Поиск

Опытным геймерам хорошо известно об угрозах, связанных с установкой игр, модов, скинов и другого геймерского ПО из неофициальных ресурсов. Однако источниками заражения могут быть и те платформы, которым пользователи привыкли доверять, — сайты разработчиков и официальные магазины. В нашем посте мы разберем несколько случаев, когда злоумышленники распространяли вредоносное ПО через официальные геймерские ресурсы. В конце расскажем, как защитить свою систему, лут и аккаунт — и спокойно играть, не опасаясь встретиться с неожиданными сюрпризами даже на привычных платформах. Зараженная утилита для настройки мыши Endgame Gear В июле 2025 года производитель продвинутых мышей, ориентированных на киберспортсменов и опытных геймеров, Endgame Gear сообщил о вредоносном ПО, которым была заражена утилита для настройки мыши OP1w 4k v2. Этот троян находился на официальном сайте компании почти две недели — с 26 июня по 9 июля 2025 года. На официальной странице игровой мыши модели Endgame Gear OP1w 4k v2 распространялась утилита настройки, зараженная вредоносным ПО. Источник Таким образом, пользователи, загрузившие в этот период утилиту с официальной страницы модели, получали вместе с ней вредоносное ПО. В Endgame Gear не уточнили, какая именно вредоносная нагрузка была в зараженной версии утилиты, но, судя по данным пользовательских сканирований, это был бэкдор семейства XRed. XRed обладает широким набором возможностей для удаленного управления зараженной системой. Он имеет функцию кейлоггера, а также позволяет злоумышленнику получать доступ к командной строке, делать скриншоты, просматривать содержимое дисков и папок, загружать и удалять файлы. Кроме того, зловред может скачивать дополнительные модули и передавать собранные данные о системе на удаленные серверы. View the full article

Вечером 15 сентября началась новая атака на популярнейший реестр JavaScript-компонентов, npm. Ряд пакетов, некоторые из которых имеют миллионы еженедельных загрузок, были заражены вредоносным кодом, крадущим токены и ключи аутентификации. Его самая интересная особенность – он способен распространяться автоматически, заражая другие доступные пакеты. Среди зараженных пакетов отметим популярный @ctrl/tinycolor. По данным Aikido Security были скомпрометированы почти 150 пакетов, включая пакеты Crowdstrike. Методика распространения и алгоритм работы Способ первого заражения и «нулевой пациент» на сегодня неизвестны. Поскольку «почерк» атаки очень похож на недавний инцидент s1ngularity, возможно, это тоже был фишинг. Но дальнейшая цепочка заражения такова: Вредоносный код добавляется в скомпрометированные пакеты в виде постинсталляционного скрипта, сохраненного в файле bundle.js. Когда жертва устанавливает себе зараженный пакет, скрипт начинает свою работу. В отличие от прошлого инцидента, скрипт кроссплатформенный и работает как в *nix-средах, так и под Windows. Скрипт скачивает подходящую для платформы версию TruffleHog, легитимного инструмента поиска секретов. TruffleHog находит в локальных файловых системах и доступных репозиториях строки с высокой энтропией. Это криптографические ключи, API-токены и другая подобная информация. Кроме поиска через TruffleHog, скрипт проверяет полезные токены, анализируя переменные окружения, например GITHUB_TOKEN, NPM_TOKEN, AWS_ACCESS_KEY_ID и AWS_SECRET_ACCESS_KEY. Затем он проверяет, действительны ли они, запросами к API-узлам npm whoami и GitHub user. Затем скрипт компрометирует пакеты npm, к которым у атакованного пользователя есть доступ на публикацию. Для этого он скачивает для заражаемого пакета его текущую версию из npm, увеличивает подверсию на 1, добавляет ссылку на постинсталляционный сценарий (postinstall hook) и записывает свою копию в файл bundle.js. Троянизированный таким образом пакет «новой версии» публикуется в npm. Репозитории жертвы помечаются как публичные, что иногда является отдельной, более важной утечкой. View the full article

Один из самых больших страхов в жизни человека — потеря домашнего питомца. Неважно, заплутала ли случайно собака в парке во время прогулки или удрала ли кошка исследовать окрестности дачи: любое из подобных событий — мощнейший источник стресса как для человека, так и для животного. Разумеется, для животных существуют геотрекеры, но большинство из них работает нестабильно там, где нет Интернета, например в лесу или парке, и там, где сигнал навигационных спутников заблокирован, — скажем, в подвалах, любимых «укрытиях» сбежавших кошаков. Кроме того, подобным геотрекерам нужны мощная батарея и своя SIM-карта, и, вдобавок к высокой цене самого трекера, они требуют постоянных расходов на связь и регулярной зарядки. Мы в «Лаборатории Касперского» создали новый сервис — PetKa — для поиска пропавших питомцев в городах. PetKa помогает защитить ваших питомцев и вернуть их домой в случае пропажи. Сегодня расскажем, как устроено наше решение и как начать им пользоваться. Умная метка Kaspersky Tag Сервис PetKa состоит из одной или нескольких (если у вас больше одного питомца) умных меток Kaspersky Tag и приложения PetKa для Android. Вы прикрепляете к ошейнику вашего любимца умную метку-маячок, авторизуетесь в приложении PetKa через My Kaspersky, добавляете профиль питомца, привязываете его метку в приложении и гуляете как и раньше — только теперь без стресса. PetKa не только обеспечивает отслеживание ваших меток Kaspersky Tag на карте, но и позволяет объединяться с другими пользователями для совместного поиска пропавших животных. Так устроена умная метка Kaspersky Tag Метка Kaspersky Tag объединяет в себе преимущества технологий GPS и Bluetooth, что позволяет точно определять местоположение питомца. Сигнал от метки будет обнаружен даже в труднодоступных областях: подвалах, оврагах и других сложных местах. В среднем приложение ловит Bluetooth-сигнал метки в обычных условиях в радиусе 60 метров, а на открытых пространствах — например, в парке — до 120 метров. Однако если вы предпочитаете прогулки в черте города, рядом с домами и другими препятствиями, то это расстояние может снижаться до 30 метров. В радиусе действия Bluetooth-сигнала вы можете "позвонить" на метку, нажав кнопку Проиграть мелодию в приложении, и найти питомца по звуку. В нашем внутреннем тестировании (а мы полгода испытывали PetKa на собственных любимцах в реальных условиях) внезапно выяснилось, что животные очень быстро понимают: если метка на ошейнике зазвучала, надо со всех лап нестись к хозяину за вкусняшкой. View the full article

Появится ли в 2027 году сверхразумный ИИ, пока не понятно. Зато прогноз на 2026-й уже ясен: год пройдет под знаком доступных ИИ-агентов — больших мультимодальных моделей, способных выстраивать и выполнять цепочку действий по команде пользователя. Уже сейчас «агентские» функции есть на сайте ChatGPT и других провайдеров, но для максимальной эффективности они должны выполнять нужные действия не где-то в облаке, а прямо на компьютере у пользователя. В идеале это, наверное, «ИИ-ОС», но создать операционную систему сложно. Поэтому все сосредоточились на понятном пользователям и эффективном варианте: ИИ-браузере. Под «ИИ-браузером» мы понимаем обычное приложение для просмотра сайтов, в которое глубоко внедрен доступ к LLM. ИИ-модель «видит» все открытые веб-страницы, может обрабатывать информацию с них и отдавать браузеру те же команды, что обычно дает пользователь: открыть, кликнуть, ввести, сохранить, загрузить. Пользу от такого решения видят все лидеры рынка — Perplexity выпустила собственный Comet Browser и недавно делала многомиллиардное предложение по покупке Chrome, а OpenAI запустила разработку собственного браузера. У Google и Microsoft ситуация проще — они интегрировали Gemini и Copilot в свои Chrome и Edge. Firefox идет к той же цели с другой стороны и постепенно интегрирует ИИ-функции глубоко в браузер. В результате уже сейчас реклама побуждает провести «апгрейд браузера», либо скачав новый, либо активировав «умные функции» в существующем. А в будущем году она будет звучать из каждого утюга. Остается решить: зачем это вам и стоят ли выгоды появляющихся рисков? Зачем вам ИИ-браузер Идеально воплощенный ИИ-ассистент в браузере может разгрузить владельца от многих нудных задач. Одной кнопкой можно получить краткую выжимку длинной статьи или двухчасового видео; вместо чтения длинного документа — задать вопрос по содержимому страницы. Все это происходит быстро и естественно, без необходимости копировать и вставлять ссылки или тексты на вкладке чат-бота. Но настоящий прорыв принесут именно агентские функции, то есть возможность не просто обрабатывать данные, а выполнять конкретные действия. Например, открыть любимый маркетплейс и написать ассистенту «положи мне в корзину все, что нужно для трехдневного турпохода в августе». В отличие от аналогичных функций, уже доступных на веб-сайтах ИИ-провайдеров, «агентурная работа» происходит прямо на вашем компьютере. Все нужные сервисы узнают вас (вы же вошли на сайты?), операции происходят гораздо быстрее, чем на облачной виртуальной машине — правда, не факт, что результативнее. Функции подбора информации могут выдавать более релевантные результаты в ИИ-браузере на вашем устройстве, потому что ботов ChatGPT, Claude, Perplexity и других не пускают на многие сайты, и поэтому LLM не учитывают в своих ответах многие актуальные источники. С запуском тех же функций из браузера эта проблема существенно уменьшится, ведь ИИ-ассистент будет заходить на сайты от вашего лица. И, если вы подписаны на какие-то закрытые источники данных (научные журналы, биржевые сводки), ИИ-агент сможет при необходимости использовать их в своей работе. View the full article

Незаметно для нас мессенджеры стали неотъемлемой частью жизни, средой, где мы проводим значительную часть повседневных активностей. Мы используем их для общения с друзьями, семьей и коллегами, для чтения новостей, развлечения и даже для продвижения бизнеса или своего личного бренда. Разумеется, такой популярный инструмент неизбежно привлекает и злоумышленников. Поэтому, кроме комфорта и удобства, мессенджеры привносят в нашу жизнь и ряд рисков. В этом посте мы решили посмотреть на основные угрозы для пользователей мессенджеров с точки зрения производителя защитных решений и продумать, как разработчики могли бы обеспечить дополнительную безопасность своих коммуникационных приложений. Чрезмерные разрешения Каждое современное приложение при установке и во время использования просит разрешения на доступ к различным функциям мобильного устройства: контактам, камере, микрофону, геолокации, галерее фотографий и так далее. В большинстве случаев эти разрешения действительно необходимы для работы приложения, но иногда пользователи дают гораздо больше прав, чем это нужно для нормальной работы в данный момент. При этом далеко не всегда пользователю очевидно, зачем именно мессенджеру нужен тот или иной доступ и, что еще важнее, — что происходит с данными, к которым этот мессенджер доступ получил (особенно если контроль над приложением захватят злоумышленники). А между тем, лишние доступы могут нести угрозу не только приватности, но и безопасности всего устройства в целом. Чтобы минимизировать эти риски, следует придерживаться нескольких простых правил. Во-первых, мы рекомендуем придерживаться принципа минимально необходимых привилегий. Это значит, что доступ к каким-либо функциям и данным следует разрешать, только если пользователь понимает, для чего это нужно, и только на то время, когда это действительно необходимо. Например, простому текстовому мессенджеру едва ли нужен доступ к точной геолокации. Или если вы не собираетесь совершать видеозвонки через конкретный мессенджер, то и доступ к камере ему ни к чему. View the full article

Несколько популярных npm-пакетов, используемых во множестве веб-проектов были скомпрометированы и троянизированы неизвестными злоумышленниками. Атакующие, при помощи фишинговой атаки на мейнтейнеров, смогли получить доступ как минимум к одному репозиторию и снабдить пакеты вредоносным кодом, служащим для охоты за криптоактивами. Все веб-приложения, собранные с применением троянизированных пакетов, превращаются в криптодрейнер. А таковых может быть достаточно много, поскольку у скомпрометированных пакетов было более двух миллиардов загрузок в день (по данным Aikido security). Чем опасны троянизированные пакеты, использованные в этой атаке? Во все пакеты был добавлен обфусцированный Javascript. Если скомпрометированный пакет используется в веб-приложении, то вредоносный код активизируется на устройствах пользователей, обращающихся к этому приложению. Действуя на уровне браузера, он перехватывает сетевой трафик и API-запросы и изменяет данные, связанные с криптокошельками Ethereum, Bitcoin, Solana, Litecoin, Bitcoin Cash и Tron. Зловред подменяет их адреса и перенаправляет транзакции в кошельки злоумышленников. Примерно через три часа после начала атаки администрация npm начала удалять обнаруженные заражённые пакеты, но сколько точно раз их успели скачать за это время – точно неизвестно. View the full article

Интернет уже давно стал естественной средой обитания для детей и подростков: свой первый гаджет ребенок получает в начальной или средней школе, а учеба уже не обходится без современных технологий. Злоумышленники в Сети, конечно, про это знают: они могут попытаться выманить у детей личные данные, отправить вредоносные ссылки, склонить к опасному общению или украсть родительские деньги. Все это означает, что кибербезопасность в семье должна стать повседневной привычкой. Наше руководство по уменьшению цифрового следа детей и подростков не только поможет вам сориентироваться в возможных угрозах, но и научит тому, как создать безопасную среду, не впадая в повсеместные ограничения и паранойю. На что обратить внимание Для начала давайте локализуем зоны риска — где и что в цифровой среде ребенка должно привлечь ваше внимание как родителя: групповые чаты вузов и школ в незащищенных мессенджерах; голосовые чаты в видеоиграх; овершеринг в соцсетях; поиск в Интернете и внутри глобальных социальных платформ; использование ИИ и правила потребления генеративного контента; общие правила безопасного использования устройств и публичных сетей. Самый эффективный способ обеспечения детской безопасности — не запреты и ограничения, а диалог. Конечно, можно настраивать черные и белые списки, забирать смартфон после оговоренного времени и стоять над душой, когда ребенок что-то генерирует в Gemini. Но такой подход чреват потерей доверия и делает из вас противника свободы в глазах ребенка. Запреты всегда будет хотеться обойти, поэтому лучше объяснить правила — и причину их возникновения. Ниже мы приведем список рекомендаций, благодаря которым ребенок может избежать неприятностей и уменьшить свой цифровой след в Интернете. View the full article

В марте этого года мы описывали вредоносную кампанию c применением зловреда PhantomPyramid, которую мы с высокой степенью вероятности приписываем группе Head Mare. Отличительной особенностью этой кампании было использование техники polyglot, суть которой сводится к тому, что злоумышленники используют файлы, которые при разных условиях интерпретируются системой по-разному. Продолжая отслеживать активность этой группы, мы на протяжении августа регистрировали новую волну целевых рассылок того же трояна PhantomPyramid с новыми документами в качестве приманки и со все той же техникой polyglot. Как Head Mare доставляет PhantomPyramid жертвам Атака начинается с вредоносной рассылки, в ходе которой на адрес компании приходят письма с ZIP-архивами во вложении. На самом деле это polyglot-файл, который одновременно является и архивом, и исполняемым контейнером для Python-скрипта. Пользователь открывает его как обычный ZIP-файл и видит внутри текстовый документ в формате .docx. Хотя в реальности это вовсе не документ, а ярлык Windows, клик по которому приводит к заражению трояном PhantomPyramid. Достигается это за счет использования двойного расширения .docx.lnk, просто при просмотре содержимого архива видно только первое расширение. Содержимое вредоносного архива — тип файла показывается как ярлык (shortcut) Если у пользователя содержимое папок и архивов отображается в деталях, то заметить, что настоящий тип файла — это ярлык, достаточно несложно. Однако многие пользователи предпочитают просматривать файлы в виде краткого списка или как иконки и не видят этого поля. Ярлык не только запускает процесс заражения, но и открывает файл-приманку. Впрочем, по всей видимости, почта — не единственный вариант заражения, используемый Head Mare в этой кампании. Как минимум в одной из попыток заражения вредоносный архив предположительно был скачан на компьютер жертвы через Telegram. View the full article

Недостатки и уязвимости сотовых сетей регулярно применяются для атак на абонентов. Злоумышленники используют устройства с броскими названиями IMSI Catcher (Stingray) и SMS blaster, чтобы следить за перемещениями людей, а также присылать им спам и вредоносное ПО. Проще всего проводить такие атаки было в сетях 2G, сложнее — в сетях 3G и 4G, где появилась защита. Но даже в 4G-сетях нашлись недостатки реализации, делающие возможными отслеживание перемещений абонента и другие утечки информации. Вздохнем спокойно при переходе на 5G? Увы, нет. Апгрейд наоборот Многие практические атаки вроде того же «SMS-бластера» основаны на «даунгрейде», то есть принудительном переключении смартфона жертвы на более старые стандарты связи. В старых стандартах у атакующего больше простор для маневра — от возможности узнать уникальный идентификатор абонента (IMSI) до отправки фальшивых SMS от имени любой организации. Как правило, «даунгрейд» проводится с помощью устройства, которое заглушает сигнал настоящей базовой станции сотового оператора и транслирует что-то свое. Но это может быть обнаружено оператором и в будущем будет работать хуже, потому что в смартфонах появляется встроенная защита от подобных атак, препятствующая переключению на 2G, а иногда и на 3G. Исследователи Сингапурского технологического университета продемонстрировали атаку SNI5GECT, которая работает в новейших 5G-сетях и не требует таких заметных действий, как глушение легитимного сигнала базовых станций. Атакующий, находясь в радиусе до 20 м от жертвы, может заставить модем целевого устройства перезагрузиться, а также насильственно переключить его в сеть 4G, где проще идентифицировать абонента и следить за его перемещениями. Как работает атака? Перед подключением устройства к базовой станции 5G между ними происходит обмен информацией, первые этапы которого не зашифрованы. Позднее, уже установив зашифрованный сеанс связи, база и смартфон «представляются» друг другу, но «договариваются» о параметрах сеанса они в открытом, незашифрованном виде. Устройство атакующего отслеживает этот процесс и очень точно выбирает момент, чтобы прислать уместный блок информации раньше, чем это сделает легитимная базовая станция. В результате модем жертвы обрабатывает вредоносные данные. В зависимости от модема и содержимого пакета информации, это приводит либо к переключению модема в сеть 4G с отказом заново подключаться к той же 5G-базе, либо к сбою и перезагрузке модема. Второе полезно, только если нужно кратковременно оставить жертву без связи, а вот первое позволяет применять все известные атаки на 4G для слежки. Атака продемонстрирована на смартфонах OnePlus Nord CE 2, Samsung Galaxy S22, Google Pixel 7 и Huawei P40 Pro. В этих устройствах используются совершенно разные сотовые модемы: MediaTek, Qualcomm, Samsung и Huawei, но проблема кроется именно в особенностях стандарта, а не конкретных смартфонов. Отличия в нюансах: одни модемы можно перезагружать, а другие нельзя, в одних модемах вставить вредоносный пакет удается лишь в половине атак, а в других — в 90%. View the full article

