Еще один случай "поджигающего" мошенничества.

И снова знакомый скрипт — сначала "развести" на деньги, потом предложить возврат за конкретное действие на камеру. И мы уверены, что мошенники обмениваются опытом и обмениваются "лучшими практиками", и еще конкурируют между собой. Такой вот печальный эталон "социальной инженерии".

Так что снова напоминаем, в любой непонятной ситуации — бросайте трубку.

3side сториз

Привет! Мы тут долго думали о том, нужны ли нам сториз и о том, как их использовать. Мы посмотрели на опыт многих каналов и поняли, что зачастую они ими просто по настоящему не пользуются.Что мы точно не хотим и не будем делать — это постить туда мемы. Весело, забавно, но это корпканал, и он не про это.

Мы хотели бы спросить подписчиков, если бы у нас были сториз, хотели ли вы видеть там наиболее любопытные по нашему мнению новости по кибербезопасности? Формат: скриншот заголовка + ссылка в описании на саму новость. Спамить ими не будем, как не спамим постами, не наш формат.

А опроса не будет, если хотите и у вас есть премиум просто голосуйте за нас по ссылке!

https://news.1rj.ru/str/By3side?boost

BrainSploit. Эксплойты социальной инженерии.

Конференции по информационной безопасности не очень любят доклады по социальной инженерии. Особенно если доклад про социальную составляющую, а не про новый вид вредоносной нагрузки.

А вот крупнейшая IT конференция заинтересовалась! Поэтому именно на Highload 2023 27-28 ноября я и расскажу доклад на стыке ИБ, психологии и немного нейрофизиологии. О том, как именно работают эксплойты для нашего мозга. Почему таким образом "взломать" можно любого из нас, как защищаться и как атакуют опытные злоумышленники из мошеннических колл-центров. Обязательно разберем их скрипты, мои скрипты, опробованные в легальных проектах, и другие показательные примеры!

Кто будет на конференции - приходите, подобное еще никто не рассказывал.

Про блокировки клиентов VPN-провайдеров

Судя по всему, с помощью нового закона Роскомнадзор пытается заблокировать клиенты приложений VPN провайдеров, которые нужны для подключения зарубеж, а не условные клиенты OpenVPN/Wireguard и прочие, которые позволяют подключаться к любым серверам по стандартным протоколам.

По-сути, происходит планомерная попытка запретить существующие способы обхода блокировок. В первый раз она была, мягко говоря, неудачной – сейчас к вопросы пытаются подойти более грамотно.

Те, кто живет в СпБ, в Екатеринбурге и некоторых других городах уже заметили, что у некоторых интернет-провайдеров ВСЕ стандартные VPN-протоколы перестали работать в случае, если трафик уходит за пределы рунета.

Внутри России же всё работает, в принципе, как оно и должно, ведь VPN нужен бизнесу. Поэтому можно сделать вывод, что в ближайшее время Ростелеком и другие провайдеры полноценно заблокируют возможность подключения по стандартным VPN протоколам зарубеж. Более хитрые способы подключения, очевидно, еще будут работать какое-то время, возможно даже достаточно долго или всегда. Но массового распространения они, вероятно, не получат, ведь для этого стандартного клиента недостаточно и нужно запускать собственное приложение.

Именно для борьбы с приложениями VPN провайдеров Роскомнадзору и нужен этот закон, который требует от Apple и Google удаление приложений из магазинов. Без подобных приложений у большинства пользователей России не будет возможности обойти блокировки.

Но что могут сделать VPN провайдеры? То же самое, что и санкционные банки России делают прямо сейчас. Выпускать новые приложения с мутными названиями аля «СБОЛ» или «Деньги» и быстро оповещать пользователей, чтоб успели скачать до удаления из маркета. Как видим тактика хорошо работает для банков, значит сработает и тут. А значит РКН придется придумать что-то еще, противостояние продолжается!

DirtyNIB — Apple не исправили 0-day за 2 года.

Тут один исследователь рассказал офигенную историю. Если коротко: он обнаружил, что в пакетах приложений в macOS можно подменить NIB-файлы, и они выполнятся в обход существующих методов защиты!

Впервые он сообщил об этой проблеме в Apple еще в ноябре 2021 года. После обмена МНОГИМИ электронными письмами он получил несколько подтверждений того, что проблема будет исправлена. Но за два года все попытки как-то исправить уязвимость были лишь косметическими, она до сих пор работает с минимальным изменением способа эксплуатации и пережила выход аж двух новых версий MacOS (Ventura, Sonoma)!

В итоге исследователь решил, что выполнил все правила ответственного раскрытия и опубликовал новость в своем блоге. Таким образом он надеется повлиять на Apple и поспособствовать скорейшему закрытию уязвимости.

Крайне осуждаем Apple за это!

Хактивизм и кнопка «нарушить закон»

Иногда достаточно осмысленно нажать одну единственную кнопку, чтобы нарушить закон и с определенной вероятностью за это сесть в тюрьму. Но давайте по порядку.

Хактивизм - использование незаконными способами компьютеров и компьютерных сетей для продвижения каких-либо идей. Способ известный еще с 2010ых со времен первых хактивистких атак от Anonymous и именно тогда за участие в хактивизме свободы лишились подростки/домохозяйки и прочие сочувствующие, которые не имея никаких специальных знаний поучаствовали в DDoS атаках.

Как они это сделали? С помощью ПО LOIC (Low Orbit Ion Cannon), которое требовалось лишь скачать, вбить адрес цели, который предоставляли Anonymous и нажать кнопку "GHARGING MY LASER". Все, компьютер начал участвовать в атаке генерируя запросы к серверу-жертве. Участие в атаке, умысел больше и не нужно ничего, чтобы за это осудить, что и было сделано.

Ну а что сейчас? В 2023 году LOIC регулярно распространяют с теми же самыми целями, и в виде отдельного ПО, и в виде web-версии. Например, есть такой сайт, запущенный буквально позавчера fuck-hamas[.]com для атак из браузера на сайты СМИ ХАМАС. Пока кнопка нажата, и вкладка браузера открыта, браузер участвует в атаке и подставляет владельца. Правда эффективность за более чем 10 лет у LOIC сильно снизилась, современные системы очистки трафика довольно просто отсекают подобное, но если сделать упор на массовость какие-то ресурсы уложить можно.

Не стоит думать, что участников много и вас просто не заметят. Какие бы цели не декларировались, не стоит нарушать закон.
#3side_безполитики

С NetNTLM на Kerberos за 23 года?

Уязвимости и недостатки сетевого протокола NTLM (NT LAN Manager) были известны Майкрософт и всем исследователям с момента его появления в 1990 году. А более защищенный и современный протокол аутентификации Kerberos стал протоколом по умолчанию в Windows с 2000 года. Но что мы видим до сих пор? Сетевые атаки на все еще использующийся NTLM, все еще в топе у злоумышленников и пентестеров, потому что они эффективны и работают практически везде. Протокол работает в сетях "на всякий случай" и для поддержки ПО, которое старше автора данного поста.

Теперь же Майкрософт предлагает окончательно отправить устаревший протокол на свалку истории, а Kerberos дополнительно усилить. Интересно, сколько он еще проживет в сетях компаний с той же формулировкой "на всякий случай" или "чтоб точно все работало"?

Вечность.

Не надо изобретать способы взлома — про СМИ и фишинг

Тут одно крупное СМИ написало пост про взломы тг-каналов. К сожалению, специалисты в ИБ несколько удивлены формулировками в нем, а реальная ситуация там иная. Произошедшее скорее всего стало результатом классической проблемы — фишинга. Пишут, что "схема взлома несложная", но в действительности ее никто в мире до сих пор не смог реализовать. Для этого нужна 0day уязвимость в телеграмме или современных браузерах, стоимостью ну так около 1 миллиона долларов. И атаковать с ее помощью локальные ТГ-каналы просто нерационально.

А что же было на самом деле?
В даты взлома одному из администраторов новостного канала дружественного редакции 3side пришла классическая фишинговая ссылка под предлогом закупки рекламы. Ссылка выглядела следующим образом "https://tgstat[.]name/channel/XXX" c подставленным именем канала. Сайт по ссылке мимикрировал под известный агрегатор статистики и провоцировала жертву "залогиниться через Телеграм", после чего и доступ к каналу появлялся у злоумышленников. Администратор на фишинг не купился, а отправил ссылку нам на изучение.

Все просто, банальный фишинг, а не выдуманная 1-click уяeзвимость. Скорее всего, подобную схему, только под иным предлогом и с другой маскировкой использовали и в массовом взломе. Ничего нового.

Мы еще раз призываем всех журналистов, делающих хорошую и серьезную работу (а мы знаем, что нас читают в совершенно разных СМИ), в подобных ситуациях обращаться к индустрии. Дело касается не только ИБ, а практически любой области. Мы прекрасно понимаем, что нельзя быть специалистом во всем — но только коммуникации с профессионалами в любой сфере помогут сделать действительно качественный и интересный материал.

А заодно и количество подобных инцидентов помогут сократить.

UPD. Коллеги уточняют, что возможно использовался и второй вектор с вредоносным самораспаковывающимся архивом. Но и тут, архив нужно скачать и запустить распаковку, никакого 1-click по ссылке.

Атака на цепочку поставок

В дополнение к нашему прошлому посту. Как нам подсказал наш подписчик, к основному успеху злоумышленники, взломавшие множество ТГ каналов, пришли вовсе не через фишинг. Взломанные каналы пользовались сервисом отложенного постинга и автосообщений SmmBox.

Злоумышленники обнаружили в сервисе уязвимость, которая позволяла подобрать токен к странице настройки канала. Где в свою очередь отображался токен для управления ТГ канала! Да, без маскирования. Таким образом был осуществлен перебор множества токенов и были получены доступы ко множеству клиентов SmmBox. Особо стоит отметить, что токены хранились и у не активных клиентов.

Сервис признал свои ошибки, выпустил пресс-релиз и работает над их устранением! Это несмотря на то, что компания достаточно маленькая. Пример множеству компаний, которые все отрицают и ничего не делают для оповещения атакованных клиентов.

Видимо, именно после взлома SmmBox остальные векторы атак (фишинг, вредоносный архив) стали не актуальны и их свернули.

Администраторам каналов - будьте внимательны к своим контрагентам, которым вы выдаёте доступы.
Владельцам ботов - вы ответственны за данные ваших клиентов и доступы к их каналам, поэтому вам придется заниматься безопасностью.

За информацию спасибо подписчику и его каналу.

"Окажите содействие товарищу майору!"

Новый скрипт от мошеннических колл-центров набирает обороты. Теперь уже звонят по компаниям/госструктурам/организациям, но не сразу. Сначала на телефон сотрудника в одном из мессенджеров приходит сообщение от контакта с фотографией его руководителя и с ФИО его руководителя. Конечно же, диалог будет пустой, ведь это не настоящий аккаунт, а ново созданный фейк. Фото взято из открытых источников, ФИО тоже, а рассылка идет по всем сотрудникам. Зачастую даже не разбираются чем именно сотрудник занимается, писали и тем, кто работает в отделе кибербеза.

В диалоге "руководитель" краток и пишет, что дело крайне срочное, под угрозой вся компания и сейчас с сотрудником свяжется представитель ФСБ/МВД/СК и товарищу майору Петрову/Иванову/Кузнецову обязательно нужно оказать всяческое содействие! Не успеет жертва прочитать сообщение, как "майор" уже звонит, и продолжает запугивать, не давая времени на то, чтобы проверить диалог и обдумать, а что вообще происходит?

Обычно "майор" пугает уголовной ответственностью для сотрудников компании, говорит о каких-то переводах денег на Украину через фирму и прочий страшный бред.
Ну, а дальше классический финансовый сценарий, нужно "защитить" деньги отправив их на специальный (мошеннический) счет, снизить кредитный потенциал набрав еще и кредитов, и прочее, прочее, прочее.

Попытки таких атак уже были во множестве госструктур и крупных компаний, например, буквально вчера об этом рассказал директор по безопасности Redmond Иван Бируля, на нашем общем эфире, посвященном социальной инженерии. Их атаковали, но неудачно. Также редакция канала слышала и об атаках на государственные структуры. Наше дело предупредить, в целом схема та же, но чуть больше первоначальной разведки, и чуть иное начало.

Главное - в любой непонятной ситуации все также Бросайте трубку!

Jabber.ru (xmpp.ru) скомпрометирован без взлома серверов.

Вчера появилось сообщение администратора сервиса jabber.ru об успешной MitM-атаке. Атака продолжалась как минимум 90 дней, а возможно и 6 месяцев и проводилась при полном сотрудничестве двух немецких провайдеров Hetzner и Linode. Поэтому скорее всего была санкционирована силовыми структурами Германии.

Как была выполнена атака? Имея доступ к инфраструктуре хостинг провайдера осуществить саму MitM-атаку, проксируя все соединения, не составляет труда, однако для этого было необходимо выпустить валидный для пользователей сертификат. Что и было выполнено атакующими, сертификат был запрошен в Let's Encrypt, а подтверждение владения доменом было показано через перехват и модификацию трафика. Именно в момент выпуска сертификатов на два домена на сервере произошло кратковременное отключение сети.

Как ее заметили? Заметить ее можно было по несоответствию центра сертификации или же с помощью сервисов мониторинга сертификатов (Certificate Transparency). Но случилось забавнее, атакующие забыли продлить свой подменный сертификат, он протух и у пользователей появились соответствующие сообщения, началось разбирательство и подмена была обнаружена.

А взлом сервера? Исключен, провели аудит, этого атакующим было не нужно.

Итог. И даже такую атаку возможно было заметить сразу, если мониторить выпуск сертификатов. Ее можно было значительно усложнить, разнеся инфраструктуру по различным провайдерам. А если вы пользовались Jabber с 18 апреля по текущий день, то просто считайте все сообщения там скомпрометированными!

Иллюзия нашей неуязвимости

Кто предупрежден, тот защищен - не про социальную инженерию. Любой из нас, включая меня - автора этих строк может повестись на схему мошенников. МОжно даже повестись на скрип, который ты знаешь и сам разбирал, вопрос в том, что для этого нужно?

Нужно подходящее состояние жертвы, мы уже много раз про это писали, особенно в старой статье про правило 7%. Состояние грусти/эйфории, стресса, снижают критическое мышление. И специалисты Центробанка, переводят мошенникам, назвавшимися их коллегами, деньги! И специалисты по кибербезу переводят, вот свежий пример.

51-летний преподаватель по кибербезопасности из одного из технических университетов Кемерова попался на удочку мошеннического колл-центра. Его заставили перевести все деньги, которые у него были. А дальше, чтобы "снизить кредитный потенциал, для защиты от того, что мошенники от вашего лица наберут кредиты", заставили продать машину и самому взять несколько займов в различных банках! Полная сумма ущерба около 4 миллионов рублей.

Поэтому, коллеги, помните, что даже мы уязвимы, все мы люди. Any system is vulnerable.

Жареный петух клюнул!

Написано исключительно по личному и не очень позитивному опыту пентестов по стандарту PCI DSS, специально для ПЛАС.

https://plusworld.ru/articles/57398/

Скоро год — полет нормальный

Нас тут спрашивают, как вообще идут дела у 3side. Отвечаем — все в порядке. Для стартапа в супер-консервативной индустрии, все очень неплохо.

Заказчики есть — и это самое главное. Причем очень разные, из разных индустрий, с очень разными задачами, часто нестандартными. И далеко не только пентесты, что особенно радует. Из любопытного — мы недавно выяснили, что далеко не все наши подписчики понимают нашу схему работы и то, что мы можем, но скоро мы это исправим.

Построение продаж пока в процессе, но для нас это очень долгий процесс. Как только решим проблему устойчивой лидогенерации, то можно будет сказать, что первый этап успешно завершен. Но мы над этим очень активно работаем, и некоторые договоренности уже на достаточно поздней стадии. Опять же мы рады, что есть люди, которые очень хорошо поняли, что мы можем им дать.

Инвестора пока нет, но возможно это и к лучшему. Тем более, что проблему с инвестициями мы смогли решить достаточно нестандартным, но чуть более чем устраивающим нас способом. Значит, дальше будет еще больше возможностей.

Главным открытием для нас стала роль социальных связей, причем как в ИБ-сообществе, так и за его пределами. Нет, мы четко понимали их важность, но даже близко не могли представить, какие из них и как выстрелят. Далеко не все мы еще использовали, но тут все впереди. И мы рады, что они хороши и полезны для обеих сторон.

В общем, такие дела. Все неплохо — а будет еще лучше!

Через неделю мы презентуем исследование на Цифротехе

Всем привет! Через неделю, 10 ноября, на питерском Цифротехе мы будем презентовать совместное с АСИ исследование защищенности МСП от киберугроз. Это будет первое подобное исследование в России, так что должно получиться любопытно.

Панель называется "Кибербезопасность малого и среднего бизнеса: Глобальные и национальные риски. Практические решения", будет проходить 10 ноября с 12 до 14 часов. Так что если кому-то интересного, можете увидеть нас там)

Ключи у всех на виду

Классический защищенный способ подключения - это SSH ключи.
С помощью них удобно и подключаться к серверам и код на GitHub отправлять.
Ключей два приватный и публичный, но все ли понимают, что публичный ключ действительно ПУБЛИЧНЫЙ. То есть доступный всем окружающим?

Именно этим вопросом задался автор статьи, перевод которой и был выложен на Habr.
Кратко ее резюме такого:
- Использовать один ключ на нескольких сервисах небезопасно с точки зрения анонимности.
- Публичный ключ всегда стоит считать известным всему интернету, GitHub их легко отдает.
- К серверу можно подключиться с помощью публичного ключа, доступа это не даст, но по ответу будет понятно, эта связка авторизована или нет.

В результате можно собрать все публичные ключи Интернета и организовать массовый перебор, чтобы определить какие пользователи имеют доступ к каким серверам.
Противодействие простое, не ленитесь генерировать разные ключи под различные задачи, особенно если вам важна приватность.

Завтра презентуем наше с АСИ исследование на Цифротехе!
Наша секция "Кибербезопасность малого и среднего предпринимательства"

Велком!

Какие ваши доказательства?

Тут некоторые каналы в который раз пишут, о закрытых уязвимостях Битрикса и в очередной раз объявляют CMS виновной в том, что якобы через нее ломали компании.

При этом ломали компании не маленькие, и расследования там проводились, но все еще НИКТО из расследователей не привел ни одного доказательства, что хоть в каком-то случае взлом был осуществлен через Битрикс. Даже заявлений от тех, кто проводил расследования не было.

Вопрос, а доказательства эксплуатации Битрикса будут? И почему ломали только некоторых пользователей CMS?

Иначе я также голословно могу сказать, что во всех компаниях использовался Linux, значит он "главный герой утечек"!

Встреча DEFCON Russia на площадке Samokat.tech

Подписчики из Санкт-Петербурга, приходите в эту пятницу 17 ноября на бесплатный ивент DEFCON Russia в офис Samokat.tech. Помимо трех технических докладов по кибербезопасности от коллег, я проведу оффлайн-дискуссию о психологии в социальной инженерии.
Поговорим в формате диалога о том:
- Как составлять сценарии и скрипты для звонков?
- Как прогнозировать эффективность сценариев?
- На какие механизмы человеческой психики опираться при их составлении?
- Какие состояния и факторы влияют на восприимчивость?
- Как обходить триггеры жертвы?
- Как защищаться от подобного вам и вашим коллегам?

Организаторы говорили что-то о пицце и напитках на афтепати😉
Регистрируйтесь, пока еще есть места!