Bbabo NET

Scienza & Tecnologia Notizia

Dove sei, cosa hai comprato e dove sei andato. L'esperto anti-leak ha indicato i prezzi per svolta

Puoi scoprire la posizione di qualsiasi russo per 8.000 rubli, ha affermato Ashot Oganesyan, fondatore del servizio di intelligence sulla fuga di dati e monitoraggio della darknet DLBI. In un'intervista, ha anche nominato altri prezzi sul mercato "svolta". Ad esempio, per soli 3 mila rubli. puoi scoprire se una persona ha lasciato la Russia. L'esperto ha anche denunciato una nuova truffa con "Gosuslugi" e ha parlato del pericolo di trasferire lo smartphone in officina.

Seducenti "Gosuslugi"

- I russi elaborano sempre di più tutti i documenti, pagamenti, carte, in generale, effettuano sempre più transazioni tramite il digitale, ad esempio, nello stesso "Gosuslugi" . Cosa ne pensi della sicurezza di questa risorsa?

"Finora, tutto indica che gli stessi Gosuslugi sono al sicuro, ma il mancato rispetto delle raccomandazioni per lavorare con il servizio (ad esempio, il rifiuto dell'autenticazione a due fattori) o l'uso di metodi di social engineering da parte dei truffatori possono facilmente portare all'hacking.

Ad esempio, ultimamente i truffatori chiedono con successo agli utenti un codice SMS per modificare la password dell'account personale del servizio e ottenere così il controllo su di esso.

E le conseguenze di tale creduloneria risentono già di un problema tipico di tutti i sistemi informatici russi, compresi i servizi governativi e l'online banking: danno all'utente troppe opportunità, indipendentemente dal grado di comprensione di ciò che sta facendo. Non è un caso che oggi le banche stiano iniziando a considerare la limitazione delle capacità dell'utente - la "seconda mano", la fissazione di limiti sui tipi e sugli importi delle transazioni, ecc. come mezzo per combattere i truffatori.

- C'è stata una perdita del codice sorgente di "Gosuslug" della regione di Penza. Alcuni hanno sostenuto che si tratta essenzialmente di una perdita del codice sorgente e del "Gosuslug" tutto russo. È corretto dirlo? In caso negativo, quali sono le differenze tra la versione Penza e quella federale?

- Poiché nessuno ha visto il codice sorgente del portale federale "Gosuslugi", è impossibile rispondere esattamente a questa domanda. Tuttavia, immaginando il processo di sviluppo di tali servizi, possiamo supporre che, come minimo, il codice per chiamare le API dei sistemi informativi (Application Programming Interface è un'interfaccia software per l'interazione tra sistemi che contiene una descrizione delle modalità con cui si programma per computer può interagire con un altro programma.-) potrebbe essere chiuso.

Lo scopriremo nel prossimo futuro se questo darà nuove opportunità agli aggressori, dal momento che i "servizi pubblici" sono diventati uno degli obiettivi più importanti per gli hacker di oggi e investono chiaramente tempo e risorse nell'analisi del codice ricevuto.

Le nostre piattaforme informative governative sono sufficientemente sicure? Gli stessi siti di dipartimenti, camere del parlamento?

- I siti statali sono più simili ai mass media e il più delle volte non contengono alcuna informazione importante e la "minaccia più terribile" per loro è "deface", quando le informazioni e persino il design vengono sostituiti con altri. E a giudicare dal fatto che tali problemi si sono verificati con i siti statali regionali, ma non con quelli federali, tutto dipende dalla quantità di investimento nella sicurezza delle informazioni. Per quanto riguarda i sistemi informativi interni dei dipartimenti, sono spesso isolati da Internet, il che consente di avere meno paura degli attacchi esterni.

Ma con ciò che nell'IT statale c'è un vero problema, è con la protezione dai propri dipendenti interni.

Non per niente il costo di sfondare le basi statali è il più basso del mercato nero e circa 20 volte inferiore a quello di sfondare le banche.

Non solo il contrasto al caricamento dei dati, ma anche il controllo degli accessi in generale è estremamente mal impostato e spesso interi reparti utilizzano lo stesso login, che può appartenere a un dipendente che ha lasciato da tempo.

Esplosioni contate

: cosa succede al mercato delle sfondamenti dopo il 2020?

- In termini quantitativi il mercato è in calo, ma in termini monetari è in crescita. Sfondare è richiesto tra i detective della criminalità e dei "grigi", quindi, nonostante tutti gli sforzi, non scompare, ma aumenta solo di prezzo. L'anno scorso, il costo mediano di una violazione è aumentato di 2,25 volte dal 2020 e di quasi sette volte dal 2017, quando abbiamo condotto il primo studio.

Al massimo - 4,3 volte - dal 2020, le informazioni sui conti e sulle transazioni dei cittadini sono aumentate di prezzo (il cosiddetto "crollo bancario").

I dati su chiamate, SMS e geolocalizzazione dei telefoni sono stati venduti lo scorso anno a 1,6 volte più costosi rispetto al 2020 e il prezzo della "svolta" nei sistemi informativi statali è rimasto praticamente invariato.

- Quanto costa sfondare persona in rubli?

- Per quanto riguarda il costo di sfondamento, l'estratto conto / carta di un individuo costa da 15 mila a 25 mila rubli. al mese. Istituzione del numero di carta/conto in base al numero del telefono collegato - da 7 mila rubli.Identificazione di tutti i telefoni dei clienti collegati a carte/conti in base ai dati del suo passaporto - da 15 mila rubli. Dettagliare le chiamate e gli SMS di un abbonato al mese - da 5 mila a 30 mila rubli. a seconda dell'operatore. Ottenere i dati dell'abbonato tramite il suo numero di cellulare - da 1 mille rubli. Determinazione una tantum della posizione dell'abbonato ("flash") - da 8 mila rubli.

Dopo aver sfondato il sistema "Rozysk-Magistral", ovvero viaggiare in aereo, treno, autobus, traghetto costa da 1,5 mila a 3 mila rubli. per una voce, cerca per AS "Russian Passport": dati su tutti i passaporti interni e stranieri emessi) - da 900 a 1,5 mila rubli. per una richiesta, e secondo il sistema "Frontier" (attraversando il confine della Russia in qualsiasi luogo e su qualsiasi trasporto) - da 3 mila rubli. per una richiesta.

- I suoi partecipanti sono stati "ripuliti"? Sono diventati più o meno?

- Sia le forze dell'ordine che i servizi di sicurezza delle aziende stanno lottando con la "svolta", tuttavia, solo le banche sono riuscite a ottenere un certo successo e anche lì questo servizio criminale non è scomparso, ma è solo aumentato di prezzo.

Le condanne ai dipendenti degli operatori di telefonia mobile che vendono i dati sulle chiamate e gli SMS degli abbonati vengono pronunciate quasi settimanalmente, ma non sono meno le persone che vogliono guadagnare.

Nei dipartimenti governativi, non cercano nemmeno di affrontare un guasto: si ritiene che non ci siano problemi del genere.

Torna alle notizie »

Tante ondate di pandemie sono volate via

— La pandemia va avanti da due anni ormai. Quali cambiamenti sono avvenuti in questo periodo nel campo delle perdite? Quali metodi sono diventati di più e quali non avremmo potuto presentare all'inizio del 2020?

- Non c'è stato un vero e proprio cambiamento tettonico nel campo delle fughe di dati a seguito della pandemia. C'è stata una forte impennata nella prima metà del 2020, quando le aziende sono passate massicciamente al lavoro a distanza e i servizi IT non hanno potuto far fronte all'implementazione di soluzioni terminali, che spesso si sono rivelate scarsamente protette e hanno permesso di attaccare le reti interne delle aziende.

Tuttavia, entro la fine dell'anno, tutti si sono adattati al lavoro a distanza e l'entità delle perdite ha iniziato a diminuire. Inoltre, se si parla di fughe di notizie di massa (e non di “sfondamento” individuale), ce ne sono ancora meno, dal momento che, almeno, le banche hanno iniziato una vera lotta contro questo problema.

Quindi ci sono meno perdite bancarie? È apparso qualcosa di nuovo nel toolkit dei truffatori bancari online?

- Sotto la pressione della Banca Centrale e dei continui scandali pubblici, le banche hanno iniziato a implementare sistemi DLP (Data Leak Prevention - software specializzato che protegge l'organizzazione dalle fughe di dati) non sulla carta, ma nella pratica, e ora è diventato quasi impossibile caricare tranquillamente una grande quantità di dati.

Di conseguenza, oggi è estremamente raro trovare un database con informazioni sui clienti di banche private in vendita. La situazione con le banche statali non è così buona, ma comunque migliore rispetto al 2018, che ha visto dilagare le frodi telefoniche.

Sfortunatamente, le banche non sono riuscite a distruggere i servizi "svolta", tuttavia, il prezzo è quasi raddoppiato, il che indica la complicazione del processo di drenaggio.

È vero, è sorto un altro problema: perdite dai sistemi di marketing delle organizzazioni finanziarie. Il trasferimento del processo di attrazione dei clienti verso l'outsourcing e la crescita del numero dei marketplace hanno portato al fatto che le domande di acquisto di prodotti finanziari e di apertura di conti si spostano tra i contraenti e la banca stessa, vengono archiviate ed elaborate con un livello minimo di protezione e, naturalmente, fuoriuscire e cadere nelle vendite.

Le banche stesse non restano indietro, sviluppando l'infrastruttura digitale secondo il principio del "bump and go in production" e non testando nemmeno le falle di sicurezza più banali. Di conseguenza, sulla vendita vengono visualizzati i dati raccolti dalla "forza bruta" (enumerazione dei parametri - ad esempio il numero di telefono del cliente).

Tali database non contengono informazioni critiche, ma consentono, ad esempio, di compilare un elenco di clienti bancari, che può poi essere arricchito con dati provenienti da altre fonti e utilizzato per attacchi social.

Consiglio di un esperto in materia di fughe di notizie

: è stato condotto uno studio sulle password russe più diffuse. C'erano, tra le altre cose, i nomi "Natasha", "Maxim", "Marina", "Andrey" e "Kristina". C'è un nome che potrebbe essere scelto come password complessa?

- Nessun nome o parola in generale contenuta nel dizionario deve essere utilizzato come password, poiché sono i dizionari che vengono utilizzati nell'enumerazione primaria sia durante la forza bruta (indovinare la password) sia durante la decrittografia dei dati dalle perdite. Su un computer, è meglio utilizzare un insieme casuale di lettere, numeri e simboli, che è meglio archiviare in un gestore di password.

Per le password che devono essere ricordate, è meglio utilizzare regole mnemoniche, ad esempio frasi lunghe di determinate lettere di parole che formano la password stessa.

- Ci sono state notizie che il cliente ha dato il suo cellulare per la riparazione e il padrone ha avuto accesso alla sua banca mobile e ha rubato denaro. Com'è possibile? È riuscito a ottenere la sua password? E come potrebbe essere eseguita l'operazione in questo caso? Attraverso un bancomat con Apple/Google Pay che ti permette di prelevare denaro con una password?- Succede abbastanza spesso, ma il servizio seminterrato non è NSO Group (l'azienda israeliana che ha sviluppato lo spyware Pegasus per spiare gli utenti di iPhone. - Ndr.) E anche questi furti non fanno a meno del social engineering.

Molto spesso, il riparatore riceve una password, poiché presumibilmente è richiesta per accendere e controllare il telefono. Allo stesso tempo, le password aggiuntive nell'applicazione bancaria non vengono utilizzate o sono le stesse di quella principale.

Di conseguenza, il ladro trasferisce semplicemente i fondi sul conto della carta di credito desiderata o, meno comunemente, paga gli acquisti utilizzando Apple o Google Pay.

Naturalmente, è necessario portare il telefono in riparazione senza dire al riparatore la password e svincolare le carte e i conti dal portafoglio interno e dalle applicazioni che li utilizzano, e soprattutto senza una carta SIM se è collegato a una banca online o "Gosuslugi".

Dove sei, cosa hai comprato e dove sei andato. L'esperto anti-leak ha indicato i prezzi per svolta