Объем средств, который хакеры похитили с банковских карт россиян с помощью социальной инженерии — иначе говоря, классического обмана — в прошлом году составил 650 млн рублей. По сравнению с предыдущим годом этот показатель упал на 15%, поскольку россияне изучили наиболее популярные схемы мошенничества и научились не реагировать на них.
Это следует из расчетов, которыепровела компания Zecurion. Впрочем, в нынешнем году, по ее прогнозам, объем хищений увеличится до 750 млн рублей. По словам экспертов, кибермошенники совершенствуют свои схемы. Например, они начали представляться сотрудниками налоговой и под предлогом необходимости погашения долга получают необходимые данные.
Кибермошенники, использующие методы социальной инженерии для хищений, как правило, звонят гражданам, представляясь сотрудниками банков, и просят сообщить данные карт (номер, CVV, PIN-коды и пр.). Также хакеры программируют интерактивные голосовые системы (IVR) для звонков гражданам. Или высылают на электронную почту клиентов банков письма со ссылками и файлами, ориентированными на их интересы. Открывая эти вложения, клиенты запускают вирус,
Одна из схем ориентирована на людей, продающих автомобили на различных интернет-ресурсах. В ней потенциальный покупатель предлагает сразу внести задаток за автомобиль на банковскую карту клиента. При этом «покупатель» просит продавца сообщить полученный на телефон код авторизации, назвав который, владелец не увидит ни задатка, ни своих денег.
По данным Zecurion, в 2015 году объем хищений с банковских карт россиян составил 765 млн рублей. В прошлом году показатель снизился на 15% до 650 млн — граждане стали более опытными и уже не поддаются на прямолинейные ходы мошенников. Впрочем, по итогам этого года вновь ожидается увеличение объема хищений — до 750 млн рублей. Мошенники ввели новую схему обмана. Они звонят потенциальным жертвам, представляются сотрудниками Федеральной налоговой службы и под предлогом необходимости погашения задолженности выведывают необходимые данные. Иногда мошенники используют роботизированные обзвоны. По данным Zecurion, пострадавших от этого уже около 4 тыс. Суммарный ущерб от новой схемы — около 550 тыс. рублей, но она только набирает обороты.
Руководитель направления противодействия мошенничеству Центра информационной безопасности компании «Инфосистемы джет» Алексей Сизов уверен, что новая мошенническая схема будет актуальна еще минимум месяц.
— Количество успешных атак будет зависеть от того, насколько подготовленными будут звонки от имени налоговой, будут ли их проводить по реальным должникам, — пояснил эксперт. — Обычно срок «жизни» мошеннической схемы — месяц или чуть больше, финансовая грамотность россиян растет, продвинутых клиентов банков все больше.
По прогнозам Алексея Сизова, злоумышленники будут изобретать новые схемы обмана потребителей.
— Нарушители используют как приманку новые сервисы дистанционной оплаты — например, Avito, а также появляющиеся платежные госуслуги — налоги, пошлины, — рассказал Алексей Сизов. — Обычных граждан чуть проще обмануть, представляясь именно сотрудниками госорганов.
В приложениях и системных компонентах мобильных устройств от Xiaomi нашли ряд уязвимостей, открывающих возможность манипулировать произвольными файлами с системными привилегиями и получать контроль над аккаунтами владельцев Android-смартфонов.
О проблемах рассказали исследователи из компании Oversecured. В отчёте отмечается следующее:
«Уязвимости в устройствах от Xiaomi приводят к несанкционированным действиям, получению доступа к службам, краже файлов, раскрытию информации о девайсе и аккаунтах владельца».
Среди затронутых проблемами компонентов присутствуют:
Gallery (com.miui.gallery)
GetApps (com.xiaomi.mipicks)
Mi Video (com.miui.videoplayer)
MIUI Bluetooth (com.xiaomi.bluetooth)
Phone Services (com.android.phone)
Print Spooler (com.android.printspooler)
Security (com.miui.securitycenter)
Security Core Component (com.miui.securitycore)
Settings (com.android.settings)
ShareMe (com.xiaomi.midrop)
System Tracing (com.android.traceur), and
Xiaomi Cloud (com.miui.cloudservice)
Наиболее опасные баги — возможность инъекции шелл-команды в приложении System Tracing, а также бреши в программе Settings, допускающие кражу произвольных файлов и раскрытие информации о подключённых Bluetooth-устройствах и сетях Wi-Fi.
Помимо этого, исследователи нашли уязвимость в приложении GetApps, корень которой кроется аж в библиотеке Android — LiveEventBus. А софт Mi Video пытается отправить данные об учётной записи пользователя в системе Xiaomi: имя, адрес электронной почты и т. п.
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
![В Сеть попали данные покупателей маркетплейса PandaBuy (pandabuy[.]com)](https://www.anti-malware.ru/files/styles/imagesize266w200h/public/images/source/pandabuyleak_news.png?itok=Eez8urMI×tamp=1711964660)
