В рунете обнаружена сеть из 570 сайтов по продаже поддельных документов

Татьяна Никитина 12 Июля 2024 - 16:07

F.A.C.C.T.

...

В рунете обнаружена сеть из 570 сайтов по продаже поддельных документов

Специалисты F.A.C.C.T. нашли в интернете 570 взаимосвязанных сайтов, торгующих поддельными документами: дипломами вузов, справками для военкоматов, свидетельствами о рождении, браке, разводе, смерти. Для их продвижения создан ряд страниц со ссылками.

Как оказалось, 479 доменов в рамках данной сети были зарегистрированы в период с января по июнь 2024 года. По словам экспертов, большинство ресурсов по продаже фейков уже неактивны, а 141 еще работает.

Чтобы продлить жизнь таких площадок, редиректы на них встраиваются в веб-контент безобидной тематики — например, в информационные статьи о религии.

Продажа поддельных документов онлайн — незаконный бизнес, и его обычно прячут в даркнете. Со временем проблема не утратила актуальности — напротив, обостряется по мере расширения цифровизации, которая создает дополнительные возможности для мошенников.

Поддельный документ в электронном виде сложнее распознать, а с ростом доступности ИИ-технологий такие фальшивки станут выглядеть еще более убедительно. В даркнете сейчас, по данным Kaspersky (в передаче «Известий»), преобладают предложения услуг редактирования и отрисовки документов, иногда с занесением их в реестр, но такая возможность — скорее всего, миф.

Явного запрета торговли документами в российском законодательстве нет. Статья 324 УК РФ криминализирует лишь «незаконные приобретение или сбыт официальных документов», и на Авито, к примеру, нередко предлагают оформление медсправок на разные нужды «под ключ» — даже с указанием адреса офиса.

Update: Представители Авито поделились комментарием и рассказали подробности работы системы фильтрации объявлений:

«На Авито запрещена продажа документов, такие объявления система отсеивает уже до публикации. Все предложения на платформе — это юридическая помощь в оформлении. Если мы отмечаем нарушение правил, объявление сразу блокируется».

За фальшивку и продавец, и покупатель могут подвергнуться уголовному преследованию по ст. 327 УК (подделка, изготовление или оборот поддельных документов, до четырех лет лишения свободы). Покупатель при этом рискует больше: он отдает персональные данные в ненадежные руки, к тому же может быть обманут, и тогда потеряет еще и деньги.

Роскомнадзор, прокуратура, Минцифры и МВД России ведут борьбу с нелегальным бизнесом в Сети. Веб-ресурсы, нарушающие закон, вносятся в реестр запрещенных сайтов, который ведет РКН, и подвергаются блокировке; в перспективе для их поиска будет применяться ИИ.

Для ускорения процесса блокировка запрещенных сайтов может осуществляться во внесудебном порядке. Недавно Роскомнадзору также разрешили единовластно прибивать их зеркала.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 22 Ноября 2024 - 15:54

Трояны Домашние пользователи Корпорации

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

собирать системную информацию;
воровать информацию из браузеров;
прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.