͏Продолжим освещать вопросы обновления используемого программного обеспечения.

Вчера компания Microsoft выпустила традиционный ежемесячный пакет апдейтов, который они называют Patch Tuesday. Как следует из названия, Microsoft выпускает его во второй вторник каждого месяца. Для нас с вами этот патч, пожалуй, - одно из самых важных обновлений (если Вы, конечно, не используете Mac).

Важный он потому, что этим накопительным патчем устраняется сразу куча уязвимостей, в том числе уязвимости нулевого дня, в продуктах Microsoft, в первую очередь в Windows и приложениях Microsoft Office. Это обновление не единственное с точки зрения безопасности у Microsoft, бывают и срочные патчи, которыми закрываются особо опасные уязвимости, а также другие сборные обновления, но Patch Tuesday из них самый основной.

Поэтому его необходимо неотложно устанавливать всем пользователям Windows. Как правило при стандартных настройках операционной системы Patch Tuesday скачается автоматически и будет установлен при очередной перезагрузке или завершении работы Windows. Но если этого не произошло, то все вопросы с обновлением можно решить в Центре обновления Windows, который может быть найден простым набором слова «обновление» в строке поиска операционной системы внизу слева либо в разделе «Обновление и безопасность» Параметров системы.

В майском Patch Tuesday было исправлено 49 уязвимостей, в том числе 3 уязвимости нулевого дня. Одна из этих уязвимостей позволяет работать буткиту BlackLotus, страшно неприятной вредоносной программе, которая хранится в служебной части жесткого диска компьютера и тяжело лечится. В некоторых случаях буткиты могут сохраняться даже после переустановки операционной системы и форматирования жесткого диска.

Поэтому свой Windows надо чаще мыть всегда держать в обновленном состоянии.

͏Обсудим, пожалуй, самое известное широкой публике явление из области информационной безопасности - вирусы.

В профессиональной среде сейчас намного чаще применяется выражение вредоносные программы или вредоносы. Тем не менее изначально появилось именно выражение вирусы.

Итак, вредоносная программа - программа, которая действует без ведома пользователя и изначально предназначена для осуществления скрытых вредоносных действий (кража информации, осуществление скрытого контроля над зараженной системой, блокировка ее работы, шифрование пользовательской информации и др.)

Историю появления вредоносных программ мы обсуждать не будем, ограничимся лишь упоминанием, что годом появления компьютерных вирусов как самовоспроизводящихся программ считается 1971, а в 1974 появилась первая программа с вредоносным функционалом.

Типов различных вредоносов множество, они частенько смешиваются друг с другом. Поэтому приведем только несколько основных понятий:

- троянский конь или троян - вредоносы, маскирующиеся под легальные компьютерные программы;

- вирусы - фрагменты вредоносного кода, встраивающиеся в другие программы;

- шпионские программы (клавиатурные шпионы, инфостилеры и пр.) - вредоносные программы, предназначенные для сбора и кражи данных с зараженного компьютера;

- вымогатели - вредоносы, предназначенные для шифрования и кражи пользовательских данных с целью дальнейшего требования преступником выкупа с пользователя;

- сетевые черви - вредоносные программы, самостоятельно распространяющиеся через компьютерные сети;

- руткиты - специализированное вредоносное ПО, позволяющее злоумышленнику скрытно получать удаленный доступ и контроль над зараженной системой;

- боты - вредоносные программы, делающие зараженное устройство частью большой бот-сети и осуществляющие какие-то вредоносные действия по команде из вне.

Как мы говорили выше, функционал вредоносного ПО часто смешивается, поэтому один и тот же вредонос может быть, к примеру, одновременно трояном, руткитом и шпионом. А еще часто бывает, что вредоносная программа имеет модульную структуру и в зависимости от потребностей хакера приобретает в моменте необходимый функционал.

В дальнейшем мы будем более подробно рассказывать про вредоносное ПО. Но в заумь вдаваться не будем, обещаем.

͏Корпорация Google выпустила обновление безопасности для своего браузера Chrome версии 113, которое вы просто обязаны неотложно установить и вот почему.

Если кто не знает, то браузер - это та самая штука с помощью которой пользователь смотрит сайты в Интернете. Первые браузеры только это и делали, современные же обладают кучей дополнительного функционала - сами скачивают файлы, отслеживают новости, используют различные удобные расширения и прочее.

Когда-то давно на просторах сети безраздельно властвовал браузер Internet Explorer от компании Microsoft, он занимал 99% рынка. Потом появились Mozilla, который сейчас называется Firefox, Opera, Safari и другие. А уже позже Google выпустила на рынок свой браузер Chrome.

В настоящий момент большая часть рынка занята Chrome или производными от него браузерами. Потому что его браузерный движок (основной механизм, который обрабатывает содержимое веб-страниц) Chromium используется также Opera, Microsoft Edge, пришедшем на смену Microsoft Explorer, Яндекс.Браузер и многими другие.

В выпущенном для Chrome обновлении Google исправила целых 12 уязвимостей, среди которых есть очень серьезные, которые потенциально могут позволить хакеру взять под контроль атакованную систему. И хотя Google не упоминает об эксплойтах (мы о них еще поговорим позже, если в двух словах - это программный способ воспользоваться уязвимостью), тем не менее следует следить за тем, чтобы ваш Chrome был обновлен как можно скорее.

По умолчанию Chrome обновляется автоматически, но при определенных условиях автоматическое обновление может быть выключено - проверить это можно способом, описанным здесь. Вручную же обновить Chrome достаточно просто - в Настройках (три вертикальные точки в правом верхнем углу браузера) выбираете Справка -> О браузере. Если браузер не обновлен до последней версии, то в открывшемся окне проведет проверку и сам предложит пользователю обновиться.

Пользователи других браузеров на основе Chromium также должны следить за обновлениями, поскольку они выходят, как правило, параллельно с обновлениями Chrome.

͏Очередной пост про обновления. Почему их так важно устанавливать и что такое уязвимость мы рассказывали здесь.

Вчера компания Apple выпустила обновления операционных систем для всей линейки своих устройств – iPhone, Mac, iPad, Apple Watch и Apple TV.

Среди других исправлений были устранены 3 уязвимости нулевого дня на всех этих устройствах. Уязвимости очень критичные – судя по косвенным комментариям Apple (а прямых и конкретных утверждений в области информационной безопасности от производителей оборудования не дождешься) примененные в определенной последовательности они позволили бы хакеру взять устройство пользователя под свой контроль. Естественно, без ведома самого пользователя.

Более того, Apple сообщили, что все исправленные уязвимости были замечены «in the wild», есть такое выражение в английском сленге информационной безопасности. Дословно оно переводится как «в дикой природе». Это означает, что есть достоверные данные о том, что та или иная уязвимость или атака уже применяется хакерами. То есть исправлять ситуацию надо прямо здесь и сейчас.

Поэтому если вы владеете каким-либо устройством производства Apple, то необходимо применить выпущенный патч самому. Это можно сделать через Настройки->Обновление ПО либо Настройки->Основное->Обновление ПО. Особенно если автоматическое обновление у вас отключено 😉

В компании Google заявили, что приняли новую политику в отношении неактивных аккаунтов.

Начиная с декабря 2023 года все аккаунты Google, которые были неактивны в течение 2 лет, будут принудительно удаляться. Связано это с тем, что по данным компании большинство неактивных аккаунтов не используют двухфакторную аутентификацию, о которой мы расскажем позже, а следовательно - уязвимы.

Для того, чтобы скинуть статус неактивного аккаунта достаточно сделать одно из перечисленных ниже действий:
- чтение или отправка электронной почты;
- использование Google Disk;
- просмотр видео на YouTube из-под аккаунта;
- загрузка приложений из Google Play;
- использование поиска Google из-под аккаунта;
- использование Google для входа в сторонние приложение или сервисы.

Будьте внимательны. Если у вас есть давно не использовавшиеся аккаунты Google, на которых может находиться важная информация, то самое время в них зайти.

͏Как мы и обещали ранее в это посте мы раскроем что такое уязвимости нулевого дня и почему они настолько опасны.

Само понятие пришло из английского языка, как и многие другие термины в информационной безопасности. 0-day или zero day – именно так это явление называется в английском. А означает оно очень простую вещь – уязвимость, о которой еще не известно производителю ПО.

То есть эта уязвимость не исправлена соответствующим обновлением и не включена в перечни уязвимостей антивирусных программ. А это значит, что хакеры могут спокойно ее использовать, не опасаясь того, что эксплойты уязвимости не будут работать или их выявит антивирус, стоящий на атакуемом компьютере.

Как правило, исследователи информационной безопасности выявляют уязвимости в процессе изучения программного обеспечения и сообщают об этом производителю ПО, который сразу же приступает к разработке соответствующего обновления. Иногда эту уязвимость выявляет сам производитель. А иногда это удается хакерам.

Уязвимости нулевого дня очень ценятся на рынке киберпреступности и зачастую продаются в Даркнете за огромные деньги, их поиском занимаются профессиональные высококвалифицированные команды злоумышленники.

Сразу же после выхода обновления уязвимость перестает быть 0-day и становится 1-day, а уже потом и N-day.

К сожалению, иногда производители программ или оборудования относятся к вопросам информационной безопасности спустя рукава, поэтому уязвимости нулевого дня, о которых им сообщили исследователи, могут не закрываться месяцами, а в некоторых случаях и вообще никогда. Особенно это касается Интернета вещей, о чем мы будем очень много и подробно говорить далее.

Другой сложностью может быть ситуация, когда исправление выявленной уязвимости невозможно по техническим причинам либо приведет к потере программой существенной части своего функционала. В этих случаях производитель выпускает рекомендации по снижению риска эксплуатации такой уязвимости.

͏У нас уже был пост про компьютерные вирусы или, как их называют в профсообществе, вредоносные программы.

Настала пора поговорить об их антагонистах – антивирусных программах.

Как и в случае с вирусами мы не будем вдаваться в историю эволюции антивирусов, а сосредоточим свое внимание на другом – на необходимости ими пользоваться.

Установка и активное использование антивирусных пакетов – это одно из основных правил гигиены информационной безопасности наряду с необходимостью своевременного обновления имеющихся на компьютере программ.

Антивирусы бывают платными и бесплатными. И если нет возможности купить платное решение, то в любом случае необходимо воспользоваться бесплатным вариантом. Но всегда надо помнить, что чудес не бывает. Бесплатные антивирусы не только серьезно уступают в функционале своим платным собратьям, но и зачастую применяют "неочевидные схемы монетизации". Например, известная компания Avast, которая как раз предоставляет урезанную версию своего антивируса бесплатно, в 2020 году была поймана на том, что через дочернюю фирму торговала данными пользователей, собранными в процессе работы антивирусной программы. Скандал тогда был до небес.

Существует достаточно большой список хороших антивирусных программ, каждая со своими плюсами и минусами, и полтора года назад мы бы могли перечислять их достаточно долгое время. Однако с момента начала СВО многие производители ушли из России, а те, кто не ушли, могут уйти в любой момент. Поэтому выбор, сколь не печально, не слишком велик – ровно 3 антивирусных продукта, произведенных в России и продаваемых в розницу:
- Касперский;
- Dr. Web;
- Nano.

Рекомендовать какой-либо из них не будем, все на вкус пользователя. Напомним лишь, что стоит защитить антивирусом не только свой компьютер на Windows, но и свой Mac, а также мобильные устройства на базе Android.

И лишь iPhone защитить антивирусом не получится, потому что компания Apple, по не совсем понятным причинам, не дает возможность антивирусным решениям работать на своих смартфонах. При чем это не означает, что на iPhone не бывает вирусов, – еще как бывает, хотя и реже, чем на других платформах. И про защиту iPhone мы поговорим отдельно в другой раз.

