Comments 62
Ну это же классика - смешивать мух и котлеты (использовать одно и то же устройство для чувствительных и крупных финансовых операций и для игр).
Это конечно так, но у многих это устройство одно (+ телефон). Косяк, если одного файла, без пароля, достаточно, чтобы деньги увезти. Программе много ращрешений не нужно, чтобы такое стащить и никакой антивирь не задетектит, пока не станет поздно.
Кстати и проверки почти бесполезны, потому что всегда есть возможность вредоносный код подтянуть обновлениями.
Для безопасности можно в качестве 2 системы Линукс установить и на нем держать кошельки и прочую чувствительную информацию. Ну или на крайняк использовать отдельную виртуалку с чистой виндой для этого. Так что одно устройство не выглядит как приговор.
Ну можно хотя бы разные учетки использовать, и не играть в игры под админом.
Ради хранения 1000$ покупать устройство за 1000$?
украли около $150 тысяч у 261 аккаунта
есть кстати еще один момент насчет лицензионных игр, была новость что антифрод система в какой-то китайской игре сильно ломала безопасность win и были вирусы, которые этим пользовались. так что ставить лицензию тоже не безопасно на самом деле
Пользователям рекомендуется проявлять осторожность
И как же нам это сделать?
А потом выяснится, что не закрыли канализационный люк и лучше бы смотрели под ноги!
Примерно так. Только в всплывающем окне, и с текстом - "Кто-то новый-неизвестный пытается шарить по диску". Ну да, для этого нужна операционка написанная руками. И возможно еще аппаратная поддержка. Но как-то не дошли технологии операционных систем до жесткого разграничения доступа, и контроля над приложениями. Или хотя бы возможность просто поставить аларм на папку или файл.
Астра смотрит на это утверждение с непониманием
Windows Folder Protection (требует Pro и выше) смотрит с недоумением.
Дошли:
openvms и прочие z/OS - но там прописывать все жестко надо. Ах да - ничего из условного бытового софта не работает и железо фиг купишь.
qubes (с ее идеями что все что нужно засунуть в виртуалку - нужно туда засунуть, мало виртуалок - не бывает(например каждое приложение в отдельную виртуалку)) - но ньюансы как это заставить работать без ручных настроек, как заставить приложения которые таких фокусы не учитывают - работать (включая использование gpu), ну и наконец - оно на базе Linux (точнее Xen) (Windows AppVM поддерживаются но есть ньюансы - например если надо Windows AppVM для игр - пользователя ждет церебральный секс с gpu passthrough и чтобы без отдельного монитора работало)
А в простейшей самой версии - либо хоумсервер хоть на чем на котором виртуалки для важных дел а на обычной машине игры либо хоть дуалбут или игры тоже в виртуалке с gpu passthrough.
Либо хоть вынос на смартфон - даже на стоковом андроиде такое вот как в статье сотворить сложнее если авторы криптокошелька хоть немного думали про безопасность и не выложили все в общий доступ. У iOS в этом плане все получше.
Только на прошлой неделе ради интереса пытался поставить qubes OS. 2 дня мучился с установкой, гугля ошибки, пока не прочитал в документации, что на VMware она не работает. Потом еще полдня она устанавливалась на флешку. Из неочевидного - нельзя при установке выбирать интерфейс на русском, т.к. важные кнопки вылезают за границы экрана, и нажать их можно только через Tab (если знать, что эти кнопки должны быть).
В результате qubes OS проработала 3 часа, и после первой же перезагрузки посыпалась файловая система. Главная проблема, с которой я столкнулся - у меня usb wi-fi адаптер, и беспроводная usb-клавиатура. А qubes OS не поддерживает одновременно и то, и другое. Через wi-fi подключиться к интернету так и не удалось. Уровень безопасности - практически 100%.
В качестве основной на комп ставить не рискнул.
Дома у себя выходишь из лифта, и сразу срейфишся вбок, а потом уже вверх-вниз-по сторонам, и пару гранат для начала, как только у лифта двери приоткрываться начали. А как иначе? "Не мы такие"
Не играть в игры, не пользоваться криптой =))
Вероятно как минимум, не хранить крипту в открытом виде на ПК.
зря выкинули во время перевода, источник
Сообщается, что эти люди стали объектом целенаправленной атаки после того, как в Twitter их идентифицировали как людей, управляющих значительными суммами криптовалюты, и предположительно им были отправлены приглашения попробовать игру.
Вполне можно ожидать что такие новости(поводы) подхватят условные МинЦифры и предложат заблочить стим в РФ как цитадель мошенничества и вирусов и опасных игр для детей..
Обновление от 30 августа добавляет новый жанр play-to-steal
Вот поэтому у меня отдельный компьютер для игр, и отдельный для работы. На разных операционках.
И один дома, а другой на работе. Для еще большей безопасности.
Специально для вас уже подготовили вредоносные плагины для vscode. Так что проблема не в разделении полномочий, а в дырявости самого концерта криптовалюты и отсутствии адекватной борьбы с киберпреступниками
Специально для вас уже подготовили вредоносные плагины для vscode.
Делим прод и дев окружения? :)
Ну и - что мешает vscode тоже в виртуалку загнать (а лучше даже две - где UI куда цепляемся по RDP и где vs code code server живет(вместо этой можно и что-то облачное у гитхаба даже есть))?
а в дырявости самого концерта криптовалюты
Проблема в отсутствии sandboxing из коробки в популярных десктопных ОС.
Vscode не пользуюсь, но идея понятна, конечно. В целом, есть у меня еще несколько принципов:
Не хранить важную информацию в незашифрованном виде
Не выполнять сомнительные приложения в неизолированной среде
Не использовать одинаковые пароли
Использовать, где возможно, авторизацию по ключу
Это тупо pay to win
Ах, какая классная штука крипта!
Вот, например, если бы была фу-фу-фу обычная кредитка с нормальными деньгами, то какая морока-то: банк уведоми, писанины на два экрана, ждать пока возврат придет и мошенника жалко, срока-то нехилые, угнетатели в лице финансовых органов ух какие злые бывают.
А крипта - это же круто и современно! Деньги фьють, было ваше стало наше и никаких головняков. Отмотать нельзя, заявить некуда, всем пофиг и аноним мигрантский не пострадает.
и мошенника жалко
Что ему будет? Он в другой стране.
Отмотать нельзя, заявить некуда, всем пофиг и аноним мигрантский не пострадает.
https://www.rbc.ru/finances/18/02/2025/67b489749a794780d1527516
Мошенники в 2024 году украли у россиян с банковских счетов рекордные 27,5 млрд рублей, что выше показателя 2023 года на 74,4%. Это объясняется ростом безналичных операций и изменением учета данных.
Из украденных средств банки вернули клиентам 2,7 млрд руб., что составляет 9,9% от общего объема.
С криптой хотя бы сам дурак. Банк твои средства заморозит и вертись, как хочешь (по 115-ФЗ, например, до 20 дней). Про международные переводы вообще молчу.
В рамках "борьбы с мошенничеством" банки просто не отдают (простите за дзен) деньги клиентам.
Очень печально, что скачав игру в Steam можно столкнуться с такими неприятностями.
Представьте новость о том что кто-то скачал вирус с файлообменника, вирус с соцсетей, с почты.
То что для Стима новость то что сработала таргетированная атака на несколько сотен человек - это уже достижение, ведь на других платформах это обыденность.
Новость не про сам факт вируса, а про вектор. Верифицированная игра - апдейт - стиллер. Для экосистемы это тревожный сигнал
Что за бред, какой вектор.
Таргетированная атака возможна всегда с любой платформы.
Давно известны механизмы для создания вирусов которые не обнаруживаются антивирусом (избегание определения сигнатур) и есть платформы, которые позволяют их тестировать (в отличии от VirusTotal который может их использовать для дополнительного анализа).
Бесплатная игра, мало отзывов, недавний апдейт - три красных флажка подряд
Проблема еще в том, что при установке игр/программ зачастую необоснованно запрашивается или используются права админа. Большинство ПК используется одним пользователем, можно было внутри домашнего каталога все устанавливать, а для важной работы сделать отдельную учетную запись с только надежными приложениями
Кстати, для Linux есть Steam в Flatpak, а Flatpak позволяет устанавливать пакеты внутри домашнего каталога. Не знаю, насколько это безопасно, это решение сторонние люди поддерживают. Плохо, что до самих Valve не дошло сделать изоляцию на уровне пользователя
И не нужно бы было отдельные устройства покупать
Да большинству игр было бы достаточно доступа просто к той папке, куда её скопировали. Пусть там создаёт все файлы, какие хочет. А наружу чтобы сама система не пускала. Ну или на худой конец пусть сохранения в отдельную папку куда-нибудь в подкаталог каталога "Документы" кладёт, чтобы пользователю легко найти было.
Играйте на Linux, товарищи, и ставьте Steam через Flatpak, ибо нефиг ему доступ ко всему диску давать.
И пользуйтесь application firewall каким-нибудь. Когда оффлайн-игра пытается куда-то подключиться, это очень заметно и легко пресекается.
Сотни пользователей лишились криптовалюты после загрузки из Steam проверенной игры