Эта статья - краткий вариант, избранные места из интервью, которое опубликовано на сайте F6 (https://www.f6.ru/blog/how-antifraud-works/). Некоторые подробности добавили в текст на Хабре. А если и этого покажется недостаточно, предлагаем ознакомиться с полной версией интервью на сайте, там больше деталей.
Добавим пять копеек к тому, что уже есть в новости.
На вопрос: «Почему Telegram?». За последние лет пять с развитием экосистемы Telegram киберпреступники активно используют возможности мессенджера. Например, мошеннические группировки, которые работают по схемам «Мамонт» и Fake Date, почти полностью переехали в Telegram: через мессенджер действуют их чат-боты, с помощью которых рядовые воркеры по шаблонам создают мошеннические ресурсы, происходит обмен информацией внутри самих скам-групп.
В то же время администрация Telegram активно противодействует злоумышленникам. Например, с этого года в мессенджере начали блокировать группы и чаты, в которых выкладывали утечки баз данных российских компаний.
Telegram, как и любой другой популярный мессенджер – об этом говорит в комментарии эксперт – создаёт мощный поток потенциального трафика для мошеннических схем, и злоумышленники пытаются этим воспользоваться. Соответственно, мы считаем своей задачей максимально предупредить пользователей мессенджера об опасностях, которые могут скрывать за фейками и недостоверными новостями.
В социальных сетях такие сообщения тоже распространяют. Но охват у соцсетей и Telegram всё-таки разный.
О похожих схемах вовлечения пользователей Telegram в мошенничество мы подробно писали ещё в декабре 2024 года. Прочитать можно вот здесь: https://habr.com/ru/companies/F6/news/865944/.
Мы пишем сами . А если что-то повторяется в текстах про сценарии мошенничества, так это не удивительно. Когда мы предупреждаем про новые уловки обманщиков, которые берут за основу хорошо забытое старое, то смысловых повторов никак не избежать. Нам важно напомнить всю последовательность событий, которые сопровождают атаку мошенников, освежить в памяти у тех, кто про неё слышал раньше, и предупредить тех, кто читает про такое впервые.
Можете быть уверены в достоверности. Эту статью подготовили реальные сотрудники компании F6, которые изучают киберпреступность в разных её проявлениях. Понимаем ваше удивление. И обращаем внимание на то, что в тексте описан сценарий, который используют мошенники для обмана - а не то, как устроена пропускная система в ЖК на самом деле. Мошенники стремятся ввести потенциальную жертву в заблуждение, создать у неё ложное представление в том, чего на самом деле нет, и "отключить" критическое восприятие, в том числе обещанием выгоды (мы помним, что стоимость аренды в объявлениях заявлена значительно ниже рыночной). Чем дальше, тем больше мошенники оттачивают свои сценарии, чтобы придать им убедительности, используют разные психологические приёмы, чтобы вызвать доверие. Так и в конкретном описанном сценарии: злоумышленники стараются убедить человека, который откликнулся на объявление, что он не сможет пройти на территорию ЖК никак иначе, кроме как через регистрацию в фейковом приложении.
Спасибо за вопрос! В среднем EDR-агент F6 MXDR загружает процессор конечного хоста в пределах 5%. Это незначительно и обычно не сказывается на производительности систем, используемых разработчиками и QA. В рамках пилота можно провести дополнительные тесты на конкретных хостах и подобрать конфигурацию EDR под конкретный хост — есть возможность влиять на то, какую телеметрию требуется собирать без потери качества детекта.
Спасибо за правильные вопросы! Начнем с конца. Вместе с РКН, НКЦКИ (Госсопкой), "Лигой безопасного интернета" компания F6 - одна из 12 российский компаний и организаций, которая компетентна в определении нарушений в Рунете. Этот список так и называется "Компетентные организации" https://tldpatrol.ru/organization/ То есть мы, вылавливая и определяя фишинг, ВПО и ботнет-контролеры, можем направлять эти ресурсы на блокировку. Что касается вопроса, кого мы защищаем. Если коротко: защищаем RuStore - защищаем пользователей магазина приложений. Как рассказали наши эксперты, блокировка фейковых сайтов, мимикрирующих под магазин RuStore и размещающих поддельные мобильные приложения (потенциально с ВПО), позволит уберечь пользователей RuStore в том числе от заражения устройства или не стать жертвой фишинга.
Добрый день! Спасибо за вопрос. Если коротко: метаданные обнаруженные внутри файла DOCX не изменяются при копировании и не относятся к информации, которую можно удалить с помощью кнопки "Удаление свойств и личной информации" в свойствах документа.
Активность Core Werewolf фиксируем, но атакуют они определенно реже, чем Sticky. Последняя была замечена в конце 2024. Поскольку изменений в киллчейне не наблюдали, то нет необходимости публично освещать итак уже хорошо описанную деятельность группировки.
А если реально хотите разобраться, кому, когда и главное, зачем нужна Threat Intelligence, можем порекомендовать следующие книги и материалы:
⭐Intelligence-Driven Incident Response. R. Brown & S.J. Roberts
Авторы объясняют, как разрабатывать упреждающую стратегию реагирования на инциденты. Книга научит задавать правильные вопросы, чтобы построить активную стратегию защиты. Написана простым языком.
⭐Psychology of Intelligence Analysis. R. Heuer
Нестареющая классика от ветерана ЦРУ Ричардса Хойера. Описывает особенности нашего мышления, ошибки и предубеждения, которые генерирует наш мозг.
⭐Компьютерные сети. Принципы, технологии, протоколы В. Олифер и Н. Олифер База, которая объясняется на пальцах. Отлично подойдет для тех, кто делает первые шаги (https://t.me/F_A_C_C_T/3152) в изучении основ информационной безопасности.
Авторы детально объясняют, как использовать разведку и анализ техник противника, чтобы защитить сети от атак. Можно встретить примеры и для начинающих аналитиков.
Простая и полезная книга для понимания основ киберразведки. Здесь приводится научный подход к анализу атак, в основе которого лежит так называемая бриллиантовая модель.
Мы впервые видим такое активное использование омоглифов именно во вредоносных рассылках.
А связано это с увеличением количества фишинговых вредоносных рассылок, для которых злоумышленники используют публичные почтовые сервисы.
С одной стороны, сегодня они достаточно хорошо умеют скрывать вредоносную нагрузку в письмах.
С другой стороны, именно количество групповых однотипных рассылок стало проблемой, которое вызывает дополнительное внимание со стороны почтового провайдера. Омоглифы позволяют эту проблему нивелировать.
Из еще — есть несколько показательных архивных кейсов: МВД и Group-IB ликвидировали группу, заразившую миллион смартфонов https://blog.group-ib.ru/cron Полиция разгромила группу "телефонных мошенников", наживавшихся на пенсионерах https://blog.group-ib.ru/mobile
Эта статья - краткий вариант, избранные места из интервью, которое опубликовано на сайте F6 (https://www.f6.ru/blog/how-antifraud-works/). Некоторые подробности добавили в текст на Хабре. А если и этого покажется недостаточно, предлагаем ознакомиться с полной версией интервью на сайте, там больше деталей.
Благодарим за внимание к нашим публикациям. Данные всех 143 обнаруженных фейковых сайтов направлены для блокировки на территории РФ.
Добавим пять копеек к тому, что уже есть в новости.
На вопрос: «Почему Telegram?». За последние лет пять с развитием экосистемы Telegram киберпреступники активно используют возможности мессенджера. Например, мошеннические группировки, которые работают по схемам «Мамонт» и Fake Date, почти полностью переехали в Telegram: через мессенджер действуют их чат-боты, с помощью которых рядовые воркеры по шаблонам создают мошеннические ресурсы, происходит обмен информацией внутри самих скам-групп.
В то же время администрация Telegram активно противодействует злоумышленникам. Например, с этого года в мессенджере начали блокировать группы и чаты, в которых выкладывали утечки баз данных российских компаний.
Telegram, как и любой другой популярный мессенджер – об этом говорит в комментарии эксперт – создаёт мощный поток потенциального трафика для мошеннических схем, и злоумышленники пытаются этим воспользоваться. Соответственно, мы считаем своей задачей максимально предупредить пользователей мессенджера об опасностях, которые могут скрывать за фейками и недостоверными новостями.
В социальных сетях такие сообщения тоже распространяют. Но охват у соцсетей и Telegram всё-таки разный.
О похожих схемах вовлечения пользователей Telegram в мошенничество мы подробно писали ещё в декабре 2024 года. Прочитать можно вот здесь: https://habr.com/ru/companies/F6/news/865944/.
Да, это наша собственная разработка. Подробности можно узнать на странице по ссылке: https://www.f6.ru/products/managed-xdr/
Итоги исследования, техническую информацию, индикаторы можно найти в блоге на сайте F6.
Мы пишем сами . А если что-то повторяется в текстах про сценарии мошенничества, так это не удивительно. Когда мы предупреждаем про новые уловки обманщиков, которые берут за основу хорошо забытое старое, то смысловых повторов никак не избежать. Нам важно напомнить всю последовательность событий, которые сопровождают атаку мошенников, освежить в памяти у тех, кто про неё слышал раньше, и предупредить тех, кто читает про такое впервые.
Можете быть уверены в достоверности. Эту статью подготовили реальные сотрудники компании F6, которые изучают киберпреступность в разных её проявлениях. Понимаем ваше удивление. И обращаем внимание на то, что в тексте описан сценарий, который используют мошенники для обмана - а не то, как устроена пропускная система в ЖК на самом деле. Мошенники стремятся ввести потенциальную жертву в заблуждение, создать у неё ложное представление в том, чего на самом деле нет, и "отключить" критическое восприятие, в том числе обещанием выгоды (мы помним, что стоимость аренды в объявлениях заявлена значительно ниже рыночной). Чем дальше, тем больше мошенники оттачивают свои сценарии, чтобы придать им убедительности, используют разные психологические приёмы, чтобы вызвать доверие. Так и в конкретном описанном сценарии: злоумышленники стараются убедить человека, который откликнулся на объявление, что он не сможет пройти на территорию ЖК никак иначе, кроме как через регистрацию в фейковом приложении.
Ну давайте тогда найдем достойный синоним ВПО?
Вирусы, вредоносы, трояны или не полностью отражают суть или как зловреды или вирусня режут ухо.
Спасибо за внимательность! Поправили, работу над ошибками провели.
Спасибо за вопрос! В среднем EDR-агент F6 MXDR загружает процессор конечного хоста в пределах 5%. Это незначительно и обычно не сказывается на производительности систем, используемых разработчиками и QA. В рамках пилота можно провести дополнительные тесты на конкретных хостах и подобрать конфигурацию EDR под конкретный хост — есть возможность влиять на то, какую телеметрию требуется собирать без потери качества детекта.
Эта информация была передана владельцам данных ресурсов.
Спасибо за правильные вопросы!
Начнем с конца. Вместе с РКН, НКЦКИ (Госсопкой), "Лигой безопасного интернета" компания F6 - одна из 12 российский компаний и организаций, которая компетентна в определении нарушений в Рунете. Этот список так и называется "Компетентные организации" https://tldpatrol.ru/organization/ То есть мы, вылавливая и определяя фишинг, ВПО и ботнет-контролеры, можем направлять эти ресурсы на блокировку.
Что касается вопроса, кого мы защищаем. Если коротко: защищаем RuStore - защищаем пользователей магазина приложений. Как рассказали наши эксперты, блокировка фейковых сайтов, мимикрирующих под магазин RuStore и размещающих поддельные мобильные приложения (потенциально с ВПО), позволит уберечь пользователей RuStore в том числе от заражения устройства или не стать жертвой фишинга.
Добрый день! Спасибо за вопрос. Если коротко: метаданные обнаруженные внутри файла DOCX не изменяются при копировании и не относятся к информации, которую можно удалить с помощью кнопки "Удаление свойств и личной информации" в свойствах документа.
Активность Core Werewolf фиксируем, но атакуют они определенно реже, чем Sticky. Последняя была замечена в конце 2024. Поскольку изменений в киллчейне не наблюдали, то нет необходимости публично освещать итак уже хорошо описанную деятельность группировки.
В том числе от оригинального домена отличается последний символ в имени:
"Домен @diadok[.]net, с которого было отправлено вредоносное письмо, мимикрирует под оригинальный домен компании “Контур.Диадок” - diadoc[.]ru. "
Да, похоже прошлогодний мем, на котором крупнейший дисплей MSG Sphere в Лас-Вегасе показывает «синий экран смерти» оказался пророческим.
Точно, спасибо! Добавили хеш данного клиента UltraVNC в иоки и упомянули про иконку приложения OneDrive.
Ох. Ну, как говорится, кто не понял, тот поймет.
А если реально хотите разобраться, кому, когда и главное, зачем нужна Threat Intelligence, можем порекомендовать следующие книги и материалы:
⭐Intelligence-Driven Incident Response. R. Brown & S.J. Roberts
Авторы объясняют, как разрабатывать упреждающую стратегию реагирования на инциденты. Книга научит задавать правильные вопросы, чтобы построить активную стратегию защиты. Написана простым языком.
⭐Psychology of Intelligence Analysis. R. Heuer
Нестареющая классика от ветерана ЦРУ Ричардса Хойера. Описывает особенности нашего мышления, ошибки и предубеждения, которые генерирует наш мозг.
⭐Компьютерные сети. Принципы, технологии, протоколы
В. Олифер и Н. Олифер База, которая объясняется на пальцах. Отлично подойдет для тех, кто делает первые шаги (https://t.me/F_A_C_C_T/3152) в изучении основ информационной безопасности.
⭐Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains (https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf)
E. Hutchins, M. Cloppert, and R. Amin
Авторы детально объясняют, как использовать разведку и анализ техник противника, чтобы защитить сети от атак. Можно встретить примеры и для начинающих аналитиков.
⭐The Diamond Model of Intrusion Analysis (http://www.activeresponse.org/wp-content/uploads/2013/07/diamond.pdf)
S. Caltagirone, A, Pendergast, and C. Betz
Простая и полезная книга для понимания основ киберразведки. Здесь приводится научный подход к анализу атак, в основе которого лежит так называемая бриллиантовая модель.
Мы впервые видим такое активное использование омоглифов именно во вредоносных рассылках.
А связано это с увеличением количества фишинговых вредоносных рассылок, для которых злоумышленники используют публичные почтовые сервисы.
С одной стороны, сегодня они достаточно хорошо умеют скрывать вредоносную нагрузку в письмах.
С другой стороны, именно количество групповых однотипных рассылок стало проблемой, которое вызывает дополнительное внимание со стороны почтового провайдера. Омоглифы позволяют эту проблему нивелировать.
Конечно, можем.
Не надо бла-бла: МВД и F.A.C.C.T. ликвидировали группу мошенников, наживавшихся на попутчиках https://www.facct.ru/media-center/press-releases/jewelry-team-scam/
Из еще — есть несколько показательных архивных кейсов:
МВД и Group-IB ликвидировали группу,
заразившую миллион смартфонов https://blog.group-ib.ru/cron
Полиция разгромила группу "телефонных мошенников", наживавшихся на пенсионерах https://blog.group-ib.ru/mobile