Новое высокотехнологическое шпионское ПО Regin превосходит Stuxnet

По словам экспертов, вредонос был разработан по заказу правительства и использовался для атак преимущественно на Россию и Саудовскую Аравию.

По данным компании Symantec, новое шпионское ПО Regin, появившееся в нынешнем году, было разработано западными спецслужбами для атак на телекоммуникационную сферу, энергетический сектор и сферу здравоохранения России и Саудовской Аравии. Примечательно, что по своей сложности вредонос сравним только с Duqu и Stuxnet, и более того, даже превосходит их в техническом отношении.
Разработка Regin наверняка спонсировалась государством, поскольку для написания такого кода нужны немалые средства, считают эксперты. «Regin является сложным вредоносным ПО, структура которого отображает степень технической компетентности, которая встречается крайне редко», - отмечают исследователи.
Эксперты уверены, что разработка вредоноса заняла несколько месяцев или даже лет. «Его возможности и стоящий за ним уровень ресурсов указывают на то, что Regin является одним из главнейших правительственных инструментов для шпионажа», - сообщают в Symantec.
Вредонос можно настраивать соответствующим образом в зависимости от цели. По данным экспертов, злоумышленники использовали Regin для атак по смешанным векторам, в том числе эксплуатируя неподтвержденную уязвимость нулевого дня в Yahoo! Messenger. ПО может устанавливать кастомизированную полезную нагрузку, например, трояны для получения удаленного доступа с функцией кейлогера, способные делать скриншоты, инструменты для перехвата информации о состоянии процессов и памяти, а также для восстановления удаленных файлов.
Атаки с применением Regin осуществлялись в период с 2008 по 2011 год, а после 2013 года образцы вредоноса всплыли вновь. Половина всех атак пришлась на Россию и Саудовскую Аравию, далее следуют Мексика и Ирландия (9%). Происхождение данного шпионского ПО неизвестно.

Злоумышленники похитили доменное имя популярного сайта Craiglist

Для полного устранения последствий атаки потребовалось глобальное изменение настроек DNS.
По сообщению издания Securityweek, вечером 23 ноября нынешнего года запросы, отправляемые на сайт электронных объявлений Craigslist, были перенаправлены на сайт, расположенный на домене DigitalGangster.com. Вероятной причиной инцидента стало похищение доменного имени. Вследствие перегрузки сервер, на который поступал похищенный трафик Craigslist.org, был не в состоянии обработать большую часть запросов.
Вскоре после этого атакующие, частично изменив настройки и использовав сторонний ресурс в качестве шлюза, перенаправили трафик Craigslist на сайт издания The New York Times. Непосредственно вслед за этим запросы были возвращены на сайт Digital Gangster, который оставался перегруженным. В журналах домена зафиксировано изменение доменного имени и указан электронный адрес регистратора «steven wynhoff @LulzClerk» (поиск по Twitter показал, что учетная запись «@LulzClerk» заблокирована).
В официальном заявлении Craiglist от 24 ноября говорится, что домен вновь находится под контролем законного администратора, а доменное имя восстановлено во всей глобальной сети DNS-серверов
Для осуществления таких атак эксплоиты, как правило, не применяются. Злоумышленники используют несложный фишинг или другие методы социальной инженерии, что позволяет им получить доступ к учетным записям владельцев доменных имен.

Арестованы подозреваемые в осуществлении хакерских атак с применением RATs

Действия британских и европейских правоохранительных органов должны напомнить киберпреступникам о неотвратимости наказания.
Национальное криминальное агентство Великобритании (National Crime Agency, NCA) сообщило об аресте лиц, подозреваемых в проведении атак на компьютерные сети с целью похищения конфиденциальной информации. Атаки осуществлялись с применением программ удаленного доступа (Remote Access Trojans, RATs).
Правоохранители Великобритании задержали 5 человек на территории страны, а в ходе операции, координатором которой выступил Европол, в странах Европы были арестованы еще 11 подозреваемых.
Заместитель руководителя отдела по борьбе с киберпреступностью Энди Арчибальд (Andy Archibald) заявил, что распространение RAT – это серьезное правонарушение, ответом на которое должны быть решительные и скоординированные действия правоохранителей на всех уровнях. Потенциальные преступники должны понимать, что отсутствие непосредственного взаимодействия с жертвами не помешает их разоблачению и задержанию.
По мнению эксперта Криса Бойда (Chris Boyd) из Malwarebytes Labs, RATs, как средство получения удаленного доступа, использовались в прошлом. Действия, предпринятые следственными органами, должны убедить в неотвратимости наказания тех, кто надеялся его избежать. Эта ситуация, считает специалист, должна напомнить пользователям о необходимости обновлять антивирусное программное обеспечение, а для предотвращения видеошпионажа закрывать объектив встроенной камеры.

В следующем году значительное количество DDoS-атак будут осуществляться из Азии

По угрозе безопасности Вьетнам занимает пятую позицию после Китая, США, России и Германии.

По данным специалистов ИБ-компании Black Lotus, в 2015 году Вьетнам, Индия и Индонезия станут основными источниками DDoS-атак благодаря увеличению количества взломов мобильных телефонов. Согласно квартальному отчету, охватывающему период с 1 июля по 29 сентября 2014 года, по угрозе безопасности Вьетнам занимает пятую позицию после Китая, США, России и Германии.
Как отмечают специалисты, в то время как Вьетнам, Индия и Индонезия не обладают широкой полосой пропускания, необходимой для осуществления масштабных DDoS-атак, наличие большого количества скомпрометированных устройств, в частности смартфонов, делает эти страны отличными площадками для создания новых ботнетов.
Сооснователь Black Lotus Шон Мэрк (Shawn Marck) прогнозирует, что в следующем году число DDoS-атак уменьшится. При этом крупным корпорациям они не нанесут масштабного ущерба, но могут причинить немало беспокойства небольшим предприятиям.
Эксперты компании проанализировали атаки, совершенные в период с 1 июля по 29 сентября текущего года и выяснили, что по сравнению с 2013 годом их мощность снизилась на 96%. Также уменьшилось и количество инцидентов с 462 621 в первом квартале этого года до 201 721 в третьем.

Президент Эквадора обвинил США в атаках на его аккаунты

Президент Эквадора Рафаэль Корреа заявил о попытках взломать его интернет-аккаунты с территории США. Об этом глава государства написал в субботу, 22 ноября, в Twitter. «Весь вчерашний день на мои аккаунты шли атаки. Для этого они проникли в компьютеры», — сообщил Корреа. Кибератаки, по его словам, были организованы с «сервера в Соединенных Штатах», целью хакеров было завладение личными данными и информацией, передает слова президента Telesur. Корреа выразил уверенность, что хакерам не удастся реализовать свой замысел. «Это систематические атаки с применением высоких технологий и ресурсов. Они не пройдут!» — написал эквадорский лидер в Twitter. Ранее власти Эквадора заявляли о наличии доказательств взлома американской нефтяной компанией Chevron электронной почты руководства страны, а сам Корреа говорил о шпионаже со стороны ряда стран Латинской Америки, однако не уточнял, какие именно государства он имеет в виду.

Великобритания вычислит террористов и педофилов по IP-адресам

Спецслужбы Великобритании могут получить право запрашивать у интернет-провайдеров данные, позволяющие устанавливать по IP-адресам имена подозреваемых в терроризме и педофилии. Соответствующий законопроект британское правительство намерено внести в парламент, передает ТАСС со ссылкой на главу МВД королевства Терезу Мэй. "Этот законопроект дает возможность разрешить реальную проблему IP-адресов, это будет шагом в правильном направлении", - отметила министр. В свою очередь британские правозащитники называют ловлю террористов и педофилов таким способом обоснованной мерой. Однако они опасаются, что правоохранительные органы будут трактовать полученное право слишком широко и смогут злоупотреблять им.

В Китае арестовали предполагаемых разработчиков вируса WireLurker

Правоохранители задержали для допроса трех человек.
Как следует из сообщения Пекинского муниципального бюро общественной безопасности (Beijing Municipal Bureau of Public Security), китайские правоохранительные органы арестовали трех предполагаемых разработчиков и распространителей недавно обнаруженного вируса WireLurker.
Следователи обнародовали лишь фамилии подозреваемых - Ван, Ли и Чен (Wang, Lee и Chen) - и в настоящий момент держат их под стражей для проведения допроса. Интересно, что поимке злоумышленников во многом поспособствовала китайская антивирусная компания Qihoo 360 Technology.
WireLurker представляет собой вредоносное приложение, предназначенное для компрометации устройств под управлением Mac OS X, iOS и Windows. Выявить его впервые удалось исследователям из Palo Alto Networks, по данным которых основным методом распространения вируса были поддельные мобильные приложения, содержащиеся в неофициальном интернет-магазине Maiyadi.
За относительно небольшое время активности в Сети WireLurker успел инфицировать порядка 350 тысяч устройств. Все они скачивали одно или несколько приложений, содержащих вредоносный код (в общей сложности эксперты Palo Alto Networks обнаружили в Maiyadi 467 таких программ).

Злоумышленники распространяют вредоносный файл .SCR через Steam Chat

Файл похищает учетную запись жертвы и использует ее для дальнейшего распространения вредоносной ссылки.
На официальных форумах развлекательной игровой платформы Steam появились сообщения о вредоносном файле .SCR, который распространяется через чат. Подписчики сервиса получали уведомления с безобидным на вид файлом изображения. Исследователи из ИБ-компании Malwarebytes проанализировали атаку и обнаружили, что в большинстве случаев киберпреступники распространяли вредоносный файл под видом некоего виртуального объекта, который им якобы требовалось обменять.
По словам специалиста ИБ-компании Panda Security Барта Блэйза (Bart Blaze), помимо вышеуказанной уловки, преступники также использовали сообщения с простым текстом «посмотри на мою фотографию».
Для того чтобы замаскировать ссылку, указывающую на вредоносный файл, мошенники использовали сервис сокращения URL Bit.ly. Данная ссылка вела на страницу Google Drive, на которой содержался файл .SCR с именем «IMG_211102014_17274511.scr».
Как поясняет исследователь, обычно для загрузки файла .SCR необходимо приложение Google Drive Viewer, однако в этом случае к ссылке была добавлена строка «&confirm=no_antivirus», что позволяло загружать его автоматически. Файл похищал учетную запись жертвы и использовал ее для дальнейшего распространения вредоносной ссылки. По словам Блэйза, вредоносный файл не передавал загруженные данные с инфицированного устройства на удаленный сервер.
Для удаления вредоносной программы необходимо осуществить выход из сервиса Steam и удалить процесс, связанный с вредоносным файлом из Диспетчера задач (процесс обычно называется «temp.exe», «wrrrrrrrrrrrr.exe», «vv.exe» или случайным именем «340943.exe»). Далее необходимо просканировать устройство на вирусы и изменить пароль учетной записи в Steam.

Количество жертв киберпреступников приближается к 1 миллиарду

Наиболее часто объектом преступного интереса становятся учетные записи и персональные данные клиентов крупных компаний.
За первые пять месяцев 2014 года имели место 1922 подтвержденных киберинцидента, в том числе 20, каждый из которых привел к компрометации более 1 млн записей. Общее число записей, скомпрометированных в результате преступной деятельности, достигает 904 млн.
Согласно данным аналитической компании Risk Based Security, которые приводит издание Networkworld, в 85% киберинцидентов за первые 9 месяцев этого года речь идет о хакерских атаках (вмешательстве в работу систем извне). В 3 случаях из ранее упомянутых 20 пострадали 489 млн записей.
Чаще всего в 2014 году объектами посягательств киберпреступников становились пароли, логины, адреса электронной почты и персональные данные (имена, даты рождения, адреса, номера соцобеспечения и т.п.).
Наиболее громкими стали инциденты, жертвами которых оказались клиенты Home Depot, JPMorgan Chase, Michaels, Neiman Marcus, Orange, American Express и Community Health Systems. Эксперты считают, что успеху киберпреступников содействовала разветвленная инфрастуктура этих компаний.
Ввиду участившихся массированных действий киберпреступников недалеко то время, когда клиент, прежде чем обратиться за услугой к той или иной компании, станет выяснять, насколько надежна ее система безопасности, считают эксперты.

За кражу банковских паролей введут уголовную ответственность

По информации «Известий», банкиры и депутаты выступили за введение отдельной статьи в Уголовном кодексе РФ, посвященной фишингу — одному из наиболее распространенных способов интернет-мошенничества с использованием данных банковских карт граждан. Максимальный штраф для фишинг-мошенников могут установить на уровне 2 млн рублей, а максимальный срок лишения свободы — в пределах 10 лет. По сравнению с самым тяжким составом общей статьи о мошенничестве (159 УК), вдвое выше максимальный штраф, тюремный срок тот же, однако, по словам инициаторов идеи, новая статья облегчит доказывание по таким преступлениям. Предложение банковского сообщества изложено в заключении Национального совета финансового рынка (НСФР) на правительственный законопроект, изменяющий УК и направленный на противодействие хищению средств с банковских карт клиентов. Заключение направлено в Совет Федерации и Госдуму. В настоящее время в УК не прописаны санкции за фишинг, не зафиксированы они и в правительственном законопроекте. В НСФР предлагают разработать законодательное определение фишинга, приближенное к сути явления: это получение доступа к конфиденциальным данным клиентов (логинам и паролям) путем проведения массовых рассылок электронных писем и сообщений в соцсетях от имени популярных брендов — внутри сообщений содержится прямая ссылка на сайт, внешне неотличимый от настоящего. Мошенники различными путями побуждают пользователя ввести свои логин и пароль к сервису, позволяющему лишиться денег. По оценкам экспертов, 57% несанкционированного использования банковских карт клиентов происходит с помощью фишинга. В Сети регулярно появляются сайты-двойники крупных кредитных организаций, цель создания которых — получение логинов/паролей клиентов. Атакам подвергались, в частности, Сбербанк и другие банки. Потери клиентов исчислялись десятками миллионов рублей. По последним данным компании FICO, Россия находится на 5-м месте по потерям от карточного мошенничества в мире — в 2012 году они составили €91,4 млн, или 6% от общемировых потерь. В настоящее время ответственность за фишинг в УК не предусмотрена. Действующая редакция статьи о финансовом мошенничестве 187 УК («Изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов») предусматривает для нарушителей лишение свободы на срок до 7 лет и штраф до 1 млн рублей. В Госдуму в начале июня 2014 года внесен правительственный законопроект, который дополняет статью 187 ответственностью за изготовление и сбыт, в частности, скимминговых устройств, которые мошенники устанавливают на корпус банкоматов и копируют данные, записанные на магнитную полосу карты (номер, срок действия, PIN-код). Это, грубо говоря, офлайновый фишинг. В рамках этого же законопроекта и предлагается внести новую статью о фишинге; дата рассмотрения документа в первом чтении еще не назначена. Согласно предложению НСФР, если в результате фишинга клиенту причинен ущерб на сумму до 10 тыс. рублей, максимальный штраф для нарушителей составит 250 тыс. рублей, максимальный срок лишения свободы — 4 года. Если же ущерб превысил 10 тыс. рублей, предельный штраф для мошенников составит 600 тыс. рублей, максимальный срок лишения свободы — 6 лет. По ущербу в крупном размере (250 тыс. рублей) — штраф 1 млн рублей и/или 8 лет тюрьмы, при особо крупном размере (1 млн рублей) — 2 млн рублей штрафа и/или 10 лет тюрьмы.

Московские велотерминалы оплаты содержат уязвимости

Терминалы для оплаты аренды велосипедов в системе московского городского велопроката содержали недостатки конфигурации, с помощью которых злоумышленники могли получить доступ к персональным данным пользователей. Об этом говорится в сообщении «Лаборатории Касперского». Приложение для велосипедных паркоматов, работающих на базе операционной системы семейства Windows, позволяет пользователю зарегистрироваться и получить справочную информацию о местоположении паркомата и других велосипедных парковок. Отображение всего этого, а также баров, кафе и прочих объектов реализовано с помощью виджета компании Google, который разработчики приложения велопаркоматов используют в своем продукте. Согласно сообщению компании, у пользователя нет возможности свернуть полноэкранное приложение и выйти за его пределы, а именно в нем кроется недостаток конфигурации, который позволяет скомпрометировать устройство, — в правом нижнем углу виджета содержатся ссылки «Сообщить об ошибке», «Конфиденциальность» и «Условия использования», нажатие на которые влечет за собой запуск браузера Internet Explorer. Воспользовавшись возможностью из настроек браузера попасть в раздел со справочной информацией, пользователь может перейти в «Панель Управления» и раздел «Специальные возможности», в котором можно включить экранную клавиатуру. При помощи виртуальной клавиатуры существует возможность активировать системную утилиту «cmd.exe» — командную оболочку Windows, которая запускается с правами администратора — это открывает для пользователя возможность скачивания и запуска абсолютно любого приложения. По мнению экспертов «Лаборатории Касперского», злоумышленники как угодно могут использовать такие недостатки конфигурации. Так, кибер-преступник может извлечь пароль администратора, хранящийся в памяти в открытом виде, получить слепок памяти приложения велопарковки, из которого затем можно извлечь личную информацию его пользователей: ФИО, адрес электронной почты и телефон для последующей продажи данных на черном рынке. Злоумышленник также может установить кейлоггер, перехватывающий все введенные данные и отправляющий их на удаленный сервер, или реализовать сценарий атаки, результатом которой станет получение еще большего количества персональных данных, добавив поля для ввода дополнительных данных. По словам Дениса Макрушина, технологического эксперта «Лаборатории Касперского», для того, чтобы исключить вредоносную активность на публичных устройствах, разработчикам приложения велопарковки и администраторам терминалов следует запретить возможность открытия внешних ссылок в полноэкранном приложении и не допускать вызова каких-либо элементов интерфейса ОС Windows. Текущий сеанс операционной системы при этом должен быть запущен с ограниченными привилегиями пользователя, а учетные записи на каждом устройстве должны быть уникальными. «Что касается пользователей терминалов, мы рекомендуем не вводить полные реквизиты своих платежных карт — к примеру, для осуществления платежа не требуются CVV2/CVC2 коды карточки. Требование их ввода должно настораживать», — отметил Макрушин. Производитель паркоматов уведомлен обо всех выявленных недостатках конфигурации. Повторно проверенные терминалы в настоящий момент не содержат описанные недостатки, уточнили в «Лаборатории Касперского».

Раскрыты тысячи реквизитов доступа российских почтовых ящиков

Анонимный пользователь опубликовал в Сети ровно 15 тыс. пар логин-пароль для доступа к учетным записям Mail.ru, «Яндекса» и «Рамблера». По его словам, это сделано для того, чтобы пользователи смогли определить, не взломан ли их аккаунт. На файлообменном сервисе eBaza опубликован документ, содержащий тысячи пар логин-пароль от почтовых сервисов крупнейших российских итернет-сервисов: «Яндекс», Mail.ru и «Рамблер». База данных с учетными записями представляет собой текстовый файл. Содержащиеся в нем пары логин-пароль могут быть использованы для доступа не только к соответствующим почтовым ящикам, но и к другим сервисам компаний. По сравнению с громкими инцидентами начала осени 2014 г., когда учетные записи выкладывались в открытый доступ миллионами, нынешняя утечка невелика. Опубликованная база данных содержит ровно 15 тыс. записей. Ее редкой особенностью стало то, что в открытый доступ она попала в неочищенном виде: каждому имеющемуся логину для учетной записи соответствует пароль. В отличие от памятных утечек начала сентября 2014 г., нынешняя характерна тем, что затронула пользователей исключительно российских сервисов: «Яндекс», Mail.ru, и «Рамблер». В ней содержится около 9,6 тыс. логинов и паролей для учетных записей в домене mail.ru, 2,5 тыс. от учеток в домене yandex.ru и 1,1 тыс. в rambler.ru. Помимо этого скомпрометированы несколько сотен учетных записей в редких доменах этих же компаний: list.ru, bk.ru, narod.ru и др. Кроме того, в файле обнаружено пять пар логин-пароль от учетных записей на yahoo.com. Согласно примечанию публикатора, оставленному на странице загрузки файла с базой данных, на момент публикации она содержала 100% рабочих паролей. Изучив свойства txt-файла со списком логинов и паролей, можно увидеть, что он был создан 5 ноября 2014 г. Публикатор базы паролей «Яндекса», Mail.ru и «Рамблера» объяснил ее выкладку гуманистическими соображениями: по его словам, список пар логин-пароль опубликован «с целью проверки, не скомпрометирован ли пароль от Вашей почты». Как пояснила вице-президент Mail.Ru Group Анна Артамонова, анализ части базы, относящейся к Mail.ru, показал, что она, вероятнее всего, составлена из разных фрагментов. Наряду с адресами настоящих пользователей в ней присутствуют адреса, зарегистрированные специально для рассылки спама. Причиной утечек у реальных адресов Анна Артамонова назвала «фишинг и вирусы». По ее словам, подавляющая часть аккаунтов из базы уже находится в заблокированном состоянии пароля. Не заблокированы и при этом валидны менее 0,2% аккаунтов учетных записей. Пресс-служба «Яндекса» заявила, что верные пары логин-пароль имелись всего у 200 учетных записей «Яндекса» из базы. Представители поисковика заверили издание, что им уже известно о компрометации этих аккаунтов: их владельцы при попытке авторизоваться видят предупреждение о необходимости сменить пароль. По мнению поисковика, данные, содержащиеся в базе были украдены у пользователей в результате заражения их компьютера и передачи многих персональных данных с него злоумышленникам. По заявлению управляющего директора «Рамблера» Дмитрия Кочнева, 98,8% аккаунтов, представленных в базе данных, уже известны из ранее опубликованных баз спамеров: «Адреса, использовавшиеся для спама, давно заблокированы, а пароли настоящих пользователей были своевременно сменены пользователями». Оставшиеся 1,2% пользователей получат предупреждение о необходимости сменить пароль при следующем входе.

