Журнал "Директор по безопасности" Октябрь 2021 | Page 3
КОРОТКО
Мошенники стали звонить от имени службы поддержки портала « Госуслуги »
« Известия » выяснили , что в России появилась новая схема мошенничества – звонок от имени службы поддержки портала « Госуслуги ». С начала сентября звонки по этой тематике достигли своего пика , хотя схема пока только « обка-тывается », заявили изданию в « Лаборатории Касперского ».
Специалисты в области IT-технологий рассказали , что свой звонок злоумышленники объясняют либо утечкой данных , либо информацией о взятом на имя жертвы кредите . Под этим предлогом они пытаются выманить поступающий через SMS код сброса пароля к сервису , передача которого якобы обеспечит безопасность аккаунта .
« В августе в даркнете и на ряде закрытых форумов выросло число предложений по продаже взломанных аккаунтов сервиса « Госуслуги », не использующих двухфакторную авторизацию при входе . Их стоимость упала со 100 руб . в начале года до 30 – 40 руб . за « новые » и до 4 – 5 руб . за использованные для регистрации на сайтах букмекерских контор », – сказал гендиректор производителя DeviceLock DLP Юрий Томашко .
Он подчеркнул , что всем пользователям портала следует в обязательном порядке включить двухфакторную авторизацию и уведомление о входе в личный кабинет . Если возникнут подозрения , что кто-то другой попал туда , необходимо сменить пароль , завершить все сессии и проверить подозрительную активность , включая выдачу электронных подписей и согласий на доступ к данным .
Право . ru
Сайты используют мошеннические методы , чтобы заставить пользователей согласиться на установку куки
Желая заработать на таргетированной рекламе , владельцы сайтов собирают информацию о посетителях . Однако , в связи с ужесточением европейского и американского законодательства , чтобы сбор подобной информации стал возможным , пользователь должен дать согласие на использование файлов cookie . Однако по закону , сайт обязан предоставить пользователю выбор : согласиться на установку куков или отказаться .
В связи с этим многие сайты все чаще стали использовать « темные паттерны », чтобы вынудить пользователя согласиться с использованием куков . Разработчики используют различные уловки . Настройки , изменение которых не желательно , прячутся глубоко в меню , предпочтительный вариант ответа на вопрос подсвечивается , используется мелкий шрифт для важных формулировок , опция с « правильным » выбором включаются по умолчанию и т . д .
Инженер Крис Корбетт обнаружил , что сайт Starbucks UK внедрил тeмные паттерны для установки куков . В случае отказа пользователя от использования куков , сайт выводит диалог : « Обработка заявки на изменение предпочтений . В данный момент мы обрабатываем вашу заявку на изменение настроек куков . Это может занять несколько минут ». Инженер отмечает , что , если согласиться с использованием куков , выбрав вариант по умолчанию , « заявка » обрабатывается мгновенно .
Корбетт проанализировал код и выяснил , что вышеупомянутый диалог устанавливается по таймауту и демонстрируется заданное количество секунд . Никакой реальной работы по изменению предпочтений не производится . В результате , уставшие от ожидания пользователи , жмут кнопку отмена , тем самым соглашаясь с использованием куков .
Корбетт отмечает , что фейковое диалоговое окно также является примером темного паттерна . Подобная практика по обману пользователей применяется уже несколько лет , однако в большинстве случаев не считается нарушением законодательства .
Securitylab
Иностранцам могут запретить охранять объекты ТЭК
Правительство внесло в Государственную Думу поправки в Федеральный закон « О безопасности объектов топливно-энергетического комплекса » и отдельные законодательные акты , которыми предлагается запретить иностранцам охранять объекты ТЭК . Документ размещен в Системе обеспечения законодательной деятельности . Кроме того , предлагается запретить охрану таких объектов россиянам , у которых есть иностранное гражданство или вид на жительство .
Законопроектом предложено также запретить работу по обеспечению безопасности объектов ТЭК тем , кто представил недостоверные или неполные сведения при найме на работу , и лицам без гражданства . « Законопроект направлен на безусловное обеспечение требуемого уровня защищенности объектов ТЭК от актов незаконного вмешательства в соответствии с Доктриной энергетической безопасности РФ , утвержденной Указом Президента », – сказано в пояснительной записке .
В соответствии с законопроектом , отдельным субъектам ТЭК , являющимся головными организациями , предлагается разрешить учреждать частную охранную организацию исключительно для обеспечения физической защиты объектов , принадлежащих им или их дочерним или зависимым обществам на праве собственности или ином законном праве . Наделять их таким правом в случае принятия законопроекта будет Правительство по предложению Минэнерго и по согласованию с Росгвардией .
ГардИнфо
Законопроектом предложено запретить работу по обеспечению безопасности объектов ТЭК тем , кто представил недостоверные или неполные сведения при найме на работу и лицам без гражданства
Apple платит огромные деньги за найденные уязвимости , но не всегда исправляет их
Компания Apple уже пять лет поддерживает программу вознаграждения за поиск уязвимостей , предлагая до $ 1 млн за наиболее опасные проблемы . Однако многие ИБ-эксперты высказывают недовольство тем , что компания исправляет уязвимости с задержкой и не всегда выплачивает адекватное вознаграждение . В целом , считают исследователи , замкнутый подход Apple только вредит программе и ставит под угрозу безопасность , пишет The Washington Post .
Apple запустила программу bug bounty в 2016 году и до 2019 года она была закрытой . По словам , главы отдела разработки средств безопасности в Apple Айвана Крстича ( Ivan Krstic ), в этом году компания выплатила сумму вознаграждений вдвое превышающую сумму в минувшем году и лидирует по средней сумме вознаграждения за уязвимость .
Однако , опрошенные TWP исследователи не согласны с этим утверждением . По их словам , аналогичные программы Facebook , Microsoft и Google более открыты и предоставляют больше ресурсов , чтобы привлечь более широкую аудиторию экспертов . К тому же , многие из них платят больше , чем Apple .
Securitylab
Росреестр отменил проверки в сфере земельного надзора
В Москве отменены плановые проверки в сфере земельного надзора для физических лиц до конца 2021 года , а для малого бизнеса – до конца 2022 года .
Об этом говорится в пресс-релизе столичного управления Росреестра . Вместо надзорных планируется проведение профилактических мероприятий , говорится в сообщении ведомства .
Управление Росреестра по Москве осуществляет в столице государственный земельный надзор , надзор в области геодезии и картографии , контроль за деятельностью арбитражных управляющих , оценщиков и кадастровых инженеров , а также лицензионный контроль .
Всего по итогам 2020 года столичный Росреестр выявил 273 случая самовольного захвата земли в столице . Как отмечают в ведомстве , средняя площадь незаконно занятого участка в 2021 году составляет 312 кв . м , годом раньше это были 195 кв . м .
РБК
Полиция расследует торговлю чит-кодами для игр
Столичная полиция расследует деятельность сайтов , которые продают боты и читерские программы для компьютерных игр . Как сообщает телеграм-канал Baza , управление « К » МВД следит за двумя такими проектами с прошлого года .
Речь идет о сайтах CyberTank / CyberShip и Hagz . Первый разрабатывает и продает ботов для многопользовательской игры World of Tanks . Такая программа позволяет « играть » в автоматическом режиме без участия игрока , добывая внутриигровую валюту без перерывов на работу и сон . Сайт Hagz предлагает разного рода « читерские » программы для игр , например автоматически улучшающие прицел .
Полиция провела контрольную закупку программ на этих сайтах . Полученное ПО правоохранители расценили как вредоносное и возбудили дело о создании и распространении вредоносных компьютерных программ ( ст . 273 УК ).
CyberTank / CyberShip уже объяви ли о скором закрытии проекта . Hagz сообщает , что временно приостанавливает продажи в связи с непредвиденными обстоятельствами .
Онлайн-игры – прибыльный и постоянно растущий бизнес . Так , в 2017 году , по данным аналитиков , та же World of Tanks принесла своим разработчикам $ 471 млн доходов . Хакеры пытаются получить долю от этих средств , торгуя ботами или похищая и перепродавая « прокачанные » игровые аккаунты .
Право . ru
ЦБ назвал признаки мошеннических карт
Центробанк определил критерии , которые позволят российским банкам оперативно выявлять и блокировать платежные карты и электронные кошельки , используемые организаторами онлайн-казино , финансовых пирамид , нелегальными форекс-дилерами и криптовалютными интернет-обменниками . Соответствующие рекомендации опубликованы на сайте ЦБ .
По информации Центробанка , участники теневого рынка принимают платежи и делают обратные выплаты не со своих расчетных счетов , а с подконтрольных банковских карт и электронных кошельков , которые часто бывают оформлены на подставных лиц . При этом электронные кошельки и банковские карты не используются для коммунальных платежей или покупок , зато очень часто совершаются другие операции . Банк России просит обращать внимание на те платежные карты или электронные счета , где одновременно замечены два и более признаков :
необычно большое количество контрагентов – физических лиц ( плательщиков или получателей ), например , более 10 в день , более 50 в месяц ;
необычно большое количество операций по зачислению или списанию безналичных денежных средств ( увеличению или уменьшению остатка электронных денежных средств ), проводимых с контрагентами – физическими лицами , например , более 30 операций в день ;
значительные объемы операций по списанию или зачислению безналичных средств ( увеличению или уменьшению остатка электронных средств ), совершаемых между физическими лицами , например , более 100 тыс . руб . в день , более 1 млн руб . в месяц ;
короткий промежуток времени ( одна минута и менее ) между зачислением денежных средств ( увеличением остатка электронных денежных средств ) и списанием ( уменьшением остатка средств );
в течение 12 часов ( и более ) одних суток проводятся операции по зачислению или списанию денежных средств ( увеличению или уменьшению остатка электронных денежных средств );
в течение недели средний остаток средств на банковском счете на конец операционного дня не превышает 10 % от среднедневного объема операций по банковскому счету ( электронному средству платежа ) в указанный период ;
операции по списанию денежных средств характеризуются отсутствием платежей в пользу юридических лиц или индивидуальных предпринимателей для обеспечения жизнедеятельности физического лица ( например , оплата коммунальных услуг , услуг связи , иных услуг , товаров , работ ).
Securitylab
ЦБ предложит россиянам отзывать личные данные у компаний
ЦБ и банки выступили за создание в России платформы , позволяющей россиянам давать и отзывать согласия на обработку своих данных не только на « Госуслугах », но и у бизнеса .
Такой реестр должен дать возможность бизнесу и участникам финансового рынка отслеживать , кто из клиентов и на что дает или отзывает те или иные согласия , а самим гражданам – возможность управлять своими согласиями . Об этом сообщила первый зампред ЦБ Ольга Скоробогатова во время обсуждения с бизнесом проекта « Основные направления развития финансового рынка России » ( ОНРФР ).
« Мы сделали такую платформу в рамках « Цифрового профиля », но она сейчас касается только предоставления информации с « Госуслуг », из госисточников . Мы двумя руками за то , чтобы такую платформу сделать для коммерческих согласий », – цитирует слова Скоробогатовой РБК .
« Цифровой профиль гражданина » был запущен в 2020 году . Эта система интегрирована в « Госуслуги » и позволяет давать или отзывать согласия на использование данных из госорганов в кредитных организациях . Сейчас « Цифровой профиль » объединяет 27 типов сведений : паспортные данные , адрес , ИНН , водительские права , место работы , перечень имущества в собственности и др .
Право . ru
Россия предложила Швейцарии пересмотреть налоговое соглашение
Россия направила Швейцарии предложение по пересмотру налогового соглашения между странами . Об этом рассказал замминистра финансов Александр Сазанов в рамках Московского финансового форума , передает ТАСС .
Швейцария готова к переговорам по этому вопросу . Они запланированы на октябрь . Ранее Сазанов сообщал , что Минфин намерен пересмотреть налоговые соглашения с Гонконгом , Сингапуром и Швейцарией . С учетом ранее измененных условий договоров с Кипром , Люксембургом и Мальтой это позволит охватить около 90 % российских выплат в транзитные юрисдикции .
Россия также денонсировала налоговое соглашение с Нидерландами , так как стороны не пришли к договоренности по его новым условиям .
В 2020 году президент Владимир Путин предложил поднять до 15 % налоговую ставку на доходы , которые выплачивают за границу в виде процентов и дивидендов , то есть уравнять ее со ставкой , действующей внутри страны . После этого соответствующие ведомства начали пересмотр соглашений об избежании двойного налогообложения с офшорными юрисдикциями .