Был случай два года назад. Шифранули сервер прямо у меня на глазах. Я только устроился. Отработал неделю. Бывшего админа след простыл. И во время бекапа сервер перезагрузился и я увидел заветное сообщение на черном экране. Гласило оно о том, что диски зашифрованы и для связи указан емейл на домене tutanota. Благо в первый рабочий день я сделал первый бекап этого сервера и он у меня был. Диски я снял и они были зашифрованы наглушняк. Даже фс не определялась. Ради интереса я вышел на связь с этими пида... скрипткидисами. Цена 2500$. Спросил про скидки) Сказали, что мол скидок нет, так как было проделано много работы. В итоге: прошерстил контору. Нашел уязвимый комп. На нем оказался RDP до того сервака. Видимо бухгалтер запустила файл из письма и никому не сказала об этом. Комп отрубил от сети и снес операционку. Сервак переделал заново и восстановил все из бекапа. Пидара... кулхацкерам написал письмо и пожелал им анальных утех с березовыми полешками.
О, тоже есть такая история, только там последствия еще хуже.
Дано: дочка Роснефти, неплохая такая компания с миллиардными оборотами. Но, как всегда, какие-то левые антивири, дыры в безопасности, отсутствие бэкапов и все такое.
В один прекрасный(нет) момент приходит многим известный вирус "Петя" и шифрует кучу инфы на компах и серверах. Естественно, безвозвратно - бэкапы были только местами. Ну ок - поплакали, покакали и погнали дальше. Казалось, что каких-то серьезных проблем удалось избежать - да, похерилась часть данных, но нефть качается, бабки идут, ничего не сломалась.
Проходит 3 года. Дочка Роснефти решает запустить в строительство один своих больших проектов. Здесь нужно сделать небольшую ремарку в части проектирования и строительства именно у этой компании: между проектными работами(в числе которых - разработка ПО) и строительными работами могло пройти значительное время, 3-5 лет, а то и больше. Поэтому "эффективные" менеджеры придумали брать гарантийные письма с подрядчиков, которые работают с ними эпизодически. Дескать так и так, обязуемся доработать ПО после начала строительства объекта бесплатно и независимо от сроков.
Вернемся к нашим баранам. Начали стройку, выкинули тендер на поставку оборудование и ПНР. ПО для оборудования - типо уже написано, бери и ставь, ага) ПО на объект писал какой-то подрядчик, который работал с этой дочкой всего пару-тройку раз. ПО, по сути, не рабочее - куча косяков и недоработок, часть устройств вообще отсутствует, часть прописана неправильно, тех.схемы отрисованы кое-как. Ну ок, пишут подрядчику:
- Переделывайте!
- Идите лесом, мы вам ничего не должны! - молвит подрядчик.
Но у нас ведь есть гарантийное письмо, думают "эффективные" менедежеры. Лезут в архив ииииииии.... Его нет. Начинают разбираться и оказывается, что бумажка была среди тех, кто постралал во время затопления архива. Ну, бывает, просрали бумажный экземпляр, но ведь есть электронный! Да еще и переписка в почте, которая тоже может служить доказательством! Лезут проверять все это дело иииии..... Правильно, все похерено Петей, бэкапов нет) По какому-то неведомому стечению обстоятльств, ПК всех пользователей, с которыми велась данная переписка, были зашифрованы Петей, равно как и почтовый сервер.
Вот так вот компания попала на пару-тройку миллионов за доработку ПО на ровном месте из-за обычного разгильдяйства.
У фирмы взломали сервак и всё зашифровали. Запросили X долларов в рублях на киви-кошелек. Выяснилось, что бэкапы не делались много месяцев. Пришлось заплатить. По общению хакеры вели себя крайне нагло, с матами. Возможно люди, которые ломают и которые беседуют - это разные люди. Заплатили. Спустя пару дней они дали дешифратор. Могли не дать (деньги-то получены). Расшифровали не всё. Часть файлов и баз данных были безвозвратно утрачены. То есть они приняли изначальную форму .doc, .dat и пр., но не функционировали.
У другой фирмы спустя какое-то время также сломали сервер и зашифровали. Посмотрели обороты в 1С. Запросили примерно в 10 раз больше. У этой фирмы бэкапы были на вчера. Бухгалтеры и менеджеры руками по бумажкам заколотили все операции за вчера-сегодня. Директор фирмы матами послал хакеров.
Однажды я делал стартап. В один день открываю емейл и вижу письмо со скриншотом кода нашего проекта. Натурально скачали наш репозиторий и показывают его нам.
— Вот гандоны! — подумал я, но ответное письмо все же начал со слов "Hello, my friend”
Оказалось, это не какой-то школьник, а серьезный спец. Кристиан его звали. Немец такой, в костюмчике. Судя по профилю в LinkedIn — консультирует по кибербезопасности.
Он обнаружил уязвимость, скачал репозиторий и теперь предлагал нам за вознаграждение рассказать где дырень.
— Вот меркантильный! — подумал я, но вежливо спросил "Сколько стоят ваши услуги?"
— За жалкие 1000 долл, я вам подробно расскажу где вы накосячили, а еще дам подробный гайд как избегать этих проблем в будущем — ответил немецкий хакер.
Спасибо, что еще персональное наставничество не предложил с доступом в закрытый чат.
Я ему ответил, что дорого, готов на 500 согласиться. Он предложил "let's meet in the middle". То бишь 800 долл. Я охуел от немецкой математики и взял паузу на подумать.
Думать в одиночку было тяжело, поэтому я спросил у своего друга — чо делать?
Он предложил: — а давай поблагодарим его и просто дадим ему 100 долл. Мол, спасибо, что подсказал, дальше будем искать сами. Возможно, он сам захочет рассказатьгде уязвимость.
Я очень доверял другу, поэтому быстро согласился потестить эту гипотезу за его деньги. Но он убедительно сказал: Сережа,лучше, если это будут деньги компании. Ладно, попробуем.
Я пишу немцу, чувак, готовы дать тебе 100 долл.
Тут уже Кристиан подохуел от таких корейских переговоров. Он говорит:
— Пару писем назад ты предлагал 500 долл, что произошло?
Я ему говорю:
— Я прикинул, что это весь наш бюджет на маркетинг на 5 месяцев. Включая работу маркетолога. Поэтому готов датьтолько 100 долларов и наш маркетолог работает бесплатно.
Кристиан, уточнил:
— Т.е. ты хочешь мне заслать 100 долларов без каких-либо гарантий?! А сам он, наверное, подумал — хороший бизнес, можно масштабировать.
— Да, — отвечаю ему. Это такое большое человеческое спасибо от нашего маркетолога.
В итоге я заслал ему 100 долларов на PayPal и... он пропал.
— Охуенно сработало, — поблагодарил я друга.
Через день Кристиан прислал письмо, где показал нам уязвимость.
— Охуенно сработало, — поблагодарил я друга во второй раз.
Представьте, вы написали свой сервис веб-почты, или классное расширение, которое стилизует браузер. Такие сервисы могут набирать миллионную аудиторию, но только если они бесплатны.
Так кто же готов платить за такой сервис? Только тот, кому нужен контроль над пользователями - тот, кто хочет знать о них все.
Как создать бизнес на слитых данных - рассказываю на примере компании SimilarWeb.
Я, Григорий Мельников, автор онлайн сервиса по выявлению ботов KillBot, рассказываю как работает антифрод и сливы данных для некоторых сервисов.
Справка.
SimilarWeb — это компания, которая предоставляет аналитику о посещаемости сайтов. На сайтах нет скриптов учёта посещаемости от SimilarWeb, но это не мешает им предсказать посещаемость каждого сайта в интернете.
Как SimilarWeb Получает Данные
Одним из ярких примеров слива данных является покупка компанией SimilarWeb популярного расширения для браузера Stylish. После его приобретения в расширение было встроено шпионское ПО. Это ПО, как минимум, отслеживало посещаемые пользователями сайты.
В Stylish не скрывают, что собирают 'обезличенные' данные. Но так не везде.
Кто Еще Сливает Данные в SimilarWeb?
До июля 2023 года для русскоязычного сегмента интернета компания использовала как минимум три источника данных о трафике сайта:
Браузерное расширение Stylish
Браузерное Расширение FriGate
Некоторые DNS-серверы.
Как примерно работает эмпирическая система учёта трафика SimilarWeb?
Для того, чтобы эмпирическая система SimilarWeb сделала прогноз, необходимо присутствие данных из всех 3-х источников, что представлены выше. Например, если вы посещаете сайт habr.com с расширением FriGate, а ваш друг посещает этот же сайт с установленным расширением Stylish, и есть запросы через DNS-серверы, которые сотрудничают с SimilarWeb, то этот факт даст к росту трафика. Однако, если я прогоню запросы через DNS-серверы, которые с SimilarWeb не делятся (например Билайн), то визиты будут проигнорированы несмотря на наличие визитов с Stylish и FriGate.
Справка:
DNS (Domain Name System) – это система, которая переводит доменные имена сайтов в IP-адреса.
Утечка данных через DNS происходит, когда запросы на перевод доменных имен в IP-адреса, попадают в ненадежные руки. В результате, даже если ваш интернет-трафик зашифрован, сторонние наблюдатели могут увидеть, какие сайты вы посещаете.
Антифрод SimilarWeb (т.е. защита от накрутки)
Таким образом, антифрод SimilarWeb устойчив к накрутке. Чтобы накрутить SimilarWeb нужно знать адреса тех, кто им данные сливает. И второй момент - их основа предполагает использование количественных характеристик для идентификации подлинности трафика.
Привожу примеры:
Допустим, 100 визитов из 100 осуществлены через одни и те же ДНС.
Или для 100 заходов ни у одного не установлен AdBlock (это можно проверить и без слива).
Или все 100 заходов от одного интернет провайдера.
Или все 100 заходов новые, без истории навигации в интернете.
Пересечение подобных характеристик - это и есть накрученный трафик или трафик ботов. Характеристики выше - это просто примеры, это идея.
В любом трафике ботов можно выделить одинаковые характеристики несмотря на подмену фингерпринта, IP адресов, DNS и так далее. Нужно знать как работают боты и понимать где искать эти характеристики.
До слива персональных данных один шаг
Вот, допустим, директор крупной кампании - всё у него честно. Но тут к нему приходят "друзья": демонстрируют интим-фото, намекают что жена и дети, предлагают деньги. И всё - с этого момента он завербован и обезличенный сбор данных превращается в персональный.
Можно ли защитится от утечки данных?
Наверно нет: источников слива много: кого-то взломают, кто-то сам сольет. Да, можно использовать свой личный ВПН сервер, можно не использовать браузерные расширения, можно выпиливать с сайтов метрику, аналитику и другие пикселы. Но даже если это сделать, то, все равно, у нас дырявая операционная система, дырявый браузер и т.п. Поэтому я не парюсь)
Разберём принцип работы популярной среди мошенников атаки — Address Poisoning Attacks (APA). Попасться на такую удочку мошенников может любой из нас, поэтому не скипайте эту статью!
🎣 Суть атаки
Злоумышленники ищут адреса потенциальных жертв. Они выбирают такие адреса, которые часто отправляют крупную сумму на один и тот же адрес. Допустим, начальник регулярно выплачивает зарплату на кошелек своего работника, получается адрес А (начальник) отправляет деньги на адрес В (работник).
Злоумышленники с помощью специальных сервисов генерируют адрес С, у которого первые и последние символы адреса полностью совпадают с первыми и последними символами у адреса В.
Далее злоумышленник с адреса С отправляет на адрес А транзакцию в пару центов, выглядит она так, будто-бы вам прислали $0.
Если в следующий раз начальник (адрес А), чтобы отправить деньги, будет заходить в книгу транзакций для того чтобы найти адрес работника (адрес В), то он может спутать адрес В с мошенническим адресом С, так как обычно при отправке денег пользователь сверяет первые и последние символы адреса.
В итоге, начальник из-за невнимательности отправляет свои деньги на кошелек мошенника, а работник остается без зарплаты.
Злоумышленники повторяют это действие с огромным количеством адресов, тем самым "отравляют их", и этот яд остается в кошельке навсегда.
Выпьет ли жертва этот "яд" — зависит от осторожности и внимательности.
🛡 Как обезопасить себя
От этих атак мы никуда не денемся, ведь вся историй транзакций и наши адреса можно спокойно найти в блокчейне, такова его суть. Отправив деньги злоумышленнику, вы их уже не сможете вернуть. Самое главное — полностью и несколько раз проверяйте адрес на который вы отправляете деньги, тогда все будет хорошо.
Больше интересного и полезного контента о криптовалютах и арбитраже в ТГ канале - КриптоМарс
Просматривая последнюю версию Android 14 QPR2 Beta 2, эксперты новостного портала Android Police обнаружили интересную функцию, которая сканирует поведение загруженных приложений в фоновом режиме и подает сигнал тревоги при обнаружении подозрительной активности.
фишинговые атаки
Киберпреступники всегда проявляют недюжинную изобретательность, чтобы получить конфиденциальные данные своих жертв: электронные письма от банков, информационные бюллетени или службы подписки, которые иногда выглядят обманчиво реальными, просят предоставить личную информацию или банковские реквизиты, PIN-коды и пароли.
Эту процедуру, известную как фишинг, также можно выполнить с использованием поддельных приложений, которые загружаются в систему Android. Чтобы защитить пользователей от передачи конфиденциальных данных не тем получателям, есть новая опция, которая активируется в настройках смартфона Android.
В разделе «Настройки» -> «Безопасность и защита данных» -> «Большая безопасность и защита данных» есть функция под названием «сканирование мошеннических приложений». Если активировать эту функцию, система в фоновом режиме проверяет, работают ли приложения ненормально. В текущем обновлении, помимо исправления ошибок и улучшения производительности, появилось новое расположение значков приложений, кнопка «Поделиться Wi-Fi» и многое другое.
Пока неизвестно, как именно это решение работает. Google не прокомментировала находку экспертов. Предполагается, что все это работает, среди прочего, путем поиска определенных ключевых слов, таких как «войти в систему» или «пароль». Если замечается, что данные запрашиваются, а приложение не является надежным источником, оно подает сигнал тревоги и передает определенные данные в Google, чтобы клиенты Play Store могли быть предупреждены о мошеннической программе.
Этой мерой Google пытается и дальше защищать пользователей Android от вредоносного ПО. В отличие от системы iOS от Apple, можно использовать всевозможные сторонние приложения на устройствах Android, что, конечно, приводит к большей свободе действий для провайдеров с плохими намерениями. Однако вскоре то же самое произойдет и с Apple. В соответствии с новым законодательством ЕС компания обязана разрешить альтернативные магазины приложений и загрузку продуктов с марта 2024 года.
Пока неизвестно, действительно ли программное обеспечение Google для сканирования помогает в борьбе с фишингом. Киберпреступники часто быстро реагируют на новые системы безопасности и соответствующим образом адаптируют свои методы.