Автор
KL FC Bot,
в Новости и события из мира информационной безопасности
-
Похожий контент
-
От KL FC Bot
Недавно владельцы Android-смартфонов в России столкнулись с крайне неприятным сюрпризом: получив — чаще всего от кого-то из знакомых — СМС со ссылкой на интересное приложение, скачав и запустив его, вместо обещанного сервиса знакомств, радар-детектора или мода они обнаруживали на экране очень убедительное предложение заплатить выкуп, чтобы предотвратить рассылку по списку контактов и публикацию в Интернете их персональных данных.
Злоумышленники сообщали, что получили контроль над устройством и перехватили все данные на нем — контакты, СМС, переписки в мессенджерах и социальных сетях, фотографии и иные файлы — и ровно через неделю разошлют их семье, друзьям и просто незнакомым людям, а также сольют в Сеть. Но всего за пять тысяч рублей они удалят украденную информацию и забудут о неудачливом владельце смартфона навсегда.
Сообщение, густо напичканное приемами социальной инженерии, сопровождалось наглядным доказательством — полным списком контактов из записной книжки смартфона жертвы — и заканчивалось ехидным предложением «не утруждать себя удалением переписок и файлов», потому что они уже утекли в Сеть.
Как-то непохоже на чат знакомств или радар-детектор
Насколько правдивыми были эти утверждения? Увы, наш анализ подтвердил истинность большинства этих заявлений: злоумышленники действительно получали доступ к фотографиям, видео и документам, а также к СМС и контактам жертвы. Единственное, про что они врали, чтобы запугать посильнее, — это про слитые переписки в мессенджерах и соцсетях. Доступа к ним троян получить не смог, но, согласитесь, это довольно слабое утешение для тех, чьи данные были украдены.
View the full article
-
От KL FC Bot
В последние годы законодательства различных стран, регулирующие правила работы с персональными данными, ужесточаются. При этом количество утечек год от года только растет. Если раньше они грозили в основном судебными исками и репутационным ущербом, то теперь штрафы от регуляторов могут составлять значительную часть потерь компании в результате инцидента. Поэтому мы решили опубликовать ряд советов, которые помогут вам организовать безопасные процессы сбора, хранения и передачи данных в своей компании…
Сбор персональных данных
Главное: cобирайте данные, только если имеете на это достаточно юридических оснований. Таким основанием может быть закон страны, в которой ваша компания работает; договор, предусматривающий обработку ПДн; или же явно выраженное согласие в электронной или бумажной форме. Кроме того:
сохраняйте факт получения согласия на обработку и хранение на случай возникновения претензий или проверок регулятора; не собирайте данные, которые реально не нужны для ваших рабочих процессов (данные не могут собираться «на всякий случай»); если не требующиеся для работы данные были собраны в силу какой-либо ошибки или недопонимания, незамедлительно удалите их.
View the full article
-
От KL FC Bot
Любому бизнесу — от пекарни до банка — сулят выгоды от внедрения «облачных» технологий. При этом компьютерные «облака» уже успели пройти несколько ступеней эволюции, и теперь под общим термином «облако» скрываются несколько принципиально разных подходов. Поэтому стоит разобраться, какое именно «облако» стоит внедрять в вашей компании, во что это обойдется и какие меры безопасности при этом следует применять.
Выгоды облака
Вообще «облачные технологии» подразумевают получение каких-то компьютерных ресурсов (места для хранения данных, вычислительных мощностей или конкретного приложения) через Интернет, с удаленного сервера. Когда вы редактируете документ в Google Docs, запускаете сайт на виртуальном хостинге или отправляете почту через Microsoft 365, вы пользуетесь облачными решениями. Главными преимуществами облаков являются:
скорость запуска приложений и сервисов — начать пользоваться облачными услугами можно почти мгновенно, без закупки серверов и установки приложений; финансовая гибкость — можно платить только за реально потребленные услуги и вообще не делать капитальных вложений; легкая масштабируемость — есть возможность увеличивать мощность серверов на время за считаные минуты, а когда нужда в этом отпадет, так же легко возвращаться к прежней мощности и цене. View the full article
-
От KL FC Bot
Мы привыкли, что имена сайтов в Интернете заканчиваются на .com, .org, .net и так далее. В последние годы встречаются также домены с окончанием .aero, .club и подобными. Они называются доменами первого уровня (top level domains, TLD), и их обширный список периодически пополняется. В мае Google анонсировала доступность 8 новых доменов, среди которых есть два, неотличимые от популярных расширений файлов: .zip и .mov. Это решение вызвало критику со стороны IT- и ИБ-специалистов, поскольку такое нововведение гарантирует нам путаницу, ошибки в обработке ссылок и новые схемы фишинга.
Как перепутать .zip и .zip
Файлы с расширениями zip и mov известны уже несколько десятилетий: zip — это стандарт де-факто для архивов, а mov является одним из самых популярных контейнеров для видео. Домены mov и zip по задумке Google предназначены для «технарей» (techies), но приобрести их, по сути, может кто угодно для любых целей.
Таким образом, теперь, встретив упоминание, например, update.zip, только по контексту можно понять, идет ли речь о сайте или о файле. Но контекст понимают люди, компьютеры этого обычно не могут. Поэтому такое упоминание может вызвать проблемы в самых разных приложениях, например в Twitter:
Понятно, что в этом твите речь идет о файлах, но Twitter превращает их имена в ссылки на веб-сайты. Если зарегистрировать домены test.zip и movie.mov, то кликнувших по ссылке на файл может ждать, например, тематический фишинг.
View the full article
-
От KL FC Bot
Если пытаться защититься от всех на свете угроз, можно быстро устать и одновременно сделать свою жизнь совершенно невыносимой. Трехфакторная аутентификация тут, пароль в 20 символов с нотами и иероглифами там, разные браузеры для разных сервисов и полный отказ от социальных сетей — звучит не то чтобы жизнеутверждающе.
И что самое обидное, все это не поможет вам угнаться за всеми угрозами: постоянно появляются новые, и от них нужны новые способы защиты. А каждый следующий слой защиты зачастую снижает удобство использования — согласитесь, что без той же двухфакторной аутентификации проще, чем с ней. И это еще самый безобидный пример. Что делать? Составить свой персональный ландшафт угроз, как это делают при работе с безопасностью в корпорациях, — и защищаться только от них.
Что такое ландшафт угроз и какое отношение он имеет к вам
В корпоративной безопасности ландшафт угроз — это совокупность всех кибернеприятностей, которые угрожают компании из определенной отрасли в определенный период времени. Сюда относятся и уязвимости, и зловреды, и группы злоумышленников, ими оперирующие, и приемы, которые эти группы используют.
Обзор ландшафта угроз делают для того, чтобы представлять, от чего именно компанию нужно защищать. Какие-то угрозы будут более актуальными в зависимости от местоположения или рода деятельности компании, какие-то — менее. Поскольку бюджет на безопасность не резиновый — равно как и штат сотрудников, ею занимающихся, — защищаться имеет смысл от действительно актуальных угроз.
Почему бы не составить такой же ландшафт угроз для себя — и не выстраивать собственную стратегию защиты, исходя из него? Так вы сможете не увязнуть в многочисленных слоях защиты и продолжать пользоваться Интернетом с хоть каким-то уровнем комфорта.
View the full article
-
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.