1690
События, о которых стоит подумать. Обзор актуальных новостей информационной безопасности.
Операторов персональных данных обяжут сообщать МВД, Роскомнадзору и пользователям о хакерском взломе и любой другой утечке клиентской информации. За умалчивание компании ждет административная ответственность. Соответствующий законопроект подготовлен заместителем председателя комитета Госдумы по информполитике Мариной Мукабеновой. http://www.banki.ru/news/bankpress/?id=9825018
Читать полностью…
Россияне смогут переводить друг другу деньги — причем между разными банками — по номеру мобильного телефона. Для этого номер телефона будет привязываться к определенному номеру карточного счета, и вместо реквизитов карты отправителю нужно будет указать только мобильный телефон. вопрос замены номера карты номером сотовых телефонов для переводов между гражданами в настоящее время прорабатывают ведущие международные платежные системы Visa и MasterCard. Эксперты видят в этой возможности большие риски для безопасности. К примеру, у номеров карт и счетов есть специальные схемы контроля правильности ввода номера — последняя цифра карты. Ошибка в одну цифру в номере карты на 99,9% не приводит к ошибочному переводу, так как такой карты просто не существует. Деньги вернутся на счет отправителя. Ошибка же в одной цифре номера телефона приведет к переводу денег на некорректного получателя.
Источник: https://www.anti-malware.ru/news/2017-06-20/23198
А как вы считаете, является ли пересылка конфиденциальной информации с корпоративной на личную почту разглашением коммерческой тайны?
да, это прямое нарушение коммерческой тайны и увольнение сотрудника правомерно – 36
👍👍👍👍👍👍👍 82%
нет, пересылка данных на личную почту еще не говорит о нарушении – 8
👍👍 18%
👥 44 people voted so far.
Государственные учреждения являются главной мишенью атак на веб-приложения. В среднем на веб-приложения каждого госучреждения совершается 2160 атак в день, в то время как на долю одной ИТ-компании приходится 1516 атак, а финансовые учреждения выдерживают по 528 атак. Для образовательных учреждений средним показателем является 32 атаки в день. Максимальное число атак в день на одну компанию составляет 19889 инцидентов.
Подробнее: http://safe.cnews.ru/news/top/2017-06-16_gosuchrezhdeniya_lidiruyut_po_kolichestvu_atak_na
Госдума в первом чтении приняла законопроект о регулировании работы мессенджеров. Документ обязывает идентифицировать пользователей по номеру телефона или отказывать им в обмене сообщениями. Законопроект обязывает мессенджеры предоставлять свои услуги только пользователям, идентифицированным по абонентскому номеру. Основанием для этого служит договор об идентификации между сервисом с оператором связи.
Источник: https://www.anti-malware.ru/news/2017-06-14/23164
35 % респондентов считают наиболее вероятной причиной вызванных человеческим фактором ошибок и рисков безопасности - сотрудников, отвлекающиеся во время работы. К такому выводу пришли исследователи компании Centrify, опросив участников конференции Infosec Europe в Лондоне.
http://www.securitylab.ru/news/486654.php
Одна из самых распространенных проблем безопасности корпоративных Wi-Fi-сетей — использование словарных паролей, которые легко подобрать. Кроме того, часто встречаются и ошибки конфигурирования сетей Wi-Fi, расширяющие возможности нарушителя для проведения атак. К таким недостаткам безопасности относится отсутствие ограничения мощности сигнала беспроводных маршрутизаторов, в результате которого подключение к сети компании можно осуществлять вне пределов контролируемой зоны — из соседнего здания или с парковки. Это, например, позволяет хакерам проводить атаки на устройства сотрудников компании за пределами контролируемой зоны и перехватывать аутентификационные данные для доступа к корпоративным ресурсам.
Источник: https://www.anti-malware.ru/news/2017-06-07/23114
Федеральная антимонопольная служба (ФАС) хочет иметь возможность беспрепятственно
получать сведения, составляющие банковскую тайну.
Это нужно для более эффективной борьбы с антиконкурентными соглашениями и картелями,
которые ведомство считает угрозой экономической безопасности страны. У бизнеса
иная точка зрения по этому поводу. Российская газета, 05.06.17: https://rg.ru/2017/06/05/fas-namerena-poluchit-dostup-k-bankovskoj-tajne-dlia-borby-s-karteliami.html
Каждую неделю Сбербанк фиксирует порядка 5-5,5 тыс. атак с использованием социальной инженерии, когда клиентов обманом вынуждали раскрывать персональные данные, информацию о счетах или переводить средства на неизвестные счета. Об этом сообщил зампред правления банка Станислав Кузнецов на Петербургском экономическом форуме. Потенциальный ущерб от подобных кибератак составляет порядка 700 млн рублей. http://www.securitylab.ru/news/486533.php
Читать полностью…
Российские банки планируют запустить систему идентификации клиентов в банкоматах по
лицу. Кредитные организации хотят оснастить свои банкоматы специальным сканером. В будущем
чтобы снять или внести наличные клиентам не понадобится ни PIN-код, ни сама пластиковая
карта. Коммерсант-ФМ, 25.05.17: http://kommersant.ru/doc/3306747
Наблюдается активное распространение мобильного банковского трояна Trojan-Banker.AndroidOS.Asacub. За три месяца представители этого семейства атаковали более 43 тыс. мобильных устройств, 97% из них пришлось на Россию. Основным методом распространения Asacub стал SMS-спам. При переходе по вредоносное ссылке в сообщении на устройство пользователя загружался троян. Как отмечается, помимо стандартных для банковских троянов функций (таких как воровство и отправка SMS), в арсенале Asacub появляется все больше шпионских возможностей, например, перехват истории звонков, контактов и GPS-координат пользователя. http://www.securitylab.ru/news/486232.php
Читать полностью…
По данным рекрутинговой компании, популярность ИБ-отрасли на рынке труда и уровень зарплат в ней активно растут. Наибольший спрос на специалистов по информбезопасности наблюдается в банках и финансовых организациях. Это объясняется тем, что компании этих отраслей постоянно подвергаются кибератакам и попыткам кражи персональных данных клиентов. Кроме того, один из актуальных вопросов – это безопасность платежей. По оценке рейтингового агентства The Nilson Report, в 2015 г. убытки мировой финансовой индустрии от мошенничества по банковским картам составили $21,84 млрд. А к 2019 г. потери, по прогнозу агентства, вырастут до $32,82 млрд. Далее следуют компании сектора электронной коммерции, государственные структуры и собственно сами игроки отрасли информационная безопасность - вендоры и системные интеграторы.http://www.securitylab.ru/analytics/486171.php
Читать полностью…
В 2019 году в России появится портал, позволяющий россиянам проверять, кому они предоставляли свои паспортные данные, и при желании путем одного нажатия кнопки мыши запретить их использование.Создание сайта по контролю над распространением персональной информации описано в проекте программы «Цифровая экономика», в начале месяца направленном в Госдуму экспертами Минкомсвязи. http://www.securitylab.ru/news/486173.php
Читать полностью…
Раскрыт вид атаки, предполагающий эксплуатацию сетевого протокола SMB в Windows для хищения учетных данных с помощью Google Chrome http://www.securitylab.ru/news/486154.php
Читать полностью…
Для регулирования больших пользовательских данных может появиться специальная структура, следует из проекта поправок в закон «Об информации». Она будет собирать их со всех операторов таких данных, ими могут быть как госорганы, так и юридические или физические лица. Для финансирования работы госоператора может быть создан специальный фонд. Пополнять его будут ежеквартальные
отчисления операторов БПД с доходов от обработки данных для рекламной деятельности. Ставка может составить 2%. Ведомости, 16.05.17: https://www.vedomosti.ru/technology/articles/2017/05/16/689963-gosoperatora-bolshih-dannih
Обнаружена фишиноговая атака, где организаторы рассылали извещения о штрафах ГИБДД под видом уведомлений от портала госуслуг.
Письма выглядят как официальные и не вызывают сомнений у среднестатистических пользователей. К письму прикреплено фото автомобиля- «нарушителя», а в шапке уведомления находится логотип Электронного правительства. Кроме прочего, письмо содержит отметку о проверке на наличие вредоносного ПО и его отсутствии. Особое внимание акцентируется на том, что при оплате штрафа в течение короткого времени возможна скидка в размере 50%.
При этом приклепленный файл не является вредоносным, но при переходе по любой активной ссылке в письме пользователь попадает на фишинговый сайт https://mail.ru-attachment-viewer.info/, с помощью которого злоумышленники крадут важные данные пользователей для их последующей монетизации.
Будьте осторожны.
Подробнее: http://www.securitylab.ru/news/486834.php
Российские и зарубежные эксперты по безопасности отследили первопричину всплеска банковских троянов, определив, что ею стал хакерский учебник на русскоязычном форуме.
Подробнее: http://safe.cnews.ru/news/top/2017-06-20_uchebnik_po_troyanam_s_rossijskogo_foruma_vyzval
Конституционный суд (КС) принял к рассмотрению жалобу на несоответствие Основному закону нормы о доступе операторов связи к содержанию электронных писем. С жалобой в КС обратился экс-директор департамента по договорно-правовой работе ЗАО «Стройтрансгаз» Александр Сушков, которого уволили «за разглашение охраняемой законом тайны (персональных данных другого работника)». С корпоративной почты на личную (на одном из крупнейших почтовых сервисов) он отправил документы, содержащие коммерческую тайну и паспортные данные коллег. Ранее Сушков подписал на работе должностную инструкцию, которая запрещает разглашать конфиденциальную информацию. Александр Сушков оспорил увольнение в суде, сославшись на то, что почтовый сервис соблюдает тайну переписки. Однако суд иск не удовлетворил, обратив внимание, что, согласно пользовательскому соглашению, почтовый сервис может как ограничить, так и разрешить доступ к информации в электронных ящиках. Следовательно, по мнению суда, конфиденциальные данные стали доступны почтовому сервису, который является их обладателем согласно ст. 2 ФЗ «Об информации, информационных технологиях и защите информации». Не согласившись с решением суда нижестоящей инстанции, Сушков подал жалобу в КС. Юристы в оценке перспектив жалобы разошлись во мнениях. http://iz.ru/node/608062
Читать полностью…
Российские банки должны будут внедрить свыше 400 мер информбезопасности в соответствии с ГОСТом, разработанным Центробанком. Это следует из окончательной версии документа , который вступит в силу в 2019 году. Как пояснили в пресс-службе ЦБ, 329 банков уже добровольно начали внедрять новый ГОСТ.
Источник: https://www.anti-malware.ru/news/2017-06-15/23168
IT-системы крупных российских структур, среди которых промышленные компании, госорганы,
банки и телекоммуникационные операторы, в 40% случаев содержат критически опасные
уязвимости, связанные с недостатками конфигурации. 27% систем обладают критически опасными уязвимостями, связанными с ошибками в
коде веб-приложений, 20% — уязвимостями из-за неустановки обновлений софта. https://kommersant.ru/doc/3324890
Предъявлены обвинения троим жителям Филадельфии, разработавшим мошенническую схему, где Instagram использовался для хищения денег у различных финансовых организаций. Благодаря мошеннической схеме злоумышленникам удалось похитить более $50 тыс. http://www.securitylab.ru/news/486609.php
Читать полностью…
Согласно отчету High-Tech Bridge, «ахиллесовой пятой» в безопасности периметра корпоративной сети являются сервисы и API. 83% мобильных приложений, использующихся в сфере банкинга, торговли и финансов, содержат хотя бы одну опасную уязвимость. Зачастую уязвимости связаны со слабо защищенным или отсутствующим механизмом авторизации для доступа к конфиденциальным данным или данным других пользователей. Также распространены уязвимости, позволяющие осуществить SQL- или XML-инъекцию.
http://www.securitylab.ru/news/486571.php
Банк России объявил о создании национальной виртуальной валюты
Технологии криптовалют были окончательно реабилитированы на Петербургском
международном экономическом форуме. Еще год назад в России серьезно готовились к
введению уголовной ответственности за их применение в форме денежных суррогатов, а теперь
оказалось, что блокчейн - это рождение новой экономики. Российская газета, 04.06.17: https://rg.ru/2017/06/04/v-rossii-poiavitsia-nacionalnaia-virtualnaia-valiuta.html
Фонд перспективных исследований (ФПИ) создаёт технологии автоматической обработки
данных на границе, которые могли бы заменить человека. РИА Новости, 28.05.17: https://ria.ru/technology/20170528/1495245446.html
В Госдуму внесен законопроект, запрещающий операторам мессенджеров работать с неидентифицированными пользователями. Личность предлагается устанавливать по номеру мобильного телефона.Коммерсант.ру, 24.05.17: https://www.kommersant.ru/doc/3305842
Читать полностью…
Минкомсвязи РФ подготовило проект постановления правительства, предусматривающий изменения в правила оказания услуг телефонной связи и передачи данных. Согласно документу, операторы связи и интернет-провайдеры должны по запросу органа, осуществляющего оперативно-разыскную деятельность, в течение 15 суток проверить соответствие персональных данных абонентов, указанным в договоре. В случае, если данные не будут подтверждены в срок, оказание услуг связи будет прекращено.http://www.securitylab.ru/news/486208.php
Читать полностью…
Железные дороги государств – участников Содружества договорились о совместном
противодействии кибератакам РИА Новости, 18.05.17: https://ria.ru/world/20170518/1494599486.html
Уже завтра в 11:00 по МСК приглашаем на онлайн-демонстрацию новой версии системы защиты баз данных "Гарда БД"http://telegra.ph/Demonstraciya-obnovlennoj-versii-resheniya-po-zashchite-baz-dannyh-Garda-BD-05-17
Читать полностью…
Во всех версиях Microsoft Word обнаружена уязвимость «нулевого дня». Для проведения атаки злоумышленникам достаточно отправить пользователю вредоносный RTF-документ, распространяемый в виде вложения письма электронной почты. Далее выполняется скрипт Visual Basic, который в итоге предоставляет хакерам загружать вредоносное ПО и получить контроль над компьютером жертвы атаки.
Источник: https://www.anti-malware.ru/news/2017-04-11/22717
В 2018 году хакеры сосредоточат свои усилия на кражах денег через автоматизированные
банковские системы (АБС). Если раньше предметом их интереса были сами клиенты и их данные,
которые похищались с личных компьютеров или смартфонов, то сейчас кибермошенники меняют
тактику. http://izvestia.ru/news/706283