F.A.C.C.T. Борьба с киберпреступностью

Третья часть обзора эволюции интернет-мошенничества от экспертов F.A.C.C.T. в нашем блоге! ⚙️ Вы узнаете: ☀️Операция «Адаптация». К 2022 г. рынок начал реагировать на рост фишинговых страниц и хищений: платформы объявлений учились выявлять и блокировать аккаунты скамеров, адаптировались и системы банковского антифрода. При этом срок жизни фишинговых доменов сократился. Многие скамеры столкнулись с трудностями. Крупные команды начали адаптироваться к новым условиям. ☀️Эволюция инфраструктуры. Во внутренней инфраструктуре мошенников произошли серьезные изменения. Функционал фишинговых страниц усложнился, к управляющим серверам стали обращаться не напрямую, а через несколько «прокладок». Создание и поддержка такой инфраструктуры потребовала серьезной компетенции разработчиков и увеличила стоимость услуг — и в то же время позволила эффективнее обманывать жертв. ☀️«Мерч», «обнал» и «профит». Скамерам не пришлось изобретать ничего нового в сфере обналичивания похищенных средств. Они начали использовать «платежные сервисы», которые предоставляют готовые страницы для ввода данных банковской карты жертвой и выводом средств. ☀️Маркетинг на вооружении. Скамеры начали использовать классические методы маркетинга для привлечения жертв на фишинговые страницы, в том числе через поисковую выдачу и социальные сети. ☀️Маркетплейсы под прицелом. Злоумышленники начали регистрировать магазины и размещать товары по привлекательным ценам. Заказы они отменяли под каким-либо предлогом и перенаправляли жертв на фишинговые страницы. ☀️ Из «антикино» в «эскорт». В этой схеме скамеры все также под видом девушек искали жертв на сайтах знакомств, однако вместо имитации романтических отношений и приглашения на свидание прямо заявляли, что работают в сфере интимных услуг. ☝️Если вдруг пропустили начало, переходите к первой и второй частям ⬅️ 🤭 Читайте полную версию третьей части по ссылке.

👀 Кто атакует российских бухгалтеров? Кроме групп вымогателей, в киберпреступном мире действуют несколько знаковых персонажей-одиночек, которым по разным причинам долгое время удавалось избегать публичности. Эксперты F.A.C.C.T. из департаментов киберразведки и расследований проанализировали инструменты и связи киберпреступников VasyGrek и Mr.Burns, сорвали с них покровы секретности — и поделились выводами в новом блоге. ⚙️ О чем вы узнаете ☀️Таймлайн атак с разбором цепочки заражений злоумышленника VasyGrek. ☀️Форумная активность VasyGrek с 2016 года и ее связь с инфраструктурой его атак. ☀️Связь злоумышленника VasyGrek с разработчиком вредоносного ПО Mr.Burns. ☀️История разработчика ВПО Mr.Burns, начиная с 2010 года. ☀️Описание актуальной версии вредоносного ПО BurnsRAT, продаваемого на форумах и использующегося в атаках на российские компании. ⬆️По этическим соображениям мы не раскрываем персональные данные киберпреступников, но вся информация, собранная в ходе исследования, передана правоохранительным органам. ⚙️ Как защитить инфраструктуру Специалисты F.A.C.C.T. Threat Intelligence рекомендуют следующее: ☀️Отслеживайте подозрительные сервисы, созданные на конечных точках. ☀️Проверяйте соответствующие ветки реестра для обнаружения ВПО, закрепляющегося в системе этим способом. ☀️Используйте современные меры защиты электронной почты, чтобы предотвратить первоначальный взлом — например F.A.C.C.T. Business Email Protection. ☀️Обучайте сотрудников, чтобы сделать их менее подверженными фишингу во всех формах. ☀️Используйте современные средства выявления и устранения киберугроз — например F.A.C.C.T. Managed XDR и F.A.C.C.T. Threat Intelligence. 🤭 Подробности — включая индикаторы компрометации — в новом блоге.

⚡Блог в помощь: заблокированы 34 активных домена, распространявших ВПО Недавно мы выпустили исследование о том, что аналитики Центра кибербезопасности F.A.C.C.T. обнаружили масштабную сеть доменов, которые использовались в распространении вредоносных программ под видом популярных утилиту, офисных приложений, фото- и видеоредакторов. ⬆️Сведения о доменах были переданы экспертами Digital Risk Protection F.A.C.C.T. в Национальный координационный центр по компьютерным инцидентам (НКЦКИ), в результате чего по горячим следам на территории России были заблокированы 34 активных домена, распространявших ВПО. Список вредоносных доменов будет в дальнейшем пополняться. 🤭 Давайте поддержим исследователей ЦК и DRP F.A.C.C.T. огоньками к посту. Так выглядит настоящая командная работа на результат!🔥🔥🔥

Какие киберугрозы актуальны для ритейла и банков и почему работа сейла в кибербезе — это не столько продажи, сколько скорая помощь для CISO? Об этом рассказываем в новом выпуске «Кибербеза по фактам». В гостях — София Маморцева, менеджер по работе с ключевыми заказчиками F.A.C.C.T., и Дарья Говоркова, руководитель отдела спецпроектов F.A.C.C.T. ⚙️ Вы узнаете ☀ Зачем знать, за какой футбольный клуб болеет CISO, и любимую марку колготок его возлюбленной? ☀ Правда ли, что продажи в кибербезе идут через боль и что с негативом и любовью проще работать, чем с безразличием? ☀ Как сказать клиенту, что он не прав, и нейтрализовать критику с его стороны? ☀ Нужно ли сейлу развивать личный бренд и как пережить выгорание на Мальдивах? Слушайте подкаст прямо в Телеграм или на любых других удобных платформах. ☀️Яндекс.Музыка ☀️YouTube

🎙 «Кибербез по фактам». Сезон 2. Эпизод 3. Скорая помощь для CISO: искусство продаж в кибербезе Подкаст от команды F.A.C.C.T.

🪲В экзотических странах водятся жуки, которые питаются муравьями и используют их экзоскелеты как камуфляж. ⬆️Что же общего у насекомых Acanthaspis Petax и операторов спам-рассылок? И те и другие маскируют свою активность, чтобы поохотиться и уйти от хищников — либо антиспам-систем. Недавно мы рассказывали, как мошенники научились рассылать фишинговые сообщения, прикрываясь Google Looker Studio. Теперь злоумышленники приручили еще один сервис Google — YouTube. ⚙️ Что произошло Письма якобы от видеохостинга начали массово поступать на адреса сотрудников российских компаний. Внутри сообщений было обсуждение ролика с предложением легкого заработка. Получатель сообщения не имел никакого отношения ни к видеоролику из письма, ни к оставленному комментарию. Ставка мошенников — на любопытство потенциальной жертвы и жажду быстрых денег. ⚙️ Как работает схема Действия скамеров ☀️Аферисты регистрируют новый YouTube-канал и загружают несколько видео. ☀️Оставляют комментарий под одним из видео с другого аккаунта. ☀️С третьего аккаунта отвечают на комментарий, затем закрывают возможность комментирования. ☀️Письмо с уведомлением, сформированным YouTube (с корректной DKIM-подписью), массово рассылают жертвам. Действия жертвы ☀️Получатель письма переходит по ссылке. ☀️Пользователь решает с капчу, которая нужна для сокрытия содержимого страницы от систем информационной безопасности. ☀️Жертва переходит на сайт с опросом и формой для ввода персональных данных, после чего с ней связывается «специалист». Все деньги, которые клиент переводит на этот счет, чтобы «начать зарабатывать», окажутся в руках мошенников. 🤭 Подробнее о новой схеме — в нашем блоге.

⭐ В этом видео новобранцы F.A.C.C.T. поделились своими первыми впечатлениями от компании. Одни работают здесь месяц, другие — несколько дней, но объединяет всех одно — понимание того, что они сделали верный выбор! ✅ Мы уже делились десятками вакансий для разных специалистов, но новичкам в F.A.C.C.T. тоже рады. Для желающих нырнуть с головой в пучины кибербеза предлагаем сразу две стажировки — причем с возможностью трудоустройства в штат🔥 🤭 Стажер / младший аналитик в Департамент по защите от цифровых рисков Аналитики отслеживают различные цифровые угрозы, будь то фишинг, мошенничество или нарушение прав интеллектуальной собственности. ⬆️ Ждем стажеров, которые: ☀️Имеют высшее образование или учатся в вузе на последних курсах. ☀️Знают базовые принципы построения и работы сети Интернет (модель OSI, включая IP, DNS). ☀️Обладают базовым знанием видов киберугроз, знают определения фишинга, ВПО, ботнета и других терминов. ☀️Понимают, как работают провайдеры хостинга и регистраторы доменных имен. 🤭 Стажер / младший аналитик в Центр Кибербезопасности Здесь в круглосуточном режиме специалисты F.A.C.C.T. мониторят киберинциденты и защищают от них клиентов компании. ⬆️ Ждем стажеров, которые: ☀️Понимают работу популярных сетевых протоколов (особенно 7 уровень). ☀️Разбираются в типовых СЗИ (IDS/WAF/XDR и т.д.) ☀️ Базово понимают современные векторы и тактики проведения компьютерных атак (kill-chain, концепция MITRE ATT&CK). ☀️Имеют представление о современных киберугрозах, их видах (фишинг, шифровальщики, эксплоиты и т.д.). ☀️Представляют архитектуру современных ОС (файловая структура, сервисы, процессы и т.д.) Не упустите шанс присоединиться к команде F.A.C.C.T. Присылайте резюме на [email protected]

Вторая часть обзора эволюции интернет-мошенничества от экспертов F.A.C.C.T. уже в нашем блоге! ☝️Если вдруг пропустили начало, переходите сюда ⬅️ На этот раз расскажем, как развивалась скам-индустрия в 2018—2020 гг.: от автоматизации инструментов и роста роли Telegram-ботов до мировой экспансии схемы «Мамонт» и развития скамерской субкультуры. ⚙️ О чем узнаете ☀️Развитие инструментов. Все необходимое для работы исполнителя сосредоточилось в одном мессенжере — Telegram. Cоздав объявление, воркер отправлял боту ссылку — и тут же получал готовую фишинговую страницу. Если скам состоялся, бот присылал уведомление с указанием доли мошенника, которую тот мог потребовать у организатора. ☀️Партнерские программы. С увеличением числа участников некоторые группы переформатировались в партнерские программы, в которых под руководством одного организатора действовало несколько команд. ☀️«Мамонт» покоряет мир. В 2020 году скамеры освоили почти все площадки объявлений в России, и потому начали выходить на зарубежные рынки, начиная с СНГ. Несмотря на сложности с обналичиванием средств, мошенничество в странах Евросоюза оказалось более прибыльным. ☀️Скамерская субкультура. Десятки скамерских групп образовали собственную медийную инфраструктуру, где рекламируются сервисы, набираются воркеры, разрешаются конфликты. В отдельных группах для опытных воркеров доступны более прибыльные сервисы, а новичков привлекают через рекламу в Telegram и TikTok. 🤭 Читайте полную версию по ссылке.

🔥 Планы на лето: два онлайн-курса по информационной безопасности В июле и августе F.A.C.C.T. проводит курсы по анализу вредоносного ПО и проактивному поиску киберугроз. Делимся деталями! 🤭 Видеокурс «Анализ вредоносного ПО» 23 июля—13 августа О том, как анализировать вредоносное ПО, обнаруженное в ходе реагирования на инциденты или криминалистического анализа зараженных объектов. ➡️ Чему научитесь: • Понимать технологии вредоносных программ. • Проводить детонацию вредоносных файлов в контролируемом окружении. • Выполнять реверс-инжиниринг вредоносных программ с помощью отладчика и IDA Pro. • Проводить статический и динамический анализ вредоносного объекта. 🤭 Проактивный поиск киберугроз 30 июля—1 августа Практический курс по проактивному поиску скрытых недетектируемых угроз в организации. ➡️ Чему научитесь: • Выявлять аномалии в сетевой инфраструктуре. • Понимать распространенные тактики, техники и процедуры злоумышленников. • Разбираться в основах компьютерной криминалистики, применяемых в Threat Hunting. • Проверять гипотезы и находить новые индикаторы компрометации для скрытых угроз. 🔖Все курсы платные и проходят онлайн. Чтобы узнать больше или записаться, кликните на название курса. ❓Остались вопросы? Задавайте их через форму на странице курса или пишите на [email protected]

📩 Не все вредоносные письма такие же стильные, как у ReaverBits. В Центре кибербезопасности F.A.C.C.T. вам могут показать и абсолютно «ленивую» рассылку, недавно направленную по российским компаниям. Судя по всему, злоумышленники не заморачивались насчет оформления письма — следовательно, и его убедительности. ⚙️ Что внутри ☀️Автоматизированный перевод. Текст написан, по всей вероятности, онлайн-переводчиком: с ошибками, повторами и оформлением по моде 1990-х гг. — даже без логотипа. Ну а тема письма была актуальна два года назад. ☀️Подозрительные домены. Рассылки шли со взломанных доменов texastooltraders[.]com и rea[.]giize[.]com ☀️Во вложении — архив со стилером MetaStealer. 🤭 Недооценивать такую рассылку, несмотря на оформление, не стоит. Вредоносная нагрузка довольно серьезная: она способна отключить антивирусные средства и похитить чувствительные данные.