@idf_777

«Режим бога для интернета»: слежка за пользователями через расширения Chrome и Firefox

2019-08-05T10:18:38.874Z

У многих в браузере установлены расширения. Как минимум, блокировщик рекламы. Но при установке расширений следует проявлять осторожность: не все они полезны, а некоторые и вовсе используются для слежки.

Даже если конкретное расширение прямо сейчас не «ворует» никакой информации, нет никакой гарантии, что оно не начнёт это делать в будущем. Это системная проблема.

Недавно специалисты вскрыли деятельность «аналитической» компании Nacho Analytics, которая предлагает сервис под амбициозным девизом «Режим бога для интернета» (“God mode for the Internet”), отслеживая действия миллионов пользователей через расширения Chrome и Firefox почти в реальном режиме времени (с часовой задержкой).

Катастрофическую утечку персональных данных исследователи назвали DataSpii (произносится как data-spy). Они отмечают, что аналитическая фирма и её клиенты получают не просто историю посещённых страниц, но извлекают из URL и заголовков страниц разнообразную персональную информацию.

Клиенты Nacho Analytics могут осуществлять поиск в общем трафике по разным параметрам, например:

GPS-координаты пользователей;
налоговые декларации, деловые документы, слайды корпоративных презентаций на OneDrive и других хостингах;
видео с камер безопасности Nest;
номера VIN недавно купленных автомобилей, имена и адреса их владельцев;
аттачменты к сообщениям Facebook Messenger и фотографии Facebook, даже отправленные приватно;
данные банковских карточек;
маршруты путешествий;
и многое другое.

За $49 в месяц сервис позволял отслеживать действия сотрудников или пользователей конкретной компании/сайта: например, Apple, Facebook, Microsoft, Amazon, Tesla Motors или Symantec.

Утечка DataSpii затронула более 4 млн пользователей.

После того, как исследователи сообщили об утечке данных в Google и Mozilla, перечисленные расширения были удалены из официальных каталогов, а компания Nacho Analytics приостановила сервис «Режим бога для интернета». Возможно, не навсегда.

Некоторые расширения явно сообщали о сборе данных из браузера и выполняли его только с согласия пользователей, но другие делали это скрытно. Интересно, что отдельные расширения (Hover Zoom и SpeakIt) для дополнительной маскировки начинали отправлять собранные данные не сразу, а только через 24 дня после установки.

Удивительно, что Nacho Analytics позиционирует себя как легальный «аналитический сервис». Она утверждает, что сбор данных осуществляется с согласия пользователей. Но известно, что около 99% людей не читают соглашения об использовании при установке программ, так что подобное «согласие» — просто условность. Более того, теоретически, компания может выкупить существующее популярное расширение у нынешнего владельца — и немного модифицировать его в новой версии, чтобы начать сбор данных. Вероятно, большинство пользователей согласятся с новым соглашением об использовании, не читая его.

Как уже говорилось выше, экосистема расширений для браузеров в нынешнем виде — это системная проблема безопасности. Разработчики браузеров должны подумать, как её решить.

Хакерское устройство

2019-08-02T15:28:31.729Z

Сегодня я расскажу о том, как сделать из телефона устройство для хакеров с помощью простого скрипта. Сам же скрипт написан на Python, по этому нам потребуется его установить. Это по своей сути все, больше зависимостей у скрипта нет. Если вы подумали, что Termux требует root для работы, как большинство программ, связаных с нашей темой, то нет, он абсолютно свободно работает и без root доступа. Скрипт, который мы будем устанавливать, является своеобразным установщиком, который даст вам возможность в 1 клик установить 1 из 16 программ:

Nmap, Hydra, SQLMap, Metasploit, ngrok, Kali Nethunter, angryFuzzer, Red_Huwk, Weeman, IPGeolocation, Cupp, Instagram Bruteforcer, Twitter Bruteforcer, Ubuntu, Fedora, viSQL.

Дисклеймер

Данная статься создана в ознакомительных целях. Все что вы делаете, вы делаете на свой страх и риск! Администрация канала не несёт ответственности за ваши действия.

Установка скрипта

Для того, чтобы установить скрипт мы должны выполнить команды в Termux:

git clone https://github.com/AnonHackerr/toolss.git

cd toolss

chmod +x Toolss.py

python Toolss.py

Все, скрипт установлен и запущен. Перед вами должен быть список с предложением ввести цифру от 1-16 для установки программы и 99 для выхода.

Все, что вам осталось, это выбрать нужную программу и просто написать соотвествующую цифру и ждать завершения установки.

Nmap устанавливается быстро и сразу заносится в реестр, как и Metasploit, то есть введя команду nmap мы его сразу запустим. Не требуется перехода по папкам.

Пользуйтесь с умом и помните, что все, что здесь написано является информацией в образовательных целях и канал не несет ответственности за совершенные вами действия.

P.S.

Angryfuzzer

В задачи Angryfuzzer входит как обнаружение уязвимостей,так и поиск скрытых каталогов и файлов на сервере. Специализируется он на атаках таких систем управления содержимым,как Wordpress , Drupal и Joomla.

