О том, почему шифровальщик — это вершина айсберга далеко за пределами ИБ
К нам в прошлом месяце обратилось аж пять (!) ранее незнакомых нам человек с вопросом о том, можно ли расшифровать зашифрованные данные. К сожалению, обычно в таких случаях мы можем оказать только моральную поддержку — в случае с МСП+ с их минимальным чеком за расшифровку, нам даже не к кому их отправить, не те деньги.
Причем в 3 случаях это был классический подтвержденный рансом с выкупом. О результатах (платили или нет) умолчим, но вообще говоря шифрование — это только вершина айсберга. Проблема немного шире.
Однажды мы видели, как в качестве выкупа хакеры попросили 10 000 рублей. Нет, не долларов. Рублей. Да, компанию похоже атаковал школьник — и он достиг некоторых проблем. Возможно и шифрования настоящего там и не было.
Так вот, проблема в том, что угроза потери данных — она вообще не только про ИБ. Она про инфру, про кривые руки, про конкурентов, про обиженных сотрудников, да про что угодно. Мы считаем, что продукт 4security (если удастся выдержать его ценник) станет своего рода необходимым гигиеническим минимумом для бизнеса. И нет, мы не собираемся конкурировать с другими ИБ-продуктами. Мы решаем другую задачу — простой комплексной защиты.
А то практика показывает, что даже нормально настроить бэкап у нас могут не только лишь все.
К нам в прошлом месяце обратилось аж пять (!) ранее незнакомых нам человек с вопросом о том, можно ли расшифровать зашифрованные данные. К сожалению, обычно в таких случаях мы можем оказать только моральную поддержку — в случае с МСП+ с их минимальным чеком за расшифровку, нам даже не к кому их отправить, не те деньги.
Причем в 3 случаях это был классический подтвержденный рансом с выкупом. О результатах (платили или нет) умолчим, но вообще говоря шифрование — это только вершина айсберга. Проблема немного шире.
Однажды мы видели, как в качестве выкупа хакеры попросили 10 000 рублей. Нет, не долларов. Рублей. Да, компанию похоже атаковал школьник — и он достиг некоторых проблем. Возможно и шифрования настоящего там и не было.
Так вот, проблема в том, что угроза потери данных — она вообще не только про ИБ. Она про инфру, про кривые руки, про конкурентов, про обиженных сотрудников, да про что угодно. Мы считаем, что продукт 4security (если удастся выдержать его ценник) станет своего рода необходимым гигиеническим минимумом для бизнеса. И нет, мы не собираемся конкурировать с другими ИБ-продуктами. Мы решаем другую задачу — простой комплексной защиты.
А то практика показывает, что даже нормально настроить бэкап у нас могут не только лишь все.
Сколько должен стоить ИБ-продукт для МСБ? (важный текст, много цифр)
Мы тут много думали, а сколько вообще реально может стоить ИБ-продукт, кратно повышающий защиту МСБ от шифрования и утечек? Подчеркнем: речь не идет о построении полноценной комплексной защиты, это гарантированно 10+ млн рублей и в текущих реалиях для небольших компаний не имеет особого смысла. Почему? У нас, если что, с вероятностью ключевая ставка будет 20+% до конца года — бизнес эти деньги потратит на оборотку и будет прав.
Ущерб для МСБ от утечек оценить сложно, а вот о шифровальщиках можно поговорить: за последние пару лет появилось много данных. Например, тут Инностейдж пишет: "Тренд 1. Сохранение фокуса хакеров на среднем и малом бизнесе. В частности, в 2023 г. 43% утечек произошло у среднего бизнеса, 38% — у малого, 19% — у крупного." То есть угроза есть.
Идем дальше: F6 (ex-F.A.C.C.T.): "... на протяжении 2024-го специалисты F6 зафиксировали более 500 атак с использованием шифровальщиков в России — рост почти в полтора раза по сравнению с 2023 годом. «Суммы первоначального выкупа за расшифровку данных в 2024 году для малого бизнеса составляли от 100 000 до 5 млн рублей ($1000-50 000)...". Что видим на выходе: рост числа атак и количественная оценка — можно считать ее "оценкой снизу". Подчеркнем, 500 — это только по данным одной (!) ИБ-компании, пусть и флагмана и это только те, у кого были деньги и желание на то, чтобы разбираться. А сколько просто заплатило выкуп? А сколько пошло не в F6 а в условный PT или Бизон?
