Bbabo NET

Ciencia & Tecnología Noticias

Dónde estás, qué compraste y a dónde fuiste. Experto en antifugas nombró precios para avances

Puede averiguar la ubicación de cualquier ruso por 8.000 rublos, dijo Ashot Oganesyan, fundador del servicio de monitoreo de darknet e inteligencia de fugas de datos DLBI. En una entrevista, también nombró otros precios en el mercado de "ruptura". Por ejemplo, por solo 3 mil rublos. puedes averiguar si una persona salió de Rusia. El experto también informó sobre un nuevo fraude con "Gosuslugi" y habló sobre el peligro de transferir el teléfono inteligente a los talleres de reparación.

Seductor "Gosuslugi"

- Los rusos elaboran cada vez más todos los documentos, pagos, tarjetas, en general, realizan cada vez más transacciones a través de digital, por ejemplo, en el mismo "Gosuslugi" . ¿Qué opinas sobre la seguridad de este recurso?

“Hasta ahora, todo indica que los propios Gosuslugi son seguros, pero el incumplimiento de las recomendaciones para trabajar con el servicio (por ejemplo, rechazar la autenticación de dos factores) o el uso de métodos de ingeniería social por parte de los estafadores puede conducir fácilmente a la piratería.

Por ejemplo, últimamente los estafadores solicitan con bastante éxito a los usuarios un código SMS para cambiar la contraseña de la cuenta personal del servicio y así obtener control sobre él.

Y las consecuencias de tal credulidad ya se ven afectadas por un problema que es típico de todos los sistemas de TI rusos, incluidos los servicios gubernamentales y la banca en línea: le dan al usuario demasiadas oportunidades, sin importar el grado de comprensión de lo que está haciendo. No es casualidad que hoy en día los bancos empiecen a plantearse limitar las capacidades del usuario -la "segunda mano", establecer límites en los tipos y cantidades de transacciones, etc. como forma de combatir a los estafadores.

- Hubo una filtración del código fuente de "Gosuslug" de la región de Penza. Algunos han argumentado que esto es esencialmente una filtración del código fuente y el "Gosuslug" de toda Rusia. ¿Es correcto decir eso? Si no, ¿cuáles son las diferencias entre la versión de Penza y la federal?

- Dado que nadie ha visto el código fuente del portal federal "Gosuslugi", es imposible responder exactamente a esta pregunta. Sin embargo, imaginando el proceso de desarrollo de dichos servicios, podemos suponer que, como mínimo, el código para llamar a la API de los sistemas de información (Interfaz de programación de aplicaciones es una interfaz de software para la interacción entre sistemas que contiene una descripción de las formas en que uno programa de computadora puede interactuar con otro programa.-) puede haber cerca.

Si esto brindará nuevas oportunidades a los atacantes, lo descubriremos en un futuro cercano, ya que los "Servicios públicos" se han convertido en uno de los objetivos más importantes para los piratas informáticos en la actualidad, y claramente invierten tiempo y recursos en analizar el código recibido.

¿Nuestras plataformas de información gubernamentales son lo suficientemente seguras? ¿Los mismos sitios de departamentos, cámaras del parlamento?

- Los sitios estatales son más como medios de comunicación y la mayoría de las veces no contienen ninguna información importante, y la "amenaza más terrible" para ellos es "desfigurar", cuando la información e incluso el diseño se reemplazan por otros. Y a juzgar por el hecho de que tales problemas ocurrieron con los sitios estatales regionales, pero no con los federales, todo depende de la cantidad de inversión en seguridad de la información. En cuanto a los sistemas de información internos de los departamentos, la mayoría de las veces están aislados de Internet, lo que permite tener menos miedo a los ataques externos.

Pero con lo que en TI estatal hay un problema real, es con la protección de sus propios empleados-infiltrados.

No es por nada que el costo de romper las bases estatales es el más bajo en el mercado negro y unas 20 veces más bajo que romper los bancos.

