#news Произральские хактивисты взломали Nobitex, крупнейшую криптобиржу Ирана, и стянули больше $90 миллионов. Хакеры получили доступ к горячему кошельку биржи, а также обещают слить исходники и внутренние данные.
Украденными средствами распорядились оригинально: их отправили на vanity-адреса с нецензурными посланиями в адрес КСИР в названии. Сгенерировать их с рабочими приватными ключами нереально, и $90 миллионов в сущности просто сожгли. Так что дело не в деньгах — главное, чтобы дошёл смысл послания. В принципе, взломом биржи в 2025-м мало кого удивишь, а вот инфоповод от красиво горящих криптомонеток разлетится по сети погромче — логика прослеживается. Кроме того, как и полагается порядочной бирже в подсанкционной стране, через Nobitex шли шальные деньги с рансомвари и сопутствующего. Так что помимо политического месседжа получился и удар по иранской киберпреступности. В общем, борьба с гидрой сионизма не задалась по всем фронтам.
@tomhunter
Украденными средствами распорядились оригинально: их отправили на vanity-адреса с нецензурными посланиями в адрес КСИР в названии. Сгенерировать их с рабочими приватными ключами нереально, и $90 миллионов в сущности просто сожгли. Так что дело не в деньгах — главное, чтобы дошёл смысл послания. В принципе, взломом биржи в 2025-м мало кого удивишь, а вот инфоповод от красиво горящих криптомонеток разлетится по сети погромче — логика прослеживается. Кроме того, как и полагается порядочной бирже в подсанкционной стране, через Nobitex шли шальные деньги с рансомвари и сопутствующего. Так что помимо политического месседжа получился и удар по иранской киберпреступности. В общем, борьба с гидрой сионизма не задалась по всем фронтам.
@tomhunter
😁8🔥6🤯4🤬2❤1😢1
#news А помните, когда-то киберпреступная сцена СНГ была большой дружной семьёй? Новость в тему: из Киева в США экстрадировали брокера начального доступа группировки Ryuk. Были и такие ребята.
33-летний украинец вчера уехал в пункт финального назначения всех выдающихся киберпреступников. Ранее он был в розыске ФБР, его арестовали в апреле по следам расследования из 2023-го. Товарища тогда идентифицировали бонусом к членам операций LockerGoga, MegaCortex, Dharma и Hive. К тому моменту и Ryuk уже давно не было, и Conti распалась. А бюро всех помнит. Тем временем хихикающим по другую сторону границы остаётся надеяться, что политический климат в их краях не изменится. А то ведь списочки на экстрадицию длинные — места всем хватит.
@tomhunter
33-летний украинец вчера уехал в пункт финального назначения всех выдающихся киберпреступников. Ранее он был в розыске ФБР, его арестовали в апреле по следам расследования из 2023-го. Товарища тогда идентифицировали бонусом к членам операций LockerGoga, MegaCortex, Dharma и Hive. К тому моменту и Ryuk уже давно не было, и Conti распалась. А бюро всех помнит. Тем временем хихикающим по другую сторону границы остаётся надеяться, что политический климат в их краях не изменится. А то ведь списочки на экстрадицию длинные — места всем хватит.
@tomhunter
😁11🔥4💯3🫡3
#news Вчера по сети разлетелась горячая новость про 16 миллиардов утёкших паролей, крупнейшую утечку данных в истории и прочее сенсационное. Пошло это со статьи на Forbes, сочинённой наполовину кем-то смахивающим на человека, наполовину ChatGPT. А первоисточник на Cybernews. Давайте разберём по частям ими написанное.
Cybernews последние полгода мониторили датасеты с утёкшими данными, насчитали 30 штук, суммарно в них 16 миллиардов записей. Базы были доступны временно, в незащищённых хранилищах и Elasticsearch. В основном это был микс с инфостилеров, старые утечки и сеты под подстановку учёток. «Тоже мне сенсация» — уже хмыкнул любой ИБ-джун (если не хмыкнул, увольняйте — он безнадёжен). В общем, никакие 16 миллиардов паролей никуда не утекали. Но трафик сам себя не нагонит, поэтому получилось что получилось. Этот пост простым смертным не пересылайте, конечно, отправьте сенсационного — пусть от ужаса хоть двухфакторку накатят. Ну а мы работаем дальше.
