Минцифры планирует собрать идентификаторы всех мобильных устройств

Минцифры планирует собрать идентификаторы всех мобильных устройств

Минцифры планирует собрать идентификаторы всех мобильных устройств

В рамках второго пакета мер по борьбе с телефонным мошенничеством российское правительство планирует создать единый реестр идентификаторов мобильных устройств. Их подмена будет запрещена.

Такие меры предполагаются в проекте поправок к закону «О связи», с текстом которых ознакомились «Известия».

Согласно документу, пользователям будет запрещено изменять идентификационные номера мобильных устройств (IMEI), привязанные к их номерам. Все данные об IMEI планируется собрать в едином реестре.

Также будет сформирован «черный список» таких идентификаторов, в который попадут устройства, замеченные в противоправной деятельности.

Директор Института исследований интернета Карен Казарян в комментарии для «Известий» отметил, что IMEI уже используется службами безопасности банков как дополнительный идентификатор клиента. Это позволяет пресекать попытки входа в мобильный или онлайн-банк с подменных сим-карт, используемых злоумышленниками.

«Подмена IMEI — один из инструментов киберпреступников, позволяющий, например, скрыть устройство, с которого совершались мошеннические действия. Кроме того, IMEI изменяют владельцы сим-боксов, применяемых для спам-обзвонов, массовых рассылок и работы мошеннических контакт-центров. После подмены операторы и банки «видят» устройство как совершенно новый гаджет», — пояснил Карен Казарян.

По его словам, сейчас манипуляции с IMEI никак не регулируются. Он не исключает, что с введением запрета появится и ответственность за такие действия — возможно, через поправки в КоАП или даже в Уголовный кодекс.

Идея создания реестра IMEI поднимается не впервые. Подобные инициативы выдвигались в 2017, 2018 и 2022 годах. Основной целью было противодействие использованию украденных и контрабандных устройств.

По мнению ведущего аналитика Mobile Research Group Эльдара Муртазина, с помощью такого реестра проблему краж и нелегального ввоза мобильных устройств можно решить раз и навсегда. Он сослался на успешный опыт Турции и Великобритании.

Однако реализация подобных мер сопряжена со значительными трудностями, из-за чего инициативы ранее не были доведены до конца.

«Создание подобной информационной системы, её функционирование и механизм обмена данными с мобильными операторами — это организационно сложное мероприятие, — прокомментировали «Известиям» в компании «Мегафон». — Перед этим необходимо проанализировать текущую практику контроля за IMEI у иностранных граждан».

«В вопросе регулирования IMEI важен комплексный подход, включающий контроль всей цепочки применения идентификатора, в том числе при ввозе телефонов в страну. Необходимо создавать централизованную базу и обеспечивать уникальность IMEI для каждого мобильного устройства», — считают в «Вымпелкоме».

«Эти поправки логично дополняют комплекс мер по борьбе с мошенничеством и защите пользователей. Запрет на подмену IMEI направлен на вывод мошенников из правового поля. В первую очередь это ударит по владельцам сим-боксов, позволяющих массово использовать сим-карты для спама, звонков и противоправных действий», — уверен директор департамента методологии информационной безопасности «Ростелекома» Михаил Савельев.

Директор департамента расследований компании T.Hunter Игорь Бедеров также отметил, что выявить факт подмены IMEI бывает непросто, особенно если злоумышленники делают это регулярно. К тому же мошенники могут использовать устройства без сим-карт — достаточно доступа к Wi-Fi и мессенджерам для совершения звонков.

Тем не менее, как подчёркивает эксперт, современные аналитические технологии позволяют фиксировать случаи подмены IMEI, особенно если они сопровождаются регулярной заменой сим-карт.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru