Приложение iBanking атакует пользователей при помощи web-инъекций

Приложение iBanking атакует пользователей при помощи web-инъекций

Мобильное приложение iBanking, разработанное для устройств на базе Android, позиционируется его разработчиками как решение безопасности, однако на деле оно использует инъекции HTML с целью хищения финансовой информации пользователей. Об этом сообщают исследователи ESET.

Как следует из отчета экспертов, исходный код приложения был недавно опубликован в открытом доступе пользователями подпольных форумов, что дало возможность большому количеству злоумышленников распространять уже готовый вирус, замаскированный под легитимную программу.

Также сообщается, что изначально появившаяся iBanking после установки позволяет атакующим прослушивать разговоры жертвы, осуществлять подмену SMS, перенаправлять вызовы на произвольный номер, включать микрофон (и делать запись), а также похищать различную конфиденциальную информацию, в том числе из журнала вызовов и списка контактов.

Вместе с тем, основной задачей вредоносного приложения является осуществление web-инъекций при посещении жертвой банковских ресурсов. При использовании сервисов мобильного банкинга инфицированное устройство передает злоумышленникам информацию, необходимую для кражи средств.

Российские бизнесмены понесли убытки в 1 млрд. долларов от киберпреступлений

Российские бизнесмены понесли убытки в 1 млрд. долларов от киберпреступлений

Киберпреступность в России набирает обороты, заткнув за пояс наркодельцов по объемам доходов, полученных незаконным путем. В основном жертвами «сетевых бандитов» становятся все чаще представители малого и среднего предпринимательства. Нанесенный хакерами ущерб может оценен миллиардами долларов. При этом эксперты признают, что поймать интернет-мошенников практически невозможно, что уже говорить об их
привлечении к ответственности.

Говоря о тенденциях преступлений в области IT-технологий, специалисты отмечают, что в интернет-мошенничестве наступила новая эра, и современное российские общество еще не осознает всех масштабов киберпреступности, которая стала напоминать трехголовую гидру: хакеры имеют техническую возможность воровать, экономическую возможность обналичивать украденное и при этом остаются безнаказанными.

За минувший год специалисты ФСБ разоблачили группировку киберпреступников, состоявшую из четырех человек, что сразу же отразилось на данных статистики. Так, ущерб от «сетевых бандитов», нанесенный экономике страны, в 2011 оценивался в 2 млрд. долларов, а год спустя – в 1,9 млрд. долларов.

Расследование по данному делу еще ведется, однако, вынесенные на данный момент вердикты нельзя назвать строгими. Так, один из хакеров был наказан условно на пять лет за кражу 10 млрд. долларов у одного из крупнейших банков в Шотландии. По сравнению с тем, что одного молодого человека за кражу цветов с соседской клумбы местный суд наказал двумя годами колонии, то приговор по делу интернет-мошенника дает повод сделать вывод о том, что интернет-преступления можно совершать практически безнаказанно.

Специалисты установили, что в основном хакеры совершают атаки на счета компаний мелких и средних предпринимателей России. В 2011-2012 г. общая сумма ущерба от хакерских атак в онлайн-банкинге составила почти 1 млрд. долларов, и в 90% случаев пострадали счета юрлиц.

В минувшем году был зафиксирован первый случай хищения в системе дистанционного обслуживания двух крупнейших российских банков. На экране зараженного вирусом компьютера всплывало сообщение с просьбой ввести номер сотового телефона, якобы, в целях идентификации пользователя. Затем на мобильный телефон приходило sms со ссылкой на программу, замаскированную под обновление банковского приложения. Установленная таким образом вирусная программа перехватывала смс-соощения с мобильного телефона с кодами, подтверждающими денежные переводы. После того, как специалисты обнаружили и удалили вредоносные программы, подобных случаев интернет-мошенничества не было зарегестрировано. Однако, согласно данных, любой желающий по-прежнему может купить на черном рынке подобные программы для андроида, с помощью которых киберпреступники работают в десятке стран мира с рядом банков.

Кроме того, прошлый год был отмечен участившимися случаями заражения вирусными программами брокерских систем и платежных терминалов, причем вероятность хакерских атак в подобных случаях тем выше, чем большей пропускной способностью и возможностью осуществить электронный платеж обладает то или иное предприятие (ресторан, заправка, магазин).

Эксперты предупреждают, что поймать киберзлоумышленников крайне сложно, уже тем более не стоит рассчитывать на возврат украденного ими. Однако, в любом случае, при обнаружении хакерской атаки в компании следует обратиться к специалистам правоохранительных органов. Кроме того, в первую очередь необходимо проверить работников фирмы на добросовестность, ведь зачастую при их участии вредоносные программы проникают на компьютеры компаний.

В Сети появилась программа, позволяющая расшифровать 55-символьные пароли

В Сети появилась программа, позволяющая расшифровать 55-символьные пароли

В интернете в свободном доступе была размещена программа ocl-Hashcat-plus, которая может расшифровывать 55-символьные пароли. До сих пор ПО ocl-Hashcat-plus, способное использовать мощности графических карт для перебора и взлома паролей, была ограничена длиной пароля в 15 символов.

Программа использует несколько методов перебора символов в зависимости от хеш-функции, причем для некоторых алгоритмов длина пароля возрастает до 64 символов, тогда как для других — сокращается до 24 символов. По словам разработчиков, сейчас администраторы большого количества порталов призывают пользователей использовать более длинные и сложные пароли. Такое развитие событий заставляет авторов программ-взломщиков паролей совершенствовать свои разработки.

Дженс Штойбе (Jens Steube), главный разработчик Hashcat, заявил, что возможность расшифровать пароли длиннее 15 символов, была одной из самых необходимых функций, которая усложнила работу программы-взломщика.

«Требуется не только более мощный компьютер, а дополнительная оптимизация кода программы. В любом случае, все это ведет к падению быстродействия кода. Хотя реальное падение зависит от множества факторов, таких как режим взлома, мощность процессора и других», — отметил Штойбе.

После изменения 618473 строк исходного кода в новой версии ocl-Hashcat-plus появилась возможность провести восемь миллиардов сравнений символов в секунду в зависимости от используемой хеш-функции. Новая версия программы оптимизирует процесс взлома паролей. Добавив тулкит PACK или Password Analysis and Cracking Kit, позволяет работать с паролями пользователей корпоративных сетей, к примеру Microsoft Active Directory.

Военный софт против организованной преступности

Военный софт против организованной преступности

Группа инженеров-программистов из Военной академии США в Вест-Поинте разработали инновационное программное обеспечение для аналитической разведки в социальных сетях. Естественно, военных интересуют не гражданские социальные сети вроде Facebook, а реальные социальные сети неформальных организаций, таких как партизанские отряды повстанцев в Ираке и Афганистане. Программа Organization, Relationship, and Contact Analyzer (ORCA) помогает составить социальную сеть и выявить неформальных лидеров.

Подобный софт давно используется армией США, а теперь его собираются приспособить против организованной преступности — уличных банд и криминальных группировок, которые действуют на территории Америки. Как выяснилось, принципы социальной иерархии таких полуанархических формирований очень похожи на структуру повстанческих отрядов, с которыми боролась армия. Здесь тоже нет званий, но члены банд и группировок объединены в мелкие группы со своими неформальными лидерами.

На диаграмме показан пример экосистемы одной из уличных банд, которую проанализировала программа ORCA.

Кроме выявления неформальных лидеров, программа позволяет определить связь между членами банды, которые не признают друг друга, а также получить общее наглядное представление о группировках внутри банды. Информацию для работы системы извлекают из полицейских отчетов. При аресте в отчете часто указывают принадлежность арестованного к той или иной группировке. Социальные связи проявляются, в том числе, по совместным арестам.

ФБР способна удаленно включать микрофоны в смартфонах Android

ФБР способна удаленно включать микрофоны в смартфонах Android

Александр Панасенко

Федеральное бюро расследований (ФБР) использует хакерские инструменты для слежки за людьми, пользующимися современными средствами связи, сообщает Wall Street Journal со ссылкой на источники, знакомые с методами, которые использует бюро в своей деятельности. Речь идет о скрытой установке троянов и другого шпионского программного обеспечения на мобильные устройства и персональные компьютеры посредством вредоносных веб-ссылок и поддельных писем электронной почты — методов, широко применяемых хакерским сообществом.

При этом, по словам одного из источников, ФБР располагает технологиями, которые позволяют удаленно включать микрофон на смартфонах и планшетах под управлением операционной системы Android, а также на ноутбуках, и вести запись. Фактически это превращает в «жучок» устройство, которое человек всегда имеет при себе и пользуется повседневно, сообщает safe.cnews.ru.

Как правило, подобные методы ФБР использует для слежки за группами организованной преступности, людьми, занимающимися терроризмом и распространением детской порнографии. По отношению к хакерам данные методы не применяются, так как они могут легко раскрыть подобную слежку и в отместку выложить в открытый доступ применяемые инструменты.

По словам Марка Экенвилера (Mark Eckenwiler), юриста Perkins Coie, бывшего консультанта Министерства юстиции, для подобного рода деятельности ФБР необходимо получать постановление суда. Если же спецслужбы извлекают лишь техническую информацию, например, IP-адрес, необходимости в постановлении нет, так как фактически власти не касаются частной собственности наблюдаемого.

ФБР приобретает вредоносные приложения и другие хакерские инструменты у компаний, которые специализируются на их разработке. Бюро занимается данной деятельностью более 10 последних лет, но лишний раз старается не оглашать данную сторону своей работы, отмечает WSJ.

Например, в 2011 г. стало известно, что уязвимости на веб-сайтах бюро эксплуатирует с 2005 г. Данные уязвимости позволяют установить IP-адрес пользователя и получить информацию о его системе. В 2007 г. хакерские инструменты позволили вычислить злоумышленника, атаковавшего правительство большим количеством спамерских писем.

В 2001 г. правозащитные организации раскритиковали ФБР за установку на компьютер подозреваемого преступника кейлоггера. В конечном счете он был осужден.

Помимо приобретения инструментов, ФБР нанимает специалистов во взломе вычислительных систем, заявил бывший сотрудник отдела информатизации бюро. Он также добавил, что использование незаконных методов слежки является крайним вариантом, к которому власти прибегают, если другие методы не работают.

Новая публикация продолжает серию статей в СМИ, посвященных раскрытию деятельности американских спецслужб в кибер-пространстве. В конце июля стало известно, что ФБР и Агентство национальной безопасности регулярно требуют у провайдеров ключи для доступа к зашифрованному контенту, передаваемому между пользователями интернета и серверами.

В июне 2013 г. американские СМИ опубликовали статью о программе PRISM, в которой якобы участвуют множество известных компаний, предоставляя спецслужбам доступ к персональным данным своих клиентов. Сами компании эту информацию отрицают.

Владимир Путин подписал спорный антипиратский закон

Владимир Путин подписал спорный антипиратский закон

Президент РФ Владимир Путин подписал закон о защите интеллектуальных прав в интернете, который вступит в силу с 1 августа 2013 года.

Напомним, что федеральный закон N187 «О внесении изменений в отдельные законодательные акты РФ по вопросам защиты интеллектуальных прав в информационно-телекоммуникационных сетях», был принят Госдумой 21 июня и одобрен Советом Федерации 26 июня.

Согласно закону операторы интернет-ресурсов, на которых незаконно размещены «фильмы, в том числе кинофильмы, телефильмы, или информация, необходимая для их получения» имеют право блокировать доступ к этим материалам. Основным механизмом борьбы с пиратским контентом в законе предусмотрены обеспечительные меры, принимаемые судом по заявлениям правообладателей.

Арбитром по спорам, связанным с авторскими правами на фильмы, будет назначен Мосгорсуд. До рассмотрения по существу дел о нарушении прав на интеллектуальную собственность суд будет принимать обеспечительные меры.

Мосгорсуд по ходатайству взыскателя направляет исполнительный лист в Роскомнадзор. Тот на основании заявления правообладателя и вступившего в силу судебного акта в течение 3 рабочих дней определяет провайдера хостинга или иное лицо, обеспечивающее размещение ресурса, обслуживающего владельца сайта, и направляет ему уведомление о нарушении прав.

В течение 1 рабочего дня хостинг-провайдер или владелец сайта должны проинформировать об этом обслуживаемого ими владельца ресурса, тот в течение 1 дня обязан удалить информацию. Если этого не произошло, то ограничить доступ обязаны хостинг-провайдер или владелец не позднее истечения трех рабочих дней с момента получения уведомления от Роскомнадзора. Если все эти меры не приняты, то сведения о сайте направляются операторам связи, которые в течение суток должны ограничить доступ к ресурсу, в том числе сайту, или к размещенной на нем информации.

В случае если суд впоследствии признает заблокированный контент законным, доступ к нему вновь может быть открыт.

На сегодняшний день в РФ досудебная блокировка интернет-сайтов возможна только если они содержат детскую порнографию, пропаганду наркотиков, материалы о самоубийствах, персональные данные несовершеннолетних, потерпевших от преступлений, а также фотографии и видеоролики с их участием.

Провайдеры также обязаны блокировать доступ к информации, распространение которой запрещено судом — в эту категорию попадают, например, материалы экстремистского характера.

Кто и как фильтрует интернет? Обзор мировых практик

Кто и как фильтрует интернет? Обзор мировых практик

автор Саркис Дарбинян

На сегодняшний день большинство цивилизованных государств принимает меры по фильтрации интернет-контента. Каждая отдельная страна имеет свои основания для запрета сайтов. Применяемые для блокирования интернет-площадок методы также разнообразны — от тотального запрета всемирной сети вообще до предоставления пользователям права самим за себя решать, какие сайты попадут в список нежелательных для домашнего просмотра.

Среди оснований, используемых для фильтрации интернет-контента в разных странах, выделяются политические, нравственные, а также связанные с борьбой с терроризмом (экстремизмом, нацизмом) и с нарушением авторских прав.
Политические основания
Пожалуй, наиболее ярким примером блокирования контента по политическим основаниям является проект «Золотой щит», известный также как «Великий китайский файрвол»: IP-адреса сайтов, вызывающих сомнение, в Китае обязаны блокировать провайдеры. Таким образом, сегодня на территории поднебесной заблокированы Google, Facebook, Twitter, YouTube, BBC, Wikipedia, сайты, посвященные проблемам независимости Тайваня и Тибета и многие другие.

Во Вьетнаме действуют особые отряды полиции, которые тщательно следят за тем, чтобы пользователи не проникали на запрещенные сайты. Подобные попытки расцениваются как преступления, а принадлежность ресурсов к числу неугодных определяет правительство.

В Узбекистане, кроме опасных, с точки зрения правительства, сайтов, под запретом оказались интернет-площадки некоторых исламских течений и независимые медиаресурсы. Южная Корея блокирует просеверокорейские сайты, а Куба вообще запрещает доступ своих граждан в интернет. Чтобы попасть во всемирную сеть, необходимо получить специальное разрешение, которое преимущественно выдается чиновникам и медикам.

Борьба с терроризмом, экстремизмом, нацизмом

В Сирии под безоговорочным запретом находится домен Israel — «.il», так же как арабские новостные ресурсы, курдские и оппозиционные зарубежные сайты. За попытку проникнуть на блокированный ресурс в стране могут арестовать.

Согласно французскому законодательству, школьники ограждаются от расистских, антисемитских и неофашистских ресурсов путем внедрения механизмов централизованной фильтрации. Запрета доступа на определенные сайты требуют и от Google, а Yahoo! в судебном порядке обязали ограничить доступ к любому нацистскому и неонацистскому контенту.

