🔐 Пароли в умных домах пытаются взломать более 300 раз в сутки

Британская компания «Which?» выкатила результаты эксперимента, проведённого совместно с NCC Group, которые показали, что атаки на умные дома проводятся более 12 тыс. раз в неделю.

Исследователи создали фейковый умный дом: закупили уйму бытовых смарт-приборов — телевизоров, холодильников, чайников, камер видеонаблюдения и т. п., подключили их к интернету и фиксировали попытки атаки.

В первую неделю насчитали 1017 уникальных проверок защиты на прочность (минимум 66 из них носили явно враждебный характер). Позже этот поток возрос до 12,8 тыс. атак в неделю, в 2435 случаев неизвестные пытались авторизоваться на устройстве путем подбора дефолтных логинов и паролей.

Чаще всего пытались ломануть принтеры Epson, но попытки были провальными: на устройстве с завода устанавливается слишком сложный пароль. Принтер Canon, система безопасности Yale, телевизор Samsung тоже хорошо держали удар, а вот беспроводная камера ieGeek (кстати, купленная на Amazon из-за высокого рейтинга) перед хакерскими атаками не устояла. Ее взломали, изменили некоторые настройки и пытались использовать для слежки. После уведомления Amazon сняла эти видеокамеры с продажи.

Источники хакерского трафика располагались в разных регионах. Большинство атак исходило из США, Индии, Китая, России и Нидерландов.

По итогу эксперимента «Which?» выработала несколько правил повышения безопасности умного дома. Вот они:
❗️ Всегда заменять дефолтный пароль доступа к смарт-устройству;
❗️ Включить все средства защиты, перечисленные в инструкции или настройках приложения, а также двухфакторную аутентификацию для защиты аккаунта.
❗️ Обязательно устанавливать все обновления безопасности от производителя.
❗️ Не забывать о возможности фишинга при получении писем или SMS.

👀 Мэрия Москвы отдаст частникам систему слежки за самоизоляцией граждан

Вместо департамента информационных технологий (ДИТ) этим будет заниматься та компания, которая одержит победу в конкурсе.

Мэрия столицы объявила тендер на техническую поддержку и сопровождение системы мониторинга до конца 2022 года. Его стоимость составила 15,4 млн руб., а итоги конкурса обещают подвести 27 июля.

Объявленный победитель будет обязан проверять доступность и работоспособность системы (устранять сбои), осуществлять её модернизацию и улучшение.

Кстати, представители самого ДИТ отметили, что передача системы в руки частника хорошо скажется на техподдержке граждан и, как ожидается, повысит её устойчивость. Отдельно в департаменте подчеркнули, что подрядчик не получит доступ к персональным данным россиян (ага да).

​​😳 Каждая вторая ссылка в мессенджерах россиян — фишинговая

Эксперты «Лаборатории Касперского» поделились статистикой фишинговых атак через популярные мессенджеры. Как оказалось, российские пользователи Android сталкиваются с такими инцидентами чаще представителей из других стран. Почти каждая вторая (46%) попытка перейти по вредоносной ссылке из мессенджера с декабря 2020 по май 2021 года была заблокирована в России.

Фишинговые ссылки в России распространялись чаще всего через WhatsApp. На долю этого мессенджера приходится 83% случаев. На втором месте оказался Viber. Через этот мессенджер делается каждая десятая подобная атака. Доля Telegram составила всего 7%.

Хочешь поднять бабла? Зайди на Азино Три топора! Слей Госдепу инфу о «правительственных хакерах»!

А теперь подробнее. На днях Госдеп США объявил, что выплатит вознаграждение 10 000 000 зелёных за любую информацию, которая поможет американским властям выявить и определить местонахождение хакеров, «действующих по указанию или под контролем иностранного правительства». В первую очередь речь идет о группировках, атакующих американскую критическую инфраструктуру.

Этот анонс — явное следствие недавних атак на компании JBS Foods (крупнейший поставщик говядины и птицы для США, Австралии, Канады, Великобритании и т.д. Обслуживает клиентов из 190 стран), а также американского оператора трубопровода Colonial Pipeline. Эти инциденты негативно отразились на поставках продуктов питания и топлива в стране, вызвав панику среди американского населения в определенных районах.

