В России набирает обороты новый вид телефонного спама: злоумышленники вынуждают абонентов перезванивать по неизвестным номерам и получать рекламные сообщения.

О мошеннической схеме сообщает газета «Известия», ссылаясь на информацию, полученную от аналитической компании Telecom Daily. Суть уловки сводится к следующему. Злоумышленники программируют автоматическую систему для набора телефонных номеров. Причём после установления успешного соединения вызов обрывается после первого звонка.

Таким образом, у абонентов на смартфоне или телефоне появляется пропущенный вызов с незнакомого номера. Если пользователь рискнёт перезвонить по такому номеру, он соединится с автоматизированной системой, которая воспроизведёт то или иное рекламное сообщение.

Исследование показало, что с подобным видом телефонного спама уже столкнулись 65 % опрошенных. Более того, за последние полгода количество таких рекламных сообщений в нашей стране выросло на 50 %.

Эксперты говорят, что действующее в России законодательство не запрещает подобную схему. Пользователи добровольно перезванивают по незнакомому номеру, попадая на автоматизированную систему. Зачастую подобная схема служит для рекламы различных услуг — юридических, медицинских и пр. 

Компания Positive Technologies сообщает о том, что количество логических атак на банкоматы с применением вредоносного программного обеспечения в Европе в 2016 году выросло на 287 % по сравнению с предыдущим годом.

Обнародованные данные были получены в ходе исследования зловреда GreenDispenser. Об этом трояне впервые стало известно в 2015 году после атак на банкоматы в Мексике. Затем кражи с применением данной программы были зафиксированы в странах Восточной Европы.

Расследование показало, что злоумышленники получали доступ в сервисную зону банкомата для установки GreenDispenser. После этого преступники при помощи трояна снимали с банкомата деньги. GreenDispenser рассчитан только на выдачу денег, а не на кражу данных банковских карт, поэтому, чтобы обычные держатели карт не сняли деньги до прихода мошенника, на экране отображалось сообщение о том, что банкомат временно не работает. Ущерб от деятельности GreenDispenser в 2015–2016 годах составил как минимум 180 тысяч долларов США.

Эксперты отмечают, что ущерб только от одной логической атаки на банкомат в Европе в среднем составляет 8434 долларов. В нынешнем году, по прогнозам специалистов, количество атак на банкоматы и собственно банки вырастет на 30 %.

«Из-за сходства устройства банкоматов злоумышленники могут использовать одно и то же вредоносное ПО для атак на банкоматы по всему миру. В последнее время мы наблюдаем уже нескрываемый интерес у участников киберпреступных форумов к теме ATM, в том числе к технологиям, используемым в разработке троянов. В связи с этим мы прогнозируем всплеск разработок новых вредоносных программ для атак на банкоматы и инфраструктуру управления банкоматами», — сообщает Positive Technologies. 

Власти Великобритании опубликовали в минувшее воскресенье новые директивные указания под названием «Основные принципы кибербезопасности транспортного средства для подключённых и автоматизированных транспортных средств», требующие от автопроизводителей усилить киберзащиту подключённых к Интернету транспортных средств, чтобы те были лучше защищены от хакерских атак.

Motor-Talk

Правительство выразило обеспокоенность тем, что интеллектуальные транспортные средства, обеспечивающие водителей различной необходимой информацией в ходе поездки, включая данные о местонахождении, могут стать целью для хакеров, стремящихся получить доступ к персональным данным или захватить контроль над технологией с преступными намерениями, или же похитить автомобиль с системой без ключа.

Также правительство заявило, что новые директивы гарантируют, что при создании новых транспортных средств специалисты будут разрабатывать усиленные меры по противодействию угрозам кибербезопасности.

Мартин Калланан (Martin Callanan), министр авиации Великобритании, подчеркнул важность защищённости подключённых транспортных средств от кибератак. «В нашем новом руководстве указано, что необходимо выполнить организациям, начиная с совета директоров и вниз по вертикали, а также даны рекомендации по техническому проектированию и развитию», — отметил Калланан.

Также было заявлено, что правительство планирует ввести новое законодательство, регулирующее страхование самоуправляемых автомобилей.