В опции входит следующее:

 -h, --help            вывод справки по командам
  -q, --quiet           скрытый,"бесшумный" режим
  -u URL, --url=URL      URL - адрес цели
  -c CMS, --cms=CMS     более точное уточнение,что сканируем ==> wp ,dp
  -w WORDLIST, --wordlist=WORDLIST - использовать словарь пользователя

В качестве примера построения атаки приводятся следующие алгоритмы:

1.) Фаззинг URL со стандартным словарём
python angryFuzzer.py -u http://домен2-го_и_верхнего уровней

2.) Фаззинг ,непосредственно с уточнением вида CMS (wordpress ,к примеру)
python angryFuzzer.py -u http://домен2-го_и_верхнего уровней --cms wp

3.) Фаззинг с использованием собственного словаря
python angryFuzzer.py -u http://домен2-го_и_верхнего уровней -w fuzzdb/discovery/predictable-filepaths/php/PHP.txt

Установка Angryfuzzer вручную:

git clone https://github.com/ihebski/angryFuzzer.git

cd angryFuzzer

sudo pip install -r requirements.txt

python angryFuzzer.py

Weeman

Установка вручную:

git clone https://github.com/samyoyo/weeman.git

cd weeman && ls

Создание фишинговой страницы с помощью weeman.

На этом этапе вы будете создавать поддельную страницу входа для любого веб-сайта, я буду использовать Facebook.com в нашем примере после того, как вы скачали репозиторий, есть программа под названием weeman.py, которую вы хотите открыть:

теперь введите команду, python2 weeman.py которая поможет вам получить доступ к программе weeman с помощью python2, теперь ваш интерфейс weeman открыт, есть несколько команд, которые необходимо ввести здесь для архивирования конечного результата
введите команду set url http://www.facebook.com и нажмите Enter, в этих командах sitename.com - имя веб-сайта, который вы хотите клонировать.
введите команду set port 8080 и нажмите Enter, это поможет вам установить порт для клонированного сайта, еще одна новая строка после нажатия Enter
введите команду, set action_url http://www.facebook.com нажав клавишу ввода, в этих командах http://www.facebook.com - это имя веб-сайта, на который вы хотите перенаправить информацию после ввода сведений на клонированном сайте. Еще одна новая строка появляется после того, как вы нажмете ввод, и теперь вы введете команду, run чтобы проверить всю предоставленную информацию и создать вашу фишинговую страницу.

После этого он создаст http-сервер и даст вам ссылку. нажмите на эту ссылку, и вы увидите свою клонированную страницу sitename.com. все, что напечатано на этой странице, будет отправлено на ваш сервер.

Bingooo. Теперь автоматически вы можете видеть информацию, введенную на вашем терминале termux.

Российская армия протестировала «военный интернет»

2019-08-02T15:18:04.200Z

Новая система позволяет обмениваться информацией на расстоянии нескольких тысяч километров.

Министерство обороны России опробовало высокоскоростные линии обмена информацией. По результатам тестов, «военный интернет» обеспечил скорость передачи в 300 мб/с между полевыми пунктами управления на расстоянии более 2 тыс. км, сообщили «Известиям» в ведомстве. Для достижения таких результатов Минобороны задействовало специальную технику и более 1,5 тыс. мобильных комплексов связи и шифрования.

По словам экспертов, все каналы связи надежно защищены от взлома и получить доступ к такой сети извне невозможно. Во время тестирования «военного интернета» обмен данными обеспечивала высокозащищенная локальная беспроводная сеть, позволяющая передавать файлы большого объема, в том числе аудио- и видеоинформацию.

В ходе учений применялись цифровые и мобильные комплексы видеоконференцсвязи МКС-П и МК ЗВКС, а также станции космической связи Р-438-Н «Белозер». Секретность и шифрование данных обеспечивают высокоскоростные криптомаршрутизаторы «Никель».

Созданная сеть полностью автономна и не имеет точек обмена трафиком, связывающих ее с «внешним» интернетом. Все данные зашифрованы и передаются через аппаратные средства Минобороны, что позволяет избежать возможных утечек. В перспективе подобные линии связи позволят организовать скоростную передачу практически любого объема информации по всей территории страны, уточнили в военном ведомстве.

Однако главная задача таких каналов связи состоит в передаче и обработке данных для систем автоматизированного и боевого управления. Современная автоматизированная сеть позволит получать данные в режиме реального времени, например, следить за запасами топлива и боеприпасов конкретной военной техники.

В нынешнем году Президент РФ Владимир Путин подписал так называемый закон об изоляции Рунета, призванный обеспечить стабильную работу российского сегмента интернета в случае отключения от всемирной Сети или скоординированных атак. В июне стало известно, российские власти не планируют создавать «суверенный интернет», но будут активно защищать его от внешних угроз.

Источник

Мошенники на Youtube

2019-08-02T15:07:43.036Z

Все мы привыкли к тому, что в видео на YouTube можно найти множество полезных советов на все случаи жизни, которые действительно работают. Поэтому многие пользователи доверяют этой платформе. Кроме того, YouTube принадлежит компании Google, что дополнительно улучшает репутацию сайта.

К сожалению, не всему, что вы видите в роликах на YouTube, можно верить — среди множества добросовестных создателей контента иногда попадаются шарлатаны. А то и откровенные мошенники, пытающиеся нажиться на доверии пользователей. Например, недавно на YouTube стали массово появляться видеоролики, которые обещанием легких денег заманивают жертв на сайты мошеннических опросов.

Мошеннические видео на YouTube: как это работает

Сначала мошенники используют таргетированную рекламу YouTube, чтобы заинтересовать жертву роликом с заголовком, в котором содержится заманчивое предложение легкого заработка. То же обещание обычно продублировано крупным шрифтом на обложке видео.

В самом ролике показывают, какие именно действия следует выполнить для получения денег. После этого следуют инструкции по оплате одной или нескольких комиссий. А в самом конце демонстрируется успешное получение денег на карту. Рассмотрим немного подробнее каждый из этих этапов.

Первый этап: первичный контакт с жертвой через продвижение видео

Начинается все с того, что в пользовательской ленте отображается рекламное видео очень заманчивого содержания. Поводы для «получения» денег могут быть самыми разными: прохождение опроса, розыгрыш подарков от крупной компании, благотворительная выплата от правительства США и так далее.

Примеры мошеннических роликов

Все эти видео продвигаются с помощью таргетированной рекламы YouTube, о чем прямо говорит желтая плашка под описанием видео. Впрочем, реклама совершенно не обязательно должна настораживать пользователей — куча легитимного контента продвигается на платформе точно таким же образом.

Второй этап: усыпление бдительности с помощью комментариев

В описании видео, в комментариях к нему и в самих роликах обычно упоминается, что, несмотря на наличие мошенников в сети, якобы именно этот сайт исправно платит:

В комментариях содержится множество фейковых отзывов. Причем не все комментарии откровенно восторженные — ради формирования естественности общей картины некоторые из них написаны как нейтральные или даже сомневающиеся:

Фальшивые комментарии к мошенническому видео

Также мошенники обычно уделяют немало внимания тому, чтобы придать комментариям больше правдоподобности. Они не промотируют видео сразу после создания, а сначала проводят подготовительную работу: постепенно добавляют комментарии (обратите внимание на скриншоте, что комментарии оставлены от месяца до недели назад) от разных фейковых аккаунтов, используют тех же ботов для того, чтобы добавить весомое количество лайков под комментариями. И только когда секция комментариев станет выглядеть красиво и правдоподобно, данное видео запускается на продвижение.

Третий этап: убедительные видеоролики

Ролики немного отличаются друг от друга, но по своей сути однотипны. Основную часть занимает поэтапное прохождение всех действий, необходимых для получения денег, а завершается все демонстрацией «подтверждения» работы метода. По ходу видео неоднократно подчеркивается, как просто совершать необходимые действия, основные из которых — это оплата «комиссий».

Как можно догадаться — в этом и есть уловка данного мошенничества: якобы для получения большой суммы требуется совершить ряд маленьких, по сравнению с основной суммой, выплат. Терминология необходимых комиссий, в зависимости от схемы мошенничества, может отличаться: «закрепительный платеж», «комиссия SWIFT-перевода» и так далее.

Некоторые схемы не останавливаются на одном платеже, а разбивают «выплату» на несколько частей и для каждой из них требуют к уплате «комиссию за перевод», «аренду транзитного счета», «комиссию за конвертацию» и так далее. Суммарно на всех этих комиссиях можно потерять до нескольких тысяч рублей:

Мошенники выманивают деньги под предлогом «комиссий», платы за «аренду транзитного счета», «закрепительного платежа» и так далее

Попытки мошенников завоевать доверие потенциальной жертвы иногда доходят до абсурда и блоки «отзывов» или «последних транзакций» могут появляться в самых неподходящих местах, например таких, как формы оплаты. Причем мошенники создают впечатление, что возникшая проблема с получением денег — это нормальное дело. Просто нужно оплатить очередную «комиссию», и проблема будет решена:

Самая главная часть видео, призванная убедить зрителей, что схема действительно работает, — это «подтверждение» получения выплаты в конце видео обязательно. Выглядит это как SMS от банка, в котором говорится о поступлении средств на счет карты:

«Доказательство» успешного поступления средств на счет карты из мошеннического ролика на YouTube. Разумеется, в реальности этого не произойдет

Четвертый этап: ссылка на мошеннический сайт

Обычно ссылка на сайт, на котором можно заработать легкие деньги, содержится либо в описании к видео, либо в первом комментарии. Переход по ссылке зачастую запускает цепочку переадресаций, которая необходима мошенникам на тот случай, если целевой сайт будет заблокирован хостингом или большинством антивирусов.

На сайте будет все то же самое, что было показано жертве в видеоролике. Разумеется, за исключением финального этапа — никакого поступления средств на счет карты не произойдет, сколько бы «закрепительных платежей» и «комиссий» ни оплатила жертва. В итоге всего этого жертва может лишиться от нескольких сотен до нескольких тысяч рублей — в зависимости от количества «комиссий» и настойчивости в стремлении получить ту самую «награду».

Как не попасться на уловки мошенников на YouTube

Чтобы не стать очередной жертвой подобной схемы, помните несколько простых правил:

Не забывайте, что бесплатный сыр бывает только в мышеловке. Никакой кнопки «получить деньги ни за что» не существует, что бы там ни говорилось в «обучающих» видео, которые за деньги продвигаются на YouTube.
Имейте в виду, что есть несколько надежных способов распознать мошенников в Интернете, но некоторые из них довольно сложные. Простой способ — установить надежный антивирус с защитой от фишинговых и мошеннических сайтов.

Источник

В России появится сервис купли-продажи данных автовладельцев

2019-08-02T14:59:06.066Z

К 2021 году в России может появиться Единая система сбора и обработки данных с бортовых компьютеров «умных» автомобилей (на их долю приходится порядка 40% всего российского автопарка). В частности, будут собираться сведения о моделях и марках транспортных средств, их техническом состоянии, маршрутах передвижения, а также номера телефонов и электронные адреса автовладельцев. Об этом изданию «Известия» сообщил вице-президент по технологиям НП «ГЛОНАСС» Евгений Белянко.

Собранные данные будут продаваться коммерческим организациям для таргетированной рекламы, нацеленной на владельцев автомобилей, отметил Белянко.

Предполагается, что основными пользователями системы станут автодилеры, станции техобслуживания и online-магазины товаров для водителей. Информацию с бортовых компьютеров они смогут получать только с согласия автовладельца, за которым сохранится право на отказ от передачи данных. Кроме того, он сможет обменивать сведения на выгодных для себя условиях на различные услуги и скидки.

Автовладельцам, желающим передавать свои данные, нужно будет установить на мобильное устройство интегрированное с системой приложение. Как пояснил Белянко, пользователи, согласившиеся на передачу информации, будут получать рекламные предложения на особых условиях.

«Механизм донесения этих предложений пока прорабатывается, но это точно будет не спам-рассылка. Вероятнее всего, речь пойдет об уведомлении в специальном приложении на смартфоне», - сообщил Белянко.

Источник

Как в России ловят и наказывают за незаконную торговлю персональными данными

2019-07-31T18:55:52.699Z

Наверное, уже все знают, что наши персональные данные давно и успешно стали объектом законной и незаконной экономической деятельности. Если судить по огромному количеству предложений на черном рынке, то может сложиться впечатление, что государство и частные компании - операторы персональных данных (банки, операторы сотовой связи и т.п.) попросту самоустранились от решения данной проблемы.

Однако, случаи, когда продавцов персданных ловят и даже судят, есть. Правда, стоит отметить, что ловят, как правило, непосредственных исполнителей заказов, т.е. сотрудников организаций, имеющих доступ к информации в силу своих служебных обязанностей. А вот посредники, активно нанимающие таких неблагонадежных сотрудников банков, операторов связи, госорганов, а затем перепродающие данные граждан на черном рынке, зачастую остаются в тени и уходят от наказания.

Я сделал подборку за год всех случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными, про которые писали СМИ.

Февраль 2018.

В суд направлено дело четверых жителей Пензы, арестованных за продажу персональных данных абонентов сотовых операторов. По данным следствия, в октябре 2016 года 26-летний житель Пензы и его 27-летний знакомый решили найти инсайдеров, имеющих доступ к двум операторам сотовой связи, которые за вознаграждение станут копировать персональные данные абонентов и сведения об их телефонных переговорах. Подельникам удалось договориться с двумя 20-летними девушками, работавшими в салонах операторов сотовой связи. В интернете на специализированных форумах было размещено объявление о продаже персональных данных абонентов и информации о звонках. С декабря 2016 по конец марта 2017 года было получено 17 заказов, каждый стоимостью от 500 до 4 000 рублей.

Март.

Прокуратура Нижегородской области сообщает, что по версии следствия 30–летний оперуполномоченный уголовного розыска ОМВД России по Богородскому району в 2015 году за денежное вознаграждение организовал незаконную передачу информации из ведомственных банков данных МВД. В 2016 году он привлёк к этому и своего младшего брата, также занимавшего должность оперуполномоченного уголовного розыска. Злоумышленники систематически использовали доступ в базы данных МВД России для получения и передачи служебной информации через интернет неопределенному кругу лиц. Эта преступная деятельность продолжалась более года. Отмечается, что таким образом мужчины получили доход свыше 700 тыс. рублей.

В Липецкой области на сотрудницу банка завели сразу три уголовных дела. Финансовый консультант местного офиса известного банка незаконно использовала персональные данные клиентов о счетах и вкладах. В ходе проверки выяснилось, что сотрудница банка использовала личные данные клиентов для хищения денег с их счетов и вкладов. Замечу только, что тут было хищение средств со счетов клиентов, а не торговля данными, видимо поэтому банк решился на подачу заявления в МВД. Других публичных случаев, когда банки официально расследуют незаконный доступ к информации клиентов, мне не известно.

Два бывших оперуполномоченных из Богородска (Нижегородская область) получили по 1,5 года лишения свободы условно за использование персональных данных из базы МВД. В ходе следствия установлены обстоятельства получения полицейскими 800 тысяч рублей от граждан из более чем 20 субъектов РФ. Большая часть переданных персональных данных связана с проверкой сведений о собственниках автомототранспортных средств.

Апрель.

33-летний экс-следователь одного из московских райотделов полиции, уволившись по собственному желанию из правоохранительных органов, решил зарабатывать деньги на торговле данными о частных телефонных переговорах. Раздобыв поддельную печать Мещанского райсуда Москвы, за два года успел оформить порядка 300 липовых судебных решений о предоставлении данных детализации телефонных переговоров, а также информации о самих абонентах у основных операторов сотовой связи. Стоимость одного заказа на детализацию и данные об абоненте колебалась от 45 тыс. до 100 тыс. руб., при этом самому бывшему следователю доставалось 10–15 тыс. руб. Остальные деньги распределялись между посредниками, с которыми экс-следователь в основном общался с помощью мессенджеров.

В Саратове по результатам прокурорской проверки возбуждено уголовное дело в отношении должностного лица. Установлено, что с марта по декабрь 2016 года помощник оперативного дежурного управления внутренних дел по городу Саратову, имеющий доступ к сведениям о происшествиях и преступлениях, произошедших на территории города Саратова, систематически передавал сведения о фактах смерти граждан индивидуальному предпринимателю, который осуществлял деятельность в сфере ритуальных услуг.

Поймали бывшего начальника одного из подразделений Комитета по управлению городским имуществом и земельными ресурсами администрации Нижнего Новгорода. За взятку в 1,2 миллиона рублей 36-летний начальник управления согласился в течение года передавать любые сведения ограниченного доступа, в том числе персональные данные граждан, которые содержатся в информационных системах по учёту объектов недвижимости и земельных участков. В подтверждение своей готовности к «сотрудничеству» чиновник передал USB-носитель с частью запрошенных данных. В декабре суд приговорил бывшего начальника к лишению свободы на срок 8 лет с отбыванием в колонии строго режима, а также штрафу в размере 3,6 млн рублей, по статье за взяточничество. Кроме того, в течение 5 лет он не сможет занимать определенные должности.

Май.

В Воронеже бывшую сотрудницу сотовой компании обвинили в незаконной слежке за телефонными звонками. Ей вменяют нарушение части 2 статьи 138 УК РФ (нарушение тайны переписки, телефонных переговоров и иных сообщений граждан, совершенное лицом с использованием своего служебного положения). Следователи установили, что с 30 ноября 2017 года по 22 февраля 2018-го работница сотовой компании, находясь на рабочем месте, незаконно просматривала детализации телефонных соединений.

Июнь.

В Мордовии сотрудники сотовых компаний, торговавшие персональными данными, получили условный срок. 27-летний оператор контактного центра ООО «Т2Мобайл» Анатолий Панишев получил 1 год 7 месяцев, а 24-летняя специалист ПАО «Вымпелком» Анна Синева – 1 год 4 месяца. Следствием установлено, что в феврале 2017 года к Панишеву с использованием Telegram обратилась бывшая сотрудница ООО «Т 2-Мобайл» (г. Саранск) Синева с предложением передачи ей фотографий с паспортными данными, номерами телефонов, которые она предоставляла в WhatsApp и Telegram. За один номер телефона она обещала платить по 200 рублей. По некоторым данным, Синева перепродавала персональные данные в интернете по 500 рублей. В период с февраля по апрель 2017 года Панишев через компьютерную программу Invoice копировал на свой телефон персональные данные абонентов, включающие фамилии, имена, отчества, реквизиты документов, удостоверяющих личность, параметры оказания услуг - сведения о денежных средствах на лицевом счете, и через Telegram передавал их на мобильный телефон Синевой.

Сентябрь.

Бывший замначальника отдела полиции №1 "Северное" ОМВД России по Нахимовскому району в Севастополе получил три года колонии за продажу данных о смерти людей сотрудникам ритуальной фирмы. Александр Барановский признан виновным в получении взяток от владельца ритуальной фирмы. Он в течение нескольких лет он передавал информацию о фактах смерти граждан и данные их родственников.

Октябрь.

ФСБ задержала российского пограничника, который, вероятно, продал информацию о заграничных поездках Александра Петрова и Руслана Боширова, обвиненных в отравлении полковника ГРУ Сергея Скрипаля. Пограничник работал в Северо-Западном федеральном округе. Вместе с ним был задержан сотрудник одного из подразделений Федеральной налоговой службы (ФНС). Задержания проходили в рамках спецоперации по предотвращению утечек из закрытых баз данных. Кстати говоря, эта спецоперация довольно сильно подкосила черный рынок «госпробива» на какое-то время.

Ноябрь.

В Калининграде задержали 25-летнего менеджера салона сотовой связи за продажу персональных данных клиента. К менеджеру обратился неизвестный мужчина, который попросил за вознаграждение предоставить данные на определенного абонента. Дело возбуждено по части 3 статьи 272 УК РФ (неправомерный доступ к компьютерной информации). Максимальное наказание - лишение свободы на срок до пяти лет.

Суд Томска приговорил к трем годам условно бывшего участкового полиции, который за финансовое вознаграждение сообщал сотруднику ритуального бюро персональные данные умерших. “Установлено, что в период с 27 декабря 2017 года по 3 апреля 2018 года подсудимый, являясь участковым ОМВД России по Томскому району, получил взятку в виде денег на общую сумму 21 тысяча рублей за незаконное предоставление конфиденциальных сведений умерших лицу, действующему в интересах коммерческой организации, предоставляющей ритуальные услуги. Эти данные в дальнейшем использовались для обеспечения заключения с родственниками умерших граждан договоров на оказание ритуальных услуг”.

Декабрь.

Следственное управление Следственного комитета по Новосибирской области возбудило уголовное дело о незаконной передаче сведений, составляющих коммерческую тайну, в отношении сотрудницы «Русской телефонной компании». 20 ноября прошлого года подозреваемая зашла в систему под своим рабочим логином и паролем и скопировала информацию, содержащую сведения о дате и времени соединений, номерах исходящих и входящих соединений абонента сотовой связи МТС, после чего передала эти данные третьим лицам. В отношении подозреваемой возбуждено уголовное дело по ч.2 ст.183 УК РФ (незаконная передача третьим лицам сведений, составляющих коммерческую тайну). Сотруднице грозит до трех лет лишения свободы.

Прокуратура Ленинского района Магнитогорска направила в суд уголовное дело в отношении бывшей начальницы городского управления пенсионного фонда, обвиняемой в получении взятки и злоупотреблении полномочиями. В 2017 году женщина передала сотруднику коммерческого банка персональные данные горожан, которые незаконно использовались в служебной деятельности кредитного учреждения. За это начальница пенсионного фонда получила взятку в размере 61,4 тыс. руб. Эти деньги были перечислены на банковский счет ее дочери под видом оказания материальной помощи от работодателя.

Домодедовский городской суд Московской области признал сотрудника полиции виновным в совершении коррупционных преступлений и приговорил к четырем годам шести месяцам лишения свободы. Кроме того, осужденный оштрафован на 600 тыс. руб. Суд установил, что полицейский на протяжении нескольких месяцев неоднократно получал взятки в размере до 15 тыс. руб. через посредника за предоставление бланков миграционных карт и персональных данных иностранцев из автоматизированной базы данных.

Январь 2019.

В Муроме завершено расследование уголовного дела в отношении бывшего работника салона сотовой связи, которому предъявлено обвинение по ч. 2 ст. 138 УК РФ (нарушение тайны телефонных переговоров), ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации) и ч. 3 ст. 183 УК РФ (незаконное получение сведений, составляющих коммерческую тайну). В январе 2017 года, 23-летний бывший сотрудник салона сотовой связи неоднократно подделывал заявления от имени клиентов на получение сведений о соединениях, а при получении данных копировал их на сменный носитель. Он направил от имени клиентов 43 сервисных запроса на получение детализаций абонентов — часть запросов была удовлетворена. Такая активность насторожила сотрудников безопасности телефонной компании - работника вычислили, после чего он был уволен, а материалы были переданы в следственные органы. Уголовное дело с утвержденным обвинительным заключением направлено в суд. В соответствии с законом обвиняемому грозит до 5 лет лишения свободы.

В Перми бывшая сотрудница полиции обвиняется в злоупотреблении должностными полномочиями (ч. 1 ст. 285 УК РФ) и мелком взяточничестве (ч. 1 ст. 291.2 УК РФ). В 2017 году она имела доступ к сведениям банков, которые содержали персональные данные клиентов. Без ведома самих граждан и соответствующих запросов компетентных органов она предоставляла эти данные директору коммерческой организации. За эти сведения бывшая сотрудница полиции получала вознаграждение - от 100 до 500 рублей. После того, как случаи взяточничества вскрылись, женщину уволили из органов внутренних дел. Уголовное дело завершено, материалы дела переданы в суд.

Сотрудник мобильного оператора «Мегафон» в Санкт-Петербурге был обвинен в совершении преступления, ч. 2 ст. 138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений). Суд установил, что подсудимый находился в должности инженера по разработке отчет��ости корпоративного хранилища данных и нес обязательство по сохранению конфиденциальной информации компании. Он, используя свое служебное положение, имея доступ к данным биллинговых систем, получил доступ к конфиденциальной информации потерпевшего и передал эту информацию неустановленным лицам. С учетом позиции государственного обвинения, отсутствии возражений со стороны потерпевшего, ходатайство следователя удовлетворено, подсудимому назначен штраф в размере 100 тыс. рублей.

Февраль.

В Новосибирске суд вынес приговор двум бывшим сотрудникам МТС, которые украли базу данных абонентов Новосибирска, Барнаула, Новокузнецка и Бердска. На момент совершения кражи, один из злоумышленников уже уволился из МТС, а второй продолжал работать в должности ведущего супервайзера. Кража была совершена 18 июля 2018 года. Двое злоумышленников свободно зашли в офис и проникли в кабинет с компьютером, который имел доступ в корпоративную сеть. Один из них попросил логин и пароль у начальства. Скачанную базу данных попытались отправить себе на личную почту в виде файла-архива, но из-за большого размера это не удалось сделать. Тогда архив разделили на несколько частей и вновь отправили на почту. Всего в украденной базе были данные 506,185 абонентов, содержащие: фамилии, имена, отчества, номера телефонов и адреса. Во время предварительного следствия злоумышленники признались, что пытались продать данные каждого абонента по одному рублю за запись, заработав таким образом более 500 тысяч рублей. 26 февраля 2019 года суд признал Никиту Черницова и Виталия Иванова виновными по статье 183 УК РФ "Сбор сведений, составляющих коммерческую тайну, причинивший крупный ущерб или совершенный из корыстной заинтересованности". Черницова приговорили к 1 году 6 месяцам условно с аналогичным испытательным сроком, а Иванову дали на три месяца меньше.

В Томске вынесен приговор бывшему участковому уполномоченному полиции, получившему взятку за предоставление в интересах ритуальной фирмы сведений об умерших гражданах. В суде выяснили, что со 2 января по 18 июня 2018 года подсудимый, в то время работавший в должности участкового, получил взятку в 42 тысячи рублей за незаконное предоставление конфиденциальных сведений о персональных данных умерших граждан лицу, действующему в интересах коммерческой организации, оказывающей ритуальные услуги. Эти данные в дальнейшем предназначались для обеспечения заключения с родственниками умерших граждан договоров на оказание ритуальных услуг Суд приговорил подсудимого к трем с половиной годам лишения свободы условно с испытательным сроком три года. Также его лишили права в течение двух лет занимать должности в системе правоохранительных органов РФ.