No solo contrarresta la carga de datos, sino que también el control de acceso en general está extremadamente mal configurado y, a menudo, departamentos completos usan el mismo inicio de sesión, que puede pertenecer a un empleado que renunció hace mucho tiempo.

Breakout contado

: ¿Qué sucede con el mercado de ruptura después de 2020?

- En términos cuantitativos el mercado está cayendo, pero en términos monetarios está creciendo. Irrumpir está en demanda entre el crimen y los detectives "grises", por lo tanto, a pesar de todos los esfuerzos, no desaparece, sino que solo aumenta de precio. El año pasado, el costo medio de una infracción aumentó 2,25 veces desde 2020 y casi siete veces desde 2017, cuando realizamos el primer estudio.

Máximo - 4,3 veces - desde 2020, la información sobre las cuentas y transacciones de los ciudadanos ha subido de precio (el llamado "desglose bancario").

Los datos de llamadas, SMS y geolocalización de teléfonos se vendieron el año pasado a 1,6 veces más caros que en 2020, y el precio del “avance” en los sistemas de información estatales se mantuvo prácticamente sin cambios.

- ¿Cuánto cuesta abrirse paso para una persona en rublos?

- En cuanto al costo de abrirse paso, el estado de cuenta / tarjeta de un individuo cuesta de 15 mil a 25 mil rublos. por mes. Establecimiento de la tarjeta/número de cuenta por el número del teléfono vinculado - desde 7 mil rublos.Identificación de todos los teléfonos de clientes vinculados a tarjetas/cuentas según los datos de su pasaporte - desde 15 mil rublos. Detalle de llamadas y SMS de un suscriptor por mes: de 5 mil a 30 mil rublos. dependiendo del operador. Obtención de datos de suscriptor por su número de teléfono móvil: desde 1 mil rublos. Determinación única de la ubicación del suscriptor ("flash"): desde 8 mil rublos.

Habiendo roto el sistema "Rozysk-Magistral", es decir, viajar en avión, tren, autobús, ferry cuesta entre 1,5 mil y 3 mil rublos. para una entrada, busque por AS "Pasaporte ruso": datos sobre todos los pasaportes internos y extranjeros emitidos) - de 900 a 1,5 mil rublos. por una solicitud, y de acuerdo con el sistema "Frontier" (cruzar la frontera de Rusia en cualquier lugar y en cualquier transporte), desde 3 mil rublos. para una solicitud.

- ¿Están sus participantes “limpiados”? ¿Se han vuelto más o menos?

- Tanto los organismos encargados de hacer cumplir la ley como los servicios de seguridad de las empresas están luchando con el "avance", sin embargo, solo los bancos han logrado lograr cierto éxito, e incluso allí este servicio criminal no ha desaparecido, sino que solo ha subido de precio.

Casi semanalmente se hacen sentencias a empleados de operadores móviles que venden datos en llamadas y SMS de abonados, pero no son menos las personas que quieren ganar dinero.

En los departamentos gubernamentales, ni siquiera intentan lidiar con una avería; se cree que no existe tal problema.

Volver a las noticias »

Tantas olas pandémicas se han ido volando

— La pandemia ha estado ocurriendo durante dos años. ¿Qué cambios se han producido durante este tiempo en el campo de las fugas? ¿Qué métodos se han vuelto más y cuáles no podríamos haber presentado a principios de 2020?

- No ha habido un cambio tectónico total en el campo de las filtraciones de datos como resultado de la pandemia. Hubo un fuerte aumento en la primera mitad de 2020, cuando las empresas cambiaron masivamente al trabajo remoto y los servicios de TI no pudieron hacer frente al despliegue de soluciones de terminal, que a menudo resultaron estar mal protegidas y permitieron atacar las redes internas. de empresas

Sin embargo, a fines de año, todos se adaptaron al trabajo remoto y la escala de filtraciones comenzó a disminuir. Además, si hablamos de fugas masivas (y no de “avances” individuales), entonces son aún menos, ya que, al menos, los bancos han comenzado una lucha real contra este problema.

¿Entonces hay menos fugas bancarias? ¿Ha aparecido algo nuevo en el conjunto de herramientas de los estafadores bancarios en línea?

- Bajo la presión tanto del Banco Central como de constantes escándalos públicos, los bancos comenzaron a implementar sistemas DLP (Data Leak Prevention - software especializado que protege a la organización de fugas de datos) no en papel, sino en la práctica, y ahora se ha vuelto casi imposible subir silenciosamente una gran cantidad de datos.

Como resultado, hoy en día es extremadamente raro encontrar una base de datos con información sobre clientes de banca privada en venta. La situación con los bancos estatales no es tan buena, pero aún mejor que en 2018, cuando hubo un fraude telefónico desenfrenado.

Desafortunadamente, los bancos no lograron destruir los servicios "innovadores", sin embargo, el precio casi se duplicó, lo que indica la complicación del proceso de drenaje.

Es cierto que surgió otro problema: fugas de los sistemas de marketing de las organizaciones financieras. El traslado del proceso de captación de clientes a la externalización y el crecimiento del número de marketplaces han propiciado que las solicitudes de compra de productos financieros y apertura de cuentas caminen entre los contratantes y el propio banco, se almacenen y tramiten con un nivel mínimo de protección y, naturalmente, filtrarse y caer en ventas.

Los propios bancos no se quedan atrás, desarrollan la infraestructura digital de acuerdo con el principio de "golpear y entrar en producción" y no probar ni siquiera los agujeros de seguridad más banales. Como resultado, los datos recopilados por "fuerza bruta" (enumeración de parámetros, por ejemplo, el número de teléfono del cliente) aparecen en la venta.

Tales bases de datos no contienen información crítica, pero permiten, por ejemplo, compilar una lista de clientes bancarios, que luego puede enriquecerse con datos de otras fuentes y usarse para ataques sociales.

Consejos de un experto en fugas

— Hubo un estudio sobre contraseñas rusas populares. Había, entre otras cosas, los nombres "Natasha", "Maxim", "Marina", "Andrey" y "Kristina". ¿Hay algún nombre que pueda elegirse como contraseña segura?

- Ningún nombre o palabra en general contenida en el diccionario debe usarse como contraseña, ya que son los diccionarios los que se usan en la enumeración primaria tanto durante la fuerza bruta (adivinación de contraseñas) como al descifrar datos de fugas. En una computadora, es mejor usar un conjunto aleatorio de letras, números y símbolos, que se almacenan mejor en un administrador de contraseñas.

Para las contraseñas que deben recordarse, es mejor usar reglas mnemotécnicas, por ejemplo, oraciones largas de ciertas letras de palabras que forman la contraseña en sí.

- Hubo noticias de que el cliente entregó su teléfono móvil para que lo repararan, y el maestro tuvo acceso a su banco móvil y robó dinero. ¿Cómo es esto posible? ¿Se las arregló para obtener su contraseña? ¿Y cómo podría llevarse a cabo la operación en este caso? ¿A través de un cajero automático con Apple/Google Pay que te permite retirar dinero contraseña?- Esto sucede con bastante frecuencia, pero el servicio del sótano no es NSO Group (la compañía israelí que desarrolló el software espía Pegasus para espiar a los usuarios de iPhone. - Ed.) Y tales robos tampoco funcionan sin ingeniería social.

La mayoría de las veces, el reparador recibe una contraseña, ya que supuestamente se requiere para encender y revisar el teléfono. Al mismo tiempo, las contraseñas adicionales en la aplicación bancaria no se utilizan o son las mismas que la principal.

Como resultado, el ladrón simplemente transfiere fondos a la cuenta de la tarjeta bancaria deseada o, con menos frecuencia, paga las compras con Apple o Google Pay.

Naturalmente, debe llevar el teléfono a reparar sin decirle al reparador la contraseña y desvincular las tarjetas y cuentas de la billetera interna y las aplicaciones que las usan, y lo mejor de todo sin una tarjeta SIM si está vinculada a un banco en línea o "Gosuslugi".

Dónde estás, qué compraste y a dónde fuiste. Experto en antifugas nombró precios para avances