Кстати, что эксперты обвиняют в этих атаках кого бы выдумали? Правильно — российских хакеров. Однако такая щедрая акция запущена не только ради наших умельцев, ведь американские организации также регулярно подвергаются атакам со стороны хакеров из Китая, Ирана и Северной Кореи.

Госдеп сообщает, что ищет любые доказательства того, что такие группировки действуют с помощью или под руководством местных властей. Для облегчения сбора данных власти готовы выплачивать даже в крипте, а также создали специальный создали onion-сайт для получения анонимных «наводок» (здесь мог быть ваш мем «ля ты крыса»).

#PR Среди каналов на тему информационной безопасности есть единственный, про принадлежность которого существует множество версий, но ни одна из них не является верной. Это канал SecAtor.

Познакомьтесь с самыми таинственными авторами из мира инфосек. Узнайте про войны спецслужб в киберпространстве, про активность вымогателей и коммерческих хакерских групп, про свежие уязвимости в вашем ПО, которые необходимо неотложно пофиксить. Ну и про инсайды из отрасли информационной безопасности, само собой.

Канал SecAtor - нас не знает никто, а вот мы знаем много чего.

​​☎️ Россияне стали снова активно покупать кнопочные телефоны, чтобы защититься от киберпреступлений.

В минувшем полугодии один «Связной» продал 3,1 млн кнопочных телефонов — на 6,7% больше, чем за тот же период 2020 года. В денежном выражении объемы продаж выросли еще заметнее — на 18,8%, до 4,5 млрд рублей.

В «МегаФоне» рост продаж в этой нише за полгода составил 4% в штуках и 21% в деньгах, в МТС — 9,4% и 22%. Наибольшей популярностью пользуются продукты Nokia, Philips, teXet, Itel и BQ-Mobile.

Примечательно, что в предыдущие годы продажи кнопочных телефонов стабильно снижались — ежегодно на 5–10%. Раньше их покупали в основном для детей и пожилых людей. Простыми, дешевыми устройствами также обзаводились трудовые мигранты.

В период пандемии удаленные сотрудники предприятий тоже начали покупать такие мобильники, чтобы не пользоваться городским телефоном. Недорогие средства связи востребованы также у возросшей армии работников сферы услуг.

Ещё одним фактором стал рост осведомленности граждан о кибермошенничестве и утечках данных. Кнопочные телефоны не могут столь легко, как смартфоны, собирать персональные данные и передавать их на сторону.

​​💰 IBM: в пандемию средний ущерб от утечек возрос до рекордных $4,24 миллиона

Это самое высокое значение за 17 лет аналогичных исследований. Статистика составлена по результатам анализа реальных случаев утечки (около 100 тыс. инцидентов), произошедших более чем в 500 организациях по миру в период с мая 2020 года по март 2021-го. Рост ущерба объясняют всё тем же ковидом: удаленный режим затруднил выявление киберинцидентов, а переход в облако затормозил реагирование.

Больше всех на сегодняшний день страдает сфера здравоохранения — в среднем в $9,23 млн на каждый случай. На втором месте — финансовый сектор ($5,72 млн), на третьем — фармацевтика ($5,04 млн).

По странам этот показатель наиболее высок в США ($9,05 млн на каждый случай), странах Ближнего Востока ($6,93 млн) и Канаде ($5,4 млн). На обнаружение и ликвидацию утечки компаниям сейчас требуется в среднем 287 дней (212, чтобы выявить, и еще 75, чтобы нейтрализовать). Это на 1 неделю больше, чем в прошлом году.

Причиной большинства утечек является компрометация учёток, облегчающая взлом и кражу данных. В 44% случаев злоумышленников интересовали ПДн пользователей, которые зачастую сами виноваты во взломе аккаунта: 82% участников опроса признались, что используют одинаковые пароли.

#PR Канал «Двоичный кот» – это симулятор твоего друга-программиста, который рассказывает тебе о технологиях весело и простым языком.

Подписывайся, ведь сегодня он рассказал о том, как в погоне за чужими личными данными можно случайно передать кому-то свои.

https://t.me/binarcat

​​👀 18% пользователей приложений для знакомств в России стали жертвами доксинга

Специалисты «Лаборатории Касперского» выяснили, что в России 18% пользователей приложений для знакомств сталкивались с преследованием в социальных сетях (доксингом). Помимо этого, граждане также ощутили на себе шантаж, угрозы опубликовать персональные данные и личные фотографии.

Более того, в некоторых случаях доходило и до преследования в реальной жизни, и до выкладывания скриншотов переписки. Причём опасность исходила не только от тех людей, с которыми жертвы киберсталкинга какое-то время общались в приложении, но и от совсем незнакомых людей.

Среди персональных данных, которые могут представлять реальную опасность в руках злоумышленников, исследователи отмечают домашний адрес, место работы, название компании, телефонные номера.

12% респондентов заявили, что конкретно они не сталкивались с таким проявлением онлайн-преследования, но знают тех, кто стал его жертвой.

​​📸 Преступник скачал почти 300 000 фотографий на документы жителей Эстонии

Некий хакер на протяжении нескольких дней скачал фотографии 286 438 сограждан, используя зарубежные IP адреса, вредоносную сеть, уязвимость в базе и даже поддельные сертификаты.

Подозреваемый не получил доступа ко всей базе данных, но злоупотребил уязвимостью безопасности в сервисе, который позволял получить фотографию на документы человека с помощью запроса. Специалисты Департамента государственной инфосистемы заблокировали услугу передачи фотографий сразу же после обнаружения злоупотребления и устранили ошибку безопасности. Подозреваемый уже задержан полицией в Таллине.

Казалось бы, что можно сделать с одними фотографиями без сопутствующей информации. Однако существуют сервисы, через которые можно пропустить те самые фото и к ним уже добавятся данные. А можно этот сток фото использовать для обучения AI в тех или иных целях. Как говорится, главное завладеть информацией, а уж что с ней делать и как её использовать в своих целях, вопрос решаемый — "хорошие" умы всегда найдутся.

🔬 Приехали. Apple начнёт сканировать все фото пользователей iPhone под предлогом поиска жестокого обращения с детьми

По замыслу ребят из Купертино снимки будут просматриваться программой с целью поиска запрещенных фотоматериалов. Если в галерее будет найден подозрительный контент, то снимки будут отправляться сотрудникам Apple на проверку.

Пока такая фича будет введена только в США. Работать это будет примерно так:
1 этап: система проверяет изображения и видео, загруженные в iCloud, то есть, к которым у Apple и так уже есть доступ;
2 этап: каждый снимок будет получать метку, которая укажет — подозрительный ли кадр или нет;
3 этап: если на устройстве пользователя будет критическое число (какое именно не уточняется) фото с меткой "подозрительно", то Apple расшифрует такие снимки и обратится в органы при необходимости.

Новая система позиционируется, как компромисс между пользователями, которые хотят сквозное шифрование, и государствами, которые хотят за всеми следить.

Яблочный поступок.

​​📍 Эксперты нашли способ пресечь отслеживание геолокации абонентов

ИТ-специалисты нашли способ предотвратить отслеживание геолокации пользователей мобильных устройств и последующей продажи этих сведений маркетологам. Однако данная технология не спасёт от слежки на государственном уровне.

Метод, предложенный экспертами, завязан на существенной переработке софтверного стека мобильных сетей. Основная задача — запретить ему передавать геолокацию абонентов сотовой связи.

Пресечь инвазивное отслеживание с помощью софтовой составляющей, которая в последнее время берёт на себя всё больше функций и задач, возможно. Например, в документе упоминается перманентный идентификатор SUPI, который в 5G эквивалентен IMSI.

SUPI шифруется перед тем, как его передадут 5G-сетям, так получается другой идентификатор — SUCI. Тем не менее, если этот ID подключится к устаревшим сетям, он может оказаться полностью отрытым.

Поэтому специалисты предложили новую сетевую сущность — Pretty Good Phone Privacy Gateway (PGPPGW), которая будет располагаться между публичной Сетью и шлюзом UPF (User Plane Function), предоставляющим глобальную IP-связь.

Задача Pretty Good Phone Privacy (PGPP) — избегать использования уникального идентификаторы для аутентифицирующихся абонентов. При этом PGPP не будет нарушать законодательства, поскольку никак не помешает властям отслеживать вас в случае необходимости.

​​👀 77% россиян считают, что за ними следят через мобильные

Антивирусная компания ESET провела опрос среди россиян: большинство полагают, что за ними следят через смартфоны. Потенциальная слежка беспокоит людей постарше.

77% опрошенных заявили о возможном шпионаже за их деятельностью, из них большую долю составляют люди старше 35 лет. Молодёжь (от 18 до 24 лет), предпочитает считать мысли о возможной слежке паранойей.

Около 40% россиян заявили, что на всех мобильных отслеживается история поиска, а чуть больше 25% уверены, что передаётся вся активность девайса. 14% считают камеру и микрофон главными врагами, поскольку именно с их помощью за ними следят.

Большинство респондентов (65%) знает, что такое таргетированная реклама, и именно её называют главной причиной отслеживания действий пользователей. 47% сказали, что за слежкой стоят спецслужбы, а 39% списали всё на мошенников.

45% граждан признались, что отключают отслеживание геолокации, 39% — проверяют доступ установленных приложений к данным, а 34% вообще не обсуждают личные темы по телефону.

А я, кстати, только вчера писал, что эксперты нашли способ пресечь отслеживание геолокации абонентов. Если не видели, почитайте.

​​🗂 Как удалить себя из базы Getcontact?

Думаю хотя бы однажды многие из вас задавались таким вопросом, ведь мало кому хочется, чтобы это приложение собирало данные о телефонной книге. Существует всего 1 способ убрать себя из базы.

Делается это всего за 4 шага:
1️⃣ Заходим на оф. сайт Getcontact.
2️⃣ На дне главного меню выбираем пункт "Управление конфиденциальностью профиля".
3️⃣ Проходим краткую регистрацию.
4️⃣ Находим переключатель "Видимость", кликаем по нему и подтверждаем действие.

Да-да, так просто.

👀 Коммерческие системы обяжут соблюдать правила сбора биометрии россиян

Возможно, в будущем мы можем рассчитывать на более качественную защиту своих биометрических данных: власти решили ввести стандарты сбора цифровых слепков лиц и голосов граждан в коммерческих биометрических системах (КБС). Для тех, кто не в курсе — сейчас требования сбора биометрии обязаны соблюдать лишь те организации, которые заносят их в единую биометрическую систему (ЕБС). Теперь такие организации, как фитнес-центры и операторы сотовой связи должны защищать собранные биометрические данные ничуть не хуже.

В будущем коммерческие биометрические системы могут обязать сдавать данные в ЕБС (которая пока достаточно плохо наполняется).

Представители Минцифры подчеркнули, что биометрия россиян должны быть максимально защищены (та ладна?!). Даже в том случае, если эти данные используются исключительно на собственной территории.

Именно поэтому КБС придётся согласовывать используемый для сбора информации софт, а также модели и типы оборудования. Аппаратная часть вообще должна быть сертифицирована ФСТЭК России.

🔫 65-летний Майкл Уильямс из Чикаго год провел в тюрьме по обвинению в убийстве, которое вынесли на основании данных системы по обнаружению стрельбы ShotSpotter.

ShotSpotter использует микрофоны и умные алгоритмы на основе искусственного интеллекта, которые определяют место стрельбы, возможный тип оружия, количество выстрелов и другую информацию. Эта система может различать 14 миллионов звуков в собственной базе данных.

Система ShotSpotter иногда пропускает выстрелы из огнестрельного оружия, если они происходят прямо рядом с датчиками, и в то же время часто ошибочно классифицирует фейерверки или громкий выхлоп автомобиля как стрельбу.

Что и случилось с пожилым жителем Чикаго. Уильямс был взят под стражу в августе 2020 года по обвинению в убийстве молодого человека из соседнего района, который попросил его подвезти. Главной уликой против афроамериканца стал хлопок, раздавшийся из его машины в ту ночь. Прокуроры заявили, что технология, анализирующая шумы, указала на то, что именно Уильямс застрелил человека.

