Собрали для вас «классические» и нетривиальные ИБ-инциденты прошедшего месяца – в июле отметились и смелая пенсионерка, обманувшая мошенника, и сотрудники Facebook, заигравшиеся в шпионов, и упорно отрицающий утечки LinkedIn. Ну и очередной шифровальщик, куда же без него.
Во имя любви
Что случилось: В Facebook бренд одежды Guess.
Как это произошло: Клиенты получили от бренда уведомления о взломе, который произошел еще в феврале. Дыру в безопасности обнаружили приглашенные для аудита киберспецы – оказалось, что неизвестные имели доступ к системам компании. Точное количество похищенных данных не раскрывается, но еще в апреле группировка DarkSide утверждала, что похитила 200 Гб файлов из сети компании.
По информации из прокуратуры, в ходе атаки мошенникам получили доступ к сведениям о 1300 пользователях, в том числе к номерам банковских карт вместе с кодами безопасности, паролями и PIN. Guess собрал адреса всех пострадавших клиентов после тщательной проверки документов, хранившихся во взломанных системах. Жертвам киберпреступников предложили год бесплатного кредитного мониторинга.
Атака на водопое
Что случилось: На официальном сайте правительства Казахстана документы, заражающие вредоносом Razy.
Как это произошло: Файлы были доступны через портал eGov.kz – что-то вроде российских Госуслуг, где можно подавать декларации и взаимодействовать с госорганами. В том числе там располагаются официальные документы: постановления и приказы госведомств, на которые опирается бизнес. Как минимум два вредоносных документа были как раз из таких и размещались в юридических и бюджетных разделах сайта. Через них и реализовывались так называемые атаки на водопое – когда вредонос маскируется под полезный контент и жертва самостоятельно его устанавливает.
При попытке открыть документы вместе с ними запускается EXE-файл, который затем в скрытом режиме вычитывает пароли из браузеров, перехватывает контроль за буфером обмена и подменяет адреса криптовалютных кошельков, если пользователи вдруг к ним обращаются.
Неизвестно, пострадали ли реальные пользователи из-за вредоноса на eGov.kz, но файлы «с начинкой» были доступны там как минимум пять месяцев.
Вероятно, они попали на портал случайно. Специалисты считают, что Razy где-то подхватили госслужащие, работающие с сайтом, троян размножился, заразив случайные документы на их ПК и в их числе был загружен в сеть. Впрочем, другие ИБ-эксперты подозревают: атаки были нацелены на конкретные организации, которым могли потребоваться документы – уж очень специфическими были зараженные файлы.
Сиеста под арестом
Что случилось: В госорганах Италии другая проблема: местная Фингвардия 28 работников мэрии Палермо в ложном свидетельстве о присутствии на работе. Они очень, очень плохо конспирировали прогулы – и теперь под следствием по статье о мошенничестве против государства.
Как это произошло: Недобросовестные сотрудники по утрам отмечались пропусками в СКУД, а затем отправлялись заниматься личными делами: кто на шопинг, кто на спорт. Фингвардейцы обнаружили подлог по камерам наблюдения. Вскрылись потрясающе наглые проступки: один чиновник забегал отметиться на работе во время утренней пробежки, другой в плавках «пробивал» пропуск, а затем садился на скутер и ехал на пляж. Некоторые сотрудники даже не удосуживались самостоятельно отметить карточку и просили коллег сделать это за них.
В итоге восьмерых «прогульщиков» поместили под домашний арест, 14 – под подписку о невыезде. Еще шесть человек теперь обязаны отмечаться в полиции. А рассказал бы кто мэрии про тайм-трекеры…
Бабки вперед! (с)
Что случилось: Пенсионерка из Челябинска у телефонного мошенника.
Как это произошло: Пенсионерку побеспокоил «работник» службы безопасности банка и любезно сообщил ей о попытке незаконного снятия денег с ее карты. Женщина решила ему подыграть и сказала, что на ее счете лежит 8 млн рублей. Она сообщила мошеннику, что очень заинтересована в помощи, но вот-вот на телефоне закончатся деньги и звонок сорвется.
Мошенник не был готов проститься с потенциальным миллионным кушем. Поэтому без раздумий закинул женщине 500 рублей на телефон и тут же перезвонил. А челябинская пенсионерка, не ожидавшая такой щедрости со стороны «работника» банка, решила пойти на крайние меры и прикинуться «склеротичкой». Сославшись на плохую память и возраст, она сообщила «безопаснику», что на самом деле на ее карте всего 50 рублей. Такого поворота мошенник точно не ожидал, поэтому, как полагается, выругался и гордо бросил трубку.
Коины на ветер
Что случилось: 93 тысячи человек мошенникам за фальшивые приложения для майнинга.
Как это произошло: Специалисты из Lookout Threat Lab обнаружили более 170 фейковых приложений, 25 из которых были доступны в официальном Google Play Store. Такие приложения рекламируют себя как платные платформы для облачного майнинга криптовалюты.
Специалисты проанализировали приложения и пришли к выводу, что криптомайнинга в них не осуществляется – они не делали вообще ничего. И поэтому так долго оставались незамеченными, ведь «ничего» означает и «ничего незаконного». Они были просто оболочками, созданными, чтобы привлекать увлеченных криптовалютой.
Мошенники обманули более 93 тыс. человек, совокупно пользователи заплатили им не меньше 350 тыс. долларов за скачивание самих приложений, поддельные обновления и дополнительные псевдоуслуги. Google незамедлительно удалил эти приложения из Google Play, но фейки по-прежнему доступны в неофициальных маркетах.
Всевидящее око
Что случилось: Главный «пробивщик» рунета – создатель «Глаза Бога» Telegram в сливе данных.
Как это произошло: В начале июля Telegram по решению суда заблокировал канал и чаты «Глаза Бога» – сервиса, занимающегося сбором и сливом чужих личных данных под заказ. С «пробивщиками» судился Роскомнадзор, обвиняя их в нарушении прав граждан на личную и семейную тайну.
Создатель сервиса Евгений Антипов с решением не согласен и пытается добиться разблокировки, причем в ход идет шантаж. Он угрожает раскрыть компромат на Telegram, который его начисто уничтожит: факты коррупции, наплевательства к пользователям и главное – сливов пользовательских данных «всем подряд», несмотря на заверения в безопасности. Антипов утверждает, что уже давно располагает всеми доказательствами, но медлит с их публикацией, потому что сначала хочет создать собственный мессенджер с блэкджеком и.., куда планирует переманить аудиторию Telegram.
Впрочем, пока и угрозы, и сама блокировка выглядят демонстративными. Хотя бы потому, что в Telegram по-прежнему доступны около 575 тыс. клонов бота «Глаз Бога», и создать их может любой пользователь. Да и одним «Глазом» рынок пробива, увы, не ограничивается.
ИБ-совет месяца: А не «пробивают» ли ваши сотрудники бывшего босса или новую пассию, пользуясь служебным доступом к данным? DAM-системы контролируют активность в базах данных и сообщат обо всех подозрительных запросах и выгрузках пользователей из БД. Получите комплексный мониторинг происходящего в корпоративных базах – в первые 30 дней доступ
