Банку России разрешили блокировать сайты мошенников без санкции суда

Банку России разрешили блокировать сайты мошенников без санкции суда

Банку России разрешили блокировать сайты мошенников без санкции суда

Сегодня, 1 декабря, вступил в силу закон, в соответствии с которым блокировка мошеннических сайтов по инициативе Банка России может осуществляться во внесудебном порядке. Это позволит ускорить процедуру, на которую ранее уходило несколько недель, а то и месяцы.

Федеральный закон № 250 от 1 июня 2021 года вносит соответствующие поправки в ряд законодательных актов: «О банках и банковской деятельности», «О рынке ценных бумаг», «О Центральном банке РФ», «Об информации, информационных технологиях и о защите информации», «О национальной платежной системе», КоАП. Новый механизм блокировки может также применяться к сайтам мошенников в иностранных доменных зонах (COM, NET, UK и проч.).

Ускоренная процедура блокировки уже опробована и выглядит следующим образом. Председатель ЦБ или его заместитель передают списки мошеннических сайтов в Генпрокуратуру, а там уже направляют требование о внесудебной блокировке в Роскомнадзор.

По оценкам Центробанка, время реагирования при этом должно сократиться до двух-трех дней. Регулятор надеется, что новый порядок поможет снизить риски для потребителей финансовых услуг и сократить число пострадавших от действий мошенников, создающих финансовые пирамиды и сайты, вводящие пользователей в заблуждение.

Центробанк теперь также может обращаться в суд с ходатайством об ограничении доступа к сайтам, представляющим угрозу информационной безопасности кредитно-финансовых организаций. Рассмотрение дел о блокировке мошеннических сайтов будет проходить в соответствии с КоАП.

Директор департамента проектирования компании «Газинформсервис» Александр Калита:

«С одной стороны, появление данного закона — это хороший знак того, что проблема мошенничества в интернете привлекла внимание властей и ЦБ. С другой стороны, создание новых сайтов занимает минуты, поэтому блокировка просто замедлит и усложнит работу мошенникам. Борьба с фишинговыми сайтами — это не более чем попытка вылечить симптомы болезни, без устранения причин появления самой болезни. В первую очередь необходимо проводить борьбу с самими мошенниками, повышать финансовую грамотность населения, устранять векторы распространения фишинговых писем.

Как вариант, необходимо, чтобы в борьбу с мошенническими сайтами и рассылками включились хостеры веб-сайтов, поисковые системы и компании, предоставляющие услуги электронной почты. Возможно, правильным решением стало бы создание системы, которая выявляла бы фишинговые сайты на уровне поисковых сервисов, уведомляла бы хостера веб-сайта о наличии у него фишингового сайта, чтобы хостер мог принять решение о блокировке ресурса».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Android-троян GhostGrab уличен в клептомании и крипомайнинге

Проведенный в CYFIRMA анализ Android-зловреда GhostGrab показал, что это гибридная угроза. Новый модульный троян крадет ключи от банковских счетов и вдобавок использует ресурсы жертвы для добычи монеро.

Новобранец очень цепок, всегда работает в фоне и умело уклоняется от обнаружения и системных попыток прибить его процессы. Для получения команд и отправки украденного он обращается к Firebase.

Атака начинается с JavaScript-редиректа на сайте kychelp[.]live (домен был зарегистрирован в начале лета). При перенаправлении браузера автоматом происходит загрузка дроппера, замаскированного как BOM FIXED DEPOSIT.apk (результат VirusTotal на 28 октября — 26/61).

В поддержку иллюзии при установке жертве выводится интерфейс обновления, копирующий стиль Google Play. Успешно внедрившись, вредонос запрашивает разрешение на установку приложений из сторонних источников (REQUEST_INSTALL_PACKAGES) для беспрепятственного развертывания модуля банковского стилера.

Чтобы обеспечить себе постоянное присутствие в системе, дроппер выводит на экран уведомление и закрепляет его, инициируя запуск службы переднего плана.

 

Банковский модуль GhostGrab (детектируют 10 антивирусов из 66 на VirusTotal) вначале выполняет профилирование зараженного устройства, в частности, выясняет номер телефона и имя провайдера связи.

Он также запрашивает множество разрешений, в том числе доступ к СМС (для перехвата одноразовых кодов и уведомлений банков) и телефонной связи (для перевода звонков своему оператору и выполнения USSD-команд).

Чтобы беспрепятственно работать в фоне, зловред просится в список исключений по энергосбережению, скрывает свою иконку и использует механизмы автоматического перезапуска по системным событиям (перезагрузка ОС, изменение состояния экрана, возможность установления соединений).

 

Банкер также умеет выуживать интересующую его информацию с помощью фишинговых страниц. Заготовки вшиты в код и поочередно отображаются через WebView.

Вначале у жертвы запрашивают полное имя, уникальный идентификатор карты, номер счета — якобы для завершения процедуры KYC. После ввода ее попросят предоставить все данные дебетовой карты или учетки для доступа к системе ДБО.

Мониторинг заполнения фальшивых форм и вывод содержимого осуществляются с помощью JavaScript-сценария. Украденная информация направляется прямиком в Firebase и, как оказалось, хранится там в незашифрованном виде в общедоступной базе данных.

Для управления резидентным зловредом используются возможности Firebase Cloud Messaging: команды подаются в виде пуш-уведомлений.

Когда устройство жертвы заблокировано, GhostGrab может загрузить со стороннего сервера зашифрованный криптомайнер (libmine-arm64.so). Этот модуль тоже работает в фоне, используя монеро-кошелек, адрес которого жестко прописан в коде дроппера.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru