#OSINT #Telegram Сегодня разбираю с вами знаковую тему проведения OSINT-исследований в мессенджере Telegram:
├@userinfobot (Find ID)
├@CheckID_AIDbot (Find ID)
├@username_to_id_bot (Find ID)
├checker (Checker)
├t.me/+79000000000 (Checker)
├@TgAnalyst_bot (Find Phone)
├eyeofgod (Find Phone)
├@anonimov_bot (Find Phone)
├@maigret_osint_bot (Find Nickname)
├whatsmyname (Find Nickname)
├mail (Find Name)
├search4faces (Find Photo)
├findclone (Find Photo)
├yandex (Find Photo)
├@telesint_bot (Find Chats)
├@tgscanrobot (Find Chats)
├TelegramScraper (Chats Parser)
├TeleParser (Chats Parser)
├TG-Parser (Chats Parser)
├tg-archive (Chat Export)
├commentgram (Find Messages)
├telegago (Find Messages)
├@locatortlrm_bot (Check Location)
├telegram-nearby (Check Location)
├@FindStickerCreatorBot (Sticker Author)
├canarytokens (Check IP)
└iplogger (Check IP)
P.S. Инструкция по исследованию Telegram-каналов. Установление привязанного телефона при помощи ботов. Сервис для создания ботов-ловушек Dnnme2.
@tomhunter
├@userinfobot (Find ID)
├@CheckID_AIDbot (Find ID)
├@username_to_id_bot (Find ID)
├checker (Checker)
├t.me/+79000000000 (Checker)
├@TgAnalyst_bot (Find Phone)
├eyeofgod (Find Phone)
├@anonimov_bot (Find Phone)
├@maigret_osint_bot (Find Nickname)
├whatsmyname (Find Nickname)
├mail (Find Name)
├search4faces (Find Photo)
├findclone (Find Photo)
├yandex (Find Photo)
├@telesint_bot (Find Chats)
├@tgscanrobot (Find Chats)
├TelegramScraper (Chats Parser)
├TeleParser (Chats Parser)
├TG-Parser (Chats Parser)
├tg-archive (Chat Export)
├commentgram (Find Messages)
├telegago (Find Messages)
├@locatortlrm_bot (Check Location)
├telegram-nearby (Check Location)
├@FindStickerCreatorBot (Sticker Author)
├canarytokens (Check IP)
└iplogger (Check IP)
P.S. Инструкция по исследованию Telegram-каналов. Установление привязанного телефона при помощи ботов. Сервис для создания ботов-ловушек Dnnme2.
@tomhunter
❤9😱2🔥1🤬1💩1
#news Компания Mozilla, разработчик браузера Firefox, раскритиковала браузер Chrome 94, выпущенный Google 21 сентября 2021 г. Mozilla назвала шпионской функцию Idle Detection API, которая используется в Chrome 94 для обнаружения бездействия или простоя браузера. Она позволяет веб-сайтам «просить» Chrome уведомлять их, когда пользователь начинает бездействовать.
Для отключения Idle Detection API необходимо запустить Chrome, предварительно обновленный до версии 94, и перейти по адресу «chrome://settings/content/idleDetection» без кавычек, где деактивировать функцию.
@tomhunter
Для отключения Idle Detection API необходимо запустить Chrome, предварительно обновленный до версии 94, и перейти по адресу «chrome://settings/content/idleDetection» без кавычек, где деактивировать функцию.
@tomhunter
#news REVil добавила бэкдор к своему вымогателю... Киберпреступники дотумкали, что операторы их программ-вымогателей, вполне могут заниматься сбором средств самостоятельно, игнорируя отстюжку в коллектив. Все, как в 90-е - "как представляться - так все тамбовские, а как занести в общак - то у всех свой коллектив". Впрочем, бэкдор дает и REVil возможность перехватывать работу у своих партнеров, оставляя их без выкупа. Практически песня - "о жадинах, хвастунах и дураках".
@tomhunter
@tomhunter
T.Hunter
Руководитель департамента информационно-аналитических исследований T.Hunter Игорь Бедеров прокомментировал Российской Газете новость о том, что Apple выпустила очередное обновление iOS, которое должно защитить пользователей от слежки при помощи программы Pegasus…
#news☝️😉 Apple выпустила очередное обновления безопасности, чтобы исправить еще три уязвимости нулевого дня (как-то слишком для супер-защищенного смартфона), которые использовала шпионская программа Pegasus. Скрупулёзно подсчитав, я понял, что за два месяца компания исправила 6 ошибок. Много это или мало, пока непонятно. Также непонятно то, сколько еще уязвимостей продолжает эксплуатировать Pegasus.
