PT Knockin: вышел сервис для проверки безопасности корпоративной почты
https://www.anti-malware.ru/news/2024-04-03-111332/43092

Как запустить в Viber антиспам

Эта функция автоматически блокирует подозрительные номера, что может предотвратить мошенничество или избавить от спама.

Для активации: зайдите в Viber → нажмите «Еще» → «Настройки» → «Вызовы и сообщения» → включите «Защита от лишних звонков».

Функция работает на Android, iOs, macOS, Windows.

#security

Мессенджеры хранят переписку пользователей до полугода: эксперт раскрывает причины
https://digital-report.ru/messendzhery-hranjat-perepisku-polzovatelej-do-polugoda-jekspert-raskryvaet-prichiny/

Утечка из "Сирена-Трэвел" привела к уголовному делу

"Коммерсантъ" сообщает об уголовном деле в отношении двух вице-президентов "Сирена-Трэвел". Как я и предполагал, это связано с крупной утечкой данных из системы бронирования авиабилетов "Леонардо" (а не DDoS-атаками).

Дело против двух топ-менеджеров заведено по ч. 5 ст. 274.1 УК РФ (нарушение правил эксплуатации, хранения, обработки и передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре). Также в деле говорится о неустановленных следствием лицах.

"По версии следствия, преступление фигуранты совершили в «неустановленное время», но не позднее 15 сентября прошлого года.

Находясь тогда в «неустановленном» месте, они допустили хакерскую атаку, повлекшую тяжкие последствия в виде «незаконного завладения персональными данными пассажиров авиакомпаний».

Следствие и СЭБ ФСБ установили, что в период с 25 августа по 15 сентября 2023 года неизвестные, используя программу SSH Bruteforce, нейтрализовали средства защиты компьютерной информации, а затем с помощью программы HEUR:Trojan.WInLNK.Alien.gen получили доступ к информационным системам АО «Сирена-Трэвел», в том числе к системе бронирования авиабилетов Leonardo.

Данные ресурсы включены в реестр Федеральной службы по техническому и экспортному контролю (ФСТЭК) как субъект критической информационной инфраструктуры РФ. Последней, как и пассажирам, был причинен существенный вред".

Ещё раз напомню, о какой утечке идёт речь: 20 сентября в Телеграме был создан канал под названием Muppets. Из опубликованных скриншотов следовало, что у "Сирены-Трэвел" были украдены данные о бронированиях с февраля 2007 по сентябрь 2023 (т.е. за 16 лет), всего 664,5 млн записей. В подтверждение были опубликованы два сэмпла (по которым можно было верифицировать утечку). Подробнее рассказывал здесь.

Утечкой заинтересовался Роскомнадзор, и в конце прошлого года "Сирена-Трэвел" получила штраф по ч. 1 ст. 13.11 КоАП (размер штрафа в опубликованном судебном решении не указан, но обычно за утечки штрафуют на 60 тысяч).

Это первый известный мне случай, когда после наказания организации за административное правонарушение в сфере защиты персональных данных (в частности в результате хакерской атаки) заводится и уголовное дело в отношении топ-менеджеров — за недостаточную защиту критической информационной инфраструкры. Вероятно, это объясняется масштабом утечки, а также чувствительностью данных.

Но нужно отметить, что и среди других организаций, которые за последние 2 года получили 60-тысячные штрафы за утечки, немало тех, кто относится или может быть отнесён к КИИ. Сегодняшняя новость показывает, что даже без поправок об ужесточении наказания за утечки по ст. 13.11 КоАП (которые неторопливо обсуждаются уже два года) у правоохранительных органов есть возможности действовать по некоторым утечкам более жёстко.

МИЭМ НИУ ВШЭ и Банк России открывают новую магистерскую программу «Информационная безопасность в кредитно-финансовой сфере». На ней будут готовить специалистов по информационной безопасности для банков и других организаций финансового сектора.

