Фрод уходит в «нал»: как банки планируют морозить выдачу денег в кассах
Пока ИБ-департаменты оттачивали блокировки по 161-ФЗ, социальная инженерия сделала финт ушами и ушла в офлайн. На форуме 19 февраля банкиры признали: сценарии с «курьерами» и личным снятием наличных под диктовку становятся доминирующими. Главная головная боль сейчас это миллиарды рублей, которые физически заблокированы на счетах дропов, но юридически недосягаемы для возврата жертвам без многолетних судов.
Проблема в том, что текущий комплаенс не позволяет банку просто так перевести деньги со счета «А» на счет «Б», даже если фрод очевиден. Сейчас это пытаются проворачивать через инфраструктуру НСПК, но банки фактически действуют на свой страх и риск. Что касается наличных, то предлагаемый лимит в 50 тысяч рублей и принудительная пауза в отделении это попытка создать «физический фаервол» там, где цифровая подпись клиента юридически безупречна, но психологически скомпрометирована.
#финтех, #антифрод, #кибербезопасность
🛡 SecurityLab в Telegram | Поддержите нас «бустами»
Пока ИБ-департаменты оттачивали блокировки по 161-ФЗ, социальная инженерия сделала финт ушами и ушла в офлайн. На форуме 19 февраля банкиры признали: сценарии с «курьерами» и личным снятием наличных под диктовку становятся доминирующими. Главная головная боль сейчас это миллиарды рублей, которые физически заблокированы на счетах дропов, но юридически недосягаемы для возврата жертвам без многолетних судов.
Проблема в том, что текущий комплаенс не позволяет банку просто так перевести деньги со счета «А» на счет «Б», даже если фрод очевиден. Сейчас это пытаются проворачивать через инфраструктуру НСПК, но банки фактически действуют на свой страх и риск. Что касается наличных, то предлагаемый лимит в 50 тысяч рублей и принудительная пауза в отделении это попытка создать «физический фаервол» там, где цифровая подпись клиента юридически безупречна, но психологически скомпрометирована.
#финтех, #антифрод, #кибербезопасность
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Ваши деньги, но снять их не дадут. Банки тренируются определять, не звонят ли вам «из службы безопасности»
Подозрительным клиентам предлагают задержку и лимиты, чтобы сорвать сценарий мошенников.
🤬41👀8🙊3😁2
SecurityLab.ru
🎉 Розыгрыш завершен!
🏆 Победители:
1. @d_e_d_i_n_s_i_d_e_r
2. @EvgeniiKhab
3. @Cyber_Zodiac
4. @NN767NN
5. @JokerCHCA
6. @god_of_soul_healing
7. @wild_wood_lynx
8. @ulianchikuli
9. @Almaz037
10. @Dgarvis3
🔍 Проверить результаты
🏆 Победители:
1. @d_e_d_i_n_s_i_d_e_r
2. @EvgeniiKhab
3. @Cyber_Zodiac
4. @NN767NN
5. @JokerCHCA
6. @god_of_soul_healing
7. @wild_wood_lynx
8. @ulianchikuli
9. @Almaz037
10. @Dgarvis3
🔍 Проверить результаты
🔥9👏8💯4
Реальные кейсы, облачный стенд и поддержка экспертов Positive Technologies
Безопасная разработка помогает находить уязвимости до продакшена, избежать доработок, ускорить релизы и укрепить доверие клиентов.
Практикум «Безопасность приложений: практикум для инженеров», который стартует 23 марта, посвящен именно этой проблеме — там эксперты Positive Technologies расскажут как встроить AppSec в pipeline и наладить культуру безопасности без замедления релизов
👉Успейте оставьте заявку на портале Positive Education
Please open Telegram to view this post
VIEW IN TELEGRAM
💯6😁4
Forwarded from 0day Alert
& вместо |. Рассказываем, как крошечный баг в движке SpiderMonkey привел к критической уязвимости
Критическая уязвимость в движке SpiderMonkey возникла из-за опечатки в один символ. В коде сборщика мусора для WebAssembly разработчик поставил & вместо |. На вид мелочь, побитовое И вместо побитового ИЛИ, а на деле ломается метка. Вместо выставленного младшего бита в указателе переадресации в заголовок записывался ноль. Из-за этого сборщик мусора и оптимизирующий компилятор Ion начинали по-разному понимать, где лежат данные массива. Дальше открывался прямой путь к удаленному выполнению кода.
Механика такая. Когда GC переносит массив WebAssembly в другую область памяти, старый буфер должен получить указатель на новое место с выставленным младшим битом. Это сигнал для Ion. Но из-за & 1 вместо | 1 в заголовок попадал ноль, который еще и проходил проверку на встроенный массив. Ion продолжал ходить по старому адресу, хотя память уже освободили. Дальше все по учебнику для use-after-free: распыление кучи, перехват потока выполнения, запуск командной оболочки.
И отдельно пугает скорость. Ошибку внесли 19 января, а уже 3 февраля два независимых исследователя прислали отчеты с рабочими PoC. То есть баг появился, его нашли и довели до эксплуатации буквально за считанные дни. Повезло только в одном: проблема успела попасть лишь в Firefox 149 Nightly и не доехала до стабильных релизов.
#firefox #rce #webassembly
Критическая уязвимость в движке SpiderMonkey возникла из-за опечатки в один символ. В коде сборщика мусора для WebAssembly разработчик поставил & вместо |. На вид мелочь, побитовое И вместо побитового ИЛИ, а на деле ломается метка. Вместо выставленного младшего бита в указателе переадресации в заголовок записывался ноль. Из-за этого сборщик мусора и оптимизирующий компилятор Ion начинали по-разному понимать, где лежат данные массива. Дальше открывался прямой путь к удаленному выполнению кода.
Механика такая. Когда GC переносит массив WebAssembly в другую область памяти, старый буфер должен получить указатель на новое место с выставленным младшим битом. Это сигнал для Ion. Но из-за & 1 вместо | 1 в заголовок попадал ноль, который еще и проходил проверку на встроенный массив. Ion продолжал ходить по старому адресу, хотя память уже освободили. Дальше все по учебнику для use-after-free: распыление кучи, перехват потока выполнения, запуск командной оболочки.
И отдельно пугает скорость. Ошибку внесли 19 января, а уже 3 февраля два независимых исследователя прислали отчеты с рабочими PoC. То есть баг появился, его нашли и довели до эксплуатации буквально за считанные дни. Повезло только в одном: проблема успела попасть лишь в Firefox 149 Nightly и не доехала до стабильных релизов.
#firefox #rce #webassembly
SecurityLab.ru
Разработчик Firefox перепутал два символа — и подарил хакерам RCE-уязвимость в движке JavaScript
Как один неправильный символ довел Mozilla до истерики.
🔥29👀11
Рынок штормит. А кто у руля?
Пока ИБ-департаменты учатся морозить выдачу наличных в кассах, а фрод уходит в новые схемы быстрее, чем банки пишут под них нормативку, мы предлагаем задуматься о вечном. Кто вообще сегодня задаёт тон в индустрии?
Мы привыкли измерять безопасность в цифрах: количество уязвимостей, скорость реакции, аптайм. Но есть вещи, которые не посчитаешь автоматическими сканерами. Например — реальный срез рынка. Кого в индустрии считают лидером? Чьи решения разбирают на кейсы? Кто формирует повестку, пока остальные разбираются с падением пакетов?
Наши коллеги из Кибердома решили не гадать, а собрать данные. Они запустили исследование, чтобы понять, насколько представления профессионалов о рынке совпадают с реальностью. Никаких абстрактных портретов — только мнения людей, которые внутри процессов.
Пройдите опрос — это займёт 5–7 минут. Проверьте свою информированность о ключевых игроках и заодно поможете отделить мифы от фактов.
Бонус для тех, кто внутри тусовки:
до конца марта 2026 года покажите скриншот завершённого опроса в ресторане Кибердома — бармен предложит кофе, чай, лимонад или коктейль на выбор.
Пройти опрос: https://cyberdom.stepform.io/PMwHnbk
Пока ИБ-департаменты учатся морозить выдачу наличных в кассах, а фрод уходит в новые схемы быстрее, чем банки пишут под них нормативку, мы предлагаем задуматься о вечном. Кто вообще сегодня задаёт тон в индустрии?
Мы привыкли измерять безопасность в цифрах: количество уязвимостей, скорость реакции, аптайм. Но есть вещи, которые не посчитаешь автоматическими сканерами. Например — реальный срез рынка. Кого в индустрии считают лидером? Чьи решения разбирают на кейсы? Кто формирует повестку, пока остальные разбираются с падением пакетов?
Наши коллеги из Кибердома решили не гадать, а собрать данные. Они запустили исследование, чтобы понять, насколько представления профессионалов о рынке совпадают с реальностью. Никаких абстрактных портретов — только мнения людей, которые внутри процессов.
Пройдите опрос — это займёт 5–7 минут. Проверьте свою информированность о ключевых игроках и заодно поможете отделить мифы от фактов.
Бонус для тех, кто внутри тусовки:
до конца марта 2026 года покажите скриншот завершённого опроса в ресторане Кибердома — бармен предложит кофе, чай, лимонад или коктейль на выбор.
Пройти опрос: https://cyberdom.stepform.io/PMwHnbk
stepFORM.io
Исследование лидеров рынка IT и кибербезопасности
В связи с последними событиями: когда заблокируют Telegram?
Anonymous Poll
29%
1 апреля (и это не шутка).
6%
В ближайшие дни
8%
Сразу после «ещё одного предупреждения»
28%
Никогда, но замедлять будут вечно
6%
Когда почтовые голуби научатся доставлять видеосообщения
9%
Когда интернет начнут выдавать по талонам в порядке очереди
13%
Уже заблокировали, просто не все заметили
🤬58😁21
На этой неделе хакеры не давали покоя ни корпорациям, ни правительствам: Ivanti превратилась в парадный вход для атак по всему миру, а Белый дом решил отвечать на киберугрозы наступательными операциями силами частных компаний. Европа объявила об отказе от «цифрового пацифизма», Telegram в России балансирует на грани блокировки, а Chrome снова латает 0-day — собрали самые интересные новости недели в одном месте, чтобы вы ничего не пропустили.
Белый дом готовится вести кибервойну руками частных компаний - новая стратегия Трампа меняет правила игры: АНБ и Киберкомандование США переходят от защиты к активным наступательным операциям в интернете.
Европа выходит на тропу кибервойны - Брюссель официально отказывается от роли «терпилы» в мировом интернете и готовит доктрину наступательных киберопераций.
Фальшивые вышки, «нулевой клик» и взломанный телефон премьера Испании - спустя пять лет следователи установили, кто именно применил Pegasus против Педро Санчеса, и это настоящий политический детектив.
Ядерный щит США за $140 млрд снова откладывается - программа Sentinel провалила сроки, и старым ракетам Minuteman III придётся нести дежурство дольше запланированного.
Ваша покрышка доложит, где вы были ночью - израильские компании развивают технологии CARINT, позволяющие спецслужбам удалённо подключаться к микрофонам, камерам и датчикам автомобиля.
Хотели замедлить Telegram, а уронили Linux - «чёрные ящики» РКН заблокировали git.kernel.org, лишив российских разработчиков доступа к репозиторию ядра Linux.
Госдума узаконила право спецслужб на глобальный «рубильник» - операторам официально разрешили отключать интернет без ответственности перед клиентами по требованию ФСБ.
Краткий гид по новому раунду блокировки Telegram - Шадаев заявил о доступе иностранных спецслужб к переписке, Telegram назвал это выдумкой, а РКН намекнул на дальнейшее ужесточение ограничений.
Нейросети, липовые заводы и украинский «Офіс» - группировка PseudoSticky атакует российский бизнес через фишинг с поддельными документами и троянами Remcos и DarkTrack RAT.
