Почтовый спам может стать угрозой 2021 года
Резко выросло количество спам-писем за последний год. Одна компания получила больше 300 тысяч писем на почту за день. Просто вдумайтесь, какие масштабы это приобрело.
Сам резкий скачок не страшен. Страшно то, что письма сразу попадают во «Входящие», минуя защиту. Скорее всего преступники используют инструмент Email Appender, который продаётся в даркнете с октября 2020. Интерфейс инструмента позволяет изменить адрес отправителя и создать адрес для ответа. Программа перебирает логины и пароли, пытается авторизоваться на email-сервере и, открыв почтовый ящик жертвы, добавить туда своё вредоносное письмо.
Это серьезная угроза для потребителей, которые в отличии от бизнеса хуже разбираются в вопросах безопасности. В даркнете сейчас много сервисов, доступных для преступников с минимальным уровнем технологий. Активность почтового спама можно связать с тем, что преступники тестируют новые инструменты на пользователях, чтобы в новом 2021 году перейти на рынок бизнеса.
Резко выросло количество спам-писем за последний год. Одна компания получила больше 300 тысяч писем на почту за день. Просто вдумайтесь, какие масштабы это приобрело.
Сам резкий скачок не страшен. Страшно то, что письма сразу попадают во «Входящие», минуя защиту. Скорее всего преступники используют инструмент Email Appender, который продаётся в даркнете с октября 2020. Интерфейс инструмента позволяет изменить адрес отправителя и создать адрес для ответа. Программа перебирает логины и пароли, пытается авторизоваться на email-сервере и, открыв почтовый ящик жертвы, добавить туда своё вредоносное письмо.
Это серьезная угроза для потребителей, которые в отличии от бизнеса хуже разбираются в вопросах безопасности. В даркнете сейчас много сервисов, доступных для преступников с минимальным уровнем технологий. Активность почтового спама можно связать с тем, что преступники тестируют новые инструменты на пользователях, чтобы в новом 2021 году перейти на рынок бизнеса.
Забыли мы про Твиттер, а там много интересного.
Парень взломал ПО своей Tesla и получил доступ к функции дополненного видения, как в режиме разработчика. Теперь он может посмотреть, как работает автопилот. Из минусов: парню могут аннулировать гарантию за взлом.
По ссылке тред со скриншотами и видео:
https://twitter.com/greentheonly/status/1338743592328847361
Парень взломал ПО своей Tesla и получил доступ к функции дополненного видения, как в режиме разработчика. Теперь он может посмотреть, как работает автопилот. Из минусов: парню могут аннулировать гарантию за взлом.
По ссылке тред со скриншотами и видео:
https://twitter.com/greentheonly/status/1338743592328847361
Студентам придётся сдавать биометрию для допуска к экзамену
Минцифры разработало проект постановления, который обяжет студентов проходить усложнённую идентификацию во время дистанционного обучения.
Перед экзаменом теперь придётся произнести на камеру случайно сгенерированную последовательность числел, чтобы система сопоставила голос и лицо и проверила, что перед ней ни deepfake. Если точность будет выше 99,9%, студента допустят до экзамена.
Для проверки будут использоваться данные Единой биометрической системы.
Похоже, что минцифры все-таки хочет собрать базу биометрии по частям. Насколько надежно защищены данные и как их могут использовать в будущем - вопрос риторический. А собирают данные, используя в качестве повода риск распространения ковида.
Минцифры разработало проект постановления, который обяжет студентов проходить усложнённую идентификацию во время дистанционного обучения.
Перед экзаменом теперь придётся произнести на камеру случайно сгенерированную последовательность числел, чтобы система сопоставила голос и лицо и проверила, что перед ней ни deepfake. Если точность будет выше 99,9%, студента допустят до экзамена.
Для проверки будут использоваться данные Единой биометрической системы.
Похоже, что минцифры все-таки хочет собрать базу биометрии по частям. Насколько надежно защищены данные и как их могут использовать в будущем - вопрос риторический. А собирают данные, используя в качестве повода риск распространения ковида.
Путин на вопрос о хакерах во время пресс-конференции: ❗️Ваш вопрос провокация. Российские хакеры не вмешивались в выборы в США.
В популярной криптографической библиотеке обнаружена уязвимость
Уязвимость CVE-2020-28052 позволяет обходить аутентификацию. Ее эксплуатация может дать злоумышленнику доступ к учётным записям пользователя или админа.
Проблема содержится в классе OpenBSDBcrypt Bouncy Castle, который отвечает за алгоритм хеширования паролей Bcrypt.
Успешная эксплуатация уязвимости позволяет подобрать пароль как для учетной записи пользователя, так и учетной записи админа.