Подробнее о том, что будут изучать студенты новой магистратуры, на кого рассчитана программа и где будут работать выпускники: vk.cc/cw3D7w

В связи с прекращением поддержки PCI DSS v. 3.2.1 Совет по стандартам безопасности индустрии платежных карт (PCI SSC) уведомил о переходе на новый порядок проверки соблюдения требований PCI DSS v. 4.0

Российские банки смогут использовать электронную подпись со всеми клиентами

В России банкам разрешили использовать электронную подпись вместо биометрии при работе с физическими лицами.

Системно значимые банки должны будут предоставить удаленное обслуживание новых клиентов с использованием биометрической идентификации через приложение «Госключ», как в мобильном приложении, так и в интернет-банке. Остальные банки смогут выбрать один из этих каналов.

Kerberos для специалиста по тестированию на проникновение.

• Теория;
• Классические атаки;
• Неограниченное делегирование;
• Ограниченное делегирование;
• Делегирование, ограниченное на основе ресурсов;
• PKINIT.

#Kerberos #Пентест

В Ивановской области оштрафовали банк за назойливые звонки

У жительницы региона возникли сложности с выплатой кредита. Тут же ее стали атаковать профессиональные взыскатели долгов, причем звонили по несколько раз в день, что нарушает закон (№230-ФЗ от 3 июля 2016 года). Женщина обратилась к судебным приставам с жалобой на деятельность сотрудников банка.

После проведенной проверки выяснилось, что данный банк неоднократно привлекался к административной ответственности за излишне активную работу с должниками. Банк оштрафовали на 100 тысяч рублей, сумма штрафа уже выплачена.

По всей России случился массовый сбой в системе регистрации транспортных средств

МВД приостановило выдачу прав и регистрацию автомобилей в ряде российских регионах из-за техсбоя. В отделениях ГИБДД Москвы, Московской области, Санк-Петербурга и других городов выстроились очереди. Известно, что сбой произошел в связи с переходом на новое программное обеспечение. Ведутся работы по восстановлению работоспособности системы.

@notariat

В МВД предупредили о фейковых приложениях ВТБ и Тинькофф банка в App Store, которые воруют личные данные. К банкам они никакого отношения не имеют. @bankrollo

Обманчивая CAPTCHA: Латинская Америка страдает от новых способов фишинга
https://www.securitylab.ru/news/547363.php

В минувшем году, мошенники похитили у россиян почти 16 млрд рублей. Жажда легкой наживы заставляет злоумышленников изобретать все новые и новые схемы хищения денежных средств у жителей нашей страны. Одну из таковых, основанную на призывах быстро и просто заработать онлайн, описала группа компаний «Гарда», а руководитель отдела информационной безопасности Виктор Иевелев составил перечень самых распространенных.

https://nbj.ru/fingramotnost/eksperty-gk-garda-rasskazali-o-pravilakh-s/65060/

Масштабной кибератаке с использованием вируса-шифровальщика подвергся Агрокомплекс им. Н. И. Ткачева — одно из крупнейших сельскохозяйственных предприятий в России. Компания еще устраняет последствия инцидента. По данным “Ъ”, ей пришлось столкнуться не только с трудностями в работе, но и с вымогательством 500 млн руб.

https://www.kommersant.ru/doc/6635325

Документы по информационной безопасности: общие и частные примеры - Falcongaze
https://falcongaze.com/ru/pressroom/publications/articles/dokumenty-po-informatsionnoj-bezopasnosti.html?cultureKey=ru&utm_source=telegram

РКН предупредил о рассылке фейковых писем от его имени руководителям СМИ
https://www.interfax.ru/russia/955399

Главные правовые вызовы искусственного интеллекта

24 апреля в 19:00

На вебинаре вы узнаете:

С какими правовыми коллизиями сталкиваются юристы при работе с ИИ

Как искусственный интеллект повлияет на законодательство

На какую правовую базу опираться юристу в работе с ИИ

https://workshops.mosdigitals.ru/webinar-24-04

Как клиенту банка доказать, что его подпись подделана, объяснил Верховный суд - Российская газета
https://rg.ru/2024/04/14/tajna-roscherka.html