Журнал "Директор по безопасности" Октябрь 2021 | Page 3

КОРОТКО

Мошенники стали звонить от имени службы поддержки портала « Госуслуги »

« Известия » выяснили , что в России появилась новая схема мошенничества – звонок от имени службы поддержки портала « Госуслуги ». С начала сентября звонки по этой тематике достигли своего пика , хотя схема пока только « обка-тывается », заявили изданию в « Лаборатории Касперского ».

Специалисты в области IT-технологий рассказали , что свой звонок злоумышленники объясняют либо утечкой данных , либо информацией о взятом на имя жертвы кредите . Под этим предлогом они пытаются выманить поступающий через SMS код сброса пароля к сервису , передача которого якобы обеспечит безопасность аккаунта .

« В августе в даркнете и на ряде закрытых форумов выросло число предложений по продаже взломанных аккаунтов сервиса « Госуслуги », не использующих двухфакторную авторизацию при входе . Их стоимость упала со 100 руб . в начале года до 30 – 40 руб . за « новые » и до 4 – 5 руб . за использованные для регистрации на сайтах букмекерских контор », – сказал гендиректор производителя DeviceLock DLP Юрий Томашко .

Он подчеркнул , что всем пользователям портала следует в обязательном порядке включить двухфакторную авторизацию и уведомление о входе в личный кабинет . Если возникнут подозрения , что кто-то другой попал туда , необходимо сменить пароль , завершить все сессии и проверить подозрительную активность , включая выдачу электронных подписей и согласий на доступ к данным .

Право . ru

Сайты используют мошеннические методы , чтобы заставить пользователей согласиться на установку куки

Желая заработать на таргетированной рекламе , владельцы сайтов собирают информацию о посетителях . Однако , в связи с ужесточением европейского и американского законодательства , чтобы сбор подобной информации стал возможным , пользователь должен дать согласие на использование файлов cookie . Однако по закону , сайт обязан предоставить пользователю выбор : согласиться на установку куков или отказаться .

В связи с этим многие сайты все чаще стали использовать « темные паттерны », чтобы вынудить пользователя согласиться с использованием куков . Разработчики используют различные уловки . Настройки , изменение которых не желательно , прячутся глубоко в меню , предпочтительный вариант ответа на вопрос подсвечивается , используется мелкий шрифт для важных формулировок , опция с « правильным » выбором включаются по умолчанию и т . д .

Инженер Крис Корбетт обнаружил , что сайт Starbucks UK внедрил тeмные паттерны для установки куков . В случае отказа пользователя от использования куков , сайт выводит диалог : « Обработка заявки на изменение предпочтений . В данный момент мы обрабатываем вашу заявку на изменение настроек куков . Это может занять несколько минут ». Инженер отмечает , что , если согласиться с использованием куков , выбрав вариант по умолчанию , « заявка » обрабатывается мгновенно .

Корбетт проанализировал код и выяснил , что вышеупомянутый диалог устанавливается по таймауту и демонстрируется заданное количество секунд . Никакой реальной работы по изменению предпочтений не производится . В результате , уставшие от ожидания пользователи , жмут кнопку отмена , тем самым соглашаясь с использованием куков .

Корбетт отмечает , что фейковое диалоговое окно также является примером темного паттерна . Подобная практика по обману пользователей применяется уже несколько лет , однако в большинстве случаев не считается нарушением законодательства .

Securitylab

Иностранцам могут запретить охранять объекты ТЭК

Правительство внесло в Государственную Думу поправки в Федеральный закон « О безопасности объектов топливно-энергетического комплекса » и отдельные законодательные акты , которыми предлагается запретить иностранцам охранять объекты ТЭК . Документ размещен в Системе обеспечения законодательной деятельности . Кроме того , предлагается запретить охрану таких объектов россиянам , у которых есть иностранное гражданство или вид на жительство .

Законопроектом предложено также запретить работу по обеспечению безопасности объектов ТЭК тем , кто представил недостоверные или неполные сведения при найме на работу , и лицам без гражданства . « Законопроект направлен на безусловное обеспечение требуемого уровня защищенности объектов ТЭК от актов незаконного вмешательства в соответствии с Доктриной энергетической безопасности РФ , утвержденной Указом Президента », – сказано в пояснительной записке .

В соответствии с законопроектом , отдельным субъектам ТЭК , являющимся головными организациями , предлагается разрешить учреждать частную охранную организацию исключительно для обеспечения физической защиты объектов , принадлежащих им или их дочерним или зависимым обществам на праве собственности или ином законном праве . Наделять их таким правом в случае принятия законопроекта будет Правительство по предложению Минэнерго и по согласованию с Росгвардией .

ГардИнфо

Законопроектом предложено запретить работу по обеспечению безопасности объектов ТЭК тем , кто представил недостоверные или неполные сведения при найме на работу и лицам без гражданства

Apple платит огромные деньги за найденные уязвимости , но не всегда исправляет их

Компания Apple уже пять лет поддерживает программу вознаграждения за поиск уязвимостей , предлагая до $ 1 млн за наиболее опасные проблемы . Однако многие ИБ-эксперты высказывают недовольство тем , что компания исправляет уязвимости с задержкой и не всегда выплачивает адекватное вознаграждение . В целом , считают исследователи , замкнутый подход Apple только вредит программе и ставит под угрозу безопасность , пишет The Washington Post .

Apple запустила программу bug bounty в 2016 году и до 2019 года она была закрытой . По словам , главы отдела разработки средств безопасности в Apple Айвана Крстича ( Ivan Krstic ), в этом году компания выплатила сумму вознаграждений вдвое превышающую сумму в минувшем году и лидирует по средней сумме вознаграждения за уязвимость .

Однако , опрошенные TWP исследователи не согласны с этим утверждением . По их словам , аналогичные программы Facebook , Microsoft и Google более открыты и предоставляют больше ресурсов , чтобы привлечь более широкую аудиторию экспертов . К тому же , многие из них платят больше , чем Apple .

Securitylab

Росреестр отменил проверки в сфере земельного надзора

В Москве отменены плановые проверки в сфере земельного надзора для физических лиц до конца 2021 года , а для малого бизнеса – до конца 2022 года .

Об этом говорится в пресс-релизе столичного управления Росреестра . Вместо надзорных планируется проведение профилактических мероприятий , говорится в сообщении ведомства .

Управление Росреестра по Москве осуществляет в столице государственный земельный надзор , надзор в области геодезии и картографии , контроль за деятельностью арбитражных управляющих , оценщиков и кадастровых инженеров , а также лицензионный контроль .

Всего по итогам 2020 года столичный Росреестр выявил 273 случая самовольного захвата земли в столице . Как отмечают в ведомстве , средняя площадь незаконно занятого участка в 2021 году составляет 312 кв . м , годом раньше это были 195 кв . м .

РБК

Полиция расследует торговлю чит-кодами для игр

Столичная полиция расследует деятельность сайтов , которые продают боты и читерские программы для компьютерных игр . Как сообщает телеграм-канал Baza , управление « К » МВД следит за двумя такими проектами с прошлого года .

Речь идет о сайтах CyberTank / CyberShip и Hagz . Первый разрабатывает и продает ботов для многопользовательской игры World of Tanks . Такая программа позволяет « играть » в автоматическом режиме без участия игрока , добывая внутриигровую валюту без перерывов на работу и сон . Сайт Hagz предлагает разного рода « читерские » программы для игр , например автоматически улучшающие прицел .

Полиция провела контрольную закупку программ на этих сайтах . Полученное ПО правоохранители расценили как вредоносное и возбудили дело о создании и распространении вредоносных компьютерных программ ( ст . 273 УК ).

CyberTank / CyberShip уже объяви ли о скором закрытии проекта . Hagz сообщает , что временно приостанавливает продажи в связи с непредвиденными обстоятельствами .

Онлайн-игры – прибыльный и постоянно растущий бизнес . Так , в 2017 году , по данным аналитиков , та же World of Tanks принесла своим разработчикам $ 471 млн доходов . Хакеры пытаются получить долю от этих средств , торгуя ботами или похищая и перепродавая « прокачанные » игровые аккаунты .

Право . ru

ЦБ назвал признаки мошеннических карт

Центробанк определил критерии , которые позволят российским банкам оперативно выявлять и блокировать платежные карты и электронные кошельки , используемые организаторами онлайн-казино , финансовых пирамид , нелегальными форекс-дилерами и криптовалютными интернет-обменниками . Соответствующие рекомендации опубликованы на сайте ЦБ .

По информации Центробанка , участники теневого рынка принимают платежи и делают обратные выплаты не со своих расчетных счетов , а с подконтрольных банковских карт и электронных кошельков , которые часто бывают оформлены на подставных лиц . При этом электронные кошельки и банковские карты не используются для коммунальных платежей или покупок , зато очень часто совершаются другие операции . Банк России просит обращать внимание на те платежные карты или электронные счета , где одновременно замечены два и более признаков :

необычно большое количество контрагентов – физических лиц ( плательщиков или получателей ), например , более 10 в день , более 50 в месяц ;

необычно большое количество операций по зачислению или списанию безналичных денежных средств ( увеличению или уменьшению остатка электронных денежных средств ), проводимых с контрагентами – физическими лицами , например , более 30 операций в день ;

значительные объемы операций по списанию или зачислению безналичных средств ( увеличению или уменьшению остатка электронных средств ), совершаемых между физическими лицами , например , более 100 тыс . руб . в день , более 1 млн руб . в месяц ;

короткий промежуток времени ( одна минута и менее ) между зачислением денежных средств ( увеличением остатка электронных денежных средств ) и списанием ( уменьшением остатка средств );

в течение 12 часов ( и более ) одних суток проводятся операции по зачислению или списанию денежных средств ( увеличению или уменьшению остатка электронных денежных средств );

в течение недели средний остаток средств на банковском счете на конец операционного дня не превышает 10 % от среднедневного объема операций по банковскому счету ( электронному средству платежа ) в указанный период ;

операции по списанию денежных средств характеризуются отсутствием платежей в пользу юридических лиц или индивидуальных предпринимателей для обеспечения жизнедеятельности физического лица ( например , оплата коммунальных услуг , услуг связи , иных услуг , товаров , работ ).

Securitylab

ЦБ предложит россиянам отзывать личные данные у компаний

ЦБ и банки выступили за создание в России платформы , позволяющей россиянам давать и отзывать согласия на обработку своих данных не только на « Госуслугах », но и у бизнеса .

Такой реестр должен дать возможность бизнесу и участникам финансового рынка отслеживать , кто из клиентов и на что дает или отзывает те или иные согласия , а самим гражданам – возможность управлять своими согласиями . Об этом сообщила первый зампред ЦБ Ольга Скоробогатова во время обсуждения с бизнесом проекта « Основные направления развития финансового рынка России » ( ОНРФР ).

« Мы сделали такую платформу в рамках « Цифрового профиля », но она сейчас касается только предоставления информации с « Госуслуг », из госисточников . Мы двумя руками за то , чтобы такую платформу сделать для коммерческих согласий », – цитирует слова Скоробогатовой РБК .

« Цифровой профиль гражданина » был запущен в 2020 году . Эта система интегрирована в « Госуслуги » и позволяет давать или отзывать согласия на использование данных из госорганов в кредитных организациях . Сейчас « Цифровой профиль » объединяет 27 типов сведений : паспортные данные , адрес , ИНН , водительские права , место работы , перечень имущества в собственности и др .

Право . ru

Россия предложила Швейцарии пересмотреть налоговое соглашение

Россия направила Швейцарии предложение по пересмотру налогового соглашения между странами . Об этом рассказал замминистра финансов Александр Сазанов в рамках Московского финансового форума , передает ТАСС .

Швейцария готова к переговорам по этому вопросу . Они запланированы на октябрь . Ранее Сазанов сообщал , что Минфин намерен пересмотреть налоговые соглашения с Гонконгом , Сингапуром и Швейцарией . С учетом ранее измененных условий договоров с Кипром , Люксембургом и Мальтой это позволит охватить около 90 % российских выплат в транзитные юрисдикции .

Россия также денонсировала налоговое соглашение с Нидерландами , так как стороны не пришли к договоренности по его новым условиям .

В 2020 году президент Владимир Путин предложил поднять до 15 % налоговую ставку на доходы , которые выплачивают за границу в виде процентов и дивидендов , то есть уравнять ее со ставкой , действующей внутри страны . После этого соответствующие ведомства начали пересмотр соглашений об избежании двойного налогообложения с офшорными юрисдикциями .

Право . ru