Госдума хочет заставить операторов связи платить за телефонный фрод - депутат Аксаков предложил обязать операторов возмещать похищенную сумму полностью, операторы выступили против.
Хакеры массово атакуют через уязвимости Ivanti - пароли не нужны - zero-day в продуктах Ivanti используется для взлома государственных и медицинских организаций по всему миру, CISA уже выпустила экстренное предупреждение.
В Chrome нашли 0-day в движке обработки шрифтов - первая активно эксплуатируемая уязвимость 2026 года уже используется злоумышленниками, обновление обязательно.
Криптографы ETH Zurich нашли критические дыры в популярных менеджерах паролей - облачная синхронизация оказалась слабым звеном: исследователи показали, как данные утекают прямо из «защищённого» хранилища.
Хакеры спрятали командный сервер в блокчейне Solana - новая схема атаки использует Solana Name Service как нераспознаваемый канал управления вредоносной инфраструктурой.
Cellebrite в Кении, Predator в Анголе - Citizen Lab собрала новую географию коммерческой слежки - нескольких дней под стражей оказалось достаточно, чтобы извлечь все данные с телефона правозащитника.
Ваши наушники Sony, JBL и Xiaomi могут следить за вами - уязвимости WhisperPair в Google Fast Pair позволяют угнать наушники за 10 секунд и превратить их в маячок или инструмент прослушки.
Семь математических задач, которые не решит даже ИИ - от гипотезы Коллатца до гипотезы Римана: задачи, за которые Институт Клэя обещает миллион долларов, а математики бьются столетиями.
P против NP и другие задачи, угрожающие всей криптографии - если P = NP окажется правдой, современное шифрование рухнет. Объясняем, почему это важно не только для математиков.
Газлайтинг: как распознать манипуляцию и не потерять опору - какие фразы должны насторожить, почему разговор не помогает и что реально работает против систематического искажения реальности.
@SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM
52🔥14💯11😁2
Forwarded from Топ кибербезопасности Батранкова
Топ редких мессенджеров в мире: кто и как общается
В разных странах доминируют платформы, о которых мы не слышали:
🇻🇳 Zalo — Вьетнам
Чаты, госуслуги, платежи, бизнес. Фактически цифровая инфраструктура повседневной жизни.
🇦🇪 BOTIM — ОАЭ / Персидский залив
Рост популярности начался после ограничений VoIP и видеозвонков в WhatsApp.
🇵🇰 IMO — Пакистан, Бангладеш, части Африки
Применяют для международных звонков.
🇨🇭 Threema — Швейцария / Европа
Минимизация сбора персональных данных, сильный акцент на приватность.
🇫🇷 Olvid — Франция
Архитектура без привязки к номеру телефона, ставка на безопасность.
🇮🇷 Bale / Soroush / Rubika — Иран
Национальные платформы, сформированные регуляторной средой.
🇰🇷 Band — Южная Корея / Азия
Сообщества, группы, координация, социальная коммуникация.
🇯🇵 Mixi — Япония
Гибрид социальной сети и мессенджера.
Отдельная вселенная — решения для приватности:
🌍 Session — использует децентрализацию и анонимность
🌍 Briar — работает без серверов (Tor / mesh)
🌍 Element (протокол Matrix) — распределенная архитектура, где коммуникационная сеть не принадлежит одной компании
🌍 Wire — создан с фокусом на безопасность и поддержку множества личных устройств
При этом есть и местные лидеры, которые неизвестны в мире:
🇯🇵 LINE — стандарт общения в Японии
🇰🇷 KakaoTalk — инфраструктура коммуникаций в Южной Корее
🌍 iMessage — де-факто стандарт среди пользователей iPhone в США
Протокол Matrix умеет соединяться с внешними системами: Slack, Telegram, IRC, Discord, WhatsApp. В итоге Matrix является коммуникационным хабом.
Выбор мессенджера часто не про технологии. Люди выбирают приложение, потому что получают:
— доступность звонков
— наличие собеседников
— местные привычки
— доверие к платформе
— встроенные сервисы (платежи, госуслуги, экосистемы)
Интересный вопрос:
#мессенджеры #длявсех
В разных странах доминируют платформы, о которых мы не слышали:
🇻🇳 Zalo — Вьетнам
Чаты, госуслуги, платежи, бизнес. Фактически цифровая инфраструктура повседневной жизни.
🇦🇪 BOTIM — ОАЭ / Персидский залив
Рост популярности начался после ограничений VoIP и видеозвонков в WhatsApp.
🇵🇰 IMO — Пакистан, Бангладеш, части Африки
Применяют для международных звонков.
🇨🇭 Threema — Швейцария / Европа
Минимизация сбора персональных данных, сильный акцент на приватность.
🇫🇷 Olvid — Франция
Архитектура без привязки к номеру телефона, ставка на безопасность.
🇮🇷 Bale / Soroush / Rubika — Иран
Национальные платформы, сформированные регуляторной средой.
🇰🇷 Band — Южная Корея / Азия
Сообщества, группы, координация, социальная коммуникация.
🇯🇵 Mixi — Япония
Гибрид социальной сети и мессенджера.
Отдельная вселенная — решения для приватности:
🌍 Session — использует децентрализацию и анонимность
🌍 Briar — работает без серверов (Tor / mesh)
🌍 Element (протокол Matrix) — распределенная архитектура, где коммуникационная сеть не принадлежит одной компании
🌍 Wire — создан с фокусом на безопасность и поддержку множества личных устройств
При этом есть и местные лидеры, которые неизвестны в мире:
🇯🇵 LINE — стандарт общения в Японии
🇰🇷 KakaoTalk — инфраструктура коммуникаций в Южной Корее
🌍 iMessage — де-факто стандарт среди пользователей iPhone в США
Протокол Matrix умеет соединяться с внешними системами: Slack, Telegram, IRC, Discord, WhatsApp. В итоге Matrix является коммуникационным хабом.
Выбор мессенджера часто не про технологии. Люди выбирают приложение, потому что получают:
— доступность звонков
— наличие собеседников
— местные привычки
— доверие к платформе
— встроенные сервисы (платежи, госуслуги, экосистемы)
Интересный вопрос:
вы выбираете мессенджер или цифровая экосистема страны подталкивает вас к выбору мессенджера?
#мессенджеры #длявсех
2😁37
Forwarded from SecLab советы
Традиционно праздник 23 февраля ассоциируется с танками и парадами. Люди поздравляют солдат на земных границах, забывая о цифровых рубежах. В сети круглосуточно кипят невидимые бои. Современный киберфронт постоянно держит удар, отражает атаки хакеров и спасает критические базы данных. Инженеры сидят за мониторами вместо окопов, уберегая привычный мир от хаоса упавших серверов. Поздравляем сисадминов, безопасников, специалистов техподдержки и разработчиков. Желаем стопроцентного аптайма, крепкого железа, непробиваемых фаерволов и свежих бэкапов.
Ну и крепко жмем руку всем остальным парням по ту сторону дисплея. Оставайтесь прочной защитой от внешних невзгод и самым надежным тылом для родных.
Ну и крепко жмем руку всем остальным парням по ту сторону дисплея. Оставайтесь прочной защитой от внешних невзгод и самым надежным тылом для родных.
4
В медиапространстве активно обсуждают инициативу депутата Николая Арефьева, которую многие пересказали как предложение ввести «цифровые выходные» ради здоровья нации. Якобы отключение Сети на несколько дней или хотя бы на выходные спасёт зрение и нервы граждан, а также убережёт их от игромании. Сам парламентарий позже уточнил, что его слова исказили: речь шла лишь о гипотетическом отключении «на час», а не на недели.
Идея сразу же столкнулась с критикой даже внутри Госдумы. Первый замглавы комитета по информполитике Антон Ткачев назвал её вредной для экономики и разработки софта и напомнил, что интернет - это базовая инфраструктура для работы госуслуг, банков и доставки. По его логике, такую «заботу» можно довести до абсурда, предлагая отключать электричество или перекрывать дороги.