Хотя на деле история была таковой: Поздно вечером Уильямс принял решение купить сигареты на местной заправке, но по прибытии обнаружил, что магазин был разграблен во время беспорядков. Затем он решил просто вернуться домой, когда по пути заметил 25-летнего Сафариана Херринга (Safarian Herring), который жестом пригласил его на прогулку. Вскоре рядом с ними на перекрестке остановился автомобиль. Неизвестный пассажир автомобиля попытался выстрелить в Уильямса, но промахнулся и попал в Херринга. 2 июня 2020 года в Херринг умер в больнице Сен-Бернар.

Пожилой мужчина просидел за решеткой почти год, прежде чем судья отклонил дело против него из-за недостатка доказательств.

У нас бы сел каждый второй владелец громкого таза.

​​🍏 Apple сканирует электронные письма в iCloud на предмет CSAM еще с 2019 года

Apple подтвердила изданию 9to5mac, что уже несколько лет проверяет письма в iCloud на наличие изображений жестокого обращения с детьми (CSAM). В Apple также указали, что проводят ограниченное сканирование других данных.

Журналист издания задал вопрос относительно довольно странного заявления Эрика Фридмана, руководителя Apple по борьбе с мошенничеством: последний заявил, что Apple является “самой большой платформой для распространения детского порно". Вскоре последовало разъяснение, что корпорация не проверяет фотографии iCloud или резервные копии iCloud. Но как Фридман мог обладать такими сведениями, если компания не сканировала фотографии iCloud?

Также есть несколько других признаков того, что Apple должна была проводить какое-то сканирование CSAM. Например, в архивной версии страницы Apple, посвящённой безопасности детей, говорится следующее:

«Компания Apple стремится защищать детей во всей нашей экосистеме, где бы ни использовались наши продукты, и мы продолжаем поддерживать инновации в этой области. Мы разработали надёжные средства защиты на всех уровнях нашей программной платформы и во всей цепочке поставок. В рамках этого обязательства Apple использует технологию сопоставления изображений, чтобы помочь найти и сообщить об эксплуатации детей. Подобно фильтрам спама в электронной почте, наши системы используют электронные подписи для поиска подозрений в эксплуатации детей. Мы проверяем каждое совпадение с помощью индивидуальной проверки. Учётные записи, содержащие материалы, связанные с эксплуатацией детей, нарушают наши правила и условия обслуживания, и все учётные записи, в которых мы обнаружим такие материалы, будут отключены.»

Кроме того, Джейн Хорват, главный сотрудник Apple по вопросам конфиденциальности, заявила на технической конференции в январе 2020 года, что компания использует технологию скрининга для поиска незаконных изображений. Компания заявляет, что отключает учетные записи, если обнаруживает доказательства эксплуатации детей, хотя метод обнаружения остается неизвестным.

Тем не менее, Apple подтвердила изданию, что с 2019 года она проверяет исходящую и входящую почту iCloud на наличие вложений CSAM. Электронная почта не шифруется, поэтому сканирование вложений при прохождении почты через серверы Apple было бы тривиальной задачей.

Apple также указала, что проводится некоторое ограниченное сканирование других данных, но не конкретизировала каких. Но компания уточнила, что объем этих данных очень мал, следовательно, “другие данные” не включают резервные копии iCloud.

Хотя заявление Фридмана звучит так, будто оно основано на достоверных данных, теперь ясно, что это не так. Мы понимаем, что общее количество отчетов, которые Apple ежегодно отправляет в CSAM, измеряется сотнями, а это означает, что сканирование электронной почты не предоставит никаких доказательств крупномасштабной проблемы на серверах Apple.

Объяснение, вероятно, кроется в том факте, что другие облачные сервисы сканировали фотографии на предмет CSAM, а Apple - нет. Видимо, Эрик Фридман сделал такие выводы, основываясь на том, что, так как другие компании отключают облака для загрузки CSAM, а iCloud остается открытым для этих фото (ведь технологический гигант не сканирует последние на предмет эксплуатации детей), следовательно, на платформе Apple существует больше CSAM, чем в других сервисах. Скорее всего, Фридман пришёл к таким выводам только исходя из логических размышлений.

