Как мошенники ловят бизнес на удочку
Автор
KL FC Bot,
в Новости и события из мира информационной безопасности
-
Похожий контент
-
От KL FC Bot
Мы уже рассказывали, почему в приложениях для фитнеса перед началом использования обязательно нужно настроить конфиденциальность и приватность ваших персональных данных. Там же мы поделились подробной инструкцией по общей настройке смартфонов для минимизации рисков.
Дело в том, что приложения для трекинга тренировок делятся вашей конфиденциальной информацией, включая точную геопозицию. Особенно отличается этим Strava, которая по умолчанию делится в открытом доступе практически всей информацией о ваших пробежках, и мы уже подробно разбирали, как настроить приватность в Strava.
В остальных беговых приложениях настройки приватности не так многочисленны, как в Strava, — и по умолчанию они установлены в более жесткие значения (по крайней мере, для новых пользователей, регистрирующихся сейчас). Тем не менее пробежаться по ним также стоит — кое-что будет полезно отключить.
В приложении крупнейшего производителя спортивной одежды и обуви — Nike Run Club (версии для Android и iOS) — настройки приватности спрятаны так, что может быть не вполне очевидно, как до них добраться. Вот что вам нужно сделать: в левом верхнем углу нажмите на круглую серую иконку с вашими инициалами. Далее нажмите на кнопку Настройки. В открывшемся окне не будет как такового единого пункта «Приватность», нужно выбрать несколько отдельных настроек.
Где найти настройки приватности в приложении Nike Run Club
Во-первых, убедитесь в том, что ваш профиль непубличен: для этого нажмите на Видимость профиля и проверьте, где стоит галочка. Правильным выбором с точки зрения приватности тут будет Друзья (социальный доступ), а еще лучше — Только я (личный доступ).
View the full article
-
От KL FC Bot
Слово sextortion, образованное из слов sex и extortion (вымогательство), изначально означало шантаж при помощи компрометирующих фото и видео, которые злоумышленник получал, либо взломав устройство жертвы, либо добровольно от нее самой. Хотя эта форма преступления до сих пор существует, сегодня гораздо чаще встречаются ситуации, в которых никаких пикантных документов у шантажиста нет. Некоторые разновидности sextortion «работают» даже на тех людях, которые доподлинно знают, что компромата с их участием быть физически не может. Разберем все современные разновидности секс-шантажа и способы противодействия ему.
«Ваша жена вам изменяет»
Свежая разновидность вымогательства вместо стыда давит на ревность. Одному из супругов приходит e-mail о том, что некая «компания по безопасности» получила доступ (читай, взломала) ко всем данным на личных устройствах второго супруга и в этих данных есть подробные доказательства супружеской неверности. Для получения более подробной информации и архива со скачанными данными предлагается пройти по ссылке. Разумеется, на самом деле у злоумышленников нет никаких данных, кроме имен и адресов e-mail двух супругов, а по ссылке можно только расстаться со своими деньгами.
View the full article
-
От KL FC Bot
Фишеры постоянно придумывают новые уловки и постоянно находят какие-нибудь новые сервисы, от имени которых они могут присылать фишинговые ссылки. В этот раз мы поговорим о фишинговых письмах, которые приходят от имени Docusign — самого популярного в мире сервиса для электронного подписания документов.
Как устроены фишинговые атаки с письмами якобы от Docusign
Атака начинается с электронного письма, обычно оформленного в стилистике Docusign. В случае данной схемы фишеры особенно не утруждают себя подделкой или маскировкой адреса, с которого отправлено письмо, поскольку в настоящих письмах от Docusign адрес отправителя может быть любым — сервис предусматривает такую кастомизацию.
В большинстве случаев жертве сообщают о том, что требуется поставить электронную подпись на некий документ, чаще всего финансовый, точное назначение которого не вполне понятно из текста письма.
Один из примеров фишингового письма от имени Docusign: в данном случае ссылка на фишинговую страницу находится прямо в теле письма
View the full article
-
От KL FC Bot
В предыдущем посте, посвященном приватности беговых приложений в целом, мы подробно рассказывали, почему эти приложения — настоящий Клондайк персональных данных для мошенников и преступников всех сортов. Увы, по умолчанию они делятся с кем попало вашей конфиденциальной информацией, включая точную геопозицию. Результаты, как мы уже писали, могут быть катастрофическими — от утечек местоположения секретных объектов до сталкинга и покушений на убийство.
Там же мы поделились подробной инструкцией по общей настройке смартфонов для минимизации этих рисков. В этом и следующих постах мы поговорим о тонких настройках наиболее популярных беговых приложений. Начнем со Strava.
