В США произошла крупнейшая утечка данных о налогоплательщиках

В США произошла крупнейшая утечка данных о налогоплательщиках

Власти штата Южная Каролина признали факт утечки с серверов налоговой службы 3,6 млн номеров карт социального страхования, 387 тыс. кредитных карт, налоговых деклараций граждан и прочей информации о жителях штата и компаниях, ведущих здесь деятельность. Как сообщается, неизвестные злоумышленники (предположительно, из России) похитили подробную финансовую информацию о 80% жителей Южной Каролины и обо всех 657 тыс. компаниях, зарегистрированных в местной налоговой службе. Это крупнейшая утечка финансовых данных в истории США.

Департамент по налогам и сборам Южной Каролины опубликовал срочное предупреждение для граждан с объяснением ситуации и инструкцией по дальнейшим действиям.

Расследование показало, что операция по взлому системы началась в августе 2012 года, когда несколько сотрудников налоговой службы получили сообщения по электронной почте с вредоносным вложением. Один из сотрудников открыл это вложение 13 августа 2012 года — и заразил свой рабочий компьютер. Скорее всего, вредоносная программа снабжалась кейлоггером, потому что вскоре злоумышленникам стали известны логин и пароль сотрудника. 27 августа 2012 года злоумышленник впервые дистанционно проник в систему Citrix, используя эти учётные данные. Полный отчёт об инциденте от независимой аудиторской компании Mandiant опубликован здесь, сообщает xakep.ru.

Хронология атаки, из отчёта Mandiant.

29 августа злоумышленник запустил утилиты для получения паролей пользователей к шести серверам.

1 сентября злоумышленник запустил утилиту для получения учётных данных всех пользователей Windows. Злоумышленник также установил бэкдор в одну из систем.

2 сентября злоумышленник осуществил авторизацию на 21 сервере с похищенного аккаунта для разведки. Он также залогинился на платёжный сервер Департамента по налогам и сборам, но не выполнил вредоносных действий.

3 сентября злоумышленник заходил на восемь серверов для разведки, ещё раз авторизовался на платёжном сервере, но не выполнил вредоносных действий.

4 сентября злоумышленник заходил в шесть систем для разведки.

5-10 сентября: нет следов активности.

11 сентября злоумышленник заходил в три системы для разведки.

12 сентября злоумышленник скопировал файлы бэкапа базы данных в отдельную папку.

13-14 сентября злоумышленник заархивировал файлы бэкапа базы данных с помощью утилиты 7-zip, разбив архив на 14 томов, защищённых паролем. Затем архив был скопирован с сервера базы данных на другой сервер, после чего скопирован на удалённый сервер в интернете, а сам архив был удалён.

15 сентября злоумышленник заходил в десять систем для разведки.

16 сентября – 16 октября: нет следов активности.

10 октября полиция Южной Каролины обратилась в Департамент по налогам и сборам в связи с фактом утечки персональных данные трёх граждан. Сотрудники департамента проверили информацию и обнаружили, что она получена из их базы данных.

12 октября Департамент по налогам и сборам обратился в независимую компанию Mandiant для расследования инцидента.

17 октября злоумышленник проверил связь с сервером, используя бэкдор, установленный 1 сентября. Нет следов иной активности.

19 и 20 октября Департамент по налогам и сборам начал осуществлять процедуры восстановления системы, в соответствии с кратковременными рекомендациями Mandiant. Целью этих процедур было закрыть доступ посторонним лицам во внутреннюю сеть и обнаружить вмешательство извне.

С 21 октября по настоящее время нет следов посторонней активности.

Добычей хакеров стала база данных, которая содержит электронные налоговые декларации с 2002 года, а некоторые подавали их в электронном виде с 1998 года, около 387 тыс. номеров кредитных и дебетовых карт жителей штата, 3,6 млн номеров социального страхования, номера 3,3 млн банковских счетов и персональные данные 1,9 млн человек.

Фейковый Google Play маскирует онлайн-казино под приложения Tesco, Amazon

Мошенники нашли красивую упаковку для старой схемы: берут известный бренд, рисуют фейковую страницу Google Play, запускают рекламу в соцсетях и под видом официального приложения ведут пользователя в онлайн-казино. В объявлениях злоумышленники используют названия и визуальный стиль известных компаний, включая Tesco, Amazon, Monzo, Revolut и стриминговые сервисы.

По данным Netcraft, кампания продвигается через платную рекламу в Facebook, Instagram, Threads (все три принадлежат корпорации Meta, признанной экстремистской и запрещённой в России) и TikTok.

Где-то всё выглядит примитивно — просто «Brand Slots». А где-то уже почти спектакль: поддельные интерфейсы, фальшивые отзывы, липовые данные из магазинов приложений и даже ИИ-видео с якобы сотрудниками бренда.

 

Главная легенда — официальный запуск слотов или казино-приложения от известной компании. Пользователь кликает по рекламе и попадает на страницу, похожую на Google Play, App Store или сайт бренда. Но кнопка «Install» не ведёт в настоящий магазин приложений. Вместо этого браузер предлагает добавить на главный экран PWA — прогрессивное веб-приложение.

После установки такая штука выглядит как обычное приложение: с иконкой, названием и оформлением под бренд. На деле это тонкая обёртка, которая открывает сторонний сайт онлайн-казино. То есть пользователь думал, что ставит «Amazon Slots» или «Monzo Slots», а получил ярлык на азартную площадку.

Netcraft считает, что схему подпитывает партнёрская экономика. В PWA и ссылках есть параметры, которые позволяют отслеживать регистрации и депозиты. По открытым данным, выплаты за игрока, внесшего депозит, могут составлять от $50 до $350. С такими ставками мошенникам есть смысл вкладываться в правдоподобные объявления и массовый запуск рекламы.

В некоторых кампаниях использовались фейковые страницы с вымышленными разработчиками, скачиваниями и отзывами. Были и интерактивные приманки вроде колеса удачи с гарантированным выигрышем, после которого пользователя просили установить PWA, чтобы забрать приз.

Опасность здесь не только в потерянных деньгах. Такие PWA размывают границу между настоящим приложением и подделкой: браузерная оболочка минимальна, и всё выглядит почти как фирменный сервис. Только фирменного там — разве что украденный логотип.

RSS: Новости на портале Anti-Malware.ru