Все сайты собирают наши данные. Часть из них техническая, которая действительно нужна для вебсёрфинга, а часть персональная, для работы сеты совершенно не обязательная. Однако сайты пылесосят все данные до которых могут дотянуться, причем абсолютно не интересуясь нашим мнением по этому поводу. Законодательство в этой области к сожалению крайне нерасторопно, поэтому нам, как всегда, приходится принимать защитные меры самостоятельно
На днях произошла очередная атака на пользователей WhatsApp, да такая, что аж МВД выпустило официальное предупреждение. Поэтому не лишним будет еще раз проверить настройки своего устройства
Речь идет о версии мессенджера под Windows. Хотя версии для мобильных платформ тоже имеют свои уязвимости, в данном случае атака была направлена именно на пользователей компьютеров. Поэтому, тем кто их использует стоит еще раз проверить настройки безопасности и вспомнить основные правила «кибергигиены».
Включите двухфакторную проверку. Это важно, чтобы ваш аккаунт не взломали и не украли, например выпустив нелегальный дубликат SIM-карты. Если включить эту настройку, то для регистрации мессенджера на новом устройстве помимо подтверждающего кода из SMS потребуется ваш секретный пароль. Зайдите в мессенджере в настройки безопасности и конфиденциальности, и установите секретный пароль. Его не нужно будет регулярно вводить, он нужен только при переносе аккаунта на новое устройство. Для удобства его можно сгенерировать и хранить в защищенном парольном менеджере.
Никогда никому не пересылайте одноразовые коды. Если у вас хотят украсть аккаунт, мошенники попытаются выманить код входа, когда он приходит вам в мессенджер. Ни друзьям, ни «представителям техподдержки», ни компаниям и банкам эти коды не могут понадобиться; если кто-то спрашивает код — это мошенник.
( Collapse )Архивы, такие как ZIP, RAR, CAB, MSI, ISO и прочие, нередко используются в целевых хакерских атаках на организацию. Внутри архива не обязательно может быть зараженный исполняемый файл – на самом деле существуют более изощренные способы взлома
Программы-архиваторы, упрощающие хранение и пересылку файлов, стали привычным инструментом не только для пользователей, но и для злоумышленников. Вредоносные архивы систематически находят как в целевых атаках, так и в инцидентах с шифровальщиками-вымогателями. Злоумышленники в основном применяют их для обхода средства защиты информации, обмана пользователей и, конечно, для извлечения украденных данных. А значит, ИБ- и ИТ- отделам следует уделять особое внимание тому, как архивы обрабатываются в ОС, бизнес-приложениях и защитных инструментах.
( Collapse )На каждом компьютере установлено множество программ, предназначенных для захвата и сохранения нажатий клавиш. Например, любой текстовый процессор, такой как Microsoft Word. Однако, то, что вы набираете на клавиатуре, может использоваться против вас
Кейлоггер — это программа, которая собирает нажатия клавиш и отправляет их третьей стороне в злонамеренных целях. Ключевым отличием кейлоггера от законной программы является то, что он не собирает нажатия клавиш для вашей выгоды. Записи нажатий клавиш использует злоумышленник в своих интересах. В рамках этого определения существует несколько различных типов кейлоггеров.
«Потенциально нежелательный» кейлоггер
Кейлоггер может быть идентифицирован как «PUP» (Potentially unwanted program, потенциально нежелательная программа). В отличие от вредоносных программ, которые попадают на компьютер без ведома пользователя, PUP устанавливаются с его согласия. Такие программы часто позиционируются как легальные инструменты для наблюдения за детьми или сотрудниками, и теоретически имеют законное применение. Однако такие кейлоггеры также очень часто используются не по назначению. Злоумышленник, имеющий доступ к чужому устройству, может установить кейлоггер без ведома владельца в злонамеренных целях. Это распространено при отслеживании, преследовании, шантаже и т.д. Поэтому большинство антивирусов обнаружат эти законные кейлоггеры как PUP.
Рекламный кейлоггер
Такие кейлоггеры собирают нажатия клавиш, чтобы:
Мы знаем, что злоумышленники используют множество самых разных методов для перенаправления жертв на свои сайты и сбора их личных данных. И когда вебмастеры думают о защите своего сайта, они часто упускают из вида кликджекинг
Кликджекинг – это мошенническая техника, которую злоумышленники используют для получения доступа к конфиденциальной информации или компьютеру жертвы, заманивая ее на внешне безобидный сайт. Обычно злоумышленники реализуют кликджекинг, накладывая невидимый слой со своей страницей поверх легитимного сайта. При этом элемент управления (кнопка, ссылка), необходимый для осуществления требуемого действия, совмещается с видимой ссылкой или кнопкой, нажатие на которую ожидается от пользователя. В результате ничего не подозревающая жертва может незаметно для себя оформить подписку в социальной сети или «лайкнуть» какую-либо запись. Кроме того, злоумышленники могут обмануть пользователя, заставив его поверить, что он вводит пароль в обычное поле для авторизации, в то время как на самом деле он вводит свои учетные данные на невидимом сайте мошенника.
Чаще всего злоумышленники накладывают свои вредоносные страницы поверх легитимных страниц. Реализовать это можно несколькими способами:
( Collapse )OpenAI начала внутреннее тестирование системы водяных знаков для изображений, создаваемых в модели ChatGPT-4, известной своими продвинутыми возможностями генерации визуального контента. Компания уже добавляет эти метки в изображения, созданные с бесплатных аккаунтов, что указывает на подготовку к более широкому внедрению нововведения
Сличается, что водяные знаки могут стать способом разграничения контента, созданного пользователями бесплатных и платных версий ChatGPT. На текущий момент у подписчиков ChatGPT Plus есть возможность сохранять изображения без видимых следов вмешательства со стороны сервиса, тогда как пользователи бесплатной версии, вероятно, вскоре будут видеть на изображениях специальную метку. При этом OpenAI пока не приняла окончательное решение.
Причиной для внедрения подобных ограничений могло стать массовое использование обновлённой ИИ-модели ImageGen для генерации визуального контента в стиле студии Ghibli. Этот стиль отличается высокой художественной выразительностью и детальной прорисовкой, и часто используется пользователями при создании сказочных или мультяшных сюжетов.
Изначально генерация изображений была доступна только подписчикам платного тарифа, но с недавних пор OpenAI сделала функцию доступной и для пользователей бесплатных аккаунтов. Это расширение охвата привело к резкому росту популярности визуального функционала и, как следствие, к обсуждению мер по защите контента и управлению его распространением.
( Collapse )Страховка «жизни» компании в киберпространстве становится все более популярным, поскольку киберугрозы становятся все более сложными и распространенными, а законы в этой области становятся все строже
Киберстрахование — это вид страхования, который предназначен для защиты организаций от рисков, связанных с киберпространством. Риски могут включать в себя различные виды угроз, такие как взлом, утечка данных, фишинг, вирусы, и другие виды кибератак. Киберстрахование предлагает финансовую защиту и поддержку в случае кибератаки, утечки данных или других инцидентов, связанных с кибербезопасностью. Рынок киберстрахования постоянно меняется из-за некоторых факторов и продолжающихся изменений в ландшафте угроз.
Изменение векторов атак
Постоянно развивающаяся среда киберугроз доставляет большие проблемы для страховщиков. Киберпреступники разрабатывают более изощренные тактики, используя передовые методы и технологии. В результате страховщики должны постоянно оценивать и корректировать свои модели рисков, предложения по страхованию и структуры ценообразования для эффективного реагирования на возникающие угрозы.
Изменение нормативно-правовой базы
( Collapse )Исследователи из Калифорнийского университета в Сан-Диего провели масштабное тестирование, в результате которого две современные языковые модели — GPT-4.5 и LLaMa-3.1-405B — успешно прошли классический тест Тьюринга, обманув людей и заставив их поверить, что общаются с человеком
В эксперименте использовался трёхсторонний формат теста: человек-собеседник одновременно общался с двумя участниками — настоящим человеком и искусственным интеллектом, после чего должен был определить, кто есть кто. Исследование проводилось на двух независимых группах добровольцев — студентах университета и участниках платформы Prolific.
Результаты оказались поразительными — GPT-4.5, настроенная на имитацию человека, была принята за живого собеседника в 73% случаев, превзойдя настоящих участников-людей. Модель LLaMa-3.1 с такой же настройкой убедила собеседников в своей человечности в 56% случаев, практически не уступив реальным людям. Базовые модели без специальной настройки на «человечность» показали гораздо худшие результаты. GPT-4o и ранняя программа ELIZA были распознаны как искусственные в большинстве случаев, с показателями успеха лишь 21% и 23% соответственно.
( Collapse )Безопасные мессенджеры вроде Signal, WhatsApp и Telegram кажутся надёжным способом защитить личные разговоры, особенно если они используют сквозное шифрование. Но, как предупреждает Агентство национальной безопасности США (NSA), основная угроза кроется не в приложениях, а в действиях самих пользователей
АНБ для нас безусловно организация вражеская, но и там, как говорил один персонаж, «не дураки сидят». Поэтому прислушиваться к результатам их исследований конечно нужно. Нам оно тоже пригодится. Так вот, недавнее уведомление NSA появилось после случая, когда злоумышленники получили доступ к защищённым чатам, используя стандартные функции мессенджеров. Проблема была не в уязвимости программ, а в том, как ими пользовались — люди сами открыли доступ, зачастую даже не подозревая об этом. И это касается не только Signal: в зоне риска также WhatsApp и Telegram.
( Collapse )В российских Telegram-каналах распространяется волна поддельных сообщений, маскирующихся под уведомления о запуске новой государственной выплаты. Речь идёт о мнимой финансовой поддержке, якобы связанной с компенсацией последствий инфляции в 2024 году
Скриншот одного из таких сообщений был опубликован на странице МВД в соцсети. Визуально оно повторяет интерфейс портала «Госуслуги» и информирует граждан о возможности подать заявление на получение денежных средств. Подчёркивается, что выплата предоставляется всем, без предварительной проверки доходов. За внешней правдоподобностью кроется обычный фишинг — при переходе по ссылке пользователь попадает на ресурс, не имеющий отношения к государственным структурам. МВД подчёркивает: перед пользователями — приманка, за которой скрываются сайты с мошенническими схемами. Среди них — проекты, имитирующие инвестиционные платформы, нелегальные онлайн-казино и другие теневые ресурсы.
( Collapse )