Число утечек клиентских данных из МФО растет

Число утечек клиентских данных из МФО растет

Число утечек клиентских данных из МФО растет

По данным «Смарт Лайн Инк» – производителя системы борьбы с утечками данных DeviceLock, в течение последних трех месяцев увеличилось количество утечек данных из российских МФО. Доля МФО выросла с 3% до 5% в общем числе инцидентов, связанных с утечками данных. При этом утекают не только персональные данные клиентов, но и сканы документов, удостоверяющих личность, в том числе, паспортов.

По словам основателя и технического директора «Смарт Лайн Инк» Ашота Оганесяна, рост количества утечек в МФО связан с тем, что безопасности данных в этих организациях не уделяется достаточного внимания на фоне, например, банков, для которых регулятор установил достаточно жесткие требования.

«Линейный персонал в МФО часто меняется, а его деятельность контролируется слабо. Кроме того, сегодня часть МФО из-за ужесточения регулирования уходит с рынка, а их клиентские базы распродаются на черном рынке», — добавил он.

В компании отмечают, что утечки копий документов особенно опасны, так как открывают широкие возможности для мошеннических действий, включая получение новых займов на имя обладателя документов, а также замену SIM-карты и получение доступа к его банковским счетам. При этом клиенты МФО часто не обладают достаточной финансовой грамотностью, чтобы контролировать перечень выданных на их имя займов через кредитные бюро.

По статистике DeviceLock, более 50% утечек данных сегодня происходит по вине инсайдеров, а не хакеров, и доля таких утечек растет. Чаще всего похищаются персональные данные клиентов, которые затем используются конкурентами или попадают на рынки спам-рассылок, а также используются для мошеннических действий. На втором месте объекты авторских прав (тексты, программный код, изображения и видео), на третьем – финансовые документы компаний.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru