Сказки о безопасности: Взлом GPS-трекеров

25/09/2017

— Доброе утро, Иоганн!

— Доброе, господин комиссар! У вас снова неприятности?

— И как вы угадали?

— Да когда вы просто позвоните, а лучше заедете в гости с предложением выпить чашку кофе с коньяком, я, наверное, упаду со стула. Ведь вы звоните всегда по делу и всегда оно связано с неприятностями.

— Увы, вы правы.

— Так все же, что на этот раз?

— Нам нужно узнать маршруты передвижения автомобилей клана дона Игнасио.

— Я правильно понимаю, что передвижение рядовых членов клана вас мало интересует?

— Конечно.

— За какой период вас интересуют маршруты?

— Проблема в том, что нас интересует прошлое. Где-то за месяц назад.

— Да, это немного хуже, но не так страшно. Короче, я подумаю и постараюсь вам ответить. Хорошо?

— Конечно! Я надеюсь на вас.

Прошло два дня.

— Иоганн, мы смогли выполнить задачу. Более того, смогли отследить перемещения за последние 120 дней автомобилей руководства клана.

— Но как?

— Спасибо Рите и ее ребятам. Согласно вашего распоряжения они регулярно отслеживают появление все новых утечек. Они обнаружили в свободном доступе базу данных компании S, которая специализируется на отслеживании местоположения автомобилей. В ней содержалась информация о более полумиллионе учетных записей клиентов, включая адреса электронной почты, хэши паролей, IMEI GPS-трекеров, номерные знаки, идентификационные номера транспортных средств (VIN) и пр. База данных также содержала информацию о месте расположения устройства для отслеживания в транспортных средствах.

Согласно информации на сайте компании, устройства обеспечивают непрерывное отслеживание транспортных средств — каждые две минуты при перемещении и в течение четырех часов после остановки. Имея на руках правильные учетные данные, пользователь может получить информацию о всех передвижениях автомобиля за последние 120 дней с помощью приложения для ПК и мобильных устройств.

— Что сказать? Хорошая работа! Вы уже говорили с руководством данной компании о предоставлении нам официального доступа к их базам?

— Да, безусловно! Они согласились.

— Отличная работа, Марк! Не забудьте мне напомнить по итогам месяца о премировании подразделения Риты! Отличная работа!

Исследователи безопасности из Kromtech обнаружили утечку более полумиллиона записей компании SVR Tracking, специализирующейся на отслеживании местоположения автомобилей.

База данных хранилась на незащищенном облачном сервере Amazon S3. В ней содержалась информация о 540 642 учетных записях клиентов.

http://www.itweek.ru/themes/detail.php?ID=197883

Реклама

Сказки о безопасности: Лотерейный развод

08/09/2017

Утро выдалось солнечным. Скоро закончатся теплые деньки, начнутся дожди, а там, глядишь, и снег пойдет. Потапыч встал, потянулся с хрустом, умылся и пошел готовить утренний чай. Но тут зазвонил телефон.

— Потапыч, доброе утро! У меня тут такое! Такое!!! Бросай все и иди ко мне! Праздновать будем!

— Хрюша, что случилось-то? Объяснить можешь?

— Могу, но не хочу по телефону. Приходи! Чай на столе, с блинами, с медом липовым! Прибегай скорее!

— Иду!

Прошло не так много времени, и вот уже Потапыч пришел к Хрюше.

— Что случилось-то, Хрюша?

— Погоди, Потапыч, дай-ка я тебя медком угощу! Выиграла я машину в лотерею! Вот!

— Да как? Ты ж не играешь сроду.

— Я купила брошюру с рецептами кулинарными, а там на обратной странице написан код и место, где стереть надо. И если совпадут оба кода, то нужно написать в издательство, и ты выиграл машину.

— Ты написала?

— Да. Сегодня пришло от них письмо, что я должна купить у них трехтомник кулинарных рецептов и первые, кто купят его — получат автомобиль. Завтра побегу им деньги перечислить, ведь сегодня выходной в банке.

— Та-а-ак! Хрюша, поздравляю. Ты попала. Никакого автомобиля там нет и никогда не было. Им нужно срочно продать тираж своего кулинарного «шедевра»! Вот они и воспользовались твоим и таких как ты доверием.

— Да ты что?

— Хочешь проверить?

— Конечно хочу!

— Пойди купи еще одну такую же брошюру. Там тоже коды совпадут. Это на доверчивых рассчитано. Хочешь, я даже тебе денег дам на нее?

— А ты посидишь?

— Конечно! Я уж тебя дождусь! А как же?

Прошло полчаса.

— Ты глянь, Потапыч! Ты прав!

