Посмотрите только что происходит. Хотим ли мы покупать эту компанию?

(некоторые слова заменены аналогами)

-Не нравится мне эта компания. Взрывной рост бизнеса (рост одного, повышение второго, увеличение третьего) к хорошему не приводит.
-ситуация для бизнеса компании не айс.
-подумываю прикупить, цена на историческом минимуме
у меня все друзья пользуются товарами этой компании и я в том числе.
-Их главный хайпует. Акции улетят в трубу.
-Вообще-то у американских властей есть претензии к одному из владельцев компании.
-Есть риск, что компания будет поглощена со стороны крупных структур.
-США могут наложить санкции на компанию.
-Грош цена такому бизнесу и его бумаге, которая рушится на четверть из-за подобной новости.
-«в пятницу затарился этими акциями на падающем рынке---дурак» (ругает сам себя)
-прогноз на год нейтрален для динамики котировок этой компании (говорят аналитики одного из банков).
-Акции компании остаются привлекательной инвестицией (аналитики одного из брокеров)
-Почему раздача на хаях акций в январе была очевидной? – пост, разносящий в прах компанию.
-Кто дает акции этой компании на бирже в шорт?
-Компания умудрилась увеличить прибыль.
-Инвестиционная кое-какая фирма понизила прогнозную стоимость ценных бумаг этой компании
-да выросла не только прибыль, выросло число клиентов просто радикально.
А акции стоят столько же из-за того, что непонятка с предстоящими некоторыми убытками.
Кроме того, за прошедший год возникла неопределенность относительно некоторых вопросов и налоговых претензий к нему со стороны США.
-Получается прибыль выросла, а акция стоит столько же как и прошлом мае
-Ну что дождались, один из брокеров не открывает больше ШОРТОв по этой компании, набилось желающих зашортить .
-Прибыль этой компании будет примерно на 10% ниже предыдущего уровня (один из банков)
-я боюсь дальше покупать акции этой компании.

    Тем временем компания:

Запускает, продлевает, запустила2, запустила3, снизила, улучшила, запустила4, увеличила, запустила5, вошла в число крупнейших того самого, запустила6, добавила, рост заказов в 4 раза, запускает7, признана лучшей в чём-то, запустили8, стала лучшей в этом, выпустила, упростила, запустили9, выпустила, разработала, запустила10, автоматизировала, получила премию в номинации, вошла в топ-50, стала лидером, признана лидером в другом, вошла в тройку по количеству контрагентов, запускает11, запустила12, запустила13, получила премию, автоматизировала, вошла в топ-100 технологических, вошла в топ-3 работодателей, запустила14,, запустила15, стала победительницей национальной премии, выпустила, запустила16, запустила17…

     В общем, много чего случилось, всё переписывать не стал, так как очень в туалет захотел, аж ножки по линолеуму постукивают. Сейчас вернусь.

(прошло 40 минут)

     Так вот.  Будут ли покупать настолько сильно нашу компанию, чтоб её показатель достиг аж Р/Е = 19+?
     Скажите мне, может ли наша компания, учитывая всё это, вырасти больше 300% за год? Может ли она через год дать:

-Прирост активов почти на 50%
-Увеличить диверсификацию бизнеса
-Увеличить чистую прибыль ещё на 22,4%
-Общее увеличение чистой прибыли за 2 года на 63%
-Прирост количества контрагентов

      Да, может. Вот она:

Top of mind

Важный момент для инвесторов был в ноябре 2020, когда началась история с вакцинами. Я тогда оставил на канале IH timestamp:

С тех пор акции нефтянки дали +50–100% в долларах, медь +20–30% и так далее — короче, это был момент, поняв который можно было заработать вагон денег. Invest Heroes делали ставку на нефть Brent с результатом +44% с осени (вышли по $66,95).

Я считаю, что этой весной в апреле-мае нас ждет подобный важнейший разворот — это замедление роста в США и в Китае после взрывной весны-лета. Это изменение приведет к коррекции на рынках нефти и металлов, в акциях развивающихся рынков, повысит стоимость золота и гособлигаций летом.

Об этом я хочу подробно поговорить в сегодняшней публикации.

Важные события в экономике США и Европы

Февральские макро данные остудили пыл инвесторов, но на деле в марте все движется хорошо, и ритейл и промышленность разогреваются. Привожу данные в защиту такой позиции:

• Траты по кредиткам +10% к году назад;
• Бронь отелей больше, чем год назад на 8%;
• Мобильность +20% к pre-COVID;
• Продажи в магазинах со скидками +30% год к году.

• ЖД трафик также заметно вырос, а потребление бензина в США превысило пре-COVID на 9,5%.

Все это в апреле выйдет как статистика за март и будет в ярком контрасте с февралем. Таким образом, недавний рост инфляционных ожиданий на разогреве экономики, взявший паузу, я считаю, продолжится, и доходность 10-летних Treasuries дойдет до 1,8–2% в апреле-мае.

В Европе уже отменяют локдауны на апрель (Германия отказалась от ограничений на Пасху), вакцинация догоняет после задержек.

Взгляд на лето: факты, отсутствие морковки впереди

Соответственно, все макро говорит о высокой вероятности настоящего бума расходов населения на товары не первой необходимости (и туризм(!), хотя бы внутренний) во 2–3 кв. 2021.

Но если мысленно перенесемся в лето, то дальше картина теряет радужность (исчезает морковка впереди):

• тема экономических стимулов (и фактические расходы по ней) от администрации Байдена будет отыграна и позади;
• закончатся поблажки в связи с COVID (на банкротства бизнесов, выселение людей из домов).

• Китай в этом году хочет вырасти по ВВП не на 8–9%, которые нарисовали многие экономисты, а на 5% (и это заявление КПК — коммунистической партии Китая, то есть в план).

Китайский рынок, к слову, теряет темпы и валится уже второй месяц. Китай как иллюстрация рынка, который раньше вышел из COVID и вдруг “потерялся” на фоне того, что эффект низкой базы пройден, а быстрого роста далее не последовало.

• Для новых стимулов от Байдена потребуются новые налоги, о чем прямо ведут диалог Йеллен и Конгресс США.

Исход физиков

Я чувствую, что мы сейчас проходим пик интереса физлиц к рынку, и это отразится на рынке в форме простого оттока денег. Простые люди купят себе машину или playstation, съездят в отпуск на деньги, которые они от нечего делать завели на рынок год назад и поторговали.

• Во-первых, в России уже 12 млн счетов. Бабушки торгуют в метро. Куда больше? (фото вчерашнее, от коллеги)

• Во-вторых, люди возвращаются к привычной жизни. Они же не трейдеры.
• В-третьих, пока рынок дает 50% со дна в марте 2020, он прощает кучу ошибок. Но потом деньги делать сложнее.

Я уже отмечал, что WSB — это хороший пример, как физикам надоело со скучными очкариками финансистами, рынок не прет ракетой и они решили ему “помочь”. Короче, первый признак застоя.

Вот, посмотрите, call опционов стало заметно меньше:

Сырье — пока и коррекцию знать / шанс золота

На фоне роста цен на сырье и удобрения (сталь, медь, никель и платиноиды, нефть, удобрения) до уровней, дающих производителям маржу до 30–50%, очевидно, что спекулянтам в этих товарах пора фиксировать прибыль, т.к. производство подтягивается.

Например, запасы меди в мире перестали сокращаться и начали, наоборот, расти:

Уже была коррекция в нефти, и, думаю, ОПЕК не сможет долго удерживать цены. Пока локдауны будут сниматься, мобильность расти, спрос будет постоянно расти, что поможет картелю, но потом (1) разворачивание ранее закрытой добычи и (2) выход спекулянтов, (3) хеджирование, скорее всего, приведут к коррекции цен в сторону $55–$60 за баррель BRENT.

Соответственно, акции в России тоже готовятся пройти пик интереса, и я думаю, им нужна будет коррекция. Ещё 3–5% роста и upside 10–12% (текущая оценка IH) сократится до 5–7% на 12 мес. вперед, что явно недостаточно для устойчивого интереса.

Интересный шанс появляется у золота. Пока Доходности US10Y растут, оно в падающем тренде, но прохождение пиков доходности и замедление роста , продолжение QE — это, наоборот, питательная среда для драгметаллов.

Рынок демонстрирует, что готов играть эту идею:

• ETF на золотодобычу GDX на недельном графике показывает разворот против S&P (начинает обгонять индекс). Развитие этой тенденции может привести к росту GDX на 15–25% относительно S&P в ближайшие 6–8 мес.
• PLZL и POLY отстают в динамике от золота в рублях.

Стратегический момент в акциях и облигациях

Соответственно, как ранее отмечал, я думаю, что в апреле-мае данные по экономике оп всему миру нас позитивно удивят, на этом порастут потребсектор и промышленность, может какой-то рывок дохлой кошки в сырье… но потом — всё.

И пока растут доходности, скорее всего, будет болеть NASDAQ. Постил такую картинку вчера, и мы пошли по сценарию вниз — S&P смотрится нейтрально, а NASDAQ слабо:

Соответственно:

1. Я считаю, что нужно завершать тренд, начатый в ноябре 2020, и раздавать в том числе некоторые “value” акции и уж точно почти все сырьевые активы.
2. Разменивать акции в России — уходить из нефтянки в акции с органическим ростом бизнеса, оставлять сталеваров в силу инфраструктурных строек.
3. Ловить вход в еврооблигации. Раздача там закончится на 1,8–2,0% доходности Трежериз.
4. Разумно уже собирать позиции в акциях золотодобычи, где есть низкие мультипликаторы и дивиденды >4–5% в долларах.
5. Нужно быть готовым покупать акции роста. Им сейчас несладко и будет ещё хуже, вполне вероятно, и можно купить бизнесы по прошлогодней цене (хотя бизнесы выросли).

И главное : если экономика тормозит, то бизнесы, которые в этом болоте умудрятся расти по выручке на 15–35% в год, будут вновь востребованы, а риск роста % ставок перестанет висеть Дамокловым мечом над ними. Суть инвестиций — чтобы ваш актив платил вам и развивался. 

Во многих бизнесах типа ритейла одежды или добычи и производства сырья весенний бум на отложенном спросе населения со временем превратится в пшик (и акции откатят рост назад).

Такие вот мысли. Надеюсь, что вовремя вас предупреждаю в этот раз, как в феврале.

В разговоре с журналистами Песков отметил, что не может согласиться с заявлением о том, что рубль сейчас «лихорадит».

«Я не соглашусь с вами — со словом «лихорадить». Ничего у нас не лихорадит. Волатильность может быть, да, волатильность с амплитудой чуть выше обычного, может быть, но ничего не лихорадит», — сказал Песков.

Он также добавил, что у Кремля нет информации о том, когда могут быть введены новые санкции со стороны США.

• Левенгук (+1 082%)
• ДетскийМир (+229%)
• ЭН+ГРУП ао (+163%)
• ОР ао (+140%)
• МКБ ао (+122%)

    Навеяно постом, обогнавшим Мартына. Почему так много людей попадает в широко раскинутые сети охотничьи сети «гуру трейдинга»?

    Новый ученик, записывающийся на курсы к доморощенным гуру, попадает в ловушку канемановской системы быстрого мышления. Вместо больших затрат умственных ресурсов на мышление мы находим у себя в памяти первый попавшийся похожий образ. Происходит банальная подмена понятий в сторону известных нам стереотипов обучения. Хорошая школа, а затем престижный институт в голове у многих ассоциируется с гарантией получения достойной и высокооплачиваемой работы. Оставим за скобками то, что это уже давно не так, но гуру трейдинга поддерживают в своих жертвах эту уверенность всякими маркетинговыми штучками. 100К, 200К, 500К. Большая цена может даже прибавить ценности, ведь с вами поделятся знаниями, которых нет даже у профессоров университетов из Лиги Плюща. А по факту, если учитель не предупреждает о возможных рисках и не гарантирует покрытие убытков по результатам торговли его методикой, в жизни это соответствует ситуации, в которой у незадачливого стажера выманивают какую-то сумму, чтобы, нажившись на нем, вскоре уволить. Обыкновенный лохотрон. Бесплатные курсы форекс-кухонь в этом случае честнее «опытных трейдеров с сотнями учеников». Они хотя бы не берут деньги за информации об их казино.

    По поводу сложившейся ситуации. Оба героя хороши, и охотник на чужие деньги со своей схемой, и жертва. Человеку обещают 40% за три месяца или 284% за год, или 83500% за 5 лет (при сложных процентах). Увеличение в 835 раз!!!.. При оптимистичных 40% за два месяца речь идет вообще о 24 тысячах раз за 5 лет!!! Вы не забывайте, что у успешного учителя еще должны быть десятки довольных учеников, которых только плохое зрение и мелкий шрифт не позволяет разглядеть в списках Forbes. Вызывает ли это какие-то сомнения у жертвы?

«Готовы ли вы отдать 200к и через полгода заработать 400? Вот именно.»

     Проблема наивных людей, кстати, не в их наивности, а в том, что большинство из них подвержены тем же порокам, что и все другие, например жадности и алчности, что и приводит к закономерному результату.
     Сам же охотник отлично устроился. Пусть никого не смущает «благородные» обязательства вернуть стоимость обучения (но не депозита!!!). Имея хотя бы двух «учеников»/жертв, открывая им разнонаправленные позиции на все деньги, он обеспечивает себе и репутацию гуру торговли, удваивая депозит с бешеными рисками счастливой жертве, и человека слова, отдавая деньги несчастливой. На практике, конечно, рынок не казино, все на красное или черное поставить нельзя сразу, вот и произошел кассовый разрыв. Я думаю, что «учитель» вскоре объявится, отдав 200К и подчеркивая свою порядочность, но пусть это не вводит в заблуждение наивных людей, здесь только бизнес, основанный на обмане.  

      Как же найти иголку в стоге сена, или, скорее, бриллиант в выгребной яме?

      Вы встречали предложения, где:

1)      У вас узнают ваши финансовые возможности (какой риск вы объективно можете на себя брать и какой хотите). Предупредят, если предлагаемая система, не соответствует вашим возможностями брать риск на себя

2)      Никто не будет гарантировать доходность через неделю, месяц и даже год.

3)      Вас знакомят с формализованной системой, эффективность которой можно однозначно оценить по прошлым данным и бектестам.

4)      Вас учат ее воспроизводить и, о чудо, ваши данные сходятся с эталоном и т. п.

      Вместо этого нас кормят астрологией, где вместо планет, звезд и знаков зодиака присутствуют уровни, индикаторы и фигуры разворота, вся тайны которых поразительным образом открылись только нашим гуру в результате почти что божественного откровения. Я не утверждаю, что рынок слабоэффективный, но мне не доводилось видеть, чтобы когда-либо учителя предоставляли свои секретные знания в формате МО и СКО выборки сделок, VAR и т. д.

      Успешный инвестор дисциплинирован, обладает аналитическим (логическим) мышлением и умением принимать решения под давлением в условиях неопределенности. Эти качества человек приобретает и оттачивает на протяжении всей своей жизни. Кроме того, если инвестор является воспеваемым некоторыми, игроком-одиночкой, он должен быть еще в разумных пределах программистом, экономистом, финансистом, разбираться в теории вероятности и т. д.

      Вряд ли этому можно научиться на каких-то курсах. Неприятно признавать, но большинству из нас деньги могут принести в долгосрочной перспективе только пассивное инвестирование.

Доходность на текущий момент: +289%

Напомню, стартовал в этом году с 173К

ИНВЕСТОР - 17 месяц-расчёт (2021.03)_взял на плечи префы Сургута
 Thu, 25 Mar 2021 13:08:42 +0300
За прошедшие 10 дней с прошлого отчётного периода кое-что изменилось.

Главных изменений два. Первое и самое главное это то, что Сургут преф, и так занимавший 2/3 портфеля, взял ещё больше, на имевшийся кэш и даже на плечи, что считаю сделал правильно. Пояснение ниже.

Было 15000 акций, увеличил на ещё две части и стало 45000 акций.

Решение о взятии на плечи осознанное, а не спонтанное. Риска тут нет, так как взял то плечей не на всё, а на только лишь часть. Весь расчёт на том, что выйдет суперский бухотчёт за год по РСБУ и Сургутпреф стартанёт наконец-то вверх. Отчёт выйдет на следующей неделе. Будет очень интересно. Сюрпризов в худшую сторону не жду, а вот положительный сюрприз по чистой прибыли очень даже может быть.

Однако думаю, что реально будет где-то 800 миллиардов рублей, что даст дивидендную доходность к текущим ценам порядка 17% годовых.
Что наконец уже окончательно привлечёт внимание к бумаге, так как она станет лидером по дивидендной доходности. И её станут мощно покупать, и хочешь, не хочешь, а это заставит её наконец-то расти.

Ну, а я на этом росте понемногу до отсечки до дивидендов буду сокращать плечи, закрываясь в прибыль.

За счёт взятия плечей средняя по Сургут преф чуть увеличилась.

Второе, что совершил ряд спекулятивных сделок и немного взял прибыли, но изменились средние цены покупки по ряду акций: Газпром, Лукойл, Алроса.

Пока более спекуляций не планирую. Спекуляции возможны только по одной бумаге, по Сургут преф. Я уже чувствую его движение, как замечаю, что он припал, чуть покупаю, совсем немного, а немного отрастёт продаю эту маленькую часть. Так, туда-сюда забираю с рынка капельки прибыли.

За прошедший интервал никаких пополнений и дивидендов не было.

Текущее состояние
С момента создания инвест-счёта 5 ноября 2019 года:
Пополнения на сумму: 899 431 руб 
Реинвестировано дивидендов: 20 312.32 руб
Реинвестировано купонов: 68.85 рублей
Итого (пополнено+реинвестировано): 919 812.17 руб

Состояние инвест-счёта на текущий момент 25 марта: 1 224 578 руб 

Вот здесь свой портфель показываю: портфель karpov72

Теперь о рисках. Какие риски могут быть? Это как известно чёрный лебедь. Но чёрный лебедь прилетает так редко, что можно его влияние исключить. Да, и плечи так так себе. И тем более что потенциальная дивдоходность не даст сильно упасть в любом случае. Так что тут всё в порядке.

О том, что может повлиять в Донбассе возможное обострение, об этом уже перестали говорить. Послушал аналитиков и они убедили, что наступления на ДНР и ЛНР не будет, не решатся напасть, и сохранится статус кво. А раз так, что это убран самый большой риск из возможных, который мог оказать влияние на наш рынок. Да и в мире в целом всё спокойно. Даже возможные санкции и влияние их на рынок ОФЗ уже в цене.

Да и потом, если что и будет, то главное пережить первые несколько дней паник селла, а дальше рубль станет слабеть, а доллар укрепляться, и может оказаться, что Сургут преф даже и не шелохнётся, не упадёт практически, а даже может и начать расти.

Таким образом, всё это проанализировав, я пошёл на небольшой риск, чтобы получить большую прибыль с Сургут префа. Хочу научиться также как Лариса Морозова покупать заранее, а потом продавать уже на росте, когда объявляют, что выплатят высокие дивиденды. Лариса Морозова писала, что она как видит, что после её входа отросло на размер дивидендов, она эту акцию продаёт, и покупает другую дивидендную, где ещё не объявили о будущих дивидендах и рост ещё не начался. Вот так она успевает снимать за сезон и обрабатывать несколько дивитикеров, получая не один раз дивиденды как получает большинство, а получает дивиденды с десятках самых разных дивитикеров.

Я так пока не умею, но может быть научусь со временем.

Стрельба, оружие и утренние торги.
 Thu, 25 Mar 2021 12:32:55 +0300

Как-то незаметно прошла информация о начале утренних торгов на СПБ бирже. Тут как раз подоспел классический пример того, как рынки отыгрывают новости и чем эти утренние торги могут быть полезны нам. Ниже хронология:

В Америке происходят два очередных шутинга. Первый 16 марта в штате Джорджия (8 убитых), второй 22 марта в Колорадо (10 убитых).

Для США это, конечно, не редкость. Однако, в этот раз есть особенность: два случая подряд неминуемо должны были быть прокомментированы новым президентом. Это первый кейс с шутингами в его каденции, и от президента-демократа логично было ожидать жестких заявлений.

23 марта Джо Байден достаточно эмоционально потребовал от американского Конгресса запретить в стране продажу штурмовых винтовок и магазинов большой емкости к ним.

В России его реакция стала известна вчера утром — 24 марта. Простой анализ привел к такому же простому выводу: акции оружейных компаний, росших весь последний год на ожиданиях зомби-апокалипсиса, с огромной долей вероятности устремятся вниз.

В моем портфеле были бумаги Smith & Wesson Brands, Inc. (SWBI). За последние 12 месяцев они показали рост +135,58% и стали неплохой инвестицией, за полгода в моем портфеле они принесли мне чуть менее 13%.

Вот тут-то Питерская биржа вчера и выручила. В 10, пока еще Америка спит и даже не думает шевелиться, я вышел из этого актива, получив $18,3 за бумагу. На открытии Америки стало ясно, что я был прав: нас встретил гэп, утащивший бумажку ниже 17$ — падение за день составило 8,84%.

Пузыри. Начало. Тюльпаномания
 Thu, 25 Mar 2021 12:09:48 +0300

Вступление

Я решил написать цикл небольших постов о пузырях.

Сподвигло меня к этому два фактора:

✅ Первый. Я считаю сегодняшний уровень цен на фондовых рынках иррациональным, о чем не раз писал в своих постах, приводя разные доводы и рассматривая их с разных точек зрения.

✅ Второй. Связан с первым, так именно он меня подтолкнул перечитать книгу Чарльза Маккея «Наиболее распространённые заблуждения и безумства толпы», а также текущим прочтением книги «Анатомия финансового пузыря», подаренной мне автором Еленой Чирковой. Я не ставлю своей задачей написать новые полноценные книги по данной теме, так как не считаю, что мое изложение не будет лучше имеющегося. Но мне хотелось бы кратко выделить самые основные моменты и донести их до моих подписчиков, чтобы каждый сам смог сделать выводы, убедится насколько история циклична и как силен парадокс Гегеля – «История нас учит тому, что ничему не учит».

Надеюсь вам будет интересно, и вы получите массу удовольствия.

Тюльпаномания❗️

«История нас учит тому, что ничему не учит», — парадокс Гегеля

Тюльпаномания — это один из самых известных старых пузырей. О нем немало написано книг, и он встречается в художественной литературе. Своей известностью он обязан книге Чарльза Маккея «Наиболее распространённые заблуждения и безумства толпы», которая в первый раз увидела свет в далеком 1841 году. Как я писал в своем вступительном слове к данной рубрике, я не ставлю своей задачей подробно описывать пузыри, для этого вам достаточно почитать о нем в других источниках. Мне же хотелось кратко, насколько это возможно, выделить важные его составляющие.

Основные элементы пузыря — Тюльпаномания❗️

✅ Примерный срок 1633-1638 год с ажиотажем и пиком в конце 1636 начала 1637 года, когда цены на луковицы тюльпанов в среднем выросли в 20 раз.

✅ Тюльпаны в Голландии были редким цветком с непростым, долгим периодом селекции из-за небольшой урожайности. По некоторым данным, уже в 1633 году, за три года до взрывного роста за три луковицы редко сорта тюльпана предложили целый дом.

✅ До 1634 года клубни тюльпанов оставались интересны только цветоводам, однако после того, как цветок стал входить в моду во Франции, многие быстро смекнули, что на перепродаже можно неплохо заработать (уже тогда Париж считался законодателем моды). Торговля тюльпанами начала быстро развиваться.

✅ Общую экономическую ситуацию в Голландии с 1630 года можно охарактеризовать как период подъема. Голландцы установили монополию на торговлю с Ост-Индией и Японией, завоевали немалую часть Бразилии, основали Нью-Йорк, выкупив у индейцев Манхеттен. А в 1628 году они захватили испанский корабль, груженный золотом и серебром – годовой добычей испанских шахт в Латинской Америке. Финансовый рынок был хорошо развит для тех времен.

✅ С другой стороны, в период с 1633 по 1637 год бушевала бубонная чума, которая выкосила от 8-ой до 3-ей части населения в различных частях страны. Нехватка рабочей силы поспособствовала росту денежных накоплений у населения из-за дефицита на рынке труда. Важно, как считают некоторые ученые, что наравне с ростом благосостояния оставшихся в живых, произошел рост фаталистических настроений. Что позволяло людям более легко оставлять привычный уклад жизни и бросаться в различные авантюры.

✅ Торговля тюльпанами была очень похожа на торговлю на современном рынке срочных контрактов (фьючерсы и опционы). Чтобы начать торговлю совсем не обязательно было иметь хоть какие-то значимые суммы. Многие сделки особенно в период пика могли заключаться вообще без обеспечения. Кроме того, появились своего рода пулы, которые позволяли его участнику владеть долей в отдельном цветке, или же если сорт тюльпанов не был редким, то в некоторой массе клубней. Это в конечном счете привело к тому, что большое количество сделок в принципе не могло быть исполнено.

✅ В январе 1637 года даже самые дешевые клубни тюльпанов стали настолько дорогими, что на рынок уже не могли прийти новые покупатели. И пузырь лопнул. Цены упали примерно на уровень 1633 года, когда цветы представляли интерес среди цветоводов и селекционеров.

P.S. На фотографии картина, которая висит в моем офисе и помогает мне оставаться в трезвом рассудке. Ее нарисовал для меня мой хороший друг и однокашник по институту Дмитрий Хаустов, за что ему отдельное огромное спасибо 

Cyber threats: типы компьютерных атак (тезисы доклада ЦБ РФ) - !!!longread!!!
 Thu, 25 Mar 2021 12:12:24 +0300
Как-то очень в «тему» лег выпущенный доклад ЦБ РФ «ОСНОВНЫЕ ТИПЫ КОМПЬЮТЕРНЫХ АТАК В КРЕДИТНО-ФИНАНСОВОЙ СФЕРЕ В 2019–2020 ГОДАХ» — решил консолидировать тезисно то, что мне показалось важным. Рекомендую для прочтения сам доклад.

• Спрос на конфиденциальные данные клиентов, используемые для преодоления порога недоверия клиентов банков, привел к резкому увеличению рынка незаконно полученных баз данных финансовых организаций и услуг по «пробиву» счетов клиентов. Весь рассматриваемый период был отмечен резонансными утечками как из финансовых, так и из других организаций, не относящихся к числу поднадзорных Банку России.
• Другой важной тенденцией  года стало продолжение многолетнего снижения количества наиболее опасных целевых атак на информационную инфраструктуру финансовых организаций, вплоть до их почти полного прекращения. Массовые рассылки вредоносных программ типа Cobalt Strike и Silence, привлекавших особое внимание индустрии информационной безопасности в прошлые годы, по спискам адресов сотрудников почти прекратились. Редкие результативные взломы привели к весьма незначительному по сравнению с прошлыми годами ущербу.
• Также почти полностью прекратились атаки на устройства банковского самообслуживания. При этом имеющиеся в распоряжении Банка России данные позволяют сделать предположение о появлении как минимум одной группы атакующих, сосредоточившихся на квалифицированном взломе финансовых мобильных приложений.
• Несмотря на эффектный, публично освещаемый уход из этого бизнеса операторов ряда хорошо известных программ, их общее количество по всему миру не уменьшилось. Однако именно от финансовых организаций стало поступать существенно меньше сообщений о выявлении шифровальщиков.

ВПО — вредоносное программное обеспечение.

Массовость рассылок вредоносного программного обеспечения (ВПО):

• 2019 — 825 массовых, 368 немассовых
• 2020 — 125 массовых, 799 немассовых

В 2019–2020 годах основной и наиболее активной угрозой для клиентов организаций кредитно-финансовой сферы, являющихся юридическими лицами и индивидуальными предпринимателями и использующими персональные компьютеры для доступа к системам дистанционного банковского обслуживания (ДБО), продолжала оставаться группа злоумышленников, хорошо известная под наименованием RTM (сокращение от самоназвания Remote Transaction Manager, обнаруженного в  коде ВПО). За  2019–2020  годы ФинЦЕРТ получил информацию о 225 атаках данной группы. В среднем фиксировалось 2–3 атаки еженедельно, что указывало на очень высокую интенсивность работы группы.


Распределение по типу угроз:

2019:

• RTM — 117
• иное — 13
• Silence — 5
• Cobalt — 4
• Buhtrap — 4
• XFSCash — 2
• AsyncRAT — 2

2020:

• RTM — 111
• иное — 6
• RMS — 2
• Tiny — 2

Расположение инфраструктуры атак:

1. США — 1070
2. Германия — 178
3. Россия — 153
4. Болгария — 152
5. Нидерланды — 139
6. Франция — 90
7. Великобритания — 70
8. Канада — 46
9. Япония — 44
10. Турция — 40
11. Украина — 37
12. Сингапур — 34
13. Вьетнам — 30
14. Польша — 29
15. Индия — 25 и т.д.

• Традиционными целями в предыдущие годы были программные средства клиентов Банка России для переводов денежных средств по корреспондентским счетам, средства управления процессингом платежных карт, системы управления устройствами банковского самообслуживания, различные платежные шлюзы, средства системы SWIFT.
• Наиболее известными инструментами для атак групп злоумышленников, благодаря которым они часто получали в экспертных кругах свои условные наименования, были вредоносные программы Buhtrap, Cobalt Strike, Silence и некоторые другие.

К субъективным причинам отказа от атак на финансовые организации может быть отнесено и развитие других прибыльных и пока более безопасных направлений криминального бизнеса: социальной инженерии, скрытого майнинга криптовалют, атак на владельцев криптовалют и объекты криптовалютной индустрии.

• В 2019 году атаки с использованием ВПО, известного как Silence, были зафиксированы минимум три раза – в январе, феврале и июне. Причем именно январская рассылка стала самой массовой. По сообщениям ряда экспертных организаций сферы информационной безопасности, число получателей данной рассылки составило около 80 тысяч.
• Атаки с использованием программного обеспечения для тестирования на проникновение Cobalt Strike, официально выпускаемого компанией Strategic Cyber и активно используемого в криминальных целях по всему миру, были зафиксированы минимум четыре раза – в апреле,  мае,  июле и  сентябре. Причем апрельская рассылка была точечной и  выявлена только в единичном случае, майская ориентирована больше на банки из Казахстана и попала в российские организации, вероятно, случайно, зато июльская и сентябрьская были подготовлены на высоком техническом уровне и представляли реальную опасность для финансовых организаций.

В течение года ФинЦЕРТ получал информацию от участников обмена о выявлявшихся случаях целевых атак на финансовые организации с использованием иных, менее распространенных или не столь раскрученных семейств ВПО, преимущественно класса RAT (Remote Access Tool). В частности, выявлялись AsyncRAT, TeamBot (модифициро-ванный Team Viewer) и некоторые неопознанные, предположительно приватные инструменты. При этом такие рассылки могли быть достаточно опасными, поскольку получателей умело вводили в заблуждение. Так, кампании по распространению ВПО AsyncRAT велись с использованием названий ряда поднадзорных организаций.

Во  вложении такого письма находился документ, содержавший эксплойт уязвимости CVE-2017–11 882. В результате происходило обращение по указанному в теле сетевому адресу для загрузки полезной нагрузки – ВПО AsyncRAT, которое, помимо стандартного функционала средства для удаленного мониторинга и управления рабочим столом, также имеет встроенный кейлоггер.

Большая часть выявленных случаев атак RTM относится к фишинговым кампаниям, в которых к сообщениям электронной почты прикреплялся архив, содержавший файл с так называемой полезной нагрузкой.
Реже фишинговые кампании осуществлялись от имени конкретной организации, как, например, в случае с рассылкой от имени несуществующей «Профт Групп». И даже в таких случаях атакующими использовались подменные электронные почтовые адреса.

В более сложно организованных вариантах рассылка фишинговых писем осуществлялась от имени одного из федеральных органов власти. Так, в рассылке от имени Федеральной службы судебных приставов (ФССП РФ) пользователю предлагалось загрузить файл по ссылке.
Для этого атакующими был зарегистрирован домен, схожий по написанию с официальным доменом ФССП, – fssspdocs.ru.

• На первом этапе реализации атаки RTM обычно происходит проверка на отсутствие в запускаемой среде индикаторов средств анализа вредоносного кода и специально выделенных сред для безопасного выполнения исполняемых файлов.
• Далее загрузчик основного модуля проверяет систему на наличие признаков того, что пользователь зараженного компьютера осуществляет взаимодействие с  системами ДБО и  бухгалтерского учета. Поиск осуществляется в  том числе в  истории браузеров и  кэше интернет-страниц. Кроме того, в системе запускается модуль, предназначенный для копирования сохраненных паролей.
• При наличии какого-либо признака финансовой деятельности на компьютер загружается основной модуль RTM. Причем периодически происходит смена адресов, по которым осуществляется загрузка основного модуля либо возвращение к ранее использовавшимся адресам. Адреса контрольных серверов не вшиты в тело основного модуля, а образуются динамически. Получение адресов контрольных серверов осуществляется путем формирования запросов через один или несколько блокчейн-обозревателей типа blockchain.info, blockcypher.com.

Несколько различных механизмов хищения денежных средств с применением RTM:

• Использование программ удаленного администрирования. Чаще всего применялся TeamViewer с дополнительной библиотекой, позволяющей запускать программу в скрытом режиме. Иногда использовались легальные программы, ранее установленные самими пользователями. В режиме удаленного администрирования операторы RTM подключались к системам ДБО и производили переводы денежных средств.
• Встраивание специального модуля в процесс веб-браузера. Вероятно, в таких случаях операторами осуществляется подмена платежных поручений в процессе их формирования при работе с веб-сайтами систем ДБО.
• Если для подключения к  ДБО использовался сертификат, записанный на  обычный отчуждаемый носитель, а не на защищенный токен, операторы копировали его. Затем получали пароли к  ДБО с  использованием встроенного кейлоггера и  программы типа WebBrowserPassView (если пароль сохранен в  браузере). Последующее формирование и отправка платежных поручений производились на стороннем компьютере с использованием сертификата и подключения к ДБО.

Группа остается крайне эффективной, быстро меняет и легко осваивает новые тактики и техники атак, вносит изменения в инструментарий и по-прежнему остается главной опасностью для юридических лиц и  индивидуальных предпринимателей.

В 2019 году отмечалось большое количество запросов участников информационного обмена по фактам распространения различных программ-шифровальщиков.
Большая часть запросов была связана с  распространением шифровальщиков семейства Troldesh (также известного как Shade или Purga).
Потеснить в  количественном отношении данную кампанию не  смог и  шифровальщик GandCrab, имевший широкое распространение по всему миру в 2019 году, но почти не отметившийся в рассылках на адреса организаций кредитно-финансовой сферы.

Основной способ распространения программ-шифровальщиков – рассылка по электронной почте сообщений, содержащих во вложении вредоносный исполняемый файл либо имеющих в тексте самого сообщения ссылку на скачивание данного файла.

В случае с Troldesh направляемые организациям сообщения использовали схожий стиль оформления: сообщения поступали якобы от имени организаций кредитно-финансовой сферы, авиакомпаний и крупных компаний иных отраслей. Часто в рассылке сообщений применялся спуфинг.

За отчетный период ФинЦЕРТ получил 221 сообщение от участников информационного обмена об инцидентах, связанных с атаками типа «отказ в обслуживании» (DoS).

В  результате анализа полученных сообщений выявлен рост атак с  типом TCP-SYN (SYN Flood, или атака «переполнения SYN-пакетами»).
При атаке с помощью переполнения SYNпакетами используется «трехстороннее рукопожатие» по протоколу TCP, чтобы вызвать сбои в работе сети и сервисов. Поскольку инициатором «трехстороннего рукопожатия» TCP всегда является клиент, то он первым отправляет пакет с флагом SYN серверу.

Самая мощная атака, выявленная в 2019–2020 годах, велась с интенсивностью 49 000 Мбит/с (49 Гбит/с), что на 2 Гбит больше рекорда 2018 года, когда мощность атаки составила 47 Гбит/с.
Эта атака также не привела к нарушению доступности сервисов, предоставляемых организацией.

Если говорить о целевых объектах при DоS-атаках на финансовые организации, информация о которых поступала в ФинЦЕРТ в 2019–2020 годах, то чаще всего это системы ДБО и сервисы онлайн-банкинга, а также иные сервисы для осуществления переводов денежных средств.
В результате реализации атак периодически происходило прерывание функционирования этих сервисов, что говорит о целенаправленном характере атак.

Одним интересным примером атаки на определенный сервис банка стала DoS-атака, которая привела к недоступности сервиса 3-D Secure в течение нескольких часов. Предположительно такая атака могла быть использована в сложной схеме проведения серии хищений денежных средств со счетов клиентов банка.

В 2019 году была зафиксирована атака на банкомат с использованием Instrusion.Win.MS17- 010. Атака проходила в течение четырех часов, однако была заблокирована средствами антивирусной защиты. Атака велась с зараженной рабочей станции, используемой для проведения технических обновлений платежного терминала.

Также в конце 2020 года в Дальневосточном федеральном округе были зафиксированы атаки с использованием ПО Cutlet Maker. Одна из них привела к хищению порядка 1,5 млн рублей. Атака стала возможной по причине нестабильной работы средств антивирусной защиты. В результате злоумышленники смогли подключить съемный носитель к банкомату и воспользоваться ПО, эмулирующим работу терминала, – Cutlet Maker.

Типовые атаки с использованием методов социальной инженерии.

В 2019–2020 годах злоумышленники использовали телефонную связь как канал воздействия на предполагаемою жертву в 84% случаев.
Около 16% произошедших инцидентов связано с получением гражданами мошеннических СМС или сообщений в различных мессенджерах.

Под предлогом остановки операции, совершаемой без согласия клиента, злоумышленники выпытывали у жертв данные карт, коды из СМС и другую информацию, способствовавшую совершению хищения средств. 

Указанные подходы не используют технику эксплуатации уязвимостей в банковских технологических процессах и программно-технических средствах.

Объем всех операций с использованием электронных средств платежа (ЭСП), совершенных без согласия клиентов, в 2019 году составил 6426,5 млн руб., количество таких операций – 576 566 единиц.

69% всех операций без согласия совершено в  результате побуждения клиентов к  самостоятельному проведению операции путем обмана или злоупотребления доверием методами социальной инженерии.

Распределение атак (%):

• Звонки — 84
• СМС — 15
• WhatsApp — <1
• Viber — <1

Сценарий «воздействия» (%):

• Авито (покупка/продажа товаров) — 83
• Карта заблокирована — 15
• Озон (покупка/продажа товаров) — 1
• Иное — 1

В конце 2019 года основным трендом атак на организации финансовой сферы стали хищения персональных данных физических и юридических лиц для их дальнейшего использования в противоправных целях.
Основной пик утечек пришелся на октябрь 2019 года.
Резкий рост утечек персональных данных коррелируется с увеличением количества атак, связанных с использованием методов социальной инженерии – фишинга.
Стоит отметить, что хищение персональных данных, их последующая продажа, подготовка к массовым атакам по похищенным персональным данным вызвали некий лаг (отсрочку) в атаках. В период с ноября по декабрь 2019 года наблюдалось постепенное увеличение атак с пиком в декабре.

ФинЦЕРТ провел анализ характера звонков – кем представляются злоумышленники при звонках гражданам.

• Выяснилось, что в большинстве случаев (порядка 57%) мошенники представляются сотрудниками службы безопасности той или иной финансовой организации, а также просто сообщают, что звонят из кредитной организации, обслуживающей счет гражданина (41% случаев).
• С конца 2020 года ФинЦЕРТ также наблюдает существенный рост числа инцидентов, связанных со звонками злоумышленников от имени сотрудников правоохранительных органов.

Условия пандемии способствовали росту количества мошеннических сайтов в кредитно-финансовой сфере.
Данный рост обусловлен увеличением использования дистанционных сервисов и услуг, а также тем, что многие люди потеряли работу. Это повысило их потребность в социальных выплатах и вызвало интерес к кредитным продуктам и иным способам улучшения финансового положения.

Злоумышленники активно используют тему коронавируса с целью создания сайтов лжебанков и иных фишинговых ресурсов для хищения денежных средств граждан. С марта по май (то есть в период максимально строгого локдауна) было выявлено 2200 мошеннических сайтов, создатели которых эксплуатировали тему коронавируса для обмана граждан.
Величина аудитории мошеннических ресурсов резко возросла и составляет порядка 100 тыс. человек в сутки.

Обладая персональными данными жертвы, мошенники могут с легкостью представляться сотрудниками как финансовых, страховых организаций, так и государственных органов, чем вводят собеседника в заблуждение.
Клиент, считая, что указанные данные могут быть известны только ему или организации, поддается на обман, сообщая в конечном итоге контрольные слова, коды подтверждения и другие данные, предоставляющие мошенникам возможность вывести денежные средства с подконтрольных клиенту счетов.

Основные (условные) группы:

• «Индивидуалисты» – благополучные в финансовом плане, легко тратят на себя и удовольствия, излишне доверяют новым технологиям.
• «Школьники, студенты, лица с особенностями социальной адаптации» – доверчивые, расточительные, импульсивные, склонные к риску, противоречивая самоидентификация.
• «Бюджетораспорядители семей с невысоким уровнем дохода и высокой финансовой нагрузкой» – целеустремленные, высоко ценят семейные и дружеские связи, ответственные.
• «Домохозяйки» – уступчивые, доверчивые, внешний локус контроля.
• «Серебряный возраст» – возраст 60+.

Возраст «жертв» (%):

• Старше 60 — 27
• 50-59 — 20
• 40-49 — 19
• 30-39 — 17
• 20-29 — 13
• младше 20 — 4

Вызывает беспокойство тот факт, что основной удар приходится на экономически активное население в возрасте 20–60 лет.
Также установлено, что чаще всего жертвами мошенников становятся женщины (более 65%).

В качестве одного из основных направлений противодействия такому мошенничеству определено развитие культуры информационной безопасности и кибергигиены клиентов – потребителей банковских услуг.

Возможность применения методов социальной инженерии обусловлена следующими факторами:

• Нелегальный оборот персональных данных, которые используются для организации массовых звонков клиентам банков. Источниками этих данных могут являться не только банки (например, отмечены существенные утечки данных о покупках с применением платежных карт в интернет-магазинах). 
• Использование злоумышленниками скриптов взаимодействия КО с клиентами – например, аналогичных получению банком у клиента опровержения или подтверждения подозрительных операций.
• Перенос банками рисков на клиентов в соответствии с текущей редакцией Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе».
• Схема организации правонарушений предполагает существенные сложности для правоохранительных органов в определении организаторов преступлений. Отмечаются успешные практики выявления и задержания лиц, непосредственно задействованных в снятии денежных средств в  банкоматах. Однако определить организаторов преступлений на  основании технических данных или показаний задержанных во многих случаях не представляется возможным. Это позволяет организаторам преступлений вовлекать новых исполнителей, ранее не замеченных в противоправных действиях, что делает неэффективными процедуры KYC на стороне банков.

Анализ позволяет сделать следующие выводы: 

• Социальная инженерия является основной причиной совершения операций без согласия клиента (мошеннических операций)
• Отмечается крайне низкая доля возврата денежных средств клиентам

В  условиях распространения коронавирусной инфекции на  территории Российской Федерации в  марте 2020  года был зафиксирован рост числа кибератак на  различные сервисы дистанционного обслуживания. Основная причина такого роста – введение большинством организаций кредитно-финансовой сферы режима удаленной работы.

В период борьбы с COVID-19 Банк России зафиксировал (в сравнении с аналогичным периодом прошлого года):

• значительный рост количества фишинговых рассылок
• появление новых видов вредоносного программного обеспечения
• активизацию хакерских группировок

Отмечены следующие особенности компьютерных атак на инфраструктуру финансовых организаций и их клиентов, наблюдавшихся в течение периода карантина:

• полностью перестали фиксироваться атаки ранее известных групп и/или атаки с использованием их традиционных для последних лет инструментов Buhtrap, Cobalt Strike, Silence и иных. При этом отмечено появление как минимум одной новой группы, активно совмещающей методы социальной инженерии и использование ВПО.
• имеются основания предполагать появление высококвалифицированной группы, специализирующейся на  глубоком анализе мобильных приложений для дистанционного банковского обслуживания в целях обнаружения и эксплуатации слабостей и уязвимостей.
• в общем потоке поступающих в ФинЦЕРТ от участников информационного обмена образцах вредоносного кода почти полностью исчезли программы-шифровальщики (ransomware) и стали преобладать программы класса шпионского ВПО (spyware), что демонстрирует значительно возросший спрос криминальной индустрии на конфиденциальные данные финансовых и не только организаций, их сотрудников и клиентов.

Появление группы, активно совмещающей методы социальной инженерии и использование ВПО – представляется весьма угрожающей.

Так, в мае 2020 года несколько российских финансовых организаций получили сообщения с темой «Всероссийское исследование банковского сектора в период пандемии | <наименование платежной системы> & <наименование информационного агентства>» с фиктивным указанием платежной системы в качестве отправителя.

Данное письмо не содержало вредоносных вложений и было предназначено для пробуждения интереса и фиксации воспоминаний. Через несколько дней получателям поступало второе сообщение в рамках данной кампании, в качестве отправителя значился якобы корреспондент одного из крупных информационных агентств.

Если адресат продолжал переписку – а некоторые именно так и сделали – дальнейшие сообщения атакующих уже содержали ссылки на скачивание файлов с полезной нагрузкой. При этом ВПО было размещено на легальных ресурсах firefox [.] com и yadi [.] sk.

Устанавливаемая вредоносная программа запускала powershell для подключения к workers.dev – сервису сервлетов от Cloudflare, использованному в качестве интерфейса контрольно-командного сервера ВПО.
Легальные ресурсы для распространения и управления ВПО задействовались для затруднения их блокировки – иногда трудно заблокировать поддомен, отдельный IP или URL без основного верхнеуровневого домена и/или всего адресного пространства большого легального ресурса, активно используемого в повседневной работе.
Кроме того, использование подобного сервиса сервлетов позволяет злоумышленникам очень быстро масштабировать и изменять инфраструктуру.

Распространяемая таким образом вредоносная программа собирала существенную информацию об окружающей среде, в которой была запущена, на основании которой на следующем шаге скачивалась либо программа-вымогатель, либо программное обеспечение класса бэкдор.

Группа на самом деле не один раз атаковала российские финансовые организации. Ее атаки, еще не атрибутированные, отмечались и в течение 2020 года.
Так, были выявлены рассылки от имени «Норильского никеля», «Финаудитсервиса», Российского союза промышленников и предпринимателей.

В результате анализа выявленных случаев были отмечены характерные для группы техники:

• использование обфусцированных сценариев JavaScript
• применение обфусцированных сценариев PowerShell
• внесение записи в раздел реестра SoftwareMicrosoftCurrentVersionRun для закрепления бэкдора
• сбор данных об окружении и пользователе
• использование утилит для сбора информации о паролях
• возможность установки иных модулей
• использование workers.dev в качестве С2

Группа умело применяет сочетание ВПО собственной разработки, продвинутых методов проникновения, а главное – социальной инженерии для успешного обмана сотрудников атакуемых организаций, в результате которого сотрудники совершают необходимые злоумышленникам действия.
Группа получила условные названия TinyPosh или TinyScouts.

Опасная тенденция последних месяцев:

Отдельные выявленные факты указывают на появление высококвалифицированной группы злоумышленников, занимающейся глубоким исследованием систем ДБО (в первую очередь мобильных приложений) с целью выявления уязвимостей, слабостей, особенностей клиент-серверного взаимодействия, которые позволяют получить не только персональные данные клиентов, но и в некоторых случаях – возможность хищения денежных средств.

В  I  квартале 2020  года одной из  российских экспертных организаций, работающих в сфере информационной безопасности, была опубликована информация о появлении в сети сервера, содержащего файлы с данными о клиентах одной из поднадзорных организаций:
ФИО; пол; номер мобильного телефона; адрес электронной почты; место работы; номер счета; номер банковской карты с указанием срока действия; тип счета; валюта. В совокупности в файлах было более 100 тыс. строк. Определить способ получения информации помогли находящиеся с файлами php-скрипты, предназначенные для эксплуатации выявленных уязвимостей при обращении с REST API мобильного приложения организации.

Было установлено, что злоумышленники эксплуатировали две уязвимости, которые носили программный характер и  были связаны с  механизмом авторизации при обращении к  REST API.
Это позволяло после прохождения процедуры аутентификации в системе получить доступ на просмотр данных другого клиента: 

Номер счета, номер банковской карты с указанием срока действия, тип счета и указание валюты возвращались в результате эксплуатации уязвимости одного из ресурсов клиентского приложения, позволявшего использовать легитимные функции системы в  нелегитимных целях.

В  данном случае в  качестве параметра запроса передавался идентификатор операции (reference), выполненной клиентом.
Идентификатор имеет следующую структуру (Н03XXXXXXYYYYYYY) H03 – код операции «Смена счета карты»; XXXXXX – дата операции; YYYYYYY – номер операции.

В ответ на запрос в формате JSON возвращалась информация, содержащая сведения о смене привязки счета карты и включающая следующее: дата выпуска карты; счет привязки; номер карты привязки; счет для привязки; срок действия карты; идентификатор клиента (CUS); прочая информация
Путем перебора значений идентификатора операции (reference) злоумышленники получали доступ к данным об операциях других клиентов.

Для реализации данной схемы злоумышленниками использовался скрипт parse.php, найденный вместе с файлами на сервере.
В нем были реализованы перебор идентификаторов операции, отсылка запросов, обработка и сохранение ответов в файл.

ФИО, пол, номер мобильного телефона, адрес электронной почты и место работы возвращались в результате эксплуатации уязвимости другого ресурса клиентского приложения. В данном случае в качестве параметра запроса передается идентификатор клиента, например KYYYYY.

В ответ приложение в формате JSON возвращает следующую информацию: идентификатор клиента; место работы, ФИО, номер телефона, прочая информация. Путем перебора значений идентификатора клиента злоумышленники получали доступ к данным о клиентах.

Для реализации этой схемы использовался скрипт next.php, найденный вместе с файлами на сервере, по набору реализованных функций и действий схожий с parse.php.

Впечатляет резкий рост количества разнообразных видов шпионского ВПО в потоке поступающих в ФинЦЕРТ образцов.
Возросшее количество рассылок шпионского программного обеспечения нельзя отнести к появлению или активизации деятельности какой-либо конкретной группы. Вполне вероятно, что одновременно ими пользуются множество различных групп и  одиночных злоумышленников.

Наиболее активными в  последнее время оказались Agent Tesla и его модификация Masslogger, LokiBot и Formbook. Резкое увеличение количества атак с применением шпионского ВПО имеет вполне объяснимые причины: криминальная индустрия нуждается в данных о клиентах финансовых организаций и о самих организациях для успешного использования в  схемах атак с  применением методов социальной инженерии. Списки клиентов с персональными данными – это самый популярный товар на криминальных ресурсах в течение последних полутора лет.


Основные каналы вывода денежных средств:

• Вывод через операторов электронных денежных средств системы (операторы ЭДС). Мошенники, вводя потерпевших в заблуждение, указывают номер виртуальной карты оператора ЭДС, после получения денежных средств выводят их на обменники с целью сокрытия следов дальнейшего движения денежных средств.
• Вывод на операторов сотовой связи. Мошенники осуществляют перевод денежных средств либо на баланс мобильного телефона с дальнейшим выводом денежных средств в сторону оператора ЭДС, либо указывают потерпевшему номер виртуальной карты, привязанной к счету мобильного телефона злоумышленника.
• Переводы с карты на карту. Используя сервисы перевода денежных средств, мошенники, предварительно получив данные карты потерпевшего, осуществляют перевод денежных средств на заранее подготовленную «дроп»-карту.
• Вывод на обменники (криптообменники). Одним из самых популярных выводов похищенных денежных средств является вывод на обменники, в том числе криптообменники. Обменники – сервисы, которые предоставляют возможность покупки/продажи валюты (криптовалюты), при которой сервис выступает в роли покупателя/продавца. Курс, по которому осуществляются обменные операции, выставляется непосредственно обменником. Как правило, курс на 5–10% выше рыночного. При этом отследить цепочку вывода денежных средств становится практически невозможно, так как переводы выполняются с разных счетов, заведенных в различных организациях кредитно-финансовой сферы.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326 327 328 329 330 331 332 333 334 335 336 337 338 339 340 341 342 343 344 345 346 347 348 349 350 351 352 353 354 355 356 357 358 359 360 361 362 363 364 365 366 367 368 369 370 371 372 373 374 375 376 377 378 379 380 381 382 383 384 385 386 387 388 389 390 391 392 393 394 395 396 397 398 399 400 401 402 403 404 405 406 407 408 409 410 411 412 413 414 415 416 417 418 419 420 421 422 423 424 425 426 427 428 429 430 431 432 433 434 435 436 437 438 439 440 441 442 443 444 445 446 447 448 449 450 451 452 453 454 455 456 457 458 459 460 461 462 463 464 465 466 467 468 469 470 471 472 473 474 475 476 477 478 479 480 481 482 483 484 485 486 487 488 489 490 491 492 493 494 495 496 497 498 499 500 501 502 503 504 505 506 507 508 509 510 511 512 513 514 515 516 517 518 519 520 521 522 523 524 525 526 527 528 529 530 531 532 533 534 535 536 537 538 539 540 541 542 543 544 545 546 547 548 549 550 551 552 553 554 555 556 557 558 559 560 561 562 563 564 565 566 567 568 569 570 571 572 573 574 575 576 577