Дайджест Start X № 468

Аналитики компании KELA рассказали о том, что киберпреступники всё реже сами ищут подставных людей для вывода украденных денег. Вместо этого они арендуют готовую инфраструктуру: банковские счета, криптокошельки и аккаунты в платёжных сервисах, оформленные на поддельные или украденные документы. Схема получила название Mule-as-a-Service — дословно «мул как услуга».

«Мул» в этой схеме — это человек или подставной аккаунт, через который прогоняют деньги, украденные у обычных людей. Источники самые разные: фишинг, взлом банковских кабинетов, «инвестиционные» обманы и программы-вымогатели. Деньги дробят на маленькие суммы, прогоняют через десятки счетов в разных банках и криптообменниках, а потом снимают наличными или выводят в цифровые монеты.

Самое неприятное — теневые сервисы стали похожи на нормальные интернет-площадки. У них есть круглосуточная поддержка, гарантии, замена заблокированных счетов и подробные инструкции для клиентов. Преступники активно используют искусственный интеллект: подделывают паспорта, проходят видеопроверки с дипфейками и имитируют голос реального владельца счёта. Чтобы счёт не вызывал подозрений у банка, его сначала «прогревают» — делают мелкие платежи, оплату коммуналки, переводы знакомым. Особенно бурно эта индустрия растёт в Латинской Америке, прежде всего в Бразилии с её системой мгновенных платежей PIX.

Для обычного человека опасность двойная. Во-первых, ваши утёкшие документы могут использовать для регистрации таких счетов, и потом банк или полиция придут с вопросами именно к вам. Во-вторых, вас могут втянуть в схему под видом «удалённой подработки»: попросят принять перевод на свою карту и отправить деньги дальше «партнёру», обещая оставить небольшой процент.

Никогда не соглашайтесь на работу, где нужно принимать чужие деньги на свою карту и пересылать их незнакомым людям, — это нарушение закона. Регулярно проверяйте кредитную историю и уведомления от банков, не отправляйте фото паспорта в чаты и мессенджеры, не проходите «верификацию» по ссылкам из соцсетей. Если на карту неожиданно пришли деньги от незнакомца, не пересылайте их никому, а сразу позвоните в банк по номеру с обратной стороны карты.

Источник: KELA, 22 мая 2026 года.

ФБР выпустило отдельное предупреждение о платформе Kali365 — это готовый сервис, который продаётся преступникам по подписке и помогает им угонять рабочие аккаунты Microsoft 365. Опасность в том, что атакующему вообще не нужно красть пароль или перехватывать SMS-код: он просто заставляет жертву самой подтвердить чужой вход через официальную страницу Microsoft.

Под капотом — функция «вход по коду устройства». Изначально её придумали для телевизоров, принтеров и переговорных систем, на которых неудобно вводить логин и пароль. Преступник запускает вход у себя на компьютере, получает короткий код от Microsoft и под любым предлогом убеждает жертву ввести этот код на настоящем сайте microsoft.com. Человек видит знакомый домен, спокойно проходит двухфакторную проверку — а токен доступа достаётся атакующему.

После этого злоумышленник может читать корпоративную почту, заходить в облачные документы, Salesforce, Google Workspace и любые другие сервисы, привязанные к этой учётной записи. Сама платформа Kali365 даёт клиентам шаблоны писем, приманки, сгенерированные нейросетью, и панель управления, где в реальном времени видно, кто из жертв уже ввёл код. По данным компании Arctic Wolf, такие атаки идут по всему миру с апреля 2026 года.

Вывод для обычного сотрудника офиса: фраза «у меня же включена двухфакторная защита» больше не означает полной безопасности. Если человек собственными руками подтверждает чужой вход, никакие SMS-коды не помогут. Особенно опасны письма и звонки «от службы поддержки» с просьбой быстро ввести небольшой код.

Главное правило: никогда не вводите код устройства, если вы сами в эту секунду не начали вход на своём телевизоре, принтере или другой технике. Если кто-то по телефону или в чате просит ввести код «для проверки» — это почти наверняка обман. Перезвоните в свой IT-отдел по номеру, который вы знаете заранее, а не из письма. Системным администраторам стоит ограничить вход по коду устройства политиками доступа и регулярно проверять журнал подозрительных входов.