— Конечно! Прием старый, как мир. Они на доверчивости твоей играют. А тот же сборник рецептов в продаже (я в Интернете поискал) стоит втрое дешевле, чем тебе предлагали. Вот так! Так что не верь ты лотереям, в которых ты не участвовала. А лучше вообще никаким.

А вы сталкивались с подобным мошенничеством? Я — да. Перед вами стандартный пример фишинга. Надеюсь, вы будете внимательнее, чем Хрюша!

 

http://www.itweek.ru/themes/detail.php?ID=197322


Сказки о безопасности: Мошенническое SMS

16/08/2017

— Иоганн, у моей мамы проблемы. Я пока точно не знаю какие. Можно мне уехать сейчас с работы.

— Безусловно, Мари! Только перезвоните мне, что случилось и можем ли мы вам помочь.

— Хорошо!

Прошло два часа.

— Иоганн, я выезжаю на службу. Скоро буду и все расскажу. Кажется, мы столкнулись с новым для нашей страны видом мошенничества.

— Даже так?

— Именно так.

Прошел еще час.

— Иоганн, я приехала.

— Мари, так что случилось?

— Маме пришло SMS о том, что ее машина поцарапана и ее просят перезвонить по указанному номеру. Она, пожилой человек, естественно разволновалась. Но хорошо, что перед тем как звонить, она попросила меня приехать.

— И что ты выяснила?

— Я проверила телефон через наши каналы, надеюсь вы не будете сильно меня ругать. Короче, этот телефон, во-первых, платный, а во-вторых, уже давно числится в нашей базе сомнительных телефонов. Я, от имени нашего департамента, написала письмо в компанию-провайдер и потребовала его отключить. Это уж сделано. Но проблема в том, что завтра это может быть другой номер телефона. Согласны?

— Согласен! Считаю, что нам нужно создавать базу мошеннических телефонов, сайт для пополнения базы, а также мобильные приложения, которые будут проверять кто вам звонит или присылает SMS. Как думаете?

— Вы правы.

На самом деле такой вид смишинга (мошенничества с помощью SMS) уже не новость. Подобные атаки проходили в России в 2016 г. Впрочем, тогда же появились и приложения для определения мошеннических номеров. Не забудьте поставить себе подобное приложение.

https://www.itweek.ru/security/article/detail.php?ID=196845


Правила цифровой гигиены. №121

12/08/2017

121


Правила цифровой гигиены. №80

04/08/2017

80


Пользователи — наиболее слабое звено в безопасности iOS

02/08/2017

Эксперты по ИТ уверены в безопасности iOS (по сравнению с другими мобильными ОС), однако отмечают что есть ряд типичных уязвимостей. Например, очень часто пользователи избегают установки PIN-кодов.

Несмотря на то, что никакое программное обеспечение не может быть абсолютно безопасным, все же у iOS репутация значительно выше, чем у Android, в первую очередь потому что Apple регулярно обновляет ОС и гораздо строже исследует приложения, представляемые в AppStore разработчиками.

Однако основной проблемой все еще остаются пользователи. Люди щелкают по подозрительным ссылкам в электронных письмах или не устанавливают PIN-код устройства.

Фишинговые атаки

Наиболее распространенной угрозой пользователям iOS является фишинг. Наиболее эффективным путем предотвращения таких атак является обучение пользователей. Другим способом является замена стандартного браузера Safari бесплатным браузером Kaspersky Safe Browser, который проверяет открываемые ссылки с помощью облачной системы безопасности Kaspersky Security Network.

Отсутствие PIN-кода

В случае если ваше устройство не заблокировано PIN-кодом, злоумышленник, получивший физический доступ к устройству, получает полный доступ ко всем его данным. Кроме того, необходимо отметить, что при отсутствии PIN-кода невозможно шифрование файловой системы.

Увы, и в этом случае единственным способом противодействия является обучение пользователей. В случае если ваша организация использует Microsoft Exchange, все мобильные устройства, получающие доступ к серверу по умолчанию должны иметь PIN-код.

Вредоносные приложения

Увы, однако стоит признать, что несмотря на все усилия Apple, вредоносные приложения в AppStore все еще встречаются.

Стоит вспомнить атаку XcodeGhost в 2015, когда было заражено порядка 4000 приложений.

Любой пользователь, заявляющий вам, что устройства Apple на 100% безопасны, живет в придуманном мире.

И хотя загрузка вредоносного ПО из AppStore не является проблемой пользователя, однако стоит признать, что пользователь и здесь может уменьшить угрозу. Например, если специализированное приложение, такое как «Фонарик» просит доступ к контактам или службам геолокации, то пользователь должен понимать, что здесь что-то не так.

Таким образом, стоит признать, что одним из основных методов противодействия атакам устройств под управлением iOS является обучение пользователей.


Правила цифровой гигиены. №60

31/07/2017

60