В конце года злоумышленники начали использовать новую схему кражи аккаунтов в Telegram, о которой рассказала «Лаборатория Касперского». Она заключается в том, что кто-нибудь из контакт-листа пользователя предлагает ему принять участие в онлайн-голосовании и присылает ссылку на сайт, где оно якобы проводится. Эксперты не рекомендуют переходить по сомнительной ссылке из-за риска лишиться своего аккаунта.

Источник изображений: «Лаборатория Касперского»

Как сообщает «Лаборатория Касперского», никакого конкурса нет и сообщение отправлено не кем-то из знакомых, а злоумышленником, похитившим его учётную запись. Сама ссылка сделана при помощи сервиса для сокращения ссылок, чтобы реальный адрес сайта не бросался в глаза. К тому же такую ссылку сложнее отследить антифишинговыми инструментами.

Сайт для голосования выглядит крайне просто. На первой странице — сообщение «Заходите и голосуйте за конкурсантов», поле для ввода телефона, предложение аутентифицироваться для учёта голоса и поле для ввода кода подтверждения, который якобы выслали пользователю в Telegram.

После указания пользователем номера телефона злоумышленники входят в его учетную запись при помощи специальных скриптов с нового устройства. При выключенной двухфакторной аутентификации код подтверждения приходит на устройство, где аккаунт уже активирован. Если пользователь введёт код на фишинговой странице, его аккаунт переходит в собственность злоумышленников.

«Лаборатория Касперского» советует «ни при каких условиях не вводить код аутентификации, полученный от Telegram, нигде, кроме самого приложения Telegram». Также рекомендуется включить в мессенджере двухфакторную аутентификацию.

«Если вы уже попались на уловку злоумышленников и всё-таки ввели код на мошенническом сайте, то, возможно, ещё не все потеряно», — пишет «Лаборатория Касперского». Для того, чтобы вернуть контроль над учётной записью, необходимо сразу же зайти в меню «Настройки», затем перейти в раздел «Активные сессии» и нажать на кнопку «Завершить все другие сеансы».

На хакерском форуме Breach пользователь с ником Ryushi опубликовал заявление, предложив владельцу и главе Twitter Илону Маску (Elon Musk) эксклюзивную сделку. Хакер сообщил, что располагает данными более 400 млн аккаунтов соцсети — они были получены благодаря уязвимости, обнаруженной в 2021 году и сегодня уже закрытой. В противном случае ресурсу угрожает утечка данных с последующими огромными штрафами со стороны европейских регуляторов.

Источник изображения: Twitter

Согласно общему регламенту о защите данных (GDPR), принятому в ЕС, Twitter грозит многомиллионный штраф за утечку, о чём и упоминает хакер, обращаясь к руководству социальной сети на форуме: «Ваш лучший вариант избежать уплаты $276 млн долларов штрафа в соответствии с GDPR — эксклюзивно купить данные». Дополнительно шантажист оставил ссылку на страницу, где рассказывается, как именно такие сведения могут быть использованы другими злоумышленниками — для фишинговых атак, криптомошенничества и атак BEC-типа, предполагающих подмену легитимных пользователей их «клонами».

В посте размещён образец с данными о 37 знаменитостях, включая звёзд, чиновников, политиков, журналистов и бизнесменов, а также сведения тысячи профилей обычных пользователей, включая электронные адреса, имена, количество подписчиков, даты создания аккаунтов и телефонные номера. Хотя почти все из этих данных являются общедоступными, адреса электронной почты и телефонные номера обычно не афишируются.

Как удалось выяснить сотрудникам портала BleepingComputer у самого Ryushi (возможно, речь идёт не об одном человеке, а группе лиц), пока предлагается Twitter приобрести базу за $200 тыс. с последующим её удалением шантажистом. Если предложение не будет принято, её начнут продавать «в розницу» разным людям, по $60 тыс. за копию. На вопрос о том, связывался ли злоумышленник с Twitter, журналистам ответили, что попытки наладить контакты были, но в социальной сети на предложение не ответили.

Злоумышленник подтвердил, что получил номера телефонов и адреса электронной почты благодаря уязвимости API, обнаруженной в 2021 году и устранённой в январе 2022-го. Ранее считалось, что произошла утечка данных только 5,4 млн аккаунтов. В BleepingComputer сообщают, что проверка образцов показала достоверность данных как минимум из двух профилей. По данным экспертов по кибербезопасности Hudson Rock, они провели собственную проверку и установили, что опубликованные в общем доступе образцы настоящие. Тем не менее, в компании подчёркивают, что пока нет возможности проверить, имеются ли в базе данные всех 400 млн пользователей.

Сведения об утечке появились в неблагоприятные для социальной сети времена: ирландский регулятор как раз начал расследование недавней публикации сведений о 5,4 млн пользователей, украденных в 2021 году. Известно, что ещё один злоумышленник заявлял о краже сведений 17 млн профилей, которые пока не выставлены на продажу. Всего в Twitter зарегистрированы более 1 млрд аккаунтов.