Суд в Новосибирске признал виновным руководителя ритуального агентства в даче взяток. 41-летнего мужчину приговорили к семи годам лишения свободы условно с испытательным сроком три года. Предприниматель давал взятки сотрудникам полиции, чтобы получить информацию о персональных данных умерших в Новосибирске, а именно их фамилию, имя, отчество, дату рождения и смерти, а также местонахождение.

Март.

В Воронежской области суд рассмотрит дело 38-летней начальницы отдела ПАО СК «Росгострах», которая незаконно копировала базу данных клиентов в июле 2018 года. По версии следствия, женщина, имея доступ к базе клиентов, скопировала себе их персональные данные, контакты и информацию о стоимости страховых услуг. Для отправки данных самой себе она использовала корпоративную электронную почту. Уголовное дело возбуждено по ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло копирование компьютерной информации). Максимальная санкция – лишение свободы на 4 года.

Источник

Цены российского черного рынка на пробив персональных данных (лето 2019)

2019-07-31T18:50:13.434Z

Важно помнить, что анализ предлагаемых данных, услуг и цен на них делался по объявлениям на различного рода андеграундных форумах и площадках в Dark Web. Я не могу гарантировать подлинность предложений третьих лиц по любой отдельно взятой компании или банку. Вся информация в этом обзоре представлена исключительно для ознакомительных целей и основана на информации, влияния на которую я оказывать не могу, соответственно упомянутые в обзоре компании и банки в случае возникновения претензий должны предъявлять их своим службам безопасности.

«Пробив»

Для тех, кто не знает, что это такое, поясню: «пробив» – это предоставление информации по конкретному человеку (или юрлицу) из базы данных организации практически в режиме реального времени, инсайдером, то есть лицом, имеющим доступ к этим данным в силу своих служебных обязанностей.

Можно выделить несколько видов «пробива» - «банковский», «мобильный», «пробив» данных из государственных БД.

Вначале «банковский пробив»

- Сбербанк. Выписка по счету/карте физлица. За месяц - от 8,000 до 15,000 рублей, за полгода - от 20,000 рублей.

У некоторых продавцов данных по Сбербанку есть «интересная» услуга – предлагается узнать адреса банкоматов, которыми пользуется клиент. Цена вопроса - от 8,000 рублей за месяц.

Вообще стоит отметить, что именно по Сбербанку традиционно наблюдается наибольшее количество продавцов и самый широкий спектр услуг. Продают практически всё – от выписок и балансов до кодовых слов.

- Альфа Банк. Выписка по счету/карте физлица. За месяц - от 1,000 до 9,000 рублей, за полгода - от 6,000 до 20,000 рублей.

- Тинькофф банк. Выписка по счету/карте физлица за месяц от 7,000 до 10,000 рублей.

Для подтверждения реальности предлагаемых на черном рынке услуг я решил воспользоваться тем фактом, что являюсь клиентом банка Тинькофф, и заказал месячную выписку (с 24 июня по 26 июля 2019 г.) со своего личного счета (карта Tinkoff Black). Выписка делалась по номеру моего мобильного телефона, привязанного к карте, а в качестве результата были присланы фотографии экрана (6 шт.) внутренней информационной системы банка. Срок выполнения «заказа» составил около 3 часов, а его стоимость – 10,000 рублей.

Все данные в этой «выписке» полностью совпали с данными из выписки, которую я, как клиент банка, получил через мобильное приложение.

Отдельно скажу, что по некоторым банкам нет предложений совсем или есть редкие объявления от непроверенных продавцов, не вызывающих доверия. Фактически на рынке «банковского пробива» остались предложения всего по нескольким банкам, указанным выше и все продавцы (а их количество не сократилось) торгуют ими.

Конечно, есть еще услуги «пробива» юридических лиц, где выбор банков немного шире, но в данном обзоре я рассматриваю только продажу персональных данных.

Судя по данной статистике, банки занялись проблемой неправомерного доступа к данным специалистов самого низового звена (клиентский сектор). При этом не стоит думать, что проблема решена. Выросшие цены на «пробив» и сохранившийся спрос просто смещают риски в сторону сотрудников, доступ которых к клиентским данным еще не закрыли и вряд ли когда-либо закроют в силу нежелания (или неумения) служб безопасности банков бороться с утечками информации превентивными и проактивными мерами – ведь традиционно в российских банках предпочитают наблюдать за утечками, пытаться расследовать инциденты вместо того, чтобы предотвращать их.

Теперь посмотрим, как сейчас обстоит дело с «мобильным пробивом»

- Билайн. Детализация звонков и СМС абонента за месяц – от 2,500 рублей. Данные абонента по номеру его мобильного телефона – от 400 рублей.

- МТС. Детализация звонков и СМС абонента за месяц – от 15,000 рублей. Данные абонента по номеру его мобильного телефона – от 900 рублей.

- Мегафон. Детализация звонков и СМС абонента за месяц – от 20,000 рублей. Данные абонента по номеру его мобильного телефона – от 1500 рублей.

- Теле 2. Детализация звонков и СМС абонента за месяц – от 8000 рублей. Данные абонента по номеру его мобильного телефона – от 3500 рублей.