Источник: BleepingComputer, 25 мая 2026 года.

Двое бывших руководителей американской компании C.A. Cloud Attribution Ltd. — гендиректор Адам Янг и директор по безопасности Харрисон Гевирц — признали вину в суде США. Их фирма продавала клиентам телефонные номера, запись разговоров и переадресацию звонков. Среди клиентов были мошенники, которые годами обманывали людей под видом «технической поддержки Microsoft и Apple».

Схема работала с 2017 года по апрель 2022-го и устроена была так. На сайтах с пиратскими фильмами или в рекламных сетях людям внезапно вылетало пугающее окно: «Ваш компьютер заражён вирусом, срочно позвоните по номеру». Человек звонил — и попадал в колл-центр, где «специалист» с акцентом запугивал его, обещал всё починить и продавал ненужные услуги за сотни долларов. Часто жертв просили дать удалённый доступ к компьютеру, и тогда мошенники получали и пароли от банка, и личные документы.

По материалам дела, руководители прекрасно понимали, кому они продают услуги, но властям не сообщали. Больше того — они советовали клиентам брать большие пулы постоянно меняющихся номеров, чтобы операторы связи не успевали блокировать жалобы. Приговор должны вынести 16 июня 2026 года, каждому грозит до трёх лет тюрьмы и штраф 250 тысяч долларов. Для сравнения: только за 2025 год американцы потеряли на подобной «поддержке» не меньше 2,1 миллиарда долларов.

Для обычных пользователей эта история показывает, что за пугающим окном в браузере и звонком с «официального» номера может стоять не один мошенник на чердаке, а целая индустрия с офисами, серверами и юристами. И номер на экране сам по себе вообще ничего не доказывает.

Если вдруг видите окно «ваш компьютер заражён, срочно звоните» — просто закройте браузер или перезагрузите компьютер. Не звоните по указанному номеру, не давайте удалённый доступ незнакомцам, не покупайте «чистку» и «антивирус» по телефону. Настоящая поддержка Microsoft, Apple или вашего антивируса никогда не появляется через всплывающее окно и никогда не просит платить картой прямо во время разговора.

Источник: BleepingComputer, 22 мая 2026 года.

У международной сети магазинов у дома 7-Eleven произошла серьёзная утечка персональных данных. Группировка вымогателей ShinyHunters заявила, что украла сведения более чем 183 тысяч человек, а сервис проверки утечек Have I Been Pwned насчитал 185 300 уникальных адресов электронной почты. У 7-Eleven по всему миру больше 86 тысяч точек, поэтому даже сравнительно небольшая в процентах утечка задевает множество реальных покупателей.

Компания разослала уведомления пострадавшим 1 мая 2026 года и сообщила, что неизвестные получили доступ к части систем 8 апреля 2026 года. По данным следствия, преступники проникли в облачную CRM-систему Salesforce, где у 7-Eleven хранились документы франчайзи. ShinyHunters утверждает, что вытащила оттуда больше 600 тысяч записей, а потом, когда компания отказалась платить выкуп, выложила архив весом 9,4 гигабайта в открытый доступ.

В утечке оказались имена, даты рождения, электронные адреса, номера телефонов и физические адреса. У небольшого числа записей могут быть и дополнительные поля. Сами по себе такие данные не открывают доступ к банковскому счёту, но идеально подходят для прицельного обмана: мошенник сможет обратиться к вам по имени, назвать ваш адрес и убедительно изобразить сотрудника поддержки.

Главная опасность для обычного покупателя после такой утечки — целевой фишинг. Письмо или звонок «от 7-Eleven», банка или службы доставки будет выглядеть в разы убедительнее, если на том конце уже знают ваше имя, дату рождения и где вы живёте.

Проверьте свой почтовый адрес на сайте haveibeenpwned.com и смените пароль везде, где использовали такой же или похожий. Включите двухфакторную защиту в почте и важных кабинетах. Не переходите по ссылкам из писем о «компенсации», «бонусной программе» или «срочной проверке аккаунта» — лучше заходите в приложение или на сайт вручную, набирая адрес сами. И помните: если звонящий называет ваши личные данные, это совсем не доказывает, что звонит настоящая компания.