@tomhunter
Cybernews последние полгода мониторили датасеты с утёкшими данными, насчитали 30 штук, суммарно в них 16 миллиардов записей. Базы были доступны временно, в незащищённых хранилищах и Elasticsearch. В основном это был микс с инфостилеров, старые утечки и сеты под подстановку учёток. «Тоже мне сенсация» — уже хмыкнул любой ИБ-джун (если не хмыкнул, увольняйте — он безнадёжен). В общем, никакие 16 миллиардов паролей никуда не утекали. Но трафик сам себя не нагонит, поэтому получилось что получилось. Этот пост простым смертным не пересылайте, конечно, отправьте сенсационного — пусть от ужаса хоть двухфакторку накатят. Ну а мы работаем дальше.
@tomhunter
😁17👍6💯4🔥2❤1🤯1
#news Любопытное исследование отпечатков браузера и их использования в рекламе. Учёные собрали фреймворк из OpenWPM, спуфинга отпечатков и анализа рекламного биддинга. И в сущности получили первое задокументированное подтверждение, что слежка по отпечаткам в сети существует и активно работает.
Анализ показал, что поведение рекламных платформ меняется при смене отпечатка: изменялись значения по биддингу и HTTP-записи. Более того, на части сайтов связанные с отпечатками системы стучат по бэкенду — то есть поднимают профили юзера в реальном времени. Проще говоря, отслеживание по отпечаткам активно применяют на уровне рекламной экосистемы. В сухом остатке от теории «Отпечатки собирают, и спецслужбы найдут тебя по ним, если ты был плохим мальчиком в даркнете» переходим к практике «Отпечатки масштабно используют в рекламе и межсайтовом отслеживании». Такой себе апгрейд, но другие в нашей среде бывают редко. Подробнее здесь.
@tomhunter
Анализ показал, что поведение рекламных платформ меняется при смене отпечатка: изменялись значения по биддингу и HTTP-записи. Более того, на части сайтов связанные с отпечатками системы стучат по бэкенду — то есть поднимают профили юзера в реальном времени. Проще говоря, отслеживание по отпечаткам активно применяют на уровне рекламной экосистемы. В сухом остатке от теории «Отпечатки собирают, и спецслужбы найдут тебя по ним, если ты был плохим мальчиком в даркнете» переходим к практике «Отпечатки масштабно используют в рекламе и межсайтовом отслеживании». Такой себе апгрейд, но другие в нашей среде бывают редко. Подробнее здесь.
@tomhunter
👍6🔥5😁1
#news По следам новостей о 16 миллиардах утёкших паролей на Cybernews ушли в тотальный damage control. За выходные «постоянно обновляющийся материал» прирос такими впечатляющими фактами, как: 3,5 скриншота с относительно свежими временными метками. Информацией о том, что такое инфостилеры. Разделом о том, как хакеры могут использовать пароли.
Содержательная часть всё так же сводится к «мы нашли мусорные дампы и высосали инфопод из пальца». Что делать с хайпом, они явно не понимают и пытаются как могут сохранить лицо. Закрывая тему, рекомендую материал от Hudson Rock. Ключевой аргумент против сенсации: безумные числа банально не бьются с экосистемой инфостилеров — она в разы меньше, чем нужно для сбора такого датасета. Это если допустить, что здесь нужны аргументы — по одному скрину с названиями баз всё и так понятно. Зачем Cybernews разгонять откровенный фейк? Возможно, просто чтобы набить подписок по своим VPN-партнёркам. Ущерб репутации минимальный, а отпускные-то — вот они.
@tomhunter
Содержательная часть всё так же сводится к «мы нашли мусорные дампы и высосали инфопод из пальца». Что делать с хайпом, они явно не понимают и пытаются как могут сохранить лицо. Закрывая тему, рекомендую материал от Hudson Rock. Ключевой аргумент против сенсации: безумные числа банально не бьются с экосистемой инфостилеров — она в разы меньше, чем нужно для сбора такого датасета. Это если допустить, что здесь нужны аргументы — по одному скрину с названиями баз всё и так понятно. Зачем Cybernews разгонять откровенный фейк? Возможно, просто чтобы набить подписок по своим VPN-партнёркам. Ущерб репутации минимальный, а отпускные-то — вот они.
@tomhunter
😁7👍6💯2👎1
#article На Хабре наша новая статья, поговорим о ценности электронной почты в OSINT. Электронная почта сегодня — не просто канал связи. Для OSINT-расследователя это отправная точка, ведущая к сети данных: техническим метаданным, следам в утечках, связанным аккаунтам и даже рекламным профилям.
В статье мы разберем как провести глубокий анализ почты, начиная от заголовка и заканчивая ADINT. Ищем цифровые следы, изучаем домены и никнеймы, проверяем email на компрометацию и отслеживаем пиксели. За подробностями добро пожаловать на Хабр!
@tomhunter
В статье мы разберем как провести глубокий анализ почты, начиная от заголовка и заканчивая ADINT. Ищем цифровые следы, изучаем домены и никнеймы, проверяем email на компрометацию и отслеживаем пиксели. За подробностями добро пожаловать на Хабр!
@tomhunter
❤7👍4🔥2🤔1🤡1
#news К инновациям социнженерии от мира рансомвари. У группировки Qilin в панели появилась кнопка «Вызвать юриста». По нажатию со злоумышленником свяжется команда юристов и поможет давить на жертву.
Согласно рекламному посту о фиче, появление консультанта в чате — автоматический бонус к сумме выкупа и ходу переговоров, ведь никто не хочет иметь судебные разбирательства и издержки по инциденту. Лицо квалифицированного юриста компании из Fortune 500, когда дисконтный Сол Гудман от мира киберпреступности начнёт кидать ему пасты про американскую судебную систему от ChatGPT, представили? Qilin явно стремится занять вакантную рансомварь-сцену. Функциональность под DDoS-атаки, спам-сервисы, хранилища данных — не RaaS-операция, а полный пакет услуг. С учётом их послужного списка, приятного мало. Остаётся пожелать им поскорее отправиться вслед за предшественниками.
@tomhunter
Согласно рекламному посту о фиче, появление консультанта в чате — автоматический бонус к сумме выкупа и ходу переговоров, ведь никто не хочет иметь судебные разбирательства и издержки по инциденту. Лицо квалифицированного юриста компании из Fortune 500, когда дисконтный Сол Гудман от мира киберпреступности начнёт кидать ему пасты про американскую судебную систему от ChatGPT, представили? Qilin явно стремится занять вакантную рансомварь-сцену. Функциональность под DDoS-атаки, спам-сервисы, хранилища данных — не RaaS-операция, а полный пакет услуг. С учётом их послужного списка, приятного мало. Остаётся пожелать им поскорее отправиться вслед за предшественниками.
@tomhunter
😁12🔥4👍1
#news Ещё четвёрке членов REvil вынесли приговоры. Обошлось без неожиданностей: все четверо получили скромные пять лет лишения свободы. А за счёт отбытого в СИЗО срока их и вовсе отпустили из-под стражи после вынесения приговора.
В октябре глава REvil Пузыревский и трое соучастников получили от 4,5 до 6 лет. Вторая четвёрка в отличие от прежней признала вину, так что отделались совсем легко. У Бессонова конфисковали ~$1 миллион и пару авто в придачу. Группировке изрядно повезло: в силу известных событий сотрудничество по расследованию с США прекратилось. Для сравнения, украинец Васинский, которого приняли в Польше и экстрадировали в Штаты, в мае получил почти 14 лет тюремного срока и штраф в $16 миллионов. В общем, так и кончается дело одной из ключевых киберпреступных группировок 2010-х — не взрывом, а лёгким невнятным побулькиванием. Как, впрочем, и предсказывали.
@tomhunter
В октябре глава REvil Пузыревский и трое соучастников получили от 4,5 до 6 лет. Вторая четвёрка в отличие от прежней признала вину, так что отделались совсем легко. У Бессонова конфисковали ~$1 миллион и пару авто в придачу. Группировке изрядно повезло: в силу известных событий сотрудничество по расследованию с США прекратилось. Для сравнения, украинец Васинский, которого приняли в Польше и экстрадировали в Штаты, в мае получил почти 14 лет тюремного срока и штраф в $16 миллионов. В общем, так и кончается дело одной из ключевых киберпреступных группировок 2010-х — не взрывом, а лёгким невнятным побулькиванием. Как, впрочем, и предсказывали.
@tomhunter
🔥10😁5🤬2💯1
#news Относительно незаметно произошло закрытие теневого маркетплейса Huione Guarantee в Telegram. Мессенджер заблокировал платформу 13 мая. Но анализ показывает, что китайская киберпреступная экосистема успешно мигрировала на другие Telegram-площадки.
На начало года маркет с неблагозвучным названием отметился оборотом в $24 миллиарда, намного превзойдя западные площадки. И его закрытие практически не сказалось на операциях — более того, владельцы просто сменили бренд. Принадлежащая им Tudou Guarantee за месяц по числу юзеров приросла вдвое. Как можно догадаться, Telegram особого дела до ребрендинга и других площадок нет — сколько им позволят работать, вопрос на десятки миллиардов долларов, проходящих через киберпреступный рынок региона. Так что меры Франции по выбиванию дури из Дурова в таком разрезе выглядят не такими уж радикальными. В Китай вот он не летает, и что делать с местной киберпреступностью? Живёт себе и здравствует, как в лучшие годы западного даркнета.
@tomhunter
На начало года маркет с неблагозвучным названием отметился оборотом в $24 миллиарда, намного превзойдя западные площадки. И его закрытие практически не сказалось на операциях — более того, владельцы просто сменили бренд. Принадлежащая им Tudou Guarantee за месяц по числу юзеров приросла вдвое. Как можно догадаться, Telegram особого дела до ребрендинга и других площадок нет — сколько им позволят работать, вопрос на десятки миллиардов долларов, проходящих через киберпреступный рынок региона. Так что меры Франции по выбиванию дури из Дурова в таком разрезе выглядят не такими уж радикальными. В Китай вот он не летает, и что делать с местной киберпреступностью? Живёт себе и здравствует, как в лучшие годы западного даркнета.
@tomhunter
😁8❤2🔥1💯1
#news Рубрика «Их нравы». В США подняли сайт F*ckLAPD для идентификации полицейских Лос-Анджелеса. Юзеры могут загрузить фото, нейронка распознает лицо, пройдётся по публичной информации и идентифицирует сотрудника.
Сайт создал активист в ответ на насилие со стороны полиции в ходе беспорядков. Полицейские скрывают свои значки, так что борцы за права нелегальных иммигрантов могут идентифицировать их по фото. А заодно кошмарить их самих и их семьи. Автор в 2018-м уже занимался деаноном сотрудников иммиграционной службы в том же ключе — ужасная иммиграционка рушит жизни нелегалам, не дадим и защитим. При этом он ссылается на первую поправку и хвалится, что нецензурно выражаться в адрес полиции обходится ему всего в 10 баксов в год за домен. Не первый за год подобный пример в Штатах — массово сливать в публичный доступ инфу на оппонентов у них становится доброй традицией. И собранные брокерами данных массивы этому только способствуют.
@tomhunter
Сайт создал активист в ответ на насилие со стороны полиции в ходе беспорядков. Полицейские скрывают свои значки, так что борцы за права нелегальных иммигрантов могут идентифицировать их по фото. А заодно кошмарить их самих и их семьи. Автор в 2018-м уже занимался деаноном сотрудников иммиграционной службы в том же ключе — ужасная иммиграционка рушит жизни нелегалам, не дадим и защитим. При этом он ссылается на первую поправку и хвалится, что нецензурно выражаться в адрес полиции обходится ему всего в 10 баксов в год за домен. Не первый за год подобный пример в Штатах — массово сливать в публичный доступ инфу на оппонентов у них становится доброй традицией. И собранные брокерами данных массивы этому только способствуют.
@tomhunter
😁11👍4🔥3🤡3❤1👎1
#news Mr.d0x представил занятный вариант атаки ClickFix. Вместо чуждой юзеру командной строки и подозрительных сообщений об ошибке в ход идут Проводник и уведомление о файле, которым поделились с пользователем.
А дальше сценарий аналогичный: жертва копирует вредоносную команду и вставляет её в адресную строку Проводника. В скопированном поддельный путь к файлу и закомменченная PowerShell-команда. Если юзер пытается выбрать файл в окне отправки вручную (а именно оно используется в атаке), скрипт просит его следовать инструкции. А юзер любит следовать инструкциям — как тут устоять. По итогам пользователь из пугающей командной строки переведён в привычную среду Проводника, бдительность усыплена, желание покликать на всякое этакое растёт. С учётом успешности ClickFix стоит ждать, что эта вариация оперативно войдёт в арсенал злоумышленников и покажет неплохие результаты.
