(Не) безопасный дайджест: мегаутечки, дипфейк-созвон и атака шифровальщиков

Для нескучных выходных в традиционном дайджесте собрали подборку ИБ-факапов месяца. В февральской подборке рассказываем о том, как дипфейки развели финансиста транснациональной компании на миллионы долларов, сотрудник обанкротил издание с 40-летней историей, а данные чуть ли не каждого второго француза оказались в руках хакеров.

1199cf2c66308ec2d4e76f3e1e150c46.png

Почти не поверил

Что случилось: сотрудник транснациональной компании перевел мошенникам 25 миллионов долларов после фейковой видеоконференции.

Как это произошло: в январе этого года мошенники отправили фишинговое письмо сотруднику финансового отдела гонконгского филиала транснациональной компании. В письме злоумышленники от лица финансового директора британского филиала попытались убедить сотрудника срочно совершить секретную транзакцию. Это письмо вызвало недоверие у финансиста гонконгской компании, поэтому мошенники предложили ему созвониться по видеосвязи. Все участники видеоконференции выглядели и говорили как коллеги из британского офиса. Сразу после звонка сотрудник выполнил просьбу финансового «директора» и осуществил 15 переводов на общую сумму 25.6 миллионов долларов.

Обман выявили только через несколько дней, когда сотрудник начал беспокоиться по поводу перевода и обратился в головной офис компании. Полиция Гонконга заявила, что это первый случай, когда мошенники использовали групповой дипфейк для обмана.

Корпоративные вредители

Что случилось: сотрудник обанкротил издание с 40-летней историей.

Как это произошло: небольшой газете Eugene Weekly в штате Орегон, существовавшей с 1982 года, пришлось закрыться из-за последствий корпоративного мошенничества. Оказалось, что в течение последних пяти лет сотрудник, ответственный за финансы, переводил на собственные счета деньги издательства. Ущерб от финансовых махинаций составил около 90 тысяч долларов. Запас прочности небольшой газеты оказался несопоставим с убытками. В январе этого года главный редактор Eugene Weekly сообщила, что из-за множества неоплаченных счетов газете пришлось закрыться и уволить всех сотрудников (в издании работало всего 10 человек). Несмотря на финансовые проблемы, руководство Eugene Weekly планирует бороться за сохранение газеты.

Данные каждого второго

Что случилось: данные 33 миллионов французских граждан оказались в руках хакеров в результате серии кибератак.

Как это произошло: утечка произошла в результате кибератаки на двух французских поставщиков услуг, обслуживающих медицинские страховые компании. 1 февраля компания Viamedis сообщила, что ей пришлось отключить платформу в результате взлома. Генеральный директор Viamedis Кристоф Канде пояснил, что злоумышленникам удалось провести фишинговую атаку и получить учетные данные сотрудников для доступа к внутренним системам.

Спустя несколько дней компания Almerys объявила, что обнаружила взлом. Однако в компании уточнили, что центральная информационная система не подверглась атаке, пострадал только портал с информацией о сотрудниках.

В результате инцидента злоумышленники получили доступ к датам рождения, номерам социального страхованиях, национальным идентификационным номерам, названиям медицинских страховых компаний и др. Всего утечка затронула данные 33 миллионов французов. Прокуратура Парижа начала расследование по факту массового хищения личных данных.

По течению утечек

Что случилось: телекоммуникационная компания Verizon столкнулась с утечкой по вине инсайдера.

Как это произошло: в феврале компания начала уведомлять сотрудников о том, что инсайдер случайно получил доступ к их личным данным. Нарушение произошло еще в сентябре 2023 года. В документах, которые Verizon предоставила генеральному прокурору штата, сказано, что сотрудник получил несанкционированный доступ к файлу, в котором содержалась личная информация работников: имена, адреса, номера социального страхования, пол, информация о членстве в профсоюзе, даты рождения и данные о размерах компенсаций. Сейчас компания проводит внутреннее расследование.

Verizon сообщает, что планирует усилить технические меры контроля для того, чтобы в будущем предотвратить несанкционированный доступ к файлам. По нашим данным, причина большинства нарушений в том, что сотрудники получают доступ к конфиденциальным файлам, которые «плохо лежат». К слову, недавно мы и сами проверяли, как распределены права пользователей в наших файловых хранилищах (о результатах экспериментов можно почитать тут и тут). 

Телекоммуникационный гигант предлагает пострадавшим сотрудникам два года бесплатных услуг кредитного мониторинга и защиты личных данных. В случае мошенничества сотрудники могут получить до 1 миллиона долларов в качестве компенсации.

Это уже не первый инцидент Verizon, связанный с утечкой персональных данных. В 2022 году компания уведомила клиентов о том, что их учетные записи были скомпрометированы, а номера телефонов похищены мошенниками.

Яблочное изобилие

Что случилось: киберисследователь обманул Apple на 2.5 миллиона долларов.

Как это произошло: Ной Роскин-Фрейзи, известный специалист по безопасности из ZeroClicks Lab, неоднократно помогал Apple находить уязвимости в гаджетах. В декабре прошлого года компания даже поблагодарила его за это на своем сайте.

Позже выяснилось, что полиция задержала исследователя за мошенничество. Оказалось, что Ной Роскин-Фрейзи и его подельник получили доступ к системам Apple через стороннего подрядчика. После этого они украли подарочные карты на сумму 2.5 миллиона долларов. Также мошенники оформили на себя доставку продуктов Apple на сумму 100 тысяч долларов и попытались перепродать украденные товары.

Обмен данными

Что случилось: данные двух миллионов пользователей оказались в открытом доступе из-за утечки у LectureNotes — платформы, на которой студенты и преподаватели могут обмениваться конспектами.

Как это произошло: исследователи Cybernews обнаружили неправильно настроенную базу данных в приложении LectureNotes Learning App. База данных обновлялась в режиме реального времени и раскрывала информацию о пользователях и данные для доступа администраторов приложения.

Всего эксперты обнаружили 2 165 139 скомпрометированных пользовательских записей, среди которых оказались: имя пользователя, имя и фамилия, электронная почта, номер телефона, зашифрованный пароль, токены сеанса и др. Эксперты Cybernews заявляют, что утечка токенов сеанса представляет серьезную угрозу, так как потенциальные злоумышленники могут получить доступ к пользовательским сеансам без пароля. Кроме того, через скомпрометированные данные авторизации администратора злоумышленники могут получить доступ к привилегированным учетным записям и затем загрузить вредоносное ПО.

LectureNotes Technologies устранили проблему за два дня. Представители
компании пока публично не прокомментировали инцидент. Исследователи Cybernews связывают утечку с неправильно настроенной базой данных MongoDB.

Кактусы атакуют

Что случилось: злоумышленники взломали поставщика электрооборудования Schneider Electric.

Как это произошло: еще в конце января французская транснациональная компания Schneider Electric объявила о том, что стала жертвой атаки с использованием программы-вымогателя. Хакеры получили доступ к ресурсам консалтингового подразделения компании. Известно, что Schneider сотрудничает с крупнейшими мировыми корпорациями: Walmart, Hilton,  DHL и др. Эксперты предполагают, что данные, принадлежащие этим корпорациям, могли быть раскрыты в результате инцидента.

20 февраля участники хакерской группировки Cactus заявили о том, что им удалось похитить 1,5 ТБ данных у консалтингового подразделения Schneider Electric. В качестве доказательств злоумышленники опубликовали скриншоты нескольких паспортов, предположительно принадлежащих сотрудникам и клиентам Schneider Electric. Также злоумышленники опубликовали сканы соглашений о неразглашении данных. Хакеры обещают опубликовать все украденные данные в открытом доступе, если Schneider Electric не заплатит выкуп.

© Habrahabr.ru