Отдельного программного обеспечения, детектирующего активность Pegasus на смартфоне, компания (как и раньше) не предложила. Поэтому, для обнаружения Pegasus на iPhone, я предлагаю воспользоваться программами iMazing или MVT.
Зато Apple додумалась выдумать сказку о разработке ей инструмента для удаленной диагностики психического здоровья пользователей. А значит - ещё больше личных данных вскоре попадет к рекламодателям. Занавес...
@tomhunter
Отдельного программного обеспечения, детектирующего активность Pegasus на смартфоне, компания (как и раньше) не предложила. Поэтому, для обнаружения Pegasus на iPhone, я предлагаю воспользоваться программами iMazing или MVT.
Зато Apple додумалась выдумать сказку о разработке ей инструмента для удаленной диагностики психического здоровья пользователей. А значит - ещё больше личных данных вскоре попадет к рекламодателям. Занавес...
@tomhunter
#news Microsoft опубликовала расследование крупной Phishing-as-a-service платформы BulletProofLink. Клиентам доступны «фишинг-киты» с готовыми шаблонами фишинговых писем и сайтов. Кроме того, они могут оплатить подписку и получить хостинг, рассылку фишинговых писем и прочие услуги. Клиенту в таком случае и делать ничего не надо, только заплатить. Фишинговые атаки BulletProofLink строятся на взломанных сайтах и генерации сотен тысяч уникальных поддоменов. В одной кампании исследователи насчитали использование 300 тысяч за раз.
Забавный бонус: собранные для клиентов данные BulletProofLink потом сама продаёт в даркнете. Что ж, бизнес бизнесом, а денежка лишней не бывает.
@tomhunter
Забавный бонус: собранные для клиентов данные BulletProofLink потом сама продаёт в даркнете. Что ж, бизнес бизнесом, а денежка лишней не бывает.
@tomhunter
#news Находчивые хакеры рассылают американцам и канадцам смски про ковид: рассказывают про «новые регуляции» в их регионе или приглашают получить ту или иную компоненту вакцины, прикладывая ссылку. По ссылке пользователю советуют обновить флеш-плеер и заботливо делятся соответствующим приложением. Там, конечно, троян, названный TangleBot, который запросит разрешения на всё на свете. В основном он нацелен на хищение персональных данных и создание фишинговых оверлеев в банковских приложениях.
@tomhunter
@tomhunter
#OSINT #Email Всем удачной тяпницы. Сегодня поговорим с вами об отслеживании электронных почтовых отправлений. Т.е. о возможности примерно сказать где находится отправитель или получатель электронного письма:
├analyzeheader (Header)
├mailheader (Header)
├emailheaders (Header)
├traceemail (Header)
├emailheader (Header)
├azurewebsites (Header)
├suip (Header)
├domaintools (WHOIS)
├emailtracker (Tracking)
├emailtrackerpro (Tracking)
├getnotify (Tracking)
├readnotify (Tracking)
├didtheyreadit (Tracking)
├mailtracking (Tracking)
├canarytokens (Logging)
├grabify (Logging)
├iplogger (Logging)
├yandex (ADINT)
├google (ADINT)
└mytarget (ADINT)
З.Ы. аналогичная тема, но для мобильных телефонов.
@tomhunter
├analyzeheader (Header)
├mailheader (Header)
├emailheaders (Header)
├traceemail (Header)
├emailheader (Header)
├azurewebsites (Header)
├suip (Header)
├domaintools (WHOIS)
├emailtracker (Tracking)
├emailtrackerpro (Tracking)
├getnotify (Tracking)
├readnotify (Tracking)
├didtheyreadit (Tracking)
├mailtracking (Tracking)
├canarytokens (Logging)
├grabify (Logging)
├iplogger (Logging)
├yandex (ADINT)
├google (ADINT)
└mytarget (ADINT)
З.Ы. аналогичная тема, но для мобильных телефонов.
@tomhunter
#news Недавно обнаруженная хакерская группа FamousSparrow нацелена на отели по всему миру по крайней мере с 2019 года, а также на высокопоставленные персоны и международные организации. Кибершпионы нацелены на жертв со всей Европы (Франция, Литва, Великобритания), Ближнего Востока (Израиль, Саудовская Аравия), Америки (Бразилия, Канада, Гватемала), Азии (Тайвань) и Африки (Буркина-Фасо) в атаки за последние два года.
Группа использует несколько векторов атак в веб-приложениях, доступных в Интернете, для взлома сетей своих целей, в том числе уязвимости удаленного выполнения кода в Microsoft SharePoint, программном обеспечении для управления отелями Oracle Opera и уязвимости безопасности Microsoft Exchange, известные как ProxyLogon.
@tomhunter
Группа использует несколько векторов атак в веб-приложениях, доступных в Интернете, для взлома сетей своих целей, в том числе уязвимости удаленного выполнения кода в Microsoft SharePoint, программном обеспечении для управления отелями Oracle Opera и уязвимости безопасности Microsoft Exchange, известные как ProxyLogon.
@tomhunter
#news Продолжаем о супер-защищённых смартфонах от компании, которая заботится о вашей приватности. The Washington Post и компания-разработчик софта для приватности Lockdown провели совместное исследование о рекламодателях на платформах Apple. Исследование выяснило, что популярные iOS-приложения отправляют рекламодателям данные об устройстве, не спрашивая пользователя и постоянно находя новые лазейки в придуманной Apple App Tracking Transparency.
Персональные данные пользователя по яблочному Identifier for Advertisers (IDFA) пользователя не вывести, но разложить его на рекламную бигдату — это запросто. Например, приложение сможет увидеть, что ты тапнул по баннеру с рекламой Айфона, поэтому теперь будешь завален рекламой гаджетов. В The Washington Post пишут, что некоторые приложения — например, одно из включённых в исследование, игра Subway Surfers — передают прямо безумные объёмы данных. Там чего только нет: от страны и версии iOS до уровня зарядки батареи и названия устройства.
@tomhunter
Персональные данные пользователя по яблочному Identifier for Advertisers (IDFA) пользователя не вывести, но разложить его на рекламную бигдату — это запросто. Например, приложение сможет увидеть, что ты тапнул по баннеру с рекламой Айфона, поэтому теперь будешь завален рекламой гаджетов. В The Washington Post пишут, что некоторые приложения — например, одно из включённых в исследование, игра Subway Surfers — передают прямо безумные объёмы данных. Там чего только нет: от страны и версии iOS до уровня зарядки батареи и названия устройства.
@tomhunter
#news Продолжаем-с превращать этот канал в вестник яблочных разочарований — зачастили они как-то с поводами. Недавно Яблоко придумало iCloud Private Relay Service, сервис для сокрытия IP и локации. Тот самый, который решили не запускать на территории России и некоторых других стран.
По идее, они переизобрели и сильно упростили Тор, но реализация оставляет желать лучшего. Оказывается, в сервисе есть дыры, позволяющие перехватить через WebRTC реальный IP пользователя. STUN-запросы через iCloud Private Relay Service не проксируются, поэтому IP может быть перехвачен во время обмена ICE-кандидатов: остаётся его просто оттуда спарсить.
Уязвимость заметили и зарепортили Яблоку исследователи из FingerprintJS, в обзоре от них есть все детали.
@tomhunter
По идее, они переизобрели и сильно упростили Тор, но реализация оставляет желать лучшего. Оказывается, в сервисе есть дыры, позволяющие перехватить через WebRTC реальный IP пользователя. STUN-запросы через iCloud Private Relay Service не проксируются, поэтому IP может быть перехвачен во время обмена ICE-кандидатов: остаётся его просто оттуда спарсить.
Уязвимость заметили и зарепортили Яблоку исследователи из FingerprintJS, в обзоре от них есть все детали.
@tomhunter
#news Google извинилась за волну электронных писем, предупреждающих клиентов Google Cloud Platform, Firebase или API о том, что их учетные записи могут быть приостановлены. Пользователи начали получать эти электронные письма 22 сентября, в которых содержалось предупреждение о том, что их учетная запись «просрочена или не имеет действительной платежной информации». Вопрос лишь в том, как скоро этим же предлогом воспользуются распространители фишинговых рассылок.
@tomhunter
@tomhunter
#news В 2020 в Совкомбанке поймали сотрудника внешнего колл-центра, втихую копировавшего заявки на кредит: он получил два года условно. Пока шло следствие, сотрудник предложил собранную базу данных клиентов на продажу в своём Телеграм-канале. Совкомбанк снова обратился в полицию, и дело через ФСБ было передано в суд.
Теперь список людей, оставлявших заявку на кредит в Совкомбанке, лежит в открытом доступе в даркнете. Слито всё — от ФИО, паспортных данных и номера телефона до размера дохода, места работы и контактов родственников. Надеюсь, хотя бы моих читателей это не задело.
@tomhunter
Теперь список людей, оставлявших заявку на кредит в Совкомбанке, лежит в открытом доступе в даркнете. Слито всё — от ФИО, паспортных данных и номера телефона до размера дохода, места работы и контактов родственников. Надеюсь, хотя бы моих читателей это не задело.
@tomhunter
#news На этой неделе киберпреступники захватили управление сайтом Bitcoin.org. С его помощью они смогли запустить мошенническую кампанию якобы с раздачей криптовалюты. Взлом продлился около суток, но за это время мошенники сумели получить не менее 17 000$. Предположительный криптокошелек преступников 1NgoFwgsfZ19RrCUhTmmuLpmdek45nRd5N. Сейчас Bitcoin.org восстановлен. Но основная причина взлома веб-сайта пока остается невыясненной. Хотя и имеется предположение, что это был взлом DNS.
@tomhunter
@tomhunter
#news Федеральные спецслужбы США, такие как Агентство национальной безопасности (АНБ) и Центральное разведывательное управление (ЦРУ), опасаются рекламы в Интернете так же сильно, как и все остальные, и используют блокировщики рекламы для смягчения этой потенциальной угрозы. По их мнению, баннер может собирать конфиденциальную информацию о пользователе или даже рассылать вредоносные программы.
Мнение, на самом деле, вполне справедливое. Еще в конце 2017 года американские ученые изучили вопрос использования рекламных идентификаторов пользователей для слежки за ними (ADINT). Через 3 года в Израиле сумели автоматизировать подобную слежку, создав специальный продукт. Он позволяет выявлять рекламные идентификаторы, связанные с электронной почтой или номером телефона, а затем следить за их владельцем, используя для этого данные мобильных приложений. Вы же помните, сколько разрешений даёте таким приложениям.
@tomhunter
Мнение, на самом деле, вполне справедливое. Еще в конце 2017 года американские ученые изучили вопрос использования рекламных идентификаторов пользователей для слежки за ними (ADINT). Через 3 года в Израиле сумели автоматизировать подобную слежку, создав специальный продукт. Он позволяет выявлять рекламные идентификаторы, связанные с электронной почтой или номером телефона, а затем следить за их владельцем, используя для этого данные мобильных приложений. Вы же помните, сколько разрешений даёте таким приложениям.
@tomhunter
#news Команда BBC сняла отличный фильм о жизни кибермошенников. В оригинале фильм называется «Hunting the Social Media Fraudsters». Через короткое время, OSINT-исследователи смогли деанонимизировать одного из предполагаемых преступников, о которых шла речь в фильме. Это было весьма интересно с точки зрения практики.
▶️ https://youtu.be/H0Mzdswq8M0
@tomhunter
▶️ https://youtu.be/H0Mzdswq8M0
@tomhunter
❤1
#news Вот так умирает свобода... под град аплодисментов. Начиная с версии 7.8, Telegram внедрил функцию регулярной проверки актуальности привязанного номера телефона, а также пароля двухфакторной авторизации. С этим уже столкнулись многие пользователи. Если нажмете на «Нет», мессенджер не замедлит предложить привязать к аккаунту новый телефон.
Как Telegram раньше идентифицировал своих пользователей? В начале года мессенджер предложил функцию переноса всей WhatsApp переписки в Telegram. Многие пользователи столкнулись при этом с блокировкой телефонов... которую Telegram предложил решить.
При попытке сделать это открывалось приложение электронной почты, которое формировало автоматическое письмо в поддержку. Т.е. на входе у мессенджера оставались: IMEI устройства, e-mail и номер телефона.
▶️ https://youtu.be/Kh9nFcatHQw
@tomhunter
Как Telegram раньше идентифицировал своих пользователей? В начале года мессенджер предложил функцию переноса всей WhatsApp переписки в Telegram. Многие пользователи столкнулись при этом с блокировкой телефонов... которую Telegram предложил решить.
При попытке сделать это открывалось приложение электронной почты, которое формировало автоматическое письмо в поддержку. Т.е. на входе у мессенджера оставались: IMEI устройства, e-mail и номер телефона.
