Всем привет! Подводим итоги июня дайджестом ключевых ИБ-новостей. В середине месяца прогремела беспрецедентная 16-миллиардная утечка паролей, которой не было — сенсация оказалась не более чем журналистской уткой.
Из реальных событий, Claude показал неплохие результаты в сценарии с багхантингом. Mr.d0x представил перспективные варианты популярной атаки ClickFix. Исследователи обнаружили, что микрофоны ноутбуков и других устройств испускают радиосигналы с записанным звуком, которые легко перехватить. И наконец, четвёрке участников REvil вынесли приговоры, а во Франции поймали IntelBroker’a и ShinyHunters. Об этом и других интересных событиях июня читайте под катом!
16-миллиардная утечка, которой не было
19 июня по сети разлетелась горячая новость про 16 миллиардов утёкших паролей, крупнейшую утечку данных в истории и прочее сенсационное. Пошло это со на Forbes, сочинённой наполовину кем-то смахивающим на человека, наполовину ChatGPT. И на Cybernews оказался ничуть не лучше.
Cybernews последние полгода мониторили датасеты с утёкшими данными, насчитали 30 штук, суммарно в них было 16 миллиардов записей. Базы были доступны временно, в незащищённых хранилищах и Elasticsearch. В основном это был микс с инфостилеров, старые сливы и сеты под подстановку учёток. «Тоже мне сенсация» — уже хмыкнул любой ИБ-джун (если не хмыкнул, увольняйте — он безнадёжен).
По итогам никакие 16 миллиардов паролей никуда не утекали, вне скромной содержательной части выше единственный источник состоял из общих слов и GPT-пассажей про неких исследователей. Единственный плюс от сенсации — она напугала далёких от ИБ людей, некоторые сменили пароли и подключили двухфакторку. В остальном абсолютно бессодержательный кликбейт, который, судя по всему, собрали на коленке просто для разгона трафика на сайт-первоисточник и набора подписок по своим VPN-партнёркам.
Из забавного, по следам разлетевшихся по всей сети новостей на Cybernews ушли в тотальный damage control. За выходные «постоянно обновляющийся материал» прирос такими впечатляющими фактами, как: 3,5 скриншота с относительно свежими временными метками. А также информацией о том, что такое инфостилеры, и разделом о том, как хакеры могут использовать пароли.
Содержательная часть всё так же сводилась к «мы нашли мусорные дампы и высосали инфопод из пальца». Что делать с хайпом, они явно не понимали и попытались как могли сохранить лицо. Ключевой же аргумент против сенсации: безумные числа банально не бьются с экосистемой инфостилеров — она в разы меньше, чем нужно для сбора такого датасета.
Это если допустить, что здесь нужны аргументы — по одному скрину с названиями баз в первоисточнике и общим фразам всё и так было понятно. На этом тему беспрецедентной утечки, которой не было, можно закрывать. Ничего экстраординарного не произошло, работаем дальше.
FileFix как вектор атаки с большим потенциалом
В июне Mr.d0x занятный вариант атаки ClickFix. Вместо чуждой юзеру командной строки и подозрительных сообщений об ошибке в ход идут Проводник и уведомление о файле, которым поделились с пользователем.
А дальше сценарий аналогичный: жертва копирует вредоносную команду и вставляет её в адресную строку Проводника. В скопированном поддельный путь к файлу и закомменченная PowerShell-команда. Если юзер пытается выбрать файл в окне отправки вручную (а именно оно используется в атаке), скрипт просит его следовать инструкции. А юзер любит следовать инструкциям — как тут устоять.
По итогам пользователь из пугающей командной строки переведён в привычную среду Проводника, бдительность усыплена, желание покликать на всякое этакое растёт. С учётом успешности ClickFix стоит ждать, что эта вариация оперативно войдёт в арсенал злоумышленников и покажет неплохие результаты.
FileFix настолько хорош, что следом FileFix 2. Эта вариация атаки подразумевает, что жертва должна сохранить страницу с вредоносным кодом, переименовать её расширение на .hta и запустить ручками.
На первый взгляд, атака выглядит не очень перспективной. Но не стоит недооценивать низкую техграмотность среднего юзера и его пристрастие к чётким инструкциям. Так, проверка концепции предполагает, что жертва захочет сохранить резервные коды для доступа к аккаунту. Немного социнженерии, и юзер убеждён, что ему позарез нужна страница с вредоносом в интересном формате.
Из бонусов, сохранённый таким образом файл не получает метку MoTW. В принципе, сценарий жизнеспособный, но уже больше в формате «Чтобы все удивились, как я умею». Mr.d0x также обещает представить третью итерацию Filefix, но пока вариант с адресной строкой Проводника — явный фаворит.
UDisks ставит под угрозу основные дистрибутивы Linux
Пожалуй, самая громкая CVE прошлого месяца: в Linux LPE-уязвимость, причём в udisks. С учётом того, что демон повсюду, затронуты все основные дистрибутивы. Уязвимость позволяет получить рут-доступ при наличии флага allow_active.
Хуже всего пришлось openSUSE: в нём цепочка из CVE в udisks и ещё одной в конфиге PAM, дающей локальному юзеру allow_active под эксплойт. В остальных дистрибутивах злоумышленнику придётся быть креативнее. Между тем исследователи создали проверки концепции под эксплойт на Ubuntu, Debian и Fedora, так что уязвимость улетает в категорию универсальных, критических и немедленно требующих патча.
Обнаружили её те же ребята, что нашли Looney Tunables и другие нашумевшие CVE, так что кейс серьёзный. Параллельно CISA об активном эксплойте исправленной в 2023-м CVE в ядре Linux, тайминг — моё почтение. Не будьте как жертвы этих атак, накатывайте патчи вовремя. А подробнее о ключевых CVE июня читайте в нашей традиционной .
Дела модельные
Ушедший месяц принёс ещё один прорыв в деле использования LLM’ок под нужды багхантинга. На этот раз отличился Claude: модель успешно под обнаружение уязвимостей, а также их эксплуатацию и создание проверок концепции.
Для этого Claude обучили анализировать .NET-сборки и подняли сервер, который дал модели доступ к их полной структуре. В итоге вместо ручного анализа LLM’ка прошла за специалиста полный путь от обнаружения уязвимости на небезопасную десереализацию до цепочки эксплойта под неё. Всё это с детальным анализом и пониманием структуры бинарников.
Иными словами, пока начинающие багхантеры портят жизнь разработчикам липовыми ИИ-репортами, на уровне повыше и в строго контролируемой среде идут процессы, которые уже скоро могут изменить BB-индустрию как таковую. Подробнее о приключениях Клода в мире багханта в .
В июне исследователи также новый метод джейлбрейка ИИ-моделей. На этот раз совсем элементарный: достаточно одного символа, чтобы поломать токенизацию LLM’ки и обойти ограничения.
Атака сводится к искажению ввода: добавив лишнюю букву или изменив слово с сохранением смысла, можно обойти фильтры. Исковерканные слова модели по-прежнему понятны, а вот распознание вредоносного контента отваливается. Например, instructions заменяют на finstructions, и модель, обученная распознавать атаку по instruction, её пропускает. LLM’ка при этом сам запрос выполняет нормально, так что потенциал под инъекцию промптов и обход ограничений есть.
Из токенизаторов атаке не подвержен только Unigram. В общем, головная боль для разработчиков моделей и развлечение на выходные для любителей джейлбрейкнуть LLM’ку на досуге. Подробнее о TokenBreak в .
Ключевые ИБ-исследования июня
Исследователи , что микрофоны в ноутбуках, телефонах и умных колонках испускают радиосигналы с записанной информацией при обработке звука. Их можно перехватить на расстоянии до двух метров и через 25-сантиметровую стену.
Эксперименты показали, что хуже всего с утечкой у ноутбуков — длинные провода в них усиливают сигнал. Микрофоны часто включаются многими приложениями в фоне, а очистить радиопомехи можно с помощью LLM’ок. При этом оборудование для перехвата копеечное — хватит простенького FМ-приёмника и медной антенны.
В качестве митигации предлагают изменить расположение микрофонов в ноутах и скорректировать протоколы обработки звука, чтобы снизить разборчивость сигнала. А пока радиолюбители со склонностью к шалостям могут поиграть в шпионов с соседями. Мы такое, конечно, не одобряем, но и запретить ведь не можем. Подробнее об оригинальном методе прослушки в , а по ссылке выше есть видео с проверкой концепции.
Июнь также принёс новую атаку от специалиста по взлому изолированных от сети систем Мордекая Гюри. На этот раз в ход идут умные часы, служащие в качестве приёмника ультразвуковых волн с целевой машины.
Для передачи сигнала используется малварь, подающая его через встроенный динамик компьютера с помощью двоичной частотной модуляции. Часы улавливают ультразвук, встроенное приложение их дешифрует и пересылает дальше. При этом владелец часов может и не подозревать об этом в сценарии, где они были взломаны злоумышленником. Атака эффективна на расстоянии до 6-9 метров со скоростью 5-50 бит в секунду — для стягивания логинов, паролей и ключей хватит.
Из решений запрет на умные часы и удаление встроенных динамиков. В общем, неугомонный Гюри продолжает служить источником головной боли для ИБ-отделов режимных объектов, вскрывая всё новые возможные векторы атаки. То, что со стороны выглядит как теоретическая возможность, для закрытых предприятий — потенциальная утечка, которую приходится воспринимать всерьёз.
И бонусом любопытное исследование отпечатков браузера и их использования в рекламе. Учёные фреймворк из OpenWPM, спуфинга отпечатков и анализа рекламного биддинга. И в сущности получили первое задокументированное подтверждение, что слежка по отпечаткам в сети существует и активно работает.
Анализ показал, что поведение рекламных платформ меняется при смене отпечатка: изменялись значения по биддингу и HTTP-записи. Более того, на части сайтов связанные с отпечатками системы стучат по бэкенду — то есть поднимают профили юзера в реальном времени. Проще говоря, отслеживание по отпечаткам активно применяют на уровне рекламной экосистемы.
В сухом остатке от теории «Отпечатки собирают, и спецслужбы найдут тебя по ним, если ты был плохим мальчиком в даркнете» переходим к практике «Отпечатки масштабно используют в рекламе и межсайтовом отслеживании». Такой себе апгрейд, но другие в нашей среде бывают редко. Подробнее об исследовании .
Киберпреступные аресты и приговоры
В июне информация, что во Франции был арестован IntelBroker. Причём ещё в феврале, сегодня раскрыли обвинения. Так что ходившие весь 2025-й слухи подтвердились. За личиной нагонявшего страх на корпорации своими утечками злоумышленника с интересной аватаркой скрывался 25-летний британец Кай Уэст. Лицо международной киберпреступности IRL вновь оказалось не таким уж пугающим.
В послужном списке IntelBroker’а множество громких и не очень утечек, включая военные проекты DARPA. Тыкать палочкой в американскую военку, как обычно, оказалось самоубийственной затеей. Агент ФБР под прикрытием приобрёл у Уэста стянутый API-ключ, криптоадрес отследили до аккаунта на Ramp, да не том — одноимённой финансовой платформе.
Аккаунт был на водительские права Уэста. Также нашлась учётка на Coinbase, а в почте к ней — ещё больше личных документов, и бонусом были засвечены голые айпишники, связанные как с реальными аккаунтами Уэста, так и его профилями под личиной IntelBroker. США подали на экстрадицию, по совокупности обвинений Уэст рискует уехать на двузначный срок. The End.
Вместе с раскрытием обвинений против IntelBroker из Франции пришли новости не менее интересные: в стране были четверо операторов BreachForums v2. Среди них не кто иной как ShinyHunters собственной персоной.
Напомню, ShinyHunters подняли вторую итерацию BreachForums после ареста Pompompurin’а. Попутно омерзительная четвёрка отметилась атаками по французским компаниям. С территории Франции. Им, конечно, есть чему поучиться у киберпреступников СНГ. Хотя это бы их не спасло — в западных странах лайфкак не особо рабочий. IntelBroker же администрировал площадку вместе с ShinyHunters.
Как можно догадаться, раскрытие его ареста в один день вместе с операцией против коллег по форуму — это явно неспроста. Кого из работавших под ником ShinyHunters приняли французы, неясно, но человек, скорее всего, не последний. Так что на этом история Breached v2 и его основы закрыта — все едут отдыхать на закрытых пенитенциарных курортах США.
И наконец, в июне ещё четвёрке членов REvil приговоры. Обошлось без неожиданностей: все четверо получили скромные пять лет лишения свободы. А за счёт отбытого в СИЗО срока их и вовсе отпустили из-под стражи после вынесения приговора.
В октябре глава REvil Пузыревский и трое соучастников получили от 4,5 до 6 лет. Вторая четвёрка в отличие от прежней признала вину, так что отделались совсем легко. У Бессонова конфисковали ~$1 миллион и пару авто в придачу. Группировке изрядно повезло: в силу известных событий сотрудничество по расследованию с США прекратилось.
Для сравнения, другой член REvil, украинец Васинский, которого приняли в Польше и экстрадировали в Штаты, в мае получил почти 14 лет тюремного срока и штраф в $16 миллионов. В общем, так и кончается дело одной из ключевых киберпреступных группировок 2010-х — не взрывом, а лёгким невнятным побулькиванием. Как, впрочем, и предсказывали.
Всем привет! Подводим итоги ключевых ИБ-новостей июля. В прошлом месяце в наших краях был нанесён удар по старичку XSS — сайт был перехвачен, главный админ арестован, и подоспело расследование от Кребса по его идентичности. Тем временем в Великобритании идут эксперименты над популяцией: под предлогом заботы о детях значительная часть интернета теперь с доступом по документам или скану лица.
В июле учёные представили доработанный вариант технологии для идентификации людей по изменениям в сигнале Wi-Fi — точность довели до 95%. В Бразилии банки лишились $140 миллионов в атаке, которая обошлась в 2,5к долларов на подкуп инсайдерв в ЦБ. Об этом и других интересных новостях инфобеза ушедшего месяца читайте под катом!
Перехват XSS и арест ключевого админа
В ушедшем месяце подоспели горячие новости из наших широт: был админ XSS. Его взяли 22 июля. И не абы где, а на Украине, прямиком в Киеве. Европол утверждает, что взял ключевого персонажа, ответственного за форум. А заодно перехвачен и домен. Ушла эпоха.
XSS — площадка долгоиграющая, активная с далёкого 2013-го. Это вам не разные итерации Breached, уходящие офлайн раньше, чем о них узнает широкая публика, а порядочный русскоязычный киберпреступный форум. Подробностей расследования пока нет, известно лишь, что французы вели его с 2021-го, а в сентябре 2024-го выдвинулись в страну на оперативно-розыскные. Арестованный также обозначен как оператор мессенджера thesecure[.]biz.
Какие перспективы у XSS после ареста? Одним словом туманные. После перехвата в TOR подняли свежую версию форума, но прежний актив осторожничает и перекатываться на него не спешит, особенно с учётом опасений, что у Европола и компании в руках переписка с перехваченного Jabber-сервера за пару лет и прочее компрометирующее.
Бонусом на днях Кребс вернулся к своей любимой теме: хакеры из СНГ. И в фокусе у него самая горячая история последних недель — идентичность арестованного админа XSS. Спойлер: имя он называет, и в целом выглядит убедительно.
Начинается всё с классики: почта на Яндексе, на которую в нулевых была пачка аккаунтов на хакерских форумах. Дальше идёт глубинный лор Кребса с перепиской с Хорошевым aka LockBitSupp, в которой тот просит его найти Тоху и утверждает, что его зовут Антон Авдеев. И с Вовненко, заявившим, что Toha из России, и взяли не того. Оба, видимо, ссылаются на информацию от исследователя 3xp0rt, называвшего это имя в 2022-м и писавшего, что Авдеев из России.
Но Кребс в итоге приходит к выводу, что Авдеев — это прикрытие, а зовут Тоху Антон Геннадьевич Медведовский, он из Киева, и, скорее всего, именно его взял Европол. Возраст бьётся, упомянутый в прошлом на Exploit день рождения совпадает, домены со старой почты на это имя, и линия волос арестованного с заблюренного фото совпадает с фотографией Медведовского с Airbnb. Так что расследование Кребса как минимум заслуживает внимания.
Cisco выбивает одну десятку за другой
Первую впечатляющую десяточку по CVSS июля Cisco: в её платформе Unified CM аккаунт с рут-правами и захардкоженными данными доступами. Проще говоря, забыли в софте тестовый аккаунт. Опять.
Удалить его или сменить пароль не выйдет, единственный вариант — накатывать исправление, которое уберёт бэкдор. Эксплуатации в сетевых дебрях пока не замечено, но с такими вводными долго ждать не придётся. Так что рекомендуют срочно ставить патчи и мониторить логи на предмет нежданных визитов. Компания, похоже, стратегически отложила раскрытие уязвимости до июля. Иначе новости «Cisco забыла захардкоженные данные в своих продуктах» шли бы третий месяц подряд — ранее такие CVE раскрыли в и . Держат марку, так сказать.
Следом Cisco отметилась ещё одной десяточкой. Причём снова в Cisco ISE и ISE-PIC — в июне в них также исправили две уязвимости с максимальным рейтингом. Проблема в недостаточной проверке данных в одном из API. А вместе с этим идут RCE с рут-доступом без авторизации — достаточно специально созданного запроса по публичному API.
Если где-то это уже слышали, вам не кажется: уязвимость идентична исправленной в конце июня, и нашли её те же исследователи. Помогите Даше оценить качество кода этого их API после вскрытия в нём двух десяточек на досуге. А подробнее о ключевых CVE июля читайте в нашей .
ИБ-эксперименты на Британских островах
В Великобритании 25 июля в силу вступил закон о проверке возраста для доступа к контенту для взрослых. Наблюдать за происходящим в стране на фоне этого крайне увлекательно.
Как обычно, всё это под соусом заботы о детях — им должен быть закрыт доступ к информации о различных повседневных ужасах взрослой жизни. Игнорирование требований грозит штрафом до £18 миллионов или 10% годового дохода. Так что по всем крупным платформам можно наблюдать разные хрипы и всхлипы разработчиков в попытках удовлетворить фантазии законодателей. Telegram, например, обзавёлся ботом для верификации возраста, (пока) эксклюзивно доступным для британцев.
Спустя неделю после принятия закона, Великобритания бодро об успехах своего Акта о безопасности в сети: каждый день проходят по 5 миллионов проверок возраста. Миллионы британцев ежедневно грузят свои паспорта и прочие ID на тысячи сайтов и сервисов. Сабреддит про пиво? Покажите паспорт. Песня на музыкальном сервисе с текстом сомнительного содержания? Расчехляйте документы. Картина «Сатурн, пожирающий своего сына»? Ну вы поняли. Википедия, например, подпадает под закон в самой строгой форме — значит, должна верифицировать и удалять крамольное. Сейчас с Wiki-ресурсами идут судебные тяжбы, и их работа в стране под угрозой.
Сервисам дан строгий наказ ничего не собирать и не хранить — проблему грядущих утечек из очередного навайбкоженного поделия это, конечно, решит (нет). В общем, пока вы иронизировали про интернет по паспорту, в UK он стал реальностью. Можно в прямом эфире наблюдать за экспериментами в островном формикарии и делать выводы о будущем интернета.
Помимо этого, Британия в июле впереди планеты всей и по экспериментам с ИБ-законами: госструктурам и критической инфраструктуре выплату выкупов после взломов. Вообще. Вы ждали этого, вы годами говорили об этом, и британцы доставляют.
Предполагается, что запрет нарушит бизнес-модель рансомварь-группировок — нет надежды на выкуп, нет и мотивации для атак по секторам, получившим бан. Для частников послабления: им в принудительном порядке уведомлять о выплатах и сверяться с санкционными списками на случай, если вскрывший их системы бренд уже попал в списки счастья от NCA и коллег.
Бонусом разрабатывают систему отчётности для жертв вымогателей — она должна повысить координацию между ведомствами. Эффективность мер у многих вызывает сомнения, да и у апэтэшечек бизнес-модель совсем иная. Но у британского loicense-самурая нет цели, есть только путь. И на этом пути он примет по драконовскому закону на каждого члена Палаты общин, а о последствиях будет думать позже.
Навайбкоженные приложения и где лежат данные их юзеров
Новость параллельно свежим британским законодательным инициативам. В США случился вокруг приложения для женских сплетен Tea. Сначала на 4Chan (куда же ещё) слили содержимое открытой базы на Firebase — 72 тысячи фото, включая 13 тысяч селфи и водительских прав, которые использовали при регистрации. Следом нашлась вторая уязвимая база, с 1,1 миллиона личных сообщений за пару лет.
Tea — модное приложение на ~1,6 миллиона пользовательниц, а по утверждениям разраба, и на все 4 миллиона. Формально сейфспейс для женщин, где можно обсудить проклятых мужиков. Как это выглядит на деле можно оценить по одному недавно прогремевшему канальчику в Telegram. В сухом остатке новость про очередное приложение с нулевой ИБ. Но огоньку, конечно, добавляет чувствительная тематика.
Приложение при регистрации, конечно же, убеждало пользователей, что их документы и прочие ID не собирают и не хранят. На деле же всё оказалось иначе. В общем, в процессе разработки очередного мобильного бэнгера, как обычно, весь бюджет ушёл на промо и дизайн, а кодили его два индуса в сеньорском пальто. По итогам нашумевших утечек, как это водится в США, на разработчиков оперативно за недостаточное обеспечение пользовательских данных.
У фитнес-приложения Fitify пользовательские данные в в открытом доступе, включая личные фото для отслеживания прогресса в тренировках. Всё это в открытом гугловедре без пароля. Классика.
Приложение популярное — ~25 миллионов установок, соответственно, и фото было с запасом: ~140 тысяч. А это явно не те фото, которые юзер хочет видеть в сети или в кликбейтной статье со стыдливо прикрытым чёрной полоской прогрессом. Бонусом в приложении нашли захардкоженные ID и пару ключей, а вот обещанного шифрования нет — в ведре всё в открытом виде.
В итоге с разработчиком связались, облако прикрыли, инфоповод есть. Было бы хуже, если бы на ведро наткнулись какие-нибудь шутники и слили архив на очередной Breached, попутно шантажируя юзеров. А так в сухом остатке у нас напоминание, что не все мобильные приложения одинаково полезны. Миллионы фитнес-энтузиастов, конечно, не могут ошибаться. А вот разраб вполне может.
И наконец, в июле создатель ex-Твиттера Джек Дорси в мир меш-сетей со своим мессенджером Bitchat. Функциональность стандартная, интерфейс минималистичный, к безопасности и криптографии есть большие вопросы.
В частности, один исследователь , что аутентификация в Bitchat декоративная, и на защищённый мессенджер явно не тянет — он открыт MitM-атакам. А разгадка проста: Дорси навайбкодил его за выходные в качестве мини-проекта по расширению своих девелоперских горизонтов. И продвигает как приватный, при этом признавая, что аудита не было, и предупреждая, что пока над безопасностью приложения не поработают, лучше им не пользоваться в критических случаях.
Проблему усугубляет звёздное авторство: для далёких от IT людей мир полон магии. Поэтому юзеры, прознавшие про мегадевайс от Дорси, по совету проверенного камрада качают его, например, в Google Play, где в отсутствие официального релиза лежит всевозможная малварь под видом мессенджера. И хлопают в ладоши децентрализованному чуду из чудес, в отдельных случаях жалуясь на назойливую рекламу и какие-то опросы. Остальным советую поберечься — там навайбкожено.
Сигнал Wi-Fi как средство слежки
Учёные представили новый вариант технологии, позволяющей определять человека по изменению сигнала Wi-Fi. Метод распознаёт одного и того же человека с точностью до 95,5% — ранее удавалось добиться точности лишь в 75%.
Метод сводится к анализу изменения сигнала при прохождении через пространство. Тело человека влияет на его параметры, создавая уникальные искажения, и с помощью нейросети эти искажения можно превратить в уникальные отпечатки. Технология может найти применение в системах безопасности и вылиться в уникальный метод сбора биометрии.
Если нейросетка способна точно распознать твоё грациозно плывующее в пространстве туловище по одним только искажениям сигнала, возможные последствия для приватности получатся, мягко говоря, интересными. Ни умных камер, ни смартфона-шпиона в кармане — прошёл мимо роутера и идентифицирован.
Авторы подчёркивают, что пока это всё было проведено в контролируемой среде, но при этом оговариваются, что дальнейшее применение технологии и возможные злоупотребления — это уже не к ним. Подробнее о технологии в .
Младший брат slopsquat-атак
ИИ-модели, как известно, любят галлюцинировать. Ожидаемо, это и на ссылки, которые они выдают по запросу юзера. В сценарии «Дай мне ссылку для логина на <название сайта>» ChatGPT в трети случаев генерирует несуществующие адреса.
Соответственно, это открывает простор для фишинга. Злоумышленнику достаточно изучить выдачу модели по запросу, зарегистрировать домен и повесить на него фишинговую страницу. В сущности это младший брат атаки, в которой используют выдуманные LLM’ками пакеты. Только порядком эффективнее: от среднего разработчика, хочется надеяться, ещё можно ждать, что он критично отнесётся к выдаче модели.
А вот энтузиаст нового дивного ИИ-мира с ChatGPT на все случаи жизни от поисковика до психотерапевта явно более склонен кликать на что попало. И о том, что цифровое будущее пока ещё в зачаточном состоянии и функционирует с кучей оговорок, создавая масштабные поверхности атаки, задумывается далеко не каждый.
Новости бразильского финтеха
В Бразилии в июле вскрылся оригинальный кейс со взломом финтеха. Злоумышленники 30 июня в системы компании, обеспечивающей связность между ЦБ и остальными банками и похитили $140 миллионов с резервных аккаунтов шести банков.
Уязвимость в софте? Хитроумная схема? А вот и нет. Всего лишь подкупленный сотрудник, сдавший хакерам данные доступа — этого хватило для атаки. Цена вопроса? 920 долларов. И ещё $1,850 бонусом за выполнение команд. Начальный доступ к системам ЦБ Бразилии по цене месячного оклада самого скромного джуна на западном рыночке — такая вот южноамериканская специфика.
Инсайдера поймали, но значительная часть украденных средств уже выведена в крипту. Исследователи наперегонки со злоумышленниками ловят разлетающиеся по блокчейнам деньги, а у бразильского ЦБ повод крепко задуматься над состоянием своего финтеха. Если у тебя в стране средняя зарплата — ~600 баксов, принцип наименьших привилегий — не роскошь, а насущная необходимость.
