68691
SecurityLab — ваш надежный проводник в мире кибербезопасности, технологий и науки. РКН: https://vk.cc/cFXCkO Наши каналы: https://t.me/addlist/G_0tnwZJOrA3MzEy Голосуйте за канал: https://t.me/SecLabNews?boost
🏢 Одна кнопка — вся страна: как 80% Швеции легли из-за одного поставщика
🎯Представьте: вы захватываете одну никому не известную контору, которая делает софт для кадровиков, а в результате парализуете треть европейской страны. Именно это произошло со шведской Miljödata — компанией, которая умудрилась стать единой точкой отказа для 200 из 290 муниципалитетов королевства.
⚡️Классический антипаттерн: когда 80% критической инфраструктуры висит на одном поставщике, любая атака превращается в национальную катастрофу. Злоумышленники это прекрасно понимают и требуют смешные 1,5 биткоина — всего $168 000 за разблокировку целой страны. Коэффициент полезного действия впечатляет: вложить копейки, получить хаос государственного масштаба.
🔥Теперь шведам предстоит болезненный редизайн всей системы. Проблема не в том, что Miljödata плохо защищалась — проблема в том, что её вообще допустили до такой монополии в критически важной сфере. Это урок для всех: децентрализация — не модное слово, а вопрос национальной безопасности.
#централизация #архитектура #инфраструктура #вымогательство
@CyberStrikeNews
🔥 Хаос в Application Security? Пора навести порядок!
Фрагментарные меры, конфликты ИБ и разработки, сложности с бюджетом? Релизы идут с уязвимостями, а бизнес не видит эффекта?
Очный интенсив «Безопасность приложений: от хаоса к системному управлению» состоится 18–19 сентября в Москве!
Кому будет полезно:
Руководителям и тим лидам направления разработки, тем, кто сейчас выстраивает и развивает направление Application Security
Что вы получите на интенсиве:
• Понимание как внедрять Application Security в SDLC и CI/CD
• Узнаете как управлять уязвимостями с помощью SAST, DAST и автоматизации
• Научитесь строить культуру безопасности для разработчиков и QA
• Приоритизировать и устранять уязвимости системно.
• Сформируете фреймворки и сценарии управления
• Поймете, как обосновывать бюджет с цифрами и кейсами
🫣Флэш-крэш по-индийски: один неверный клик — и минус контроль над компанией
На рынке Мумбаи брокеры Spark Institutional Equities по ошибке дважды разместили заявку на продажу 24% акций производителя спецхимии Clean Science & Technology от имени семьи основателей. Сумма сделки оценивалась в $300 млн.
Из-за сбоя оказалось продано 56% бумаг компании на сумму $749 млн — впервые за два десятилетия у Clean Science на время пропал мажоритарный владелец. После паники на торгах цена акций сначала упала на 9%, затем взлетела на 17%, а день завершился снижением на 2,7%.
Брокеры поспешили выкупить обратно около 30% акций по цене, близкой к продаже, и заверили владельцев, что убытков не будет. Ошибка уже вошла в список крупнейших торговых промахов Индии — наряду с падением опциона на 99,99% в 2022 году и флэш-крэшем индекса Nifty 50 более десяти лет назад.
#финансы #рынки #Индия
@SeclabNews
Багбаунти в России
В новой статье для Positive Research мы анонимно поговорили с одним из топовых исследователей Standoff BugBounty о проблемах и перспективах российского рынка.
🔴 Что нужно уметь, чтобы стать багхантером?
🔴 Может ли поиск багов заменить работу в офисе?
🔴 Сколько багов можно найти за месяц?
#PositiveResearch
👾Хакеры проверяют системы на прочность каждый день. А мы предлагаем испытание для вас.
Один вопрос — и у вас есть шанс забрать Telegram Premium 👇
В арсенале атакующих есть инструмент, который способен отключать популярные системы EDR.
🤔Как называется этот инструмент?
Первые 50 человек, которые дадут правильный ответ, получат подписку на полгода!
👀Этнический контроль на Неве
В Санкт-Петербурге официально запущена система видеоаналитики, способная распознавать национальность и расовую принадлежность людей. Замглавы городского комитета по информатизации Игорь Никонов сообщил, что технология помогает выявлять концентрацию определённых этнических групп в разных районах города
В конце 2024 года власти заключили контракт на покупку лицензии этого программного обеспечения стоимостью 38,4 млн рублей. Планировалось, что функция заработает на 8 тысячах из 102 тысяч камер видеонаблюдения в городе и будет автоматически формировать статистические отчёты.
В Москве мэр Сергей Собянин рассказал о действующем биометрическом контроле во всех аэропортах региона. С 1 сентября заработает новая система по аналогии с социальной регистрацией времён пандемии — мигранты будут обязаны подтверждать своё местоположение через специальное приложение и использовать электронные карты с QR-кодами.
#видеонаблюдение #технологии #миграция #безопасность
@SecLabNews
🛡Второй пакет Минцифры вынесен на обсуждение
Минцифры подготовило второй пакет мер против кибермошенников. В него вошли новые способы восстановления доступа к Госуслугам и создание единой платформы согласий на обработку данных.
Вернуть доступ к аккаунту можно будет через биометрию, приложение банка, национальный мессенджер или МФЦ. А на Госуслугах появится сервис, где граждане смогут проверять и отзывать свои согласия на обработку персональных данных.
Банки и операторы будут обмениваться данными через систему «Антифрод» и возмещать ущерб, если проигнорировали угрозу. Кроме того, планируется маркировка всех зарубежных звонков и внесудебная блокировка фишинговых сайтов.
#кибербезопасность #госуслуги #антифрод #минцифры
@SecLabNews
🫢Добровольно-принудительный фильтр: старт — третий квартал 2027-го
Правительство утвердило план мероприятий, который предусматривает создание механизма добровольного ограничения доступа к «потенциально опасному» контенту. Минцифры, Роскомнадзор и другие ведомства должны подготовить предложения к третьему кварталу 2027 года.
Отдельно власти решили подключить к фильтрации искусственный интеллект. Нейросети и алгоритмы машинного обучения будут постоянно анализировать интернет-пространство и блокировать найденный запрещённый контент.
За реализацию назначены Роскомнадзор, Минцифры, МВД, ФСБ, Генпрокуратура и Следственный комитет. Сроков для внедрения ИИ нет — работа будет вестись на постоянной основе.
#цензура #ИИ #Рунет
@SecLabNews
🖤 Чёрный доступ: через детей у родителей увели более 600 млн рублей
В 2025 году преступники начали активно использовать детей, чтобы пробраться в банковские приложения родителей. За полгода зафиксировано около 3500 случаев с совокупным ущербом свыше 600 млн рублей. Больше всего атак пришлось на подростков 10–14 лет.
Злоумышленники выходят на связь через игровые чаты и онлайн-платформы: Roblox, Minecraft, Standoff 2. Они маскируются под блогеров или учителей, обещают подарки, а затем требуют коды из СМС, фото экранов и даже учат прикладывать палец спящего родителя к телефону.
Средний ущерб на один случай вырос с 80 до 190 тыс. рублей. Сценарии варьируются от быстрых обманов до схем, растянутых на месяцы, где подростков запугивают «уголовной ответственностью родителей» и заставляют помогать оформлять кредиты.
#кибербезопасность #мошенничество #защитадетей
@SecLabNews
🆕 Еженедельный обзор киберновостей
Эта неделя запомнилась созданием вечной ядерной батарейки в Китае и масштабными кибератаками, которые превратили даже обычные VPN в инструменты слежки. Microsoft снова оказалась в центре скандала с уязвимостями, а искусственный интеллект впервые самостоятельно решил новую математическую задачу — собрали самые интересные новости недели в одном месте, чтобы вы ничего не пропустили.
🌎В мире
Хакеры превратили обычный VPN в инструмент китайской армии для слежки за 700 миллионами пользователей.
Северная Корея добавила GitHub в арсенал кибершпионажа, превратив популярную платформу в командный центр для хакеров.
ИИ-модели от Google и OpenAI будут управлять США, что вызвало критику экспертов из-за непредсказуемых последствий.
Криптобиржа Lykke лишилась $22,8 млн, которые КНДР потратила на ракетное топливо для своих военных программ.
Британские власти едва не внедрили бэкдор для всех в iPhone, но передумали в последний момент из-за угроз приватности.
🇷🇺В России
Антивирус с гербом РФ оказался шпионским ПО, которое под видом поиска угроз вело тотальную слежку за пользователями.
Positive Technologies обнаружила более 180 зараженных систем российской критической инфраструктуры — жертвами PhantomCore стали госучреждения, ОПК и IT-компании.
Max заменит VK Мессенджер и с 1 сентября будет предустановлен на всех смартфонах в качестве национального сервиса связи.
С 1 сентября банкоматы получат новые функции защиты — ЦБ обяжет банки защищать деньги клиентов от подозрительных операций.
«Крипто Школа» обещает 150 тысяч в неделю от инвестиций и выкачивает деньги под прикрытием имени Путина.
ℹ️Хакеры в деле
Microsoft закрыла 121 уязвимость, но пропустила главную — PipeMagic ожил и снова угрожает корпоративным сетям.
Хакеры создали универсальный ключ QuirkyLoader для запуска вирусов в законной оболочке, минуя все защитные системы.
Один промпт превращает Gemini в backdoor-генератор — достаточно сказать «Добавь комментарий» для внедрения вредоносного кода.
Уязвимость в чат-боте Lena стала точкой входа для взлома Lenovo — 56-миллиардной IT-империи угрожает один промпт.
CVSS 20 лет считался золотым стандартом, но анализ 600 уязвимостей показал — одной метрики недостаточно для оценки реальных угроз.
💡Новости науки и технологий
Китай создал ядерную батарейку, которая способна работать 50 лет без подзарядки и не боится радиации, вакуума и времени.
ChatGPT-5 впервые в истории самостоятельно решил новую математическую задачу, доказав новую теорему без помощи человека.
James Webb обнаружил галактику-призрак «Эриду» массой в 900 миллиардов солнц, которая загадочно погасла в ранней Вселенной.
Учёные впервые засняли, как человек сходит с ума на 120 секунд перед каждым гениальным открытием.
Google подписал соглашение с Kairos Power для питания ИИ-центров от ядерных реакторов будущего.
Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила.
@SecLabNews
🍂Готовы выкатить осень на прод?
Сезон кода высаживается в Северной столице!
6-7 сентября в новом офисе Т-Банка в СПБ соберутся те, кто двигает технологии вперед, ломает шаблоны и вдохновляет других. Это место встречи для разработчиков, ML-инженеров, архитекторов, техлидов, ИБ-специалистов и других ИТ-спецов.
Что будет:
6 сентября
Разберём архитектуру масштабируемых систем, решения популярных сервисов Т-Банка и путь от идеи до собственного инструмента. Полезно архитекторам, CTO, техлидам и бэкендерам.
7 сентября
Обсудим бэкенд-инструменты, безопасность и работу LLM — от исследований до продакшна. Интересно инженерам, RecSys- и ИБ-специалистам.
А еще вас ждет:
▪️Комьюнити ИТ-спецов для обсуждения технологий
▪️Нетворкинг
▪️Афтепати — можно привести с собой одного взрослого и одного ребенка (к 18:00, шаттлы от метро включены!)
📍Как попасть:
Заполните форму регистрации на сайте и внесите пожертвование в один из фондов от 1 500 ₽ за каждый день.
После регистрации вы получите письмо с ссылкой на сайт фонда. При внесении пожертвования укажите ту же почту, что и при регистрации на фестиваль.
Где: г. Санкт-Петербург, Свердловская наб., 44, стр. 1, бизнес-центр «Феррум II»
Бонус: уже можно оставить предзаявку на Сезон кода в Нижнем Новгороде — вам придет уведомление, когда откроется полноценная регистрация!
Реклама. АО «ТБанк», ИНН 7710140679, лицензия ЦБ РФ № 2673, Erid: 2W5zFHqVrtp
📱 Когда мем может убить ваш iPhone: новая zero-day в ImageIO
Каждый месяц — новый баг. На этот раз пробили ImageIO, фреймворк, который занимается обработкой картинок. Уязвимость CVE-2025-43300 позволяла записывать данные за пределы памяти, что открывает дорогу к произвольному коду.
Apple прямо указывает на использование уязвимости в "крайне изощрённых атаках против отдельных пользователей". Такая формулировка обычно означает целевые операции с использованием дорогостоящих инструментов, а не массовые кампании. ImageIO — критический компонент, отвечающий за обработку изображений во всей системе, что делает способ атаки особенно эффективным.
Семь нулевых дней за год — это много даже для Apple. В гонке "разработчик против эксплойтов" компания всё чаще играет в догонялки. Вывод банален, но жизненно важен: обновляться сразу, а не "потом".
#Apple, #ZeroDay, #Безопасность @SecLabNews
Надоели бесконечные списки задач и разные таскеры, которые не предназначены для ИБ?
Неудивительно! Ведь повседневная работа отдела ИБ часто превращается в нескончаемый поток разрозненных задач, которые легко теряются среди сообщений чатов и различных таскеров, лишаясь четких приоритетов и контроля.
▶️ Приглашаем на воркшоп: Как превратить хаос в задачах в управляемый процесс
28 августа в 11:00
Изучим на практике, как превратить этот хаос в согласованную систему, где каждая задача встроена в общую стратегию безопасности, а процессы работают прозрачно и без сбоев.
Мы разберем:
🔴 Методологию, которая снижает операционные риски.
🔴 Покажем, как объединить контроль, координацию и исполнение в одной
системе.
🔴Научим создавать живой дашборд задач, где всё под рукой.
Вебинар будет интересен:
🔴Руководителям отделов ИБ, которые хотят структурировать процессы.
🔴Командам, где много параллельных задач и часто теряются приоритеты.
🔴Специалистам ИБ, стремящимся повысить эффективность и прозрачность
работы.
🔗 Регистрируйтесь уже сейчас.
Privacy Sandbox от Google: как "защита приватности" превратилась в новый способ деанонимизации
Google освоил новый уровень манипуляций в сфере приватности. Когда тебя прижимают регуляторы и общественность, нужно срочно что-то делать с репутацией. Вот и родился Privacy Sandbox — проект с красивым названием и туманными обещаниями. Мол, мы тут всё переделаем, cookies плохие, а наши API хорошие.
На DEF CON исследователи показали , что за красивой техно-риторикой про "дифференциальную приватность" и "федеративное обучение" скрываются серьёзные проблемы. Механизм атрибуции должен прятать человека за статистикой. А его обходят. Отладочные отчёты пробивают политику передачи источника перехода. Брошенные домены рисуют фальшивые покупки. По уловкам восстанавливают историю браузера. Общее хранилище тоже подвело: из-за кривых настроек вытаскивают значения, которые обязаны оставаться закрытыми.
Получается показательная история о том, как в IT работает корпоративный PR. Берёшь проблему, о которой все говорят. Придумываешь сложное техническое решение с умными терминами. Громко заявляешь о революции. А потом тихо надеешься, что никто не будет изучать детали реализации. Но безопасники — народ дотошный.
#приватность, #google, #chrome @SecLabNews
Онлайн-митап про честные кейсы в сфере сетевой безопасности
📅 16 сентября, 15:00
Без маркетинга, без лишней воды — только реальный опыт и рабочие сценарии. Positive Technologies снова собирает специалистов по ИБ, чтобы поговорить о том, что действительно работает.
Что разберем:
▪️Реальные кейсы обнаружения угроз
▪️Зачем и как использовать PT Sandbox и PT NAD
▪️Как эти инструменты усиливают друг друга
Если вы уже знакомы с продуктами Positive Technologies или только думаете об их внедрении — будет полезно. Много технических деталей, примеров и ответов на вопросы.
🔗 Присоединяйтесь, будет по-дружески и по делу.
😵Хакеры скомпрометировали популярный проект Nx
26 августа злоумышленники атаковали популярный NPM-проект Nx, загрузив вредоносные версии пакетов в репозиторий. Малварь была нацелена на кражу GitHub- и NPM-токенов, SSH-ключей и данных криптовалютных кошельков разработчиков.
Впервые в истории хакеры использовали локально установленные CLI-инструменты ИИ — Claude, Gemini и Q — как часть атаки. Вредоносный код заставлял эти легитимные утилиты сканировать файловую систему и сохранять пути к чувствительным данным в файл /tmp/inventory.txt.
Атака затронула проект с 24 миллионами загрузок в месяц, которым пользуются свыше 70% компаний из Fortune 500. По данным Wiz, утечка включала более 1000 активных GitHub-токенов, около 20 000 файлов и десятки учётных данных для облачных сервисов.
#NPM #ИИбезопасность #кибератака #разработка
@SecLabNews
🔒 79 млн загрузок в неделю: российский код в американских военных системах
Библиотека fast-glob используется более чем в 5 тысячах публичных проектов и более чем в тридцати системах Министерства обороны США. Её загружают свыше 79 миллионов раз в неделю, а с учётом закрытых систем число зависимых решений может быть гораздо выше.
Единственным автором оказался российский программист Денис Малиночкин, сотрудник «Яндекса», который разрабатывает проект уже более семи лет. Американская компания Hunted Labs подчеркнула, что никаких связей разработчика с хакерскими группировками не выявлено.
Хотя у библиотеки нет зарегистрированных уязвимостей, эксперты указывают на теоретические риски из-за широкого доступа к файловым системам. Сам Малиночкин подтвердил авторство и подчеркнул, что утилита работает исключительно локально без сетевых функций.
#OpenSource #CyberSecurity #NodeJS
@SecLabNews
🪟Windows 95 исполнилось 30: юбилей самой культовой ОС Microsoft
30 лет назад, 24 августа 1995 года, Microsoft выпустила Windows 95 — первую систему, которую ждали очередями у магазинов. Миллион коробок разошёлся всего за четыре дня, а к концу года продажи дошли до 40 миллионов.
Вместе с ней в нашу жизнь пришли кнопка «Пуск», проводник и многозадачность, без которых уже сложно представить работу за ПК. Windows 95 стала мостом между старым DOS и новым 32-битным миром, позволяя запускать программы трёх поколений.
Хотя поддержку закрыли ещё в 2001-м, наследие «девяносто пятой» живо до сих пор. Именно она сделала компьютеры по-настоящему массовыми и задала привычные стандарты интерфейса.
#Windows95 #Microsoft #ИсторияТехнологий #ОперационныеСистемы
@SecLabNews
🔗 Крупным компаниям предложено интегрировать бизнес-процессы с Max
Минцифры России рекомендовало крупным компаниям интегрировать свои внутренние системы с чат-ботом в национальном мессенджере Max. Письма с такими предложениями получили «Авито», РЖД, «Ростелеком», Wildberries, Ozon, МТС, «Аэрофлот» и другие организации.
По замыслу ведомства, такая интеграция позволит использовать возможности «Госключа» и «цифрового профиля физлица» прямо в Max. Пользователи смогут подписывать электронные документы, а также передавать компании свои данные с «Госуслуг» — например, паспортные сведения или возраст. Это должно сократить время на оформление бумаг и снизить риск ошибок.
Минцифры уточнило, что все операции будут выполняться по защищённым каналам, а данные останутся под надежной защитой. Пользователи смогут в любой момент отозвать согласие на их обработку.
#Минцифры #Max #Госключ #Госуслуги
@SeclabNews
🤨 Google внедряет «паспортизацию» всех Android-разработчиков
Google готовит радикальные изменения в экосистеме Android, требуя верификации личности всех разработчиков приложений. Новая система будет действовать не только в Google Play, но и за его пределами, охватывая все сертифицированные устройства с Android.
Компания объясняет нововведение статистикой безопасности: приложения, установленные в обход официального магазина, содержат вредоносный код в 50 раз чаще. После внедрения обязательной идентификации в Google Play в 2023 году количество мошеннических и вредоносных публикаций заметно снизилось.
Пилотный запуск системы намечен на октябрь этого года, а полноценное внедрение начнётся в марте 2026 года для всех разработчиков. С сентября 2026 года система заработает в Бразилии, Индонезии, Сингапуре и Таиланде, а глобальное расширение планируется на 2027 год.
#Android #GooglePlay #БезопасностьПриложений #Верификация
@SecLabNews
❓«Шпион или просто мессенджер?» Разбор AndroidManifest мессенджера Макс
Вокруг мессенджера Макс много споров, особенно после обвинений в слежке за пользователями. Белые хакеры изучили AndroidManifest.xml — ключевой файл, где приложение заявляет свои права и возможности.
В списке действительно есть доступ к камере, микрофону, геолокации, контактам, Bluetooth и сети. Но все эти «опасные» разрешения выдаются только через системный запрос, нужны для обычной работы мессенджера (звонков, видео встреч или чтобы подключить наушники) и без согласия пользователя работать не будут. Многие пункты нужны для корректной работы мессенджера на разных устройствах и версиях Android.
Итог проверки: в манифесте нет признаков скрытой слежки, а права соответствуют стандартному набору для приложений такого класса.
Подробнее — в разборе 👉 https://habr.com/ru/articles/939868/
#кибербезопасность #мессенджер #МАХ
@SeclabNews
📱Шесть ведомств займутся зачисткой номеров в аккаунтах госуслуг
Сотовые номера россиян, используемые для получения госуслуг онлайн, начнут проверять на актуальность. Если номер телефона уже не принадлежит указанному пользователю, его автоматически открепят от учетной записи.
Задача поставлена сразу шести ведомствам: Минцифры, Минфину, МВД, Минэкономразвития, Роскомнадзору и ФСБ. Власти ожидают, что новые меры помогут предотвратить получение злоумышленниками доступа к чужим аккаунтам госуслуг.
В 2024 году ущерб от кибермошенничества в России превысил 200 млрд рублей. Почти четверть всех обманутых составили пенсионеры.
#кибербезопасность #госуслуги #мошенничество
@SecLabNews
⚠️ Количество уязвимостей в ИТ-системах растет, но хаотичное их устранение тормозит бизнес и создает напряжение между ИТ и ИБ. Пора выстроить систему.
🚀 Онлайн программа «Управление уязвимостями: от теории к практике» стартует 8 сентября! Освойте полный цикл управления уязвимостями с экспертами кибербеза за 4 недели.
🔐 Чему вы научитесь:
• Строить систему управления уязвимостями с нуля
• Проводить инвентаризацию активов и оценивать риски
• Настраивать MaxPatrol VM: сканеры, теги, фильтры, автоматизация
• Приоритизировать и устранять уязвимости системно
• Анализировать отчеты и выделять критические уязвимости
• Обеспечивать слаженную работу ИТ и ИБ
Программу разработали Павел Попов и Михаил Козлов — профессионалы кибербезопасности с глубоким многолетним практическим опытом в области управления уязвимостями.
Доступен корпоративный формат для команд!
👉 Больше подробностей — на странице практикума.
🧑💻Google Meet «падает», а мошенники уже на линии
22–23 августа пользователи из разных регионов жаловались на перебои в Google Meet: у кого-то не открывался сайт, у кого-то падало приложение. Пики сообщений на Downdetector и «Сбой.рф» пришлись на вечер, а больше всего жалоб шло из Карелии, Петербурга, Москвы и Поволжья.
Регулятор заявил, что специальных ограничений на работу Google Meet не вводилось, а проблемы связаны с нагрузкой на инфраструктуру.
Одновременно «Киберполиция России» предупредила о росте социальной инженерии с переводом разговора в Google Meet. По данным ведомства, после блокировки привычных каналов связи организованные группы начали использовать альтернативные платформы. В частности, отмечается рост звонков с международных номеров: интерес к Meet объясняется сложностью оперативного получения данных от Google и широкой предустановкой приложения на Android-устройствах.
#GoogleMeet #социнженерия #мошенничество
@SecLabNews
Думали, VPN вас прячет? А он делает скриншоты и отправляет их хакерам
Иногда самые эффективные атаки строятся не на сложных технических уязвимостях, а на человеческой психологии. Создатели FreeVPN.One это прекрасно понимали и построили почти идеальную схему сбора данных, основанную на доверии пользователей.
Психология была выстроена безупречно. Никаких сразу подозрительных разрешений, только постепенное расширение прав через обновления. Сначала базовые VPN функции, затем под видом ИИ-защиты получили доступ к скриншотам, потом к мониторингу всех сайтов.
В результате сто тысяч человек, желая защитить свою приватность, сами её и слили неизвестным людям. Это показывает, насколько важно не только иметь хорошие технические средства защиты, но и понимать, кому мы доверяем свои данные.