Это сборный пост, в котором мы будем размещать ссылки на наши материалы об основных понятиях и явлениях в современной информационной безопасности. Чтобы вы всегда могли освежить свое представление о том, про что мы пишем.

Мы регулярно будем его дополнять.

Уязвимость и почему необходимо своевременно обновлять свое программное обеспечение - https://xn--r1a.website/infosec_17/5

Что такое уязвимость нулевого дня и почему она особенно опасна - https://xn--r1a.website/infosec_17/12

Вредоносное ПО или просто вирусы – https://xn--r1a.website/infosec_17/8

Антивирусные продукты - https://xn--r1a.website/infosec_17/13

Двухфакторная аутентификация или 2FA - https://xn--r1a.website/infosec_17/17

Фишинг и меры защиты от него - https://xn--r1a.website/infosec_17/23 и https://xn--r1a.website/infosec_17/26

͏Компания Google удалила из своего магазина Play Store приложение iRecorder – Screen Recorder для смартфонов под управлением Android из-за того, что в нем содержался вредоносный код, а точнее троян AhRat, который мог красть пользовательскую информацию.

iRecorder – это приложение для записи экрана смартфона. Изначально оно было вполне безобидным, но осенью прошлого года эксперты впервые заметили, что в его новой версии содержится вредонос. И только спустя 7 месяцев Google соизволили удалить его из магазина приложений.

Вся проблема в том, что в механизме «управление версиями» Play Store есть лазейка, позволяющая автору приложения в момент выпуска очередной его версии добавить вредоносный код. Поэтому важно использовать антивирусные решения на смартфонах Android. Хотя бы бесплатные их варианты.

Всего за время нахождения в магазине iRecorder был загружен более 50 000 раз. Если вы активно пользуетесь функцией записи экрана – проверьте, не затаился ли на вашем смартфоне зловредный троянский конь.

͏В декабре 2022 года тысячи российских пользователей мессенджеров Telegram и WhatsApp столкнулись с масштабной фишинговой атакой (подробнее про фишинг, как один из основных приемов киберпреступников, мы расскажем чуть позже).

Пострадавшим поступали сообщения от их знакомых и друзей, в которых сообщалось, например, о подаренном им премиум-аккаунте Telegram. Кнопка, по которой можно было получить подарок прилагалась. Пользователь нажимал на нее… и становился жертвой мошенников. Его мессенджер захватывался, а все его контакты, в свою очередь, получали такие же мошеннические сообщения.

Примечательно, что тогда пострадали исключительно пользователи, которые не использовали двухфакторную аутентификацию она же 2FA. Те, кто заблаговременно применил этот эффективный механизм защиты своей информационной безопасности и конфиденциальности, остались невредимы.

Что же такое двухфакторная аутентификация?

Умные компьютерщики в очках и с взъерошенной головой могут годами рассуждать о различиях между аутентификацией, идентификацией и авторизацией, но для рядового пользователя все это сводится к одному – процедуре получения доступа к принадлежащему ему информационному ресурсу путем подтверждения своей подлинности.

Двухфакторная аутентификация – это такая аутентификация, в процессе которой пользователь подтверждает свою подлинность с помощью второго дополнительного фактора. Например, кодовой фразы. Или цифрового токена.

Когда вы устанавливаете Telegram на свой смартфон, то подтверждаете принадлежность этого устройства исключительно своим телефонным номером, на который придет сообщение или звонок с кодом подтверждения. В этом случае если злоумышленник каким-то образом сможет представиться вашим телефонным номером, например, перехватив смс-сообщение или продублировав вашу сим-карту, то он захватит ваш аккаунт мессенджера.

В атаке, про которую мы написали выше, пользователей Telegram атаковали с использованием штатного механизма, позволяющего открывать активную сессию мессенджера на другом устройстве при нажатии на специально сформированную ссылку, которая, как нетрудно догадаться, и пряталась под кнопкой в сообщении. Да вот только этот механизм работал исключительно у пользователей, у которых не было двухфакторной аутентификации. Атака на WhatsApp выглядела немного сложнее, но и от нее спасала 2FA.

Поэтому не поленитесь подключить двухфакторную аутентификацию не только в своих мессенджерах, но и в других сервисах. К примеру, Яндекс.Почта позволяет подтверждать вход в свой ящик электронной почты кроме пароля еще и дополнительным фактором – кодом из смс на указанный в профиле мобильный телефон. То же самое и в Госуслугах – подтверждение кодом из смс на привязанный сотовый номер.

Включается двухфакторная аутентификация достаточно просто. В Telegram – Настройки -> Конфиденциальность -> Облачный пароль. В WhatsApp – Настройки -> Учетная запись (или Аккаунт) -> Двухшаговая проверка. В большинстве других приложений и сервисов – в Настройках в разделах Безопасность или Конфиденциальность (в конце концов всегда помогут поисковые системы).

͏Российский разработчик антивирусных решений Dr. Web обнаружил вредоносный модуль SpinOk, который хакеры распространяют под видом маркетинговой библиотеки для приложений Android.

Новость, на первый взгляд, не особо важная. Но только на первый взгляд.

Дело в том, что антивирусные аналитики обнаружили этот модуль в общей сложности в 101 приложении в Google Play, которые суммарно на сегодняшний день были загружены пользователями более 420 миллионов раз. А это означает, что вероятность того, что на вашем смартфоне имеется какое-либо из этих приложений, весьма высока.

Среди таких приложений - видеоредактор Noizz, приложение для обмена файлами Zapya, программы для работы с видео VFly, MVBit и Biugo и другие. Полный список приложений, в которых может содержаться шпионское ПО, находится здесь, в столбце App name указаны названия этих программ.

Полная статья про SpinOk находится в блоге Dr. Web на ресурсе Хабр - https://habr.com/ru/companies/drweb/news/738376/.

Если вы не уверены полностью в своих приложениях, то советуем проверить этот список.

Также в очередной раз напоминаем про необходимость обязательного использования антивирусных решений на ваших смартфонах. Про российские антивирусы мы писали в этом посте.

͏Компания Google выпустила очередное обновление для самого популярного браузера Chrome версии 114.

В этом патче исправлено 18 уязвимостей, некоторые из которых являются критичными и могут привести к тому, что хакер получит доступ над атакуемым компьютером. Поэтому обновляться просто необходимо.

Напомним, что если Chrome по каким-то причинам не обновился автоматически, то вручную обновить его достаточно просто - в Настройках (три вертикальные точки в правом верхнем углу браузера) выбираете Справка -> О браузере. Если браузер не обновлен до последней версии, то в открывшемся окне проведет проверку и сам предложит пользователю обновиться.

Вчера в области информационной безопасности случился самый настоящий международный скандал. Сначала ФСБ, а затем МИД России, обвинили американскую разведку и компанию Apple в масштабной кибероперации по заражению принадлежащих некоторым гражданам России iPhone'ов кибершпионским программным обеспечением.

Чуть позже Лаборатория Касперского опубликовала первые материалы своего расследования Operation Triangulation, в которых заявила, что неназванные злоумышленники целенаправленно заразили новым вирусом смартфоны от Apple нескольких ее руководителей, а также дала некоторые технические детали расследования.

Оказывается, что вредоносное ПО может прослушивать пользователя и воровать его данные, передавая их на свой командный сервер в сети Интернет. Для заражения используются неизвестные ранее уязвимости нулевого дня, а происходит заражение с помощью так называемого 0-click эксплойта, то есть метод заражения не требует от пользователя никаких действий и происходит без его ведома. Более того, после успешного заражения вредоносное ПО удаляет все следы проникновения на смартфон.

Очевидно, что эти два случая связаны и речь идет об одной и той же вредоносной кампании.

На данный момент действенные методы борьбы с опасным заражением не разработаны. Лаборатория Касперского обещает в ближайшее время, возможно даже сегодня, выпустить бесплатный инструмент для определения того, заражен ли ваш iPhone или нет. Как только этот инструмент появится в открытом доступе - мы сразу сообщим нашим подписчикам.

На данный момент можем посоветовать сделать следующее, чтобы максимально снизить вероятность заражения:
- обязательно прямо сейчас поставить на свой iPhone все доступные обновления для операционной системы и используемых приложений;
- отключить использование сервиса iMessage, через который происходит заражение: Настройки -> Сообщения -> отключить ползунок iMessage.

Также некоторые специалисты рекомендуют включить на iPhone специальный Режим Блокировки или, по-другому, Lockdown Mode. Делается это достаточно просто: Настройки -> Конфиденциальность и безопасность -> Режим блокировки. Однако этот режим отключает часть полезных функций в вашем смартфоне, таких как возможность подключения iPhone к компьютеру или загрузка в Safari сайтов, не включенных в белый список. А поскольку пока нет достоверных данных, что Режим Блокировки надежно защищает от новой вирусной атаки, то мы не рекомендуем им злоупотреблять.

Как мы и обещали в предыдущем посте - даем ссылку на новую утилиту от Лаборатории Касперского, с помощью которой любой пользователь может самостоятельно определить, был ли его iPhone заражен новым опасным вирусом, про который вчера говорили ФСБ и МИД России. Инструкция прилагается.

Пользуйтесь на информационное здоровье.

Компания Google удалила из своего магазина 32 вредоносных расширения для браузера Chrome. Согласно заявлениям исследователей все они включают в себя скрытый вредоносный код, с помощью которого хакеры могут совершать всевозможные вмешательства в работу пользовательского устройства, начиная от подмены результатов поиска и рекламного спама и заканчивая кражей конфиденциальной информации.

Общее количество загрузок опасных расширений составляет более 75 миллионов раз. Хотя исследователи предполагают, что это число было искусcтвенно накручено, тем не менее вероятность того, что у вас может оказаться установлено одно из этих расширений, все же существует.

Поэтому можете проверить сами, полный список находится в конце статьи по этой ссылке. Там всего 34 наименования расширений, 2 из которых Google так до сих пор и не удалили из магазина.

Проверить и удалить вредоносное расширение, буде такое окажется в вашем браузере Chrome, можно здесь: Настройки -> Расширения -> Управление расширениями.

͏В прошлых постах мы расписывали первые и основные, по нашему мнению, шаги по защите устройства пользователя:
- своевременное обновление всего спектра программного обеспечения, стоящего на вашем устройстве, будь то ноутбук, домашний компьютер, смартфон или планшет;
- установка антивирусного приложения, желательно все-таки платного (хотя если нет возможности, то можно попробовать и бесплатные варианты).

И вот пользователь все обновил и поставил хороший антивирус. Получается он теперь полностью защищен? Гм, ну не совсем. Процентов на 90 вероятность успешной атаки на свое устройство он снизил, но полностью убрать угрозу все равно не удастся. Надо продолжать стремиться к тому, чтобы сделать эту вероятность еще ниже.

А почему? А потому что, во-первых, гладиолус бывает, что хакеры крадут учетные данные. А во-вторых, существуют такие штуки, как уязвимости нулевого дня, о которых мы рассказывали ранее. Про которые еще не знают ни производители ПО, ни антивирусные компании. Конечно, атаки с использованием 0-day уязвимостей бывают такими, когда от пользователя ничего не зависит, например, некоторые атаки в прошлом на процессор компьютера или смартфона. Тогда остается только расслабиться и получать удовольствие. Или отключиться от мировой сети.

К счастью, такое случается крайне редко. Гораздо чаще бывает, что хакер имеет эксплойт уязвимости нулевого дня, но ему еще надо каким-то образом получить доступ к атакуемому компьютеру. Например, заразить его вредоносной программой.

Поэтому нашим Третьим шагом в нирвану информационной безопасности станут меры по борьбе с самым популярным у хакеров приемом – с фишингом. И для этого совершенно ничего не придется делать. Наоборот, совершенно необходимо будет кое-чего НЕ делать. Но для начала надо понять природу самого этого явления.

Определение фишинга (phishing, произошло от английского fishing, в данном контексте имеется в виду ловля на приманку) все дают разное. Мы не будем заниматься наукообразием и объясним как оно есть на самом деле. Фишинг – хакерский прием, когда злоумышленники подменяют или подделывают какое-либо сообщение или ресурс на свой вариант, содержащий вредоносное вложение. Это может быть СМС, электронное письмо, сообщение в социальной сети или мессенджере, поддельный сайт, форма входа в Интернет-сервис и прочее.

Пост получается уже достаточно длинным, поэтому методы борьбы с фишингом мы опишем в продолжении.

͏У браузера Chrome появилось обновление безопасности, исправляющее уязвимость нулевого дня CVE-2023-3079 (про обозначение уязвимостей CVE мы расскажем отдельным постом), которая может использоваться хакерами для получения контроля над атакованным компьютером и, более того, уже замечена в дикой природе (то есть применяется злоумышленниками для организации атак). Что такое уязвимость нулевого дня - мы описали здесь.

Уязвимость свежая, она была обнаружена только 1 июня. Очевидно, что хакеры обнаружили ее раньше и успели создать инструменты для ее эксплуатации.

Поэтому, как всегда, рекомендуем как можно скорее установить свежее обновление на Chrome, если вы его используете. Например, если вы осуществляете работу в личном кабинете вашего банка через этот браузер.

Как мы уже говорили, вручную обновить Chrome достаточно просто - в Настройках (три вертикальные точки в правом верхнем углу браузера) выбираете Справка -> О браузере. Если браузер не обновлен до последней версии, то в открывшемся окне проведет проверку и сам предложит пользователю обновиться.

Как мы уже говорили, Фишинг – хакерский прием, когда злоумышленники подменяют или подделывают какое-либо сообщение или ресурс на свой вариант, содержащий вредоносное вложение. Это может быть СМС, электронное письмо, сообщение в социальной сети или мессенджере, поддельный сайт, форма входа в Интернет-сервис и прочее.

Защита от фишинга в сегодняшнем дне является одним из наиболее популярных упражнений у корпоративных служб информационной безопасности. Доходит даже до проведения самых настоящих учений, которые, впрочем, с завидной регулярностью дают отрицательные результаты, когда заинструктированные и мегамотивированные со стороны СБ сотрудники без тени сомнений открывают письма от неожиданно нашедшихся только что скончавшихся африканских бабушек и переходят по вложенными вредоносными ссылками на завещание покойной.

Приведем реальные примеры фишинга:
- как мы рассказывали раньше в посте про двухфакторную аутентификацию, рассылка сообщений в Telegram от лица знакомого с вшитой вредоносной ссылкой, позволявшей хакеру открыть у себя активную сессию мессенджера;
- электронное письмо, маскирующееся под письмо службы кадров, содержащее вредоносную ссылку на новый табель положенности или уведомление о выплате премии, в котором сидит вирус (такое ведь никто не пропустит, да?);
- электронное письмо, маскирующееся под уведомление о получении штрафа ГИБДД и содержащее ссылку на поддельную страницу входа в Госуслуги, откуда логин и пароль пользователя попадают прямо к хакеру;
- создание клона легитимной сети Wi-Fi, после подключения к которой пользователю будут представлены поддельные страницы некоторых сервисов, например тех же Госуслуг или банковского личного кабинета;
- поддельное сообщение в социальной сети от имени службы поддержки, содержащее ссылку на поддельную форму, в которую требуется внести свои логин и пароль;
- поддельная поисковая выдача, когда вместо легитимного сайта пользователю подставляют поддельный, на котором либо сидит вирус, либо собираются данные пользователя, в том числе данные банковских карт;
- множество других, фантазия злоумышленников безгранична.

Перейдем, наконец, к правилам защиты от фишинга. Они получились большими, поэтому не уместились здесь и мы дадим их отдельным постом ниже.

͏Правила защиты от фишинга.

1. Правило первое, оно же основное, – не доверяйте никому и ничему. Помните – если у вас паранойя, это еще не значит, что за вами никто не следит. Если у вас есть хоть капля подозрения в том, что пришедшее уведомление, письмо или сайт являются подлинным, не постесняйтесь перепроверить.

Обратите внимание на то, что электронная почта вашего начальника или страница Вконтакте вашего друга могут быть взломаны. Поэтому верный обратный адрес отправителя – не гарантия того, что сообщение настоящее. Лучше оценить мог ли ваш адресат направить вам такое сообщение. Если это выглядит странно – то смотрите предыдущий абзац.

Интересный факт – часто хакеры искусственно увеличивают размер прикрепленного к фишинговому сообщению файла, например до 600 или 700 МБ. Из-за ограничений ряда антивирусных сервисов на размер проверяемого файла такое вложение может проскочить через защиту. Обращайте на это внимание, вложенный документ вряд ли будет занимать больше 20 Мб, даже если это презентация.

2. Проверяйте адреса и ссылки в сообщении, они могут быть подделаны. Злоумышленники подделывают как адрес отправителя, подставляя похожую на легитимную почту, так и ссылки в тексте самого сообщения. Более того, ссылка может быть отображать одну страницу, а переход по ней осуществляться на другую. Поэтому имеет смысл при наличии подозрений вручную ввести нужный адрес в новом окне браузера.

3. Не надо необдуманно тыкать во все ссылки и баннеры, которые вы видите. А если уж случайно потыкали – не вводите никаких персональных (особенно банковских) данных.

4. Не давайте никаких разрешений на загрузку и установку «необходимых обновлений» или «отсутствующих драйверов» при открытии вложенных файлов или переходы по вшитой ссылке. Скорее всего там будет вирус.

5. Обязательно подключите везде, где можно, двухфакторную аутентификацию, про которую мы рассказывали раньше.

И, само собой, все это будет эффективным при соблюдении двух первых правил цифровой гигиены – своевременного обновления и установки антивирусных программ.

͏Вскрыта вредоносная кампания, направленная на игроков в популярную во всем мире игру Minecraft.

Многие игроки, большую часть из которых составляют дети, используют т.н. "моды" - модификации для игры. Хакеры взломали несколько популярных аккаунтов мод-платформ Minecraft Bukkit и CurseForge, с которых стали распространять зараженные вирусом Fractureiser версии модификаций.

Таким образом игроки, у которых стояли моды с взломанных аккаунтов, стали получать вредоносные обновления. Сам вредонос Fractureiser предназначен для кражи пользовательских данных с атакованных компьютеров.

Точных данных в отношении масштабов вредоносной кампании нет, но предполагается что она длится около 3 недель и зараженными могут оказаться несколько миллионов игроков, использовавших модификации с сайтов Minecraft Bukkit и CurseForge.

На данный момент подтверждено заражение следующих модов:

- на сайте CurseForge - Dungeons Arise, Sky Villages, Better MC modpack series, Fabuously Optimized, Dungeonz, Skyblock Core, Vault Integrations, AutoBroadcast, Museum Curator Advanced, Vault Integrations Bug fix, Create Infernal Expansion Plus;

- на сайте Minecraft Bukkit - Display Entity Editor, Haven Elytra, The Nexus Event Custom Entity Editor, Simple Harvesting, MCBounties, Easy Custom Foods, Anti Command Spam Bungeecord Support, Ultimate Leveling, Anti Redstone Crash, Hydration, Fragment Permission Plugin, No VPNS, Ultimate Titles Animations Gradient RGB, Floating Damage.

Если вы или ваши дети используют данные моды для Minecraft, то их следует немедленно удалить, проверить свою систему антивирусным ПО с последним обновлением вирусной базы и поменять пароли для всех учетных записей, которые использовались на зараженном компьютере.

Если у вас нет упомянутых модов, то желательно не использовать в ближайшее время модификации с платформ Minecraft Bukkit и CurseForge.