История вновь подсветила разницу между личной цифровой гигиеной и административным принуждением. Да, учёные подтверждают пользу цифрового детокса, но как добровольного эксперимента. Превращать же эту идею в общеобязательную меру - значит не замечать, что интернет давно стал не развлечением, а базовой средой для жизни и работы, отключение которой обойдётся дороже любых гипотетических выгод.
#цифровыевыходные #интернет #законодательство
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
«Рубильник» как средство от игромании. В Госдуме предложили лечить нас от интернета принудительно
Интернет пока не в курсе.
1🤬118👏11😁10
Топ-менеджеры Microsoft предупреждают: ИИ-инструменты могут уничтожить будущее профессии разработчика. Технический директор Azure Марк Руссинович и вице-президент Скотт Хансельман опубликовали статью, в которой указывают - компании массово сокращают найм джунов, и через несколько лет некому будет становиться опытными инженерами.
Проблема в асимметрии. ИИ-агенты помогают опытным разработчикам, но тормозят рост начинающих, превращая их в надсмотрщиков за машинным кодом. При этом сам код нередко оказывается плохим - с багами, дублированием и ошибками, которые агент уверенно выдаёт за успех. Распознать такое способен только опытный инженер.
Выход авторы видят в наставничестве - опытные разработчики должны работать в паре с джунами, совместно управляя ИИ. Парадокс в том, что сама Microsoft в прошлом году провела крупные сокращения именно среди разработчиков, и пилотный проект по наставничеству внутри компании, по словам Руссиновича, «только запускается».
#ИИ #разработка #Microsoft
SecurityLab в Telegram | MAX | Поддержите нас «бустами»
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
ИИ съедает вакансии джунов: боссы Microsoft Azure бьют тревогу
Microsoft опасается, что ИИ полностью уничтожит «вход» в профессию программиста.
😁45💯11👀9🤬8
Инсайдеры? Нет, спасибо. Как ML ловит не ярлыки, а злоумышленников
Маркетинг вокруг «инсайдерских рисков» скрывает простую истину. Инфраструктуре неважно, кто действует: сотрудник или хакер. Внутри системы ярлыки бесполезны, ведь риск определяют действия - запуск процессов, сетевые соединения, нетипичные логины и так далее. Нужно анализировать паттерны поведения, а не искать виноватых по ролям.
SOC тонут в телеметрии, злоумышленникам легко обойти репутационные списки хешей, IP-адресов, имитируя поведение обычных пользователей. Поведенческий анализ выявляет аномалии там, где традиционные инструменты видят лишь привычный фон. Даже легитимный шаг в необычном контексте помогает остановить атаку до ущерба.
Алексей Потапов из экспертного центра безопасности Positive Technologies (PT ESC) в статье на Securitylab привел практические сценарии того, как преднамеренные действия инсайдера проявляются внутри инфраструктуры и каким образом они фиксируются средствами мониторинга.
@SecLabNews
Маркетинг вокруг «инсайдерских рисков» скрывает простую истину. Инфраструктуре неважно, кто действует: сотрудник или хакер. Внутри системы ярлыки бесполезны, ведь риск определяют действия - запуск процессов, сетевые соединения, нетипичные логины и так далее. Нужно анализировать паттерны поведения, а не искать виноватых по ролям.
SOC тонут в телеметрии, злоумышленникам легко обойти репутационные списки хешей, IP-адресов, имитируя поведение обычных пользователей. Поведенческий анализ выявляет аномалии там, где традиционные инструменты видят лишь привычный фон. Даже легитимный шаг в необычном контексте помогает остановить атаку до ущерба.
Алексей Потапов из экспертного центра безопасности Positive Technologies (PT ESC) в статье на Securitylab привел практические сценарии того, как преднамеренные действия инсайдера проявляются внутри инфраструктуры и каким образом они фиксируются средствами мониторинга.
@SecLabNews
1🔥8👀5