Журнал "Директор по безопасности" Март 2021 | Page 3
КОРОТКО
Современные детекторы дипфейков можно обмануть
Университеты , организации и технологические гиганты , такие как Microsoft и Facebook , работают над инструментами для обнаружения дипфейков , которые призваны предотвратить их использование в целях дезинформации и распространения вредоносных медиа . Однако команда ученых из Калифорнийского университета в Сан-Диего на конференнции WACV 2021 сообщила , что детекторы дипфейков все еще можно обмануть путем внедрения входных данных ( состязательные примеры ) в каждый видеокадр .
По словам экспертов , состязательные примеры ( adversarial examples ) представляют собой манипуляции с изображениями , которые могут привести к ошибкам в работе систем искусственного интеллекта . Большинство детекторов работают , отслеживая лица на видео и отправляя обрезанные данные в нейронную сеть . Затем система детектора определяет , является ли видео подлинным , проанализировав элементы , которые плохо воспроизводятся в дипфейках , например , моргание .
Как обнаружили ученые , создавая состязательные примеры лица и вставляя их в каждый видеокадр , они смогли обмануть современные детекторы дипфейков . Кроме того , разработанная ими методика работает даже для сжатых видео и даже в том случае , если у них не было полного доступа к модели детектора .
Securitylab . ru
Водоочистная станция сделала все , чтобы быть атакованной хакерами
Недавно новостные сайты США пестрели заголовками о потенциально опасной кибератаке на водоочистную станцию в одном из городов Флориды . Неизвестный хакер получил доступ к ПО для удаленного контроля за процессами очистки воды и повысил уровень содержания гидроксида натрия ( химического вещества для очистки воды ) до опасных уровней . Действия злоумышленника могли бы иметь катастрофические последствия , если бы не были вовремя обнаружены оператором водоочистной станции . Однако , как оказалось , станция сама сделала все для того , чтобы ее атаковали , в том числе использовала готовое , а не кастомное ПО для управления критическими процессами и ни разу не меняла пароль .
Согласно сообщению властей штата Массачусетс , злоумышленник получил доступ к SCADA-системам через TeamViewer – приложение для удаленного управления , которым системные администраторы пользуются для удаленного устранения неисправностей на компьютере . Стоит ли говорить , что ПО такого рода не должно присутствовать на критических системах .
Для удаленного доступа ко всем компьютерам использовался один и тот же пароль , и все компьютеры были подключены непосредственно к интернету . Более того , они не были защищены межсетевым экраном .
Самое интересное , что системные администраторы станции прекратили использование TeamViewer еще полгода назад , но так и не деинсталлировали его , сообщил шериф округа Пинеллас Олдсмара Боб Галтьери ( Bob Gualtieri ).
Securitylab . ru
Эксперты назвали поводы для блокировки карты после звонка мошенников
Банковскую карту после разговора с телефонными мошенниками необходимо блокировать , в случае если владелец сам сообщил им данные , а также если еще до звонка злоумышленников пришло сообщение с кодом подтверждения на списывание денег , рассказали эксперты , опрошенные « РИА Новости », сообщают ИЗВЕСТИЯ .
Необходимо блокировать карту , если владелец сам в разговоре с мошенниками раскрыл какие-то данные
Так , по словам руководителя группы исследований безопасности банковских систем Positive Technologies Максима Костикова , если пришло SMS на списывание средств , а потом звонят мошенники для получения одноразового кода подтверждения , « в таком случае сразу необходимо блокировать карту , так как , скорее всего , злоумышленники узнали информацию по карте – номер , CVV и прочее ». Кроме того , необходимо блокировать карту , если владелец сам в разговоре с мошенниками раскрыл какие-то данные . « Если вы сами разгласили данные мошенникам , оперативно свяжитесь с банком по номеру , указанному на банковской карте или официальном сайте , сообщите о звонке или сообщении – продиктуйте им номер телефона злоумышленников .
Далее банк будет самостоятельно принимать меры по блокировке вашего счета , перевыпуску карт и блокировке номера мошенника », – посоветовал специалист по информбезопасности Group-IB Сергей Золотухин . Также эксперт рекомендует в случае подозрения на утечку своих данных сменить пароли в мобильном приложении банка на всех устройствах . Кроме того , специалисты советуют завести отдельную виртуальную карту для покупок в Cети и повседневных трат , переводить на нее минимальные суммы и ввести месячный денежный лимит на покупки .
Новые схемы телефонного мошенничества появляются чуть ли не еженедельно . В большинстве из них мошенники в основном наживаются за счет доверчивости граждан , однако существуют и такие схемы , при которых удается обмануть даже тех , кто проверяет входящие номера .
ГардИнфо
Госдума приняла законопроект об арестах активов банкиров
Госдума в третьем окончательном чтении приняла законопроект , который позволит Центробанку налагать арест на имущество бенефициаров финансовых организаций с отрицательным капиталом до начала процесса по их привлечению к субсидиарной ответственности . Подавать соответствующий иск также сможет сам ЦБ .
Авторы документа отметили , что сейчас привлечь контролирующих лиц к субсидиарке затруднительно , а у недобросовестных банкиров есть возможность укрыть свои активы от взыскания . Законопроект позволяет Банку России оперативно вводить обеспечительные меры в отношении денежных средств , ценных бумаг и недвижимости , которые принадлежат топ-менеджерам банков , страховых компаний и НПФ с отрицательной величиной капитала . Регулятор сможет сделать это еще до подачи в суд заявления о привлечении их к субсидиарной ответственности или к ответственности в виде взыскания убытков .
При этом документ дает Центробанку право самому определять контролирующих лиц , а не полагаться на критерии компаний . Регулятор будет формировать перечень контролирующих лиц и оперативно уведомлять их о включении в него . Они смогут оспорить такое решение , обратившись в специальную постоянную комиссию при ЦБ . Перечень контролирующих лиц финансовых организаций Банк России будет направлять в Росинфомониторинг .
Право . ru
Опубликовано расследование об офшорах в Люксембурге
Опубликовано коллективное журналистское расследование OpenLux , согласно которому Великое Герцогство Люксембург играет роль крупного офшорного центра для отмывания средств и ухода от налогов . По оценкам его авторов , 81 % инвестиционных фондов Люксембурга не сообщили о конечных собственниках проходящих через них средств . В целом почти 90 % зарегистрированных в стране компаний принадлежат не люксембуржцам .
Среди основных бенефициаров люксембургских офшоров La Monde , чьи журналисты участвовали в расследовании , выделяет криминальные группы – итальянскую мафию , калабрийскую ндрангету и российский преступный мир . Издание отмечает , что в Люксембурге скрывают неофициальные фонды итальянская праворадикальная партия « Лига » и люди , связанные с венесуэльским правительством . Издание « Важные истории », которое приняло участив в расследовании , нашло свыше 1000 россиян среди конечных бенефициаров люксембургских компаний . Речь идет о предпринимателях из списков Forbes , сотрудниках госкомпаний и крупных подрядчиках . Среди самых популярных инструментов – семейные фонды управления активами и фонды взаимного инвестирования , для которых в Люксембурге существуют весомые налоговые льготы . Всего в стране около 15 000 инвестфондов , которые управляют совокупными активами на $ 4,5 трлн . Кроме того , люксембургские компании владеют значительным объемом недвижимости во Франции , Германии , Великобритании и других странах , хотя в последние годы европейские налоговые органы нацелены на борьбу с такими схемами .
Право . ru
Большинство офисных работников раскрывают в соцсетях персональную информацию
90 % британских и американских офисных работников делятся персональной и конфиденциальной информацией в социальных сетях , потенциально подвергая себя и свою организацию рискам online-мошенничества , фишинга и других киберугроз .
Специалисты из компании Tessian провели опрос среди 4 тыс . сотрудников различных компаний из Великобритании и США , а также 10 ИБ-экспертов , специализирующихся на социальной инженерии . Как стало известно по результатам опроса , 59 % респондентов делятся именами и фотографиями своих детей , 72 % упоминают даты дней рождений и еще больше ( 81 %) обновляют свой статус работы в социальных сетях .