А вот тут сотрудник (вероятно) Позитива пишет: "В 2023 году количество атак с целью получения выкупа выросло на 160%, а средняя цена за дешифровку данных составила 53 млн руб. Для сегмента небольших компаний, по моим оценкам, средняя сумма примерно в 10 раз меньше". Такую же цифру дает Касперский: "В России каждая пятая атака нацелена на компании из сектора среднего бизнеса. При этом при удачной попытке мошенникам удается присвоить себе в среднем пять миллионов рублей".
Подведем итоги: на рынке есть оценка выкупа в 3-5 млн рублей. Ущерб от шифрования (в случае неуплаты выкупа) оценим в такую же величину — там простой бизнеса и стоимость восстановления. Ситуации, когда выкуп был уплачен, а данные не были восстановлены, оставим за скобками. В итоге предположим, что одна успешная атака с шифрованием без учета утечек обходится компании в 3 млн рублей. С утечками сложнее — закон там только ввели, так что будем делать допущения. Вероятность атаки тоже ненулевая — в России по данным ФНС около 200К малых предприятий и около 20К средних, и шансы стать жертвой кибератаки — это уже не доли процента, а проценты.
Для оценки цены посмотрим на аналогичный продукт — страхование. В целом, ИБ на рынке страхует много кто (Ингосстрах, СОГАЗ, Альфа-Страхование, Ренессанс Страхование, Сбербанк Страхование, ПСБ), часть из них точно будут работать с МСБ и малыми чеками. Средний страховой тариф на рынке находится в интервале 2-5%. Для МСБ оценим тариф в 4%.
И вот считаем: в среднем ущерб от атаки шифровальщика может быть в районе 3-5 млн рублей, с учетом известной риск-премии получаем где-то 10-15К рублей стоимости полиса в месяц. Как ни странно, бьется со стоимостью бэкапирования. С утечками сложнее, но представим себе ущерб в 2 млн, страховку под 4% и получим в итоге еще 6-7К
Ну и вот мы определили плюс минус адекватную стоимость продукта — 20-30К рублей в месяц для достаточно простой инфраструктуры. Терабайты бэкапов, понятно, обойдутся дороже. Все, что будет сильно дороже, небольшие компании просто не купят. Продукт должен и радикально сокращать вероятность утечки, и минимизировать ущерб от возможного шифрования. По-сути, существенно увеличивая стоимость атаки.
Мы тут много думали, а сколько вообще реально может стоить ИБ-продукт, кратно повышающий защиту МСБ от шифрования и утечек? Подчеркнем: речь не идет о построении полноценной комплексной защиты, это гарантированно 10+ млн рублей и в текущих реалиях для небольших компаний не имеет особого смысла. Почему? У нас, если что, с вероятностью ключевая ставка будет 20+% до конца года — бизнес эти деньги потратит на оборотку и будет прав.
Ущерб для МСБ от утечек оценить сложно, а вот о шифровальщиках можно поговорить: за последние пару лет появилось много данных. Например, тут Инностейдж пишет: "Тренд 1. Сохранение фокуса хакеров на среднем и малом бизнесе. В частности, в 2023 г. 43% утечек произошло у среднего бизнеса, 38% — у малого, 19% — у крупного." То есть угроза есть.
Идем дальше: F6 (ex-F.A.C.C.T.): "... на протяжении 2024-го специалисты F6 зафиксировали более 500 атак с использованием шифровальщиков в России — рост почти в полтора раза по сравнению с 2023 годом. «Суммы первоначального выкупа за расшифровку данных в 2024 году для малого бизнеса составляли от 100 000 до 5 млн рублей ($1000-50 000)...". Что видим на выходе: рост числа атак и количественная оценка — можно считать ее "оценкой снизу". Подчеркнем, 500 — это только по данным одной (!) ИБ-компании, пусть и флагмана и это только те, у кого были деньги и желание на то, чтобы разбираться. А сколько просто заплатило выкуп? А сколько пошло не в F6 а в условный PT или Бизон?
А вот тут сотрудник (вероятно) Позитива пишет: "В 2023 году количество атак с целью получения выкупа выросло на 160%, а средняя цена за дешифровку данных составила 53 млн руб. Для сегмента небольших компаний, по моим оценкам, средняя сумма примерно в 10 раз меньше". Такую же цифру дает Касперский: "В России каждая пятая атака нацелена на компании из сектора среднего бизнеса. При этом при удачной попытке мошенникам удается присвоить себе в среднем пять миллионов рублей".
Подведем итоги: на рынке есть оценка выкупа в 3-5 млн рублей. Ущерб от шифрования (в случае неуплаты выкупа) оценим в такую же величину — там простой бизнеса и стоимость восстановления. Ситуации, когда выкуп был уплачен, а данные не были восстановлены, оставим за скобками. В итоге предположим, что одна успешная атака с шифрованием без учета утечек обходится компании в 3 млн рублей. С утечками сложнее — закон там только ввели, так что будем делать допущения. Вероятность атаки тоже ненулевая — в России по данным ФНС около 200К малых предприятий и около 20К средних, и шансы стать жертвой кибератаки — это уже не доли процента, а проценты.
Для оценки цены посмотрим на аналогичный продукт — страхование. В целом, ИБ на рынке страхует много кто (Ингосстрах, СОГАЗ, Альфа-Страхование, Ренессанс Страхование, Сбербанк Страхование, ПСБ), часть из них точно будут работать с МСБ и малыми чеками. Средний страховой тариф на рынке находится в интервале 2-5%. Для МСБ оценим тариф в 4%.
И вот считаем: в среднем ущерб от атаки шифровальщика может быть в районе 3-5 млн рублей, с учетом известной риск-премии получаем где-то 10-15К рублей стоимости полиса в месяц. Как ни странно, бьется со стоимостью бэкапирования. С утечками сложнее, но представим себе ущерб в 2 млн, страховку под 4% и получим в итоге еще 6-7К
Ну и вот мы определили плюс минус адекватную стоимость продукта — 20-30К рублей в месяц для достаточно простой инфраструктуры. Терабайты бэкапов, понятно, обойдутся дороже. Все, что будет сильно дороже, небольшие компании просто не купят. Продукт должен и радикально сокращать вероятность утечки, и минимизировать ущерб от возможного шифрования. По-сути, существенно увеличивая стоимость атаки.
Конспирология вокруг Garantex
Множество каналов написали сегодня как по запросу правительства США были заморожены кошельки российской криптобиржи Garantex, а теперь и на месте сайта расположена заглушка, что домен был изъят. Ситуация понятная, не будем на ней останавливаться. Мы тут исключительно про технику.
А остановился вот на чем, я с удивлением обнаружил среди своих знакомых тех, кто начали сомневаться, что это все действительно так! Начали говорить о "фальсификации самой биржей", даже заглушку на домене якобы разместили они сами!
Ну вот смотрите, если сделать запрос к DNS Google(8.8.8.8)
Через сторонние сервисы видно, что домен теперь в зоне ответственности
К тому же, смотрим IP-адрес с которого нам отдают заглушку -
Поэтому не плодите, пожалуйста, конспирологию. А то видимо скоро кто-то докопается до http://garantex.ru и средство от тараканов тоже в эту "теорию", впишет!
Множество каналов написали сегодня как по запросу правительства США были заморожены кошельки российской криптобиржи Garantex, а теперь и на месте сайта расположена заглушка, что домен был изъят. Ситуация понятная, не будем на ней останавливаться. Мы тут исключительно про технику.
А остановился вот на чем, я с удивлением обнаружил среди своих знакомых тех, кто начали сомневаться, что это все действительно так! Начали говорить о "фальсификации самой биржей", даже заглушку на домене якобы разместили они сами!
Ну вот смотрите, если сделать запрос к DNS Google(8.8.8.8)
"nslookup garantex.org", запрос вовсе будет отклонен. Ведь А-записи просто нет!Через сторонние сервисы видно, что домен теперь в зоне ответственности
usssdomainseizure.com, и заглушка открывается вообще без А-записи. Что руками обычного владельца домена сделать невозможно. К тому же, смотрим IP-адрес с которого нам отдают заглушку -
12.97.28.149. Что на нем помимо заглушки Garantex? Пачка также изъятых доменов, откройте любой. Сам же IP принадлежит американскому провайдеру AT&T без указания финального владельца)Поэтому не плодите, пожалуйста, конспирологию. А то видимо скоро кто-то докопается до http://garantex.ru и средство от тараканов тоже в эту "теорию", впишет!
Forwarded from Ever Secure (Aleksey Fedulaev)
#созвон_сообщества
Запись созвона
На созвоне разобрали чем отличается нашумевшее в последнее время "Кибериспытание" от багбанути и привычных нам редтимов, что оно дает исследователям, заказчикам, и на что опирается публичная методика.
Смотреть на:
-📹 Youtube
-💳 Boosty
-📺 VK
-📺 Rutube
👀 @ever_secure
Запись созвона
На созвоне разобрали чем отличается нашумевшее в последнее время "Кибериспытание" от багбанути и привычных нам редтимов, что оно дает исследователям, заказчикам, и на что опирается публичная методика.
Смотреть на:
-
-
-
-
Please open Telegram to view this post
VIEW IN TELEGRAM
Lockbit vs ЛАНИТ, случайный слив информации по расследованию
В одном из публичных ТГ каналов одного из подразделений ЛАНИТа, был опубликован пост с файлом сбора обратной связи по текущему процессу восстановления, после взлома 21 февраля. Канал позиционируется как "для сотрудников", но почему-то открыт на чтение всем желающим.
В файле были указаны данные:
- ФИО пользователей рабочих станций.
- Подразделении.
- Статусы пройденных проверок ("заражен", "чисто" и пр.).
- Обнаруженные подозрительные файлы.
- Решение по работе с рабочей станцией.
Всего в файле более 250 рабочих станций и пользователей.
Сам файл расположен на Google.Docs и открыт всем желающим по ссылке. Вскоре пост в канале был удален, но ссылка на файл осталась актуальной даже на момент публикации поста.
Из файла очевидно, что зашифрованы данные были именно нашумевшим шифровальщиком LockBit, даже на представленном скриншоте с замазанными данными это заметно.
Что можно сказать? Слив файла показывает отношение к ИБ в компании и после инцидента.
В одном из публичных ТГ каналов одного из подразделений ЛАНИТа, был опубликован пост с файлом сбора обратной связи по текущему процессу восстановления, после взлома 21 февраля. Канал позиционируется как "для сотрудников", но почему-то открыт на чтение всем желающим.
В файле были указаны данные:
- ФИО пользователей рабочих станций.
- Подразделении.
- Статусы пройденных проверок ("заражен", "чисто" и пр.).
- Обнаруженные подозрительные файлы.
- Решение по работе с рабочей станцией.
Всего в файле более 250 рабочих станций и пользователей.
Сам файл расположен на Google.Docs и открыт всем желающим по ссылке. Вскоре пост в канале был удален, но ссылка на файл осталась актуальной даже на момент публикации поста.
Из файла очевидно, что зашифрованы данные были именно нашумевшим шифровальщиком LockBit, даже на представленном скриншоте с замазанными данными это заметно.
Что можно сказать? Слив файла показывает отношение к ИБ в компании и после инцидента.
Forwarded from Secure-T: Insights
Команда Secure-t подготовила первый фреймворк «Как построить процесс повышения осведомлённости сотрудников в области информационной безопасности». Этот фреймворк — настоящий must-have для компаний, которые хотят минимизировать риски кибератак и повысить устойчивость своих сотрудников к современным угрозам. Это лишь один из элементов нашей комплексной стратегии по формированию киберкультуры.
Мы гордимся этим документом и уверены, что он станет полезным инструментом для вашей компании. Скачивайте, внедряйте, делитесь с коллегами! И помните: осведомлённость сотрудников — это первый шаг к защите от киберугроз.
Ссылка на скачивание фреймворка!
Please open Telegram to view this post
VIEW IN TELEGRAM
3side кибербезопасности
Новая ссылка на фреймворк - https://disk.yandex.ru/i/mkh0RaKDO2XQsw
Яндекс Диск
Фреймворк_по_повышению_осведомленности_рядовых_сотрудников_1_1.pdf
Посмотреть и скачать с Яндекс Диска
3side кибербезопасности
Представляем первый рейтинг Топ — 43 лучших каналов в тематике ИБ в российском Telegram. Основной критерий ранжирования в рейтинге — качество контента в канале и содержание. Каналы по шкале от 1 до 10 в нашем закрытом опроснике оценивала фокус группа из…
Держим 6 место!
Итак, мы снова взяли 6 место в рейтинге корпоративных ТГ каналов по кибербезопасности!
В этот раз на этой строчке помимо нас Инфосистемы Джет, РТ-ИБ, Инфотекс и Echelon Eyes.
Мы очень рады такой оценке, хотя понимаем, что объективно уделяем каналу последнее время маловато внимания.
Но напоминаем, что у нас канал ведется на факультативной основе, ведь у нас нет:
- СММщика
- Бюджета на канал
- Платной рекламы на канале
- Открытых комментариев
Как только наша работа с каналом станет более системной, будем бороться за топ-3)
Остаемся с вам на связи, и если у вас есть предложения по темам которые стоит подсветить в канале, пишите в контакты!
Итак, мы снова взяли 6 место в рейтинге корпоративных ТГ каналов по кибербезопасности!
В этот раз на этой строчке помимо нас Инфосистемы Джет, РТ-ИБ, Инфотекс и Echelon Eyes.
Мы очень рады такой оценке, хотя понимаем, что объективно уделяем каналу последнее время маловато внимания.
Но напоминаем, что у нас канал ведется на факультативной основе, ведь у нас нет:
- СММщика
- Бюджета на канал
- Платной рекламы на канале
- Открытых комментариев
Как только наша работа с каналом станет более системной, будем бороться за топ-3)
Остаемся с вам на связи, и если у вас есть предложения по темам которые стоит подсветить в канале, пишите в контакты!
Telegram
Sachok
Топ-108 телеграм-каналов в ИБ
Сделали с каналом «Пакет Безопасности» второй рейтинг лучших Telegram-каналов в ИБ-отрасли, расширив выборку и добавив новые категории.
Выбирать лучшие каналы нам помогали ИБ-специалисты, PR-специалисты, маркетологи и журналисты…
Сделали с каналом «Пакет Безопасности» второй рейтинг лучших Telegram-каналов в ИБ-отрасли, расширив выборку и добавив новые категории.
Выбирать лучшие каналы нам помогали ИБ-специалисты, PR-специалисты, маркетологи и журналисты…
CISO FORUM 2025: 3 причины, почему вам стоит присоединиться
CISO FORUM становится еще сильнее: присоединились топовые эксперты, новые партнеры и ведущие медиа-персоны. До встречи осталось чуть больше месяца, и мы хотим рассказать, как растет и развивается форум в этом году.
1. Лидеры мнений отрасли
Форум поддерживают ведущие инфлюенсеры! Не пропустите возможность встретиться лично на площадке с такими важными персонами ИБ-сообщества как Дмитрий Борощук, Денис Батранков, Лев Палей и Андрей Марсалович. CISO FORUM продолжает наращивать темп и готовим еще больше значимых анонсов.
2. Лучшая программа за все годы
Программа пополнилась новыми ведущими спикерами. На сцене конференции – лидеры отрасли, готовые делиться своим опытом и стратегиями защиты бизнеса в новой реальности. Вот только часть новых спикеров в программе:
• Всеслав Солейник – Директор по кибербезопасности, СберТех
• Татьяна Фомина – Директор по ИТ и кибербезопасности, HeadHunter
• Михаил Савельев – Директор департамента ИБ, Ростелеком
• Артем Избаенков – Член правления, АРСИБ
3. Партнеры, которые делают конференцию масштабнее
CISO FORUM поддерживают крупнейшие компании, лидеры в своей области, такие как Yandex Cloud, Газинформсервис, UserGate, Curator и Мегафон. Сотрудничество с ними делает форум уникальным и незаменимым событием, которое дает участникам доступ к передовым решениям и возможностям для развития бизнеса в области ИБ.
Встретимся 10 апреля в Loft Hall, Москва!
Участие для IT и ИБ руководителей — бесплатное! Подать заявку на участие можно на сайте.
P.S. Мы информационный партнер форума и сами будем на нем
CISO FORUM становится еще сильнее: присоединились топовые эксперты, новые партнеры и ведущие медиа-персоны. До встречи осталось чуть больше месяца, и мы хотим рассказать, как растет и развивается форум в этом году.
1. Лидеры мнений отрасли
Форум поддерживают ведущие инфлюенсеры! Не пропустите возможность встретиться лично на площадке с такими важными персонами ИБ-сообщества как Дмитрий Борощук, Денис Батранков, Лев Палей и Андрей Марсалович. CISO FORUM продолжает наращивать темп и готовим еще больше значимых анонсов.
2. Лучшая программа за все годы
Программа пополнилась новыми ведущими спикерами. На сцене конференции – лидеры отрасли, готовые делиться своим опытом и стратегиями защиты бизнеса в новой реальности. Вот только часть новых спикеров в программе:
• Всеслав Солейник – Директор по кибербезопасности, СберТех
• Татьяна Фомина – Директор по ИТ и кибербезопасности, HeadHunter
• Михаил Савельев – Директор департамента ИБ, Ростелеком
• Артем Избаенков – Член правления, АРСИБ
3. Партнеры, которые делают конференцию масштабнее
CISO FORUM поддерживают крупнейшие компании, лидеры в своей области, такие как Yandex Cloud, Газинформсервис, UserGate, Curator и Мегафон. Сотрудничество с ними делает форум уникальным и незаменимым событием, которое дает участникам доступ к передовым решениям и возможностям для развития бизнеса в области ИБ.
Встретимся 10 апреля в Loft Hall, Москва!
Участие для IT и ИБ руководителей — бесплатное! Подать заявку на участие можно на сайте.
P.S. Мы информационный партнер форума и сами будем на нем
MaxPatrol SIEM теперь бесплатен, но за обучение ИИ
Наконец один из ведущих SIEM продуктов России теперь можно использовать свободно. Достаточно его скачать с официального сайта и развернуть. Это ведь так просто?
Условия просты - все написанные вами правила и сработки по ним будут аккумулироваться в PT, на этих данных будет обучаться ИИ!
В целом это отличная возможность для многих компаний сэкономить несколько своих годовых бюджетов и начать заниматься кибербезом всерьез. Готовы ли вы делиться своими данными для повышения качества продукта и повышения защищенности страны? Либо предпочтете заплатить за приватную версию?
Именно сегодня1 апреля в качестве шутки , у вас появился выбор!
Наконец один из ведущих SIEM продуктов России теперь можно использовать свободно. Достаточно его скачать с официального сайта и развернуть. Это ведь так просто?
Условия просты - все написанные вами правила и сработки по ним будут аккумулироваться в PT, на этих данных будет обучаться ИИ!
В целом это отличная возможность для многих компаний сэкономить несколько своих годовых бюджетов и начать заниматься кибербезом всерьез. Готовы ли вы делиться своими данными для повышения качества продукта и повышения защищенности страны? Либо предпочтете заплатить за приватную версию?
Именно сегодня
Мессенджер или туннель?
Во многих компаниях все еще используют WhatsApp как корпоративный мессенджер по разным причинам: от привычки до необходимости общаться со своими клиентами, которые не воспринимают иные мессенджеры.
В таком случае в средствах защиты и фильтрации трафика WhatsApp трафик неизбежно попадает в белые списки, содержимое его все равно не посмотреть благодаря P2P-шифрованию, и в целом выглядит такое исключение безопасно. Или нет?
На просторах GitHub обнаружился репозиторий с ПО, позволяющим прокинуть TCP-туннель через WhatsApp! Фактически мессенджер используется как защищенный и не вызывающий подозрений с точки зрения средств защиты транспорт.
Как именно это происходит?
По умолчанию объем сообщений в мессенджере достаточно большой, до 20к символов. К тому же передача двоичных файлов происходит только с сжатием, что позволяет достаточно легко поднять туннель. Автор еще не экспериментировал со звонками и подозревает, что в таком случае скорость может быть еще выше.
Для чего это было сделано? Вовсе не для вредоносного ПО, а лишь для обхода тарификации операторов связи. Автор путешествовал по Южной Америке, где нет безлимитного интернета, но есть безлимитный трафик WhatsApp. Это распространенная практика у многих операторов мира, а подобные туннели позволяют завернуть в WhatsApp даже YouTube. Но могут ли это использовать и злоумышленники? Бесспорно.
А остальные мессенджеры? IP-туннель в Телеграмм уже тоже делали, но в рамках лишь эксперимента. C2 (Command & Controll) сервера вредоносного ПО с использование Телеграмм уже точно были. Поэтому в эпоху подобных приложений уповать только на сетевую защиту точно не стоит. Вы не можете быть уверены, что там внутри мессенджера.
Сам репозиторий тут.
https://github.com/aleixrodriala/wa-tunnel
Во многих компаниях все еще используют WhatsApp как корпоративный мессенджер по разным причинам: от привычки до необходимости общаться со своими клиентами, которые не воспринимают иные мессенджеры.
В таком случае в средствах защиты и фильтрации трафика WhatsApp трафик неизбежно попадает в белые списки, содержимое его все равно не посмотреть благодаря P2P-шифрованию, и в целом выглядит такое исключение безопасно. Или нет?
На просторах GitHub обнаружился репозиторий с ПО, позволяющим прокинуть TCP-туннель через WhatsApp! Фактически мессенджер используется как защищенный и не вызывающий подозрений с точки зрения средств защиты транспорт.
Как именно это происходит?
По умолчанию объем сообщений в мессенджере достаточно большой, до 20к символов. К тому же передача двоичных файлов происходит только с сжатием, что позволяет достаточно легко поднять туннель. Автор еще не экспериментировал со звонками и подозревает, что в таком случае скорость может быть еще выше.
Для чего это было сделано? Вовсе не для вредоносного ПО, а лишь для обхода тарификации операторов связи. Автор путешествовал по Южной Америке, где нет безлимитного интернета, но есть безлимитный трафик WhatsApp. Это распространенная практика у многих операторов мира, а подобные туннели позволяют завернуть в WhatsApp даже YouTube. Но могут ли это использовать и злоумышленники? Бесспорно.
А остальные мессенджеры? IP-туннель в Телеграмм уже тоже делали, но в рамках лишь эксперимента. C2 (Command & Controll) сервера вредоносного ПО с использование Телеграмм уже точно были. Поэтому в эпоху подобных приложений уповать только на сетевую защиту точно не стоит. Вы не можете быть уверены, что там внутри мессенджера.
Сам репозиторий тут.
https://github.com/aleixrodriala/wa-tunnel
GitHub
GitHub - aleixrodriala/wa-tunnel: Tunneling Internet traffic over Whatsapp
Tunneling Internet traffic over Whatsapp. Contribute to aleixrodriala/wa-tunnel development by creating an account on GitHub.
Реверс — мошенничество без ваших СМС
Когда пишут СМИ о «новых схемах», зачастую в них нет ничего нового, лишь меняется предлог, под которым жертву мотивируют расстаться с деньгами/кодами смс, либо нюансы «маскировки» мошенников.
Но сейчас действительно сменили схему, а не скрипт. Мошенники ушли в реверс! В начале они всё также вам звонят из колл-центра, но при этом не просят никаких кодов от Госуслуг или банков. Напротив, они говорят, что сообщать им коды не нужно. Они действительно им не нужны.
А дальше включается театр, они просят жертву «повисеть на трубке» и разыгрывают сценку, где операторы говорят между собой о том, что дело серьезное и нужно подключать генерала СК/ФСБ/МВД. Дальше звонок просто сбрасывается!
А в этот момент уже испуганной жертве приходит поддельное СМС о входе в Госуслуги/Банк и номер «техподдержки». Вот и реверс, жертва сама звонит на поддельный номер, напрямую в колл-центр и никак не сомневается в том, что это не мошенники.
Ведь:
1. Все триггеры первого звонка не сработали. Жертву не убеждали что-то сделать, не просили коды и даже разговор о «серьёзности ситуации и подключении генерала» жертва как бы случайно подслушала.
2. Жертва сама общается на «горячую линию». Не ей позвонили, а она сама!
В результате всё тот же результат «перевод денег на безопасный счет». Тут схема неизменна.
Использовали ли это ранее? Да, похожее использовали (https://habr.com/ru/articles/774162/). Они первично заходили в аккаунт Госуслуг и использовали «контрольный вопрос» для размещения мошеннического номера.
Помните, что схемы бывают очень разные, и запоминать типичные последовательности их скриптов бесполезно. Развивайте критическое мышление.
Когда пишут СМИ о «новых схемах», зачастую в них нет ничего нового, лишь меняется предлог, под которым жертву мотивируют расстаться с деньгами/кодами смс, либо нюансы «маскировки» мошенников.
Но сейчас действительно сменили схему, а не скрипт. Мошенники ушли в реверс! В начале они всё также вам звонят из колл-центра, но при этом не просят никаких кодов от Госуслуг или банков. Напротив, они говорят, что сообщать им коды не нужно. Они действительно им не нужны.
А дальше включается театр, они просят жертву «повисеть на трубке» и разыгрывают сценку, где операторы говорят между собой о том, что дело серьезное и нужно подключать генерала СК/ФСБ/МВД. Дальше звонок просто сбрасывается!
А в этот момент уже испуганной жертве приходит поддельное СМС о входе в Госуслуги/Банк и номер «техподдержки». Вот и реверс, жертва сама звонит на поддельный номер, напрямую в колл-центр и никак не сомневается в том, что это не мошенники.
Ведь:
1. Все триггеры первого звонка не сработали. Жертву не убеждали что-то сделать, не просили коды и даже разговор о «серьёзности ситуации и подключении генерала» жертва как бы случайно подслушала.
2. Жертва сама общается на «горячую линию». Не ей позвонили, а она сама!
В результате всё тот же результат «перевод денег на безопасный счет». Тут схема неизменна.
Использовали ли это ранее? Да, похожее использовали (https://habr.com/ru/articles/774162/). Они первично заходили в аккаунт Госуслуг и использовали «контрольный вопрос» для размещения мошеннического номера.
Помните, что схемы бывают очень разные, и запоминать типичные последовательности их скриптов бесполезно. Развивайте критическое мышление.
Хабр
Может ли быть уязвимость в дизайне, контенте и CSS и разбор такой уязвимости(?) на Госуслугах
Кажется, что уязвимость - штука техническая, но на Госуслугах есть интересная комбинация уязвимостей (ну или, скажем, черт, особенностей) в сфере CSS, дизайна, юзабилити, которые мошенники используют...
Когда действительно надо привлекать аутсорс в ИБ (спойлер: почти всегда, если вы небольшая компания)
Тут РБК выкатили прикольную статью, где пишут (со ссылкой на консалтеров из бывших "Янгов") о том, что только каждая третья российская компания прибегает к аутсорсу. Понятно, что речь там идет в основном про сотрудников вокруг "основного вида деятельности" — для заводов это рабочие, для стройки это строители, и так далее.
Но мы поговорим про наше любимое ИБ. И вот в статье пишут, что главная причина, по которой бизнес в России не любит аутсорс — это как раз боязнь утечек. Правильно ли это? Да, но нет, и по нашему опыту бояться аутсорса это примерно как бояться летать. Условно, если вам и дома норм или вас зовут Ким Чен Ир, то проблемы (у вас) нет. Иначе эту собаку надо учиться готовить.
Первый и главный момент — выбор аутсорс vs найм вообще не зависит от критичности функции. То есть идея "на критичные должности только нанимаем" для больших компаний имеет смысл, но для МСП+ может быть глубоко порочной. Во-первых, нишевые аутсорсинговые компании обычно умеют митигировать такие риски. Во-вторых, если вы не Газпромбанк, то красть ваши данные аутсорсеру ... просто не выгодно.
Второй — для небольшой компании обычно разумнее дополнять IT-функцию, а не строить отдельную ИБ-вертикаль. Свое IT+vCISO+минимальный набор продуктов+разовые сторонние услуги это здоровая модель. Брать в штат условного пентестера — это не здоровая модель, они умирают от скуки даже в компаниях с выручкой в сотни миллиардов. Так что повторимся, если вы не Газпромбанк, то аутсорс ваш выбор.
И третье. Что действительно нужно и важно делать по нашему опыту — это растить в IT базовые ИБ-компетенции. Разработчик не заменит полноценного DevSecOps, но наличие у него базовых ИБ-навыков существенно упростит вам жизнь. С сисадмином, который отключит софт для удаленного подключения, сменит дефолтные пароли и настроит гостевой вайфай — похожая история.
В общем, аутсорс в ИБ — это вполне нормальный выбор. Просто его, как и любой другой инструмент, надо уметь готовить. Чем мы, собственно, и занимаемся.
Тут РБК выкатили прикольную статью, где пишут (со ссылкой на консалтеров из бывших "Янгов") о том, что только каждая третья российская компания прибегает к аутсорсу. Понятно, что речь там идет в основном про сотрудников вокруг "основного вида деятельности" — для заводов это рабочие, для стройки это строители, и так далее.
Но мы поговорим про наше любимое ИБ. И вот в статье пишут, что главная причина, по которой бизнес в России не любит аутсорс — это как раз боязнь утечек. Правильно ли это? Да, но нет, и по нашему опыту бояться аутсорса это примерно как бояться летать. Условно, если вам и дома норм или вас зовут Ким Чен Ир, то проблемы (у вас) нет. Иначе эту собаку надо учиться готовить.
Первый и главный момент — выбор аутсорс vs найм вообще не зависит от критичности функции. То есть идея "на критичные должности только нанимаем" для больших компаний имеет смысл, но для МСП+ может быть глубоко порочной. Во-первых, нишевые аутсорсинговые компании обычно умеют митигировать такие риски. Во-вторых, если вы не Газпромбанк, то красть ваши данные аутсорсеру ... просто не выгодно.
Второй — для небольшой компании обычно разумнее дополнять IT-функцию, а не строить отдельную ИБ-вертикаль. Свое IT+vCISO+минимальный набор продуктов+разовые сторонние услуги это здоровая модель. Брать в штат условного пентестера — это не здоровая модель, они умирают от скуки даже в компаниях с выручкой в сотни миллиардов. Так что повторимся, если вы не Газпромбанк, то аутсорс ваш выбор.
И третье. Что действительно нужно и важно делать по нашему опыту — это растить в IT базовые ИБ-компетенции. Разработчик не заменит полноценного DevSecOps, но наличие у него базовых ИБ-навыков существенно упростит вам жизнь. С сисадмином, который отключит софт для удаленного подключения, сменит дефолтные пароли и настроит гостевой вайфай — похожая история.
В общем, аутсорс в ИБ — это вполне нормальный выбор. Просто его, как и любой другой инструмент, надо уметь готовить. Чем мы, собственно, и занимаемся.