Группа компаний «Гарда» провела исследование изменений ландшафта и особенностей DDoS-атак в третьем квартале 2023 года. В результате было установлен существенный рост доли TCP SYN-флуда, т.е. атак на уровне приложений, количество которых составило 60 % от общего числа DDoS-атак. Главными целями атак стали телекоммуникационные операторы.

Источник изображения: markusspiske / Pixabay

«Злоумышленники всё чаще организуют атаки, которым сложнее противодействовать: с использованием протоколов уровня приложений и в шифрованном трафике. Распространение такой практики свидетельствует о её успешности и достижении атакующими поставленных целей», — говорится в сообщении исследователей.

В сообщении сказано, что чаще всего DDoS-атакам в России за отчётный период подвергались сети телеком-операторов. Это объясняется тем, что операторы интенсивно противостоят DDoS-атакам, осуществляя защиту своих объектов и ресурсов клиентов, которые находятся в той же сетевой инфраструктуре.

На втором месте по количеству DDoS-атак в третьем квартале находятся представители сфер транспорта и перевозок. Отмечается, что за три месяца увеличилось количество DDoS-атак на ресурсы авиаперевозчиков и системы бронирования авиабилетов, а также железнодорожных перевозчиков. На третьем месте этого рейтинга находятся ресурсы госсектора. Высокие показатели зафиксированы в топливно-энергетическом комплексе и промышленности. Это может указывать на попытки злоумышленников осуществить воздействие на критический сектор экономики. Являющиеся традиционными целями хакеров представители IT и финансового сектора также подвергались атакам в третьем квартале.

Что касается стран, из которых совершаются атаки злоумышленников, то, как и прежде, лидером остаётся Китай (46,45 %). Следом за ним идут Индия (30,41 %) и Южная Корея (3,5 %). Снизились показатели по количеству атак из США, Тайваня и России. При этом выросли показатели Нидерландов (с 1,08 % до 1,53 %) и Боливии (с 0,89 % до 1,46 %).

В 2023 году компания NordPass, известная своими решениями для управления паролями, опубликовала свежий рейтинг самых распространённых паролей, и результаты неутешительны. Простейший пароль «123456» возглавил список, тем самым подчёркивая общее пренебрежение пользователей вопросами кибербезопасности. Пароль «password», лидировавший в прошлом году, опустился на 7-е место. Этот рейтинг подчёркивает продолжающуюся тенденцию использования слабых и предсказуемых паролей, что ставит под угрозу цифровую безопасность пользователей.

Источник изображения: AbsolutVision / Pixabay

Анализ рейтинга 200 наиболее распространённых паролей показывает, что большинство из них крайне уязвимы. В топ-10 входят такие простые комбинации, как «123», «1234», «12345», «12345678», «123456789» и «1234567890», а также «Aa123456» и, конечно же, «password». Особенно обескураживает, что эти пароли могут быть взломаны злоумышленниками менее чем за секунду с помощью простых методов брутфорса — подхода к взлому паролей путём перебора всех возможных комбинаций.

Впрочем, есть и исключения, такие как «theworldinyourhand», занимающий 173-е место в рейтинге. Этот пароль практически не поддаётся взлому обычными методами и потребовал бы столетий для его подбора вручную. В то время как пароль «admin», занявший 2-е место, является стандартным на многих устройствах и легко взламывается.

Добавление «123» к «admin» или использование символа «@» между словом и числами значительно увеличивает время взлома. Например, «admin123» и «admin@123» требуют значительно больше времени для подбора. Интересным является факт популярности пароля «Eliska81», занимающего 40-е место в рейтинге, используемого более чем 75 755 людьми. Это подчёркивает, как случайные и неожиданные комбинации могут стать популярными.

Кроме того, стоит отметить, что пароль «admintelecom» находится на 54-м месте. Этот пароль требует около 23 дней для взлома методом брутфорса, что делает его одним из самых безопасных в списке.

Специалисты прогнозируют, что в следующем году список наиболее распространённых паролей останется практически неизменным. От выбора пароля зависит безопасность личных данных и надёжность защиты от несанкционированного доступа. В современном цифровом мире ответственность за сохранность своих данных лежит на каждом пользователе.

В мессенджере WhatsApp появился новый переключатель Protect IP address in calls («Защита IP-адреса во время звонков»), который скрывает IP-адрес пользователя от собеседника. При активации этого режима звонки будут пересылаться через серверы WhatsApp, обеспечивая тайну реального IP-адреса владельца. Таким образом, звонки в WhatsApp должны стать ещё более безопасными для пользователей, которым важна максимальная конфиденциальность.