У многих продавцов есть комплексная «услуга» поиска всех номеров абонента (по паспортным данным) по трем операторам (Билайн, МТС и Мегафон), ценой от 3,000 рублей.

Разовое определение местоположение абонента в среднем стоит от 30,000 до 45,000 рублей (Мегафон, МТС, Теле 2). Исключение только по Билайну – от 2,000 рублей.

Доступ к содержимому (тексту) СМС – от 150,000 рублей за один месяц.

Количество предложений и продавцов в секторе «мобильного пробива» значительно превосходит количество предложений и продавцов в секторе «банковского пробива».

Перейдем к «пробиву» по государственным базам данных

- ГИБДД (установление собственника транспортного средства, сведения о выдаче водительского удостоверения, история регистрационных действий, штрафы и т.п.) – от 500 до 1,000 рублей за одну операцию.

- Система «Розыск-Магистраль» (передвижения на самолётах, поездах, автобусах, паромах) – от 1500 рублей за запись.

- АС «Российский паспорт» (данные по всем выданным внутренним и заграничным паспортам) – от 1,000 рублей.

Традиционно в госсекторе много инсайдеров, торгующих персональными данными. Принято считать, что это связано с большим количеством госслужащих и низкими зарплатами в госсекторе. Однако, в отличие от злонамеренных банковских инсайдеров, недобросовестные госслужащие периодически попадаются и предстают перед судом.

Источник

Обнаружен новый способ кражи денег с бесконтактных карт Visa

2019-07-31T18:36:10.977Z

Эксперты по кибербезопасности из компании Positive Technologies обнаружили уязвимость, эксплуатация которой позволяет злоумышленникам обойти ограничение на списание крупных сумм бесконтактным способом с карт Visa.

Обычно бесконтактные карты не позволяют провести оплату большой суммы без PIN-кода. Например, пользователям в Великобритании необходимо вводить PIN-код при покупке от £30 (примерно 2300 рублей). Если преступники украдут карту и попытаются провести несколько транзакций на большие суммы, то банк заблокирует карту.

По словам экспертов из Positive Technologies, существует два способа обойти это ограничение. В первом случае они воспользовались аппаратом для перехвата и замены сообщений в канале связи между картой и считывающим устройством. С его помощью на карту посылался ложный сигнал о списании суммы менее £30, а на терминал — сообщение о верификации, проведенной другим способом. Данная уязвимость затрагивает только карты Visa, поскольку в других платежных системах большие транзакции подтверждаются только PIN-кодом.

Во втором варианте исследователи использовали два мобильных телефона. Один телефон собирал с карты так называемую криптограмму платежа, гарантирующую подлинность будущих транзакций. Второй — принимал криптограмму и имитировал карту.

Компания Visa не планирует принимать меры по пресечению данных видов мошенничества. По мнению компании, для осуществления махинации злоумышленникам необходимо иметь карту на руках, а такое редко случается. Однако исследователи не согласны с тем, что карту нужно обязательно красть. Как показали результаты эксперимента, злоумышленнику достаточно ненадолго подобраться близко к карте жертвы и считать платеж.

Служащим ФСО запретили пользоваться смартфонами в помещениях для секретных работ

2019-07-31T18:32:20.525Z

Служащие Федеральной службы охраны РФ больше не смогут пользоваться мобильными устройствами в помещениях, где проводятся секретные работы или хранятся носители сведений, составляющих гостайну. Как сообщает ТАСС, ФСО выпустила приказ, устанавливающий порядок использования сотрудниками службы электронных технических средств, способных хранить или передавать через интернет аудио-, фото-, видеоматериалы и данные геолокации.

Согласно приказу, военнослужащим запрещается использовать электронные приборы в помещениях, аттестованных на соответствие требованиям по обеспечению безопасности информации, где проводятся секретные работы и (или) хранятся в нерабочее время носители данных, составляющих государственную тайну.

Решение о возможности использования вышеупомянутых устройств для выполнения служебных обязанностей должно приниматься руководством ФСО. Согласно приказу, руководство службы составит списки сотрудников, которым будет предоставлено разрешение на использование электронных устройств в помещениях, где хранятся секретные сведения.

Источник

Киберпреступник из Ярославля взламывал базы данных по всей России

2019-07-31T18:29:11.836Z

Прокуратура Ленинского района г. Ярославля направила в суд уголовное дело в отношении 26-летнего местного жителя.

Он обвиняется в совершении 6 эпизодов преступлений, предусмотренных ч. 2 ст. 273 УК РФ (использование и распространение вредоносных компьютерных программ, совершенных из корыстной заинтересованности).

По материалам уголовного дела в 2014-2015 гг. молодой человек при помощи стационарного компьютера и сети «Интернет» с использованием специальных программ удаленным доступом подбирал пароли и логины к компьютерам организаций, расположенных в Кемеровской, Курганской, Тюменской областях, Ставропольском крае, Республике Мордовия, внедрял вредоносную программу «Троян», блокировал доступ к базам данных организаций. Затем он предлагал расшифровать зашифрованные данные при условии перевода ему денег в сумме от 3.000 до 6.000 рублей.

Преступление он совершил будучи осужденным условно за аналогичное преступление, находясь на испытательном сроке.

Преступление раскрыто сотрудниками УМВД России по Ярославской области.

Уголовное дело направлено для рассмотрения по существу в Ленинский районный суд г.Ярославля.

Источник