Архив метки: Безопасность

Предновогодние распродажи: несколько советов по безопасному онлайн-шопингу

Все больше россиян совершают покупки в интернет-магазинах: с января по октябрь 2015 года объём продаж Яндекс.Маркета вырос на 23% по сравнению с тем же периодом в 2014 году, а число онлайн-покупателей, заказывавших товары из Китая, увеличилось на 30%. Киберпреступники тоже не сидят сложа руки: по даннымThreatMetrix, в третьем квартале 2015 года количество атак в секторе электронной коммерции выросло на 25%. Компания HeadLight Security подготовила небольшой список рекомендаций по защите своих действий в процессе интернет-шопинга.
 
 
Злоумышленники нередко пользуются предпраздничным ажиотажем для похищения информации о пользователях, которая в дальнейшем может быть использована в различных фишинговых схемах. Спешат не только покупатели, но и магазины, открывая новые страницы и сервисы. Уже в 2013 году на ритейлеров приходилось 49% утечек данных банковских карт (по сведениямInfowath), и вряд ли к 2016 году эта цифра уменьшилась. Наиболее известные примеры последнего времени – инциденты с компаниями Target и Talk Talk. Нередко онлайн-ритейлеры допускают достаточно грубые ошибки, как в случае с утечкой данных покупателей JD.comв октябре 2015 года, когда зайти в личные кабинеты нескольких тысяч пользователей можно было путем подстановки номеров заказа.
 
Следует напомнить и о массовом переносе персональных данных пользователей глобальных интернет-ритейлеров на российские сервера – пока неясно, как повлияет эта миграция, осуществляемая в условиях цейтнота, на фактическую защищённость данных. 
 
 
Соблюдайте осторожность при работе с WiFi
 
Мы уже не раз писали о том, что публичный Wi-Fi – не лучший вариант для онлайн-шоппинга. Злоумышленник может легко перехватить ваши пароли, логины и номера платежных карт. Но в отпуске или командировке зачастую других вариантов просто нет. В этом случае перед поездкой примите следующие профилактические меры:

 

  • используйте VPN-сервис (ZenMate, Hideninja VPN, SurfEasy, HotspotShield и т.д.)
  • установите бесплатную программу для браузера SSL Everywhere
  • проверьте систему антивирусом и включите брандмауэр
  • инсталлируйте все обновления на операционную систему и отдельные приложения

Покупайте авиабилеты на проверенных сайтах
 
Авиабилеты – один из наиболее популярных товаров в Интернете, в статистикеВТБ за 2015 год эта категория занимает первое место с большим отрывом. Лучше всего приобретать авиабилет на сайте авиакомпании. Если же какая-то площадка предлагает значительно более дешевые варианты, проверьте, сотрудничает ли она с крупными поисковыми агрегаторами, например Skyscanner или Aviasales. Не стоит заказывать билеты в соцсетях, в них часто обитают мошенники. Один из подобных случаев произошел в 2010 году – авиабилеты с 40% скидкой бронировались по чужим картам. Затем клиент проверял свои данные на сайте авиакомпании и переводил деньги преступникам. Чуть позже настоящие владельцы пластиковых карт обращались в банк с заявлением о несанкционированном списании денежных средств со счета и бронирование билета аннулировалось.
 

Отслеживайте посылки на безопасных сайтах
 
В прошлом году пользователи получалифишинговые SMS с текстом «посылка получена www.pochtaruss.net». Кампания была рассчитана на владельцев устройств на базе Android. Всех остальных сайт перенаправлял на сайт «Почты России». При переходе с Android злоумышленники предлагали обновить якобы устаревший браузер, изменив настройки безопасности, после чего на устройство устанавливался  зловред, перехватывающий банковские SMS. Расчет мошенников на обширный улов был вполне обоснован: на один только AliExpress за год зашли 22 млн пользователей, судя по даннымTNS, а аудиторияАндроид в России – это 82,5% смартфонов и 72,3% планшетов. Стоит отметить, что «Почта России» рассылает SMS-уведомления о поступлении международных посылок в режиме дополнительной услуги и не предлагает посещать какие-либо сайты.
 

Не слишком доверяйте продавцам на AliExpress
 
На сайте AliExpress продают свои товары тысячи продавцов. Во избежание мошенничества площадка не передает деньги продавцу, пока покупатель не подтвердит получение товара. Однако неплохой механизм защиты имеет ряд изъянов. К примеру, покупатель заказал смартфон в магазине с хорошим рейтингом, но долгое время не может отследить свою посылку по выданному продавцом трек-номеру и начинает интересоваться у продавца, отправил ли тот посылку. Продавец клянется, что посылка уже в пути, просто почта сильно загружена, но он готов компенсировать доставленные неудобства суммой в $10-15. 
 
Покупателю надо лишь открыть диспут (спор) на частичную компенсацию стоимости товара. Продавец вернет эту небольшую сумму, однако закрытый по частичному возврату денег диспут повторно открыть будет невозможно. Продавцы-мошенники пользуются этой схемой, покупая или взламывая магазины с хорошим рейтингом. Посылка в таких случаях не отправляется, а номер отслеживания дается «фейковый».
 
При заказах на AliExpress важно также иметь ввиду, что открытый диспут можно как «отменить», так и «принять», «отредактировать» или «обострить». В случае принятия новый диспут открыть будет невозможно, даже если у вас осталось время на защиту своего заказа, чем также активно пользуются недобросовестные продавцы. Если же вы собрались обострить спор, проверьте сумму запроса на возмещение, продавец имеет возможность снизить ее до нуля.
 

Проверяйте шифрование платежной системы
 
Перед совершением платежа всегда проверяйте, зашифровано ли соединение на странице оплаты. В электронных платежных системах должен использоваться протокол HTTPS. Большинство современных браузеров отображают информацию о безопасности веб-сайта в адресной строке в виде префикса «HTTPS». 


Контролируйте счета
 
Во многих банках есть  стандартные лимиты по сумме перевода денежных средств в течение суток, что при своевременном вмешательстве позволит избежать максимальных потерь. Эти суммы достаточно велики (для карт Сбербанка Visa Electron/Maestro — 50 000 рублей, для остальных — 150 000 рублей), поэтому перед отъездом лучше обратиться в банк и самостоятельно установить требуемый лимит. За границей лучше не отказываться от SMS-подтверждений транзакций и переставить сим-карту, на которую приходят оповещения, во второй слот своего смартфона (если запасной слот есть). Наиболее безопасной стратегией будет использовать для SMS-подтверждений простой телефон, который не может быть заражен вирусами, способными скрывать сообщения о транзакциях.  


Не используйте один и тот же пароль дважды 
 
Утечки логинов и паролей пользователей случаются у крупнейших компаний мира – Adobe, Ebay, PayPal. Поэтому один и тот же пароль на разных ресурсах делает вас крайне уязвимым. Кроме того, пароли должны быть сложные. Сгенерировать и сохранить их помогут менеджеры паролей – 1Password, KeePass Password Safe, Roboform. Если же вы не доверяете этим программам, попробуйте использовать в качестве паролей строки из любимых стихов, набирая их русскими буквами в английской раскладке.


Не доверяйте письмам со скидками
 
Самые заманчивые предложения и «секретные скидки» в электронной почте могут оказаться попыткой фишинга. Тот же дизайн, что и у вашего любимого магазина, тот же адрес (после маскировки с помощью спуфинга). Перед тем как оплачивать покупку, как минимум наберите знакомый вам адрес сайта в новом окне и поищите понравившееся предложение.

Автор:
Дата публикации:

Небезопасные модемы Yota: запускаем сервис общественного контроля

26 ноября компания HeadLight Security представила бесплатный онлайн сервис Yota.hlsec.ru для проверки наличия уязвимостей в программном обеспечении популярных LTE-модемов и роутеров Yota. Цель данной инициативы — проинформировать пользователей об угрозах, которым они подвергаются, подключая к своему компьютеру небезопасное оборудование, и ускорить исправление ошибок производителем.
Сервис Yota.hlsec.ru осуществляет диагностику брешей в программном обеспечении модемов и роутеров Yota на компьютерах c операционными системами Microsoft Windows и Apple Mac OS, а также наглядно демонстрирует использование уязвимостей в связанных веб-приложениях (например, в личном кабинете пользователя).
Презентация сервиса состоялось на конференции ZeroNights 2015 в рамках доклада Михаила Фирстова «Уязвимости программного обеспечения телекоммуникационного оборудования Yota«. При обнаружении на компьютере пользователя модема или роутера Yota и выявлении соответствующих уязвимостей, на экране компьютера демонстрируются возможные результаты эксплуатации обнаруженных недостатков — в частности, запускается приложение «Калькулятор» или отображаются данные из личного кабинета, а также расширенная информация о среде пользователя.

Множественные уязвимости высокой степени риска в программном обеспечении Yota были обнаружены экспертами HeadLigt Security еще в августе 2015 года. Одна из уязвимостей позволяет выполнить код на удаленном компьютере без непосредственного взаимодействия с пользователем (достаточно просто посетить определенный веб-сайт). В сентябре Yota была неоднократно проинформирована о наличие проблем безопасности в выпускаемых этой компанией модемах и ПО, однако обновлений безопасности так и не последовало.

Демонстрация использования уязвимостей приводится в этом видео:

 

 

В 2014 г. в России, по данным Comnews, было продано почти 5 млн USB-модемов. Согласно оценке аналитиков J`son & Partners за 2010 год, доля Yota на российском рынке USB-модемов составляет около 10%. Модемы и роутеры Yota активно используется не только в качестве домашних и корпоративных решений, но и для подключения терминалов оплаты, банкоматов, систем видеонаблюдения, охранных и пожарных сигнализаций.
Компания HeadLight Security придерживается политики ответственного разглашения информации об уязвимостях, информируя о найденных ошибках безопасности сначала производителя, и только спустя продолжительное время (минимум 45 дней) детали предаются широкой огласке. Данный подход позволяет защитить пользователей в том случае, если разработчик продолжает продавать продукт, но не осуществляет его адекватную поддержку: нередко проинформированный производитель не выпускает исправления месяцами, а то и годами, что играет на руку злоумышленникам. Аналогичную позицию в отношении раскрытия информации занимают, к примеру, специалисты по безопасности Google (что отражено в блоге компании), CERT Карнеги Меллона и большинство других крупных исследовательских центров в области информационной безопасности.

Автор:
Дата публикации:

KeeFarce

27 октября 2015 на GitHub был выложен инструмент под названием KeeFarce, автор Denis Andzakovic. KeeFarce позволяет извлечь информацию из базы данных только KeePass 2.x, когда соответствующая база данных открыта. Данные (usernames, passwords, notes, url’s…) сохраняются в открытом виде в CSV файле в %AppData%.

http://thehackernews.com/…
https://www.pgpru.com/novosti/2015/…
https://xakep.ru/2015/…
http://sourceforge.net/p/keepass/discussion/…

HeadLigt Security приняли участие в обсуждении антифишингового законопроекта

Дмитрий Евтеев выступил на заседании, посвященном обсуждению законодательных мер по борьбе с фишингом. В ходе встречи технический директор HeadLigt Security обратил внимание представителей Генпрокуратуры, МВД, Минкомсвязи, Госдумы и Центробанка на зарубежный опыт реализации антифишинговых законов и основные ошибки, способные навредить отрасли информационной безопасности.

 «В качестве примера можно вспомнить принятый в 2008 году в Великобритании запрет на создание и использование хакерских инструментов, — рассказал Дмитрий Евтеев. —  В результате под запрет попало легальное программное обеспечение, которое необходимо для обеспечения информационной безопасности. Впоследствии данная мера была признана технически неграмотной».

По словам Дмитрия, без использования специального программного обеспечения практически невозможно получить объективную оценку защищенности информационной среды организации, а запрет такого ПО развяжет руки в первую очередь киберпреступникам.

«Тестирование на проникновение является одним из наиболее эффективных методов контроля безопасности используемых приложений, — добавил Дмитрий. — Ведущие банки, государственные организации, критически важные отраслевые предприятия заказывают данную услугу для проверки защищенности своих сервисов и IT-инфраструктр. Тестирование на проникновение предполагает моделирование действий злоумышленника и требует соответствующего инструментария. И если завтра вне закона будет, к примеру, такой дистрибутив для проведения пентестов, как Kali Linux, специалисты по информационной безопасности окажутся в роли хирурга, у которого отобрали скальпель по причине потенциальной опасности этого инструмента».

Дмитрий поделился опытом выявления и расследования хакерских атак в компании HeadLigt Security, рассказав об основных приемах фишеров и типичной методике консалтинга по противодействию фишингу. Данная методика, в частности, включает  в себя регистрацию нового домена, имитирующего фишинговый сайт, копирование элементов с электронного ресурса заказчика, размещение «фишингового» сайта на серверах консалтинговой компании и целевую рассылку фокус-группе.

Среди первоочередных мер, необходимых всем участникам отрасли ИБ для борьбы с фишингом — необходимость создания общедоступного реестра подозрительных сайтов. В настоящее время сервисы репутаций функционируют разрозненно и являются частной собственностью отдельных компаний, что не позволяет развивать бесплатные инструменты для защиты пользователей и подключить широкую общественность для их развития. Вместе с тем, необходимо тщательно проработать действия по блокировке фишинговых ресурсов, так как вредоносное ПО зачастую размещается на обычных сайтах без ведома их владельцев, и процедура блокировки может легко быть использована в недобросовестной конкурентной борьбе.

Круглый стол «Противодействие хищению персональных данных и платёжной информации в сети Интернет посредством фишинга» состоялся 29 октября в здании Государственной думы. Во встрече приняли участие член комитета Госдумы по безопасности и противодействию коррупции Илья Костунов, заместитель начальника отдела управления «К» МВД России Александр Вураско, представитель Генпрокуратуры РФ Елена Малык, заместитель директора департамента инфраструктурных проектов Минкомсвязи РФ Вартан Хачатуров, начальник центра мониторинга и реагирования на компьютерные атаки ЦБ РФ Дмитрий Фролов, представители коммерческих компаний в области информационной безопасности.

Ранее сообщалось, что в Госдуме предлагают ввести уголовную ответственность за фишинг. Остальные подробности заседания можно прочитать в материалах «Парламентcкой газеты» и агентства REGNUM.

С презентацией Дмитрия Евтеева «Противодействие хищению персональных данных и платежной информации в сети Интернет посредством фишинга» можно ознакомиться ниже.

 

Автор:
Дата публикации:

Демонстрация работы vkmitm

Как это работает?

proof доступен по следующей ссылке — https://github.com/HeadLightSecurity/vkmitm

Почему это работает?

Некоторые приложения, в том числе и официальное приложение VK под Android по умолчанию не использует защищенное соединение HTTPS для передачи данных. В качестве примера под IOS можно взять второе по популярности приложение — vFeed, которое так же передает пользовательские данные в открытом виде. Для демонстрации на видео были взяты именно эти приложения с дефолтовыми настройками, с которыми их используют рядовые пользователи. Так же некоторые пользователи по-прежнему используют устаревшие версии приложений, в которых даже нет возможности включить защищенный протокол SSL. В качестве примера такого приложения можно привести «Вконтакте 2», который успешно «подсасывается» пользователям современных iphone/ipad, если они использовали его в прошлом.

Как это исправить?

Использовать официальные приложения VK с настройками «Всегда использовать защищенное соединение (HTTPS)» (устанавливается через браузер и в мобильных приложениях, в частности, в приложениях для Android).

Автор:
Дата публикации:

Перехват сообщений ВКонтакте с мобильных устройств

Эксперт компании HeadLight Security Михаил Фирстов обнаружил фичу в популярной социальной сети «ВКонтакте«. Выявленный недостаток защищенности позволяет перехватывать личные сообщения пользователей, при атаке, известной как «человек посередине» (Man-in-The-Middle).
Для чтения чужой персональной переписки достаточно находиться в одной беспроводной или локальной сети с компьютером или мобильным устройством жертвы, авторизованным в социальной сети. Для демонстрации возможности эксплуатации данной уязвимости можно воспользоваться соответствующей утилитой — vkmitm, которая позволяет обрабатывать сообщения «ВКонтакте» из трафика в режиме реального времени или офлайн из PCAP-файла.
Михаил Фирстов — эксперт группы тестирования на проникновение HeadLight Security. С 15 лет выступает на крупнейших конференциях по информационной безопасности — PHDays, Defcon Moscow, Zeronights. Один из последних его докладов, прозвучавших на десятой встрече Defcon Moscow,  был посвящён уязвимостям современных роутеров и модемов (ссылка).

Автор:
Дата публикации: