Kompra | Всё о безопасности
783 subscribers
964 photos
166 videos
25 files
1.25K links
Канал о новостях в сфере корпоративной безопасности. Разбираем кейсы мошенничества, коррупции и рисков работы с ненадежными компаниями.

Аналитика от команды Kompra.kz.

Задать вопрос о сервисе: hello@kompra.kz.
Download Telegram
Кейс: как в России упростят возврат средств, похищенных киберпреступниками

Делимся интересным решением Центрального Банка России по борьбе с интернет-преступниками. Они предлагают автоматическую блокировку переведённых на счёт кибермошенников или посредников средств.

Сразу после обращения пострадавшего сумма на счете вероятного мошенника будет заморожена. Важность такой мгновенной блокировки банки объясняют тем, что мошенники в половине случаев снимают похищенные деньги в течение часа после перевода, в 47% – в течение двух-трех часов.

При этом используется цепочка переводов. Сейчас банки видят такие схемы, но не имеют права блокировать зачисленные средства или не могут отказать в их выдаче. Согласно новому законопроекту, средства будут блокировать на 25 дней.

#мошенничество #информационная_безопасность #банки
​​Как защитить компанию от Wi-Fi

Перехватить трафик, украсть пароли и доступ к устройству — эти и другие уязвимости в технологии Wi-Fi нашёл специалист по безопасности и сообщил в соцсетях.

В интернете уже давно обсуждается вопрос небезопасного подключения по сети Wi-Fi. Уязвимости эксперт назвал Frag Attacks, некоторые из которых появились ещё в 1997 году. С помощью обнаруженных им недостатков злоумышленники могли перехватывать трафик в радиусе действия сети.

Проблемы сети Wi-Fi касаются абсолютно всех устройств. И последствия от атак зависят от самого гаджета. Рекомендуем напоминать сотрудникам и коллегам о правилах подключения к публичным точкам.

#новости #информационная_безопасность #мошенничество
Вебинар «Защита сетей. Актуальная компетенция IT-специалиста»

Делимся интересным вебинаром для ваших коллег. Чем больше бизнес зависим от IT, тем выше становятся риски, связанные с информационной безопасностью. На вебинаре расскажут, какими компетенциями должен обладать IT-специалист, чтобы компания была в безопасности.

Что обсудят:
- Кому необходим этот навык
- Как его применять в работе компании
- Как получить сертификацию по международным стандартам.

Практическим опытом поделится зарубежный специалист Faizal Shabeer (Country manager EC-Council London).
Когда: 20 мая, 17:00. Вебинар пройдет на английском языке.
Участие бесплатное. Зарегистрироваться можно здесь.

#вебинар #мероприятия #информационная_безопасность
​​Как инновации помогают выйти из кризиса

Результаты такого исследования опубликовали эксперты McKinsey. Компании, которые во время кризиса направляют усилия не только на выживание, но и на инновации, потом значительно опережают конкурентов. Например, можно автоматизировать работу своих отделов.

Рекомендуют обращать внимание на три направления:
- высокая скорость работы
- умение рисковать
- умение отбросить лишнее и сосредоточиться на главном.

Чтобы реализовать такие изменения, нужны три группы шагов:
- перераспределение ресурсов
- развитие гибкости
- «взлом» внутренних процессов и ускорение разработки новых решений.

#новости #инновации #информационная_безопасность
Чего точно нельзя делать казахстанцам в интернете

Директор компании ТОО «NitroTeam» Батыржан Тютеев рассказал о распространенных онлайн-угрозах и о том, как распознать фишинговые сайты и не повестись на уловки мошенников.

Эксперт считает, что в Казахстане большинство ответственных за информационную безопасность лиц просто не понимают, для чего это нужно. Указал он и на вероятную «уязвимость» госсайтов.

Исходя из этого, он отметил, что самый простой способ защитить свои личные данные от злоумышленников — не оставлять их в сомнительных приложениях и предоставлять минимум личной информации о себе в соцсетях. Так как любая информация, указанная в социальных сетях — город, номер телефона и так далее — может быть использована против вас.

Рекомендуют также завести отдельный почтовый ящик для спама и указывать его для сайтов, имеющих сомнительную репутацию, а также иметь разные пароли при регистрации в любых интернет-сервисах и включить двухфакторную авторизацию везде, где предоставляется такая возможность.

#новости #информационная_безопасность #мошенничество
Вебинар «Риски отсутствия бэкапа в коммерческих организациях»

Рекомендуем вашим коллегам присоединиться к вебинару, посвященному рискам и последствиям отсутствия резервного копирования в коммерческих организациях.

Вебинар пройдет 8 июня в 13:00. Что можно будет узнать:

- когда коммерческим организациям нужен профессиональный бэкап
- отличия профессионального бэкапа от «народных методов»
- юридические, административные и финансовые риски и потери при отсутствии бэкапа.

Участие в онлайн-трансляции будет интересно техническим специалистам, работающим в компаниях малого и среднего бизнеса, практически любой сферы деятельности, для которых защита данных и бэкап является необходимой составляющей в работе. А также компаниям, на которые распространяются требования регуляторов.

Зарегистрироваться можно здесь.
#вебинар #мероприятия #информационная_безопасность
В сеть слили крупнейшую базу паролей

Обратите внимание, что эксперты в области кибербезопасности обнаружили на хакерском форуме файл размером 100 ГБ, содержащий в себе 8,4 млрд «слитых» паролей.

Файл содержит сразу несколько комбинаций. Так возрастает вероятность того, что пароль любого пользователя может оказаться в руках злоумышленников. Хакеры или мошенники могут скомбинировать эту базу с другими, чтобы совершить атаку.

Аналитик подчеркнули, что «поскольку большинство людей повторно используют свои пароли в нескольких приложениях и на веб-сайтах, количество затронутых в результате этой утечки учетных записей потенциально может достигать миллионов, если не миллиардов».

#информационная_безопасность #мошенничество #утечка_данных
Соответствует ли ваша компания требованиям безопасности?

В Казахстане запустили портал по автоматизации бизнес-процессов по проведению испытания на соответствие требованиям информационной безопасности. О работе Synaq рассказал Медет Искаков, директор департамента Государственной технической службы. Рекомендуем вашим коллегам из отдела ИБ.

Как это происходит сейчас?
Процедура испытаний изнурительна, сопровождается большим объемом документов при подаче заявки на испытание. Это снижает оперативность работы, ведет к большим трудовым и временным затратам.

Как подключиться к порталу?
Чтобы стать пользователем Synaq, необходимо иметь ЭЦП юридического лица и пройти процедуры регистрации в целях подписания и согласования всех необходимых документов. Предусмотрено отображение статусов направленных заявок и запросов, а также получение уведомлений на электронную почту об изменении статуса, что обеспечивает прозрачность бизнес-процесса.

#информационная_безопасность #новости #бизнес
Конференция для ваших коллег из отдела ИБ

Тем, кому интересна тема информационной безопасности компаний, рекомендуем записаться на онлайн-конференцию KasperskyOS Night 2021 Summer Edition.

Когда: 7-8 июля, 16:00-20:00

Спикеры KasperskyOS Night — разработчики операционной системы «Лаборатории Касперского». Они поделятся подробностями о кибериммунном подходе к разработке, о возможностях портирования приложений и тестирования безопасности решений.

Цель KasperskyOS Night — дать участникам знания и инструменты для построения безопасных IT-систем будущего и рассказать про опыт разработки операционной системы и продуктов на ее основе.

Зарегистрироваться по ссылке.

#информационная_безопасность #конференция
Защита от цифровых рисков

Мошенничество остается основным преступлением в интернете, на него приходится 73% всех киберпреступлений. Причем 56% из них составляет скам — обман с добровольным платежом и раскрытием данных жертвы, а еще 17% — фишинг, то есть кража данных банковских карт.

Перед бизнесом сейчас стоит непростая задача: увеличить продажи, обеспечив максимальную защиту клиентам и своего бренда — атаки становятся все более изощренными, а цифровые активы все сложнее поддаются контролю. Например, в 2020 году на один банк в России приходилось более 500 фейковых аккаунтов.

Но самих схем и способов украсть деньги огромное количество. В статье рассказали о трех самых масштабных:

Скам-схема «Мамонт». Цель схемы в вымогательстве денег в качестве оплаты несуществующих товаров, которые никогда не будут доставлены или услуг, которые не будут оказаны

Схема «Белый кролик». Цель скамеров — кража денег, данных банковских карт и персональных данных.

Схема «Двойной обман». Пользователям, уже пострадавшим от интернет-преступников, предлагают получить компенсацию за участие в популярных фейковых опросах, но вместо этого списывают деньги и похищают данные банковских карт.
#новости #информационная_безопасность
Новый способ защиты ЭЦП и предоставления госуслуг

Для казахстанцев до конца года внедрят систему облачного ЭЦП. Это упростит процесс получения и хранения цифровой подписи. Принцип будет похож на тот, который уже внедрили в мобильном приложении. Регистрация и авторизация будет проходить посредством биометрических данных. Сама система не будет файловой, ЭЦП будет храниться на удаленных серверах. Значит, что носить с собой ЭЦП в удостоверении или на флешке станет не нужно.

Это еще одна мера информационной безопасности, которую усилили на портале электронного правительства. Услуга автоматически будет подписывать документы

#egov #новости #информационная_безопасность
Корпоративная соцсеть уменьшает риски

На сегодня специалисты по безопасности все еще сталкиваются с выстраиванием процесса работы сотрудников на удаленке. Исследование McKinsey Global Institute показывает, что применение социальных технологий в системе внутренних коммуникаций компании способно увеличить не только производительность труда на 20—25%.

Среди плюсов корпоративных сетей отмечают более высокий уровень информационной безопасности, что предотвращает утечки контента: фотографий, документов и т. д. К тому же, для полноценной коммуникации нужно внедрение не только соцсети, но и других инструментов, например корпоративного мессенджера, электронного документооборота.

Нововведения не заменят офлайн-коммуникацию, но станут ее эффективным дополнением.
#информационная_безопасность #корпоративная_культура
Как подготовиться к внедрению 5G

Весь мир продолжает работать над внедрением сетей нового поколения с более высокими скоростями, в том числе и наша страна. Мы ждем появления широкополосного интернета OneWeb и Starlink, но мало кто задумывается над пересмотром стратегий защиты компаний в новых условиях.

Эксперты по безопасности уже бьют тревогу: современные подходы к обеспечению безопасности сетей не подходят под скорости новой реальности. Корпоративный сегмент станет использовать частные и гибридные 5G-сети, чтобы иметь максимальный контроль и обеспечить неприкосновенность данных.

Но даже если вы закроете свои сети, к ним все равно имеют доступ множество устройств: датчики IoT, подключенные к сети личные устройства сотрудников, операторы мобильных сетей и даже поставщики операционных технологий. Делимся интересным рассуждением, что будет с бизнесом и компаниями, которые не успеют перестроиться и каким должен быть комплексный подход к безопасности.

#информационная_безопасность #новости
Какие данные утекают в сеть

В 2020 году почти ¾ записей с персональными данными утекло в результате умышленных действий. Такой статистикой поделился экспертно-аналитический центр InfoWatch.

В результате во всем мире за год оказались скомпрометированы 11,06 млрд записей персональных данных и платежной информации, включая, ФИО, e-mail, номера телефонов, пароли, сведения о месте жительства, номера социального страхования, реквизиты банковских карт и данные о банковских счетах.

При этом большинство инцидентов скрывают, так как при переходе на «удаленку» не все компании успели адаптировать системы информационной безопасности к новым реалиям.

Почему на черном рынке растет ценность персональных данных для оформление кредитов и пособий, маркетинга, фишинга и шантажа, можно узнать в исследовании.

#персональные_данные #информационная_безопасность #утечка_данных
Шпионское ПО для перехвата данных

На этой неделе стало известно о новом виде коммерческого кибероружия, которое использовали десятки стран для слежки. Так смартфоны примерно 50 тыс. человек, среди которых активисты, журналисты, представители бизнеса и политики, могли пострадать от шпионского ПО производства NSO Group.

Расследование выпускают 17 редакций по всему миру. И по их данным, ПО использовали и в Казахстане. Среди потенциальных целей не только журналисты и активисты, но и действующие президент и премьер-министр Казахстана.

Стоит знать, что Pegasus может заразить телефон без необходимости нажимать на ссылку, читать сообщение или отвечать на звонок. После установки оно может извлекать данные, разговоры, контакты и журналы вызовов с телефона. И даже может включать микрофоны и камеры для бесшумной записи звука и видео в реальном времени.

На сегодня известно, что около 2000 казахстанских номеров стали целями этой программы. Но появление в списке еще не означает, что номер телефона пользователя был окончательно взломан. Это говорит о том, что данный человек представляет интерес для клиента компании NSO Group.

#информационная_безопасность #расследование
​​Тренды кибербезопасности

Представители «Сбера», Apple, IBM, Microsoft, Интерпола и других международных организаций собрались на онлайн-мероприятии, посвященном кибербезопасности в мире. Рассказываем, какие проблемы и тренды интересны нам там обсуждали.

Главный эксперт «Лаборатории Касперского» представил «пирамиду киберпреступности». Нижний уровень — самые примитивные атаки. Главная особенность — фишинговые сайты на тему COVID-19: помощь в получении компенсаций, поддельные сертификаты о вакцинации и QR-коды. На втором месте — мошенничества с доставкой товаров и услуг. Также участились звонки мошенников, которые представляются СБ банка.

Средний уровень — атаки программ-вымогателей, каждая четвертая из которых пришлась на корпоративных пользователей.

Вместо защищенных корпоративных сервисов сотрудники перешли на чаты в мессенджерах, а требования ИБ при работе с личных устройств просто игнорируются. Когда атака происходит, сотрудникам СБ приходится несколько дней отслеживать каждое личное устройство, тогда как при работе в офисе на поиск уязвимости уходили минуты.

#информационная_безопасность #сб #тренды
Крупный слив базы номеров из-за Clubhouse

Полная база телефонных номеров Clubhouse выставлена на продажу в даркнете. Это 3,8 млрд контактов не только участников соцсети, но и пользователей синхронизированных списков их контактов.

Значит, с большой вероятностью, ваши данные есть в этом списке. Если база попадет в открытый доступ, то это откроет еще больше возможностей телефонным мошенникам, которые объединяют несколько разных баз для составления полного досье на человека.

Также это еще один факт нарушения принципов европейского регламента по защите данных - незаконный сбор сведений о людях.

#утечка_данных #информационная_безопасность #новости