@tomhunter
А дальше сценарий аналогичный: жертва копирует вредоносную команду и вставляет её в адресную строку Проводника. В скопированном поддельный путь к файлу и закомменченная PowerShell-команда. Если юзер пытается выбрать файл в окне отправки вручную (а именно оно используется в атаке), скрипт просит его следовать инструкции. А юзер любит следовать инструкциям — как тут устоять. По итогам пользователь из пугающей командной строки переведён в привычную среду Проводника, бдительность усыплена, желание покликать на всякое этакое растёт. С учётом успешности ClickFix стоит ждать, что эта вариация оперативно войдёт в арсенал злоумышленников и покажет неплохие результаты.
@tomhunter
❤7🔥4😁4
#news Во Франции был арестован IntelBroker. Причём ещё в феврале, сегодня раскрыли обвинения. Так что слухи подтвердились. За личиной нагонявшего страх на корпорации своими утечками злоумышленника с интересной аватаркой скрывался 25-летний британец Кай Уэст. Лицо международной киберпреступности IRL вновь оказалось не таким уж пугающим.
В послужном списке IntelBroker’а множество громких и не очень утечек, включая военные проекты DARPA. Тыкать палочкой в американскую военку, как обычно, оказалось самоубийственной затеей. Агент ФБР под прикрытием приобрёл у Уэста стянутый API-ключ, криптоадрес отследили до аккаунта на Ramp, да не том — одноимённой финансовой платформе. Аккаунт был на водительские права Уэста. Также нашлась учётка на Coinbase, а в почте к ней — ещё больше личных документов, и бонусом были засвечены голые айпишники. США подали на экстрадицию, по совокупности обвинений Уэст рискует уехать на двузначный срок. The End.
@tomhunter
В послужном списке IntelBroker’а множество громких и не очень утечек, включая военные проекты DARPA. Тыкать палочкой в американскую военку, как обычно, оказалось самоубийственной затеей. Агент ФБР под прикрытием приобрёл у Уэста стянутый API-ключ, криптоадрес отследили до аккаунта на Ramp, да не том — одноимённой финансовой платформе. Аккаунт был на водительские права Уэста. Также нашлась учётка на Coinbase, а в почте к ней — ещё больше личных документов, и бонусом были засвечены голые айпишники. США подали на экстрадицию, по совокупности обвинений Уэст рискует уехать на двузначный срок. The End.
@tomhunter
😁16😢9❤5🔥2
#news Вместе с раскрытием обвинений против IntelBroker из Франции пришли новости не менее интересные: в стране были арестованы четверо операторов BreachForums v2. Среди них не кто иной как ShinyHunters собственной персоной.
Напомню, ShinyHunters подняли вторую итерацию BreachForums после ареста Pompompurin’а. Попутно омерзительная четвёрка отметилась атаками по французским компаниям. С территории Франции. Им, конечно, есть чему поучиться у киберпреступников СНГ. Хотя это бы их не спасло — в западных странах лайфкак не особо рабочий. IntelBroker же администрировал площадку вместе с ShinyHunters. Как можно догадаться, раскрытие его ареста в один день вместе с операцией против коллег по форуму — это явно неспроста. Кого из работавших под ником ShinyHunters приняли французы, неясно, но человек, скорее всего, не последний. Так что на этом история Breached v2 и его основы закрыта — все едут отдыхать на закрытых пенитенциарных курортах США.
@tomhunter
Напомню, ShinyHunters подняли вторую итерацию BreachForums после ареста Pompompurin’а. Попутно омерзительная четвёрка отметилась атаками по французским компаниям. С территории Франции. Им, конечно, есть чему поучиться у киберпреступников СНГ. Хотя это бы их не спасло — в западных странах лайфкак не особо рабочий. IntelBroker же администрировал площадку вместе с ShinyHunters. Как можно догадаться, раскрытие его ареста в один день вместе с операцией против коллег по форуму — это явно неспроста. Кого из работавших под ником ShinyHunters приняли французы, неясно, но человек, скорее всего, не последний. Так что на этом история Breached v2 и его основы закрыта — все едут отдыхать на закрытых пенитенциарных курортах США.
@tomhunter
😁10🔥4💯1
#news Тёмная сторона интернета обзавелась новой гранью: юзеры LLM’ок начали жаловаться на зависимость от общения с моделями. Пользователи таких платформ как Character[.]ai сутками торчат в чатах с ботами, проблема не обходит стороной и утилитарные модели вроде ChatGPT и Claude.
В худших случаях зависимость приводит к навязчивому поведению и изоляции. И в сети появляются сообщества, в которых юзеры хвастаются неделями без ИИ, словно бросают вредную привычку. Попутно в соседних сетевых палатах банят за шизопостинг тех, кто слишком глубоко забрался в кроличью ИИ-дыру, а особо продвинутые индивиды призывают к батлерианскому джихаду. Исследователи же строят теории, что ИИ-приложения разработаны под злоупотребление и мгновенную гратификацию, и зависимость от них — не баг, а фича. Так что, вполне возможно, мы видим не временное помешательство юзера перед лицом машины, а верхушку айсберга проблемы, которая в дальнейшем будет только усугубляться. «Человек не может быть заменён?»
@tomhunter
В худших случаях зависимость приводит к навязчивому поведению и изоляции. И в сети появляются сообщества, в которых юзеры хвастаются неделями без ИИ, словно бросают вредную привычку. Попутно в соседних сетевых палатах банят за шизопостинг тех, кто слишком глубоко забрался в кроличью ИИ-дыру, а особо продвинутые индивиды призывают к батлерианскому джихаду. Исследователи же строят теории, что ИИ-приложения разработаны под злоупотребление и мгновенную гратификацию, и зависимость от них — не баг, а фича. Так что, вполне возможно, мы видим не временное помешательство юзера перед лицом машины, а верхушку айсберга проблемы, которая в дальнейшем будет только усугубляться. «Человек не может быть заменён?»
@tomhunter
😁5🤡4🤔2🤯2💯1
#news Модели принтеров фирмы Brother оказались уязвимы к подбору дефолтного админского пароля. Причём 689 штук, так что уязвимость — долгоиграющая фича производимого железа. Бонусом затронуты также почти 50 моделей Fujifilm и ещё несколько от других поставщиков.
Проблема в генерации пароля: алгоритм оказался слабоват. Первые 16 символов серийного номера, 8 байт соли, хэшировать SHA256, закодировать Base64, взять первые восемь символов и заменить часть на специальные. Результат легко обратим, а дальше в цепочке есть и CVE на переполнение буфера — то есть под RCE. Исправить уязвимость обновлением прошивки не получится — владельцу нужно менять дефолтные пароли ручками. С учётом того, что о безопасности принтера задумываются далеко не везде, уязвимые устройства, скорее всего, так и будут годами стоять по офисам. Кейсы с веб-камерой как входной точкой для рансомвари были, глядишь, будут и с принтерами. Так что, юзернейм, Brother тебе совсем не брат.
@tomhunter
Проблема в генерации пароля: алгоритм оказался слабоват. Первые 16 символов серийного номера, 8 байт соли, хэшировать SHA256, закодировать Base64, взять первые восемь символов и заменить часть на специальные. Результат легко обратим, а дальше в цепочке есть и CVE на переполнение буфера — то есть под RCE. Исправить уязвимость обновлением прошивки не получится — владельцу нужно менять дефолтные пароли ручками. С учётом того, что о безопасности принтера задумываются далеко не везде, уязвимые устройства, скорее всего, так и будут годами стоять по офисам. Кейсы с веб-камерой как входной точкой для рансомвари были, глядишь, будут и с принтерами. Так что, юзернейм, Brother тебе совсем не брат.
@tomhunter
🔥8❤3👍2
#news Число краж через систему бесконтактных платежей продолжает расти. Схема активно распространяется по миру, и за первые полгода 2025-го количество атак через NFC выросло в 35 раз по сравнению с 2024-м годом.