В свежем отчете MIT The GenAI Divide: State of AI in Business 2025, который сильно охладил акции технологических компаний, помимо интересных наблюдений об экономике и организации внедрения ИИ в бизнесе, есть немало полезного для команд ИБ. Авторов не волновали вопросы безопасности — слова security, cybersecurity и safety вообще не встречаются в отчете. Но выводы исследования можно и нужно использовать, планируя новые ИБ-политики компании по вопросам ИИ. Ключевое наблюдение: лишь 40% опрошенных организаций приобрели какую-либо подписку на LLM, но при этом в 90% сотрудники регулярно применяют личные ИИ-инструменты для рабочих задач. В отчете это названо «теневой экономикой ИИ», которая более эффективна, чем официальная. Всего 5% корпораций получают положительный экономический эффект от своих ИИ-внедрений, а вот сотрудники успешно повышают личную эффективность. Подход «сверху вниз» во внедрении ИИ часто не приносит успеха. Поэтому авторы отчета рекомендуют «учиться, анализируя теневое использование и ценность, приносимую персональными инструментами, перед закупками корпоративных альтернатив». Как этот совет сочетается с правилами ИБ? View the full article

Откройте любой сайт в Интернете — скорее всего, первым, что вы увидите, будет всплывающее оповещение про использование cookie-файлов. Обычно вам предлагают принять все или только необходимые cookies — или же отклонить их. При этом, вне зависимости от вашего решения, вы, скорее всего, не заметите разницы, но оповещение в любом случае пропадет с экрана. Сегодня мы расскажем чуточку больше о cookie-файлах — зачем они нужны, какие бывают, как их могут перехватывать злоумышленники, чем это грозит и как защититься. Что такое cookie-файлы Когда вы заходите на какой-либо сайт, он отправляет браузеру cookie — так называют небольшой текстовый файл с данными о вас, вашей системе и действиях, которые вы совершали на сайте. Браузер, сохранив эти данные на вашем устройстве, отправляет их обратно на сервер при каждом последующем обращении к этому сайту. Благодаря этому ваше взаимодействие с сайтом упрощается — не приходится авторизовываться на каждой странице, сайты помнят выбранные вами настройки оформления, интернет-магазины хранят в корзине выбранные вами товары, стриминговые сервисы знают, на какой серии вы остановили просмотр, и так далее. В куки-файлах могут храниться логин, пароль, токены безопасности, номер телефона, адрес, банковские данные и Session ID (идентификатор сеанса). Идентификатор сеанса рассмотрим чуть подробнее. Session ID — это уникальный код, присваиваемый каждому пользователю при входе на сайт. Если третьему лицу удается перехватить этот код, то для веб-ресурса он будет выглядеть как легитимный пользователь. Вот простая аналогия: представьте, что войти в офис можно по электронному пропуску с уникальным кодом. Если у вас его украдут, то похититель — неважно, похож он на вас или нет — беспрепятственно сможет открыть двери в любые доступные вам помещения. При этом система безопасности будет уверена, что входите вы — подобный сюжет можно увидеть во многих детективных сериалах. Так и в Интернете: если злоумышленник украдет куки с Session ID, он сможет зайти на сайт, где вы уже были залогинены, от вашего имени, не нуждаясь в вводе логина-пароля, а порой и минуя двухфакторную аутентификацию. Именно так в 2023 году хакеры угнали YouTube-каналы знаменитого техноблогера Linus Sebastian – Linus Tech Tips и еще два канала, принадлежащих Linus Media Group – с десятками миллионов подписчиков. Мы подробно разбирали этот случай ранее. View the full article

Представьте ситуацию — вы едете в поезде, беседуете с милой попутчицей с маленьким ребенком, скоро станция, она лезет в кошелек, достает банковскую карту и меняется в лице: «Боже, я случайно карточку сломала! Как же быть, мне ж надо денег было снять… А можно я вам сейчас переведу деньги, а вы мне в банкомате снимете?». Практически любой человек согласится помочь: все-таки девушка с ребенком, они вдвоем в чужом городе, ситуация приключилась сложная… Да и что может пойти не так — у вас же не просят деньги, а наоборот, переводят вам, никакого обмана! И вот перевод уже на вашем счету, вы снимаете наличные в банкомате, попутчица восторженно благодарит — и растворяется в толпе. А через пару недель вам в дверь звонят полицейские… Вам казалось, что вы делаете доброе дело — но именно так становятся невольными участниками преступных схем по отмыванию денег. Помощников, готовых провести нелегально добытые средства через свой счет, называют дропперами. Сегодня расскажем, как можно стать дроппером поневоле и чем это грозит. Как становятся дропперами По умолчанию дроппер — любой человек, чья банковская карта используется для передачи или обналичивания чужих средств. Дроппер (от английского drop — сбрасывать) — расходный материал в любой мошеннической схеме, а потому и стать им может кто угодно, в том числе и тот, кто вообще впервые слышит это слово. Схем вовлечения таких людей великое множество, и вот лишь некоторые из них. «Непыльная работа в Интернете». Частенько в чатах по поиску работы можно наткнуться на громкие предложения: «Ищу несколько человек, плачу 5000 рублей в час, работа непыльная, нужен только доступ в Интернет». Суть работы — принимать платежи от одних людей и передавать деньги другим. Или снимать переведенные деньги со своей карты и отдавать случайным курьерам наличные. При этом заплатить за такую услугу на самом деле могут, но поверьте — даже 5000 рублей в час совершенно не стоят возможных последствий, о которых мы расскажем ниже. «Я карточку дома забыл. Поможете?». Ситуация с девушкой и поездом легко трансформируется в другие сценарии. Вместо девушки может оказаться парень, который будет рассказывать жалостливую историю про забытую карточку и отсутствие возможности прямо здесь и сейчас оплатить со своей карты смартфон, телевизор, парфюм, кроссовки или еще какую-нибудь дорогостоящую вещь. Предложит перевести вам деньги, чтобы вы оплатили товар со своей карты, — и вы, скорее всего, согласитесь, особенно если на покупки по вашей карте начисляется кешбэк. Но заметьте: если вам такой незнакомый чудак напишет в мессенджере, то вы, скорее всего, пошлете его далеко и надолго — а вот если вы вместе стоите на кассе в магазине, то вероятность того, что вы окажете «помощь», значительно выше. View the full article

Требования к ИБ непрерывно растут по мере цифровизации бизнеса, увеличения стоимости инцидентов и ужесточения регуляторики. Растет и сложность атак на организации. По данным сервиса Kaspersky Incident Response за 2024 год, в 39% расследованных инцидентов эксплуатировались уязвимости в публично доступных серверах компании, а треть атак использовали легитимные учетные данные для проникновения в организацию. Получив начальный доступ, злоумышленники часто стараются «не шуметь». Они не применяют вредоносное ПО, а ограничиваются легитимными сетевыми инструментами: средствами удаленного доступа (AnyDesk, SSH, RDP), утилитами туннелирования (Cloudflare, ngrok), системными службами (PsExec, PowerShell). Для скачивания дополнительных инструментов, выгрузки украденных данных и передачи команд также используются крупные легитимные сервисы — от Amazon S3 и Cloudflare до GitHub и Google Calendar, причем 87% трафика зашифровано. Чтобы детектировать такие атаки и останавливать их развитие, в распоряжении команды ИБ должны быть современные инструменты, между которыми автоматизирован обмен информацией в реальном времени. Какие возможности будут ключевыми? Расшифровка трафика и анализ на уровне приложений Сам факт установки соединения с сервером мало что значит в условиях, когда подавляющее большинство веб-сервисов работает на хостинг-инфраструктуре крупных компаний (Amazon, Microsoft, Google, Cloudflare) и каждым из них так или иначе могут злоупотреблять атакующие. Вот несколько примеров широко известных атак, в которых злоумышленники опираются на публичные сервисы для загрузки ВПО, С2 и кражи данных. Атака на цепочку поставок, в которой было скомпрометировано популярное офисное ПО для VoIP-телефонии 3CXDesktopApp, загружала необходимые компоненты с GitHub. Еще одна атака, в ходе которой злоумышленники использовали легитимное ПО виртуализации QEMU, чтобы создать на скомпрометированном хосте RDP-прокси для дальнейшего доступа к другому хосту внутренней сети в обход традиционного файрвола. Кампания EastWind с использованием бэкдора CloudSorcerer получает команды с публичных сервисов «Живой Журнал», Quora и Dropbox; также на Dropbox отправляются украденные файлы. Многочисленные атаки при помощи шифровальщика ALPHV BlackCat на организации из сферы здравоохранения, в которых для эксфильтрации данных использовались серверы Dropbox и Mega.nz. Кампания SERPENTINE#CLOUD, в которой которой загрузка ВПО ведется с серверов WebDAV через туннели Cloudflare — бесплатный сервис trycloudflare позволяет злоумышленникам раздавать любые файлы, не регистрируя хостинг и обходя обычные проверки хостинг-провайдеров. View the full article

Друзья! Предлагаем вам поучаствовать в викторине, посвящённой интересному продукту от «Лаборатории Касперского» - Kaspersky Machine Learning for Anomaly Detection 5.0. В ходе прохождения викторины вы узнаете о том, для чего нужна эта система, каковы рекомендации по работе данной системы, её особенности, а также ознакомитесь с содержанием раздела официального сайта Kaspersky Online Help, посвящённым этой программе. НАГРАЖДЕНИЕ Без ошибок — 1 000 баллов Одна ошибка — 800 баллов Две ошибки — 500 баллов Баллами можно оплатить лицензии и сувениры в магазине Клуба. ПРАВИЛА ПРОВЕДЕНИЯ Викторина проводится до 22:00 25 августа 2025 года (время московское). Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины. Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @Mrak (пользователей @Машуня и @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает. Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений. Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки. Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса. Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено. Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.

Популярная система сборки и оптимизации сборочного конвейера CI/CD Nx была скомпрометирована в ночь с 26 на 27 августа. В пакеты системы, имеющие по статистике репозитория npm более 5 миллионов загрузок еженедельно, был добавлен вредоносный скрипт, который запускается сразу после инсталляции пакета. У тысяч разработчиков, применяющих Nx для ускорения и оптимизации сборки приложений, были украдены важные конфиденциальные данные: токены npm и GitHub, ключи SSH, криптокошельки, API-ключи. Эти данные выгружались в публичный репозиторий GitHub. Масштабная утечка секретов создает долгосрочную угрозу атак на цепочку поставок — даже когда вредоносные пакеты будут удалены из пораженных систем, у злоумышленников все равно могут остаться возможности компрометации приложений, создаваемых этими тысячами разработчиков. Хронология атаки и реагирования Злоумышленники воспользовались скомпрометированным токеном одного из мейнтейнеров пакета Nx чтобы в течение двух часов с 22:32 UTC 26 августа до 0:37 UTC 27 августа опубликовать многочисленные вредоносные версии пакета Nx и его плагинов. Двумя часами позже платформа npm удалила все скомпрометированные версии пакетов, а еще час спустя владельцы Nx отозвали украденный токен — атакующие потеряли доступ к публикации. Тем временем на GitHub стали появляться тысячи публичных репозиториев, содержащих данные, украденные вредоносным скриптом. 27 августа в 9:05 UTC отреагировал уже GitHub, сделав все репозитории с утечкой приватными и недоступными для поиска. Тем не менее, украденные данные были общедоступны более 9 часов и их скачали многократно разные группы злоумышленников и исследователей. В общей сложности было выпущено 19 скомпрометированных версий Nx и плагинов: @nx, 20.9.0, 20.10.0, 20.11.0, 20.12.0, 21.5.0, 21.6.0, 21.7.0, 21.8.0 @nx/devkit, 20.9.0, 21.5.0 @nx/enterprise-cloud, 3.2.0 @nx/eslint, 21.5.0 @nx/js, 20.9.0, 21.5.0 @nx/key, 3.2.0 @nx/node, 20.9.0, 21.5.0 @nx/workspace, 20.9.0, 21.5.0 View the full article

В последнее время на новостных сайтах, связанных с тематикой информационной безопасности, часто упоминалась система управления контентом (CMS) WordPress. Чаще всего причиной были уязвимости во всевозможных плагинах и темах для нее; впрочем, наши коллеги также наблюдали кейс, в котором злоумышленники распространяли трояны через плохо защищенные WordPress-сайты. Само по себе это не удивительно — данная CMS остается одной из самых популярных. Но такое количество обнаруженных в ее плагинах уязвимостей и связанных с ней инцидентов говорит о том, что за ней тщательно следят не только исследователи из мира ИБ, но и злоумышленники. Инциденты, связанные с WordPress Только за это лето стало известно о нескольких достаточно серьезных инцидентах, в которых злоумышленники действовали через WordPress. Плагин Gravity Forms: компрометация сайта и заражение кода В начале июля злоумышленники получили доступ к сайту Gravity Forms, популярного расширения для создания форм, и внедрили вредоносный код в версии 2.9.11.1 и 2.9.12 плагина. Сайты, на которых эти версии плагина были установлены администраторами вручную или через инструмент управления PHP-зависимостями Composer в период с 9 по 10 июля, были заражены зловредом. Зловред блокировал дальнейшие попытки обновления пакета, скачивал и устанавливал дополнительный вредоносный код и добавлял учетные записи с правами администратора. В результате злоумышленники получали возможность захватить сайт и использовать его для какой-либо вредоносной активности. Разработчики Gravity Forms рекомендуют всем своим пользователям проверить, не установлена ли у них потенциально опасная версия. Инструкции, как это легко сделать, можно найти в предупреждении об инциденте на официальном сайте плагина. Там же находится и инструкция по устранению угрозы. Ну и, разумеется, необходимо обновить плагин до версии 2.9.13. View the full article

Брокеры данных — это фирмы, собирающие на вас обширные досье для перепродажи. Объектами интереса являемся все мы, сотни миллионов людей во всем мире. При этом у нас не спрашивают разрешения и нам не платят никакой компенсации. Названия большинства компаний малоизвестны, и вы никогда не взаимодействовали с ними напрямую. Но таких фирм только в США около тысячи, а во всем мире — в пять раз больше. Объем этого рынка оценивался в прошлом году почти в $300 млрд. Клиентами брокеров бывают банки с проверками кредитной истории; торговые фирмы, ищущие новых покупателей; спецслужбы и многие другие организации, которым нужны подробные данные о людях. Что и где собирают брокеры данных? Все, до чего могут дотянуться. Чаще всего это: личная информация: полное имя, физический адрес, дата рождения, контактные телефоны и e-mail, номера документов (паспорт, водительское удостоверение и так далее); возраст, пол, происхождение, семейное и финансовое положение, уровень и вид образования; количество и вид домашних животных; марка и пробег автомобиля; данные о геолокации: вероятные места работы и проживания, любимые магазины и места досуга; информация о покупках онлайн и офлайн, участие в программах лояльности магазинов, любимые марки; подробная банковская информация: кредитоспособность, число и виды счетов, депозитов, инвестиции, ипотека, привычки при пользовании кредитными картами, данные о банкротстве; информация о поведении онлайн: любимые веб-сайты, виды часто просматриваемого контента в соцсетях, хобби, недавно просмотренные рекламные ролики и так далее; информация о состоянии здоровья, включая данные о покупках лекарств, поиске симптомов в Интернете и данные фитнес-приложений; привычки, увлечения, политические и религиозные убеждения, любимые СМИ; информация о социальных связях: члены семьи, коллеги, друзья. Чтобы собрать такое пугающе детальное досье, брокеры скачивают любые публично доступные данные (профили в соцсетях, реестры предпринимателей, реестры владельцев недвижимости, объявления на онлайн-барахолках), запрашивают информацию в бюро кредитных историй, покупают данные друг у друга, данные программ лояльности и аналитику — у производителей гаджетов, сотрудничают с фирмами, которые занимаются интернет-рекламой и трекингом — в первую очередь с теми, что размещают рекламу в мобильных приложениях. Все это сопоставляется по любым повторяющимся идентификаторам (адреса e-mail, телефоны, имя+адрес, номер паспорта), чтобы обогатить досье. View the full article

Подключенную к компьютеру веб-камеру обычно подозревают в подглядывании, но теперь ей придумали роль в традиционных кибератаках. На конференции Black Hat описали атаку BadCam, которая позволяет перепрошить камеру, а затем выполнять на компьютере, к которому она подключена, вредоносные действия. По сути это вариант давно известной атаки типа BadUSB, однако главное отличие BadCam заключается в том, что атакующим необязательно заранее готовить вредоносное устройство — они могут использовать изначально «чистую» и уже подключенную к компьютеру камеру. Еще одно неприятное новшество — атака может быть произведена полностью дистанционно. Хотя исследование провели этичные хакеры и BadCam еще не используется в реальных атаках, злоумышленникам будет несложно разобраться в ней и воспроизвести нужные действия. Поэтому организациям стоит понять механику BadCam и принять защитные меры. Возвращение BadUSB Атаку BadUSВ тоже представили на Black Hat, правда в 2014 году. Ее суть в том, что безобидное на вид устройство, например USB-накопитель, перепрограммируют, дополняя его прошивку. При подключении к компьютеру этот вредоносный гаджет «представляется» составным USB-устройством, имеющим несколько компонентов, таких как USB-накопитель, клавиатура или сетевой адаптер. Функции накопителя продолжают исправно работать, пользователь работает с флешкой как обычно. Одновременно скрытая часть прошивки, имитирующая клавиатуру, отправляет на компьютер команды, например клавиатурную комбинацию для запуска PowerShell и последующего ввода команд для загрузки из Сети вредоносных файлов или запуска туннеля к серверу атакующих. Функции BadUSB часто используют в работе современных red team, для этого обычно применяются специализированные «хакерские мультитулы» вроде Hak5 Rubber Ducky или Flipper Zero. View the full article

Постоянный доступ в Интернет и мобильная связь привычны, как электричество, и мы уже плохо представляем, как жили без них раньше. Но представьте себе ситуацию, когда мобильного Интернета или сотовой связи нет, а вам нужно оставаться на связи с друзьями поблизости. Например, в самолете вашу компанию рассадили по разным концам салона, а вы собирались во время полета обсудить дальнейшие планы поездки. Или на музыкальном фестивале Интернет еле дышит, вокруг громко, но договориться, когда идти на мейн, все-таки нужно. Тут на помощь могут прийти децентрализованные p2p- (peer-to-peer) или mesh-мессенджеры, позволяющие связать множество устройств в единую mesh-сеть через Bluetooth или Wi-Fi Direct. В 2010-е годы с появлением Wi-Fi Direct подобные мессенджеры, с одной стороны, наделали много шума, а с другой, — не получили особого распространения: непонятно было, для чего и где их использовать. Странная замена рации, менее дальнобойной и более энергозависимой, не стала популярной среди пользователей смартфонов. Тем не менее по сей день подобные мессенджеры живы, поддерживаются разработчиками и даже появляются новые разработки. Меж тем, у этих мессенджеров есть важная ниша: они позволяют оставаться на связи в ситуациях природных катаклизмов, координировать работу поисковых групп или просто общаться с соседями по дому или даче при сбоях мобильной связи или Интернета. Для этих и других подобных случаев не идеально, но подойдут децентрализованные мессенджеры, которые не требуют подключения к Интернету. Так что, если перед задуманным походом вам не доставят заказанные рации, вы можете попробовать воспользоваться mesh-мессенджерами как запасным вариантом. Децентрализованными также часто называют блокчейн-мессенджеры вроде Status или Brave Talk. Однако о них сегодня речь не пойдет, так как для их работы требуется устойчивое подключение к Интернету. Как работают p2p-мессенджеры? Принцип работы подобных мессенджеров основан на децентрализованных mesh-сетях, где каждое устройство одновременно является и клиентом, и ретранслятором. Из множества клиентских устройств строится распределенная сеть, каждый участник которой может служить мостом для передачи сообщений дальше. Представьте, что ваш смартфон превращается в мини-рацию, которая может передавать сообщения другим таким же устройствам с нужным приложением поблизости. Если вы хотите отправить сообщение, оно будет «прыгать» через смартфоны других пользователей приложения, пока не дойдет до адресата. При этом промежуточные устройства не смогут прочитать сообщение — для связующих узлов оно будет зашифровано. Устройства связываются между собой напрямую с использованием либо Bluetooth, либо Wi-Fi Direct. View the full article

До недавнего времени злоумышленники в основном интересовались криптокошельками исключительно домашних пользователей. Однако, по всей видимости, бизнес все чаще стал использовать криптовалюту — теперь злоумышленники пытаются добраться и до кошельков организаций. За примерами далеко ходить не надо. Недавно исследованный коллегами зловред Efimer, рассылаемый организациям, умеет подменять адреса криптокошельков в буфере обмена. В России организации не имеют права рассчитываться криптовалютой, но, тем не менее, некоторые используют ее в качестве инвестиций. Поэтому функциональность, связанная с криптокошельками, появилась даже в зловредах, используемых в атаках исключительно на российские организации. Вредоносное ПО семейства Pure, например, не только подменяет адреса в буфере, но также охотится и за учетными данными программных криптокошельков. Поэтому мы не очень удивились, когда увидели и криптовалютный фишинг, направленный не только на домашних, но и на корпоративных пользователей. Чему мы удивились, так это легенде и, в целом, качеству этого фишинга. Фишинговая схема Сама по себе схема нацелена на пользователей аппаратных криптокошельков Ledger: Nano X и Nano S Plus. Злоумышленники рассылают фишинговое письмо, в котором многословно извиняются за допущенный промах — якобы из-за технического недочета сегменты приватного ключа от криптокошелька были переданы на сервер Ledger. И он в общем-то был очень хорошо защищен и зашифрован, но вот команда обнаружила очень сложную утечку, в ходе которой атакующие эксфильтрировали фрагменты ключей и при помощи крайне продвинутых методов расшифровали их и реконструировали часть ключей, что привело к краже криптоактивов. И чтобы через эту уязвимость не взломали еще и ваш криптокошелек, авторы письма рекомендуют немедленно обновить микропрошивку устройства. Фишинговое предупреждение о необходимости обновления микропрошивки View the full article

Технологию ключей доступа (КД, passkeys) рекламируют все ИТ-гиганты как эффективную и удобную замену паролям, которая может покончить с фишингом и утечками учетных данных. Суть в следующем — человек входит в систему при помощи криптографического ключа, сохраненного в специальном аппаратном модуле на его устройстве, а разблокирует эти данные при помощи биометрии или ПИН-кода. Мы подробно разобрали текущее положение дел с passkeys для домашних пользователей в двух статьях (терминология и базовые сценарии использования, сложные случаи), но у компаний к ИБ-технологиям совершенно другие требования и подходы. Насколько хороши ключи доступа и FIDO2 WebAuthn в корпоративной среде? Мотивы перехода на passkeys в компании Как и любая крупная миграция, переход на ключи доступа требует бизнес-обоснования. В теории passkeys решают сразу несколько злободневных проблем: Снижают риски компрометации компании с использованием кражи легитимных учетных записей (устойчивость к фишингу — главное заявленное преимущество КД). Повышают устойчивость к другим видам атак на identity, таким как перебор паролей — brute forcing, credential stuffing. Помогают соответствовать регуляторным требованиям. Во многих индустриях регуляторы обязуют применять для аутентификации сотрудников устойчивые методы, и passkeys обычно признаются таковыми. Снижают затраты. Если компания выбрала passkeys, хранящиеся в ноутбуках и смартфонах, то высокого уровня безопасности можно достичь без дополнительных затрат на USB-устройства, смарт-карты, их администрирование и логистику. Повышают продуктивность сотрудников. Хорошо налаженный процесс аутентификации повседневно экономит время каждому сотруднику и снижает процент неудачных входов в ИТ-системы. Также переход на КД обычно увязывают с отменой всем привычных и ненавистных регулярных смен пароля. Снижают нагрузку на хелпдеск за счет уменьшения числа заявок, связанных с забытыми паролями и заблокированными учетными записями. View the full article

Исследователи Маттео Риццо и Энди Нгуен из компании Google опубликовали работу, в которой предложили усовершенствованную атаку Retbleed. Как мы объясняли в одном из предыдущих постов, атака Retbleed эксплуатирует уязвимости в процессорах AMD Zen и Zen 2, а также в процессорах Intel поколений Kaby Lake и Coffee Lake. Аппаратные уязвимости такого рода крайне сложно использовать на практике, из-за чего всевозможные варианты Spectre, а также производные атаки, типа Retbleed, остаются по большому счету теоретическими. Хотя методы борьбы с ними внедряют и создатели процессоров, и разработчики ПО. Суть работы исследователей Google заключается в повышении эффективности атаки Retbleed. Не меняя ничего кардинально в архитектуре атаки, они смоги использовать особенности процессоров AMD Zen 2, чтобы читать произвольные данные из оперативной памяти. Кратко о Retbleed Retbleed, как и Spectre, эксплуатирует особенности так называемой системы предсказания ветвлений центрального процессора. Предсказание ветвлений позволяет процессору выполнять инструкции заранее, не дожидаясь результатов предыдущих вычислений. Иногда предсказание оказывается неправильным, но в норме это должно приводить только к небольшому и незаметному для пользователя замедлению работы программы. Атака Spectre в 2018 году показала, что неправильные предсказания могут быть использованы для кражи секретов. Это возможно благодаря двум ключевым особенностям. Во-первых, систему предсказания ветвлений можно натренировать так, что произойдет обращение к области памяти с секретными данными, и они будут загружены в кэш-память процессора. Во-вторых, был найден способ вытащить эти секретные данные из кэш-памяти по стороннему каналу, измеряя время выполнения определенной инструкции. View the full article

Компьютеризация автомобиля давно дошла до такого уровня, что кибератаки на него весьма действенны — возможны угон, несанкционированное включение дополнительного оборудования, дистанционные торможение и руление, шпионаж. Но чтобы провести эти атаки, зачастую нужен кратковременный физический доступ к автомобилю или взлом его телематических систем, то есть связи с сервером производителя по сотовой сети. В недавно опубликованном исследовании PCA Cyber Security описан новый способ — для взлома достаточно подключиться к развлекательной системе автомобиля по Bluetooth. Четыре уязвимости, коллективно названные PerfektBlue, вряд ли приведут к массовым угонам или взломам, но знать о них и соблюдать внимательность все же стоит. Под капотом PerfektBlue Подключить смартфон к автомобилю по Bluetooth для разговоров по громкой связи или прослушивания музыки можно в любом авто, выпущенном за последние 10 лет. Для этого в развлекательной системе (infotainment system), которая является частью головной системы (head unit), имеется чип Bluetooth и набор специального ПО. Многие производители автомобилей используют один и тот же набор ПО под названием OpenSynergy BlueSDK. По словам разработчиков, BlueSDK используется в 350 млн автомобилей. По имеющейся информации, в их числе Ford, Mercedes-Benz, Skoda, Volkswagen. Исследователи PCA Cyber Security обнаружили четыре уязвимости в BlueSDK (CVE-2024-45431, CVE-2024-45432, CVE-2024-45433, CVE-2024-45434), которые атакующий может объединить, чтобы запустить на устройстве свой вредоносный код. Для этого ему нужно быть подключенным к автомобилю по Bluetooth, то есть пройти процедуру сопряжения (pairing). Если это условие выполнено, то дальше злоумышленник беспрепятственно посылает автомобилю вредоносные команды по протоколу управления аудиоплеером (AVCRP). Это вызывает в операционной системе головного устройства ошибку, и в итоге хакер получает на нем те же права, что и программный код автопроизводителя для работы с Bluetooth. С этими правами атакующий теоретически может отслеживать местоположение жертвы, записывать происходящее в машине с помощью встроенных микрофонов, а также красть сохраненные в головной системе данные, например записную книжку жертвы. В зависимости от архитектуры конкретного автомобиля, из головной системы через CAN-шину злоумышленнику могут быть доступны управляющие модули (ECU) для контроля более серьезных функций, таких как тормоза. View the full article

Почти каждый третий представитель поколения Альфа мечтает стать блогером. Современные блогеры вдохновляют ребят на творчество в Интернете еще до наступления подросткового возраста. Поэтому очень важно, чтобы начинающие звезды могли ориентироваться в киберпространстве под присмотром взрослых. Интернет из жизни детей никуда не уйдет, а вот уметь безопасно им пользоваться — это отдельный навык, которым блогеру еще предстоит овладеть. В помощь родителям эксперты «Лаборатории Касперского» подготовили руководство Цифровой школьный портфель: руководство для родителей на учебный год (доступен в формате PDF). В нем мы собрали важные советы по обеспечению безопасности детей. А сегодня подробно расскажем, как родители могут помочь начинающим блогерам. 1. Проявите интерес и не критикуйте ребенка Если ваш ребенок говорит, что хочет стать блогером, то самый правильный шаг для вас — это не игнорировать и не критиковать, а обсуждать новую затею вместе. Спросите, почему он хочет стать блогером, какой контент планирует размещать. С таким подходом ребенок поймет, что вы серьезно относитесь к его интересам — ну а вы сможете плавно перейти к теме безопасности в Интернете. Не нагружайте детей сложной технической информацией: ищите ресурсы, которые соответствуют их возрасту. Если ваш будущий блогер совсем юный, отлично подойдет наша киберазбука — бесплатная книга, которая помогает детям освоить основы цифровой гигиены в веселой и доступной форме. View the full article

Вы получаете уведомление о доставке или просто находите у своей входной двери уже доставленную посылку. Но вы ничего не заказывали! Хотя подарки любят почти все, нужно насторожиться. Есть несколько мошеннических схем, которые начинаются именно с физической доставки. Конечно, стоит связаться с друзьями и близкими — может, кто-то из них сделал заказ, а вас не предупредил? Но если такой человек не нашелся, скорее всего, вас пытаются вовлечь в одну из схем обмана, описанных ниже. Забегая вперед, скажем, что QR-коды на таких посылках сканировать ни в коем случае нельзя, равно как и звонить по контактным телефонам на упаковке. Начистить заказы! Устоявшийся в английском языке термин brushing scam заимствован из китайского сленга, связанного с электронной торговлей. 刷单 буквально означает «начищать заказы», но в русском языке нужный смысл несет слово «накручивать». Первоначально брашинг был относительно невинным: вы получаете товар, который не заказывали, а продавец пишет от вашего имени хвалебный отзыв о товаре и накручивает себе статистику продаж. Чтобы проделать это, нечистоплотные продавцы покупают одну из утекших баз с персональными данными и регистрируют на маркетплейсах новые учетные записи с реальным именем и почтовым адресом «жертвы», но со своим адресом электронной почты и платежным инструментом. Те, кто стали мишенью, не несут прямого ущерба. View the full article