Новости безопасности

110
9 минут























    
Новости безопасности

Банки предупредили о новой схеме телефонных мошенников

Потенциальной жертве звонят якобы от имени правоохранительных органов, сообщая о поступившем «заявлении от ЦБ» о компрометации персональных данных. Злоумышленники уточняют, что списания производились не со счета конкретного банка, а по единому внутрибанковскому счету, и предлагают его застраховать.

Злоумышленники в телефонном разговоре предлагают «застраховать» средства, которые якобы хранятся у жертвы на «едином межбанковском счете в ЦБ». Таким образом аферисты пытаются убедить собеседников в необходимости защитить средства после компрометации персональных данных.

В новой мошеннической схеме с каждым клиентом задействовано сразу несколько злоумышленников. Сначала они обзванивают клиентов якобы от имени правоохранительных органов, сообщая о поступившем «заявлении от Центрального банка» о компрометации персональных данных. Мошенники утверждают, что списания производились не со счета конкретного банка, а якобы по единому внутрибанковскому счету. Доступ к нему по легенде мошенников имеют только сотрудники банков, которых и подозревают в попытках мошенничества.

Далее звонок переводится на «сотрудника департамента безопасности ЦБ», который спрашивает, в каком банке обслуживается клиент, какими продуктами он пользуется, проверяет остатки на счетах. Именно в этот момент мошенники предлагают застраховать общую сумму на «едином счете», которая якобы позволит вернуть все деньги в случае хищения денег мошенниками. Для этого они убеждают клиента перевести все свои деньги на «безопасный счет».

В ВТБ отметили: деньги могут храниться только на счете, который клиент открывал в своем банке. Никакого «единого счета в ЦБ» не существует, а страховать его — значит переводить свои деньги мошенникам. В ЦБ, в свою очередь, напомнили: Банк России не работает с физическими лицами как с клиентами, не ведет их счета и не звонит гражданам.

Право.ru

 

VPN на iPhone сливают трафик уже более двух лет

Майкл Горовиц, независимый исследователь в области кибербезопасности, утверждает, что смартфоны iPhone при использовании VPN проводят через туннель не весь трафик, что создает потенциальные проблемы для конфиденциальности пользователей. В своем блоге Горовиц пишет, что «VPN в iOS сломан». Причем сторонние клиенты какое-то время работают нормально: выдают устройству новый IP-адрес, DNS-серверы и туннель для трафика. Однако те сессии и соединения, которые были установлены до включения VPN, не прерываются и, следовательно, могут отправлять данные в обход туннеля.

В нормальных условиях пользователь вправе ожидать, что VPN-клиент будет завершать открытые соединения перед установкой защищенного соединения, поскольку они должны открыться уже внутри туннеля. Однако в iOS этого не происходит. «Данные уходят с iPhone в обход VPN-туннеля. Это нельзя назвать классической DNS-утечкой, это уже конкретная утечка информации. Я убедился в этом, установив разные VPN-клиенты от многих провайдеров. Все это я тестировал на iOS 15.6», — пишет Горовиц.   К сожалению, эксперт не предоставил информации о методах устранения этой проблемы.

   

Zoom опасен для пользователей Mac OS

Специалист по кибербезопасности Патрик Уордл во время выступления на конференции DefCon в Лас-Вегасе рассказал об эксплойте в установочном файле Zoom для macOS. С его помощью злоумышленник может получить доступ ко всей операционной системе.

Исследователь обнаружил критическую уязвимость в установщике Zoom для MacOS. В конце 2021 года. Проблема безопасности позволяет злоумышленникам перехватывать полный контроль над MacOS. Для эксплуатации ошибки хакерам необходимо иметь только первичный доступ к целевому компьютеру, который довольно легко получить в результате фишинговых атак.

Уордл уведомил Zoom об уязвимости еще в декабре 2021 года. Однако исправление, устраняющее брешь, было выпущено только накануне Def Con - через 6 месяцев после обнаружения уязвимости. Как отмечает исследователь, патч решает проблему только отчасти. Исправление снижает вероятность эксплуатации уязвимости по описанному Уордлом сценарию, но не устраняет ее полностью.

   

Система распознавания лиц перепутала нарушителя с его братом-близнецом

11 августа одна из камер на Ярославском шоссе опознала 40-летнего Александра. Его лицо совпало с биометрическими данными преступника в розыске. Полицейские получили задание и выехали по адресу регистрации нарушителя закона. Дверь им открыл мужчина с ориентировки, но представился он Михаилом и даже показал паспорт. Гражданин объяснил, что в розыске не он, а его брат-близнец. “Такая история сперва вызвала лишь насмешки, и Михаила доставили в отдел, но там, спустя время, его слова подтвердились”, — пишет Baza.

Административный надзор после уголовного дела за ограбление нарушил брат-близнец задержанного. Не-Александра из полиции отпустили, но посоветовали “не светиться” под уличными камерами, пока не найдут настоящего нарушителя. Ошибки в системе распознавания лиц среди близнецов — классический баг технологии Facial Recognition System.

В ноябре 2019 года Савеловский районный суд Москвы оставил без удовлетворения иск жительницы столицы, которая требовала признать незаконным применение системы распознавания лиц в работе камер наблюдения. Суд пришел к выводу, что слежка не является вмешательством в частную жизнь граждан.

   

Для владельцев критической информационной инфраструктуры планируют ввести штрафы за предоставление недостоверных сведений в реестр объектов КИИ

В Госдуму внесен проект изменений в Кодекс  об административных правонарушениях в части установления ответственности за представление недостоверных сведений в реестр значимых объектов критической информационной инфраструктуры.

1r.png

Документом предусмотрена административная ответственность за следующие административные правонарушения:

  • за повторное непредставление или нарушение сроков представления сведений о результатах присвоения объекту КИИ одной из категорий значимости, либо об отсутствии необходимости присвоения ему одной из таких категорий вводится административный штраф от 50 тыс. до 100 тыс. руб. для должностных лиц, от 100 тыс. до 200 тыс. руб. для юрлиц.
  • за предоставление недостоверной информации об объектах КИИ штраф от 10 тыс. до 50 тыс. руб. для должностных лиц, от 50 тыс. до 100 тыс. руб.  для юрлиц.

   

Facebook* и Instagram* следят за пользователями через встроенный браузер

Исследователь по кибербезопасности и бывший инженер Google Феликс Краузе провел анализ приложений Meta*— Instagram и Facebook.

При попытке перехода по внешним ссылкам из приложений Facebook* и Instagram* соответствующие веб-страницы открываются во встроенном в приложение браузере, который контролируется Meta*, а не в том, что выбрал пользователь. Оказывается, эти браузеры внедряют код javascript в каждый посещаемый веб-сайт, позволяя Meta потенциально отслеживать вас на разных веб-сайтах.

Феликс Краузе разработал инструмент, отслеживающий любые изменения кода сайта, вносимые браузером. При испытаниях на большинстве браузеров и приложений инструмент не выявил ничего подозрительного. Однако в случае Facebook* и Instagram* исследователь обнаружил 18 строк кода и подключение внешнего JS-файла, с помощью которого в Meta* создается профиль интересов для каждого пользователя.

Скрипт действует таким образом, что на сервера Meta* передается следующая информация: нажатие кнопок или ссылок, выделение текста, создание скриншотов, данные, введенные в различные формы.

В Meta* практику отслеживания отрицать не стали, отметив, что пользователи могут отказаться от отслеживания своих действий, а собираемая информация используется для работы с целевой рекламой.

*  признана экстремистской организацией и запрещена в России

  

С 2023 года будут проверять только объекты с высоким риском

Минэкономразвития предлагает проводить проверки в 2023 году только в отношении объектов контроля, отнесенных к категориям чрезвычайно высокого и высокого риска. Соответствующее предложение уже внесли в кабмин, сообщил замглавы МЭР Алексей Херсонцев. С такой инициативой министерство выступило во исполнение поручения президента о минимизации проверочных мероприятий в отношении бизнеса.

С начала года право на досудебное обжалование решений и действий контрольных органов реализовали на региональном и муниципальном уровнях, а в 2023 году эта процедура станет обязательной до обращения в суд для всех видов контроля.

«Система позволяет в один клик на портале «Госуслуги» подать жалобу в контрольный орган в электронном виде, а также отслеживать все этапы ее рассмотрения и взаимодействовать с должностными лицами без личного посещения ведомства», — рассказал Херсонцев.

Он также отметил сокращение числа проверок в текущем году конкретно на территории Дальневосточного округа. В первом полугодии их стало меньше в среднем на 31,2%, зато выросло количество профилактических мероприятий, которые не предполагают возможность наказания предпринимателя.

Право.ru


Маркетплейсы создали единую систему для борьбы с контрафактом

В такую информационную систему будут вносить данные о случаях размещения контрафакта, информацию о продавцах таких товаров, а также документы, подтверждающие нарушение. На основе этой информации онлайн-площадки смогут заблокировать продажу контрафактных товаров.

Российские маркетплейсы Wildberries, Ozon и «Яндекс Маркет» создали общую информационную систему со сведениями о продавцах контрафакта, чтобы предотвращать его распространение. Об этом сообщает ТАСС со ссылкой на Ассоциацию компаний интернет-торговли (АКИТ).

В систему вносятся данные о случаях размещения контрафакта, сведения об их продавце, а также документы, подтверждающие нарушение. После этого обнаруживший контрафакт маркетплейс блокирует предложение о его продаже на своих платформах. Информация об этом выгружается в информационную систему для проверки наличия подобных предложений и таких продавцов на других маркетплейсах. Остальные площадки при совпадении данных могут запросить у продавца документы, а при их отсутствии или недостоверности — также заблокировать предложение у себя.

Компании вместе с Федеральной антимонопольной службой (ФАС) разработают механизм приостановки деятельности поставщиков контрафакта. Планируется, что при первом нарушении продавца заблокируют на площадке на три месяца, а при повторном ему могут закрыть доступ на все маркетплейсы, подключенные к информационной системе.

Президент АКИТ Артем Соколов отметил, что, благодаря беспрецедентной работе онлайн-площадок по модерации ассортимента, контрафакт составляет только 0,1% от общего количества товаров. «Однако он есть, и это наносит удар по репутации интернет-торговли. Налаживание механизмов параллельного импорта, то есть ввоза оригинальных товаров законным способом, вместе с информационной системой станут надежным инструментом для борьбы с продавцами, обходящими законодательство Российской Федерации», — добавил он.

Право.ru

   

Правительство запускает новую программу кредитования МСП

Минэкономразвития предлагает запустить в пилотном режиме новую программу льготного кредитования малого и среднего предпринимательства (МСП) на инвестиционные цели под 3–4,5% годовых. Об этом сообщает пресс-служба ведомства.

«В результате предприятия смогут получить инвестиционный кредит, например на закупку оборудования или ремонт, запуск новых производств, сроком до 10 лет. При этом льготный период составляет до 5 лет», — сказал глава Минэкономразвития Максим Решетников на совещании с участием премьер-министра Михаила Мишустина. Он добавил, что в течение льготного периода для среднего бизнеса ставка составит 3%, для малого и микробизнеса — 4,5% при действующей ключевой ставке 8%.

Объем программы составит до 50 млрд руб. до конца года. В числе приоритетных отраслей — сферы обрабатывающего производства, переработки сельхозпродукции, логистики, гостиничного бизнеса.

Оператором новой кредитной программы выступит корпорация «МСП», подведомственная Минэкономразвития. Ее специалисты будут помогать предпринимателям с подготовкой документов для получения инвестиционных кредитов. Для консультаций бизнеса корпорация в ближайшие недели запустит специальный центр на цифровой платформе.

Премьер-министр отметил, что по льготным программам с государственной поддержкой сформирован кредитный портфель в сотни миллиардов рублей: «Важно, чтобы эти средства работали максимально эффективно». Премьер-министр поручил Минэкономразвития и регионам проводить регулярный мониторинг того, как реализуются принятые по поручению президента решения по поддержке бизнеса.

Право.ru