Исследователи нашли разработчика вируса Hesperbot

Злоумышленником оказался 23-летний житель Украины.
Вирус Hesperbot впервые был обнаружен в Турции в 2013 году. Это многофункциональный пакет инструментов, которые могут быть использованы низкоквалифицированными хакерами для компрометации даже тех банковских счетов, которые используют технологии двухфакторной аутентификации.
В настоящий момент наибольшее количество жертв вредоносной программы зафиксировано среди клиентов банков Германии, Франции, Великобритании, Австралии, Чехии, Португалии, передает издание Network World.
«Готов поспорить, что эта угроза только начала свое распространение», - заявил исследователь безопасности Питер Крузе (Peter Kruse) из CSIS Security Group, специализирующей на проведении глубокого анализа кибер-преступлений в финансовом секторе.
О своих размышлениях Крузе поделился с широкой общественностью в ходе выступления на конференции Association of Antivirus Asia Researchers, состоявшейся недавно в Сиднее. Среди прочего исследователь продемонстрировал участникам мероприятия фотографию создателя Hesperbot, однако запретил распространять ее в СМИ, поскольку в настоящий момент эти данные имеют большое значение для расследования, которое сейчас проводит Интерпол.
Исследователь отметил, что заполучить фото разработчика удалось благодаря инциденту безопасности, в ходе которого произошел взлом и утечка базы данных одного из подпольных форумов с парольной защитой публикаций. Web-ресурс использовался хакерами для торговли вредоносным ПО. Злоумышленником оказался 23-летний житель Украины.
Известно также, что инфраструктура Hesperbot размещена на одном из украинских хостинг-сервисов, который уже был замечен ранее при расследовании инцидентов, связанных с ботнетами ZeroAccess, Andromeda и Gameover Zeus.

Неизвестные злоумышленники скомпрометировали данные 2,7 млн клиентов банка HSBC Turkey

Служба безопасности финансовой организации оперативно выявила брешь в платежной системе.
Банк HSBC Turkey сообщил об утечке платежных данных 2,7 млн клиентов, однако заменять похищенные кредитные карты не планирует, так как похищенной информации недостаточно для совершения мошеннических платежей.
В результате взлома, который затронул только отделения банка HSBC в Турции, в руках злоумышленников оказались номера и даты окончания срока действия кредитных карт, имена владельцев и номера телефонов, ассоциированных со счетами в HSBC Turkey.
Как заявило руководство финансовой организации, брешь была выявлена собственной службой безопасности банка на минувшей неделе. Эксперт Rapid7 Трей Форд (Trey Ford) отметил изданию The Register оперативность местных ИБ-специалистов, подчеркнув, что такие инциденты обычно месяцами остаются незамеченными и обнаруживаются третьими лицами.
HSBC Turkey проинформировал соответствующие ведомства о происшествии. В настоящее время ведется расследование, однако клиенты банка могут пользоваться своими счетами в обычном режиме. Организация уверяет, что у злоумышленников нет ни малейшего шанса использовать поддельные карты для платежей через банкоматы, а также совершать мошеннические транзакции через интернет или мобильные устройства. Для операций с использованием кредитных карт понадобится дополнительная информация, которая будет зашифрована на магнитной полосе, а для транзакций мобильного банкинга потребуется код безопасности (CVC or CVV2).
Несмотря на то, что похищенных данных недостаточно для мошеннических транзакций, существует реальная опасность их использования для организации фишинга.

Хакеры из группировки Flea нацелены на участников съезда стран G20

Киберпреступники попытаются похитить конфиденциальную информацию у должностных лиц с помощью нацеленного фишинга.
Компания Symantec предупреждает, что очередной съезд стран G20, который в этом году пройдет в Брисбейне, Австралия, станет поводом для активизации киберпреступной группировки Flea. Как сообщают специалисты компании в блоге Symantec Security Response, хакеры попытаются похитить конфиденциальную информацию участников саммита с помощью нацеленного фишинга.
Группировка Flea действует с 2010 года. Первым зарегистрированным случаем их активности стал тогдашний саммит G20 в Корее, когда хакеры разослали участникам съезда зараженные трояном Infostealer.Hoardy документы. Вредонос обладает функциональностью бэкдора, способен передавать файлы с зараженного ПК, а также выполнять команды, полученные с C&C-сервера. Киберпреступники до сих пор используют эту версию трояна для инфицирования устройств жертв.
Задача киберпреступников - похитить конфиденциальную информацию участников саммита. Для этого они прибегают к технологии целевого фишинга. На электронную почту жертв приходит письмо с вредоносными вложениями. Темы сообщений разнятся от ядерной политики, Олимпиады и крупных политических событий до приема на работу. Как только вредоносное ПО попадает на компьютер жертвы, оно находит содержащуюся на нем конфиденциальную информацию и пересылает на серверы злоумышленников.
Преступники проявили активность за несколько недель до начала саммита, рассылая жертвам несколько видов сообщений с вредоносными вложениями. Одно из таких писем называлось "В чем смысл саммита G20 в Австралии?" и содержало документ MS Word, пытающийся проэксплуатировать одну из уязвимостей в ActiveX, обнаруженную еще в 2012 году.

BlackBerry и Samsung объединятся для лучшей защиты данных

BlackBerry Enterprise Services 12 будет использована для реализации шифрования из конца в конец для платформы Knox.

Вчера, 13 ноября, стало известно о предстоящем сотрудничестве BlackBerry и Samsung, пишет CNet. Главным предназначением партнерства станет обеспечение лучшей защиты данных. В частности, речь идет о шифровании информации платформы Knox южнокорейского производителя при помощи новинки BlackBerry Enterprise Services 12.
Главным преимуществом последней является то, что технология платформы BlackBerry позволяет реализовать шифрование из конца в конец.
Многие считают, что партнерство двух технологических компаний весьма странное явление, поскольку они составляют друг другу конкуренцию, и BlackBerry попросту невыгодно улучшать продукцию Samsung. Тем не менее, смысл в сотрудничестве и вправду есть – канадский производитель в последнее время все больше утверждается на рынке средств защиты корпоративных данных.
Samsung, в свою очередь, «берет» аппаратным обеспечением, а также стараниями объединить персональные и рабочие устройства. Так, Knox позиционируется как платформа для комфортного перехода с домашнего использования девайсов на корпоративное. При этом по утверждениям техногиганта, вся информация остается защищенной.
Учитывая тот факт, что южнокорейский производитель не слишком известен своим шифровальным ПО, для продвижения собственного продукта ему потребуется BlackBerry Enterprise Services 12.

Активист Anonymous использовал кличку своего кота в качестве пароля

Человек, благодаря которому данные о клиентах Stratfor и корпоративная переписка членов компании оказались в открытом доступе, не соблюдал элементарные меры безопасности.
Примерно год назад в Google Apps провели исследование, в рамках которого 2 тысячи людей были опрошены относительно их паролей. Оказалось, в список наиболее часто используемых паролей входят клички их домашних любимцев. Об этом сообщается в блоге Sophos Naked Security.
Каким образом эта история относится к Джереми Хаммонду – активисту Anonymous, отбывающему свой 10-летний тюремный срок за взлом компании Stratfor? Как оказалось, талантливый киберпреступник использовал пароль Chewy123, где Chewy – имя его кота.
Напомним, что активист похитил более 60 тысяч адресов, данных кредитных карт и имен клиентов компании Stratfor, которые потом были размещены в сети. Как оказалось, Stratfor обслуживала морскую пехоту США и Time Warner Cable. Помимо этого, члены Anonymous похитили корпоративную переписку (более 5 млн сообщений) и передали ее в WikiLeaks. Более того, с кредитных карт пострадавших были перечислены более $700 тысяч в качестве пожертвований. Позже генеральный директор Stratfor Джордж Фридман признал, что файлы с платежной информацией клиентов даже не шифровались.

Mastercard и Visa лишат своих клиентов парольной защиты в пользу биометрической аутентификации

Международные компании уверены, что необходимость запоминать пароль доступа создает чрезмерно много трудностей.
Mastercard и Visa отменяют парольную аутентификацию в рамках программы по улучшению работы своей системы безопасности 3-D Secure. Ранее технология неоднократно подвергалась критике исследователей безопасности и клиентов этих компаний, передает The Register.
Начиная со следующего года, процесс подтверждения личности пользователя по-прежнему будет многофакторным, однако для этого больше не нужно будет вводить пароль. Именно это будет основной особенностью системы 3D Secure 2.0, с помощью которой пользователи смогут совершать покупки в режиме онлайн более безопасно.
«Все мы хотим, чтобы осуществлять платежи было максимально безопасно и как можно более просто», - пояснил представитель MasterCard Аджай Бхалла (Ajay Bhalla) отметив, что в большинстве случаев эти качества являются взаимоисключающими.
По его словам, в новой версии 3-D Secure пользователей избавят от необходимости помнить дополнительный пароль от своей учетной записи и заменят его на технологию подтверждения личности на основе биометрических данных.

Чилийские хакеры обошли защиту NFC-проездных

Чилийским хакерам удалось обойти защиту системы электронных платежей "Tarjeta BIP!", которая позволяет пользователям в Чили оплачивать общественный транспорт при помощи NFC-модуля смартфона или специальной транспортной карты. Хакерам удалось разработать мобильное приложение для бесплатного пополнения транспортных карт и модификации других служебных данных. 16 октября появилось первое публичное приложение для Android, позволяющее пользователям пополнять эти транспортные карты на 10000 чилийских песо (17 долларам США). Сразу после появления приложения в интернете, множество пользователей скачало его, проверило на практике и убедилось в его работе. Всё, что для этого нужно – установить приложение (PuntoBIP.apk) на Android-устройство, поддерживающее NFC, поднести транспортную карту к телефону и нажать кнопку "Cargar 10k", что означает "пополнить карту на 10000 [чилийских песо]". Судя по метаданным, содержащимся в DEX-файле, он был скомпилирован 16 октября 2014 г. Его размер 884.5 kB (884491байт). Встроенная функция прямо взаимодействует с NFC-портом: "android.hardware.nfc". У приложения есть четыре основные функции: "número BIP" – получить номер карты, "saldo BIP" – узнать баланс на карте, "Data carga" – пополнить баланс и, пожалуй, самое интересное – "cambiar número BIP" – изменить номер карты. Согласно некоторым источникам, власти Чили планировали блокировать BIP-карты, пополненные незаконным образом. Но, возможность сменить номер карты при помощи приложения делает блокировку полностью бессмысленной. Первоначальные ссылки для скачивания приложения уже заблокированы, однако появились новые ссылки, ведущие на новые сервера. Оказалось, что к скачиванию с них предлагается, по сути, новое приложение (PuntoBIP-Reloaded.apk). Это видоизмененная версия предыдущего приложения, скомпилированная 17 октября 2014. Размером она гораздо больше – 2.7 MB (2711229 байт). Версия включает в себя рекламный модуль, который демонстрирует рекламу через сеть DoubleClick. Поскольку оба приложения позволяют пользователям взламывать легитимное приложение, "Лаборатория Касперского" уже добавила их в свои базы вредоносного ПО, которое детектируется как HEUR:HackTool.AndroidOS.Stip.a. Антивирусные эксперты рекомендуют использовать свой продукт для определения настоящих приложений, поскольку повышенный интерес к этому приложению может вызвать появление подделок, представляющих реальную угрозу для персональных данных и мобильного устройства в целом.

Веб-сайт Facebook появился в защищенной сети Tor

Крупнейшая в мире социальная сеть Facebook разрешила доступ к своим сервисам через защищенную сеть Tor. Об этом сообщается в официальном блоге Facebook. Tor обеспечивает анонимное сетевое соединение, исключающее перехват данных и идентификацию пользователей посторонними. Анонимность трафика достигается за счет распределенной сети серверов. Каждый запрос пользователя проходит через три случайных сервера, за счет чего исключается возможность связать его личность с сайтом, который он посещает, либо контентом, который он отправляет и получает. Пользователи защищенного браузера Onion — ключевой разработки проекта Tor — смогут заходить в Facebook по ссылке "https://facebookcorewwwi.onion". По словам разработчика Facebook Алека Маффета, пользователи Tor будут напрямую взаимодействовать с серверами соцсети, минуя локальные буферы. «Адрес Facebook для браузера Onion позволяет работать с соцсетью через Tor, не теряя криптографической защиты, которую обеспечивает Tor. Для нас важно предоставлять людям инструменты для безопасного использования нашего сайта», — отметил Маффет. Пользователи и ранее могли использовать Tor для захода на Facebook.com, однако при этом они сталкивались с рядом проблем. Одной из наиболее типичных был запрет на доступ к аккаунту из-за переадресации трафика на сервера в разных странах мира — Facebook воспринимал вход в аккаунт через такое соединение как попытку взлома. Однако теперь пользователи могут спокойно регистрироваться на Facebook и входить в свой аккаунт при подключении через Tor. По замыслу разработчиков, возможность использовать Facebook через Tor затруднит для хакеров, кибер-шпионов или представителей власти как выяснение самого факта использования соцсети, так и перехват загружаемых или скачиваемых данных.