20% паролей могут быть взломаны с первой тысячи попыток.
Проблема уже была исправлена в версии Bouncy Castle 1.67.
Уязвимость CVE-2020-28052 позволяет обходить аутентификацию. Ее эксплуатация может дать злоумышленнику доступ к учётным записям пользователя или админа.
Проблема содержится в классе OpenBSDBcrypt Bouncy Castle, который отвечает за алгоритм хеширования паролей Bcrypt.
Успешная эксплуатация уязвимости позволяет подобрать пароль как для учетной записи пользователя, так и учетной записи админа.
20% паролей могут быть взломаны с первой тысячи попыток.
Проблема уже была исправлена в версии Bouncy Castle 1.67.
Сотрудник компании Zoom сливал данные пользователей властям Китая
Высокопоставленный сотрудник Zoom помогал властям Китая, сливая данные пользователей, отключая созвоны пользователей, посвящённые обсуждению подцензурных тем(например бойня на площади Тяньаньмэнь в 1989) и создавал поддельные свидетельства хранения и обсуждения терроризма и детского порно. Просто представьте, что вы в Москве или Екатеринбурге, а к вам вламывается полиция, потому что вы якобы транслировали детское порно. И все это из-за недобросовестного сотрудника Zoom.
Об этой информации заявил минюст США. Пока что у минюста имеются претензии только к некоторым сотрудникам компании.
Если вспомнить лето и то, как Трамп под видом политики протекционизма хотел запретить TikTok, так как компания могла сливать данные американских пользователей китайским властям, то можно понять, почему. Zoom тоже китайская компания, большинство ее сотрудников из Китая. Но, к сожалению, сейчас Zoom - это единственная в мире компания, создавшая такую удобную программу для созвонов и конференций. Поэтому Zoom как бы монополист. А пользователям в текущей ситуации ничего не остаётся более, как подвергать себя риску быть слитым.
Высокопоставленный сотрудник Zoom помогал властям Китая, сливая данные пользователей, отключая созвоны пользователей, посвящённые обсуждению подцензурных тем(например бойня на площади Тяньаньмэнь в 1989) и создавал поддельные свидетельства хранения и обсуждения терроризма и детского порно. Просто представьте, что вы в Москве или Екатеринбурге, а к вам вламывается полиция, потому что вы якобы транслировали детское порно. И все это из-за недобросовестного сотрудника Zoom.
Об этой информации заявил минюст США. Пока что у минюста имеются претензии только к некоторым сотрудникам компании.
Если вспомнить лето и то, как Трамп под видом политики протекционизма хотел запретить TikTok, так как компания могла сливать данные американских пользователей китайским властям, то можно понять, почему. Zoom тоже китайская компания, большинство ее сотрудников из Китая. Но, к сожалению, сейчас Zoom - это единственная в мире компания, создавшая такую удобную программу для созвонов и конференций. Поэтому Zoom как бы монополист. А пользователям в текущей ситуации ничего не остаётся более, как подвергать себя риску быть слитым.
Хакеры взломали iPhone журналистов через 0-day уязвимость и следили за ними
Канадские исследователи из Citizen Lab выявили кибератаку против сотрудников каналов Al Jezeera и Arabi TV.
Благодаря вредоносному ПО Pegasus NSO Group передавала заказчикам геоданные, мгновенные снимки с камеры смартфона, записи с микрофона, пароли для доступа к сервисам и даже содержание зашифрованных голосовых звонков.
Уязвимость была в службе мгновенных сообщений iMessage. Пофиксили ее только в свежей версии iOS 14. Для взлома не нужны были даже никакие действия со стороны жертвы.
Интересно тут то, как обнаружили взлом: на телефон журналиста установили VPN, который вёл сетевые журналы. После этого специалисты выявили соединение с сервером NSO Group.
Советуем тем, кто ещё не обновился до последней версии, сделать это. И, хотя, такие атаки делаются таргетировано, обновление до последней версии может повысить стоимость успешной атаки.
Канадские исследователи из Citizen Lab выявили кибератаку против сотрудников каналов Al Jezeera и Arabi TV.
Благодаря вредоносному ПО Pegasus NSO Group передавала заказчикам геоданные, мгновенные снимки с камеры смартфона, записи с микрофона, пароли для доступа к сервисам и даже содержание зашифрованных голосовых звонков.
Уязвимость была в службе мгновенных сообщений iMessage. Пофиксили ее только в свежей версии iOS 14. Для взлома не нужны были даже никакие действия со стороны жертвы.
Интересно тут то, как обнаружили взлом: на телефон журналиста установили VPN, который вёл сетевые журналы. После этого специалисты выявили соединение с сервером NSO Group.
Советуем тем, кто ещё не обновился до последней версии, сделать это. И, хотя, такие атаки делаются таргетировано, обновление до последней версии может повысить стоимость успешной атаки.
Facebook собирает данные местоположения вашего iPhone
У Facebook какая-то дата-зависимость. Компания как будто ничего не может с этим поделать. И понятно почему: вся бизнес-модель техногиганта построена на сборе, обработке и продаже наших данных.
Пробелы в настройках конфиденциальности стали еще более очевидными на фоне разгоревшегося скандала между Apple и Facebook из-за конфиденциальности пользователей Apple. Apple в новом обновлении ограничила доступ к идентификаторам отслеживания и отслеживание местоположения.
Вы можете отключить доступ к местоположению в настройках для Facebook навсегда, и Facebook не сможет получить их с самого устройства, но соц.сеть использует инструмент EXIF (Exchangeable Image File). EXIF - метаданные, которые относятся к камере и настройкам фотографии, которые включают дату и время, когда была сделана фотография, модель телефона и точное местоположение. Эти данные будут оставаться с фотографией везде, где она передается.
У Facebook какая-то дата-зависимость. Компания как будто ничего не может с этим поделать. И понятно почему: вся бизнес-модель техногиганта построена на сборе, обработке и продаже наших данных.
Пробелы в настройках конфиденциальности стали еще более очевидными на фоне разгоревшегося скандала между Apple и Facebook из-за конфиденциальности пользователей Apple. Apple в новом обновлении ограничила доступ к идентификаторам отслеживания и отслеживание местоположения.
Вы можете отключить доступ к местоположению в настройках для Facebook навсегда, и Facebook не сможет получить их с самого устройства, но соц.сеть использует инструмент EXIF (Exchangeable Image File). EXIF - метаданные, которые относятся к камере и настройкам фотографии, которые включают дату и время, когда была сделана фотография, модель телефона и точное местоположение. Эти данные будут оставаться с фотографией везде, где она передается.
Банки будут проводить удаленную идентификацию с помощью биометрии
Госдума приняла закон, который позволяет банкам удаленно идентифицировать клиента с помощью изображения лица и образца голоса. Все данные, которые соберут банки, будут храниться в ЕБС(единая биометрическая система).
Биометрию из ЕБС смогут использовать госорганы, финансовые организации, нотариусы при условии, что владелец даст согласие на это. Передача биометрических данных без защиты криптографией будет запрещена.
Биометрия в России в последнее время очень быстро развивается. Это уже процесс, который вряд ли можно остановить. Теперь главная задача - обеспечить защиту этих данных при хранении и обработке.
Госдума приняла закон, который позволяет банкам удаленно идентифицировать клиента с помощью изображения лица и образца голоса. Все данные, которые соберут банки, будут храниться в ЕБС(единая биометрическая система).
Биометрию из ЕБС смогут использовать госорганы, финансовые организации, нотариусы при условии, что владелец даст согласие на это. Передача биометрических данных без защиты криптографией будет запрещена.
Биометрия в России в последнее время очень быстро развивается. Это уже процесс, который вряд ли можно остановить. Теперь главная задача - обеспечить защиту этих данных при хранении и обработке.
👍1
Cybernews провел исследование 13 приватных мессенджеров на безопасность
Результаты такие: 86% приложений(11 из 13) по умолчанию были безопасными. Удивительно, что в Telegram и Facebook Messenger эти функции безопасности не были включены по умолчанию, но их можно включить самостоятельно в настройках. Только два приложения - Briar и Qtox используют P2P при обмене сообщениями.
Большинство приложений используют для хэширования ключей и шифрования одни из самых безопасных алгоритмов, существующих на данный момент: RSA и AES.
iMessage не шифрует сообщения, если они отправляются через GSM (используется для 2G и 3G)
В общем, тенденция у мессенджеров хорошая. Большинство использует надежные алгоритмы шифрования, а значит у пользователей меньше поводов для беспокойства.
Результаты такие: 86% приложений(11 из 13) по умолчанию были безопасными. Удивительно, что в Telegram и Facebook Messenger эти функции безопасности не были включены по умолчанию, но их можно включить самостоятельно в настройках. Только два приложения - Briar и Qtox используют P2P при обмене сообщениями.
Большинство приложений используют для хэширования ключей и шифрования одни из самых безопасных алгоритмов, существующих на данный момент: RSA и AES.
iMessage не шифрует сообщения, если они отправляются через GSM (используется для 2G и 3G)
В общем, тенденция у мессенджеров хорошая. Большинство использует надежные алгоритмы шифрования, а значит у пользователей меньше поводов для беспокойства.
Компания GoDaddy фишинговала своих же сотрудников
Руководству перед новогодними праздниками захотелось проверить, могут ли попасться на удочку ее сотрудники, поэтому оно провело тайное тестирование.
Но общественность отреагировала на это не так однозначно. GoDaddy разослало своим сотрудником электронные письма с обещанием выслать $650 в качестве премии. Для получения денег сотрудники должны были отправить ответное письмо с указанием адреса и других перс.данных. Денег никто, естественно, не получил.
Это всех расстроило и вызвало дискуссии в Twitter. Тест посчитали слишком жестоким. Руководство извинилось перед сотрудниками и сказало, что очень серьёзно относится к безопасности своей платформы.
Оставаться перед Новым годом без обещанной премии, конечно, неприятно, но безопасность важнее.
Руководству перед новогодними праздниками захотелось проверить, могут ли попасться на удочку ее сотрудники, поэтому оно провело тайное тестирование.
Но общественность отреагировала на это не так однозначно. GoDaddy разослало своим сотрудником электронные письма с обещанием выслать $650 в качестве премии. Для получения денег сотрудники должны были отправить ответное письмо с указанием адреса и других перс.данных. Денег никто, естественно, не получил.
Это всех расстроило и вызвало дискуссии в Twitter. Тест посчитали слишком жестоким. Руководство извинилось перед сотрудниками и сказало, что очень серьёзно относится к безопасности своей платформы.
Оставаться перед Новым годом без обещанной премии, конечно, неприятно, но безопасность важнее.
Bitcoin за одну ночь вырос до $28 000.
Тот, кто покупал его в 2010, сейчас может купить квартиру
Тот, кто покупал его в 2010, сейчас может купить квартиру
Оказывается, у телефонных мошенников есть данные главы ЦБ России
Эльвира Набиуллина рассказала в интервью Шнурову, что ей звонили телефонные мошенники и пытались выманить данные карты.
«Я, естественно, положила трубку, что я советую всем остальным»,-сказала глава ЦБ.
Пополнять базу номеров помогаем мы сами, оставляя номера при регистрации на разных сайтах. От нежелательных звонков могут помочь защититься телеком-компании. На устройствах iOS и Android есть встроенные или отдельные функции, «заглушающие» звонки с неизвестных номеров.
https://rtvi.com/broadcast/shnurov-i-nabiullina-gotovyat-olive/
Эльвира Набиуллина рассказала в интервью Шнурову, что ей звонили телефонные мошенники и пытались выманить данные карты.
«Я, естественно, положила трубку, что я советую всем остальным»,-сказала глава ЦБ.
Пополнять базу номеров помогаем мы сами, оставляя номера при регистрации на разных сайтах. От нежелательных звонков могут помочь защититься телеком-компании. На устройствах iOS и Android есть встроенные или отдельные функции, «заглушающие» звонки с неизвестных номеров.
https://rtvi.com/broadcast/shnurov-i-nabiullina-gotovyat-olive/
RTVi
Цены, рубль и брошки. Шнуров и Набиуллина готовят оливье с колбасой и обсуждают итоги 2020 года
Без оливье не обходится ни один Новый год. Генеральный продюсер RTVI Сергей Шнуров и председатель Центробанка России Эльвира Набиуллина приготовили салат по классическому советскому рецепту — с колбасой, а заодно обсудили экономические итоги уходящего года.…
Злоумышленники перехватывали информацию из Google Docs
Исследователь Shreeram KL сообщил о уязвимости в Google Docs, которую он нашёл в июле.
Из-за ошибки, которая содержалась в функции «отправить отзыв» можно было перехватывать скриншоты документов.
В этом сервисе компании не было заголовка X-Frame-Options. Он используется для предотвращения кликджейкинга.
Эта уязвимость уже была закрыта, но Shreeram KL говорит, что в Google Docs до сих пор нет X-Frame-Options.
Компания выплатила исследователю безопасности $3 тысячи за обнаруженную уязвимость.
Исследователь Shreeram KL сообщил о уязвимости в Google Docs, которую он нашёл в июле.
Из-за ошибки, которая содержалась в функции «отправить отзыв» можно было перехватывать скриншоты документов.
В этом сервисе компании не было заголовка X-Frame-Options. Он используется для предотвращения кликджейкинга.
Эта уязвимость уже была закрыта, но Shreeram KL говорит, что в Google Docs до сих пор нет X-Frame-Options.
Компания выплатила исследователю безопасности $3 тысячи за обнаруженную уязвимость.