​​📍 Логическая ошибка в Google Play позволяет отслеживать владельцев Android-устройств без установки шпионского софта.

Нашёл изъян Питер Арнтз, исследователь в области кибербезопасности из Malwarebytes Labs. Для отслеживания геолокации достаточно войти в свой аккаунт Google Play Store на телефоне целевого пользователя. Как отметил специалист, Google ещё не начала исправлять проблему, поэтому пока пользователям нужно быть внимательными.

«С помощью этого недочёта я смог следить за передвижением своей жены, при этом мне не пришлось даже ничего устанавливать на её телефон. Всё получилось случайно, ведь я даже не эксперт по Android», — объясняет Арнтз.

Дело было так: эксперт вошёл в аккаунт Google Play со смартфона супруги, чтобы заплатить за приложение, которое она хотела установить. После этого он передал телефон жене, позабыв выйти из учётной записи.

«Дальше началось что-то непонятное. Вы не представляете, сколько информации начало поступать ко мне от функции Google Maps Timeline. Кстати, эту функциональность часто недооценивают, а она меж тем показывает, какие места посещает пользователь», — продолжает Арнтз.

Исследователь вполне справедливо заключил, что проблема решится, если он выйдет из своего аккаунта на телефоне жены. Не тут-то было — Google автоматически привязала его учётку к устройству жены.

Дорогая, дай-ка скачать игрушку одну...

​​👨🏿 Искусственный интеллект Facebook назвал темнокожих людей на видео приматами

Пользователям Facebook, просматривающим видеоролики с участием темнокожих граждан, предложили «продолжить смотреть видео с приматами». Конфуз произошёл из-за системы рекомендаций соцсети, основанной на искусственном интеллекте.

Представители FB сразу поняли, что косяк серьёзный (Black Lives Matter) и, конечно, принести извинения, систему временно отключили и инициировали внутреннее расследование.

Этот эпизод, кстати, стал очередным доказательством «расовой предвзятости ИИ». Например, ранее распознающий лица ИИ ошибочно называл афроамериканцев преступниками.

В 2015 году, когда проблема ещё не была настолько актуальна, приложение Google Photos отмечало темнокожих людей на фотографиях «гориллами». А в мае Twitter выявил расовую предвзятость в механизме кадрирования фото.

👀 WhatsApp опять. Опять в центре скандала. На этот раз оказалось, что мессенджер регулярно просматривает личные сообщения пользователей.

По данным журналистов, WhatsApp задействует больше 1000 подрядчиков в США и за рубежом, чтобы изучать личные сообщения, фото- и видеофайлы с помощью специального программного обеспечения Facebook и систем ИИ. Речь о контенте, на который компания получила жалобу: мошенничество, спам, детская порнография, угроза теракта.

😏 А ведь ранее Марк Цукерберг утверждал, что сквозное шифрование превращает любые сообщения «в нечитаемый формат» для третьих лиц (кроме адресатов) и даже в самой компании не видят контента.

💰 Дипфейкам нашли новое применение. И, конечно, снова для мошенничества и заработка бабла: в Индии создают дипфейки обнаженных женщин, чтобы убедить мужчин в Instagram и WhatsApp раздеться на камеру, а затем вымогают деньги.

Впрочем, ничего нового. Работает это примерно так: мошенник пишет жертве с поддельного акка и начинает общаться, через некоторое время женщина, участвующая в афере, звонит мужчине по видеосвязи и начинает раздеваться, побуждая его сделать то же самое. В это время мужчину записывают на видео — а затем начинают шантажировать. Благодаря соцсетям мошенники знают многое о своих жертвах, и выманивают у них кругленькие суммы. Лишь в редких случаях жертвы обращаются за помощью в полицию.

В начале августа 54-летний житель города Ченнаи ответил на видеозвонок с незнакомого номера. Ему позвонила обнаженная женщина и развела по схеме, описанной выше. Когда он повесил трубку, ему стали угрожать. От мужчины потребовали заплатить крупную сумму денег, в противном случае видео разговора опубликуют в соцсетях и о нем узнают все его друзья. В итоге мужчина перечислил мошенникам 1,7 млн. рупий (~1,7 млн. рублей).