Как сообщает агентство Associated Press со ссылкой на представителей спецслужб, северокорейские хакеры за пять лет украли криптовалют и других виртуальных активов на сумму, эквивалентную $1,2 млрд.

Источник изображения: Clint Patterson/unsplash.com

По данным источников из числа сотрудников государственных ведомств и экспертов, Северная Корея прибегла к подобным мерам на фоне острой необходимости в иностранной валюте для поддержки неустойчивой экономики. Кроме того, предполагается, что средства нужны были для финансирования ядерной программы, борьбы с санкциями и вспышками COVID-19.

Национальная разведывательная служба (NIS) Южной Кореи сообщила о том, что северный сосед страны имеет один из самых высоких в мире потенциалов для кражи цифровых активов, поскольку вынужден концентрировать усилия на киберпреступлениях с тех пор, как в 2017 году ужесточились экономические санкции ООН в ответ на ядерные и ракетные испытания. Дополнительно экономика страны пострадала от жёстких санитарных ограничений, введённых с началом пандемии.

По данным NIS, работающие на северокорейское правительство хакеры украли с 2017 года виртуальных активов на $1,2 млрд, включая $626 млн — только в текущем году. Около $78 млн похищено из Южной Кореи. Согласно опубликованным данным, северокорейские хакеры предпримут в следующем году ещё больше атак для хищения передовых южнокорейских технологий и конфиденциальной информации, связанной с южнокорейской внешней политикой и национальной безопасностью.

Ранее в текущем месяце высокоранговые дипломаты из США, Южной Кореи и Японии договорились нарастить попытки по сдерживанию северокорейской киберактивности. В феврале эксперты ООН заявили, что Северная Корея продолжала хищения сотен миллионов долларов у зарубежных финансовых институтов, криптобирж и криптообменников.

Пресс-служба сети магазинов «Вкусвилл» подтвердила факт утечки персональных данных некоторых клиентов, сообщения о которой ранее появились в ряде Telegram-каналов. В открытом доступе оказались номера телефонов, адреса электронной почты, даты и суммы покупки, а также четыре цифры номера банковской карты покупателей.

Источник изображения: Pixabay

«Об утечке мы узнали в ночь с 8 на 9 декабря. Наши специалисты самостоятельно обнаружили и оперативно приняли меры для исправления ситуации. <…> Мы поняли, что к третьим лицам попали файлы, содержащие личные данные некоторых наших покупателей, а именно: телефоны и имейлы, даты и суммы заказов и последние четыре цифры номера банковской карты», — сообщила пресс-служба ретейлера агентству «РИА Новости». В пресс-службе также уточнили, что имена клиентов, адреса и полные платёжные сведения о банковских картах остались недоступны для хакеров. Сейчас проводится расследование обстоятельств взлома.

Согласно данным Telegram-канала «Утечки данных», в результате взлома у хакеров оказалась информация о 242,3 тыс. телефонных номеров клиентов «Вкусвилл», 233,2 тыс. адресов электронной почты, даты и время заказов, оплаты и доставки с 5 по 7 декабря 2022 года, а также суммы заказов. Telegram-канал также сообщил, что источник информации ранее публиковал данные участников программ лояльности Tele2, «Почты России», GeekBrains, Delivery Club и многих других компаний.

Компания выразила сожаление по поводу случившегося, добавив, что предпринимает все меры для предотвращения подобных инцидентов в будущем.

Разработчик популярного менеджера паролей LastPass объявил об обнаруженном взломе облачного хранилища, которое он использовал вместе с «дочкой» GoTo, в результате чего злоумышленникам удалось получить доступ к данным клиентов.

Источник изображения: BleepingComputer.com

«Недавно мы обнаружили необычную активность в облачном сервисе хранения данных стороннего провайдера, которым в настоящее время пользуются как LastPass, так и дочерняя компания GoTo», — сообщил разработчик, уточнив, что хакеры смогли получить доступ к «некоторым элементам информации клиентов», воспользовавшись сведениями, полученными в ходе инцидента в августе 2022 года.

Вместе с тем LastPass отметила, что пароли клиентов не были скомпрометированы и «остаются надёжно зашифрованными» благодаря архитектуре LastPass Zero Knowledge. Компания уведомила о случившемся правоохранительные органы и наняла фирму по кибербезопасности Mandiant для расследования инцидента.

В этом году это уже второй инцидент, связанный с хакерской атакой на ресурсы LastPass. Предыдущий произошёл в августе, когда злоумышленникам удалось получить доступ к среде разработчика через скомпрометированную учётную запись одного из сотрудников компании. В электронных письмах, разосланных клиентам, Lastpass тогда подтвердила, что злоумышленники похитили часть исходного кода продукта и проприетарную техническую информацию.

Спустя некоторое время компания призналась, что злоумышленники, стоящие за августовским взломом, в течение четырёх дней сохраняли доступ к её внутренним системам, пока их не обнаружили и не заблокировали.