Дайджест ИБ. Обзор новостей от экспертов информационной безопасности. Выпуск 5

Дайджест ИБ. Обзор новостей от экспертов информационной безопасности. Выпуск 5
Instagram включает камеру во время просмотра ленты

bcf160942d147ba2613e8bf347fef83e.jpg


Владельцы смартфонов заметили, что зелёный индикатор работы камеры отображается даже тогда, когда не происходит съёмка фото или запись видео. Приложение Instagram пользуется доступом к камере смартфона даже тогда, когда пользователь просто просматривает ленту приложения. Представители Instagram утверждают, что суть проблемы заключается в ошибке программного обеспечения, и приложение на самом деле не имеет доступа к камере или микрофону смартфона.

На самом деле, каждый цифровой сервис, будь то социальная сеть или же приложение, выполняющее какие-нибудь специализированные функции (например, те же приложения для обработки фото или видео), собирает о нас больше информации, чем мы думаем. И это я еще не говорю о вредоносных приложениях.

Но есть две стороны медали. Благодаря большому количеству данных, собранных о Вас (например, отслеживание геолокации или скорость печати на клавиатуре), различные компании делают предложения своих товаров и услуг индивидуальнее. С другой стороны, возникает вопрос: не является ли это вторжением в частную жизнь? Тут решать каждому человеку самостоятельно и предпринимать соответствующие меры (для начала внимательно смотреть настройки того или иного приложения и читать принимаемые лицензионные соглашения перед началом использования).

Главное - не поднимать панику. Даже в этой статье нет конкретики по поводу данного инцидента. Практически у каждого человека в мире есть "цифровой след". А уже каким он будет – ярким или тусклым, – решать Вам, когда выкладываете новый пост :)

62c539828f961de92c7b2cacedf236dd.png

"Человеческие слабости" сотрудников стали причиной недавнего взлома Twitter

432b06e507c274aa0a85b098f83034fa.jpg

Компания Twitter предоставила новое объяснение недавнего масштабного взлома 130 страниц, принадлежащих знаменитостям. Небольшая группа сотрудников компании стала жертвой целенаправленной фишинговой атаки по телефону. Злоумышленники "провернули" сложную мошенническую схему. Доступ к нужным системам был не у всех сотрудников, поэтому злоумышленники сначала атаковали небольшую группу, а затем использовали их учетные данные для доступа к внутренним системам и информации о корпоративных процессах, и с помощью этих сведений атаковали сотрудников, у которых был доступ к нужным инструментам. Метод, с помощью которого атаковали злоумышленники, представители Twitter обозначили как "человеческие слабости". Не исключено, что под "человеческими слабостями" представители Twitter подразумевают подкуп.

Как бы не были сильны технические средства, которые используются для обеспечения безопасности, человеческий фактор остаётся наиболее крупной угрозой для любых информационных систем. Воздействуя на человеческие слабости, злоумышленник может получить данные, необходимые ему для осуществления атаки. Особенно печально, когда это происходит с крупными компаниями и медиагигантами, как в случае с Twitter. Казалось бы, в крупных компаниях осознают необходимость построения и совершенствования процессов информационной безопасности, однако подобные инциденты показывают, что всем нам есть, куда расти. Twitter уже усиливает безопасность рабочих процессов и инструментов, однако помимо технических методов следует обращать внимание и на психологические аспекты, повышая осведомлённость и лояльность своих сотрудников.

0b9ba44de7822b357f2cbe55683cacc5.png

Киберпреступники выставили на продажу номера паспортов россиян

5ee0b64931319f5a78e93a03252dbff0.jpg

Злоумышленники выставили на продажу на подпольных торговых площадках в даркнете номера и серии паспортов россиян, участвовавших в электронном голосовании по поправкам в Конституцию. База данных включает 1,1 млн строк, стоимость каждой из которых составляет $1,5. Начальник управления по совершенствованию территориального управления и развитию смарт-проектов правительства Москвы Артем Костырко в беседе с «Эхом Москвы» отрицал утечку данных, однако вскоре газета «КоммерсантЪ» получила от продавца txt-файл с паспортными данными избирателей, а основатель DeviceLock Ашот Оганесян подтвердил его подлинность.

Провокация? Нет, не думаю. Проект электронного голосования попросту был "сырым". И сделали его впопыхах. Если произошел такой инцидент, значит, так оно и было. Ведь под каждые выборы регуляторы разрабатывают и актуализируют требования к системе голосования, в том числе и в электронном виде. Более того, такие требования доводятся за полгода-год до ОГВ (органов государственной власти), включают в себя требования ФСТЭК России, ФСБ России, Минкомсвязи России, а также дополнительные требования к порядку обработки информации. Перед вводом в опытную эксплуатацию такие системы подвергаются проверкам со всех сторон... Сейчас же голосование за поправки в Конституцию РФ для всех стало неожиданностью, и подготовиться к этому мероприятию ОГВ просто не успели.

210fe457350cf362e771e26c8f853343.png

Мошенники используют Google Ads для осуществления фишинговых атак

a645930675345233bdda4b976e20fe14.jpg

Киберепреступники в рамках фишинговой кампании использовали рекламный сервис Google Ads для обхода шлюзов безопасности электронной почты (Secure Email Gateways, SEG), перенаправляя сотрудников целевых организаций на фишинговые страницы с целью похитить их учетные данные Microsoft Office 365. Предположительно, мошенники заплатили за рекламное объявление Google, а затем использовали его URL-адрес для перенаправления жертв на фишинговые страницы. Фишинговые страницы имитируют легитимные web-сайты авторизации в сервисе Microsoft Office 365.

Использование легитимных сервисов и служб для злоумышленников давно не является новой методологией. Так, например, можно вспомнить истории использования TeamViewer злоумышленниками для написания RAT (Remote Access Toolkit) или даже библиотеки антивирусов Avast. С уверенностью можно сказать, что абьюзинг различных сервисов и ПО для повышения доверия - тренд последних лет. Как бы разработчики средств кибербезопасности не стремились к решению проблем фишинга и социальной инженерии, повышение осведомленности пользователей в вопросах ИБ остается самым эффективным способом защиты.

e99bb68cd28dc1edbd9ac1c00bce4ade.png
До встречи в следующем выпуске!

Наш блог на Яндекс.Дзен
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

ООО «Акстел-Безопасность»

ГК Axxtel - команда экспертов в области информационной безопасности занимающая ведущие позиции в СФО. Мы следим за последними новинками и тенденциями в области информационной безопасности и создаем их. Всегда рады узнать новое и поделиться своим опытом.