Источник: BleepingComputer, 26 мая 2026 года.

Американский телеком-гигант Charter Communications, который многие знают по бренду Spectrum, подтвердил факт инцидента после того, как та же группировка ShinyHunters пригрозила опубликовать украденные данные. Charter обслуживает десятки миллионов домашних абонентов и компаний по всей территории США, поэтому даже сам спор о масштабах утечки касается огромного числа людей.

Сама компания заявила BleepingComputer, что строго следует внутренним протоколам безопасности, уже уведомила власти и, по её данным, чувствительные персональные сведения клиентов и так называемая CPNI-информация не были похищены. CPNI — это служебные данные оператора связи о том, какими услугами пользуется конкретный абонент, какой у него тариф и как устроено обслуживание.

ShinyHunters утверждает обратное. По словам преступников, 1 апреля 2026 года они с помощью голосового фишинга обманули сотрудника, угнали его аккаунт Microsoft Entra (это система входа в корпоративные сервисы), а потом выгрузили данные из Salesforce. Группировка заявляет о 40 миллионах записей: имена, адреса, телефоны, электронная почта, информация о тарифах и обращения в поддержку. Эти заявления Charter не подтвердила.

Для пользователя даже неподтверждённая утечка у оператора связи опасна. Если злоумышленники действительно знают ваш тариф и историю обращений, мошеннический звонок становится максимально правдоподобным: «здравствуйте, мы из Spectrum, у вас тариф такой-то, нужно срочно обновить платёжные данные, иначе отключим интернет».

Клиентам Spectrum (и любого другого оператора) стоит сменить пароль в личном кабинете, включить двухфакторную защиту, проверить, какие телефоны и адреса там указаны, и внимательно смотреть на письма о счетах. Никогда не диктуйте коды из SMS по телефону и не вводите данные карты по ссылке из письма. Если есть малейшие сомнения — положите трубку и сами наберите номер поддержки, указанный на сайте оператора или в вашем договоре.

Источник: BleepingComputer, 26 мая 2026 года.

В японской системе дистанционного обучения KnowledgeDeliver нашли критическую уязвимость, которую злоумышленники уже успели использовать в реальных атаках. Дыре присвоили номер CVE-2026−5426. Через неё можно было выполнять команды на сервере, даже не входя в аккаунт. Платформа применяется в образовательных учреждениях, поэтому риск касался не только администраторов, но и обычных студентов, которые заходили на сайт со своей учебной программой.

Причина уязвимости оказалась поразительно простой: все установки KnowledgeDeliver использовали один и тот же заранее прописанный ключ ASP.NET machineKey в стандартном файле настроек. Этот ключ нужен серверу для того, чтобы проверять подлинность данных, которые приходят со стороны браузера. Стоит преступнику узнать такой ключ — и он может подделать любые подписанные данные, которые сервер послушно примет за «свои».

Группа Mandiant расследовала эту атаку ещё в конце 2025 года, а публичные подробности появились в мае 2026-го. Атакующие установили на сервер веб-оболочку Godzilla (это что-то вроде скрытой панели управления для злоумышленника), изменили JavaScript на сайте и стали показывать посетителям фальшивое предупреждение о безопасности. Людей убеждали скачать «плагин проверки подлинности», а под этим названием на компьютер ставился Cobalt Strike Beacon — инструмент для тихого удалённого управления компьютером.

Для обычного пользователя это очень неприятный пример атаки через доверенный сайт. Человек заходит на знакомую учебную платформу — ту, которой пользуется каждый день, — и видит просьбу установить «обязательный модуль безопасности». Большинство в такой ситуации соглашается, думая, что это требование учебного заведения.

Никогда не устанавливайте плагины, расширения или «модули безопасности» по всплывающей просьбе сайта — даже если сайт привычный. Сначала проверьте у администратора или преподавателя по другому каналу, действительно ли требуется такая установка. Организациям, которые работают на KnowledgeDeliver, нужно заменить общий ключ machineKey на свой уникальный, проверить журналы за прошлые месяцы и обновить все системы, развёрнутые до 24 февраля 2026 года.

Источник: BleepingComputer, 26 мая 2026 года.

Российские пользователи Telegram опять массово столкнулись с проблемами: MTProto-прокси то еле дышат, то вовсе не подключаются. Одновременно посыпались и многие популярные VPN-сервисы. Жалобы идут из разных регионов и от абонентов всех крупных операторов, поэтому на обычный сбой одного провайдера это не похоже.

В течение недели люди писали на форумах и в профильных чатах, что прежние настройки прокси перестали работать — соединение либо очень медленное, либо обрывается через несколько секунд. Опрошенные эксперты считают, что Роскомнадзор, скорее всего, нашёл новую техническую особенность, по которой можно отличить трафик прокси и VPN от обычного. Хостинг-провайдеры сообщили, что одновременно с этим начали блокировать так называемые фингерпринты Chrome и частично протокол TCP-RAW — это технические «отпечатки» соединения, по которым системы фильтрации опознают тип трафика.

Похожая волна была уже в апреле 2026 года: тогда Telegram быстро выпустил обновление, а сообщество закрыло слабое место в прокси буквально за пару дней. Сейчас ситуация шире — под раздачу попали не только MTProto-прокси, но и часть VPN-схем, через которые люди ходили на привычные сайты и сервисы.

Для обычного пользователя это означает меньше предсказуемости в повседневной жизни: сегодня мессенджер работает, завтра он внезапно «висит» без какой-либо понятной ошибки. И главный риск — даже не неудобство, а то, что люди в панике начинают искать «волшебные настройки» в сомнительных каналах и ставят на телефон откровенно вредные программы.

Не устанавливайте незнакомые VPN-клиенты и «ускорители Telegram», которые присылают в чатах или рекомендуют незнакомые блогеры. Проверяйте, кто издатель приложения, и не давайте ему лишние разрешения — доступ к контактам, SMS и геолокации редко нужен «ускорителю». Имейте про запас два-три проверенных способа связи с близкими и коллегами и не храните важные документы только в одном мессенджере.

Источник: Код Дурова, 27 мая 2026 года.

Финансовая полиция Нидерландов FIOD задержала двух человек и изъяла 800 серверов у хостинговой компании, которую подозревают в обслуживании кибератак, информационных операций и обхода санкций ЕС. В деле фигурируют названия Stark Industries, WorkTitans B.V. и THE. Hosting — за разными вывесками, по версии следствия, стояла одна и та же группа людей.

Следствие считает, что подозреваемые косвенно поставляли вычислительные ресурсы российским и белорусским организациям, попавшим под санкции Евросоюза. Обыски прошли сразу в нескольких дата-центрах — в Дронтене, Схипхол-Рейке, Энсхеде и Алмере. Кроме серверов, у фигурантов забрали ноутбуки, телефоны и внутренние документы. Сама компания была зарегистрирована незадолго до начала СВО в 2022 году.

По данным газеты De Volkskrant, инфраструктуру WorkTitans связывают с хакерской группой NoName057(16), которая называет себя пророссийской и регулярно устраивает DDoS-атаки. Жертвами таких атак становились банки, госуслуги, аэропорты и СМИ в разных странах.

Для обычных людей такие истории — это не просто «новости про дата-центры». От подобных хостингов зависят ботнеты, фишинговые сайты, площадки вымогателей и атаки, из-за которых периодически перестают работать банковские приложения, портал госуслуг или сайт авиакомпании.

Пользователям из-за изъятия серверов делать ничего не нужно, но полезно помнить: если привычный сайт резко стал недоступен, виноват чаще всего не ваш телефон. Не вводите логин и пароль на «зеркалах», найденных по ссылкам из поиска или чатов, и не верьте комментариям в духе «вот рабочая версия, проверено». Лучше подождать сообщения от официального аккаунта или просто зайти позже.

Источник: BleepingComputer, 22 мая 2026 года.

В России обновили требования к системам СОРМ — это оборудование и программы, которые ставят у операторов связи, чтобы уполномоченные органы могли получать данные для оперативно-разыскных мероприятий. В новый перечень попали паспортные сведения, адреса, ИНН, банковские реквизиты, IP-адреса, домены, логины и геокоординаты абонентов.

Приказ Минцифры опубликовали 22 мая 2026 года на официальном портале правовых актов. Касается он операторов связи, организаторов распространения информации (то есть сервисов, через которые люди общаются и публикуют посты) и владельцев автономных систем — крупных операторов интернет-сетей. Документ не просто перечисляет данные, но и описывает, как именно системы должны обмениваться ими: среди технологий названы GraphQL, WebSocket и обычный HTTP.

Минцифры объясняет изменения задачами безопасности и работой структур, которые проводят оперативно-разыскные мероприятия. Крупные операторы реагируют пока сдержанно: «Ростелеком» сообщил, что его оборудование в целом соответствует современным требованиям, но после детального изучения приказа, возможно, придётся что-то модернизировать. Для мелких операторов главная проблема — стоимость: обновление серверов и программ обойдётся им заметно дороже, чем большим федеральным игрокам.

Для обычного человека главная мысль такая: цифровой след, который оставляет каждый из нас у оператора связи, становится ещё более подробным и формализованным. Это не «утечка» в привычном смысле слова, но это изменение правил обращения с очень чувствительными данными — а чем больше сведений собирается и обрабатывается, тем выше цена ошибки, взлома или неправильной настройки на стороне оператора.

Пользователю стоит внимательнее относиться к тому, какие данные он оставляет в сервисах и в кабинете у своего оператора. Включите двухфакторную защиту в личном кабинете провайдера, регулярно проверяйте через «Госуслуги», не оформлены ли на ваше имя лишние SIM-карты или договоры. Для важных аккаунтов используйте отдельные сложные пароли и не храните их в обычных заметках на телефоне — лучше в специальном менеджере паролей.

Источник: Коммерсант, 27 мая 2026 года.

В Securitylab разобрали, как современные банковские системы по борьбе с мошенничеством (антифрод) почти мгновенно принимают решение по каждому платежу. Для пользователя всё выглядит просто: вы приложили карту или ввели её данные на сайте, а терминал пишет «операция отклонена», хотя денег на счёте полно. На самом деле в этот момент банк за пару сотен миллисекунд оценил риск операции и решил её не пропускать.

Система смотрит на множество признаков: сумму, магазин, город, время суток, устройство, с которого идёт оплата, привычные траты владельца и любые отклонения от обычного поведения. Если человек впервые за долгое время делает крупную покупку, оказывается в другом регионе или платит в нетипичном месте, алгоритм вполне может принять законное действие за подозрительное. Такой отказ называют «ложноположительным»: и карта настоящая, и владелец настоящий, но машина перестраховалась.

Банки используют такие системы, потому что вручную проверять миллионы платежей в день физически невозможно. Искусственный интеллект помогает ловить кражи денег и странные цепочки переводов, но он не безошибочен. Снаружи проблема усугубляется тем, что клиент почти никогда не получает понятного объяснения: оператор поддержки видит общий статус «отклонено по риску», а не человеческую фразу вроде «платёж необычен из-за нового города и крупной суммы». Аналитики обращают внимание ещё на одну деталь: ошибки распределяются неравномерно, и некоторые категории клиентов сталкиваются с отказами заметно чаще остальных.

Для обычного человека это важно в самых обыденных ситуациях — в поездке, при переезде, аренде жилья, покупке техники или оплате лечения. Ошибка антифрода может оставить без покупки, сорвать бронирование отеля или заставить срочно искать вторую карту прямо у кассы.

Перед поездкой или крупным платежом по возможности предупредите банк через приложение — у многих такая кнопка есть. Включите уведомления обо всех списаниях, держите про запас вторую карту другого банка и сразу звоните на горячую линию, если получили отказ. Если блокировки повторяются и в обычной жизни, попросите поддержку не просто разово разблокировать карту, но и проверить настройки риска по вашему профилю — иногда дело именно в них.

Источник: SecurityLab, 27 мая 2026 года.