
Регулятор установил, что компании не ограничили доступ к облачной платформе по IP-адресам и не использовали дополнительные способы подтверждения входа (одноразовые пароли, сертификаты).
Для обычного пользователя вывод: известное имя компании не гарантирует безопасность ваших данных. Регуляторы накажут бизнес, но это не устранит угрозу мошенничества для тех, чьи данные уже утекли. После подобных утечек обычно запускается точечный фишинг — убедительные письма и звонки «от бренда», «от доставки» или «от программы лояльности».
Что делать: не передавать коды подтверждения и данные карты по телефону, проверять любые обращения только через официальный сайт компании, использовать отдельную карту с лимитом для онлайн-покупок и держать включёнными уведомления о списаниях.
Источник: SecurityWeek, 16 февраля 2026.
Что еще почитать
Подпишитесь на дайджест Start X
Еженедельная подборка материалов и аналитики про цифровые атаки на людей, технологии защиты, безопасность инфраструктуры и приложений