▶️ https://youtu.be/Kh9nFcatHQw
@tomhunter
YouTube
Вот так свобода и умирает под гром аплодисментов
Enjoy the videos and music you love, upload original content, and share it all with friends, family, and the world on YouTube.
#OSINT #Photo Всех с началом трудовой недели. Сегодня я поговорю с вами об источниках исследования фотографий:
├Open Metadata (EXIF)
├search4faces (Find Face)
├findclone (Find Face)
├yandex (Find Face)
├@findfacerobot (Find Face)
├@Quick_OSINT_bot (Find Face)
├@ssb_russian_probiv_bot (Find Face)
├eyeofgod (Find Face)
├azure (Find Face)
├betaface (Find Face)
├pictriev (Find Face)
├quiz (Find Face)
├allaboutbirds (Object Ident.)
├plantnet (Object Ident.)
├peakfinder (Object Ident.)
├forensics (Photo Forensic)
├sherloq (Photo Forensic)
├ballistics (Photo Forensic)
├descarteslabs (Factchecking)
├mapchecking (Factchecking)
├suncalc (Factchecking)
├fotorobot (Modelling)
├3Dface (Modelling)
├cameratrace (Camera Trace)
├stolencamerafinder (Camera Trace)
├fotoshop (Enhancer)
├upscaler (Enhancer)
├waifu2x (Enhancer)
└myheritage (Enhancer)
@tomhunter
├Open Metadata (EXIF)
├search4faces (Find Face)
├findclone (Find Face)
├yandex (Find Face)
├@findfacerobot (Find Face)
├@Quick_OSINT_bot (Find Face)
├@ssb_russian_probiv_bot (Find Face)
├eyeofgod (Find Face)
├azure (Find Face)
├betaface (Find Face)
├pictriev (Find Face)
├quiz (Find Face)
├allaboutbirds (Object Ident.)
├plantnet (Object Ident.)
├peakfinder (Object Ident.)
├forensics (Photo Forensic)
├sherloq (Photo Forensic)
├ballistics (Photo Forensic)
├descarteslabs (Factchecking)
├mapchecking (Factchecking)
├suncalc (Factchecking)
├fotorobot (Modelling)
├3Dface (Modelling)
├cameratrace (Camera Trace)
├stolencamerafinder (Camera Trace)
├fotoshop (Enhancer)
├upscaler (Enhancer)
├waifu2x (Enhancer)
└myheritage (Enhancer)
@tomhunter
#news Firefox от Mozilla оказался не таким уж и безопасным браузером, как малевали. Более семи месяцев подряд браузерное дополнение Safepal Wallet воровало криптовалюту из кошельков пользователей. Кстати, у Safepal есть официальные приложения для смартфонов, доступные как в Apple AppStore, так и в Google Play. Но вот расширений для браузеров Safepal не выпускала.
Mozilla, ожидаемо, проводит расследование. Подскажем им, что дополнение использовало для своей работы фишинговый домен https://safeuslife(.)com/tool/, зарегистрированный в начале года через Namecheap.
@tomhunter
Mozilla, ожидаемо, проводит расследование. Подскажем им, что дополнение использовало для своей работы фишинговый домен https://safeuslife(.)com/tool/, зарегистрированный в начале года через Namecheap.
@tomhunter
#news Новый троян BloodyStealer, продаваемый в даркнете, уже активно используется злоумышленниками для кражи учетных записей на таких платформах, как Steam, Epic Games Store и EA Origin. Он способен собирать и красть широкий спектр конфиденциальной информации, включая файлы cookie, пароли, банковские карты, а также сеансы из различных приложений.
@tomhunter
@tomhunter
#news MIT Technology Review пишет, что 2021 год уже поставил рекорд по количеству выявленных уязвимостей нулевого дня. Возможная причина — влиятельные хакерские группировки, вливающие всё больше денег в поиск и использование таких уязвимостей. Да что уж там хакеры, достаточно тех же NSO Group с их Пегасусом вспомнить. Впрочем, не факт, что это такая уж страшная новость: может, радоваться надо, что мы научились лучше такие уязвимости ловить. И не может не радовать, конечно, что эксплойтить их хакерам становится всё сложнее и дороже, с задействованием целых цепочек уязвимостей нулевого дня вместо одной-единственной. Стараемся-с.
@tomhunter
@tomhunter