Более половины работников ( 55 %) признали , что у них есть общедоступные профили в Facebook , и только одна треть ( 32 %) имеют личный аккаунт в Instagram .
Подавляющее большинство ( 84 %) опрошенных публикует сообщения в социальных сетях каждую неделю , а почти половина ( 42 %) – каждый день .
Эксперты из Tessian также отметили многочисленные способы использования мошенниками подобной легкодоступной online-информации для осуществления атак на определенных пользователей . Даже сообщения за пределами офиса , содержащие слишком много информации , могут быть использованы против человека , позволяя злоумышленнику выдавать себя за жертву в Сети .
Количество атак с применением социальной инженерии и атак с использованием интернет-мошенничества увеличилось на 15 % за последние шесть месяцев по сравнению с предыдущим полугодием . Около 88 % респондентов сообщили , что получали подозрительные электронные письма в 2020 году .
Securitylab . ru
МВД планирует получить доступ к контактам пользователей смартфонов
Министерство внутренних дел объявило тендер на доработку своего мобильного приложения . Сейчас этот сервис позволяет эсктренно вызвать полицию , но после обновления в нем может появиться функция борьбы с мошенническими звонками . На это МВД планирует потратить 63 млн руб ., пишет « КоммерсантЪ ».
Согласно условиям закупки , исполнитель должен будет интегрировать в приложение модуль « Антимошенник », который позволит пользователям приложения распознавать звонки с мошеннических номеров . Для корректной работы модуля приложению потребуется доступ к контактам пользователя .
« Антимошенник » через сторонний сервер будет соединяться с информационной системой полиции . При входящем звонке с неизвестного номера мобильное приложение начнет сопоставлять его со списком мошеннических номеров , который уже есть у правоохранителей . В случае совпадения номеров пользователь смартфона увидит на экране предупреждение о том , что ему , возможно , звонят мошенники . Пользователь также сможет составить « белый » список доверенных номеров .
Эксперты считают , что внедрение такого сервиса существенно усложнит деятельность мошенников . Глава отдела информационной безопасности « СерчИнформ » Алексей Дрозд поясняет , что приложение МВД фактически будет иметь функционал , аналогичный популярным сервисам для сбора телефонных номеров Who Calls и Get Contact . С их помощью пользователь по номеру телефона может узнать , как он записан в телефонных книгах разных людей , которые тоже пользуются приложением . Но фактически эти сервисы собирают базы телефонных номеров .
Право . ru
В аэропортах вводят биометрический контроль
« Домодедово » и « Шереметьево » начали оснащаться биометрическими системами идентификации пассажиров , сообщают ВЕДОМОСТИ . Аэропорт « Домодедово » планирует в ближайшее время внедрить контроль пассажиров по биометрии лица – дата начала использования технологии зависит от сроков подписания приказа Минтранса , который вводит возможность биометрической идентификации личности при проведении предполетного досмотра ( сейчас документ проходит общественное обсуждение ).
Уже установленные в « Домодедово » автоматизированные турникеты ( eGate ) в зоне таможенного контроля , галерее вылета международных рейсов и всех выходов на посадку в ближайшем будущем оснастят видеокамерами для распознавания лиц . Также в « Домодедово » пассажир самостоятельно сможет вносить свои биометрические данные на стойках регистрации и в CUSS-киосках для регистрации багажа .
Работы по внедрению биометрического контроля ведутся и в « Шереметьево ». Технологии обработки биометрических данных в аэропорту уже используются в целях обеспечения транспортной и авиационной безопасности , сообщили « Ведомостям » в пресс-службе аэропорта . « Также проводятся подготовительные работы для того , чтобы после внесения изменений в федеральные авиационные правила в кратчайшие сроки предоставить услугу биометрической идентификации пассажирам », – заверили там . Без изменения нормативно-правовых актов нет возможности реализовать ключевой кейс применения технологий искусственного интеллекта : возможность отказа от использования посадочного талона и паспорта в пользу применения технологий лицевой биометрии , подчеркнули в пресс-службе « Шереметьево ».