Информация без опасностей (безопасность)
Очередной канал по информационной безопасности. В основном о банковской ИБ. (Не Лукацким единым ;) )
Show more1 178Subscribers
+224 hours
+187 days
+4530 days
Posts Archive
Роскомнадзор блокирует порядка 150 популярных VPN-сервисов
https://tass.ru/ekonomika/20622877
Repost from Эксплойт
⚡️ VPN в России всё — РКН начал блокировать индивидуальные Outline серверы.
Пользователи сообщают, что это происходит с серверами, которыми пользуются десятки человек (например, семья), но при этом адрес нигде в публичном пространстве не светится. Не спасает даже китайский Shadowsocks.
РКН добивает выживших.
@exploitex
Б значит не Безумие, а Безопасность: часть 1 / Хабр
https://habr.com/ru/companies/nixys/articles/771290/
👍 1
Repost from ТАСС
Запад осуществляет всемирную IT-слежку, страны БРИКС смогут бороться с ней, объединив усилия, считает президент "Крибрум", член СПЧ Игорь Ашманов.
"Есть страны, которые технологически этого себе позволить не могут. Индия, Китай и Россия могут многое вложить в этот пакет. С помощью БРИКС можно думать о создании цифрового суверенитета под ключ для стран-участниц", — заявил эксперт в интервью Аналитическому центру ТАСС.
😱 1
Repost from Аутентификация, биометрия, электронная подпись
ЦБ РФ хочет запустить в этом году эксперимент по видеоидентификации клиентов банков
Банк России хочет разрешить в экспериментальном режиме видеоидентификацию клиентов банков. Эта функция должна обеспечить дополнительную защиту от мошенников, так как банк может убедиться в том, что банковской картой пользуется именно ее владелец.
Тестирование планируют начать в этом году. Под него готовится законодательная база.
Как заявила зампред ЦБ Ольга Полякова, практически уже готовы изменения в 115-й закон, передает ТАСС. В настоящее время действующее законодательство не позволяет банкам проводить удаленную идентификацию новых клиентов с использованием различных технических средств, включая средства видеосвязи.
При этом банки могут использовать технологии видео-конференц-связи для аутентификации (подтверждения личности) уже находящихся на обслуживании клиентов.
https://www.bfm.ru/news/548551
👍 1
Скачай изображение и потеряй свой Telegram-аккаунт - Инфобезопасность
https://infobezopasnost.ru/blog/news/skachaj-izobrazhenie-i-poteryaj-svoj-telegram-akkaunt/
Банк России разъяснил вопросы, связанные с кибербезопасностью и импортозамещением
https://asros.ru/dialog/information-security/bank-rossii-razyasnil-voprosy-svyazannye-s-kiberbezopasnostyu-i-importozameshcheniem/
Repost from Банкста
Банки не смогли перейти на зарубежный софт. К 1 января 2025 года они должны завершить переход с иностранного программного обеспечения на отечественный софт. Но с 2022 года в России так и не появился ряд IТ-решений, рассчитанных на высоконагруженные банковские системы. @banksta
Необычный способ кражи Telegram-аккаунтов придумали российские хакеры. Они установили в аэропортах Шереметьево и Внуково точку доступа Wi-Fi с привлекательными названиями SVO_Free и VKO_Free. После подключения к ней пользователей перекидывали на страницу авторизации в браузере смартфона, где нужно было ввести номер телефона и код доступа. Однако код этот приходил не по SMS, как обычно, а в Telegram – и, собственно, был одноразовым кодом авторизации в мессенджере. Введя его на странице авторизации, жертва не получала никакого доступа к Wi-Fi, зато лишалась доступа к своей «телеге».
https://www.frequentflyers.ru/2024/04/18/svo_free/
Минцифры предложило правительству отложить создание национального репозитория открытого кода, запланированного к запуску до конца текущего месяца, а вместо этого использовать «один из существующих общедоступных отечественных репозиториев». Об этом написал «Коммерсант».
https://ib-bank.ru/bisjournal/news/20483
«Солар» запустил сервис защищенного доступа к веб-ресурсам ГОСТ TLS
https://rt-solar.ru/events/news/4267/
"Авито", "Билайн", "Тинькофф" и "Яндекс" подписали отраслевой стандарт защиты данных
https://tass.ru/ekonomika/20582431
Repost from Прямой Эфир
В Ижевске провели проповедь о кибербезопасности.
Подполковник полиции и отец Владимир объяснили прихожанам, что делать, когда звонят мошенники
📢 Прямой эфир - подписаться
Repost from DevSecOps Talks
Microsoft Kubernetes Threat Matrix
Всем привет!
Продолжаем тематику моделирования угроз. Сегодняшний пост будет посвящен проекту Kubernetes Threat Matrix от Microsoft.
Инструмент достаточно известный, но лишнее напоминание не повредит.
Он уже пережил несколько доработок, последняя из которых была в конце 2022 года. Добавили новые техники:
🍭 Static pods
🍭 Collecting data from pod
🍭 Container service account
🍭 Exposed sensitive interfaces
Помимо этого, реализован mapping между Kubernetes Threat Matrix и наработками MITRE ATT&CK. Еще одним удобством стал web-интерфейс, с которым можно ознакомиться по ссылке.
БРИКС создаст реестр контактных пунктов для обмена данными о компьютерных атаках
https://tass.ru/politika/20576825
Repost from ТАСС
Страны БРИКС решили сформировать реестр контактных пунктов для обмена информацией о компьютерных атаках, сообщили в МИД РФ.
Щит для цифрового мира Безопасность в ИТ | IT-World.ru
https://www.it-world.ru/security/214977.html
Отраслевой портал - Информационная безопасность банков
https://ib-bank.ru/bisjournal/news/20468
Repost from Раньше всех. Ну почти.
Фейковое приложение Сбербанка под названием «Сбер: Онлайн Банк» появилось в AppStore, сообщает ТАСС.
В кредитной организации подтвердили этот факт. В кол-центре Сбербанка предупредили, что скачивание мошеннического приложения в магазине приложений для устройств Apple может привести к потере личных данных.
🔥 1
Как клиенту банка доказать, что его подпись подделана, объяснил Верховный суд - Российская газета
https://rg.ru/2024/04/14/tajna-roscherka.html
Главные правовые вызовы искусственного интеллекта
https://workshops.mosdigitals.ru/webinar-24-04?utm_source=yandex_direct&utm_medium=cpc&utm_campaign=y_network_tg_web_wd&type=context&source=t.me&block=none&position=0&utm_term=---autotargeting&roistat=direct8_context_16061081730_---autotargeting&roistat_referrer=t.me&roistat_pos=none_0&yclid=1972944038879035391
РКН предупредил о рассылке фейковых писем от его имени руководителям СМИ
https://www.interfax.ru/russia/955399
Документы по информационной безопасности: общие и частные примеры - Falcongaze
https://falcongaze.com/ru/pressroom/publications/articles/dokumenty-po-informatsionnoj-bezopasnosti.html?cultureKey=ru&utm_source=telegram
Масштабной кибератаке с использованием вируса-шифровальщика подвергся Агрокомплекс им. Н. И. Ткачева — одно из крупнейших сельскохозяйственных предприятий в России. Компания еще устраняет последствия инцидента. По данным “Ъ”, ей пришлось столкнуться не только с трудностями в работе, но и с вымогательством 500 млн руб.
https://www.kommersant.ru/doc/6635325
В минувшем году, мошенники похитили у россиян почти 16 млрд рублей. Жажда легкой наживы заставляет злоумышленников изобретать все новые и новые схемы хищения денежных средств у жителей нашей страны. Одну из таковых, основанную на призывах быстро и просто заработать онлайн, описала группа компаний «Гарда», а руководитель отдела информационной безопасности Виктор Иевелев составил перечень самых распространенных.
https://nbj.ru/fingramotnost/eksperty-gk-garda-rasskazali-o-pravilakh-s/65060/
Обманчивая CAPTCHA: Латинская Америка страдает от новых способов фишинга
https://www.securitylab.ru/news/547363.php
Repost from Банки, деньги, два офшора
В МВД предупредили о фейковых приложениях ВТБ и Тинькофф банка в App Store, которые воруют личные данные. К банкам они никакого отношения не имеют. @bankrollo
😱 1
Repost from Об ЭП и УЦ
Уровни доверия идентификации и аутентификации клиентов банков
Не мог пройти мимо Стандарта Банка России СТО БР БФБО-1.8-2024, которым установлен состав и содержание мер для обеспечения доверия к результатам идентификации и аутентификации клиентов при дистанционном банковском обслуживании (ДБО), всё-таки он затрагивает вопросы применения средств электронной подписи.
Использование СКЗИ и (или) средств электронной подписи при проведении идентификации и аутентификации должно осуществляться в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» [4], приказом ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» [10] и технической документацией на СКЗИ и (или) средство электронной подписиИтак, для финансовых организаций устанавливаются три уровня доверия идентификации (УДИ), определяющих уверенность в результатах идентификации: 🔹низкий (УДИ 1) - может использоваться для предоставления информационных сервисов физлицам, 🔹средний (УДИ 2) - предоставление информационных сервисов юрлицам, не самые рисковые финансовые операции физлиц, 🔹высокий (УДИ 3) - высокорисковые финансовые операции физлиц, финансовые операции ЮЛ. Примеры реализации процесса верификации в разрезе УДИ: 🔹УДИ 1 - подтверждение сведений через СМС; проверка паспорта по видеосвязи; проверка сведений о получателе поставщиком услуг; неподтвержденная УЗ ЕСИА. 🔹УДИ 2 - подтверждение сведений с использованием квалифицированного сертификата. 🔹УДИ 3 - подтвержденная УЗ ЕСИА+второй фактор аутентификации (например, СМС); подтверждение сведений посредством сервисов СМЭВ; подтверждение сведений с использованием загранпаспорта нового поколения; подтверждение с использованием ЕБС. Не согласен с данным примером, что подтвержденная УЗ ЕСИА с СМС (второй фактор включили у всех по-умолчанию прошлой осенью) соответствует более высокому уровню, чем использование квалифицированного сертификата. Это даже 63-ФЗ противоречит, например, для удаленной идентификации с целью получения квалифицированного сертификата можно использовать: загранпаспорт нового поколения (да, технология доступна только для одного УЦ), связку ЕСИА+ЕБС, либо действующий квалифицированный сертификат. УЗ ЕСИА со вторым фактором использовать нельзя для получения сертификата, однако данный способ подтверждения личности отнесен к самому высокому уровню- УДИ 3. Стандарт носит рекомендательный характер, вступает в силу с 01.07.2024.
🔥 1
Repost from Говорит Нотариат
По всей России случился массовый сбой в системе регистрации транспортных средств
МВД приостановило выдачу прав и регистрацию автомобилей в ряде российских регионах из-за техсбоя. В отделениях ГИБДД Москвы, Московской области, Санк-Петербурга и других городов выстроились очереди. Известно, что сбой произошел в связи с переходом на новое программное обеспечение. Ведутся работы по восстановлению работоспособности системы.
@notariat