Бизнес предлагает продавать алкоголь по 2FA

Олеся Афанасьева 08 Февраля 2023 - 11:57

Средства генерации одноразовых паролей (OTP)

...

Бизнес предлагает продавать алкоголь по 2FA

Бизнес предлагает запустить продажи алкоголя в Сети по QR-кодам. Контролировать возраст покупателей планируют через портал “Госуслуги”. Сначала покупатель подтверждает личность, затем получает временный код, который должен предъявить курьеру.

О письме Ассоциации компаний интернет-торговли (АКИТ) председателю Совета Федерации Валентине Матвиенко и сенатору Андрею Клишасу пишут “Известия”. В отрасли надеются на законодательную инициативу, которая позволит продавать алкоголь онлайн.

Сейчас в России действует запрет на дистанционную торговлю спиртным, хотя в интернете его и предлагают. По оценкам Минфина, объем продаж алкоголя в Сети составляет 2–3 млрд рублей в год. Эксперты считают, что он в 10 раз больше, рынок при этом постоянно продолжает расти вслед за потребительским спросом.

Развитие онлайн-продажи алкоголя станет важной мерой поддержки отечественных производителей, говорят в Ozon. У потребителей есть запрос на покупку спиртного в Сети на фоне перехода к онлайн-приобретениям по остальным категориям.

Сейчас бизнес имеет все необходимые возможности и ИТ-технологии, для того чтобы обеспечить прозрачность онлайн-продажи алкоголя, добавили в Сбермаркете.

Онлайн-продажа спиртного — вопрос непростой, говорит глава комитета по конституционному законодательству и госстроительству Андрей Клишас.

“В первую очередь мы должны думать о здоровье и безопасности наших граждан и обеспечить, чтобы в любом случае соблюдалось требование закона — запрет продажи алкоголя несовершеннолетним”, — добавляет сенатор.

Возраст покупателя предлагается подтверждать с использованием “Госуслуг”.

В АКИТ подчеркнули, что QR-код — это временный ключ, в который не зашиты никакие данные клиентов. Его можно будет использовать только с целью контроля за продажами спиртного. И так как речь идет о двухфакторной идентификации, в которую вовлечен курьер, то этот код невозможно будет подделать, считает бизнес.

Однако в предложениях содержится как альтернатива и числовой код, отправленный в СМС-сообщении клиенту, отмечают “Известия”.

“Если будет предложена понятная для государства и граждан схема, обеспечивающая контроль как за возрастом потребителя услуг, так и за качеством самой продукции, если интернет-торговля алкоголем приведет к ликвидации теневого рынка, то я не вижу никаких препятствий, чтобы подробного рода ограничения снять”, — говорит Клишас.

При этом сенатор подчеркнул, что решать этот вопрос необходимо только после серьезного общественного обсуждения с учетом позиций предпринимательского сообщества, регионов и отечественных производителей спиртных напитков.

Минфин уже несколько лет пытается легализовать в России продажи спиртного в Сети, но финансово-экономическому блоку противостоит Минздрав. Ведомство уверено, что такая реализация сделает алкоголь доступнее, причем есть риски, что такие напитки смогут покупать несовершеннолетние. Два года назад Министерство финансов предложило сначала провести эксперимент — продавать в Сети лишь отечественное вино, причем только через сайт “Почты России”. Но и этот проект до сих пор буксует.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 22 Ноября 2024 - 15:54

Трояны Домашние пользователи Корпорации

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

собирать системную информацию;
воровать информацию из браузеров;
прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.