Спасибо за вопрос! Наличие sudo у пользователя не влияет на работу EDR-агента и логику обнаружения. Мы детектируем и коррелируем поведение независимо от UID, опираясь на ядровую/системную телеметрию (eBPF/LSM, процесс/фс/сеть, собственный драйвер). Видим и помечаем все подозрительные действия, например: изменение systemd/cron, установку пакетов/модулей ядра, правки конфигов, попытки ptrace/LD_PRELOAD и т.п.
Мы не раскрываем адреса подобных преступных ресурсов, чтобы такая "реклама" не привлекла на них дополнительный трафик, включая случайных посетителей. Кроме того, после блокировки фишинговых ресурсов на территории РФ злоумышленники могут перезапустить сайты-ловушки на других доменах, и важно дать пример, как можно определить такие сайты по общим характерным признакам, не привязываясь к конкретным доменам. Для этого мы предупреждаем пользователей об угрозе. И одновременно через наш CERT отправляем заявку на блокировку опасных ресурсов.
Эта статья - краткий вариант, избранные места из интервью, которое опубликовано на сайте F6 (https://www.f6.ru/blog/how-antifraud-works/). Некоторые подробности добавили в текст на Хабре. А если и этого покажется недостаточно, предлагаем ознакомиться с полной версией интервью на сайте, там больше деталей.
Добавим пять копеек к тому, что уже есть в новости.
На вопрос: «Почему Telegram?». За последние лет пять с развитием экосистемы Telegram киберпреступники активно используют возможности мессенджера. Например, мошеннические группировки, которые работают по схемам «Мамонт» и Fake Date, почти полностью переехали в Telegram: через мессенджер действуют их чат-боты, с помощью которых рядовые воркеры по шаблонам создают мошеннические ресурсы, происходит обмен информацией внутри самих скам-групп.
В то же время администрация Telegram активно противодействует злоумышленникам. Например, с этого года в мессенджере начали блокировать группы и чаты, в которых выкладывали утечки баз данных российских компаний.
Telegram, как и любой другой популярный мессенджер – об этом говорит в комментарии эксперт – создаёт мощный поток потенциального трафика для мошеннических схем, и злоумышленники пытаются этим воспользоваться. Соответственно, мы считаем своей задачей максимально предупредить пользователей мессенджера об опасностях, которые могут скрывать за фейками и недостоверными новостями.
В социальных сетях такие сообщения тоже распространяют. Но охват у соцсетей и Telegram всё-таки разный.
О похожих схемах вовлечения пользователей Telegram в мошенничество мы подробно писали ещё в декабре 2024 года. Прочитать можно вот здесь: https://habr.com/ru/companies/F6/news/865944/.
Мы пишем сами . А если что-то повторяется в текстах про сценарии мошенничества, так это не удивительно. Когда мы предупреждаем про новые уловки обманщиков, которые берут за основу хорошо забытое старое, то смысловых повторов никак не избежать. Нам важно напомнить всю последовательность событий, которые сопровождают атаку мошенников, освежить в памяти у тех, кто про неё слышал раньше, и предупредить тех, кто читает про такое впервые.
Можете быть уверены в достоверности. Эту статью подготовили реальные сотрудники компании F6, которые изучают киберпреступность в разных её проявлениях. Понимаем ваше удивление. И обращаем внимание на то, что в тексте описан сценарий, который используют мошенники для обмана - а не то, как устроена пропускная система в ЖК на самом деле. Мошенники стремятся ввести потенциальную жертву в заблуждение, создать у неё ложное представление в том, чего на самом деле нет, и "отключить" критическое восприятие, в том числе обещанием выгоды (мы помним, что стоимость аренды в объявлениях заявлена значительно ниже рыночной). Чем дальше, тем больше мошенники оттачивают свои сценарии, чтобы придать им убедительности, используют разные психологические приёмы, чтобы вызвать доверие. Так и в конкретном описанном сценарии: злоумышленники стараются убедить человека, который откликнулся на объявление, что он не сможет пройти на территорию ЖК никак иначе, кроме как через регистрацию в фейковом приложении.
Спасибо за вопрос! В среднем EDR-агент F6 MXDR загружает процессор конечного хоста в пределах 5%. Это незначительно и обычно не сказывается на производительности систем, используемых разработчиками и QA. В рамках пилота можно провести дополнительные тесты на конкретных хостах и подобрать конфигурацию EDR под конкретный хост — есть возможность влиять на то, какую телеметрию требуется собирать без потери качества детекта.
Спасибо за правильные вопросы! Начнем с конца. Вместе с РКН, НКЦКИ (Госсопкой), "Лигой безопасного интернета" компания F6 - одна из 12 российский компаний и организаций, которая компетентна в определении нарушений в Рунете. Этот список так и называется "Компетентные организации" https://tldpatrol.ru/organization/ То есть мы, вылавливая и определяя фишинг, ВПО и ботнет-контролеры, можем направлять эти ресурсы на блокировку. Что касается вопроса, кого мы защищаем. Если коротко: защищаем RuStore - защищаем пользователей магазина приложений. Как рассказали наши эксперты, блокировка фейковых сайтов, мимикрирующих под магазин RuStore и размещающих поддельные мобильные приложения (потенциально с ВПО), позволит уберечь пользователей RuStore в том числе от заражения устройства или не стать жертвой фишинга.
Добрый день! Спасибо за вопрос. Если коротко: метаданные обнаруженные внутри файла DOCX не изменяются при копировании и не относятся к информации, которую можно удалить с помощью кнопки "Удаление свойств и личной информации" в свойствах документа.
Активность Core Werewolf фиксируем, но атакуют они определенно реже, чем Sticky. Последняя была замечена в конце 2024. Поскольку изменений в киллчейне не наблюдали, то нет необходимости публично освещать итак уже хорошо описанную деятельность группировки.
Спасибо за вопрос! Наличие sudo у пользователя не влияет на работу EDR-агента и логику обнаружения. Мы детектируем и коррелируем поведение независимо от UID, опираясь на ядровую/системную телеметрию (eBPF/LSM, процесс/фс/сеть, собственный драйвер). Видим и помечаем все подозрительные действия, например: изменение systemd/cron, установку пакетов/модулей ядра, правки конфигов, попытки ptrace/LD_PRELOAD и т.п.
Спасибо за внимательность! Заменили
Мы не раскрываем адреса подобных преступных ресурсов, чтобы такая "реклама" не привлекла на них дополнительный трафик, включая случайных посетителей. Кроме того, после блокировки фишинговых ресурсов на территории РФ злоумышленники могут перезапустить сайты-ловушки на других доменах, и важно дать пример, как можно определить такие сайты по общим характерным признакам, не привязываясь к конкретным доменам. Для этого мы предупреждаем пользователей об угрозе. И одновременно через наш CERT отправляем заявку на блокировку опасных ресурсов.
Эта статья - краткий вариант, избранные места из интервью, которое опубликовано на сайте F6 (https://www.f6.ru/blog/how-antifraud-works/). Некоторые подробности добавили в текст на Хабре. А если и этого покажется недостаточно, предлагаем ознакомиться с полной версией интервью на сайте, там больше деталей.
Благодарим за внимание к нашим публикациям. Данные всех 143 обнаруженных фейковых сайтов направлены для блокировки на территории РФ.
Добавим пять копеек к тому, что уже есть в новости.
На вопрос: «Почему Telegram?». За последние лет пять с развитием экосистемы Telegram киберпреступники активно используют возможности мессенджера. Например, мошеннические группировки, которые работают по схемам «Мамонт» и Fake Date, почти полностью переехали в Telegram: через мессенджер действуют их чат-боты, с помощью которых рядовые воркеры по шаблонам создают мошеннические ресурсы, происходит обмен информацией внутри самих скам-групп.
В то же время администрация Telegram активно противодействует злоумышленникам. Например, с этого года в мессенджере начали блокировать группы и чаты, в которых выкладывали утечки баз данных российских компаний.
Telegram, как и любой другой популярный мессенджер – об этом говорит в комментарии эксперт – создаёт мощный поток потенциального трафика для мошеннических схем, и злоумышленники пытаются этим воспользоваться. Соответственно, мы считаем своей задачей максимально предупредить пользователей мессенджера об опасностях, которые могут скрывать за фейками и недостоверными новостями.
В социальных сетях такие сообщения тоже распространяют. Но охват у соцсетей и Telegram всё-таки разный.
О похожих схемах вовлечения пользователей Telegram в мошенничество мы подробно писали ещё в декабре 2024 года. Прочитать можно вот здесь: https://habr.com/ru/companies/F6/news/865944/.