Источник изображения: Pixabay

«Большинство продуктов для звонков, которые люди используют сегодня, имеют одноранговые соединения между участниками. Это прямое соединение обеспечивает более быструю передачу данных и лучшее качество связи, но это также означает, что участникам необходимо знать IP-адреса друг друга, — сообщается в блоге представителей WhatsApp. — IP-адреса могут содержать информацию, которую учитывают некоторые из наших наиболее заботящихся о конфиденциальности пользователей».

Нужно отметить, что такое повышение конфиденциальности не обходится без компромиссов — WhatsApp предупреждает, что новая настройка может снизить качество звука и изображения во время разговора: «При использовании ретрансляции вызовов вы можете обнаружить, что качество вызова снижается». Компания подчеркнула, что звонки шифруются всегда, независимо от того, включена ли новая опция защиты IP-адреса.

Источник изображения: WhatsApp

В блоге представителей WhatsApp также подтверждается появление новой опции, о которой было объявлено в июле, — это возможность заблокировать неизвестных абонентов, что предотвращает спам, а также отключает вектор для сложных атак кибербезопасности.

«Защита конфиденциальности и безопасности пользователей абсолютно необходима WhatsApp для выполнения своей миссии по обеспечению конфиденциального общения во всем мире, — говорится в блоге. — Эти новые функции безопасности в сочетании со многими другими средствами защиты обеспечивают безопасность людей в WhatsApp». Новый переключатель защиты IP находится в настройках WhatsApp в разделе конфиденциальности.

Google обнаружил новую угрозу в своём сервисе «Google Календарь»: хакеры могут использовать его для управления вредоносным ПО, замаскировав команды под обычные записи в календаре. Такие действия трудно обнаружить, что создаёт серьёзные риски для кибербезопасности. Что интересно, Google сама предупреждает, что «Календарь» может использоваться для скрытой передачи команд вредоносным программам.

Источник изображения: TheDigitalArtist / Pixabay

Многие вирусы после проникновения в систему жертвы нуждаются в управлении со стороны злоумышленников. Для этого создаётся специальная инфраструктура «команд и управления» (Command and Control или C2). Обычно хакеры посылают команды своему вредоносному ПО через так называемый C2-сервер, однако теперь они нашли способ маскировать свою активность, используя легитимные сервисы, такие как облачные хранилища и почтовые службы.

В прошлом хакеры уже использовали для этих целей такие сервисы, как Dropbox, Amazon Web Services, Google Drive и Gmail. Это позволяло им скрывать команды для вирусов под видом обычного интернет-трафика, что затрудняло их обнаружение антивирусными программами и специалистами по кибербезопасности.

Сейчас Google указывает на потенциальную опасность использования «Календарь» в качестве нового инструмента для C2-коммуникаций. В докладе о будущих угрозах компания ссылается на исследование в сфере кибербезопасности, в котором эксперт под псевдонимом MrSaighnal демонстрирует методику использования «Google Календарь» злоумышленниками.

Источник изображения: IT researcher MrSaighnal / GitHub

Методика, названная Google Calendar RAT (GCR), предполагает размещение команд C2 в описании событий календаря. Вредоносное ПО, установленное хакерами, может регулярно проверять аккаунт «Google Календарь» на наличие новых команд и выполнять их на заражённом устройстве.

«По словам разработчика, GCR взаимодействует исключительно через легитимную инфраструктуру, управляемую компанией Google, что затрудняет обнаружение подозрительной активности защитниками», — отметила Google.

Открытие этой уязвимости в «Google Календарь» ставит новые вопросы о том, насколько безопасны на первый взгляд надёжные цифровые сервисы. Это также подчёркивает необходимость постоянного обновления методов киберзащиты и внимательного отношения к любым изменениям в поведении ПО.

Компания Discord объявила, что изменит принцип работы со ссылками на файлы, размещённые на платформе. К концу текущего года такие ссылки будут автоматически обновляться каждые 24 часа. Это будет частью мер по борьбе с распространением вредоносного ПО, которое, как отмечает издание Bleeping Computer, часто хранится именно на серверах Discord. Нововведение затронет всех пользователей популярного сервиса и является важным шагом в укреплении безопасности платформы.

Источник изображения: felipedsilva / Pixabay

Компания рекомендует пользователям, использующим Discord для хостинга файлов, искать альтернативные решения. При этом изменения не затронут тех, кто делится контентом непосредственно внутри клиента Discord: все внутренние ссылки будут обновляться автоматически, обеспечивая непрерывный доступ к файлам.

Компания Trellix, специализирующаяся на кибербезопасности, сообщила о нахождении приблизительно 10 000 образцов вредоносного ПО, распространяемого через Discord. Злоумышленники использовали вебхуки платформы для передачи собранных данных с заражённых компьютеров в каналы Discord, находящиеся под их контролем.

В ответ на эти угрозы Discord реализует систему временных ссылок на файлы для всех пользователей. Так, Discord будет включать новые параметры URL, которые добавят метки истечения срока действия и уникальные подписи. Эти подписи будут оставаться действительными до момента истечения срока действия ссылки, что предотвратит использование Discord для постоянного хостинга файлов.

Согласно разработчикам Discord, уже сейчас к ссылкам добавляются три новых параметра URL: ex (expiration timestamp), is (unique id signature) и hm (hash match). После введения обязательной аутентификации, которая будет реализована позже в этом году, ссылки с этими подписями будут оставаться активными до указанной даты истечения срока действия.

Как только ссылка на файл, размещённый на серверах Discord, истечёт, для доступа к этому файлу будет необходимо получить новый URL, предоставляемый через Discord. Это означает, что каждый раз, когда истекает срок действия старой ссылки, система Discord предоставит обновлённый URL, который будет активен в течение следующих 24 часов. Процесс обновления ссылок будет происходить автоматически через программный интерфейс Discord (API).

Это не только облегчает доступ к файлам без необходимости ручного обновления ссылок, но и служит дополнительным уровнем проверки: если контент был помечен как вредоносный, новая ссылка на него не будет сгенерирована, что предотвращает дальнейшее распространение вредоносного ПО. Таким образом, даже если вредонос был загружен на платформу, его жизненный цикл будет ограничен.

Великобритания сегодня опубликовала «Декларацию Блетчли», направленную на активизацию глобальных усилий по сотрудничеству в области безопасности искусственного интеллекта. Декларация 28 стран и Европейского Союза была обнародована в день открытия Саммита по безопасности искусственного интеллекта, проходившего в Блетчли-Парке, центральная Англия.

Источник изображения: Pixabay

«Декларация выполняет ключевые задачи саммита по установлению общего согласия и ответственности в отношении рисков, возможностей и дальнейшего процесса международного сотрудничества в области безопасности и исследований в сфере искусственного интеллекта, особенно посредством более широкого научного сотрудничества», — заявил представитель Великобритании при обнародовании документа.

В документе изложена программа, направленная на выявление рисков, вызывающих общую обеспокоенность, и формирование их научного понимания, а также на разработку международной политики по их смягчению. Декларация поощряет прозрачность и подотчётность участников, разрабатывающих передовые технологии ИИ, призывая к мониторингу и смягчению потенциально вредных возможностей.

«Это включает, наряду с повышением прозрачности со стороны частных субъектов, разрабатывающих передовые возможности искусственного интеллекта, соответствующие показатели оценки, инструменты для тестирования безопасности, а также развитие соответствующих возможностей государственного сектора и научных исследований», — говорится в декларации.

«Это знаковое достижение, благодаря которому величайшие мировые державы в области ИИ соглашаются с необходимостью понимания рисков ИИ, помогая обеспечить долгосрочное будущее наших детей и внуков», — заявил премьер-министр Великобритании Риши Сунак (Rishi Sunak).

Список стран, подписавших декларацию:

• Австралия
• Бразилия
• Великобритания
• Германия
• Евросоюз
• Израиль
• Индия
• Индонезия
• Ирландия
• Испания
• Италия
• Канада
• Кения
• Китай
• Корея
• Нигерия
• Нидерланды
• ОАЭ
• Руанда
• Саудовская Аравия
• Сингапур
• США
• Турция
• Украина
• Филиппины
• Франция
• Чили
• Швейцария
• Япония

Полный текст декларации на английском языке опубликован на сайте правительства Великобритании.

Любопытно отметить место, где проходит саммит — это Блетчли-Парк, чьё название стало синонимом взлома кодов и зарождения компьютеров. В годы Второй Мировой войны группа математиков, криптографов, разгадывателей кроссвордов, мастеров шахмат и других экспертов собралась в викторианском загородном доме в 72 километрах к северо-западу от Лондона, чтобы вести секретную войну против нацистской Германии.

Источник изображения: AP Photo / Matt Dunham

Самое известное достижение сотрудников Блетчли-Парка — раскрытие секрета немецкой шифровальной машины «Энигма», которая производила постоянно меняющийся шифр и считалась не поддающейся взлому. К этому взлому приложил руку лично Алан Тьюринг. Некоторые историки утверждают, что расшифровка кода «Энигмы» помогла сократить войну почти на два года.

За первые девять месяцев этого года количество хакерских атак на компании через скомпрометированные данные сотрудников увеличилось на 10 % по сравнению с аналогичным периодом годом ранее. По мнению экспертов, такая динамика обусловлена ростом утечек информации за год и тем, что сотрудники часто используют одни учётные данные на рабочих и личных ресурсах. Допускается также, что импортозамещение зарубежных решений привело к увеличению уязвимостей в корпоративном секторе.

Источник изображения: Pixabay

В октябре IT-инфраструктура российских компаний в очередной раз подверглась большому количеству хакерских атак, часть из которых закончились взломом ресурсов организаций. К примеру, 30 октября сайт Национальной системы платёжных карт был недоступен из-за атаки группировки DumpForums. В тот же день инфраструктура провайдера «Транстелеком» была поражена вирусом-шифровальщиком. Кроме того, злоумышленники атаковали крымских провайдеров, из-за чего в регионе нестабильно работали цифровые сервисы.

Аналитики по кибербезопасности «Информзащиты» подсчитали, что за девять месяцев 2023 года количество кибератак, основанных на скомпрометированных учётных данных сотрудников, составило 80 % от общего количества атак, а суммарный рост числа киберинцидентов составил 10 % по сравнению с показателем за тот же временной отрезок годом ранее. Эксперты считают, что данная тенденция обусловлена кратным увеличением количества утечек данных в течение года.

В «Информзащите» также отметили, что количество успешных атак, реализуемых таким способом, за девять месяцев сократилось на 15-20 % по сравнению с прошлым годом. «Компании пересматривают политику безопасности учётных записей не только привилегированных, но и рядовых сотрудников. Особенно это касается крупных организаций из финсектора и ретейла», — считают аналитики, отмечая, что в зоне риска продолжают оставаться госкомпании, малые и средние предприятия, представители промышленного сектора с распределённой сетью филиалов.

По данным АНО «Институт развития предпринимательства и экономики», на средний и малый бизнес в настоящее время приходится около 20 % кибератак. Представитель разработчика промышленного софта «Цифра» отметил, что текущая ситуация оказывает влияние на увеличение инвестиций компаний в кибербезопасность. «Рост атак на корпоративные учётные записи действительно имеет место, в текущем году доля таких атак выросла в десять раз с начала конфликта на Украине», — считает основатель сервиса разведки утечек данных DLBI Ашот Оганесян. Он добавил, что корпоративные учётные данные не часто выставляются на продажу на теневых форумах, в большинстве случаев для взлома хакеры используют данные пользователей, полученные из других утечек, не связанных с корпоративной сетью.

Это становится возможным из-за того, что пользователи часто используют одни учётные данные для рабочих и личных учётных записей. Эксперты также не исключают, что риск взлома корпоративно инфраструктуры в России в нынешнем году возрос в том числе из-за импортозамещения: быстрая перестройка инфраструктуры и переход на отечественный софт открыли новые точки входа для злоумышленников.

Ответственная за сервис ChatGPT компания OpenAI сообщила, что сформировала подразделение по оценке и исследованию моделей искусственного интеллекта на предмет защиты от того, что характеризуется как «катастрофические риски».

Источник изображения: Growtika / unsplash.com

Команду под названием Preparedness («боеготовность») возглавил директор Центра развёртываемого машинного обучения при Массачусетском технологическом институте Александр Мадри (Aleksander Madry) — по данным профессиональной соцсети LinkedIn, он занял этот пост в компании ещё в мае. В задачи подразделения входит отслеживание, прогнозирование и защита от опасностей, которые несут перспективные системы ИИ — от их дара убеждения (как в случае с составлением фишинговых писем) до генерации вредоносного кода. Некоторые из категорий угроз пока, к счастью, не обозначились в реальном поле: к ним отнесли химические, биологические, радиационные и ядерные.

Гендиректор OpenAI Сэм Альтман (Sam Altman) неоднократно выражал опасения, что ИИ способен «привести к вымиранию человечества», и формирование в компании соответствующего подразделения отражает эту позицию. Компания открыта и для изучения «менее очевидных» областей риска ИИ, добавил господин Альтман. Связаться с компанией для изложения своих опасений может любой желающий — авторы десяти лучших работ получат денежный приз в размере $25 тысяч или работу в OpenAI. «Представьте, что мы предоставили вам неограниченный доступ к моделям OpenAI Whisper (расшифровка речи), Voice (преобразование текста в речь), GPT-4V и DALLE·3, а вы оказались злодеем. Рассмотрим наиболее уникальные, хотя и, вероятно, потенциально катастрофически неправильные сценарии использования модели», — говорится в одном из конкурсных вопросов.

Подразделению Preparedness будет поручено сформулировать «политику разработки с учётом угроз» — документ с подробным описанием подхода OpenAI к построению инструментов оценки и мониторинга моделей ИИ, действий по снижению угроз, а также структуры управления для надзора в процессе развития моделей. Специалисты команды дополнят прочие аспекты работы OpenAI в области безопасного ИИ, уделяя особое внимание этапам до и после развёртывания модели.

Альтман и Илья Суцкевер (Ilya Sutskever), главный научный сотрудник и соучредитель OpenAI, убеждены, что ИИ с уровнем сознания выше человеческого может появиться в ближайшие десять лет, и не факт, что этот ИИ будет доброжелательным. Поэтому компания считает необходимым изучать возможности по его ограничению.

Группа из 42 прокуроров различных штатов США предъявила обвинения компании Meta✴ в том, что её платформы Facebook✴ и Instagram✴ способствуют формированию зависимости среди детей и подростков. Данный иск стал ещё одним свидетельством того, как охрана прав детей и подростков в интернете становится приоритетной задачей для государственных правоохранительных органов.

Источник изображения: sergeitokmakov / Pixabay

Широкомасштабный судебный иск был анонсирован во вторник, и его поддержка со стороны прокуроров различной политической принадлежности подчёркивает серьёзность правовых проблем, с которыми может столкнуться Meta✴. Как сообщается в пресс-релизе офиса генерального прокурора штата Нью-Йорк, Летиции Джеймс (Letitia James), прокуроры из 33 штатов подали федеральный иск против Meta✴ в Северном округе Калифорнии, в то время как 9 других прокуроров подали иски в своих штатах.

На пресс-конференции после подачи иска прокурор штата Теннесси, Джонатан Скрметти (Jonathan Skrmetti), выразил свою обеспокоенность текущей политической обстановкой в стране, подчёркивая важность двухпартийной поддержки в вопросах защиты детей и подростков от онлайн-угроз:

«В Америке наступили тяжёлые времена. У нас такая поляризация, какой мы не видели со времён Гражданской войны. И поэтому то, что все генеральные прокуроры от обеих партий, люди, которые часто во всеуслышание не соглашаются друг с другом, собрались вместе и движутся в одном направлении, на мой взгляд, говорит о многом».

Прокуроры утверждают, что Meta✴ разработала Facebook✴ и Instagram✴ таким образом, чтобы поддерживать интерес молодых пользователей и поощрять их частое возвращение в эти социальные сети. Согласно тексту иска, Meta✴ добилась этого с помощью алгоритмов, большого числа уведомлений и так называемой бесконечной прокрутки ленты. Компания также включает функции, которые, по мнению генеральных прокуроров, негативно влияют на психическое здоровье подростков через социальное сравнение или поощрение дисморфофобии тела, такие как лайки или фотофильтры.

Также прокуроры обвинили Meta✴ в нарушении «Закона о защите конфиденциальности детей в интернете» (COPPA), утверждая, что компания собирает персональные данные пользователей младше 13 лет без согласия родителей.

Этот случай далеко не первый, когда широкая коалиция генеральных прокуроров американских штатов объединяется для борьбы с корпорацией Meta✴. В 2020 году 48 штатов и территорий США подали на компанию антимонопольный иск, а также отдельную жалобу от Федеральной торговой комиссии США (FTC).

Такие иски акцентируют внимание на растущей обеспокоенности безопасностью детей в интернете и поднимают вопросы о том, как крупные технологические компании могут и должны обеспечивать создание безопасного онлайн-окружения для своих пользователей. Помимо Meta✴, другие социальные медиаплатформы, такие как TikTok, также подвергаются расследованиям по аналогичным вопросам.

Судебные дела против Meta✴ могут стать лишь верхушкой айсберга, под которым скрываются более глубокие проблемы взаимодействия человека и цифрового мира. Поиск баланса между инновациями и безопасностью остаётся открытым вопросом, требующим общественного диалога и ответственного подхода со стороны тех, кто формирует наше цифровое будущее.

Google планирует добавить в браузер Chrome функцию IP Protection («защита IP»), которая должна значительно повысить безопасность и конфиденциальность пользователей. Новый инструмент будет направлять трафик через прокси-серверы Google, что значительно затруднит отслеживание действий пользователя при интернет-серфинге. В дальнейшем Google рассматривает возможность последовательного использования двух прокси-серверов, что может ещё больше повысить конфиденциальность.

Источник изображения: Pixabay

IP-адрес — это уникальный идентификатор, при помощи которого можно отслеживать деятельность пользователя в интернете. Маркетинговые компании и рекламные брокеры на основе этих данных создают профиль пользователя для дальнейшего таргетирования рекламы. Именно для противодействия отслеживанию и предназначена функция IP Protection от Google. Компания планирует поэтапно развёртывать IP Protection для ограниченного количества сайтов, чтобы проанализировать эффективность защиты, но сроки тестирования пока не объявлены.

Google предупредила, что IP Protection не обеспечит гарантированной конфиденциальности во всех ситуациях. Например, если один из прокси-серверов Google будет взломан, злоумышленник потенциально сможет перехватывать трафик, проходящий через сервер и манипулировать им в своих целях. Маршрутизация с помощью двух прокси-серверов может повысить защищённость, так как ни один из них не будет одновременно знать IP-адрес пользователя и URL-адрес назначения, но надёжность такого решения довольно сомнительна.

Кроме того, злоумышленник может использовать прокси-серверы Google, чтобы замаскировать проведение атаки DDOS или других мошеннических действий. В такой ситуации Google может потребовать поголовной аутентификации пользователей, что само по себе станет нарушением конфиденциальности.

Не стоит забывать, что значительная часть бизнес-модели Google основывается на отслеживании пользователей и таргетировании рекламы. Новая функция может осложнить работу сторонним компаниям и тем самым дать конкурентное преимущество самой Google. Вероятно, многие пользователи скептически отнесутся к планам компании по запуску IP Protection. Но будем надеяться, что новый инструмент заработает так, как заявлено.

Компания Valve сообщила, что некоторое время назад злоумышленники взломали учётные записи нескольких десятков разработчиков на платформе Steam и добавили в их игры вредоносное ПО. Отмечается, что атака затронула менее 100 пользователей Steam. Valve оперативно предупредила их об опасности по электронной почте.

Источник изображения: Valve

На этой неделе Valve также объявила, что усилит меры безопасности Steam, чтобы подобные инциденты больше не повторялись. С 24 октября компания начнёт требовать от разработчиков использовать двухфакторную аутентификацию с привязкой номера телефона к аккаунту Steamworks для публикации сборки в стандартной ветке приложения.

«Теперь, если вы попытаетесь обновить сборку выпущенного приложения в ветке default, Steam отправит вам СМС с кодом подтверждения. Его также нужно будет ввести, чтобы сделать стандартной другую ветку. Обратите внимание, что код не потребуется, если приложение ещё не выпущено или если вы обновляете ветку бета-версии», — говорится на сайте Steam.

Приглашать пользователей в группу могут только аккаунты, администрирующие партнёрскую группу разработчика в Steamworks. А для приглашения нового пользователя необходимо, чтобы он подтвердил свой адрес электронной почты. С обновлением системы безопасности перед отправкой приглашения новому пользователю администратор также должен будет ввести код из СМС. В Valve отметили, что никаких исключений в отношении нового правила не будет. Это означает, что разработчикам, у которых нет телефона, потребуется обзавестись им или найти другой способ получения СМС.

Как пишет портал PCMag, двухфакторная аутентификация с СМС не является панацеей и в свою очередь тоже может быть уязвима для атак с подменой SIM-карты, а также других форм фишинга, с помощью которых злоумышленники способны украсть коды доступа. По этой причине ряд разработчиков в комментариях к записи об обновлении системы безопасности высказались против введения двухфакторной аутентификации на основе СМС, призвав Valve подумать над более безопасными вариантами решения вопроса.

В Gmail появятся новые правила, направленные на сокращение количества спама, повышение безопасности и упрощение отказа от рекламных рассылок. Эти требования вступят в силу в феврале 2024 года и коснутся всех, кто ежедневно отправляет более 5 000 сообщений на учётные записи Gmail. Google установит чёткий порог уровня спама для отправителей массовых рассылок — пока компания только рекомендует удерживать уровень спама ниже 0,3 %, но в скором времени это станет обязательным.

Источник изображения: Google

От массовых отправителей потребуется предоставить получателям Gmail возможность отказаться от подписки на коммерческие электронные письма одним щелчком мыши, чтобы облегчить прекращение получения нежелательных сообщений. Запросы на отказ от подписки на такие электронные письма должны быть обработаны в течение двух дней.

Google также требует, чтобы отправители массовых рассылок «строго аутентифицировали» свои электронные письма, следуя лучшим практикам Google. Компания утверждает, что это закроет существующие лазейки, используемые злоумышленниками, и сделает электронную почту более безопасной и заслуживающей доверия.

«Многие отправители массовых рассылок не обеспечивают надлежащую защиту и настройку своих систем, что позволяет злоумышленникам легко скрываться среди них, — утверждает Нил Кумаран (Neil Kumaran), менеджер группы продуктов по безопасности и доверию Gmail. — Чтобы это исправить, мы сосредоточились на важнейшем аспекте безопасности электронной почты: проверке того, что отправитель является тем, за кого себя выдаёт».

В последние месяцы Google исследовала разные способы повышения безопасности пользователей Gmail. В августе компания внедрила дополнительные этапы проверки для таких задач, как добавление адреса пересылки и редактирование фильтров, а в мае начала развивать функцию проверки адресов электронной почты на их использование в даркнете.

Хакерская группировка BlackTech, предположительно связанная с властями Китая, осуществляет масштабные атаки на роутеры Cisco, используемые в правительственных учреждениях, СМИ, военной промышленности и других ключевых секторах США. Американские и японские агентства безопасности и правоохранительные органы бьют тревогу, так как хакеры внедряют в оборудование Cisco уязвимости, оставаясь незамеченными для системных администраторов.

Источник изображения: Cisco

Агентство национальной безопасности (АНБ), Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и защите инфраструктуры США (CISA), полиция США и Японский Национальный центр готовности к инцидентам и стратегии кибербезопасности (NISC) подготовили отчёт о деятельности этой хакерской группы, подчёркивая серьёзность и масштаб возникшей угрозы. В отчёте приводится список вредоносных программ, таких как BendyBear, Bifrose, SpiderPig и WaterBear, которые используются для атак на операционные системы Windows, Linux и даже FreeBSD.

BlackTech, также известная как Palmerworm, Temp.Overboard, Circuit Panda и Radio Panda, ведёт свою преступную деятельность с 2010 года. Эта китайская APT-группировка (Advanced Persistent Threat — англ. постоянная серьезная угроза) создаёт и использует специализированное вредоносное ПО для проникновения в сети через оборудование компании Cisco и других крупных брендов, таких как Fortinet, SonicWall и TP-Link.

Хакеры BlackTech предпочитают атаковать филиалы компаний в небольших городах, где системы защиты могут быть менее надёжными. После получения доступа к локальной сети филиалов, они подключаются к сети головных организаций. Целью группировки являются правительственный сектор, компании с госучастием, а также предприятия из сфер промышленности, информационных технологий, телекоммуникаций и электроники.

Специфика методов, которыми BlackTech получает первоначальный доступ к устройствам своих жертв, остаётся неизвестной. Это могут быть как кража учётных данных сотрудников, так и неизвестные и чрезвычайно изощрённые уязвимости нулевого дня. После проникновения киберпреступники используют интерфейс командной строки Cisco IOS (CLI) для замены легитимной прошивки маршрутизатора на скомпрометированную версию.

Всё начинается с того, что прошивка модифицируется в памяти с использованием метода «горячего патчинга». Этот этап критически важен для установки модифицированного загрузчика и изменённой прошивки. После завершения установки, модифицированная прошивка может обходить защитные механизмы маршрутизатора, активировать бэкдоры, не оставляя при этом следов в системных журналах и игнорируя ограничения, установленные списками контроля доступа (ACL).

Киберпреступники применяют различные методы сокрытия своего присутствия в сетях жертвы, включая отключение ведения логов на скомпрометированных устройствах и используют украденные сертификаты подписи кода для подписи ROM-файлов. Хакеры используют специализированные UDP- и TCP-пакеты для включения и отключения SSH-бэкдоров на роутерах Cisco в произвольные моменты времени, скрывая таким образом свою активность от системных администраторов.

Cisco усугубляет проблему, отказываясь от поддержки своего устаревшего оборудования и устранения известных уязвимостей в своих роутерах. Например, компания регулярно отказывается устранять опасные уязвимости, такие как CVE-2022-20923 и CVE-2023-20025, в своих устаревших роутерах, чей срок поддержки давно истёк. Так, весной 2023 года Cisco отказалась выпускать патч для роутеров, предназначенных для домашнего использования и малого бизнеса, в которых была найдена опасная уязвимость. Это создаёт дополнительные риски для пользователей и открывает возможности для киберпреступников.

Для выявления и блокирования вредоносных действий BlackTech компаниям и организациям настоятельно рекомендуется придерживаться оптимальных стратегий смягчения рисков. ИТ-специалистам следует блокировать исходящие соединения, используя конфигурационную команду «transport output none» к виртуальным телетайповым (VTY) линиям, а также контролировать все соединения, ограничивать доступ и вести детализированный учёт событий в системных журналах.

Каждый пользователь постоянно оставляет «цифровые следы» в интернете, на основе которых ему демонстрируют персонализированную рекламу. Сами рекламные сети не раскрывают персональную информацию, но компании и правительства могут идентифицировать пользователя и отслеживать его перемещения и активность в интернете. А шпионское ПО идёт ещё дальше, позволяя злоумышленнику видеть содержимое устройства, звонки, текстовые сообщения, почту и получать контроль над телефоном жертвы.

Источник изображения: Pixabay

Израильская технологическая компания Insanet разработала Sherlock — средство доставки шпионского ПО через сети онлайн-рекламы, которое превращает некоторые таргетированные объявления в троянских коней. В отчёте аналитиков утверждается, что Sherlock умеет заражать компьютеры под управлением Windows, телефоны Android и iPhone. Реальные возможности нового шпионского ПО ещё изучаются, но уже точно известно, что оно способно к проникновению, мониторингу, захвату и передаче данных, а защиты от этого типа шпионского ПО пока не существует.

Sherlock — не первое шпионское ПО, которое устанавливается на телефон без ведома и действий пользователя. Например, программа Pegasus, разработанная NSO для взлома iPhone, использует уязвимости в iOS, чтобы незаметно проникнуть в телефон. Apple выпустила обновление безопасности для последней уязвимости лишь 7 сентября 2023 года.

Sherlock отличается от программ типа Pegasus использованием рекламных сетей, а не уязвимостей в устройствах пользователя. Злоумышленник, использующий Sherlock, создаёт рекламную кампанию, сфокусированную на демографических данных и местонахождении цели, и размещает рекламу, содержащую шпионское ПО. Как только потенциальная жертва просмотрит рекламу, шпионское ПО будет тайно установлено на её устройство.

Рекламные сети уже много лет используются для доставки вредоносного программного обеспечения. В большинстве случаев вредоносное ПО нацелено на компьютеры, а не на телефоны, является неизбирательным и предназначено для блокировки данных пользователя в рамках атаки программы-вымогателя или кражи паролей для доступа к онлайн-аккаунтам или сетям организации. Рекламные сети постоянно сканируют вредоносную рекламу и быстро блокируют её при обнаружении.

Шпионское ПО нацелено на телефоны, ориентировано на конкретных людей или узкие категории пользователей и предназначено для тайного получения конфиденциальной информации и отслеживания чьей-либо деятельности. После проникновения в систему оно сможет записывать нажатия клавиш, делать снимки экрана и использовать различные механизмы отслеживания, передавая украденные данные своему создателю.

С 2011 по 2023 год правительства по меньшей мере 74 стран заключили контракты с коммерческими компаниями на приобретение шпионского ПО или технологий цифровой криминалистики. Эти технологии используются правоохранительными органами для наблюдения и сбора разведывательной информации, а также для борьбы с преступностью и терроризмом. Шпионское ПО применяется при следственных действиях, особенно в случаях, связанных с киберпреступностью, организованной преступностью или угрозами национальной безопасности.

Компании используют шпионское ПО для наблюдения за компьютерной деятельностью сотрудников якобы для защиты интеллектуальной собственности, предотвращения утечки данных или обеспечения соблюдения политик компании. Частные детективы могут использовать шпионское ПО для сбора информации и доказательств для клиентов по юридическим или личным вопросам. Хакеры применяют такие программы для кражи информации в разнообразных схемах мошенничества или вымогательства.

Особое опасение вызывает тот факт, что продажа широкой аудитории продвинутого шпионского ПО Insanet была официально разрешена израильским правительством. Это потенциально подвергает риску практически каждого. От повального использования этого шпионского ПО пока спасает только очень высокая его цена. По данным экспертов, одно заражение обходится использующему эту технологию в $6,4 млн.

Компания Nintendo, одна из лидеров в индустрии игровых консолей, предложила своим пользователям новый уровень безопасности. Теперь каждый пользователь может зарегистрировать до 10 различных Passkeys для своего аккаунта, что обеспечивает удобный и безопасный вход.

Источник изображения: Nintendo

Passkey представляют собой инновационную технологию криптографических ключей. Создавая Passkey, пользователь получает два ключа: публичный сохраняется на сервере компании, а приватный — непосредственно на устройстве пользователя. После подтверждения личности оба ключа совмещаются, предоставляя доступ к аккаунту.

Эти ключи позволяют подтверждать личность пользователя с помощью биометрических данных, таких как отпечатки пальцев или Face ID. Для использования Passkey необходимо устройство под управлением iOS 16, iPadOS 16, macOS 13, Android 9 или более новых версий.

Мир кибербезопасности активно движется к отказу от традиционных паролей. Альянс FIDO (Fast IDentity Online — быстрая онлайн-идентификация) разрабатывает стандарты для аутентификации без пароля, а такие технологические гиганты, как Apple, Google и Microsoft, входящие в FIDO, предлагают свои решения в этой области.

Согласно исследованиям компании Digital Shadows, к 2022 году в результате взломов было украдено более 24 млрд учётных данных — на 65% больше по сравнению с 2020 годом. Внедрение системы Passkey может стать ответом на растущую угрозу киберпреступности.