Работа в Стамбуле

Рубрика: Без рубрики

  • Скам процессинга или как Google-реклама помогает угонять учётные записи Google AdSense

    Скам процессинга или как Google-реклама помогает угонять учётные записи Google AdSense

        Специалисты предупреждают, что дроповоды начали использовать рекламу в Google для продвижения своих собственных сайтов, которые очень похожи на Google и угоняют учётные данные от аккаунтов Google AdSense.

        Дроповоды размещают свои объявления в поисковой выдаче Google, притворяясь рекламой Google AdSense. Такие ссылки приводят пользователей на подставные страницы входа, размещенные на сервисе Google Sites. Визуально они повторяют официальный сайт Google AdSense, и потенциального терпилу просят войти в свою учетную запись.

    Реклама дроповодов Google AdSense

        Google Sites используется для размещения подставных страниц, потому что домен sites.google.com совпадает с корневым доменом Google. Это помогает дроповодам маскировать свои подделки под официальные ресурсы.

        «Конечно, нельзя показывать URL в рекламе, если ваша целевая страница (конечный URL) не совпадает с тем же доменным именем. Хотя это правило призвано защитить от злоупотреблений и мошенничества, его очень легко обойти, — объясняет наш старший исследователь. — Если посмотреть на объявление и страницу Google Sites, мы увидим, что объявление дроповодов не нарушает правил Google-рекламы, поскольку sites.google.com использует те же корневые домены, что и ads.google.com. Другими словами, разрешено показывать этот URL в объявлении, что делает его неотличимым от такого же объявления, действительно размещенного Google LLC».

    Схема скама процессинга Google AdSense

        По информации от холдеров, которые стали терпилами в результате таких действий дроповодов или наблюдали за тем, как они работают, скам процессинга происходят в несколько этапов:

    1. Холдер вводит логин и пароль от своего аккаунта на подложном сайте.
    2. Специальный фишинг-кит собирает файлы cookie холдера, учетные данные и уникальные идентификаторы.
    3. Холдер получает письмо с уведомлением о подозрительном входе в аккаунт (например, из Бразилии).
    4. Если холдер не отреагирует на это предупреждение, дроповоды добавят нового администратора в его Google AdSense, используя другой адрес Gmail.

        После этого дроповоды начинают похищать деньги с аккаунта и при необходимости блокируют доступ настоящему владельцу, превращая его в терпилу. Эксперты полагают, что за таким скамом стоит как минимум три группы дроповодов: говорящая на португальском группировка из Бразилии; группа из Азии, использующая аккаунты рекламодателей из Гонконга; а также некая команда из Восточной Европы.

        Исследователи считают, что главная цель дроповодов — продавать угнанные аккаунты Google AdSense в даркнете, а также использовать некоторые из них для процессинга серого трафика через сайты и YuTube-каналы в фиат с выводдом на карты и счета своих дропов посредством SWIFT или SEPA платежей.

        «Это одна из самых наглых схем по распространению использованию Google-рекламы, с которой мы когда-либо сталкивались. Она затрагивает саму основу бизнеса Google и может угрожать тысячам клиентов компании по всему миру. Мы ежедневно фиксируем новые инциденты, — пишет независимый исследователь. — Ирония ситуации заключается в том, что частные лица и компании, которые проводят рекламные кампании, или монетизируют свой контент, вполне вероятно не используют блокировщики рекламы (чтобы видеть свою рекламу и рекламу конкурентов), что делает их еще более уязвимыми перед такими скам схемами дроповодов».

        После публикации нашего отчета представители Google LLC сообщили, что уже занимаются этой проблемой: «Мы категорически запрещаем рекламу, созданную с целью обмана пользователей, угона их учётных данных или проведения каких либо скам действий. Наши специалисты уже активно изучают эту проблему и работают над ее скорейшим устранением».

  • Скам процессинга при помоши NFC докатился до России

    Скам процессинга при помоши NFC докатился до России

        Специалисты предупреждают о появлении новых версий банкера NGate, нацеленных на пользователей в России. Этот софт передает данные с NFC-чипа заряженного смартфона терпилы, позволяя дроповоду снимать деньги со счетов холдера в банкоматах без какого-либо участия с его стороны, то есть без разрешения и без его ведома. Напомним, что ранее мы уже рассказывали о NGate, и впервые этот банкер попал в поле зрения экспертов еще осенью прошлого года, когда стали появляться сообщения о скаме  клиентов крупных чешских и других европейских банков.

        Стратегия дроповодов строилась на комбинации социальной инженерии, фишинга и использования самого софта. И результатом взаимодействия с холдером становился удаленный доступ к NFC-возможностям его платежного средства, смартфона. Ранее специалисты писали, что чешские мундиры уже поймала одного из дроповодов, осуществлявшего такой скам в Праге. Однако, исследователи небезосновательно опасались, что тактика может получить более широкое распространение и представляет серьезный риск для пользователей ОС Android в целом.

        Как нам теперь сообщили, тактика действительно была адаптирована для наших российских реалий и уже используется против российских пользователей банковских карт с чипом и приложений. Событием, запускающем цепочку компрометации устройства и банковской карты, судя по всему, является звонок от дроповода, который сообщает холдеру о возможности получить различные социальные выплаты или иную финансовую выгоду. Для этого пользователю якобы необходимо проследовать по присланной ссылке на сайт дроповода, откуда скачивается уже заряженый файл APK с NGate, замаскированный под приложение портала Госуслуг, Банка России, или одного из других популярных банков.

    приложения, замаскированные под Банк России и Госуслуги

        Исследователи напоминают, что банкер NGate представляет собой модификацию опенсорсного приложения NFCGate, которое создавалось для отладки протоколов передачи NFC-данных.  NFCGate поддерживает множество функций, но наибольший интерес для дроповодов представляет возможность захвата NFC-трафика приложений и передачи его на удаленное устройство, которым может выступать или сервер, или непосредственно смартфон в кармане дроповода для осуществления процессинга.

        Дроповоды немного модифицировали исходный код, добавив к нему интерфейсы с айдентикой финансовых организаций, и включили режим ретрансляции NFC-данных. Кроме того, в состав приложения включена библиотека nfc-card-reader, которая позволяет дроповоду удаленно получить номер карты холдера и срок ее действия.

        Так, после запуска приложения терпиле, якобы для верификации себя в качестве клиента, предлагается приложить платежную карту к задней стороне смартфона, ввести свой PIN-код и подождать, пока псевдоприложение распознает карту. В это время происходит считывание данных с карты и передача информации дроповодам. Исследователи подчеркивают, что для угона NFC-данных смартфон терпилы не требует root-доступа.

    удобство оплаты NFC и скам процессинга

        В результате, пока терпила удерживает карту возле своего смартфона, дроповод уже находятся у банкомата и запрашивает выдачу наличных.

        Альтернативным вариантом является реализация данной схемы для бесконтактной оплаты покупок. То есть в момент, когда нужно будет приложить карту к терминалу, дроповод предъявит свой телефон, который передаст цифровой отпечаток банковской карты холдера. Подтвердить операцию дроповод сможет также полученным раннее PIN-кодом.

  • Что делать с «забытой» seed-фразой от криптокошелька на YouTube?

    Что делать с «забытой» seed-фразой от криптокошелька на YouTube?

        Исследователи даркнета недавно обнаружили новую скам схему процессинга. Дроповоды используют в качестве приманки настоящую seed-фразу от криптокошельков с токенами Tether USD (USDT) и якобы случайно размещают её в комментариях под каким-нибудь интересным видео на YouTube, посвященным финансовой или криптовалтной тематике. Дроповоды рассчитывают, что корыстные пользователи видеохостинга захотят воспользоваться таким шансом для вывода активов холдера на свой кошелёк.

        Такие комментарии пишутся от лица наивного пользователя, который якобы не знал о базовых мерах безопасности и выложил конфиденциальные данные от своего криптокошелька в открытый доступ ради консультации.

    пример разводки дроповода на крипту

        Такие криптокошельки обычно содержат токены USDT. Так как seed-фразы обычно достаточно, чтобы получить доступ к хранящимся в кошельке средствам, недобросовестные пользователи, привлеченные перспективой легкой наживы, могут попытаться опустошить чужой кошелёк. По словам исследователей, дополнительно искушать людей может не только то, что seed-фраза настоящая, но и тот факт, что они могут видеть баланс USDT и историю транзакций.

    демо крипто кошелёк дроповода
        Однако, когда пользователь пытается получить доступ к такому кошельку, он обнаружит, что для вывода USDT требуется оплатить комиссию в токенах TRX (Tron), которых в кошельке нет. Если пользователь переводит TRX из своего личного кошелька для оплаты такой «комиссии», эти средства мгновенно перенаправляются на другой кошелек, контролируемый дроповодами.
        Эксперты объясняют, что кошелек-приманка настроен как учетная запись с несколькими подписями (multisig), что требует дополнительных разрешений для авторизации любых транзакций. Поэтому, даже если терпила попытается перевести средства после оплаты «комиссии», сделать это у него не получится.
        «В этой схеме дроповоды делают ставку на стремление людей к быстрому „заработку” в интернете. В итоге сами пользователи попадаются в ловушку. Мы настоятельно призываем быть бдительными и придерживаться этичных принципов при работе с криптовалютами и в целом при проведении любых финансовых транзакций в интернете», — комментирует старший контент-аналитик «Лаборатории Нейронаук».
  • Новый Android-банкер для процессинга с помощью NFC

    Новый Android-банкер для процессинга с помощью NFC

        Исследователи обнаружили недавно новый банкер для Android процессинга, который может переводить деньги со счёта холдера без его ведома, передавая на устройство дроповода данные, считанные через NFC чип смартфона. Банкер, получивший название NGate, позволяет эмулировать карты терпил, совершать несанкционированные платежи или даже снимать наличные в банкоматах.
        По данным специалистов, NGate активен с ноября прошлого года и связан с недавними участившимися случаями использования Progressive Web Application (PWA) и WebAPK для процессинга с использованием банковских учетных данных у пользователей из Чехии. Также исследователи пишут, что в ряде случаев NGate применялся для прямого снятия наличных со счёта холдера в банкомате без его ведома.
    Установка WebAPK через подставной сайт, похожий на Google Play
        Процессинг с помощью нового банкера начинается с рассылки SMS-сообщений, автоматизированных звонков с заранее записанными сообщениями или Google-рекламы. Все это должно вынудить холдеров установить на свои устройства PWA, а затем банкер WebAPK, как исследователи уже описывали в прошлом отчете.
        Такие приложения не требуют никаких разрешений при установке и используют API браузера, в котором запускаются, чтобы получить необходимый доступ к аппаратному обеспечению устройства, в том числе к NFC чипу.
        После установки WebAPK терпилу хитростью вынуждают установить еще и NGate, и банкер активирует опенсорсный компонент NFCGate, который был разработан академическими исследователями для экспериментов с NFC. Этот инструмент поддерживает функции захвата, ретрансляции, воспроизведения и клонирования и далеко не всегда требует root-доступа для работы.
        Банкер применяет NFCGate для перехвата данных NFC с платежных карт, находящихся в непосредственной близости от заряженного таким образом устройства под управлением ОС Android, а затем передает информацию на устройство дроповода (напрямую, либо через специальный сервер).
        В итоге дроповод получает возможность сохранить эти данные в виде виртуальной банковской карты на своем смартфоне, а затем воспроизвести сигнал в банкомате, поддерживающем NFC для снятия наличных, или совершить PoS-платеж в точке продаж или супермаркете.
    процессинг на обычном компьютере
        Хотя для снятия наличных в большинстве банкоматов потребуется PIN-код, исследователи уверены, что узнать его нетрудно с помощью банальной социальной инженерии. К примеру, после того как нужный PWA/WebAPK уже установлен, дроповод звонит холдеру, притворяясь сотрудниками банка, и сообщают о некой проблеме с безопасностью. Затем он отправляет терпиле SMS со ссылкой для загрузки NGate, выдавая банкер за специальное приложение для верификации существующей банковской карты и PIN-кода.
        После того как холдер просканирует своюю карту заряженым устройством и введет PIN-код для «верификации» в NGate, конфиденциальные данные будут переданы дроповоду.
    Схема взаимодействия дроповода и холдера
        В приведенном ниже видео специалист Лукас Стефанко (Lukas Stefanko) демонстрирует, что компонент NFCGate в NGate также может использоваться для сканирования и перехвата данных карт в кошельках и рюкзаках окружающих дроповода людей в метро и прочьих людных местах.
        Специалист отмечает, что помимо этого банкер может использоваться для клонирования уникальных ID некоторых NFC-карт доступа и токенов, что может помочь дроповоду проникнуть в закрытые зоны режимных объектов.
        Эксперты сообщают, что евромундиры уже взяли одного дроповода, осуществлявшего такие операции в Праге. Однако исследователи опасаются, что эта тактика может получить более широкое распространение и представляет серьезный риск для пользователей ОС Android.
        Также в экспертных кругах подчеркивают потенциальную опасность, возникающую при клонировании карт доступа, транспортных билетов, ID-бейджей, членских карт и других NFC-носителей, объясняя, что процессинг фиатных денег в данном случае — далеко не единственный негативный сценарий.
        Для защиты от таких операций эксперты советуют отключать NFC на смартфоне, если он не используется постоянно. Также рекомендуется внимательно изучить все права доступа приложений и отозвать лишние, устанавливать банковские приложения только с официального сайта финансового учреждения или из официального магазина Google Play Store, а также убедиться, что используемое приложение не является WebAPK.
  • Не все HashRate агрегаторы одинаково полезны

    Не все HashRate агрегаторы одинаково полезны

    Исследователь безопасности Эдвард Сноуден, ранее работавший в компании Booz Allen Hamilton говорит, что он обнаружил ряд совершенных одним системным оператором Bell Canada подозрительных транзакций Bitcoin.

    пиратский захват дохода майнинг аппарата с помощью bgp mitm
    Для получения биткоинов инженер электросвязи скомпрометировал манинг пулы. В свою очередь, участники пулов продолжали отдавать часть производительности своих компьютеров и майнинг-аппаратов на поиск блока криптографического алгоритма Bitcoin, при этом все получаемые ими доходы доставались системному инженеру Bell Canada. Техника bgp mitm перенаправления трафика вводила в заблуждение участников для того, чтобы они продолжали искать блок криптографических алгоритмов Bitcoin, позволяя сетевому оператору сохранить доходы от майнинга криптовалюты на свой счёт. На пике своей деятельности, согласно подсчетам Сноудена, инженер электросвязи из Bell Canada перехватывал поток биткоинов и других цифровых валют, включая dogecoin и worldcoin в сумме эквивалентной примерно 22,5 BTC в день.

    Сноуден считает, что сетевой инженер или инженерка из Bell Canada применила стандартные команды управления протоколом BGP — «протокола граничного шлюза» на вверенном ему сетевом оборудовании, то есть обычные инструкции по маршрутизации, которые направляют трафик в места соединения крупнейших сетей интернета. Предполагается, что инженер или инженерка электросвязи воспользовалась своей учетной записью работника канадского интернет-провайдера Bell Canada, чтобы периодически транслировать нужный её маршрут, которая перенаправляла трафик от сетей других провайдеров, в которых установлены майнинг-аппараты, начиная с февраля и до конца мая этого года на свой сервер, подменяющий серверы изместных майнинг-пулов. В общей сложности таким способом пират или пиратка получила 207,9 BTC за весь перио на свой счёт.

    Однако Сноуден не называет конкретное подразделение интернет-провайдера Bell Canada, в котором работает тот самый инженер или инженерка электросвязи, получавшая до 22,5 BTC в день на криптовалютах с использованием оптимизированных под себя схем маршрутизации сетевого трафика.