#GoogleChrome #VPN #утечкаданных @SecLabNews
Антифрод 2.0: банки сводят телеметрию, связь и мессенджеры
Представьте: вы решили снять наличку в 3 утра после зарплаты, а банкомат думает «подозрительно, обычно этот чувак спит в это время». С сентября банки обязаны анализировать буквально всё — от времени снятия до того, как быстро вы вводите пин-код. Слишком быстро? Мошенник! Слишком медленно? Тоже мошенник!
Но реальная бомба — доступ к данным мессенджеров и операторов связи. Если алгоритм увидит «нетипичные звонки» или «всплеск подозрительных сообщений» перед снятием денег, операцию заблокируют. По сути, банки получили право копаться в вашей цифровой жизни под предлогом безопасности. А с марта 2026 запустится госсистема, которая будет собирать данные обо всех «подозрительных лицах».
Эффективность против мошенников очевидна, но попутно создаётся инфраструктура финансового надзора беспрецедентного масштаба. Каждая транзакция, сообщение, звонок фиксируется и анализируется. Границы между защитой от мошенничества и тотальным контролем становятся всё более размытыми.
#антифрод,#банкоматы,#ЦБ @SecLabNews
Max вместо VK: госмессенджер теперь обязателен на всех устройствах
С 1 сентября Max станет «национальным мессенджером по умолчанию». Предустановка будет обязательной на всех платформах, включая iOS и HyperOS. А это значит, что даже фанаты Apple внезапно окажутся с RuStore и Max на своих айфонах.
Технически это означает либо джейлбрейк по умолчанию, либо какие-то хитрые схемы через корпоративные профили. Apple исторически не любит альтернативные магазины приложений и сопротивляется им всеми силами.
#мессенджер, #Россия, #цифросуверенитет @SeclabNews
🤵 Китай обрубил HTTPS. И сделал это так, что стало страшно
Великий китайский файрвол превзошёл сам себя. В ночь на 20 августа система цензуры решила, что лучший способ контролировать интернет — это вообще его отключить. На час с лишним Китай превратился в цифровой остров, отрезанный от всего мира.
Техническая сторона выглядит просто: файрвол начал блокировать весь HTTPS-трафик. Но последствия оказались гораздо шире простой блокировки сайтов. Apple, Tesla и куча других компаний используют этот порт для базовых функций своих продуктов. Представьте реакцию китайцев, когда их iPhone или электромобиль внезапно перестали работать нормально.
А ещё в тот же день упал трафик в Пакистане. Если это действительно связано, значит мы видим рождение региональной сетевой «оси», которая готова к глобальной изоляции.
#фейл, #технологии, #контроль @SecLabnews
🚔В России раскрыта первая афера через мессенджер MAX
В Ростовской области задержан житель Шахт, которого подозревают в пособничестве зарубежным мошенникам. Это первый случай дистанционного хищения денег через мессенджер MAX.
Жительница Курска перевела злоумышленникам 444 тысячи рублей после звонка через новый мессенджер. Возбуждено уголовное дело по ч. 3 ст. 159 УК РФ о мошенничестве.
Подозреваемый исполнял роль посредника при переводе денег. Его задержали бойцы Росгвардии, на допросе он признался в участии в схеме и назвал сообщников. Похищенные средства удалось заблокировать, после расследования их вернут потерпевшей.
#кибербезопасность #мошенники #МАХ #полиция
@SecLabNews
😎Phrack — 40 лет хакерской легенде
19 августа вышел юбилейный 72-й номер Phrack — старейшего электронного журнала о хакерской культуре и безопасности, впервые появившегося в середине 80-х. За четыре десятилетия он превратился из «самиздата для своих» в летопись ключевых идей, на которых выросла современная кибербезопасность.
Юбилейный выпуск включает 16 материалов: от атак на WebAssembly и анализов APT-группировок КНДР до техник обхода песочниц macOS и Android. Среди авторов — Orange Tsai, mr_me, Saber, cyb0rg и другие исследователи, а отдельный профиль посвящён легендарному Gera. В номер встроен и CTF-челлендж: победитель получит «Phrack coin».
Редакция остаётся верна традициям: журнал создаётся «хакерами для хакеров», без бюджета и корпораций, на энтузиазме и бессонных ночах. Новый выпуск стал одновременно данью уважения старой школе и приглашением к новым поколениям исследователей.
#Phrack #хакеры #ИБ
@SecLabNews