Сказки о безопасности: Банкоматы под прицелом

22/05/2017

Как всегда, в пятницу после работы сотрудники Иоганна пришли в маленькое кафе. Неожиданно для всех слово попросил обычно молчавший Густав.

— Коллеги, как вы знаете, до прихода в департамент я работал в банке. Я никогда не рассказывал о том, чем именно я там занимался. Но пришла пора. Я работал в отделе противодействия мошенничеству. И вот теперь дважды за последнюю неделю я встретился с попытками обмана в столице. Причем, как ни смешно, обмануть попытались меня.

В первый раз я решил снять немного наличных в торговом центре на 15-й улице. Вы, вероятно, сами там бывали неоднократно. Банкомат находится у входа в супермаркет. Так вот. Подхожу к банкомату, вынимаю карту и наблюдаю краем глаза, как за плечом у меня пристраивается бабушка. Причем смотрит она не на меня, не вокруг, а прямо на клавиатуру банкомата. Я, естественно, попросил отойти ее подальше. Боже, что тут началось! Крик, шум… Мол, старость не уважают, обижают и т. д. Плюнул, пошел в магазин, так она еще и там за мной бежала и кричала.

Я решил посмотреть, что будет дальше. Стал и смотрю издалека. Она все также пристроилась за спиной следующего человека, увидела, как тот набирает PIN, отошла в сторону и что-то сказала молодому человеку, который тут же пошел следом за жертвой. Думаю, что ее целью был PIN, а карту должен был украсть молодой человек. Причем, когда это повторилось второй раз, я обратился к охране, на что мне ответили, что, мол, это безобидная сумасшедшая, которая так делает регулярно. Думаю, что охрана была просто в доле. Но к банкомату туда я больше не хожу. И вам рекомендую смотреть, кто стоит рядом с вами, чтобы не стать жертвой.

Но меня гораздо больше удивила вторая история, произошедшая буквально через неделю. В этот раз уже на 5-й улице.

Решил я снять немного наличных. На всякий случай. Подошел к банкомату, вставил карту и что-то мне не понравилась форма защиты от считывателей карт. Задумался перед вводом PIN-кода. Услышав жужжание, одолжил зеркальце у жены и заметил зависший за спиной квадрокоптер. Паранойя? Но решил ввести неверный PIN и «погулять» по меню банкомата. Коптер улетел, я вытащил карту и пошел в другой банкомат, где использовал уже другую карту.

А сегодня утром пришло письмо от банка, что моя карта, которую я использовал в первый раз, перевыпущена из-за попытки мошенничества. Все же я не ошибся, скорее всего коптер, висящий за спиной, снимал мой PIN-код на камеру. Внешне все выглядело игра кучки молодых людей с коптером.

Так что будьте внимательнее!

А вообще, лучше всего снимайте наличность в банкоматах, которые находятся в отделениях банков. Будьте внимательны!

https://www.pcweek.ru/security/article/detail.php?ID=195494


Сказки о безопасности: Как обманули вымогателя-шифровальщика

15/05/2017

Потапыч, работая в компании N, неожиданно столкнулся с проблемой. Данные его компании оказались зашифрованы. Безусловно, не он был тому причиной. Кто-то из коллег, несмотря на неоднократные предупреждения и семинары, открыл файл, приложенный к очередному «письму сверху».

Потапыч поступил совершенно верно: крепко и неоднократно помянул раззяву и всех его родственников до седьмого колена, отключил зашифрованный компьютер от корпоративной сети и сел разбираться и чесать затылок.

Увы, критически важные для бизнеса данные были-таки зашифрованы. И руководство поставило естественную, но практически невыполнимую задачу — вернуть данные любой ценой.

Потапыч полез в Интернет, изучил вопрос и понял, что алгоритм, который применили в данном троянце, практически неуязвим при современных технологиях подбора пароля. Заразившие сеть злоумышленники на примере нескольких файлов показали, что могут ее расшифровать, и запросили цену в несколько десятков тысяч рублей.

Сумма была вполне адекватной. Но где взять деньги? Любые расходы должны быть обоснованы документально. Не попросишь же вымогателей выписать счет!

Но тут же услужливая контекстная реклама начинает показывать баннеры «Расшифровываем файлы, 100% гарантия,%имятроянца%».

Потапыч пришел к руководителю, мол, есть вот такое решение. Скорее всего, развод, но выхода-то нет, давайте попробуем выслать образцы.

— Михалыч, а ведь действительно расшифровали, да вот только за расшифровку хотят вдвое больше.

— Погоди, Потапыч, мы имеем классическую схему. Нам предлагают заплатить за расшифровку вполне легально, а они сами заплатят за расшифровку злоумышленникам.

— Ага, если это вообще не одни и те же злодеи. Но зато у нас нет проблем с налоговой, платим-то официально по счету.

— Да. А иначе выхода у нас нет. Придется договариваться.

— Грабители! Связывайся и договорись о встрече.

Прошло 20 минут.

— Михалыч, встреча назначена на завтра. На лавочке в торговом центре. Безусловно, это показывает их серьезность, адекватность и надежность J.

«Специалист» честно пришел, взяв с собой флэшку с дешифровщиком. Потапыч принес ноутбук с файлами и деньги, но договорился, что отдаст их и подпишет бумаги только после того, как данные будут восстановлены.

Процесс расшифровки — дело не быстрое. Может и полдня занять, может и больше. Решили они расшифровывать в ближайшем кафе. Все ж веселее, чем на лавочке. Решили пива выпить. А где пиво, там и туалет требуется. Вот и пришлось «специалисту» отлучиться в туалет. А Потапыч подумал, что флэшка с ключом у него, деньги тоже, чего ждать? И быстро рванул как на стометровке к стоянке такси. Забрав и ноутбук с работающим дешифровальщиком, и деньги.

Что потом писали Потапычу «специалисты»! Однако ни единой попытки решить конфликт законным путем не предприняли.

А на работе Потапычу за находчивость премию выписали. Вот так счастливо закончилась эта история. Увы, такие истории редко бывают счастливыми!

https://www.pcweek.ru/security/article/detail.php?ID=195364 


Сказки о безопасности: Взлом биометрии

11/05/2017

— Доброе утро! Мне нужен дежурный офицер вашего отделения.

— Что случилось, мадам? У вас проблема? Да не плачьте, пожалуйста! Мы попробуем ее решить! Хотите воды? Чаю? С печеньем?

— Спасибо, господин офицер, вы так добры!

— И все же, пока мы с вами будем пить чай, давайте поговорим о ваших проблемах, ведь я не поверю, что вы просто зашли к нам на чашку чаю. Увы, к нам просто так не заходят. Что случилось? Может мне позвать женщину-офицера, вам будет проще с ней говорить?

— Нет. Не нужно, спасибо! Сегодня утром я шла в свой банк, снять деньги. Но когда пришла, мне сказали, что у меня на счету денег нет! Что я сама сняла их вчера вечером. В банкомате на 5-й авеню. Но ведь этого не может быть! Меня просто не было в городе. Вот мой билет, я приехала сегодня ночью.

— Может у вас кто-то просто украл вашу карту и PIN-код?

— Да нет! Вот моя карта. И банкомат защищен таким образом, что при снятии денег мне не нужен PIN. У меня сканируют радужку глаза и проверяют отпечаток пальца. У нас очень продвинутый на технологиях безопасности банк.

— Хорошо, пройдите в комнату напротив, сержант запишет ваши показания.

Прошло 10 минут.

— Господин комиссар, это уже пятое заявление от вкладчиков этого банка. И все карты привязаны к биометрии. Вам не кажется, что нам нужно запрашивать помощь у столичного офиса?

— Думаю, да. Я сейчас перезвоню туда.

Через час в кабинете Иоганна

— Шеф, СРОЧНО!

— Что случилось на этот раз, Мишель?

— Сбылся кошмар всех экспертов в области информационной безопасности!

— А подробнее?

— Шеф, произошла утечка биометрических данных по вине нескольких правительственных организаций.

— У нас?

— Вы правы. Несколько банков используют для подтверждения транзакций клиентов уникальные персональные номера, присваиваемые каждому гражданину империи в рамках идентификации граждан. Идентификация осуществляется на основе анкетных данных, изображений радужной оболочки глаза и отпечатков пальцев. Эти данные, в частности, используются для аутентификации и авторизации денежных переводов, а также для осуществления платежей.

— И что произошло?

— У этих банков буквально полностью очищены счета более 400 клиентов, использующих такую идентификацию. Очевидно, атаковано наше центральное хранилище уникальных персональных номеров. А сколько информации похищено в результате атаки — мы просто не знаем.

— Действительно кошмар. Самое страшное, что биометрические данные, в отличие от пароля, сменить нельзя. Следовательно, для этих людей биометрию использовать уже нельзя. А самое страшное — неизвестен точный размер утечки. Сколько пострадавших? Кому можно доверять? Кому нельзя? Фактически это крах аутентификации с помощью биометрических данных.

— Да, шеф, теперь я понимаю, почему вы всегда говорили, что аутентификация с помощью биометрических данных — это удобство, а отнюдь не безопасность!

— Да. Я действительно так считаю. Более того, на мой взгляд, взлом баз данных, содержащих биометрические данные, приведет к тому, что придется менять всю систему аутентификации граждан, а это и время, и огромные деньги.

— А что будет с этими несчастными?

— Пострадавшие получат свои деньги из имперского фонда страхования. Но что делать с фондом биометрии? Высылайте наших ребят в хранилище идентификационных номеров. До особого распоряжения система аутентификации работать не будет. Мы должны понять не только как произошла утечка, но и сколько и какие данные ушли наружу.

Прошел месяц. По окончании расследования был сделан вывод, что атака, скорее всего, пришлась на системы резервного копирования. Но идея биометрического распознавания клиента без пароля была закрыта в империи и теперь для проведения платежа все чаще и чаще используются аппаратные генераторы одноразовых паролей в сочетании с биометрией.

Недавно в Индии обнаружилась утечка более 100 млн. уникальных персональных номеров, присваиваемых каждому гражданину в рамках национальной программы идентификации.

А как вы считаете, аутентификация с помощью биометрии — это безопасность или просто удобство?

https://www.pcweek.ru/security/article/detail.php?ID=195309


За безопасность пользователя отвечает сам пользователь. Незнание правил безопасности не оправдание!

09/05/2017

Спросите любого сотрудника подразделения ИТ, что является самым слабым звеном в безопасности организации и получите в ответ, что основная проблема находится между клавиатурой и стулом.

Короче, они указывают пальцем на пользователей. Чаще всего это потому что большинство успешных атак имеют общую точку входа – пользователя. Однако есть и еще одна причина. Несмотря на все средства обеспечения безопасности и все усилия отделов ИТ, пользователи – это та составляющая, которой нельзя никогда полностью управлять.

Разочарование ИТ легко понять. За последние 20 лет тема кибербезопасности стала общедоступной. Однако, Identity Theft Resource Center отмечает 40% рост числа нарушений в 2016 году, а Ponemon Institute и Experian отмечают рост организационных проблем вокруг пользователей.

Что происходит?

Дальнейшее развитие фишинговых технологий. Если ранее фишинг использовался в качестве средств доставки полезной нагрузки непосредственно пользователям. Фактически злоумышленник ожидает что пользователь неосторожно щелкнет и откроет злонамеренное вложение: PDF, изображение, документ или замаскированный исполняемый файл. Фактически пользователям предлагается проигнорировать вложение, если они не понимают от кого это пришло.

Это привело к тому, что атакующие улучшили тактику атак, чтобы помешать дифференцировать злонамеренные и законные вложения.

Увы, новые методы срабатывают. Согласно отчета Wombat Security’s State of the Phish report вложения, содержащиеся в персонализированных фишинговых электронных письмах с именем получателя, открывались на 19% чаще, чем не персонализированные.

Что делать?

  1. Никогда не реагируйте на запросы на установление соединения, получаемые вами по электронной почте. Прежде чем отреагировать на предложение установить соединение, попробуйте понять кто это и действительно ли вам это необходимо.
  2. Тщательно проверяйте кто хочет стать вашим контактом. В частности, в социальных сетях. Никогда не принимайте приглашение в друзья от тех, кого вы не знаете лично.

Несмотря на то, что такие рекомендации звучат очень часто, пользователи упорно их игнорируют. Это приводит к успешности фишинговых атак.


Работа в режиме «Инкогнито»

07/05/2017

Безмалый В.Ф.

Microsoft Security Trusted Advisor

Kaspersky Certified Consultant

Иногда возникает необходимость работать таким образом, чтобы на вашем ПК не сохранялась информация о посещенных вами сайтах, скачанных файлах. В таком случае вы сможете выбрать в Google Chrome режим инкогнито. В браузерах Internet Explorer и Edge соответствующий режим называется InPrivate. В Safari, соответственно, Private Browsing. Подобный режим существует и в Firefox.

В общем случае данный режим предназначен для сокрытия следов вашего веб-серфинга.

В данной статье мы с вами рассмотрим браузеры Internet Explorer, Edge, Google Chrome.

Читать далее…


Как “американская пенсионерка” выманивает деньги через благотворительный фонд, которого нет

06/05/2017

Явная «халява», приглашение пройти по ссылке за подробностями и даже антиспамовая добавка в виде замены нулей в обещанной сумме на букву «О» — к нам попало фишинговое письмо. Посмотрим, в какую мышеловку нас заманивают. Если пройти по предложенной ссылке (пожалуйста, не повторяйте этот трюк дома!), попадаем на совершенно официальный сайт твиттера t.co.

Читать далее…