Хакерская группировка Cobalt, год назад атаковавшая банкоматы на Тайване и в Таиланде, существенно расширила сферу деятельности. Об этом сообщает РБК, ссылаясь на данные Positive Technologies.

Отмечается, что в течение первой половины нынешнего года злоумышленники атаковали более 250 компаний и организаций в 12 странах мира. Нападения, в частности, зафиксированы в СНГ, странах Восточной Европы и Юго-Восточной Азии, в Северной Америке, Западной Европе и Южной Америке.

Схема атаки сводится к рассылке фишинговых электронных писем с вредоносными вложениями. Злоумышленники атакуют банки, биржи, страховые компании, инвестиционные фонды и другие организации. Причём, прежде чем совершить нападение, группировка Cobalt предварительно взламывает инфраструктуру партнёров жертв — четверть всех атак приходится на госорганизации, промышленные и телекоммуникационные компании, а также на предприятия из сферы медицины.

Такой подход позволяет киберпреступникам рассылать фишинговые сообщения от имени официальных структур или партнёров атакуемых компаний. В результате, существенно повышаются шансы на успех атаки.

Группировка массово отправляет вредоносные письма с поддельных доменов, имитирующие сообщения от Visa, MasterCard, центра реагирования на кибератаки в финансовой сфере Центрального банка России (FinCERT) и пр. Количество получателей таких сообщений исчисляется тысячами.

По имеющимся данным, группировка Cobalt имеет российские корни. В «Лаборатории Касперского» полагают, что участники Cobalt — это выходцы из другой опасной группировки, Carbanak, первые атаки которой были зафиксированы ещё в 2013 году.

В первом полугодии 2017 г. киберпреступникам удалось похитить с банковских карт россиян значительно меньше средств, чем годом ранее. «Если говорить о физлицах, к середине этого года уровень потерь составляет порядка 30 % от уровня прошлого года. В прошлом году с карт было похищено чуть более 1 млрд рублей», — сообщил в интервью «Известиям» заместитель начальника главного управления безопасности и защиты информации ЦБ РФ Артём Сычев (на фото).

Пресс-служба Банка России

По его словам, значительно сократить объём краж с банковских карт позволили меры ЦБ с точки зрения ужесточения требований к обеспечению безопасности переводов денежных средств, существенные изменения в подходе правоохранительных органов в борьбе с киберпреступностью, а также информационный обмен, организуемый ФинЦЕРТ (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, созданный при ЦБ), число участников которого насчитывает 460, из них 383 банка. 

Значительную роль в повышении защищённости банковских карт играют новые технологии. Например, чтобы мошенники не смогли воспользоваться похищенными данными карты, применяется токенизация, позволяющая защитить электронные платежи с помощью систем шифрования данных.

Принятые меры позволили также значительно уменьшить объём потерь из-за киберпреступности в банковской сфере. Кибермошенникам в первом полугодии удалось взломать лишь одну кредитную организацию.

«Лаборатория Касперского» обнаружила новую сеть «зомбированных» компьютеров, которая позволяет злоумышленникам зарабатывать деньги за счёт накрутки фальшивых просмотров рекламных страниц и баннеров в Интернете.

В основе работы ботнета лежит троян Magala, распространяющийся через инфицированные веб-сайты. Попав на компьютер, зловред проверяет установленную версию Internet Explorer: если она ниже восьмой, программа игнорирует устройство и не активируется. Если же нужный браузер найден, троян загружается, запускает скрытый рабочий стол, на котором впоследствии будут проводиться все операции, устанавливает необходимое рекламное ПО и сообщает командно-контрольным серверам о своей готовности к работе.

Magala имитирует клики пользователя на заданных веб-страницах. Жертвами киберпреступников становятся прежде всего компании малого бизнеса, решившие разместить рекламу через неблагонадёжных рекламодателей.

В процессе работы Magala получает от командных серверов список поисковых запросов, для выдачи которых необходимо поднять количество кликов. Далее программа начинает последовательно вводить указанные запросы и переходить по первым 10 ссылкам в каждой выдаче с интервалом в 10 секунд.

По оценкам «Лаборатории Касперского», в идеальной ситуации злоумышленники могут получить до 350 долларов США с каждого заражённого компьютера в составе ботнета. Впрочем, на практике сумма, скорее всего, окажется значительно меньше. Тем не менее, доходы киберпреступников исчисляются тысячами долларов. 

«Доктор Веб» предупреждает о том, что в прошивках ряда доступных на рынке мобильных устройств присутствует довольно опасная вредоносная программа, способная инфицировать процессы приложений.

Зловред получил обозначение Android.Triada.231. Трояны этого семейства внедряются в системный процесс компонента Android под названием Zygote, который отвечает за старт программ на мобильных устройствах. Благодаря этому зловреды проникают в процессы всех работающих приложений, получают их полномочия и функционируют с ними как единое целое.

Android.Triada.231 встроен в системную библиотеку libandroid_runtime.so. Причём, как отмечает «Доктор Веб», внедрение произведено на уровне исходного кода. Иными словами, к заражению причастны инсайдеры или недобросовестные партнёры, которые участвовали в создании прошивок заражённых мобильных устройств.

Зловред получает управление каждый раз, когда любое приложение на устройстве выполняет запись в системный журнал. Главной задачей трояна является незаметная загрузка и запуск других вредоносных модулей. Это могут быть, скажем, плагины для кражи конфиденциальной информации из банковских приложений, модули для кибершпионажа и перехвата переписки из клиентов социальных сетей и интернет-мессенджеров и т. п.

Ситуация усугубляется тем, что удалить вредоносную программу стандартными методами невозможно, поскольку она интегрирована в одну из библиотек операционной системы и расположена в системном разделе. Поэтому требуется установка заведомо безопасной прошивки.

Подробнее о проблеме можно узнать здесь. 

Компания ESET обнаружила рекламный ботнет Stantinko, в результате работы которого были инфицированы сотни тысяч компьютеров. Причём основная часть жертв находится в России.

Эксперты отмечают, что Stantinko — это весьма сложная киберугроза. Разработчики программы реализовали шифрование кода и комплексные механизмы самозащиты. Это позволило операторам Stantinko оставаться незамеченными на протяжении пяти лет: выяснилось, что ботнет действовал как минимум с 2012 года.

Stantinko специализируется на рекламном мошенничестве, а главной целью является финансовая выгода. Авторы программы предлагают услуги на доходном рынке компьютерных преступлений — обеспечивают ложные переходы по рекламным ссылкам.

Для заражения системы операторы Stantinko маскируют под пиратское ПО загрузчик семейства FileTour. Он устанавливает несколько программ, отвлекая внимание пользователя от загрузки компонентов Stantinko в фоновом режиме. Далее зловред устанавливает два расширения браузера, которые предназначены для несанкционированного показа рекламы.

ESET подчёркивает, что Stantinko позволяет операторам выполнять в заражённой системе широкий спектр других действий. Это может быть взлом панелей управления сайтов путём перебора паролей (для последующей перепродажи), мошенничество на Facebook и кража данных.

На сегодняшний день инфицировано около полумиллиона компьютеров. Из них около 46 % находятся в России. На Украину пришлось 33 % заражений. 

«Доктор Веб» предупреждает о появлении опасной вредоносной программы, атакующей владельцев мобильных устройств на базе операционных систем семейства Android.

Зловред Android.BankBot.211.origin — это банковский троян, угрожающий пользователям десятков стран по всему миру. Программа распространяется под видом безобидных приложений, например, проигрывателя Adobe Flash Player. После проникновения на устройство жертвы зловред пытается получить доступ к специальным возможностям (Accessibility Service). Для этого троян показывает окно с запросом, которое при каждом его закрытии появляется вновь и не даёт работать с устройством.

Режим специальных возможностей упрощает работу со смартфонами и планшетами на базе Android. Он применяется в том числе для помощи пользователям с ограниченными возможностями: этот режим позволяет программам самостоятельно нажимать на различные элементы интерфейса, такие как кнопки в диалоговых окнах и системных меню.

В случае Android.BankBot.211.origin режим специальных возможностей эксплуатируется для выполнения вредоносных действий. Так, троян добавляет себя в список администраторов устройства, устанавливает менеджером сообщений по умолчанию и получает доступ к функциям захвата изображения с экрана.

Зловред крадёт конфиденциальную информацию клиентов кредитно-финансовых организаций. Так, троян способен показывать поддельные формы ввода логина и пароля поверх запускаемых банковских программ, а также отображать фишинговое окно настроек платёжного сервиса с запросом ввода информации. Свои действия вредоносная программа согласует с управляющим сервером. 

Компания ESET предупреждает о новой кибератаке: на этот раз жертвами  злоумышленников становятся пользователи продуктов Apple.

Мошенники собирают данные банковских карт и другую личную информацию, рассылая письма о несуществующей покупке в iTunes Store.

Схема выглядит следующим образом. Пользователю приходит сообщение от лица онлайн-магазина: в нем говорится, что Apple ID использовался на неизвестном устройстве для покупки альбома Рианны. Пользователю предлагают игнорировать сообщение, подтвердив тем самым покупку, или отменить транзакцию, перейдя по ссылке.

На фишинговом сайте злоумышленники просят ввести Apple ID и пароль. После этого жертве предлагается заполнить анкету «для подтверждения личности». Мошенники запрашивают исчерпывающие данные: имя, фамилию, почтовый адрес, телефон, дату рождения, а также данные банковских карт.

Разумеется, впоследствии все эти сведения будут задействованы киберпреступниками в других атаках, направленных на хищение средств.

Добавим, что распознать спам можно по грамматическим ошибкам. При этом адрес отправителя, само собой, не имеет отношения к Apple. 

Компания Group-IB предупреждает о распространении опасной вредоносной программы, жертвами которой становятся пользователи SMS-банкинга и мобильных банковских приложений.

Зловред атакует устройства под управлением операционной системы Android. Схема нападения выглядит следующим образом. Сначала потенциальной жертве приходит MMS-сообщение с предложением просмотреть некую фотографию. При попытке открыть изображение на устройство загружается собственно вредоносная программа: она запрашивает ряд разрешений, а также права администратора. После этого зловред заменяет стандартное приложение для работы с SMS.

Попадая на устройство, вредоносная программа рассылает себя пользователям из списка контактов. Таким образом, входящее сообщение для будущей жертвы выглядит так, будто его отправил знакомый, родственник или, скажем, коллега по работе.

Параллельно вредоносная программа делает запрос на номер SMS-банкинга жертвы, узнаёт баланс счёта и переводит деньги на счета, подконтрольные злоумышленникам. При этом происходит перехват входящих SMS-сообщений, в результате чего жертва не подозревает, что у неё снимают деньги, даже если подключена функция SMS-оповещений о списаниях.

Кроме того, зловред может фальсифицировать окна авторизации банковских приложений. Это позволяет злоумышленникам воровать данные банковских карт.

«Характерно, что антивирусные программы, установленные на телефонах жертв, ни на одном из этапов работы вируса не детектировали приложение как вредоносное. Антивирусы в этой ситуации просто не помогают», — говорят специалисты Group-IB. 

«Лаборатория Касперского» обнаружила новую вредоносную программу, атакующую российских пользователей мобильных устройств под управлением операционной системы Android.

Зловред получил название Xafekopy. Он способен незаметно подписывать жертв на платные сервисы. В частности, русскоязычная версия вредоносной программы умеет заходить на сайты операторов «большой четвёрки» и получать подтверждение подписки. Причём Xafekopy способен обходить проверку CAPTCHA. Кроме того, подтверждение подписки может осуществляться посредством SMS.

По данным «Лаборатории Касперского», троян создан группой китайскоговорящих злоумышленников. Вредоносная программа распространяется через рекламные сети под видом различных приложений. Более того, такие утилиты действительно могут выполнять определённые полезные функции, что усыпляет бдительность модераторов и администраторов магазинов приложений.

При этом Xafekopy нацелен главным образом на пользователей в Индии и России: за последний месяц на эти страны пришлось 61 % и 25 % всех атакованных.

Исследователи добавляют, что Xafekopy имеет некоторые сходства с вредоносной программой Ztorg. Возможно, создатели одного зловреда купили или украли файлы у авторов другого.  Кроме того, эксперты зафиксировали распространение зловреда Xafekopy через Ztorg.

Специалисты Group-IB, по сообщению RNS, зафиксировали новую фишинговую атаку, нацеленную на российских пользователей Интернета.

Злоумышленники рассылают потенциальным жертвам фальшивые сообщения о штрафах ГИБДД. Причём такие «письма счастья» замаскированы под уведомления от портала государственных услуг.

К сообщению прикреплена фотография автомобиля, совершающего нарушение правил дорожного движения. В шапке письма расположен логотип электронного правительства. Плюс к этому имеется отметка об отсутствии вирусов.

Сообщения действительно не содержат вредоносных вложений. Однако при нажатии на любой интерактивный раздел письма с гиперссылками происходит переход на фишинговый сайт.

Организаторы рассылки делают упор на то, что при оперативной оплате штрафа можно получить 50-процентную скидку. Главной же целью злоумышленников является сбор конфиденциальных данных, таких как информация о банковских картах.

«Бренд "госуслуги", с учётом его популярности, постоянно находится под пристальным вниманием злоумышленников. За последний год наша система Threat intelligence зафиксировала более 1 тыс. скомпрометированных учётных записей пользователей этого портала. Мы прогнозируем увеличение количества атак на пользователей госуслуг», — сообщил глава Group-IB Илья Сачков. 

Компания ESET зафиксировала новую фишинговую атаку: злоумышленники обманным путём пытаются завладеть данными банковских карт своих жертв.

Киберпреступники прикрываются популярным сервисом Uber. От имени этой всемирно известной компании рассылаются электронные письма, в которых предлагается получить крупную скидку на следующую поездку в такси. Нажав на баннер в сообщении, пользователь попадает на фишинговый сайт, внешне схожий с официальным ресурсом Uber. Любопытно, что в URL-адресе этой мошеннической страницы фигурирует слово «uber», что может сбить невнимательных посетителей с толку.

Пользователям, попавшим на фишинговый сайт, предлагается создать аккаунт Uber, чтобы скидка была автоматически учтена в следующей поездке. Кнопка «входа» перенаправляет жертву на поддельную страницу регистрации — там нужно ввести личные данные, включая имя, фамилию, номер мобильного телефона, а также номер, срок действия и CVV/CVC банковской карты. Разумеется, вся эта информация сразу же оказывается в руках злоумышленников. Получив запрашиваемые сведения, мошенники попросту перенаправляют пользователя на официальный сайт Uber.

Фишинговая атака началась 17 июня. На сегодняшний день на фальшивую страницу перешли десятки тысяч пользователей из разных стран. Те, кто оставил злоумышленникам данные банковской карты, рискуют лишиться своих средств. 

«Лаборатория Касперского» зафиксировала рост интенсивности фишинговых атак на промышленные компании со стороны нигерийских злоумышленников.

Центр реагирования на инциденты информационной безопасности промышленных инфраструктур (Kaspersky Lab ICS CERT) за три месяца идентифицировал более 500 атакованных предприятий в более чем 50 странах мира. Причём доля индустриальных компаний среди них превысила 80 %.

Схема нападения выглядит следующим образом. Потенциальной жертве отправляется составленное специальным образом письмо: злоумышленники прилагают максимум усилий для того, чтобы получатель счёл такое послание легитимным и открыл вложение. Разумеется, прикреплённый файл в данном случае содержит вредоносный код, который выполняет ту или иную последовательность действий.

Специалисты «Лаборатории Касперского» выяснили, что в ходе проведённых атак письма рассылались в том числе от имени компаний — контрагентов потенциальных жертв: поставщиков, заказчиков, коммерческих организаций и служб доставки. В них получателям предлагалось срочно проверить информацию по счёту, уточнить расценки на продукцию или получить груз по накладной. При этом во всех письмах содержались вредоносные вложения, предназначенные для кражи конфиденциальных данных, а также установки скрытых средств удалённого администрирования систем.

Оказалось, что основная часть доменов, используемых для командных серверов вредоносного ПО, была зарегистрирована на лиц, проживающих в Нигерии.

Результатом фишинговых атак на индустриальные компании могут быть не только финансовые потери последних. Киберпреступники получают возможность проникнуть в промышленную сеть, а это чревато самыми непредсказуемыми последствиями. Теоретически при этом может быть нарушена нормальная работа целых отраслей.