В России схема была замечена ещё в начале года, и прогнозы по росту атак явно оказались заниженными. Увы, мы в коем-то веке впереди планеты всей по количеству жертв: ESET зафиксировала 1/5 от всех установок используемого в атаках приложения NGate в России. Мошенники обманом вынуждают жертву установить ПО под видом легитимного банковского или от госсервиса и крадут средства. На начало года ущерб фиксировали в 40 миллионов рублей, сейчас он, наверняка, уже ушёл в сотни. Модификация этой атаки Ghost Tap также набирает популярность. Так что один из ключевых трендов финансового мошенничества на ближайшее время — это фермы телефонов и кардеры, вернувшие себе свой 2007-й. Всё новое, как водится…
@tomhunter
В России схема была замечена ещё в начале года, и прогнозы по росту атак явно оказались заниженными. Увы, мы в коем-то веке впереди планеты всей по количеству жертв: ESET зафиксировала 1/5 от всех установок используемого в атаках приложения NGate в России. Мошенники обманом вынуждают жертву установить ПО под видом легитимного банковского или от госсервиса и крадут средства. На начало года ущерб фиксировали в 40 миллионов рублей, сейчас он, наверняка, уже ушёл в сотни. Модификация этой атаки Ghost Tap также набирает популярность. Так что один из ключевых трендов финансового мошенничества на ближайшее время — это фермы телефонов и кардеры, вернувшие себе свой 2007-й. Всё новое, как водится…
@tomhunter
😱5❤3😁3🔥2
#article В нашей новой статье разбираем тему, интересную любому цифровому детективу и просто каждому, у кого есть причины опасаться слежки. А именно обнаружение Bluetooth-трекеров.
Какой софт лучше всего подойдёт для их выявления? Как не пропустить цифровой хвост, фильтровать лишний шум и правильно анализировать контекст? И где заканчивается здравая цифровая гигиена и начинается паранойя? Обо всём этом и других ключевых моментах обнаружения BLE-слежки читайте на Хабре!
@tomhunter
Какой софт лучше всего подойдёт для их выявления? Как не пропустить цифровой хвост, фильтровать лишний шум и правильно анализировать контекст? И где заканчивается здравая цифровая гигиена и начинается паранойя? Обо всём этом и других ключевых моментах обнаружения BLE-слежки читайте на Хабре!
@tomhunter
❤6👍4🔥2🤡2😁1
#news Любопытные новости на стыке традиционной и кибер- преступности. Картель Синалоа в Мексике нанимает хакеров под различные задачи для борьбы с ФБР. В том числе OSINT для поиска агентов бюро и его информаторов.
О сотрудничестве картеля и киберпреступников по найму ФБР известно ещё с 2018-го. Наёмник предлагал услуги по взлому телефонов, геоотслеживанию оппонентов картеля и далее по списку. Так, злоумышленник взломал телефон одного из агентов, у него также был доступ к системе городских камер в Мехико — по ним отслеживали искомые лица. Обнаруженных информаторов впоследствии запугали, некоторых устранили. ФБР в ответ собрало команду безопасников, но пока те с новой угрозой не справляются. В принципе, удивительного мало: с финансовыми возможностями картелей набрать первоклассную хакерскую группировку — задача несложная. Киберпреступной сценой уровня СНГ не обзавелись — и то добро.
@tomhunter
О сотрудничестве картеля и киберпреступников по найму ФБР известно ещё с 2018-го. Наёмник предлагал услуги по взлому телефонов, геоотслеживанию оппонентов картеля и далее по списку. Так, злоумышленник взломал телефон одного из агентов, у него также был доступ к системе городских камер в Мехико — по ним отслеживали искомые лица. Обнаруженных информаторов впоследствии запугали, некоторых устранили. ФБР в ответ собрало команду безопасников, но пока те с новой угрозой не справляются. В принципе, удивительного мало: с финансовыми возможностями картелей набрать первоклассную хакерскую группировку — задача несложная. Киберпреступной сценой уровня СНГ не обзавелись — и то добро.
@tomhunter
🔥5😱4❤3💯3😁1😢1
#news В США прошёл масштабный рейд против северокорейской схемы по трудоустройству. 21 ферма ноутбуков зарейдены, 29 доменов перехвачены, один из организаторов схемы арестован.
Операция прошла с 10 по 17 июня в 14 штатах. Ключевым её аспектом назван арест американца китайского происхождения, собиравшего фермы. В послужном списке у северокорейцев трудоустройство в больше 100 компаний США под видом американцев. Попутно в текущем деле упомянуты кража ~$900 тысяч у блокчейн-компании в США и ещё одной в Сербии, где также стянули крипту и изменили смарт-контракты. В общем, преступному синдикату трудолюбивых IT-солдат нанесён серьёзный удар. Если заморский коллега с подозрительным акцентом и повышенным интересом к внутренним системам компании в июне внезапно перестал выходить на связь — это всё неспроста.
@tomhunter
Операция прошла с 10 по 17 июня в 14 штатах. Ключевым её аспектом назван арест американца китайского происхождения, собиравшего фермы. В послужном списке у северокорейцев трудоустройство в больше 100 компаний США под видом американцев. Попутно в текущем деле упомянуты кража ~$900 тысяч у блокчейн-компании в США и ещё одной в Сербии, где также стянули крипту и изменили смарт-контракты. В общем, преступному синдикату трудолюбивых IT-солдат нанесён серьёзный удар. Если заморский коллега с подозрительным акцентом и повышенным интересом к внутренним системам компании в июне внезапно перестал выходить на связь — это всё неспроста.
@tomhunter
😁5👍2❤1🔥1🤡1
#news Германия направила Google и Apple официальный запрос на удаление DeepSeek из их магазинов приложений. Местный регулятор ссылается на то, что приложение нарушает пресловутый GDPR.
Согласно жалобе, разработчик незаконно собирает данные и отправляет их на серверы в Китае. Законы о защите данных же в Поднебесной строгим стандартам ЕС не соответствуют, так что наметился конфликт. И разработчик, поставляя услуги на немецком, попадает под GDPR. Ранее регулятор уже предлагал разрабам DeepSeek удалить приложения добровольно, а теперь дело дошло до Статьи 16 — незаконный контент. С возможным уходом DeepSeek из магазинов, приложение будут качать на сторонних ресурсах. А здесь уже раздолье для злоумышленников — новые кампании под доставку вредоноса под видом ИИ-модели наготове, осталось дождаться отмашки от техгигантов.
@tomhunter
Согласно жалобе, разработчик незаконно собирает данные и отправляет их на серверы в Китае. Законы о защите данных же в Поднебесной строгим стандартам ЕС не соответствуют, так что наметился конфликт. И разработчик, поставляя услуги на немецком, попадает под GDPR. Ранее регулятор уже предлагал разрабам DeepSeek удалить приложения добровольно, а теперь дело дошло до Статьи 16 — незаконный контент. С возможным уходом DeepSeek из магазинов, приложение будут качать на сторонних ресурсах. А здесь уже раздолье для злоумышленников — новые кампании под доставку вредоноса под видом ИИ-модели наготове, осталось дождаться отмашки от техгигантов.
@tomhunter
😁7👍5👎1💯1
#news FileFix настолько хорош, что появился FileFix 2. Вариация атаки подразумевает, что жертва должна сохранить страницу с вредоносным кодом, переименовать её расширение на .hta и запустить ручками.
На первый взгляд, атака выглядит не очень перспективной. Но не стоит недооценивать низкую техграмотность среднего юзера и его пристрастие к чётким инструкциям. Так, проверка концепции предполагает, что жертва захочет сохранить резервные коды для доступа к аккаунту. Немного социнженерии, и юзер убеждён, что ему позарез нужна страница с вредоносом в интересном формате. Из бонусов, сохранённый таким образом файл не получает метку MoTW. В принципе, сценарий жизнеспособный, но уже больше в формате «Чтобы все удивились, как я умею». Mr.d0x также обещает представить третью итерацию Filefix, но пока вариант с адресной строкой — явный фаворит.
@tomhunter
На первый взгляд, атака выглядит не очень перспективной. Но не стоит недооценивать низкую техграмотность среднего юзера и его пристрастие к чётким инструкциям. Так, проверка концепции предполагает, что жертва захочет сохранить резервные коды для доступа к аккаунту. Немного социнженерии, и юзер убеждён, что ему позарез нужна страница с вредоносом в интересном формате. Из бонусов, сохранённый таким образом файл не получает метку MoTW. В принципе, сценарий жизнеспособный, но уже больше в формате «Чтобы все удивились, как я умею». Mr.d0x также обещает представить третью итерацию Filefix, но пока вариант с адресной строкой — явный фаворит.
@tomhunter
❤3😁3🔥2😢1