Перейти к содержанию

Опасные скриншоты: криптомошенничество в сервисе Lightshot | Блог Касперского

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Мошенничество с криптовалютой, похоже, день ото дня набирает обороты. Совсем недавно мы рассказывали, как мошенники обманывали пользователей Discord, предлагая им несуществующие монеты на фальшивых биржах, освещая псевдовыигрыши на фейковых новостных сайтах и имитируя вертолетные деньги. И вот нам попалась новая схема, причем весьма оригинальная: злоумышленники используют публичный сервис для обмена скриншотами Lightshot, чтобы выманивать средства у излишне любопытных криптоинвесторов.

Удобно — не значит безопасно

Сервис Lightshot служит для создания, обработки и быстрой передачи скриншотов. Он состоит из приложения для платформ Windows, macOS и Ubuntu и облачного портала prnt.sc. Пользователей привлекает в нем возможность быстро поделиться снимками экрана: изображение можно одним кликом или горячими клавишами отправить в облако, где оно будет опубликовано по уникальному адресу, который остается скопировать и отправить в любом мессенджере или по электронной почте.

В Lightshot можно зарегистрировать аккаунт, чтобы хранить историю своих загрузок. Однако по большому счету аккаунт для работы с сервисом не нужен: увидеть опубликованный скриншот может кто угодно без всякой аутентификации. Это быстро и удобно, но не очень безопасно, если речь идет об обмене хоть сколько-нибудь конфиденциальной информацией.

Более того, человеку даже не обязательно знать точную ссылку на скриншот, чтобы его увидеть: адреса формируются последовательно, так что если, к примеру, заменить в одном из них символ на следующий по порядку, то откроется другой снимок. Этот процесс даже можно автоматизировать: простой скрипт для перебора адресов и скачивания контента пишется буквально за пять минут.

Такая открытость — не баг, а вполне легитимное свойство сервиса. Его разработчики честно предупреждают: все загруженные изображения по умолчанию считаются публичными. Однако судя по тому, что утечки ценной информации через Lightshot регулярно попадают в новости, далеко не все внимательно читают пользовательское соглашение.

Как слить данные в Lightshot: вредные советы

«Подумаешь, какие-то там скриншоты попадут в общий доступ — кому вообще интересны мои рекорды в играх или шуточки из переписки с коллегами?» — скажете вы. Не торопитесь с выводами. Вот как минимум три сценария, по которым может себя задоксить любой пользователь Lightshot.

Допустим, сотрудник делает снимок интерфейса, чтобы ему помогли настроить рабочую программу. И все бы ничего, но под окном приложения оказывается открыта почта или документ с конфиденциальными сведениями. Или, например, человек решает поделиться с другом, которому доверяет как себе, потрясающе глупым письмом своего начальника или клиента, чтобы вместе посмеяться. Или некто решает похвастаться интимной перепиской, забыв замазать имена и адреса участников.

Если герои этих историй — как и многих им подобных — пользуются Lightshot, их могут поджидать серьезные проблемы. Интернет-хулиганы охотятся за откровенными фото ради развлечения, тролли вполне могут использовать свои находки для травли, а шантажисты — потребовать выкуп, угрожая показать переписку тому самому начальнику или второй половинке.

Впрочем, для тех, кто держит ценные данные вдали от чужих глаз и всегда проверяет, не попало ли на скриншот лишнее, зато не прочь посмотреть на чужие фейлы и секреты, на сервисе тоже найдутся сюрпризы.

Ловушка для умников

Схема мошенников по-своему изящна. Преступники размещают на портале Lightshot скриншоты с данными якобы для доступа к криптокошельку. Легенды разнятся от случая к случаю. Иногда «участники переписки» якобы намеренно делятся учеткой с собеседником: мы встречали снимки, замаскированные под просьбу помочь с криптокошельком или предсмертные записки.

Мошенники маскируют учетные данные для аккаунтов на поддельных криптобиржах под скриншоты из переписки

Мошенники маскируют учетные данные для аккаунтов на поддельных криптобиржах под скриншоты из переписки

Иногда «данные для входа» попадают в сервис как будто случайно, по невнимательности, — например, мы видели скриншоты, оформленные как письма для восстановления пароля от криптокошелька.

Фальшивые письма о сбросе пароля для аккаунта на не менее фальшивых криптовалютных биржах

Фальшивые письма о сбросе пароля для аккаунта на не менее фальшивых криптовалютных биржах

Если в погоне за легкой наживой пользователь переходит по адресу, указанному на скриншоте, его встречает сайт, выдающий себя за криптобиржу. После ввода учетных данных он попадает в аккаунт, где якобы лежит внушительная сумма в криптовалюте — скажем, 0,8 BTC (около 3,5 миллиона рублей на момент написания). Мошенники рассчитывают, что на этом этапе человек поддастся соблазну и попробует вывести чужие средства на свой счет.

В этом случае биржа запрашивает «комиссию» — сущие копейки по сравнению с полной суммой. Если оплатить комиссию, то… ничего не происходит, разве что эти «копейки» перетекают в карман мошенников. Копейки, конечно, относительные: речь идет о комиссии порядка 0,001–0,0015 BTC, что по нынешнему курсу составляет примерно 4–6 тысяч рублей.

Судя по всему, схема неплохо работает: на момент написания поста в кошельке, куда поступают «комиссии», было суммарно переведено около 0,1 BTC — примерно 450 тысяч рублей.

Как не слить данные и сохранить деньги

Удобство совсем не значит безопасность или приватность, часто даже наоборот. И Lightshot — яркий тому пример. Вот несколько советов по безопасной работе со скриншотами:

  • Перед установкой Lightshot подумайте, действительно ли вы хотите для пересылки скриншотов публиковать их в общем доступе.
  • Если все же решите использовать сервис, помните, что конфиденциальная информация — банковские данные, пароли к онлайн-ресурсам и прочие сведения лично о вас — желанная добыча для преступников. Не пересылайте ее через Lightshot, пользуйтесь защищенными каналами, а еще лучше — не делитесь ей вовсе.
  • Если вы уже пользовались Lightshot и теперь вспомнили, что отправляли туда чувствительную информацию, поищите в переписке адрес страницы со скриншотом, зайдите на нее и нажмите «Пожаловаться» или отправьте запрос на адрес support@skillbrains.com.
  • Помните, что существуют штатные средства для создания скриншотов: «Ножницы» в Windows и сочетания клавиш Cmd+Shift+3 или Cmd+Shift+4 на macOS. Возможно, для ваших целей их будет достаточно.

Вряд ли вы захотите выводить чужую криптовалюту на свой счет, но даже из любопытства заходить в чужие аккаунты мы не рекомендуем. А чтобы случайно не подарить преступникам логин и пароль от своего, введя их на фишинговом сайте, используйте надежное защитное решение, которое предупредит вас, если вдруг зайдете на подозрительную страницу.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Коды аутентификации от сервиса, в котором у вас нет аккаунта | Блог Касперского
      От KL FC Bot
      Мы уже писали о том, что делать, когда вам неожиданно приходит сообщение с одноразовым кодом для входа в принадлежащий вам аккаунт, который вы не запрашивали (спойлер: скорее всего, это попытка взлома, и пора задуматься о надежной защите всех своих устройств).
      Но иногда бывает и иначе: вам приходит сообщение с кодом двухфакторной аутентификации от некоего сервиса… вот только аккаунта в этом сервисе у вас нет и никогда не было. В этом посте поговорим о том, из-за чего так может получиться, а также о том, как на подобные сообщения следует реагировать.
      Откуда берутся SMS с кодами для входа в сервисы, в которых вы не регистрировались
      Есть два базовых объяснения того факта, что вам приходят одноразовые коды для входа в аккаунт, который вам совершенно точно не принадлежит.
      Первое, оно же наиболее вероятное объяснение: до того, как вы приобрели данный номер телефона, он уже кому-то принадлежал, но был отключен после прекращения контракта телеком-оператора с данным абонентом. Это называется «переиспользование телефонных номеров» — совершенно нормальная практика у поставщиков сотовой связи.
      Соответственно, предыдущий владелец номера когда-то действительно зарегистрировал на него аккаунт. И теперь либо он сам пытается в него войти, либо какой-то злоумышленник пытается этот аккаунт взломать. Попытки входа приводят к тому, что на номер телефона, который теперь уже принадлежит вам, приходят SMS с одноразовыми кодами.
      Второе объяснение: кто-то непреднамеренно пытается зарегистрировать учетную запись на ваш номер телефона. Возможно, этот кто-то «ошибся номером», то есть вводил другие цифры, но опечатался. А может быть, этот кто-то ввел случайный набор цифр, который, так уж вышло, оказался вашим номером телефона.
       
      View the full article
    • KL FC Bot
      Как защититься от слежки через stalkerware и AirTag | Блог Касперского
      От KL FC Bot
      Следить за вами теперь могут не только спецслужбы или миллионеры, нанявшие частных детективов. Слежка так проста и дешева, что ей пользуются и ревнивые супруги, и автомобильные угонщики, и даже избыточно подозрительные работодатели. Им не нужно выглядывать из-за угла, прятаться в магазинах и даже приближаться к жертве. Для слежки прекрасно подойдут смартфон и один из маячков-трекеров, работающих по Bluetooth, — например, Apple AirTag, Samsung Smart Tag или Chipolo. Согласно одному из исков к Apple, этот способ шпионажа используется в самых разных преступлениях — от слежки за бывшими до подготовки убийств.
      К счастью для всех нас, защита существует! В рамках кампании «Лаборатории Касперского» по противодействию сталкингу мы расскажем, как за вами могут следить и что с этим делать.
      Слежка онлайн и офлайн
      Слежку за жертвой обычно реализуют одним из двух способов.
      Способ первый, чисто программный. На смартфон жертвы устанавливается коммерческое приложение для слежки — мы называем эту категорию stalkerware или spouseware. Часто такие приложения рекламируются как «приложения родительского контроля», но от легитимного родительского контроля они отличаются скрытностью — после установки деятельность приложения никак не анонсируется. Чаще всего приложение вообще незаметно на устройстве, но иногда оно маскируется подо что-то невинное, будь то мессенджер, игра или приложение-фотоальбом. Сталкерские приложения регулярно передают на сервер геолокацию жертвы, способны отправлять атакующему переписки со смартфона и другую конфиденциальную информацию, включать звукозапись с микрофона.
      Главным недостатком stalkerware для атакующего является усложненная установка — для нее нужно заполучить разблокированный смартфон жертвы на некоторое время. Поэтому во многих случаях, особенно когда сталкингом занимается бывший партнер или автоугонщик, в ход идет второй способ.
      Способ второй, с беспроводным маячком. Жертве подкидывают следящее устройство. В машине его могут засунуть в любое малозаметное место — например, за номерной знак — а человеку трекер подкладывают в сумку или другие личные вещи.
       
      View the full article
    • KL FC Bot
      Обновление Kaspersky Password Manager | Блог Касперского
      От KL FC Bot
      Мы ежедневно трудимся, чтобы наши продукты и решения оставались одними из лучших — как по нашему собственному мнению, так и по версии независимых исследователей. Делаем это всесторонне: добавляем новые фичи, боремся с новыми вредоносными программами, облегчаем миграцию и всячески улучшаем пользовательский опыт.
      Сегодня расскажем о большом обновлении Kaspersky Password Manager для мобильных устройств, которое, уверены, сделает хранение и управление паролями, кодами двухфакторной аутентификации и шифрованными документами еще удобнее. Во всех магазинах приложений это обновление появится в течение ноября 2024 года. О продвинутой фильтрации, работе поиска, синхронизации и многом другом — в этом материале.
      Коротко о главном
      Мобильной версии нашего менеджера паролей в этом году исполняется 10 лет (а версии для компьютеров — и все 15), и за это время нам удалось собрать лучшие практики в одном приложении. Несколько последних лет мы проводили исследования, в которых изучали шаблоны поведения пользователей Kaspersky Password Manager, и на их основе глобально поменяли навигацию в мобильных версиях менеджера паролей.
      Что нового:
      Заменили боковое меню с основными функциями продукта на навигационную панель, теперь все функции распределены по разделам. Создали отдельный раздел для поиска внутри приложения и улучшили сценарии его работы. Сделали работу с избранными записями еще удобнее, теперь они закрепляются в самом верху списка записей. Создали и вывели кнопку раздела «Синхронизация» на видное место. Сгруппировали генератор, импорт и проверку паролей в отдельный раздел «Инструменты». Изменения доступны всем пользователям Kaspersky Password Manager для Android (версии приложения 9.2.106 и выше) и iOS (версии приложения 9.2.92 и выше).
       
      View the full article
    • KL FC Bot
      Как сделать, чтобы компанию снова не взломали | Блог Касперского
      От KL FC Bot
      Серьезные ИБ-инциденты порой затрагивают многих участников, зачастую и тех, кто повседневно не занимается вопросами ИТ и ИБ. Понятно, что в первую очередь усилия сосредоточиваются на выявлении, сдерживании и восстановлении, но, когда пыль немного осядет, наступает время для еще одного важного этапа реагирования — извлечения уроков. Чему можно научиться по итогам инцидента? Как улучшить шансы на успешное отражение подобных атак в будущем? На эти вопросы очень полезно ответить, даже если инцидент не принес существенного ущерба из-за эффективного реагирования или просто удачного стечения обстоятельств.
      Немного о людях
      Разбор инцидента важен для всей организации, поэтому к нему обязательно привлекать не только команды ИТ и ИБ, но также высшее руководство, бизнес-владельцев ИТ-систем, а также подрядчиков, если они были затронуты инцидентом или привлекались к реагированию. На встречах этой рабочей группы нужно создать продуктивную атмосферу: важно донести, что это не поиск виноватых (хотя ошибки будут обсуждаться), поэтому перекладывание ответственности и манипулирование информацией исказят картину, повредят анализу и ухудшат позицию организации в долгосрочной перспективе.
      Еще один важный момент: многие компании скрывают детали инцидента в страхе за репутацию или опасаясь повторной кибератаки по тому же сценарию. И хотя это вполне объяснимо и некоторые подробности действительно конфиденциальны, нужно стремиться к максимальной прозрачности в реагировании и делиться подробностями атаки и реагирования если не с широкой публикой, то как минимум с узким кругом коллег из сферы ИБ, которые могут предотвратить похожие атаки на свои организации.
       
      View the full article
    • KL FC Bot
      В репозитории PyPI найдены пакеты с инфостилером | Блог Касперского
      От KL FC Bot
      Наши эксперты из Global Research and Analysis Team (GReAT) обнаружили два вредоносных пакета в The Python Package Index (PyPI), популярном репозитории софта для программирования на Python. Согласно описанию, пакеты представляли собой библиотеки для работы с популярными языковыми моделями. Однако, на самом деле они имитировали заявленную функциональность при помощи демоверсии ChatGPT, а основной их целью была установка зловреда JarkaStealer.
      Пакеты были доступны для скачивания больше года и, судя по статистике репозитория, за это время они были скачаны более 1700 раз пользователями из более чем 30 стран.
      Что за пакеты и для чего они использовались
      Вредоносные пакеты были загружены в репозиторий одним автором и отличались друг от друга только названием и описанием. Первый назывался gptplus и якобы позволял реализовать доступ к API GPT-4 Turbo от OpenAI; второй — claudeai-eng и, согласно описанию, по аналогии обещал доступ к API Claude AI от компании Anthropic PBC.

      В описаниях обоих пакетов были примеры использования, которые объясняли, как создавать чаты и посылать сообщения языковым моделям. Но в действительности операторы этой атаки встроили в код механизм взаимодействия с демо-прокси ChatGPT, чтобы убедить жертву в работоспособности пакета. А содержавшийся, тем временем, в пакетах файл __init__.py декодировал содержавшиеся внутри данные и скачивал из репозитория на GitHub файл JavaUpdater.jar. Если на машине жертвы не обнаруживалась Java, то он также скачивал и устанавливал среду выполнения для Java (JRE) из Dropbox. Сам jar-файл содержал зловред JarkaStealer, который использовался злоумышленниками для компрометации среды разработки и незаметной эксфильтрации похищенных данных.
       
      View the full article
×
×
  • Создать...