Спокойно, это не реклама
Пару дней назад один жёлтый банк (тот что на букву Т) выпустил своё обновленное приложение с мобильным банком на борту (новость об этом, само собой, разлетелась по всем отечественным СМИ). Нам с вами не впервой видеть аналоги мобильных банков под iOS со странными названиями по типу "СБОЛ", "Деньги пришли" и прочими креативными аббревиатурами. Делается это, как вы понимаете, для банального обхода санкций.
Так вот, к чему это я – тут участились случаи залива в App Store поддельных мобильных приложений от банков, замаскированных под те самые официальные аналоги. Проверка Apple их пропускает банально потому, что сами из себя они вредоносного ничего не представляют. Нюанс заключается в том, что пользователи сами вводят туда данные от своих банковских аккаунтов, а они сразу летят в руки злоумышленников.
И да, к сожалению, люди действительно скачивают эти поддельные приложения (например, один из подписчиков этого канала) и попадаются на этот фищинг – пример такого прикреплю к посту. Всегда проверяйте, действительно ли вы скачиваете настоящее приложение – через поддержку банка или через статьи в официальных СМИ.
#Кибергигиена
Твой Пакет Безопасности
Пару дней назад один жёлтый банк (тот что на букву Т) выпустил своё обновленное приложение с мобильным банком на борту (новость об этом, само собой, разлетелась по всем отечественным СМИ). Нам с вами не впервой видеть аналоги мобильных банков под iOS со странными названиями по типу "СБОЛ", "Деньги пришли" и прочими креативными аббревиатурами. Делается это, как вы понимаете, для банального обхода санкций.
Так вот, к чему это я – тут участились случаи залива в App Store поддельных мобильных приложений от банков, замаскированных под те самые официальные аналоги. Проверка Apple их пропускает банально потому, что сами из себя они вредоносного ничего не представляют. Нюанс заключается в том, что пользователи сами вводят туда данные от своих банковских аккаунтов, а они сразу летят в руки злоумышленников.
И да, к сожалению, люди действительно скачивают эти поддельные приложения (например, один из подписчиков этого канала) и попадаются на этот фищинг – пример такого прикреплю к посту. Всегда проверяйте, действительно ли вы скачиваете настоящее приложение – через поддержку банка или через статьи в официальных СМИ.
#Кибергигиена
Твой Пакет Безопасности
Крипта – СКАМ
Про зарплаты и деньги в ИБ поговорили, теперь настало время поболтать и о том, как всё это добро не потерять. Думаю, что многие из вас слышали или смотрели интервью и выступление Паши Дурова на дубайском криптофоруме. Также, наверняка многие из вас слышали или хоть раз, да пользовались встроенным в Телеграм криптокошельком wallet.
Так вот, в последнее время появилось что-то очень много мошеннических схем, связанных с криптой TON (которая якобы никак не связана с основателем Телеграм) и этим встроенным кошельком. Более того, несколько человек из моего окружения даже повелись на такие схемы. Кажется, что всё это также было спровоцированно появлением детища TON – NOT Coin. Да, эта монета и игрушка были призваны популяризировать криптовалюты среди масс, но о побочках, кажется, никто не задумался. Как тыкать на монетку людям объяснили, а вот как свои кошельки защищать – забыли. Так что погнали разбираться, что там за схемы такие. В целом, по классике, никто ничего нового не придумал, просто обернул в свежую оболочку и подогнал под ситуацию.
Первая схема – вам пишут якобы от службы поддержки того самого Wallet с просьбой верифицировать свой профиль, чтобы не потерять свой кошелек и защититься от участившихся взломов. Да, процесс верификации действительно существует в этом сервисе, но вот происходит она обычно немного иначе. Тут же вам просто присылают ссылку, где вам надо ввести одноразовый код из сообщения от Телеграма. Дальше ваш аккаунт успешно угоняется, крипта снимается, юзернейм освобождается. Делается это все за считанные минуты.
Сам Wallet постоянно напоминает своим пользователям, что его поддержка никогда не связывается с пользователями первая. Ну а я вам напоминаю, что единственный официальный юзернейм этого кошелька – @wallet (не реклама). И там внутри вы уже и криптой покрутить сможете, и в поддержку написать, и пароль поставить (обещали скоро завезти эту функцию, возможно уже есть).
Вторая схема связана с тем, что тот самый пресловутый NOT Coin скоро должен появиться на криптовалютных биржах, где им можно будет официально торговать, продавать свои натыканные монетки и вот это вот всё. Во многих чатах, комментариях под постами в каналах (наш канал не исключение) начали появляться сообщения о том, что "ну наконец-то можно продать свои НОТкоины и стать миллионером, скорее переходи по ссылке". Благо тут уж совсем заморачиваться не стали, и схема палится уже по заголовку.
В общем, если залезаете в крипту, то будьте готовы к тому, что этот "анонимный" мир не так уж и безопасен. Думаю, что скоро сделаю еще подробный пост про безопасность в Телеграме с описанием детальной настройки своего аккаунта. Если вам такое надо – можете навалить реакций под пост. Ну и по традиции – пересылайте своим криптодрузьям, чтобы они не лишись своих кровно заработанных деняк.
#Кибергигиена
Твой Пакет Безопасности
Про зарплаты и деньги в ИБ поговорили, теперь настало время поболтать и о том, как всё это добро не потерять. Думаю, что многие из вас слышали или смотрели интервью и выступление Паши Дурова на дубайском криптофоруме. Также, наверняка многие из вас слышали или хоть раз, да пользовались встроенным в Телеграм криптокошельком wallet.
Так вот, в последнее время появилось что-то очень много мошеннических схем, связанных с криптой TON (которая якобы никак не связана с основателем Телеграм) и этим встроенным кошельком. Более того, несколько человек из моего окружения даже повелись на такие схемы. Кажется, что всё это также было спровоцированно появлением детища TON – NOT Coin. Да, эта монета и игрушка были призваны популяризировать криптовалюты среди масс, но о побочках, кажется, никто не задумался. Как тыкать на монетку людям объяснили, а вот как свои кошельки защищать – забыли. Так что погнали разбираться, что там за схемы такие. В целом, по классике, никто ничего нового не придумал, просто обернул в свежую оболочку и подогнал под ситуацию.
Первая схема – вам пишут якобы от службы поддержки того самого Wallet с просьбой верифицировать свой профиль, чтобы не потерять свой кошелек и защититься от участившихся взломов. Да, процесс верификации действительно существует в этом сервисе, но вот происходит она обычно немного иначе. Тут же вам просто присылают ссылку, где вам надо ввести одноразовый код из сообщения от Телеграма. Дальше ваш аккаунт успешно угоняется, крипта снимается, юзернейм освобождается. Делается это все за считанные минуты.
Сам Wallet постоянно напоминает своим пользователям, что его поддержка никогда не связывается с пользователями первая. Ну а я вам напоминаю, что единственный официальный юзернейм этого кошелька – @wallet (не реклама). И там внутри вы уже и криптой покрутить сможете, и в поддержку написать, и пароль поставить (обещали скоро завезти эту функцию, возможно уже есть).
Вторая схема связана с тем, что тот самый пресловутый NOT Coin скоро должен появиться на криптовалютных биржах, где им можно будет официально торговать, продавать свои натыканные монетки и вот это вот всё. Во многих чатах, комментариях под постами в каналах (наш канал не исключение) начали появляться сообщения о том, что "ну наконец-то можно продать свои НОТкоины и стать миллионером, скорее переходи по ссылке". Благо тут уж совсем заморачиваться не стали, и схема палится уже по заголовку.
В общем, если залезаете в крипту, то будьте готовы к тому, что этот "анонимный" мир не так уж и безопасен. Думаю, что скоро сделаю еще подробный пост про безопасность в Телеграме с описанием детальной настройки своего аккаунта. Если вам такое надо – можете навалить реакций под пост. Ну и по традиции – пересылайте своим криптодрузьям, чтобы они не лишись своих кровно заработанных деняк.
#Кибергигиена
Твой Пакет Безопасности
Больше настроек
Так, настало время тряхнуть стариной и напомнить вам о безопасности в Телеграм. Да, мы говорили с вами об это уже не раз (раз, два, три, четыре), но, во-первых, это было давно, а во-вторых, сейчас мы подробно пройдемся по конкретным настройкам, чтобы сделать всё правильно и с первого раза. Информации много, времени мало, поэтому будет сухо и по пунктам – поехали.
⚡️ Крайне желательно иметь отдельный номер телефона под свой Телеграм-аккаунт (симку можно будет вытащить, но не выбрасывать)
⚡️ Включить двухфакторную аутентификацию (телефон и пароль + приходит смс с одноразовым кодом, если вход был с нового устройства). Настройки –> Конфиденциальность –> Облачный пароль (включаем, записываем и не теряем)
⚡️ Включаем код-пароль. Настройки –> Конфиденциальность –> Код-пароль (включаем и не забываем)
⚡️ Скрываем свой номер телефона. Настройки –> Конфиденциальность –> Номер телефона (настраиваем так, чтобы его никто не видел)
⚡️ Скрываем свои фото. Настройки –> Конфиденциальность –> Фотографии профиля (настраиваем так, чтобы их никто не видел)
⚡️ Запрещаем себя добавлять в групповые чаты и каналы. Настройки –> Конфиденциальность –> Приглашения (настраиваем так, чтобы никто не мог приглашать)
⚡️ Запрещаем себе звонить. Настройки –> Конфиденциальность –> Звонки. PEER-TO-PEER (анонимные звонки) вообще отключаем, а обычные – по своему усмотрению, но точно не "для всех"
⚡️ Ограничиваем доступ из пересылов ваших сообщений. Настройки –> Конфиденциальность –> Пересылка сообщений (делаем так, чтобы при нажатии на ваше имя никто не мог перейти на ваш аккаунт)
⚡️ Регулярно проверяем, на каких устройствах активен ваш аккаунт. Настройки –> Устройства (если находим аномалии – сразу удаляем подозрительный сеанс)
Думаю, что на этот пост хватит. Да, это база, да многие из вас о ней знают, но я уверен, что далеко не у всех дошли руки до того, чтобы нормально сесть и протыкать все эти нужные кнопки. Так что настало время это сделать. Ну и по традиции, ставим лайки и рассылаем своим близким, чтобы и они всё сделали правильно и безопасно.
Кстати, наткнулся недавно на статейку с разбором пары фишинговых схем, провёрнутых через Телеграм – ссылка. Там и картиночки, и разбор – так что приятного прочтения, лишним точно не будет.
Ну теперь точно всё. Всем мир.
#Кибергигиена
Твой Пакет Безопасности
Так, настало время тряхнуть стариной и напомнить вам о безопасности в Телеграм. Да, мы говорили с вами об это уже не раз (раз, два, три, четыре), но, во-первых, это было давно, а во-вторых, сейчас мы подробно пройдемся по конкретным настройкам, чтобы сделать всё правильно и с первого раза. Информации много, времени мало, поэтому будет сухо и по пунктам – поехали.
⚡️ Крайне желательно иметь отдельный номер телефона под свой Телеграм-аккаунт (симку можно будет вытащить, но не выбрасывать)
⚡️ Включить двухфакторную аутентификацию (телефон и пароль + приходит смс с одноразовым кодом, если вход был с нового устройства). Настройки –> Конфиденциальность –> Облачный пароль (включаем, записываем и не теряем)
⚡️ Включаем код-пароль. Настройки –> Конфиденциальность –> Код-пароль (включаем и не забываем)
⚡️ Скрываем свой номер телефона. Настройки –> Конфиденциальность –> Номер телефона (настраиваем так, чтобы его никто не видел)
⚡️ Скрываем свои фото. Настройки –> Конфиденциальность –> Фотографии профиля (настраиваем так, чтобы их никто не видел)
⚡️ Запрещаем себя добавлять в групповые чаты и каналы. Настройки –> Конфиденциальность –> Приглашения (настраиваем так, чтобы никто не мог приглашать)
⚡️ Запрещаем себе звонить. Настройки –> Конфиденциальность –> Звонки. PEER-TO-PEER (анонимные звонки) вообще отключаем, а обычные – по своему усмотрению, но точно не "для всех"
⚡️ Ограничиваем доступ из пересылов ваших сообщений. Настройки –> Конфиденциальность –> Пересылка сообщений (делаем так, чтобы при нажатии на ваше имя никто не мог перейти на ваш аккаунт)
⚡️ Регулярно проверяем, на каких устройствах активен ваш аккаунт. Настройки –> Устройства (если находим аномалии – сразу удаляем подозрительный сеанс)
Думаю, что на этот пост хватит. Да, это база, да многие из вас о ней знают, но я уверен, что далеко не у всех дошли руки до того, чтобы нормально сесть и протыкать все эти нужные кнопки. Так что настало время это сделать. Ну и по традиции, ставим лайки и рассылаем своим близким, чтобы и они всё сделали правильно и безопасно.
Кстати, наткнулся недавно на статейку с разбором пары фишинговых схем, провёрнутых через Телеграм – ссылка. Там и картиночки, и разбор – так что приятного прочтения, лишним точно не будет.
Ну теперь точно всё. Всем мир.
#Кибергигиена
Твой Пакет Безопасности
Вас опять взломали
На сегодня я для вас отыскал сразу 2 фишинговые разводки, так или иначе связанных с Телеграмом и TON (абсолютно никак не связанная с ним криптовалюта). Популярность мессенджера и ТОНа продолжает расти, а это значит, что новых мошеннических схем становится всё больше.
Начнем с весьма странного сайта telegram.biz, который обещает нам пассивный доход при помощи нашего Телеграм-аккаунта. Как это работает, я так и не понял, потому что все странички, кроме главной, отдают 404. Если попробовать ввести в окошко свой номер телефона, то он выдаст вам второе окно для ввода одноразового кода. В общем, ничего нового – обычный угон.
Вторая схема также не отличается своей оригинальностью, но в ТОНе я пока такого не встречал. На сайте ton-telegram.click нас ждут якобы розыгрыши криптовалюты. Для этого нужно всего-лишь отправить им свой никнейм/номер телефона, чтобы они включили вас в список участников, и всего через несколько секунд появляется уведомление о том, что мы выиграли, и осталось всего лишь подключить свой кошелек, чтобы забрать приз. Делать мы этого, конечно же, не будем.
Надеюсь, что я доживу до того момента, когда мошенники придумаю уже хоть что-то новое и хитрое, а то разбираться подобное уже очень скучно. Ну всё – лайк, пересыл, коммент и погнали дальше.
#Кибергигиена
Твой Пакет Безопасности
На сегодня я для вас отыскал сразу 2 фишинговые разводки, так или иначе связанных с Телеграмом и TON (абсолютно никак не связанная с ним криптовалюта). Популярность мессенджера и ТОНа продолжает расти, а это значит, что новых мошеннических схем становится всё больше.