В Германии существует внутрикорпоративное соглашение «Добровольный самоконтроль для мультимедийных сервис-провайдеров», которое поддерживает большая часть поисковых площадок. Сайты, которые должны быть запрещены, определяются Германским федеральным департаментом по медиаресурсам, вредным для молодежи. В первую очередь провайдер фильтруют неонацисткие сайты и подобные, функционирование которых влечет разжигание ненависти.

Нравственные основания

Саудовская Аравия разделяет все опасные сайты на «аморальные» и «подрывающие правительство». Наиболее агрессивная фильтрация идет по темам: порнография, наркотики, казино, религиозные искажения ислама. Внести свою лепту во включение какого-либо ресурса в один и этих двух черных списков здесь может каждый гражданин.

Наиболее жесткая в мире цензура контента в сети существует в Иране, в котором вне закона находятся все сексуальные сайты, тематические блоги и даже информация о правах женщин.

Правительство ОАЭ в сотрудничестве с арабскими общественными организациями намерены запретить сайты, распространяющие порнографическую и антирелигиозную информацию, путем запрета поиска определенных ключевых фраз в сервисах Google. Список, включающий полсотни таких нежелательных запросов, уже подготовлен.

В Великобритании среди запрещенных ресурсов особо опасными считаются сайты с детской порнографией. Постоянный мониторинг интернета осуществляет неправительственная саморегулирующаяся организация Internet Watch Foundation, ответственная за списки блокируемых площадок.

Нарушение исключительных авторских прав

В Великобритании, Нидерландах, Бельгии, Италии, Греции, Финляндии из-за нарушения авторских прав по решению суда блокируются сайты p2p-сервисов, а в США по инициативе Ассоциации авторских прав и интернет-провайдеров теперь не только можно, но и нужно сообщать «куда следует» о фактах использования нелегального контента.

Во Франции до недавнего времени существовали методы в соответствие с законом HADOPI отключать от Интернета пользователей, уличенных в систематическом нелегальном файлообмене, правда от указанной практики властям пришлось отказаться, т. к. было признано, что такие меры не способствуют развитию национального сегмента интернета.

За организаторами незаконного файлообмена пристально наблюдают и в Японии. Всех пользователей незаконного контента здесь, по примеру Франции, собираются лишить доступа во всемирную сеть, а при попытке нарушения авторских прав посредством создания инструментов для пиратства — арестовывать. Прецедент уже создан: в 2005 г. был арестован ассистент Токийского университета.

В Китае более 50 млн пользователей лишились возможности обмениваться нелегальным контентом через торрент-трекеры — большинство китайских площадок, а их более 500, было закрыто Китайской государственной администрацией радио, кино и телевидения (SARFT) за «непоправимый ущерб медиаиндустрии». Следующим этапом в борьбе с пиратством стало введение специальных требований для размещение в интернете музыкальных файлов: чтобы выложить в сеть музыкальное произведение, необходимо получить специальное разрешение и использовать только песни, переведенные на китайский язык.

Методы блокирования сайтов

Международная практика знает шесть основных методов борьбы с нежелательным контентом. Основным является блокирование по IP и URL на уровне ISP. Речь идет о ситуациях, когда пользователь, вводя адрес сайта, не получает к нему доступа. В ряде стран законодательно определено, что доступ к сайту блокируется интернет-провайдером, и их ответственностью за фильтрацию контента обеспечивается исполнение закона. Деятельность операторов связи во многих государствах лицензирована. В некоторых странах, где доступом к международным сетям передачи данных обладает одна компания, эта мера весьма эффективна. Так, почти на всей территории Казахстана силами «Казахтелекома» заблокирован ресурс Livejournal.com, а в Арабских Эмиратах фильтрации подвергнута порнография и весь контент, признанный политически опасным или подрывающим ценности страны.

Сайты могут быть заблокированы по IP и URL на национальном уровне. В Китае существует двухуровневая фильтрация интернет-ресурсов. Сначала применяют технологию backbone routing: определенные IP-адреса и доменные имена блокируются с помощью маршрутизаторов на шлюзах международного уровня, что делает вход на запрещенные сайты невозможным даже для провайдеров. Далее уже сами операторы обязаны блокировать выбранные интернет-площадки на уровне опорной сети.

Чтобы сделать невозможным доступ граждан к опасным сайтам, государство может пойти на тотальную изоляцию виртуального пространства от интернета. Примером такого решения может похвастаться КНДР, которая создала собственную локальную сеть внутри страны. Доступ к международной сети имеют лишь привилегированные граждане и избранные сотрудники, работающие на подконтрольных государству должностях. Они занимаются, главным образом, сбором информации и поддержкой северокорейских сайтов. Кроме них, привилегией доступа в интернет также пользуются посольства.

Для запрета сайтов, нарушающие авторские права, существует эффективный способ — блокирование по IP и URL на основании договоров правообладателей с провайдерами. В 2013 г. между крупнейшими американскими звукозаписывающими компаниями, киностудиями и основными интернет-провайдерами — AT&T, Comcast, Time Warner, Cablevision, Verizon, заключено соглашение, направленное на защиту прав интеллектуальной собственности. Специальная программа «Система предупреждения о нарушениях прав интеллектуальной собственности», известная как «Система шести предупреждений» будет в автоматическом режиме отслеживать адреса компьютеров пользователей, которые незаконно обмениваются видео- и аудиозаписями. После получения шести предупреждений о неправомерности таких действий к нарушителям будут применяться меры. За провайдером закрепляется право осуществить замедление скорости или полностью отключить пользователя от интернета. Управление данной программой осуществляется Центром по борьбе с нарушениями авторских прав. Кроме того, в сети довольно часто, реализуя принцип саморегулируемости, активно используются добровольные соглашения между интернет- и сервис-провайдерами о правилах поведения и добровольном блокировании нежелательного контента.

В последнее время довольно частым явлением становится блокирование IP-адресов хостинг- провайдерами на основании списков блокировки (SBL), формируемых британской компанией Spamhaus. В список попадают IP-адреса и подсети IP-адресов, на которых размещаются сайты, к которым имеются претензии по совершению хакерских атак, спам-рассылок, фишингу и других киберпреступлений. Вместе с тем, если Spamhaus хочет заблокировать или выключить весь сайт или сервер, то в список блокировки добавляется не только проблемный адрес, но и все сети оператора. Такой алгоритм дает возможность давления на операторов, которые вынуждены блокировать добавляемые Spamhaus IP-адреса, дабы не произошла массовая блокировка остальных клиентов. Если же и это не приводит к желаемому результату, то в список попадают вышестоящие провайдеры (аплинки), которые предоставляют IP-транзит (канал связи с интернетом) сети, против которой направлены действия Spamhaus. Многие крупные магистральные провайдеры, провайдеры первого уровня и хостинг-провайдеры используют блэк-листы Spamhaus, однако уже сегодня существует масса претензий к деятельности указанной организации, которая наряду с основной целью борьбы с фишингом и спамом, используя устаревшую технологию фильтрации путем создание SBL, блокирует еще и огромное количество сайтов и контента, которые не имеют никакого отношения к противоправным действиям. При этом извлечь свои подсети из блэк-листов Spamhaus провайдеру крайне трудно либо практически невозможно, т. к. вся деятельность организации лежит вне рамок международного права и российского законодательства о связи и информации, а сама система работы является довольно закрытой в плане принятия и регулирования поступающих претензий. Вместе с тем, известны случаи удаления IP-адреса самим Spamhaus из SBL за определенное денежное вознаграждение.

Самым либеральным является метод блокирования сайтов по URL на локальном уровне: степень фильтрации определятся самими пользователями либо родителями (parental control) в отношении своих детей. Подобные методы применяется в США, Австралии и многих европейских странах. С 2004 г. в США в школах обязательно были установлены контент-фильтры. Около 41 % американских семей установили их у себя дома и на девайсы ребенка, через которые он получает доступ в интернет. На сегодняшний день разработано множество комплексных программных решений для индивидуального установления фильтров.

Афера с фальшивым увольнением Якунина была хорошо подготовлена, считают эксперты

Афера с фальшивым увольнением Якунина была хорошо подготовлена, считают эксперты

Эксперты видят в ситуации с рассылкой поддельного сообщения про отставку главы РЖД спланированную акцию, выполненную профессионалами, и предлагают использование электронной цифровой подписи (ЭЦП) как защиту.

Информацию о якобы имевшей место отставке главы РЖД Владимира Якунина, разосланную в среду вечером неизвестными лицами от имени правительственной пресс-службы, распространили все российские информагентства и другие крупнейшие СМИ, включая основные ТВ-каналы. Как установила ИТ-служба РИА Новости, сообщение, оформленное наподобие правительственного пресс-релиза и содержащее традиционные для таких документов элементы, пришло с IP-адреса, не совпадающего с адресом аппарата правительства.

Руководитель отдела антивирусных исследований «Доктор Веб» Сергей Комаров считает, что письмо про отставку Якунина — подделка высокого уровня. «Злоумышленники, очевидно, хорошо подготовили свою аферу. Они знали, как выглядят информационные сообщения от пресс-службы правительства РФ, кто их рассылает. Это информация, доступ к которой не так просто получить», — сообщил он изданию Digit.ru. Также эксперт отмечает, что пославшие фальшивое письмо подделали адрес отправителя, домен, с которого отправляли ложное сообщение, сделали максимально похожим на правительственный. При этом они скопировали формат обычных информационных сообщений, которые получают агентства.

Комаров полагает, что в акции участвовало несколько групп. Скорее всего, в нее были вложены большие материальные средства, в том числе и на то, чтобы замести следы. Впрочем, пока об этом можно только судить по размаху и дерзости акции.

Исполнительный директор Peak Systems Максим Эмм видит два варианта развития событий. «Поддельное письмо было отправлено с сервера иркутского интернет-провайдера. Это говорит о том, что либо злоумышленники имеют невысокую квалификацию, раз используют российские серверы и IP-адреса. И тогда ФСБ очень быстро их найдет. Либо являются профессионалами экстра-класса, которые взломали сервер провайдера, отправили сообщения и замели следы», — отметил он. Эксперт полагает, что во втором случае «найти концы» не удастся. В любом случае перед нами — «выполненный заказ на фальсификацию письма, а не невинный розыгрыш», уверен он.

Заместитель генерального директора Positive Technologies Сергей Гордейчик объяснил, что подделка сообщений электронной почты является распространенным приемом атак с использованием социальной инженерии и практически обязательным атрибутом целенаправленных атак, так называемых APT. «К сожалению, архитектура многих базовых протоколов интернета такова, что без использования дополнительных средств защиты в достоверности передаваемой информации нельзя быть уверенным. В данном случае использование электронной цифровой подписи могло бы значительно усложнить атакующему задачу», — считает он.

Хакеры обходят систему электронных проездных билетов при помощи смартфонов

Хакеры обходят систему электронных проездных билетов при помощи смартфонов

Голландские хакеры нашли способ, позволяющий им бесплатно ездить в общественном транспорте. Так, при помощи смартфона, работающего на базе Android, и загруженных на него двух бесплатных приложений, злоумышленники могут обходить систему электронных проездных билетов.

Для этого достаточно загрузить на смартфон виртуальную смарт-карту с неограниченным кредитом и при входе на транспорт прикоснуться к считывающему устройству на турникете телефоном, вместо электронной проездной карты. Осуществив такую нехитрую операцию, «халявщик» может ездить абсолютно бесплатно.

Несмотря на то, что голландский производитель электронных проездных билетов Translink неоднократно менял конфигурацию и кодировку карт, хакеры в сжатые сроки находят способ обойти электронную систему.

Увеличилась активность модификаций банковского трояна ZeuS

Увеличилась активность модификаций банковского трояна ZeuS

Компания ESET представляет отчет о наиболее активных угрозах мая 2013 года. Месяц был отмечен ростом активности семейства банковских троянов ZeuS, а также фишинговой атакой с использованием одного из сервисов Google. В минувшем месяце в мире было зафиксировано повышение активности семейства ZBot (ZeuS), рейтинг которого составил 1,36%. Под общим названием Win32/Spy.Zbot нами детектируются все возможные модификации этой троянской программы, включая Citadel и Gameover. Пиковая активность ZeuS пришлась на 2 мая, когда уровень его распространенности достиг 4,83%.

Главной целью злоумышленников, использующих ZeuS, является кража аутентификационных данных пользователей от различных сервисов, включая онлайн-банкинг. Похищенная таким образом информация используется для перевода денежных средств на подставные счета, с которых они оперативно обналичиваются «мулами» – лицами, готовыми снимать средства сомнительного происхождения за небольшой процент. Отметим, что внушительное количество модификаций ZeuS обусловлено утечкой исходных кодов этого трояна в 2011 году.

 

Что касается других угроз из глобальной десятки, то рост продемонстрировали Win32/Bundpil (3,46%) и Win32/Dorkbot (2,22%), вирус Win32/Ramnit (1,62%), а также троянская программа Win32/Qhost (1,53%). Червь Win32/Bundpil, который распространяется через съемные носители, сохранил за собой первое место и даже увеличил активность по сравнению с апрелем.

Рост активности червя Win32/Dorkbot связана с майской спам-кампанией по распространению вредоносного ПО. Пользователям рассылались сообщения с вредоносными ссылками, при переходе по которым возникал риск установки трояна Win32/PowerLoader, загружавшего на компьютер Win32/Dorkbot.

Для маскировки вредоносных ссылок в письмах использовался сервис Google URL Shortener, благодаря которому укороченные адреса начинались с ”http://goo.gl/”. Согласно статистике переходов по вредоносным ссылкам, участвовавшим в этой кампании, одним из лидеров по числу жертв атаки стала Россия.

Встраиваемые в веб-страницы вредоносные элементы, которые детектируются под общими названиями HTML/ScrInject (2,47%) и HTML/Iframe (1,90%), в мае подверглись спаду. HTML/ScrInject теряет позиции последние два месяца; те же два месяца падает активность INF/Autorun (2,77%) и Win32/Conficker (1,95%).

Рейтинг угроз по России не сильно изменился по сравнению с апрелем. Стоит отметить, что троянская программа Win32/Qhost, которая демонстрировала спад с начала этого года, в мае испытала подъем – ее рейтинг составил 12,40%. Кроме того, рост показали вредоносные Java-скрипты с общим обнаружением JS/Iframe (2,84%). Все прочие угрозы снизили активность.

Троян Win32/Agent.UPF, о котором мы подробно писали в прошлом отчете, заметно снизил активность – в этом месяце его уровень распространенности составил 1,55%. Также отметим, что троян Win32/StartPage, который присутствовал в нашем рейтинге предыдущие два месяца, в мае значительно сдал позиции и покинул десятку наиболее активных угроз.

В мае общая доля России в мировом объеме вредоносного ПО составила 8,14%.

Глобальный рейтинг наиболее активных угроз выглядит следующим образом:

Угроза

Уровень распространенности

Динамика

Win32/Bundpil

3,46%

+

INF/Autorun

2,77%

-

Win32/Sality

2,52%

-

HTML/ScrInject

2,47%

-

Win32/Dorkbot

2,22%

+

Win32/Conficker

1,95%

-

HTML/IFrame

1,90%

-

Win32/Ramnit

1,62%

+

Win32/Qhost

1,53%

+

Win32/Spy.Zbot

1,36%

+

 

Статистика угроз по России:

Угроза

Уровень распространенности

Динамика

Win32/Qhost

12,40%

+

HTML/ScrInject

3,54%

-

JS/IFrame

2,84%

+

Win32/Spy.Ursnif

2,26%

-

Win32/Bicololo

2,09%

-

Win32/Dorkbot

2,03%

-

HTML/IFrame

1,65%

-

INF/Autorun

1,62%

-

Win32/Agent.UPF

1,55%

-

Win32/Conficker

0,92%

-