Strava (версии для Android и iOS) — вероятно, самое популярное приложение для отслеживания тренировок по бегу, велоспорту и просто пеших прогулок. И последнее, сохраняющее независимость: все остальные «большие» беговые приложения уже куплены производителями спортивной одежды и обуви. Кстати, именно оно стало героем нескольких инцидентов с использованием открытых данных — например, публикацией карты, выдавшей местоположение массы секретных объектов.
Также Strava, как правило, становится центральным объектом претензий каждый раз, когда встает вопрос о том, как одни пользователи следят за другими через фитнес-приложения. Не могу не отметить, что упреки эти по-прежнему справедливы: по умолчанию пользовательский профиль в Strava настроен совершенно не приватно — приложение очень хочет, чтобы вы делились своими данными со всем Интернетом.
Но это можно исправить — благо, в Strava есть довольно много настроек приватности. Чтобы до них добраться, нажмите кнопку Вы в правом нижнем углу экрана, потом нажмите кнопку с шестеренкой в правом верхнем углу экрана и в открывшемся окне выберите пункт Конфиденциальность.
Где найти настройки приватности в приложении Strava: Вы → Настройки → Конфиденциальность
View the full article
-
От KL FC Bot
Приложения для фитнеса в силу своей природы имеют доступ к большому количеству персональных данных, особенно те, которые отслеживают разнообразные активности на свежем воздухе, в первую очередь — бег. Во время трекинга они собирают массу данных: пульс и другие параметры физической активности, количество шагов, пройденную дистанцию, перепад высот и, разумеется, геолокацию, — для максимально подробного анализа тренировки.
А люди редко занимаются бегом в каких-то случайных местах. Обычно их маршруты повторяются и расположены где-нибудь рядом с домом, работой, учебой, военной базой… То есть местом, где человек бывает часто и, скорее всего, в одно и то же время. Что будет, если эта информация попадет не в те руки?
Последствия могут быть катастрофическими. Так, несколько лет назад опубликованная одним из беговых приложений карта выдала местоположение целого ряда секретных военных объектов. А летом 2023 года, предположительно, благодаря данным из того же приложения, наемным убийцей во время пробежки был застрелен командир российской подводной лодки Станислав Ржицкий.
Разумеется, утечка геоданных может быть опасна не только для военных. Несложно представить сценарии, в которых она может привести к неприятностям не только для очевидных целей таргетированной атаки (например, знаменитостей, политических деятелей или топ-менеджеров какой-либо компании), но и для обычных людей.
Зная о ваших перемещениях, злоумышленники с удовольствием используют их для шантажа и устрашения. Пресловутое «я знаю, где ты живешь и все твои передвижения» значительно повышает вероятность того, что жертва испугается и выполнит требования мошенников.
Помимо прямых угроз, геотрекинг прекрасно дополняет данные, утекшие из других приложений или собранные при помощи доксинга, что заметно повышает успех таргетированной атаки. И не стоит думать, что уж вы-то точно не заинтересуете мошенников настолько, чтобы устраивать сложную атаку. Жертвой может стать каждый, и далеко не всегда конечной целью злоумышленников является финансовая выгода.
Но не только геоданные собираются и анализируются приложениями для бега. Как и все фитнес-аппы, они следят за активностью и физическим состоянием, которые могут многое рассказать о здоровье человека. И эта информация также может оказаться полезной для атаки с применением социального инжиниринга. Ведь чем больше злоумышленник знает о жертве, тем изощреннее и эффективнее его действия.
Так что к выбору приложения для трекинга бега и настройке его конфиденциальности стоит подойти максимально осознанно — и в этом вам помогут наши советы.
Общие советы по выбору бегового приложения и настройке приватности в нем
Первое, что делать категорически не стоит, — устанавливать подряд все трекеры бега и затем выбирать наиболее понравившийся. Таким образом вы передадите свои персональные данные всем подряд, что значительно увеличит риск их попадания в руки злоумышленников. Чем меньшим количеством приложений вы пользуетесь, тем меньше риск утечки. Но стоит помнить, что ни одна компания не может гарантировать стопроцентную сохранность данных.
Кто-то вкладывается в безопасность своих пользователей больше, кто-то меньше, и предпочтение лучше отдавать тем, кто серьезно подходит к сохранности и анонимизации пользовательских данных. Для этого стоит внимательно изучить политику конфиденциальности (Privacy Policy) выбранного приложения. Добросовестные разработчики укажут, какие данные собирает приложение, с какой целью, какие из них могут быть переданы третьей стороне, какие права у пользователя в отношении персональных данных и так далее. Дополнительно полезно будет поискать в Сети или поинтересоваться у ИИ-ассистента, были ли случаи утечек данных у интересующего вас приложения. Для этого достаточно в поисковом запросе указать название приложения плюс data breaches или data leak. Ну и, разумеется, отзывы пользователей тоже никто не отменял.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти