#news Браузер DuckDuckGo отсылает информацию с трекеров Microsoft по соглашению между компаниями.
Разработчики так называемого приватного браузера признали, что не блокируют трекеры Мелкософта, после того как это обнаружил безопасник. А они, к слову, пишут айпишники и данные User-agent пользователей. На поднявшуюся шумиху компания заявила, что постарается это исправить, внесёт ясность в пользовательское соглашение, да и вообще анонимность-то они никогда не обещали.
Вот тебе и защита от компаний, собирающих и продающих данные. Все корпорации равны, но некоторые равнее — трекеры от Гугла и Фейсбука браузер блокирует. Но как верно подмечает продажная утка в своих же рекламных агитках: «Слежка есть слежка».
@tomhunter
Разработчики так называемого приватного браузера признали, что не блокируют трекеры Мелкософта, после того как это обнаружил безопасник. А они, к слову, пишут айпишники и данные User-agent пользователей. На поднявшуюся шумиху компания заявила, что постарается это исправить, внесёт ясность в пользовательское соглашение, да и вообще анонимность-то они никогда не обещали.
Вот тебе и защита от компаний, собирающих и продающих данные. Все корпорации равны, но некоторые равнее — трекеры от Гугла и Фейсбука браузер блокирует. Но как верно подмечает продажная утка в своих же рекламных агитках: «Слежка есть слежка».
@tomhunter
💩19🤬6😁4
#news По подменённым библиотекам на PHP и Python появилось обновление. Как и предполагали, это был белошляпочник, упражняющийся в поиске уязвимостей.
Он вышел на связь и утверждает, что дурных намерений у него якобы не было, а кражу AWS-ключей в зловред вписал, чтобы показать возможный ущерб от атаки. Репозиторий модуля ctx хакер угнал, выкупив к нему истёкший почтовый домен с индивидуальным адресом. А нашёл его с помощью бота, который парсил ящики для репозиториев.
Исследователь также заявил, что его отчёт по эксплойту на HackerOne закрыли как уже известный. Сам же он ещё и залёг на дно, как только поднялась шумиха. Такой вот не очень этичный хакинг с сомнительным душком.
@tomhunter
Он вышел на связь и утверждает, что дурных намерений у него якобы не было, а кражу AWS-ключей в зловред вписал, чтобы показать возможный ущерб от атаки. Репозиторий модуля ctx хакер угнал, выкупив к нему истёкший почтовый домен с индивидуальным адресом. А нашёл его с помощью бота, который парсил ящики для репозиториев.
Исследователь также заявил, что его отчёт по эксплойту на HackerOne закрыли как уже известный. Сам же он ещё и залёг на дно, как только поднялась шумиха. Такой вот не очень этичный хакинг с сомнительным душком.
@tomhunter
🤔9🤯3🔥1
#OSINT #METADATA Получаем метаданные из фотографий (различные параметры съемки и фотоаппарата):
├FBMD (Facebook metadata)
├Metapicz
├Metadata2go
├exif-viewer
├Exiftool
├Regex
├Exifdata
├Jimpl
└Pic2Map
@tomhunter
├FBMD (Facebook metadata)
├Metapicz
├Metadata2go
├exif-viewer
├Exiftool
├Regex
├Exifdata
├Jimpl
└Pic2Map
@tomhunter
❤8
#news Twitter, нагло и цинично, собрал данные о номерах телефонов и адресах электронной почты у боле чем 140 миллионов своих пользователей. Сбор данных соцсеть мотивировала необходимостью защиты учетных записей и прочими 2FA. Фактически, компания слила весь массив информации рекламодателям... Вывод прокуратуры США - штраф в 150 млн. USD и запрет вводить пользователей в заблуждение в будущем (вот тут было смешно).
Нечто похожее произошло и ранее, в 2018 году, когда Facebook создал сложные рекламные профили для всех своих пользователей. Позже Facebook использовала телефонные номера 2FA пользователей в качестве дополнительного вектора для показа целевой рекламы.
@tomhunter
Нечто похожее произошло и ранее, в 2018 году, когда Facebook создал сложные рекламные профили для всех своих пользователей. Позже Facebook использовала телефонные номера 2FA пользователей в качестве дополнительного вектора для показа целевой рекламы.
@tomhunter
💩5❤2😱2🤯1
#OSINT #SAFETY Сегодня будем учиться устанавливать приватную ОС TAILS — один из дистрибутивов Linux на основе Debian.
1️⃣ Перейдите на сайт Tails для выбора версии образа системы под компьютер с конкретной ОС
2️⃣ Ознакомьтесь с системными требованиями и инструкцией по установке
3️⃣ Скачайте образ системы на компьютер с помощью торрента или по HTTPS-протоколу
4️⃣ Перейдите на сайт Balena. Скачайте и установите на компьютер бесплатную утилиту Etcher
5️⃣ Запустите Etcher, вставьте USB-флешку (от 8Гб), нажмите на «Select image» и выберите загруженный образ
6️⃣ Запись файлов на USB-флешку займет 5-10 минут.
7️⃣ Войдите в BIOS. В разделе «FIRST BOOT DEVICE» установите приоритетную загрузку с USB
8️⃣ При запуске Tails Linux необходимо произвести первичную настройку OS (аккаунт администратора, язык и пр.)
9️⃣ Нажмите «Start Tails» и наслаждайтесь использованием анонимной ОС
⚠️ В целях безопасности, советуем дождаться выхода Tails 5.1. Это будет уже 31 мая.
@tomhunter
1️⃣ Перейдите на сайт Tails для выбора версии образа системы под компьютер с конкретной ОС
2️⃣ Ознакомьтесь с системными требованиями и инструкцией по установке
3️⃣ Скачайте образ системы на компьютер с помощью торрента или по HTTPS-протоколу
4️⃣ Перейдите на сайт Balena. Скачайте и установите на компьютер бесплатную утилиту Etcher
5️⃣ Запустите Etcher, вставьте USB-флешку (от 8Гб), нажмите на «Select image» и выберите загруженный образ
6️⃣ Запись файлов на USB-флешку займет 5-10 минут.
7️⃣ Войдите в BIOS. В разделе «FIRST BOOT DEVICE» установите приоритетную загрузку с USB
8️⃣ При запуске Tails Linux необходимо произвести первичную настройку OS (аккаунт администратора, язык и пр.)
9️⃣ Нажмите «Start Tails» и наслаждайтесь использованием анонимной ОС
⚠️ В целях безопасности, советуем дождаться выхода Tails 5.1. Это будет уже 31 мая.
@tomhunter
❤8😁3
#news К вопросу о том, почему с установкой Tails лучше не спешить. На недавнем хакерском соревновании Pwn2Own в джава-движке от Firefox обнаружили две критических уязвимости нулевого дня. Их уже поправили, но патч в дистрибутиве Tails появится только в следующей версии.
Уязвимости позволяют злоумышленникам украсть вводимые на других сайтах данные, если пользователь Tor-браузера посетит скомпрометированный. А в Tails весь сетевой трафик по дефолту идёт через торовскую сеть — дистрибутив рассчитан на журналистов, активистов и всех прочих, нуждающихся в анонимности. Впрочем, безопасно пользоваться им можно и сейчас, если отрубить JavaScript.
@tomhunter
Уязвимости позволяют злоумышленникам украсть вводимые на других сайтах данные, если пользователь Tor-браузера посетит скомпрометированный. А в Tails весь сетевой трафик по дефолту идёт через торовскую сеть — дистрибутив рассчитан на журналистов, активистов и всех прочих, нуждающихся в анонимности. Впрочем, безопасно пользоваться им можно и сейчас, если отрубить JavaScript.
@tomhunter
❤6🔥4
#news Интерпол арестовал предполагаемого лидера хакерской группировки SilverTerrier.
Подозреваемого задержали в Нигерии в результате операции правоохранительных органов и инфосек-компаний, в числе которых наша Group-IB. Их спецы следили за бандой африканских принцев с 2019-го года и предоставили данные, сыгравшие ключевую роль в аресте.
Группировка занималась фишингом и мошенничеством с электронной почтой, и их BEC-атаки — самая прибыльная киберпреступная стезя — скомпрометировали сотни тысяч ящиков по всему миру. Что ж, теперь писем счастья от нигерийского преступного барона будет порядком меньше.
@tomhunter
Подозреваемого задержали в Нигерии в результате операции правоохранительных органов и инфосек-компаний, в числе которых наша Group-IB. Их спецы следили за бандой африканских принцев с 2019-го года и предоставили данные, сыгравшие ключевую роль в аресте.
Группировка занималась фишингом и мошенничеством с электронной почтой, и их BEC-атаки — самая прибыльная киберпреступная стезя — скомпрометировали сотни тысяч ящиков по всему миру. Что ж, теперь писем счастья от нигерийского преступного барона будет порядком меньше.
@tomhunter
🔥9🤔1
#news Исследователи обнаружили 11 приложений для Android, собирающих конфиденциальную информацию с телефонов пользователей, включая данные копирования и вставки, номера телефонов и адреса электронной почты. Всякий раз, когда пользователь что-то копирует/вставляет, оно попадает в общий буфер обмена, который этот SDK просматривал и загружал на свои серверы. SDK принадлежат панамской фирме Measurement Systems, имеющей связи с оборонным подрядчиком в Вирджинии Vstrom Holdings, который занимается киберразведкой для правительственных агентств США.
@tomhunter
@tomhunter
🤯7😁2
#news В первых числах июня в Нижнем Новгороде пройдет конференция ЦИПР (Цифровая индустрия промышленной России). В рамках мероприятия от компании T.Hunter выступят эксперты департамента информационно-аналитических исследований Федор Ряузов и Саид Табаев по теме Цифровые жертвы: буллинг, харассмент и шантаж в сети.
Подробнее о мероприятии...
Подробнее о мероприятии...
❤5💩2
#news Google отключил кэширующие сервера двух российских провайдеров, МФТИ-Телеком и Радиосвязь.
Компании сообщили, что получили уведомления об этом только через пару дней после отключения. Связано оно, как водится, с санкциями. Это вряд ли скажется на работе наших сетей, так как у этих двух провайдеров небольшой охват. Но если вслед за ними отрубят и остальные…
Эти сервера облегчают нагрузку при прокачке контента от Гугла на 70-90 процентов. Речь, прежде всего, о YouTube. Их отключение серьёзно увеличит нагрузку на сети провайдеров, что в свою очередь приведёт к росту стоимости услуг. Кроме того, гугловская капча на российских сайтах может банально отвалиться.
@tomhunter
Компании сообщили, что получили уведомления об этом только через пару дней после отключения. Связано оно, как водится, с санкциями. Это вряд ли скажется на работе наших сетей, так как у этих двух провайдеров небольшой охват. Но если вслед за ними отрубят и остальные…
Эти сервера облегчают нагрузку при прокачке контента от Гугла на 70-90 процентов. Речь, прежде всего, о YouTube. Их отключение серьёзно увеличит нагрузку на сети провайдеров, что в свою очередь приведёт к росту стоимости услуг. Кроме того, гугловская капча на российских сайтах может банально отвалиться.
@tomhunter
😢11❤8😁3🤔2🔥1
#news Вышел ежегодный DBIR-отчёт по инфобезопасности (Data Breach Investigations Report). В принципе, за пятнадцать лет с его первой публикации мало что изменилось.
Разве что рансомварь сейчас правит бал во взломах, составляя 70% вредоноса в атаках, число которых резко выросло за прошлый год. Примечателен он и атаками через цепочку поставок — их всё больше, и весь 2021-й компаниям ещё не раз аукался нашумевший взлом SolarWinds.
А основной уязвимостью всё так же является человеческий фактор — в целом ему можно приписать 82% взломов, будь то жертвы фишинговых атак, украденные данные доступа или просто ошибки на местах. Так что обучение сотрудников инфосеку всё так же критично. Подробнее об инфосек-событиях прошлого года по ссылке.
@tomhunter
Разве что рансомварь сейчас правит бал во взломах, составляя 70% вредоноса в атаках, число которых резко выросло за прошлый год. Примечателен он и атаками через цепочку поставок — их всё больше, и весь 2021-й компаниям ещё не раз аукался нашумевший взлом SolarWinds.
А основной уязвимостью всё так же является человеческий фактор — в целом ему можно приписать 82% взломов, будь то жертвы фишинговых атак, украденные данные доступа или просто ошибки на местах. Так что обучение сотрудников инфосеку всё так же критично. Подробнее об инфосек-событиях прошлого года по ссылке.
@tomhunter
🔥8
#OSINT #DEEPFAKE Дипфейк — реалистичная подмена фото-, аудио- и видеоматериалов, созданная с помощью нейросетей. Какие есть сервисы для обнаружения дипфеков? Читаем далее:
├deepfake-detection
├Fake Profile Detector
├DFSpot-Deepfake-Recognition
├KaiCatch
├RealAI
├deepware
├Weishi
└DFSpot-Deepfake-Recognition
@tomhunter
├deepfake-detection
├Fake Profile Detector
├DFSpot-Deepfake-Recognition
├KaiCatch
├RealAI
├deepware
├Weishi
└DFSpot-Deepfake-Recognition
@tomhunter
🔥5😁1
#news Касперский рапортует о взрывном росте числа мобильных троянов. Их стали обнаруживать в два раза чаще в сравнении с тем же периодом за прошлый год.
Пока простенькая малварь уходит с киберпреступной сцены, в ход идут продвинутые приблуды. Банковские трояны стали доступнее и дешевле, а ещё малварь чаще продвигают через официальные магазины. Там, пожалуй, самое гнусное — это мошенники, обкрадывающие людей под видом приложений для оформления льгот и выплат.
А в Индии, Бразилии и Мексике коллекторы выходят на новый уровень. Приложения для микрозаймов запрашивают доступ к контактам, смс и фото, а при просрочке это всё используют для шантажа и так вплоть до блокировки телефона. Ну, лишь бы у нас этот тренд не прижился. С нашей-то коллекторской, кхм, этикой.
@tomhunter
Пока простенькая малварь уходит с киберпреступной сцены, в ход идут продвинутые приблуды. Банковские трояны стали доступнее и дешевле, а ещё малварь чаще продвигают через официальные магазины. Там, пожалуй, самое гнусное — это мошенники, обкрадывающие людей под видом приложений для оформления льгот и выплат.
А в Индии, Бразилии и Мексике коллекторы выходят на новый уровень. Приложения для микрозаймов запрашивают доступ к контактам, смс и фото, а при просрочке это всё используют для шантажа и так вплоть до блокировки телефона. Ну, лишь бы у нас этот тренд не прижился. С нашей-то коллекторской, кхм, этикой.
@tomhunter
🔥13😱3
#news Ни дня без сливов от «Яндекс.Еды». Теперь в сети огромные базы как их курьеров, так и конкурентов в зелёненьком. Имена, телефоны, почтовые ящики больше полумиллиона человек. Пароли только хешированы, и то добро.
Компания, как обычно, в стадии отрицания: новых сливов якобы не было, и это данные, утянутые ещё в феврале, да и вообще они от деактивированного приложения. Пользователи гневаются и язвят. Обнаружившие утечки спецы из DLBI торгуются — актуальность данных ещё нужно проверять. У надеющихся на суд депрессия — им отсыпят очередной символический штраф и извинений поглубже.
И только матёрые безопасники давно в стадии принятия. Да, все ваши системы — дырявое решето, а ваш сотрудник продал нам базу клиентов за пару сотен баксов. Не хотите немного пентеста по сходной цене? Так и живём.
@tomhunter
Компания, как обычно, в стадии отрицания: новых сливов якобы не было, и это данные, утянутые ещё в феврале, да и вообще они от деактивированного приложения. Пользователи гневаются и язвят. Обнаружившие утечки спецы из DLBI торгуются — актуальность данных ещё нужно проверять. У надеющихся на суд депрессия — им отсыпят очередной символический штраф и извинений поглубже.
И только матёрые безопасники давно в стадии принятия. Да, все ваши системы — дырявое решето, а ваш сотрудник продал нам базу клиентов за пару сотен баксов. Не хотите немного пентеста по сходной цене? Так и живём.
@tomhunter
😁12🔥3
#news Новая уязвимость нулевого дня в Microsoft Office не требует включённых макросов для эксплойта.
Критическая уязвимость CVE-2022-30190, названная Follina, позволяет подтянуть зловред и выполнять Powershell-команды с помощью MSDT при открытии файла. Для этой атаки на загрузку вредоносного шаблона не нужны ни макросы, ни повышенные привилегии. Нет толку и от Windows Defender’a. Более того, RTF-файл даже запускать не надо: достаточно просто выбрать его, если включена панель превью. Под угрозой все версии MS, начиная с 2013.
Самое занятное, Мелкософту об уязвимости сообщили ещё в апреле, но тикет закрыли, так как компания воспроизвести её не смогла. Ну, зато теперь смогут злоумышленники. Запоздалый патч уже обещан, а пока вордовские файлы в почте даже курсором гладить не стоит.
@tomhunter
Критическая уязвимость CVE-2022-30190, названная Follina, позволяет подтянуть зловред и выполнять Powershell-команды с помощью MSDT при открытии файла. Для этой атаки на загрузку вредоносного шаблона не нужны ни макросы, ни повышенные привилегии. Нет толку и от Windows Defender’a. Более того, RTF-файл даже запускать не надо: достаточно просто выбрать его, если включена панель превью. Под угрозой все версии MS, начиная с 2013.
Самое занятное, Мелкософту об уязвимости сообщили ещё в апреле, но тикет закрыли, так как компания воспроизвести её не смогла. Ну, зато теперь смогут злоумышленники. Запоздалый патч уже обещан, а пока вордовские файлы в почте даже курсором гладить не стоит.
@tomhunter
🔥15😱4
#news Гугл втихаря запретил использовать вычислительные мощности своего Colab’a для создания дипфейков.
На этом облачном сервисе для работы с Python-кодом теперь не сделать ни обещающего крипту Маска, ни видео с бывшей подружкой. За счёт многоядерных процессоров Colab ещё недавно отлично подходил для натаскивания машинного интеллекта под дипфейки. Теперь же они на сервисе в одном ряду с майнингом крипты, взлом паролей, торрентами и прочей крамолой.
На фоне мошеннических схем и использования дипфейков в инфовойнах, новость неплохая. Алармисты-то и вовсе грозят, что через несколько лет они совсем поломают реальность и доверие в обществе. Ну, теперь с серверов Гугла дипфейки если и будут, то только одобренные сверху! Что может пойти не так…
@tomhunter
На этом облачном сервисе для работы с Python-кодом теперь не сделать ни обещающего крипту Маска, ни видео с бывшей подружкой. За счёт многоядерных процессоров Colab ещё недавно отлично подходил для натаскивания машинного интеллекта под дипфейки. Теперь же они на сервисе в одном ряду с майнингом крипты, взлом паролей, торрентами и прочей крамолой.
На фоне мошеннических схем и использования дипфейков в инфовойнах, новость неплохая. Алармисты-то и вовсе грозят, что через несколько лет они совсем поломают реальность и доверие в обществе. Ну, теперь с серверов Гугла дипфейки если и будут, то только одобренные сверху! Что может пойти не так…
@tomhunter
🔥4😁3🤯1😱1💩1
#news Беды Коста-Рики на киберфронтах не закончились после атаки Conti. Сначала ЧП после их проделок, а теперь оффлайн ушла и вся компьютерная сеть системы здравоохранения. За взломом стоят злоумышленники из Hive.
Масштабы атаки пока неизвестны, она произошла только вчера — утром все принтеры в сети начали разом печатать«All your base are belong to us» случайный набор ASCII-символов. Компьютеры отключили от сети и пытаются восстановить системы.
Скорее всего, за взлом ответственны хакеры из Conti, влившиеся в Hive. Спецы из AdvIntel считают, что две группировки сотрудничают уже больше полгода. Те же люди, те же методы минус поднявшаяся вокруг Conti шумиха. Как там было у Дика? Империя никогда не исчезала. В этом случае просто сменила вывеску.
@tomhunter
Масштабы атаки пока неизвестны, она произошла только вчера — утром все принтеры в сети начали разом печатать
Скорее всего, за взлом ответственны хакеры из Conti, влившиеся в Hive. Спецы из AdvIntel считают, что две группировки сотрудничают уже больше полгода. Те же люди, те же методы минус поднявшаяся вокруг Conti шумиха. Как там было у Дика? Империя никогда не исчезала. В этом случае просто сменила вывеску.
@tomhunter
🔥6😢1
#news Тем временем рансомварь-методы эволюционируют и требуют на порядок меньше времени: в 2019-м году от доступа к системе до шифровки уходили 1637 часов, в 2020-м — уже всего 230. А в 2021-м злоумышленники справлялись в среднем за 92.5 часа.
Сомнительная пальма первенства принадлежит зловреду Quantum: в апреле этого года фиксировали атаки, занимавшие меньше четырёх часов. Против таких стремительных налётов рансомварь-пиратов защититься непросто. Методы противостояния им тоже совершенствуют, но пока в них есть серьёзные пробелы.
Спецы также отмечают, что торговцы доступом к взломанным сетям и рансомварщики стали сотрудничать плотнее: раньше покупателя могли искать неделями, а теперь мы имеем дело с часом на всё про всё. Эффективный тайм-менеджмент от мира киберпреступности! Подробнее с графиками по ссылке.
@tomhunter
Сомнительная пальма первенства принадлежит зловреду Quantum: в апреле этого года фиксировали атаки, занимавшие меньше четырёх часов. Против таких стремительных налётов рансомварь-пиратов защититься непросто. Методы противостояния им тоже совершенствуют, но пока в них есть серьёзные пробелы.
Спецы также отмечают, что торговцы доступом к взломанным сетям и рансомварщики стали сотрудничать плотнее: раньше покупателя могли искать неделями, а теперь мы имеем дело с часом на всё про всё. Эффективный тайм-менеджмент от мира киберпреступности! Подробнее с графиками по ссылке.
@tomhunter
🔥7
#news И вновь ни дня без сливов данных в России. В открытом доступе обнаружена база клиентов образовательной платформы Geekbrains.
Имена, адреса почты, телефоны — в базе 6 миллионов строк. В компании не стали отрицать утечку и сообщили, что проводят внутреннее расследование. Банковские данные якобы не затронуты.
Что ж, на курсы по информационной безопасности к ним можно не ходить. А в освободившееся время поразмыслить над трендом сезона — хитрой многоходовочкой по массовому сливу данных. В преддверии грядущего-то ужесточения закона об утечках, грозящего штрафом от оборота.
@tomhunter
Имена, адреса почты, телефоны — в базе 6 миллионов строк. В компании не стали отрицать утечку и сообщили, что проводят внутреннее расследование. Банковские данные якобы не затронуты.
Что ж, на курсы по информационной безопасности к ним можно не ходить. А в освободившееся время поразмыслить над трендом сезона — хитрой многоходовочкой по массовому сливу данных. В преддверии грядущего-то ужесточения закона об утечках, грозящего штрафом от оборота.
@tomhunter
😁10🔥7
Май 2022-го года подошёл к концу, так что по сложившейся традиции взглянем на самые интересные уязвимости за ушедший месяц. Серьёзные уязвимости в фреймворках Laravel и Spring Security, без малого полдюжины критических уязвимостей, выбивших почти десяточку по шкале CVSS 3.1, и многое другое. За подробностями добро пожаловать на наш Хабр!
❤4🔥2
#news Злоумышленники могут с лёгкостью угонять аккаунты WhatsApp с помощью переадресации звонков.
Немного социальной инженерии, звонок пользователя по MMI-коду, и последующие звонки на его телефон переадресуют на указанный номер. Дальше злоумышленнику достаточно лишь получить голосовое с кодом на перерегистрацию WhatsApp, и у него будет полный доступ к контактам и сообщениям жертвы.
Всё это сработает далеко не всегда: здесь и социнженерия, и уведомление о настройке переадресации, и смс от WhatsApp. Тем не менее, метод рабочий. Лучшей защитой здесь будет двухфакторная аутентификация. Если почему-то ещё вдруг не озаботились, вот отличный повод настроить её вообще везде.
@tomhunter
Немного социальной инженерии, звонок пользователя по MMI-коду, и последующие звонки на его телефон переадресуют на указанный номер. Дальше злоумышленнику достаточно лишь получить голосовое с кодом на перерегистрацию WhatsApp, и у него будет полный доступ к контактам и сообщениям жертвы.
Всё это сработает далеко не всегда: здесь и социнженерия, и уведомление о настройке переадресации, и смс от WhatsApp. Тем не менее, метод рабочий. Лучшей защитой здесь будет двухфакторная аутентификация. Если почему-то ещё вдруг не озаботились, вот отличный повод настроить её вообще везде.
@tomhunter
🤯6😱2🤬1