Начнем с весьма странного сайта telegram.biz, который обещает нам пассивный доход при помощи нашего Телеграм-аккаунта. Как это работает, я так и не понял, потому что все странички, кроме главной, отдают 404. Если попробовать ввести в окошко свой номер телефона, то он выдаст вам второе окно для ввода одноразового кода. В общем, ничего нового – обычный угон.
Вторая схема также не отличается своей оригинальностью, но в ТОНе я пока такого не встречал. На сайте ton-telegram.click нас ждут якобы розыгрыши криптовалюты. Для этого нужно всего-лишь отправить им свой никнейм/номер телефона, чтобы они включили вас в список участников, и всего через несколько секунд появляется уведомление о том, что мы выиграли, и осталось всего лишь подключить свой кошелек, чтобы забрать приз. Делать мы этого, конечно же, не будем.
Надеюсь, что я доживу до того момента, когда мошенники придумаю уже хоть что-то новое и хитрое, а то разбираться подобное уже очень скучно. Ну всё – лайк, пересыл, коммент и погнали дальше.
#Кибергигиена
Твой Пакет Безопасности
Кому все-таки нужны наши данные
Тут ребята из СайберНьюс (не путать с нашей любимой Cyber Media) провели достаточно интересный эксперимент – они установили на тестовый смартфон 100 самых популярных бесплатных мобильных приложений из Google Play Store. Эти приложения они запустили, дали им все запрашиваемые разрешения и зарегистрировали в них аккаунты.
Сделано это всё было для того, чтобы проследить и вычислить, кто пользуется нашими сокровенными данными, куда они отправляются и кто за нами может следить. Собственно, эксперимент удался, так как всего за 3 дня было зафиксировано более 6 000 запросов на различные сервера со смартфона.
Из интересного – достаточно большое количество запросов было на сервера в Китае, России (не без участия Яндекса, хоть его приложений и не было установлено) и Вьетнаме, хотя сам телефон находился вообще в Европе. Рекордсменами по изъятию данных, по классике, стали мастодонты США – Google, Microsoft и Facebook (да-да, тот самый, который признан экстремистским и запрещенным на территории РФ ).
При этом, за время исследования (а это всего 3 дня) было пропущено порядка 500 Мб данных по сети, с учетом того, что после установки и настройки приложений телефон никто не трогал. А еще, часть разрешений, который приложения запрашивали при запуске, так и не были использованы, что выглядит достаточно подозрительно. Если кому-то интересно и вы не любите английский, то вот тут можно почитать про эксперимент на русском языке – ссылка.
В общем, продолжаем и дальше жить в этом враждебном мире, где все охотятся на наши с вами данными.
#Кибергигиена
Твой Пакет Безопасности
Тут ребята из СайберНьюс (не путать с нашей любимой Cyber Media) провели достаточно интересный эксперимент – они установили на тестовый смартфон 100 самых популярных бесплатных мобильных приложений из Google Play Store. Эти приложения они запустили, дали им все запрашиваемые разрешения и зарегистрировали в них аккаунты.
Сделано это всё было для того, чтобы проследить и вычислить, кто пользуется нашими сокровенными данными, куда они отправляются и кто за нами может следить. Собственно, эксперимент удался, так как всего за 3 дня было зафиксировано более 6 000 запросов на различные сервера со смартфона.
Из интересного – достаточно большое количество запросов было на сервера в Китае, России (не без участия Яндекса, хоть его приложений и не было установлено) и Вьетнаме, хотя сам телефон находился вообще в Европе. Рекордсменами по изъятию данных, по классике, стали мастодонты США – Google, Microsoft и Facebook (
При этом, за время исследования (а это всего 3 дня) было пропущено порядка 500 Мб данных по сети, с учетом того, что после установки и настройки приложений телефон никто не трогал. А еще, часть разрешений, который приложения запрашивали при запуске, так и не были использованы, что выглядит достаточно подозрительно. Если кому-то интересно и вы не любите английский, то вот тут можно почитать про эксперимент на русском языке – ссылка.
В общем, продолжаем и дальше жить в этом враждебном мире, где все охотятся на наши с вами данными.
#Кибергигиена
Твой Пакет Безопасности
Больше кибергигиены
Добавил себе в "Смотреть позже" на ютубе достаточно большое количество выступлений с последнего PhD, так как на самой конференции было особо не до этого. Так вот, делюсь с вами годным выступлением, посвященным мошенническим схемам – ссылка.
Решил не переписывать всю эту информацию в пост – там ни поста не хватит, ни моего терпения. В выступлении очень много всего интересного – и про обман через Госуслуги, и про фиктивные кредиты, и про обновление данных абонентов по симкам, и даже подробная статистика и аналитика по всем этим схемам. И всё это уместилось в какие-то полчаса.
И да, не забудьте поделиться этим видео со своими родными и близкими, будет точно полезно.
#Кибергигиена
Твой Пакет Безопасности
Добавил себе в "Смотреть позже" на ютубе достаточно большое количество выступлений с последнего PhD, так как на самой конференции было особо не до этого. Так вот, делюсь с вами годным выступлением, посвященным мошенническим схемам – ссылка.
Решил не переписывать всю эту информацию в пост – там ни поста не хватит, ни моего терпения. В выступлении очень много всего интересного – и про обман через Госуслуги, и про фиктивные кредиты, и про обновление данных абонентов по симкам, и даже подробная статистика и аналитика по всем этим схемам. И всё это уместилось в какие-то полчаса.
И да, не забудьте поделиться этим видео со своими родными и близкими, будет точно полезно.
#Кибергигиена
Твой Пакет Безопасности
Такое мы сохраняем
Я тут наткнулся на одну интересную картинку в сохраненках – она про то, какие приёмы и наши эмоции используют злоумышленники для того, чтобы выведать что-то полезное для себя и добраться до наших чувствительных/секретных данных, взломать наши аккаунты, Госуслуги и понабрать на нас микрозаймы.
В общем, отличная шпаргалка для вас и родных (особенно в возрасте), с помощью которой можно очень быстро и однозначно понять, что вас сейчас пытаются развести.
#Кибергигиена
Твой Пакет Безопасности
Я тут наткнулся на одну интересную картинку в сохраненках – она про то, какие приёмы и наши эмоции используют злоумышленники для того, чтобы выведать что-то полезное для себя и добраться до наших чувствительных/секретных данных, взломать наши аккаунты, Госуслуги и понабрать на нас микрозаймы.
В общем, отличная шпаргалка для вас и родных (особенно в возрасте), с помощью которой можно очень быстро и однозначно понять, что вас сейчас пытаются развести.
#Кибергигиена
Твой Пакет Безопасности
Защищаемся от слежки
Что-то мы давно с вами не обсуждали инструменты для защиты от отслеживания наших действий в сети. Сделать это можно довольно просто и без Tor-браузера, с помощью плагинов/расширений. Нужны они для того, чтобы ограничить обмен теми самыми cookie-файлами.
Так, например, для браузера Firefox можно использовать Privacy Possum, а для Chrome – Privacy Badger. И да, у них есть аналоги, нужно только поискать, но, в целом, хватит и этих двух. Учитывайте только то, что они могут поломать авторизацию на некоторых сайтах, поэтому иногда их можно отключать.
Да, ваш цифровой отпечаток эти инструменты полноценно не сотрут, но это лучше, чем ничего.
#Кибергигиена
Твой Пакет Безопасности
Что-то мы давно с вами не обсуждали инструменты для защиты от отслеживания наших действий в сети. Сделать это можно довольно просто и без Tor-браузера, с помощью плагинов/расширений. Нужны они для того, чтобы ограничить обмен теми самыми cookie-файлами.
Так, например, для браузера Firefox можно использовать Privacy Possum, а для Chrome – Privacy Badger. И да, у них есть аналоги, нужно только поискать, но, в целом, хватит и этих двух. Учитывайте только то, что они могут поломать авторизацию на некоторых сайтах, поэтому иногда их можно отключать.
Да, ваш цифровой отпечаток эти инструменты полноценно не сотрут, но это лучше, чем ничего.
#Кибергигиена
Твой Пакет Безопасности
Еще не раздавили хомяка?
В общем, всё это погружение в мир web3, о котором мы уже говорили вот тут, не осталось без внимания и со стороны плохих ребят (ну а как же без этого). Кажется, что все уже хоть раз, да зашли понажимать на хомяка в том самом телеграм-боте, а многие даже слышали о том, что листинг (появление) этой монеты на криптобиржах должен произойти уже этим летом. И вот недавно произошел прелистинг (предварительное появление) этой крипты на одной из бирж, что повлекло за собой появление и масштабирование новой скамерской схемы.
Само собой, все пользователи этой тапалки хотят какого-то вознаграждения за часы (или сутки), проведенные за этой игрой. Все с нетерпением ждут момента, когда можно будет продать накопленные и заработанные виртуальные монеты, получив за них реальные деньги (жаль тех добряков, которые рассчитывают на разовые выплаты и не знают про существование клиффов).
Так вот, возвращаемся к той самой схеме – нашлись умники, которые подняли поддельный сервис для вывода средств из той самой игры. Ссылка на этот сервис распространяется через обычные фишинговые рассылки в личных сообщениях, чатах и даже комментариях к постам в Телеграм-каналах. А в мотивационном сообщении злоумышленники обещают не только обналичить все накопленные монеты, но и сделать это сразу в рублях – вот это я понимаю уровень сервиса!
После перехода по ссылке жертву просят ввести данные от ее Телеграм-аккаунта (обычно это номер телефона и код подтверждения). Всё логично – игра-то в Телеграме была (и не важно, что там уже была интеграция с кошельком внутри ). Ну а после этого происходит классика – аккаунт переходит в руки владельцев этого поддельного сервиса. И позже через этот аккаунт будет, как минимум, рассылаться тот же фишинг с той же самой ссылкой.
Так и живем. И нет, тут не будет ссылки на хомяка.
#Кибергигиена
Твой Пакет Безопасности
В общем, всё это погружение в мир web3, о котором мы уже говорили вот тут, не осталось без внимания и со стороны плохих ребят (ну а как же без этого). Кажется, что все уже хоть раз, да зашли понажимать на хомяка в том самом телеграм-боте, а многие даже слышали о том, что листинг (появление) этой монеты на криптобиржах должен произойти уже этим летом. И вот недавно произошел прелистинг (предварительное появление) этой крипты на одной из бирж, что повлекло за собой появление и масштабирование новой скамерской схемы.
Само собой, все пользователи этой тапалки хотят какого-то вознаграждения за часы (или сутки), проведенные за этой игрой. Все с нетерпением ждут момента, когда можно будет продать накопленные и заработанные виртуальные монеты, получив за них реальные деньги (жаль тех добряков, которые рассчитывают на разовые выплаты и не знают про существование клиффов).
Так вот, возвращаемся к той самой схеме – нашлись умники, которые подняли поддельный сервис для вывода средств из той самой игры. Ссылка на этот сервис распространяется через обычные фишинговые рассылки в личных сообщениях, чатах и даже комментариях к постам в Телеграм-каналах. А в мотивационном сообщении злоумышленники обещают не только обналичить все накопленные монеты, но и сделать это сразу в рублях – вот это я понимаю уровень сервиса!
После перехода по ссылке жертву просят ввести данные от ее Телеграм-аккаунта (обычно это номер телефона и код подтверждения). Всё логично – игра-то в Телеграме была (
Так и живем. И нет, тут не будет ссылки на хомяка.
#Кибергигиена
Твой Пакет Безопасности
Будьте осторожнее
На этой неделе уже был разбор одной скамерской схемы с угоном телеграм-аккаунтов, но тут подъехала достаточно масштабная новинка, поэтому погнали.
Схема заключается в том, что жертвам массово рассылают сообщения от якобы официальных ботов/аккаунтов поддержки Телеграм (даже с фейковыми галочками) с оповещением о подозрительной активности, об ошибках аутентификации или с одноразовыми кодами подтверждения для входа в аккаунт. Формулировки достаточно часто меняются, чтобы их было тяжелее распознать и заблокировать, но суть всегда одна – в одном из сообщений будет ссылка для "повышения безопасности вашего профиля", нажимать на которую, как вы и сами догадываетесь, не стоит.
Схема вообще не новая, но, судя по всему, кто-то выкупил/спарсил достаточно большую базу тг-аккаунтов и ботов и начал всё это проворачивать максимально массово. В общем, по классике, рассказываем об этом родным и живем дальше спокойно. Всем мир.
#Кибергигиена
Твой Пакет Безопасности
На этой неделе уже был разбор одной скамерской схемы с угоном телеграм-аккаунтов, но тут подъехала достаточно масштабная новинка, поэтому погнали.
Схема заключается в том, что жертвам массово рассылают сообщения от якобы официальных ботов/аккаунтов поддержки Телеграм (даже с фейковыми галочками) с оповещением о подозрительной активности, об ошибках аутентификации или с одноразовыми кодами подтверждения для входа в аккаунт. Формулировки достаточно часто меняются, чтобы их было тяжелее распознать и заблокировать, но суть всегда одна – в одном из сообщений будет ссылка для "повышения безопасности вашего профиля", нажимать на которую, как вы и сами догадываетесь, не стоит.
Схема вообще не новая, но, судя по всему, кто-то выкупил/спарсил достаточно большую базу тг-аккаунтов и ботов и начал всё это проворачивать максимально массово. В общем, по классике, рассказываем об этом родным и живем дальше спокойно. Всем мир.
#Кибергигиена
Твой Пакет Безопасности
А твои Госуслуги ломали?
Когда взламывают наши личные аккаунты в социальных сетях или почтовых сервисах, мы конечно ощущаем некий дискомфорт, обиду или нервозность, пока пытаемся вспомнить, с чем этот аккаунт связан, и где нам еще нужно заменить пароли. Но вот когда у человека взламывают аккаунт на Госуслугах, вот тут нервные клетки начинают эвакуироваться из организма целыми партиями.
А всё почему? А всё потому, что эта мастер-система интегрирована уже практически со всеми учреждениями и ведомствами, через которые можно наплодить очень много трудностей в жизни жертвы.
Собственно, сейчас расскажу, что нужно делать, если вы вдруг поняли (или у вас есть небеспочвенные подозрения), что ваши Госуслуги взломали:
1) Пытаемся восстановить доступ, если это возможно (через телефон, почту, паспорт, ИНН или СНИЛС)
2) Идём в сервисный центр ЕСИА Госуслуг (он обычно находится в ближайшем МФЦ у вашего дома)
3) Сообщаем сотрудникам о взломе и просим посмотреть следующую информацию (желательно в печатном виде, еще пригодится):
– какой телефон и почта были указаны в вашем профиле на Госуслугах
– где использовалась ваша учётная запись
– какие разрешения были выданы от вашего имени
– какие были поданы заявления
– какие запросы были сделаны и какие справки получены в ответ
4) Со всей этой информацией идём в полицию (можно онлайн) и подаём заявление
5) Связываемся со всеми банками, где у вас открыты счета (по телефону или в чате) – рассказываем им о взломе ваших Госуслуг и просим установить ограничение на оформление кредитов на ваше имя
6) Садимся и выдыхаем. Изучаем всё то, о чем узнали в МФЦ и пытаемся понять, что с помощью этих данных можно было сделать
7) Через 3 дня после обнаружения взлома делаем запрос кредитной истории (можно через Госуслуги) и ищем аномалии, которых там быть не должно. В случае, если найдете что-то странное – решать вопросы уже в частном порядке, оперируя всеми доказательствами взлома, которые у вас есть на руках (данные из МФЦ, заявление в полицию)
Очень надеюсь, что вас такая участь не настигнет, но быть к ней готовым точно нужно, иначе можно и нервы потерять, и деньги. Делитесь этой шпаргалкой с родными и близкими, лишним не будет.
#Кибергигиена
Твой Пакет Безопасности
Когда взламывают наши личные аккаунты в социальных сетях или почтовых сервисах, мы конечно ощущаем некий дискомфорт, обиду или нервозность, пока пытаемся вспомнить, с чем этот аккаунт связан, и где нам еще нужно заменить пароли. Но вот когда у человека взламывают аккаунт на Госуслугах, вот тут нервные клетки начинают эвакуироваться из организма целыми партиями.
А всё почему? А всё потому, что эта мастер-система интегрирована уже практически со всеми учреждениями и ведомствами, через которые можно наплодить очень много трудностей в жизни жертвы.
Собственно, сейчас расскажу, что нужно делать, если вы вдруг поняли (или у вас есть небеспочвенные подозрения), что ваши Госуслуги взломали:
1) Пытаемся восстановить доступ, если это возможно (через телефон, почту, паспорт, ИНН или СНИЛС)
2) Идём в сервисный центр ЕСИА Госуслуг (он обычно находится в ближайшем МФЦ у вашего дома)
3) Сообщаем сотрудникам о взломе и просим посмотреть следующую информацию (желательно в печатном виде, еще пригодится):
– какой телефон и почта были указаны в вашем профиле на Госуслугах
– где использовалась ваша учётная запись
– какие разрешения были выданы от вашего имени
– какие были поданы заявления
– какие запросы были сделаны и какие справки получены в ответ
4) Со всей этой информацией идём в полицию (можно онлайн) и подаём заявление
5) Связываемся со всеми банками, где у вас открыты счета (по телефону или в чате) – рассказываем им о взломе ваших Госуслуг и просим установить ограничение на оформление кредитов на ваше имя
6) Садимся и выдыхаем. Изучаем всё то, о чем узнали в МФЦ и пытаемся понять, что с помощью этих данных можно было сделать
7) Через 3 дня после обнаружения взлома делаем запрос кредитной истории (можно через Госуслуги) и ищем аномалии, которых там быть не должно. В случае, если найдете что-то странное – решать вопросы уже в частном порядке, оперируя всеми доказательствами взлома, которые у вас есть на руках (данные из МФЦ, заявление в полицию)
Очень надеюсь, что вас такая участь не настигнет, но быть к ней готовым точно нужно, иначе можно и нервы потерять, и деньги. Делитесь этой шпаргалкой с родными и близкими, лишним не будет.
#Кибергигиена
Твой Пакет Безопасности
Скрытный конь
Тут ребята из одной известной зеленой киберкомании рассказали о свежем (или не очень) трояне, который может навредить владельцам смартфонов на андроиде – LianSpy.
Штука интересная и не самая простая для распознавания, а значит очень опасная. Маскируется она, как и большинство вредоносов, под системные или легитимные приложения, поэтому пользователь точно не сможет заметить ее присутствия. Вред, который может нанести LianSpy весьма абстрактный, так как всё зависит от того, кто вас им заразил и с какой целью.
Возможности у лианспая достаточно обширные – он и к вашей камере/микрофону доступ получить может (без вашего уведомления, естественно), и к файловой системе вашего аппарата. А это значит, что под угрозой не только ваш смартфон, но и всё то, к чему он может подключаться – например, умные устройства вашего дома.
Попасть на ваш смартфон он может абсолютно разными путями – как через скачиваемые программы (если вы разрешили установку из неизвестных источников), через любой мессенджер или браузер, так и через дыры в программном обеспечении вашего устройства.
Собственно, поэтому рекомендую регулярно обновлять операционную систему смартфона, установить платный антивирус, не рутовать устройство, не посещать странные сайты и не скачивать что попало из интернетов.
#Кибергигиена
Твой Пакет Безопасности
Тут ребята из одной известной зеленой киберкомании рассказали о свежем (или не очень) трояне, который может навредить владельцам смартфонов на андроиде – LianSpy.
Штука интересная и не самая простая для распознавания, а значит очень опасная. Маскируется она, как и большинство вредоносов, под системные или легитимные приложения, поэтому пользователь точно не сможет заметить ее присутствия. Вред, который может нанести LianSpy весьма абстрактный, так как всё зависит от того, кто вас им заразил и с какой целью.
Возможности у лианспая достаточно обширные – он и к вашей камере/микрофону доступ получить может (без вашего уведомления, естественно), и к файловой системе вашего аппарата. А это значит, что под угрозой не только ваш смартфон, но и всё то, к чему он может подключаться – например, умные устройства вашего дома.
Попасть на ваш смартфон он может абсолютно разными путями – как через скачиваемые программы (если вы разрешили установку из неизвестных источников), через любой мессенджер или браузер, так и через дыры в программном обеспечении вашего устройства.
Собственно, поэтому рекомендую регулярно обновлять операционную систему смартфона, установить платный антивирус, не рутовать устройство, не посещать странные сайты и не скачивать что попало из интернетов.
#Кибергигиена
Твой Пакет Безопасности
Двухфакторная аутентификация – не панацея?
Казалось бы, чтобы защитить свой аккаунт на любых сайтах и в социальных сетях, достаточно, помимо безопасного пароля, настроить еще и двухфакторную аутентификацию. Обычно она работает в формате одноразовых кодов OTP (One Time Password), которые пользователь может получить либо по электронной почте, либо по СМС,либо голубиной почтой, либо через специальные сервисы по типу Google Authenticator.
Так вот, вне зависимости от метода получения этого кода, его можно перехватить. Как – через социальную инженерию. С первого взгляда кажется, что это слишком сложно и трудозатратно, да еще и время жизни этих одноразовых паролей сильно ограничено. Но, как мы помним, лень – двигатель прогресса, поэтому плохие ребята в какой-то момент решили автоматизировать эту технику перехвата OTP.
Собственно, в какой-то момент в нашем мире появились OTP-боты. Это боты, которые умеют звонить жертвам для того, чтобы при помощи специальных скриптов (прямо как у продажников из колл-центров) выведать код, который им пришел при попытке авторизации на том или ином сайте.
И да, для начала нужно выведать первый фактор (логин и пароль от аккаунта жертвы), но для этого уже хватит и информации из обычных утечек. После этого бот вводит выведанные логин и пароль на сайте, а через пару секунд уже звонит жертве для получения одноразового кода. Для усиления эффекта вам могут также отправлять всякие фейковые уведомления на почту, по смс или в мессенджерах (с предупреждением о том, что вам сейчас будут звонить и всё ок).
Так что знайте, если вам пришел по смс одноразовый код для входа на каком-либо ресурсе и вам позвонили для того, чтобы узнать заветный пароль, то вы просто попалина поле чудес в выборку одного из OTP-ботов. Ну а если вам пришел код, а звонка так и нет, то видимо вы где-то указали неверный номер телефона 😎
#Кибергигиена
Твой Пакет Безопасности
Казалось бы, чтобы защитить свой аккаунт на любых сайтах и в социальных сетях, достаточно, помимо безопасного пароля, настроить еще и двухфакторную аутентификацию. Обычно она работает в формате одноразовых кодов OTP (One Time Password), которые пользователь может получить либо по электронной почте, либо по СМС,
Так вот, вне зависимости от метода получения этого кода, его можно перехватить. Как – через социальную инженерию. С первого взгляда кажется, что это слишком сложно и трудозатратно, да еще и время жизни этих одноразовых паролей сильно ограничено. Но, как мы помним, лень – двигатель прогресса, поэтому плохие ребята в какой-то момент решили автоматизировать эту технику перехвата OTP.
Собственно, в какой-то момент в нашем мире появились OTP-боты. Это боты, которые умеют звонить жертвам для того, чтобы при помощи специальных скриптов (прямо как у продажников из колл-центров) выведать код, который им пришел при попытке авторизации на том или ином сайте.
И да, для начала нужно выведать первый фактор (логин и пароль от аккаунта жертвы), но для этого уже хватит и информации из обычных утечек. После этого бот вводит выведанные логин и пароль на сайте, а через пару секунд уже звонит жертве для получения одноразового кода. Для усиления эффекта вам могут также отправлять всякие фейковые уведомления на почту, по смс или в мессенджерах (с предупреждением о том, что вам сейчас будут звонить и всё ок).
Так что знайте, если вам пришел по смс одноразовый код для входа на каком-либо ресурсе и вам позвонили для того, чтобы узнать заветный пароль, то вы просто попали
#Кибергигиена
Твой Пакет Безопасности
Кардшеринг
В общем, пока недовольные пешеходы и автомобилисты из разных разных городов нашей страны продолжают анархично разбрасывать электросамокаты и кричать на их владельцев, мошенники начали популяризировать мошенническую схему, которая построена на похожей концепции.
Раньше (ну и сейчас) мошенники промышляли покупкой доступов к чужим банковским счетам и картам. Делали они это либо для себя, либо для перепродажи другим нехорошим людям, например, "обнальщикам". Если кто не смотрел сериал Озарк (а я советую это сделать), то это вид мошенничества, связанный с незаконным обналичиванием денежных средств (чтобы не платить налоги, например). И да, люди действительно продавали мошенникам доступ к своим банковским сервисам, реально (читать с интонацией).
Так вот, теперь стало модным не выкупать такие доступы, а брать их в аренду. Ох уж этот современный мир по подписке. Логика та же – вы даете другим людям доступ, например, к своей банковской карте, а взамен получаете посуточную оплату на срок аренды. И да, люди действительно дают в аренду свои карты, реально (читать с интонацией).
Что происходит с картой дальше? Правильно – всё самое нелегальное и аморальное, что только придёт вам в голову. Во-первых, новоиспеченный бизнесмен (тот, кто сдал свою карту в аренду) становится дроппером, то есть соучастником всего того, что будет происходить дальше с банковским счетом. Ну а карта будет использоваться для чего-угодно – от сбора средств на несуществующую благотворительность до использования счета для вывода нелегально заработанных денег в крипту.
К сожалению, чаще всего на такое ведутся либо молодые ребята, либо пожилые люди, по одним и тем же причинам. Ну а вы, мои дорогие читатели, не поддавайтесь этим мимолетным искушениям, делитесь этой информацией с теми, кого это может коснуться, и не пытайтесь обмануть эту жизнь, обходя законы. Всем мир.
И да, термин "кардшеринг" из заголовка поста запатентован под другую существующую технологию (да, вы тоже должны об этом знать).
#Кибергигиена
Твой Пакет Безопасности
В общем, пока недовольные пешеходы и автомобилисты из разных разных городов нашей страны продолжают анархично разбрасывать электросамокаты и кричать на их владельцев, мошенники начали популяризировать мошенническую схему, которая построена на похожей концепции.
Раньше (ну и сейчас) мошенники промышляли покупкой доступов к чужим банковским счетам и картам. Делали они это либо для себя, либо для перепродажи другим нехорошим людям, например, "обнальщикам". Если кто не смотрел сериал Озарк (а я советую это сделать), то это вид мошенничества, связанный с незаконным обналичиванием денежных средств (чтобы не платить налоги, например). И да, люди действительно продавали мошенникам доступ к своим банковским сервисам, реально (читать с интонацией).
Так вот, теперь стало модным не выкупать такие доступы, а брать их в аренду. Ох уж этот современный мир по подписке. Логика та же – вы даете другим людям доступ, например, к своей банковской карте, а взамен получаете посуточную оплату на срок аренды. И да, люди действительно дают в аренду свои карты, реально (читать с интонацией).
Что происходит с картой дальше? Правильно – всё самое нелегальное и аморальное, что только придёт вам в голову. Во-первых, новоиспеченный бизнесмен (тот, кто сдал свою карту в аренду) становится дроппером, то есть соучастником всего того, что будет происходить дальше с банковским счетом. Ну а карта будет использоваться для чего-угодно – от сбора средств на несуществующую благотворительность до использования счета для вывода нелегально заработанных денег в крипту.
К сожалению, чаще всего на такое ведутся либо молодые ребята, либо пожилые люди, по одним и тем же причинам. Ну а вы, мои дорогие читатели, не поддавайтесь этим мимолетным искушениям, делитесь этой информацией с теми, кого это может коснуться, и не пытайтесь обмануть эту жизнь, обходя законы. Всем мир.
#Кибергигиена
Твой Пакет Безопасности
А тебе уже писал бывший руководитель?
Наткнулся тут (не сам) на новую схему мошенничества с применением нашей любимой социальной инженерии. Злоумышленники пишут жертвам от имени их бывшего руководства (с поддельных телеграм-аккаунтов, например) с посылом о том, что в компании, где они вместе работали, произошла утечка данных, а произошла она тогда, когда жертва там работала. Дальше начинают упоминать, что сейчас проводится расследование со стороны МВД и ФСБ, и надо быть готовым к разговору с ними. Есть теория, что диалог с жертвами в мессенджерах ведет нейросеть, но это не точно.
Ну а дальше схема превращается в классическую – вам звонит человек с поставленной речью, представляется сотрудником органов и... после этого страдают либо ваши финансы, либо данные.
Как же ищут информацию о ваших местах работы и вашем руководстве? Всё очень просто – даже если не брать во внимание реально утёкшие базы сотрудников достаточно большого количества компаний, то можно просто взять, зайти на LinkedIn и посмотреть, кто, где и когда работал. Ну а еще можно оплатить аккаунт на hh и получить доступ ко всем резюме, где будет написано всё тоже самое, только пользоваться этим уже не так удобно, чтобы искать связи между жертвами и руководством.
В общем, будьте осторожны, особенно с бывшиминачальниками .
#Кибергигиена
Твой Пакет Безопасности
Наткнулся тут (не сам) на новую схему мошенничества с применением нашей любимой социальной инженерии. Злоумышленники пишут жертвам от имени их бывшего руководства (с поддельных телеграм-аккаунтов, например) с посылом о том, что в компании, где они вместе работали, произошла утечка данных, а произошла она тогда, когда жертва там работала. Дальше начинают упоминать, что сейчас проводится расследование со стороны МВД и ФСБ, и надо быть готовым к разговору с ними. Есть теория, что диалог с жертвами в мессенджерах ведет нейросеть, но это не точно.
Ну а дальше схема превращается в классическую – вам звонит человек с поставленной речью, представляется сотрудником органов и... после этого страдают либо ваши финансы, либо данные.
Как же ищут информацию о ваших местах работы и вашем руководстве? Всё очень просто – даже если не брать во внимание реально утёкшие базы сотрудников достаточно большого количества компаний, то можно просто взять, зайти на LinkedIn и посмотреть, кто, где и когда работал. Ну а еще можно оплатить аккаунт на hh и получить доступ ко всем резюме, где будет написано всё тоже самое, только пользоваться этим уже не так удобно, чтобы искать связи между жертвами и руководством.
В общем, будьте осторожны, особенно с бывшими
#Кибергигиена
Твой Пакет Безопасности
Браузеры, расширяемся
Я уже не раз вам советовал воспользоваться различными расширениями для браузера – то для зачистки цифрового следа, то для подмены почты, то для несложного OSINTа. Но знаете ли вы о том, что такие расширения, как и приложения для вашего смартфона, могут быть вредоносными (скажите "нет" )? А они могут.
Чаще всего такие плагины/расширения клонируют какие-то реальные сервисы – блокировщики рекламы, VPN-сервисы, ChatGPT и т.д. Более того, они даже могут выполнять стандартные функции своих оригиналов. Но под капотом у них может скрываться что-то очень неприятное.
Обычно таким расширениям доступно только то, что происходит в самом браузере, но даже если они не смогут выбраться за его пределы, то и внутри есть очень много всего полезного, чем можно поживиться. Начиная от того, что вы вводите (считывание паролей, подмена ссылок) и видите (ваши личные кабинеты в банках, персональные данные) в самом браузере, заканчивая его остальными расширениями – для криптокошельков или парольных хранилок.
Казалось бы, основным и первым советом на эту тему должно быть что-то в стиле "скачивайте расширения только из официальных магазинов самих браузеров – Chrome, Mozilla, Opera и т.д.". Но, к сожалению, это не всегда может вас защитить, так как, во-первых, вы можете попасть на фишинговый двойник такого официального магазина, и, во-вторых, даже в настоящих магазинах могут быть вредоносные расширения, так как проверки от Google, Opera и прочих – не панацея.
Поэтому я бы советовал следующее:
- Следим за тем, откуда мы скачиваем расширения. Не переходим в магазины по левым ссылкам, делаем это только из меню браузера
- В магазине смотрим на то, кто разработчик расширения, какие у него отзывы, какой у него рейтинг и как часто оно обновляется (это влияет на то, как быстро они будут чинить уязвимости в случае их появления)
- Следим за тем, какие разрешения и доступы запрашивают наши плагины/расширения
- Скачиваем только самые необходимые расширения
- Не забываем про антивирус на вашем устройстве – он сможет вам помочь, если заметит что-то аномальное
#Кибергигиена
Твой Пакет Безопасности
Я уже не раз вам советовал воспользоваться различными расширениями для браузера – то для зачистки цифрового следа, то для подмены почты, то для несложного OSINTа. Но знаете ли вы о том, что такие расширения, как и приложения для вашего смартфона, могут быть вредоносными (
Чаще всего такие плагины/расширения клонируют какие-то реальные сервисы – блокировщики рекламы, VPN-сервисы, ChatGPT и т.д. Более того, они даже могут выполнять стандартные функции своих оригиналов. Но под капотом у них может скрываться что-то очень неприятное.
Обычно таким расширениям доступно только то, что происходит в самом браузере, но даже если они не смогут выбраться за его пределы, то и внутри есть очень много всего полезного, чем можно поживиться. Начиная от того, что вы вводите (считывание паролей, подмена ссылок) и видите (ваши личные кабинеты в банках, персональные данные) в самом браузере, заканчивая его остальными расширениями – для криптокошельков или парольных хранилок.
Казалось бы, основным и первым советом на эту тему должно быть что-то в стиле "скачивайте расширения только из официальных магазинов самих браузеров – Chrome, Mozilla, Opera и т.д.". Но, к сожалению, это не всегда может вас защитить, так как, во-первых, вы можете попасть на фишинговый двойник такого официального магазина, и, во-вторых, даже в настоящих магазинах могут быть вредоносные расширения, так как проверки от Google, Opera и прочих – не панацея.
Поэтому я бы советовал следующее:
- Следим за тем, откуда мы скачиваем расширения. Не переходим в магазины по левым ссылкам, делаем это только из меню браузера
- В магазине смотрим на то, кто разработчик расширения, какие у него отзывы, какой у него рейтинг и как часто оно обновляется (это влияет на то, как быстро они будут чинить уязвимости в случае их появления)
- Следим за тем, какие разрешения и доступы запрашивают наши плагины/расширения
- Скачиваем только самые необходимые расширения
- Не забываем про антивирус на вашем устройстве – он сможет вам помочь, если заметит что-то аномальное
#Кибергигиена
Твой Пакет Безопасности
СНИЛС
До сих пор для большинства граждан нашей страны это просто какой-то очередной заламинированный документ, у которого есть уникальный номер, и который лучше не терять. Некоторые догадываются и помнят, что эта штука как-то связана с пенсией и страхованием. Лично я свой СНИЛС получил давным-давно, а произошло это максимально случайно. Ну а сегодня мы поговорим о том, что будет, если злоумышленники получат от вас номер этого странного документа.
Так уж вышло, что данные СНИЛСа не публичные, а это значит, что некоторые организации их используют как дополнительный фактор подтверждения вашей личности. Например, так делают Госуслуги. Именно для получения доступа к ним чаще всего злоумышленники и пытаются выманить у вас номер этого документа, а затем начинается свистопляска с выманиваем одноразового кода из СМС (да, номер СНИЛС – всего лишь один из факторов).
Но, как вы могли заметить, скамеры не всегда пытаются выведать у вас этот номер, так как его все-таки можно найти, если порыться в утечках из банков, медицинских учреждений или компаний, где вы когда-то работали (да, этот номер есть у вашего работодателя).
Что же делать, если вы назвали номер своего СНИЛС кому-то плохому? Ничего, потому что без дополнительного фактора он в ваши аккаунты не зайдет, микрозайм не возьмет и ничего плохого скорее всего сделать не сможет. Ну а если вы ему и одноразовый код из СМС назвали, то скорее всего ваши Госуслуги уже пали. Да, тут уже не всё так радужно, но что делать в этом случае мы уже обсуждали в этом посте, так что не теряйте.
Ну вот и всё – мы так и не поняли, что такое СНИЛС, но хоть разобрались, что не стоит никому говорить его номер. Так и живем.
#Кибергигиена
Твой Пакет Безопасности
До сих пор для большинства граждан нашей страны это просто какой-то очередной заламинированный документ, у которого есть уникальный номер, и который лучше не терять. Некоторые догадываются и помнят, что эта штука как-то связана с пенсией и страхованием. Лично я свой СНИЛС получил давным-давно, а произошло это максимально случайно. Ну а сегодня мы поговорим о том, что будет, если злоумышленники получат от вас номер этого странного документа.
Так уж вышло, что данные СНИЛСа не публичные, а это значит, что некоторые организации их используют как дополнительный фактор подтверждения вашей личности. Например, так делают Госуслуги. Именно для получения доступа к ним чаще всего злоумышленники и пытаются выманить у вас номер этого документа, а затем начинается свистопляска с выманиваем одноразового кода из СМС (да, номер СНИЛС – всего лишь один из факторов).
Но, как вы могли заметить, скамеры не всегда пытаются выведать у вас этот номер, так как его все-таки можно найти, если порыться в утечках из банков, медицинских учреждений или компаний, где вы когда-то работали (да, этот номер есть у вашего работодателя).
Что же делать, если вы назвали номер своего СНИЛС кому-то плохому? Ничего, потому что без дополнительного фактора он в ваши аккаунты не зайдет, микрозайм не возьмет и ничего плохого скорее всего сделать не сможет. Ну а если вы ему и одноразовый код из СМС назвали, то скорее всего ваши Госуслуги уже пали. Да, тут уже не всё так радужно, но что делать в этом случае мы уже обсуждали в этом посте, так что не теряйте.
Ну вот и всё – мы так и не поняли, что такое СНИЛС, но хоть разобрались, что не стоит никому говорить его номер. Так и живем.
#Кибергигиена
Твой Пакет Безопасности
Опасные обходы блокировок
Уже несколько человек (да, пока не сотни) дошли до меня с новостью о том, что они нашли следы вредоносного кода в инструментах, которые помогают обойти блокировку Discord. Сразу нужно сказать, что это не что-то новое – аналогичная ситуация была и есть с сервисами для восстановления доступа к другим ресурсам, таким, например, как YouTube.
Что это значит? А значит это то, что после скачивания и установки таких программ у вас действительно появится доступ к этим запрещенным сервисам, и вам даже будет казаться, что всё работает какраньше надо. Но параллельно с этим, кто-то либо может использовать ресурсы вашего устройства для своей выгоды – майнить криптовалюту, например (да, это всё еще модно), либо ваше устройство может быть заражено чем-то похуже. В итоге, получив доступ к заветным сервисам, вы можете потерять как свои данные, так и деньги. Задумайтесь, вы ведь сами добровольно устанавливаете себе ПО от неизвестных разработчиков, которое изначально создано для нелегальных вещей.
Но ведь этот инструмент "порекомендовал блогер", "посоветовал лучший друг", "установлен у каждого второго" и еще несколько аргументов из серии "ну у всех же работает". Проблема в том, что даже, если разработчик честный и не хотел нанести никому вреда, все эти программы собираются энтузиастами "на коленке", которые не задумываются о том, чтобы как-то обезопасить свой код. В итоге, даже такие безвредные программы могут быть заражены кем-то другим (тут уже можно почитать про software supply chain attacks).
Все ли инструменты обхода блокировок опасны? Наверняка нет. Но, как я и сказал выше, эта безвредность может быть временной и уж точно не гарантированной. Возвращаясь к тем инструментам, которые заведомо заражены и вредоносны – распространяются они обычно через подпольные телеграм-каналы или боты, ну либо однодневные сайты, которые попадаются людям в выдаче при паническом поиске решения проблемы в интернетах.
В официальных СМИ я пока не видел информации на эту тему (по крайней мере на момент написания этого поста), поэтому, возможно это тот самый случай, когда вы можете проявить социальную ответственность (ну или как там это называется), ипривести мне больше подписчиков донести эту информацию до максимального количества людей, на которых вам не всё равно.
Ну а у меня на этом всё, всем мир.
#Кибергигиена
Твой Пакет Безопасности
Уже несколько человек (да, пока не сотни) дошли до меня с новостью о том, что они нашли следы вредоносного кода в инструментах, которые помогают обойти блокировку Discord. Сразу нужно сказать, что это не что-то новое – аналогичная ситуация была и есть с сервисами для восстановления доступа к другим ресурсам, таким, например, как YouTube.
Что это значит? А значит это то, что после скачивания и установки таких программ у вас действительно появится доступ к этим запрещенным сервисам, и вам даже будет казаться, что всё работает как
Но ведь этот инструмент "порекомендовал блогер", "посоветовал лучший друг", "установлен у каждого второго" и еще несколько аргументов из серии "ну у всех же работает". Проблема в том, что даже, если разработчик честный и не хотел нанести никому вреда, все эти программы собираются энтузиастами "на коленке", которые не задумываются о том, чтобы как-то обезопасить свой код. В итоге, даже такие безвредные программы могут быть заражены кем-то другим (тут уже можно почитать про software supply chain attacks).
Все ли инструменты обхода блокировок опасны? Наверняка нет. Но, как я и сказал выше, эта безвредность может быть временной и уж точно не гарантированной. Возвращаясь к тем инструментам, которые заведомо заражены и вредоносны – распространяются они обычно через подпольные телеграм-каналы или боты, ну либо однодневные сайты, которые попадаются людям в выдаче при паническом поиске решения проблемы в интернетах.
В официальных СМИ я пока не видел информации на эту тему (по крайней мере на момент написания этого поста), поэтому, возможно это тот самый случай, когда вы можете проявить социальную ответственность (ну или как там это называется), и
Ну а у меня на этом всё, всем мир.
#Кибергигиена
Твой Пакет Безопасности
Поднять щиты
О том, что такое двухфакторная аутентификация или 2FA мы с вами уже говорили (вот тут). О том, как этот способ защиты научились автоматизированно обходить злоумышленники мы тоже уже обсудили (вот здесь). Собственно, настало время научиться эту двухфакторку настраивать во всех важных местах и наконец-то сделать это.
На самом деле, я просто случайно наткнулся на доступную инструкцию (с картинками!) по тому, как это сделать, поэтому делюсь. Там и про популярные мессенджеры с соцсетями, и про Госуслуги с айфонами и андроидами.
А вот и сама инструкция – ссылка
#Кибергигиена
Твой Пакет Безопасности
О том, что такое двухфакторная аутентификация или 2FA мы с вами уже говорили (вот тут). О том, как этот способ защиты научились автоматизированно обходить злоумышленники мы тоже уже обсудили (вот здесь). Собственно, настало время научиться эту двухфакторку настраивать во всех важных местах и наконец-то сделать это.
На самом деле, я просто случайно наткнулся на доступную инструкцию (с картинками!) по тому, как это сделать, поэтому делюсь. Там и про популярные мессенджеры с соцсетями, и про Госуслуги с айфонами и андроидами.
А вот и сама инструкция – ссылка
#Кибергигиена
Твой Пакет Безопасности
Популяризации много не бывает
У одного хорошего дядьки из интернетов, который обычно очень подробно и красочно рассказывает про различные исторические события и личности, тут вышло видео на тему кибербезопасности. Там есть вся база, необходимая каждому – от статистики и технологий мошенничества до конкретных тактик и хронологии их развития.
Но, что самое главное, всё это рассказано на понятном языке. Ну а дадька этот – уважаемый Сергей Минаев, слушать и смотреть работы которого – одно удовольствие. Лично у меня уроки истории еще никогда не были такими интересными, поэтому выражаю искреннюю благодарность.
Да, возможно это всё сделано по инициативе Яндекса и не только во имя образовательной миссии, но какая разница, ведь по итогу мы имеем понятный видеоряд, который интересно смотреть, и который может даже кому-то помочь спасти свои кровные деньги или данные.
В общем, лучше самим убедиться – ссылка (ну или здесь).
#Кибергигиена
Твой Пакет Безопасности
У одного хорошего дядьки из интернетов, который обычно очень подробно и красочно рассказывает про различные исторические события и личности, тут вышло видео на тему кибербезопасности. Там есть вся база, необходимая каждому – от статистики и технологий мошенничества до конкретных тактик и хронологии их развития.
Но, что самое главное, всё это рассказано на понятном языке. Ну а дадька этот – уважаемый Сергей Минаев, слушать и смотреть работы которого – одно удовольствие. Лично у меня уроки истории еще никогда не были такими интересными, поэтому выражаю искреннюю благодарность.
Да, возможно это всё сделано по инициативе Яндекса и не только во имя образовательной миссии, но какая разница, ведь по итогу мы имеем понятный видеоряд, который интересно смотреть, и который может даже кому-то помочь спасти свои кровные деньги или данные.
В общем, лучше самим убедиться – ссылка (ну или здесь).
#Кибергигиена
Твой Пакет Безопасности
