СёрчИнформ открывает направление профайлинга

СёрчИнформ открывает направление профайлинга

СёрчИнформ открывает направление профайлинга

В марте компания «СёрчИнформ» объявила о запуске нового направления – профайлинг в ИБ. Для этих задач компания создала специальное подразделение. Его возглавил экс-руководитель департамента безопасности группы компаний T.E.L.S (Transeuropean Logistic Service), эксперт-профайлер Иван Бируля. 

Профайлинг – совокупность психологических методов и методик оценки и прогнозирования поведения человека на основе наиболее информативных частных признаков, характеристик внешности, невербального и вербального поведения. В бизнесе профайлинг применяется для выявления мошеннических действий, прогнозирования и обнаружения деструктивного поведения сотрудников в отношении организации. Что особенно актуально в разрезе практических задач информационной безопасности.

Подразделение профайлинга в составе «СёрчИнформ» будет работать в трех направлениях:

  1. Обучение клиентов на базе Учебного центра «СёрчИнформ». Первая обучающая программа - «Профайлинг на службе ИБ» - прошла в марте этого года.  Специалисты рассмотрели вопросы криминальных тенденций в характере человека, кадровые риски, прогнозирование поведения сотрудников, получение важной информации о сотруднике и др.
  2. Оказание услуг на территории заказчика. Эксперты-профайлеры «СёрчИнформ» по заявке клиентов будут выезжать в компанию и совместно с ИБ-специалистами заказчика решать поставленные задачи.
  3. Исследования в направлении автоматизации анализа и прогнозирования поведения человека. В планах компании дополнить функциональность DLP-системы «КИБ СёрчИнформ» модулем, который упростит работу по прогнозированию поведения сотрудников клиентов. 

«Интерес клиентов к учебному курсу по профайлингу в очередной раз показал, что у темы большие перспективы. Метод помогает решать сложнейшие задачи, но работа эта требует больших временных и человеческих ресурсов, – поясняет председатель совета директоров «СёрчИнформ» Лев Матвеев. – Мы делаем ставку на то, чтобы максимально облегчить работу ИБ-специалиста в этой сфере. Мы понимаем, что эксперта-аналитика машина не заменит, но вот собрать данные и представить их в максимально удобном для анализа виде, DLP-система очень даже способна».

Директор по безопасности «СёрчИнформ» и руководитель подразделения по профайлингу Иван Бируля – практикующий специалист в сфере профайлинга и информационной безопасности. Ранее более 10 лет возглавлял ИБ-службы компаний из разных отраслей. Имеет обширный опыт проведения служебных расследований, разработал авторскую методику на основе нескольких школ и направлений профайлинга в России.

«Я изучаю профайлинг на протяжении 8-ми лет. Переход в «СёрчИнформ» позволит мне вывести работу на новый уровень: здесь у меня есть возможность применять методику на большом количестве компаний, изучать опыт клиентов, выявлять их потребности и работать в направлении автоматизации некоторых функций профайлера, - отмечает Иван Бируля. – Уверен, что это сотрудничество позволит нам создать инструмент, который будет полезен нашим клиентам в борьбе с новыми вызовами в сфере информационной безопасности». 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Coyote — первый вредонос, который шпионит через Windows UI Automation

Исследователи из Akamai зафиксировали реальное применение новой техники кражи данных — теперь банковский троян Coyote использует функции Windows, предназначенные для людей с ограниченными возможностями, чтобы следить за действиями пользователя.

Речь идёт о Microsoft UI Automation (UIA) — это фреймворк, который позволяет программам вроде экранных дикторов считывать содержимое интерфейса. Идея отличная, но в руках злоумышленников она становится инструментом для кражи логинов и паролей.

Троян Coyote появился в начале 2024 года и изначально использовал классические методы вроде кейлоггинга и фишинговых наложений. Теперь он стал умнее. Если раньше вредонос искал в названии окна упоминание банка или криптобиржи, то теперь он «залезает» в сам интерфейс браузера и вытаскивает оттуда адрес сайта — через UIA.

Если троян находит совпадение с одним из 75 заранее зашитых в него сервисов (банки вроде Banco do Brasil, Santander, CaixaBank, и криптобиржи вроде Binance, Electrum, Foxbit), он начинает активную фазу кражи данных. При этом сам метод UIA пока используется только на этапе разведки, но Akamai уже показала, что через него можно считывать и введённые логины, и пароли.

«Если не удаётся определить цель по заголовку окна, Coyote использует UIA, чтобы добраться до элементов интерфейса — вкладок и адресной строки, — и сравнивает найденное с зашитым списком», — говорится в отчёте Akamai.

 

Изначально Akamai предупреждала о такой уязвимости ещё в декабре 2024 года — тогда это была теоретическая угроза. Теперь она стала реальностью.

Особенность подхода — обход защит EDR. UIA не вызывает подозрений у антивирусов и систем мониторинга, потому что считается частью стандартной функциональности Windows. При этом такие же проблемы есть и в Android — там службы доступности давно используются в вредоносах, и Google уже не первый год борется с этой лазейкой.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru