#news Недавно обнаруженная хакерская группа FamousSparrow нацелена на отели по всему миру по крайней мере с 2019 года, а также на высокопоставленные персоны и международные организации. Кибершпионы нацелены на жертв со всей Европы (Франция, Литва, Великобритания), Ближнего Востока (Израиль, Саудовская Аравия), Америки (Бразилия, Канада, Гватемала), Азии (Тайвань) и Африки (Буркина-Фасо) в атаки за последние два года.
Группа использует несколько векторов атак в веб-приложениях, доступных в Интернете, для взлома сетей своих целей, в том числе уязвимости удаленного выполнения кода в Microsoft SharePoint, программном обеспечении для управления отелями Oracle Opera и уязвимости безопасности Microsoft Exchange, известные как ProxyLogon.
@tomhunter
Группа использует несколько векторов атак в веб-приложениях, доступных в Интернете, для взлома сетей своих целей, в том числе уязвимости удаленного выполнения кода в Microsoft SharePoint, программном обеспечении для управления отелями Oracle Opera и уязвимости безопасности Microsoft Exchange, известные как ProxyLogon.
@tomhunter
#news Продолжаем о супер-защищённых смартфонах от компании, которая заботится о вашей приватности. The Washington Post и компания-разработчик софта для приватности Lockdown провели совместное исследование о рекламодателях на платформах Apple. Исследование выяснило, что популярные iOS-приложения отправляют рекламодателям данные об устройстве, не спрашивая пользователя и постоянно находя новые лазейки в придуманной Apple App Tracking Transparency.
Персональные данные пользователя по яблочному Identifier for Advertisers (IDFA) пользователя не вывести, но разложить его на рекламную бигдату — это запросто. Например, приложение сможет увидеть, что ты тапнул по баннеру с рекламой Айфона, поэтому теперь будешь завален рекламой гаджетов. В The Washington Post пишут, что некоторые приложения — например, одно из включённых в исследование, игра Subway Surfers — передают прямо безумные объёмы данных. Там чего только нет: от страны и версии iOS до уровня зарядки батареи и названия устройства.
@tomhunter
Персональные данные пользователя по яблочному Identifier for Advertisers (IDFA) пользователя не вывести, но разложить его на рекламную бигдату — это запросто. Например, приложение сможет увидеть, что ты тапнул по баннеру с рекламой Айфона, поэтому теперь будешь завален рекламой гаджетов. В The Washington Post пишут, что некоторые приложения — например, одно из включённых в исследование, игра Subway Surfers — передают прямо безумные объёмы данных. Там чего только нет: от страны и версии iOS до уровня зарядки батареи и названия устройства.
@tomhunter
#news Продолжаем-с превращать этот канал в вестник яблочных разочарований — зачастили они как-то с поводами. Недавно Яблоко придумало iCloud Private Relay Service, сервис для сокрытия IP и локации. Тот самый, который решили не запускать на территории России и некоторых других стран.
По идее, они переизобрели и сильно упростили Тор, но реализация оставляет желать лучшего. Оказывается, в сервисе есть дыры, позволяющие перехватить через WebRTC реальный IP пользователя. STUN-запросы через iCloud Private Relay Service не проксируются, поэтому IP может быть перехвачен во время обмена ICE-кандидатов: остаётся его просто оттуда спарсить.
Уязвимость заметили и зарепортили Яблоку исследователи из FingerprintJS, в обзоре от них есть все детали.
@tomhunter
По идее, они переизобрели и сильно упростили Тор, но реализация оставляет желать лучшего. Оказывается, в сервисе есть дыры, позволяющие перехватить через WebRTC реальный IP пользователя. STUN-запросы через iCloud Private Relay Service не проксируются, поэтому IP может быть перехвачен во время обмена ICE-кандидатов: остаётся его просто оттуда спарсить.
Уязвимость заметили и зарепортили Яблоку исследователи из FingerprintJS, в обзоре от них есть все детали.
@tomhunter
#news Google извинилась за волну электронных писем, предупреждающих клиентов Google Cloud Platform, Firebase или API о том, что их учетные записи могут быть приостановлены. Пользователи начали получать эти электронные письма 22 сентября, в которых содержалось предупреждение о том, что их учетная запись «просрочена или не имеет действительной платежной информации». Вопрос лишь в том, как скоро этим же предлогом воспользуются распространители фишинговых рассылок.
