3side кибербезопасности

Люди везде одинаковые!

Про Иран, Израиль, кибератаки и российское ИБ Тут недавно иранская делегация прилетала в один очень уважаемый московский ИБ-хаб. Общались очень увлеченно, много чего хотели ... и их можно понять. Вероятно, Иран - единственная в мире страна, для которой угроза кибератак является экзистенциальной. Предыстория: в прошлом хакеры (предположительно, израильские или американские прокси) "положили" около 70% сети газораспределительных станций. В феврале - взрыв газопроводов (обвиняют Моссад). В этом августе - иранский ЦБ (и некоторые банки) заплатили выкуп некоей APT за расшифровку собственных данных (возможно, кто-то из 8200 намутил себе премию на Рош-а-Шана). Мы уверены, что при необходимости иранскую энергетическую инфраструктуру вполне реально полноценно "добить" кибератаками. Защита там на порядок хуже российской или украинской, а и там, и там случалось очень "разное". Просто пока атакующим с обеих сторон запрещают доводить дело до промышленных катастроф, и все происходящее выглядит как знаменитые "пролеты над авианосцем". И мы совершенно уверены, что любая атака на иранские ядерные объекты будет сопряжена с грандиозных объемов кибератаками, целью которых будет полноценный локдаун на территории Ирана, прекращение работы заправок (а значит создание пробок), проблемы с управлением траффиком, и создание хаоса. А российское ИБ стратегически в Иран не пойдет. Причина тут даже не в боязни санкций, а в нежелании портить возможные отношения с ОАЭ и саудитами, которые пока выглядят как самые перспективные клиенты. И - что важно - на порядок более платежеспособные. А значит, проблемы Ирана точно продолжатся.

Кибериспытания Экспресс: первая пятерка Ранее в наших постах мы уже рассказывали вам, что активно принимаем участие в проекте Кибериспытаний: - Мы участвовали в разработке методики. - Антон в экспертном совете Кибериспытаний. - Мы активно продвигаем и сам подход бизнес-ориентированной кибербезопасности. Когда же были запущены бесплатные Кибериспытания с грантом в 1 000 000 рублей, мы, конечно же, не могли остаться в стороне! Сейчас команда «Третьей Стороны» сопровождает клиентов из сегмента малого и среднего бизнеса в их мир кибербеза, на их первые бесплатные Кибериспытания. И первая пятерка из них вышла на Кибериспытания Экспресс. Вот они: - Образовательная платформа CyberED - Международная Академическая Клиника - ИТ и ИБ-интегратор «Два капитана» - ERP и RPA-системы Lexema - Агентство безопасности Guardian Group Это крутая возможность для бизнеса проверить, насколько вы защищены в условиях, максимально приближенных к реальности, и абсолютно бесплатно. А для исследователей — получить миллион рублей за абсолютно легальный взлом, за полноценную атаку, а не отдельный сданный баг. Если вы исследователь, добро пожаловать на площадку Standoff Bug Bounty, внутри каждой программы указаны подробные условия Кибериспытаний Если вы компания и хотите запрыгнуть в последний вагон акции на бесплатные Кибериспытания, напишите нам в @Kykyruzzz или @TG_3side. Ну и вот специальный проект РБК именно про это, моя статья там под номером 2.

Тренируй, проверяй, повтори А вот этот предложенный подход интересный! У нас как учат сотрудников крупных компаний не открывать опасные письма/документы/ссылки? Процессом обучения, проверкой и повторением: 1. Дают прослушать краткий курс по кибергигиене, где разжевывают, на что обращать внимание и что делать никак нельзя. 2. Проводят тестовую рассылку, точно такую же, как у настоящих злоумышленников. С отслеживанием действий каждого, кто перешел, кто ввел свои данные, кто открыл опасный документ. 3. Отчитывают тех сотрудников, кто попался, и заставляют повторно и внимательно прослушать курс. 4. Повторяют проверку. И так до бесконечности! Процесс повторяется и для новых, и для старых сотрудников, и для тех, кто проверки уже проходил раз в какой-то период. Санкции за «необучаемость» бывают разные: от выноса мозга и лишения премии до просьбы уволиться, особенно если есть и иные претензии к сотруднику. В результате сотрудники всегда ожидают подвоха, они всегда начеку и понимают важность этого. Если б подобный механизм был и от колл-центров, то он бы точно повысил защищенность общества! Организовать такое, конечно, в разы сложнее.

Совсем не новогодние «фейерверки» Сегодня в отделении Сбербанка в Санкт-Петербурге произошел взрыв. И мы практически уверены в том, что это снова дело рук тех, кто попал под влияние мошеннических колл-центров. С 2022 года мы много писали об этом, как людей…

Совсем не новогодние «фейерверки» Сегодня в отделении Сбербанка в Санкт-Петербурге произошел взрыв. И мы практически уверены в том, что это снова дело рук тех, кто попал под влияние мошеннических колл-центров. С 2022 года мы много писали об этом, как людей сначала разводят на деньги, а потом принуждают совершать акции. К счастью, и в этот раз никто не погиб и не пострадал. Т. к. жертву склонить к действию с потенциальными жертвами значительно сложнее, а для мошенника главный «хайп»-эффект, взрыва им достаточно. За последний месяц количество поджогов с использованием бытовой пиротехники, праздничных фейерверков и изготовленных из подручных материалов зажигательных смесей выросло. Активная борьба с каналами связи мошенников помогает, но не так сильно, как хотелось бы. Мошеннические колл-центры не сбавляют обороты. Лучшее противодействие на уровне людей, а не техники. Что делать для защиты? Распространяйте нашу памятку «Бросайте трубку», рассказывайте родным, близким в социальных сетях. Если чувствуете стресс, не общайтесь по телефону, в этом состоянии вы уязвимее всего! Что с жертвами-поджигателями? Они, к сожалению, скорее всего, получат срок. Даже потерять свои деньги из-за доверчивости и стресса очень неприятно, а разрушить из-за такой мелочи собственную жизнь тюремным сроком — катастрофа. И еще раз, ссылка на нашу памятку - https://t.me/By3side/112. P.S. Масштаб. 19 акций за 3 дня! В подмосковном Одинцово «обманутый мошенниками из Днепра» мужчина кинул бутылки с зажигательной смесью в здание, где находятся опорный пункт полиции и Одинцовский городской суд, одновременно другой мужчина поджег горючее у отделения банка неподалеку — Mash В Петербурге 16-летняя девушка подожгла патрульный автомобиль у здания ГАИ, ее задержали — телеканал «78» Также сегодня подожгли полицейские машины в московском районе Бутово и в Твери — Baza

Господа, не можем это не репостнуть. Обычных людей это волнует!

Всегда возможная подмена номера Ранее мы писали, что в значительной степени подмена номера в России исключена. Особенно на коротких номерах, например на номер 900. Но фейковая вышка сотовой связи, например, в приграничных регионах может легко подмену осуществить в радиусе своего действия. Но что, если не в приграничье? Мы в том посте не стали фантазировать, ведь публичных таких случаев в России не было. Теперь есть. В Казани была задержана группа пособников мошенников. Они, судя по всему, сдавали в аренду колл-центрам свою передвижную вышку сотовой связи! Оборудование было надежно спрятано внутри автомобиля, а под атаку попадали все абоненты в радиусе сотовой связи от автомобиля-вышки (https://t.me/IrinaVolk_MVD/3150). Им начинали звонить с подмененных номеров и разводили на деньги. Рекомендуем посмотреть видео задержания по ссылке) Это ноу-хау? Нет, ранее арестовывали подростка в Санкт-Петербурге, который размещал подобное оборудование в квартире, но тогда речь о подмене номера не шла, а именно о маскировке звонков IP-телефонии. А в мировом масштабе? Совсем не ноу-хау, в Южной Корее, где масштаб телефонного мошенничества сопоставим с нашим, про подобное сняли художественный фильм (https://www.kinopoisk.ru/film/1316625/), так также использовали фейковые вышки для подмены номеров. Много успели украсть? По данным МВД, немного, всего 3 миллиона рублей. Как вычислили? Думаем, что отработал ФГУП «ГРЧЦ» (Главный Радиочастотный Центр), они регулярно мониторят использование частот в городах, сообщили БСТМ МВД и те отработали. А как противодействовать? Обезопасить себя от подмены вышки не выйдет, но этим займутся профильные ведомства. Для защиты же вас от последствий не стоит доверять номеру, его всё же смогут подменить, если захотят.

"Так безопасно?" №14:Откуда безопасно ставить приложения? «Ставьте приложения только из надежных источников!» Так звучит одна из самых распространённых рекомендаций по защите смартфона. С iOS всё просто, поставить туда какое-то «не то» приложение крайне сложно. А вот про Android мы сейчас и поговорим. Какие источники надежные, а какие не очень? - Сайты с apk-файлами, бесплатными версиями платных приложений и прочие «онлайн магазины приложений» — самый ненадежный источник. Скачав оттуда приложение, нельзя с уверенностью знать, что там внутри. И это основной канал распространения вредоносных приложений. - Ссылка на приложение в СМС или PUSH-уведомлениях. PUSH-уведомления — надежный канал коммуникации, а отправителя СМС потенциально можно подделать. Но главное тут то, куда именно ведет ссылка. На настоящий сайт известного банка? Да, это уже лучше, сейчас из-за удаления их приложений из магазинов им приходится делать так. Ссылка на официальный магазин приложений? Тоже неплохо, но обсудим это дальше. От того, куда ведет ссылка, и можем оттолкнуться. Распространение вредоносных приложений ссылками было и встречается, поэтому относимся к этому источнику с подозрением и всячески проверяем. - Официальный магазин приложений Google. Абсолютно безопасный источник? Тоже нет, злоумышленники тратят значительные ресурсы, чтобы протащить туда свой вредонос. Обычно это делается в несколько этапов, вредоносный модуль «подключается» так, чтобы минимизировать шанс его проверки магазином. Такие приложения долго в магазине не живут, но им быстро «накручивают» популярность. Чаще всего это «клоны» известных приложений, но бесплатные. Либо приложения, обещающие очень привлекательные и зачастую невозможные функции. Поэтому, смотрим на создателя приложения и как давно оно в магазине. - Сторонние официальные магазины: от китайских до RuStore. Насколько сложно внедрить вредонос в китайский магазин? Точно не понятно. Так что проверяем, как и с Google. В RuStore пока вредоносов не замечали, но с учетом политического контекста, их туда вполне могут попробовать внедрить и хактивисты. Итого. Полностью надежного источника нет, всё придется проверять. Например, троян "Necro" через Play Market заразил 11 миллионов устройств, маскируясь под приложения «Minecraft», «WhatsApp», «Spotify Plus», «Wuta Camera» и «Max Browser». Но в целом, приложение из официального магазина с большой историей версий и большим рейтингом выглядит самым безопасным. А то, что санкции приучили нас ставить всякое по ссылкам, — это большая проблема. #3side_так_безопасно

Киберсьезд12.12! Бесплатная конференция от Кибердома! Мы уже многое писали про это шикарное пространство кибербеза, поэтому комментарии излишни. Постарайтесь освободить 12 декабря и приходите) https://cyberdom.pro/cybercongress

Атаки на двухфакторку без кожаных мешков Повсеместное внедрение двухфакторной аутентификации очень помешало злоумышленникам. До этого многие из них выкупали данные с логинами/паролями из утекших баз и пытались их переиспользовать в других сервисах, а потом как-то монетизировать доступ. Но теперь для входа пары логин/пароль недостаточно, нужен еще и код, отправляемый через PUSH/смс/на email, либо последние цифры номера звонка. К этому коду идет приписка «Никому и никогда не сообщайте этот код», но люди сообщают. А злоумышленники делают всё, чтобы им его сообщили! И не скупятся на автоматизацию. Ведь звонить сами злоумышленники точно не хотят! А на даркнет-площадках активно предлагают им SaaS-сервисы, которые сделают это за них, без участия человека. Эти сервисы представляют собой веб-панель или телеграм-бота. В которого злоумышленник может выбрать опции и добавить информацию, которую будет использовать бот для звонка, например: - представится банком с таким-то названием; - обратиться к жертве по такому-то имени; - сказать жертве, что последние цифры ее карты такие-то; - позвонить жертве по указанному номеру; - позвонить жертве с подменой указанного номера; - использовать для общения с жертвой выбранный язык. А дальше нужно лишь нажать на кнопку! И бот позвонит одновременно с попыткой входа в аккаунт злоумышленником и очень убедительно попросит ввести на клавиатуре код двухфакторной аутентификации, который никому никогда нельзя сообщать. Но железке-то можно? Нет, нельзя. Как называются подобные сервисы? ФишКит, Фишинговый набор. Сколько стоит такой сервис? От 100 до 400 долларов в неделю в зависимости от возможностей бота. Как определить, что звонит такой бот? Он спросит ваш код, никто кроме злоумышленников его не спросит.

Веселые истории о контршпионаже Наш друг написал очень детальную и интересую статью о противодействии китайскому шпионажу! Не можем ей не поделиться, ведь превью ее звучит: "Знаете ли вы о проблемах контрразведки при групповом сексе?" Павел большой эксперт по этой теме, и написал шикарную книгу "Вражеские уроки" - она про Холодную войну, подводный флот, проблемы экономики и политики!