Газинформсервис проверил инфраструктуру московского банка на следы взлома

Газинформсервис проверил инфраструктуру московского банка на следы взлома

Газинформсервис проверил инфраструктуру московского банка на следы взлома

Компания «Газинформсервис» по запросу одного из московских банков проверила ИТ-инфраструктуры кредитной организации на наличие следов компрометации. Речь шла о поиске скрытых угроз — ситуаций, когда атака могла уже произойти, но её последствия остаются незаметными на первый взгляд.

Как рассказал Константин Хитрово, эксперт по кибербезопасности и менеджер по развитию сервисов мониторинга и реагирования GSOC «Газинформсервиса», интерес к таким проверкам растёт на фоне увеличения числа успешных кибератак.

Компании всё чаще хотят убедиться, что в их инфраструктуре не осталось следов взлома: вредоносных программ, скрытых процессов, «закладок» или других артефактов, которые злоумышленники могли оставить после себя.

По его словам, поиск следов компрометации может проводиться как после инцидента, так и без явных признаков атаки — просто для проверки. Задача в этом случае одна: убедиться, что система «чистая» и в ней нет скрытого присутствия злоумышленников.

Эксперт сравнивает ИТ-инфраструктуру с домом, в котором установлен надёжный замок. Даже если дверь выглядит закрытой, всегда остаётся риск, что кто-то мог попасть внутрь через окно и остаться незамеченным. Именно для таких случаев и проводится проверка на следы компрометации.

В рамках обследования специалисты анализируют доступные элементы инфраструктуры: журналы событий, конечные точки, сетевой трафик и память, проверяют наличие вредоносных программ, подозрительных процессов и аномалий в работе систем и приложений. Такой подход позволяет не только выявить возможное присутствие злоумышленников, но и оценить текущее состояние средств защиты и процессов безопасности.

Как отметил Хитрово, в случае с московским банком проверка проводилась в сжатые сроки. Специалисты оперативно проанализировали инфраструктуру, подготовили рекомендации и возможный план действий на случай выявления рисков, а также итоговый отчёт. Основная цель — минимизировать потенциальный ущерб и исключить скрытые угрозы до того, как они смогут быть использованы в реальной атаке.

Фишеры научились рассылать письма с настоящих адресов крупных компаний

В даркнете появилась платформа для массовых фишинговых рассылок, которая умеет подставлять в строку отправителя реальные адреса известных организаций. На экране все выглядит убедительно: знакомый домен, привычное имя компании и письмо, которое легко принять за официальное.

Инструмент работает на основе спуфинга — подмены данных отправителя. В результате жертва видит настоящий корпоративный имейл, хотя сообщение на самом деле отправили мошенники.

По данным BI.ZONE Threat Intelligence, которые передаёт газета «Известия» ,платформу уже рекламируют на теневых площадках как готовый сервис для массовых атак.

Она позволяет не только использовать чужие адреса, но и автоматически собирать изображения с официальных сайтов, чтобы копировать логотипы, фирменное оформление и стиль писем.

Это делает фишинг особенно опасным. Обычный совет «проверьте адрес отправителя» здесь уже может не сработать: домен в письме действительно будет принадлежать реальной компании.

Такие сообщения могут маскироваться под счета, уведомления службы безопасности, документы, предложения от подрядчиков или просьбы срочно подтвердить данные. Дальше всё по классике: ссылка на поддельный сайт, вредоносное вложение или попытка выманить логин, пароль и банковские реквизиты.

Эксперты предупреждают, что даже внимательному пользователю будет сложно отличить такую подделку от настоящего письма. Поэтому теперь смотреть только на строку «От кого» недостаточно. Нужно проверять ссылки, контекст запроса и любые неожиданные требования что-то скачать, оплатить или срочно ввести данные.

RSS: Новости на портале Anti-Malware.ru