Да, это наша собственная разработка. Подробности можно узнать на странице по ссылке: https://www.f6.ru/products/managed-xdr/
Итоги исследования, техническую информацию, индикаторы можно найти в блоге на сайте F6.
Мы пишем сами . А если что-то повторяется в текстах про сценарии мошенничества, так это не удивительно. Когда мы предупреждаем про новые уловки обманщиков, которые берут за основу хорошо забытое старое, то смысловых повторов никак не избежать. Нам важно напомнить всю последовательность событий, которые сопровождают атаку мошенников, освежить в памяти у тех, кто про неё слышал раньше, и предупредить тех, кто читает про такое впервые.
Можете быть уверены в достоверности. Эту статью подготовили реальные сотрудники компании F6, которые изучают киберпреступность в разных её проявлениях. Понимаем ваше удивление. И обращаем внимание на то, что в тексте описан сценарий, который используют мошенники для обмана - а не то, как устроена пропускная система в ЖК на самом деле. Мошенники стремятся ввести потенциальную жертву в заблуждение, создать у неё ложное представление в том, чего на самом деле нет, и "отключить" критическое восприятие, в том числе обещанием выгоды (мы помним, что стоимость аренды в объявлениях заявлена значительно ниже рыночной). Чем дальше, тем больше мошенники оттачивают свои сценарии, чтобы придать им убедительности, используют разные психологические приёмы, чтобы вызвать доверие. Так и в конкретном описанном сценарии: злоумышленники стараются убедить человека, который откликнулся на объявление, что он не сможет пройти на территорию ЖК никак иначе, кроме как через регистрацию в фейковом приложении.
Ну давайте тогда найдем достойный синоним ВПО?
Вирусы, вредоносы, трояны или не полностью отражают суть или как зловреды или вирусня режут ухо.
Спасибо за внимательность! Поправили, работу над ошибками провели.
Спасибо за вопрос! В среднем EDR-агент F6 MXDR загружает процессор конечного хоста в пределах 5%. Это незначительно и обычно не сказывается на производительности систем, используемых разработчиками и QA. В рамках пилота можно провести дополнительные тесты на конкретных хостах и подобрать конфигурацию EDR под конкретный хост — есть возможность влиять на то, какую телеметрию требуется собирать без потери качества детекта.
Эта информация была передана владельцам данных ресурсов.
Спасибо за правильные вопросы!
Начнем с конца. Вместе с РКН, НКЦКИ (Госсопкой), "Лигой безопасного интернета" компания F6 - одна из 12 российский компаний и организаций, которая компетентна в определении нарушений в Рунете. Этот список так и называется "Компетентные организации" https://tldpatrol.ru/organization/ То есть мы, вылавливая и определяя фишинг, ВПО и ботнет-контролеры, можем направлять эти ресурсы на блокировку.
Что касается вопроса, кого мы защищаем. Если коротко: защищаем RuStore - защищаем пользователей магазина приложений. Как рассказали наши эксперты, блокировка фейковых сайтов, мимикрирующих под магазин RuStore и размещающих поддельные мобильные приложения (потенциально с ВПО), позволит уберечь пользователей RuStore в том числе от заражения устройства или не стать жертвой фишинга.
Добрый день! Спасибо за вопрос. Если коротко: метаданные обнаруженные внутри файла DOCX не изменяются при копировании и не относятся к информации, которую можно удалить с помощью кнопки "Удаление свойств и личной информации" в свойствах документа.
Активность Core Werewolf фиксируем, но атакуют они определенно реже, чем Sticky. Последняя была замечена в конце 2024. Поскольку изменений в киллчейне не наблюдали, то нет необходимости публично освещать итак уже хорошо описанную деятельность группировки.
В том числе от оригинального домена отличается последний символ в имени:
"Домен @diadok[.]net, с которого было отправлено вредоносное письмо, мимикрирует под оригинальный домен компании “Контур.Диадок” - diadoc[.]ru. "
Да, похоже прошлогодний мем, на котором крупнейший дисплей MSG Sphere в Лас-Вегасе показывает «синий экран смерти» оказался пророческим.
Точно, спасибо! Добавили хеш данного клиента UltraVNC в иоки и упомянули про иконку приложения OneDrive.