@tomhunter
@tomhunter
#news В 2020 в Совкомбанке поймали сотрудника внешнего колл-центра, втихую копировавшего заявки на кредит: он получил два года условно. Пока шло следствие, сотрудник предложил собранную базу данных клиентов на продажу в своём Телеграм-канале. Совкомбанк снова обратился в полицию, и дело через ФСБ было передано в суд.
Теперь список людей, оставлявших заявку на кредит в Совкомбанке, лежит в открытом доступе в даркнете. Слито всё — от ФИО, паспортных данных и номера телефона до размера дохода, места работы и контактов родственников. Надеюсь, хотя бы моих читателей это не задело.
@tomhunter
Теперь список людей, оставлявших заявку на кредит в Совкомбанке, лежит в открытом доступе в даркнете. Слито всё — от ФИО, паспортных данных и номера телефона до размера дохода, места работы и контактов родственников. Надеюсь, хотя бы моих читателей это не задело.
@tomhunter
#news На этой неделе киберпреступники захватили управление сайтом Bitcoin.org. С его помощью они смогли запустить мошенническую кампанию якобы с раздачей криптовалюты. Взлом продлился около суток, но за это время мошенники сумели получить не менее 17 000$. Предположительный криптокошелек преступников 1NgoFwgsfZ19RrCUhTmmuLpmdek45nRd5N. Сейчас Bitcoin.org восстановлен. Но основная причина взлома веб-сайта пока остается невыясненной. Хотя и имеется предположение, что это был взлом DNS.
@tomhunter
@tomhunter
#news Федеральные спецслужбы США, такие как Агентство национальной безопасности (АНБ) и Центральное разведывательное управление (ЦРУ), опасаются рекламы в Интернете так же сильно, как и все остальные, и используют блокировщики рекламы для смягчения этой потенциальной угрозы. По их мнению, баннер может собирать конфиденциальную информацию о пользователе или даже рассылать вредоносные программы.
Мнение, на самом деле, вполне справедливое. Еще в конце 2017 года американские ученые изучили вопрос использования рекламных идентификаторов пользователей для слежки за ними (ADINT). Через 3 года в Израиле сумели автоматизировать подобную слежку, создав специальный продукт. Он позволяет выявлять рекламные идентификаторы, связанные с электронной почтой или номером телефона, а затем следить за их владельцем, используя для этого данные мобильных приложений. Вы же помните, сколько разрешений даёте таким приложениям.
@tomhunter
Мнение, на самом деле, вполне справедливое. Еще в конце 2017 года американские ученые изучили вопрос использования рекламных идентификаторов пользователей для слежки за ними (ADINT). Через 3 года в Израиле сумели автоматизировать подобную слежку, создав специальный продукт. Он позволяет выявлять рекламные идентификаторы, связанные с электронной почтой или номером телефона, а затем следить за их владельцем, используя для этого данные мобильных приложений. Вы же помните, сколько разрешений даёте таким приложениям.
@tomhunter
#news Команда BBC сняла отличный фильм о жизни кибермошенников. В оригинале фильм называется «Hunting the Social Media Fraudsters». Через короткое время, OSINT-исследователи смогли деанонимизировать одного из предполагаемых преступников, о которых шла речь в фильме. Это было весьма интересно с точки зрения практики.
▶️ https://youtu.be/H0Mzdswq8M0
@tomhunter
▶️ https://youtu.be/H0Mzdswq8M0
@tomhunter
❤1
#news Вот так умирает свобода... под град аплодисментов. Начиная с версии 7.8, Telegram внедрил функцию регулярной проверки актуальности привязанного номера телефона, а также пароля двухфакторной авторизации. С этим уже столкнулись многие пользователи. Если нажмете на «Нет», мессенджер не замедлит предложить привязать к аккаунту новый телефон.
Как Telegram раньше идентифицировал своих пользователей? В начале года мессенджер предложил функцию переноса всей WhatsApp переписки в Telegram. Многие пользователи столкнулись при этом с блокировкой телефонов... которую Telegram предложил решить.
При попытке сделать это открывалось приложение электронной почты, которое формировало автоматическое письмо в поддержку. Т.е. на входе у мессенджера оставались: IMEI устройства, e-mail и номер телефона.
▶️ https://youtu.be/Kh9nFcatHQw
@tomhunter
Как Telegram раньше идентифицировал своих пользователей? В начале года мессенджер предложил функцию переноса всей WhatsApp переписки в Telegram. Многие пользователи столкнулись при этом с блокировкой телефонов... которую Telegram предложил решить.
При попытке сделать это открывалось приложение электронной почты, которое формировало автоматическое письмо в поддержку. Т.е. на входе у мессенджера оставались: IMEI устройства, e-mail и номер телефона.
▶️ https://youtu.be/Kh9nFcatHQw
@tomhunter
YouTube
Вот так свобода и умирает под гром аплодисментов
Enjoy the videos and music you love, upload original content, and share it all with friends, family, and the world on YouTube.
#OSINT #Photo Всех с началом трудовой недели. Сегодня я поговорю с вами об источниках исследования фотографий:
├Open Metadata (EXIF)
├search4faces (Find Face)
├findclone (Find Face)
├yandex (Find Face)
├@findfacerobot (Find Face)
├@Quick_OSINT_bot (Find Face)
├@ssb_russian_probiv_bot (Find Face)
├eyeofgod (Find Face)
├azure (Find Face)
├betaface (Find Face)
├pictriev (Find Face)
├quiz (Find Face)
├allaboutbirds (Object Ident.)
├plantnet (Object Ident.)
├peakfinder (Object Ident.)
├forensics (Photo Forensic)
├sherloq (Photo Forensic)
├ballistics (Photo Forensic)
├descarteslabs (Factchecking)
├mapchecking (Factchecking)
├suncalc (Factchecking)
├fotorobot (Modelling)
├3Dface (Modelling)
├cameratrace (Camera Trace)
├stolencamerafinder (Camera Trace)
├fotoshop (Enhancer)
├upscaler (Enhancer)
├waifu2x (Enhancer)
└myheritage (Enhancer)
@tomhunter
├Open Metadata (EXIF)
├search4faces (Find Face)
├findclone (Find Face)
├yandex (Find Face)
├@findfacerobot (Find Face)
├@Quick_OSINT_bot (Find Face)
├@ssb_russian_probiv_bot (Find Face)
├eyeofgod (Find Face)
├azure (Find Face)
├betaface (Find Face)
├pictriev (Find Face)
├quiz (Find Face)
├allaboutbirds (Object Ident.)
├plantnet (Object Ident.)
├peakfinder (Object Ident.)
├forensics (Photo Forensic)
├sherloq (Photo Forensic)
├ballistics (Photo Forensic)
├descarteslabs (Factchecking)
├mapchecking (Factchecking)
├suncalc (Factchecking)
├fotorobot (Modelling)
├3Dface (Modelling)
├cameratrace (Camera Trace)
├stolencamerafinder (Camera Trace)
├fotoshop (Enhancer)
├upscaler (Enhancer)
├waifu2x (Enhancer)
└myheritage (Enhancer)
@tomhunter
#news Firefox от Mozilla оказался не таким уж и безопасным браузером, как малевали. Более семи месяцев подряд браузерное дополнение Safepal Wallet воровало криптовалюту из кошельков пользователей. Кстати, у Safepal есть официальные приложения для смартфонов, доступные как в Apple AppStore, так и в Google Play. Но вот расширений для браузеров Safepal не выпускала.
Mozilla, ожидаемо, проводит расследование. Подскажем им, что дополнение использовало для своей работы фишинговый домен https://safeuslife(.)com/tool/, зарегистрированный в начале года через Namecheap.
@tomhunter
Mozilla, ожидаемо, проводит расследование. Подскажем им, что дополнение использовало для своей работы фишинговый домен https://safeuslife(.)com/tool/, зарегистрированный в начале года через Namecheap.
@tomhunter
#news Новый троян BloodyStealer, продаваемый в даркнете, уже активно используется злоумышленниками для кражи учетных записей на таких платформах, как Steam, Epic Games Store и EA Origin. Он способен собирать и красть широкий спектр конфиденциальной информации, включая файлы cookie, пароли, банковские карты, а также сеансы из различных приложений.
@tomhunter
@tomhunter
#news MIT Technology Review пишет, что 2021 год уже поставил рекорд по количеству выявленных уязвимостей нулевого дня. Возможная причина — влиятельные хакерские группировки, вливающие всё больше денег в поиск и использование таких уязвимостей. Да что уж там хакеры, достаточно тех же NSO Group с их Пегасусом вспомнить. Впрочем, не факт, что это такая уж страшная новость: может, радоваться надо, что мы научились лучше такие уязвимости ловить. И не может не радовать, конечно, что эксплойтить их хакерам становится всё сложнее и дороже, с задействованием целых цепочек уязвимостей нулевого дня вместо одной-единственной. Стараемся-с.
@tomhunter
@tomhunter
#OSINT #Logger Логирование или установление сведений об устройстве и соединении пользователя сети интернет - это важная часть процесса деанонимизации.
├canarytokens (Logger Files/Link + mask)
├@FakeSMI_bot (Logger News + mask)
├iplogger (Logger Link + mask)
├webresolver (Logger Link + mask)
├locklizard (Logger Pdf)
├pmdoctrack (Logger Pdf)
├grabify (Logger Link)
├ip-trap (Logger Link)
├iknowwhatyoudownload (Logger Link)
└spy (Logger Link)
Маскировка логеров:
├clck, bit, bitly, lnnkin, cli (Link Shorter)
├telegra.ph, medium, teletype, start.me (Logger in Page)
├@LivegramBot, @Manybot, @FleepBot, @BotFather (Logger in Bot)
├https://vk.com/away.php?to=LOGER_LINK (Logger Redirect)
└https://telegraph.com%story%LOGER_LINK/2Fdp94 (Logger Redirect)
Логирование геолокации (GPS, LBS, WiFi, IP):
├seeker (github)
├trape (github)
├TrackUrl (github)
├Bigbro (github)
├r4ven (github)
└iplogger (geologger)
Получение социального профиля:
├socfishing (socphishing)
├dmp (socphishing)
└soceffect (socphishing)
@tomhunter
├canarytokens (Logger Files/Link + mask)
├@FakeSMI_bot (Logger News + mask)
├iplogger (Logger Link + mask)
├webresolver (Logger Link + mask)
├locklizard (Logger Pdf)
├pmdoctrack (Logger Pdf)
├grabify (Logger Link)
├ip-trap (Logger Link)
├iknowwhatyoudownload (Logger Link)
└spy (Logger Link)
Маскировка логеров:
├clck, bit, bitly, lnnkin, cli (Link Shorter)
├telegra.ph, medium, teletype, start.me (Logger in Page)
├@LivegramBot, @Manybot, @FleepBot, @BotFather (Logger in Bot)
├https://vk.com/away.php?to=LOGER_LINK (Logger Redirect)
└https://telegraph.com%story%LOGER_LINK/2Fdp94 (Logger Redirect)
Логирование геолокации (GPS, LBS, WiFi, IP):
├seeker (github)
├trape (github)
├TrackUrl (github)
├Bigbro (github)
├r4ven (github)
└iplogger (geologger)
Получение социального профиля:
├socfishing (socphishing)
├dmp (socphishing)
└soceffect (socphishing)
@tomhunter
❤1
#news Хакерская группа Nobelium разработала новое вредоносное ПО FoggyWeb (работает с апреля 2021г.), которое представляет собой «пассивный и узконаправленный» бэкдор, злоупотребляющий токеном языка разметки утверждений безопасности (SAML). Microsoft продолжает собирать информацию об уязвимостях, использующихся Nobelium.
@tomhunter
@tomhunter
#news У нас всё под контролем. Радионяни, видеоняни, умные часы с трекером - всё для того, чтобы наши дети были в безопасности. Благодаря современным гаджетам мы можем каждую минуту следить за ними. Но кроме нас за нашими детьми также может следить кто-то ещё. Взломы радионянь и смартчасов. Где же дырка в системе безопасности? Узнаем у специалиста компании T.Hunter Владимира Макарова.
▶️ https://youtu.be/SVv5qw0J7F0
@tomhunter
▶️ https://youtu.be/SVv5qw0J7F0
@tomhunter
YouTube
Битый час. Взломы смартчасов и уязвимые радионяни.
#радионяня #смартчасы #взломы #видеоняня #гаджет #трекер #контроль #ребенок #дети #безопасность #скрябин #вестиfm #newsroom #умныечасы #вебкамера
У нас всё под контролем. Радионяни, видеоняни, умные часы с трекером - всё для того, чтобы наши дети были в…
У нас всё под контролем. Радионяни, видеоняни, умные часы с трекером - всё для того, чтобы наши дети были в…
😁1
#OSINT #Nickname Разберем сегодня еще одну маленькую тему проверки никнеймов в процессе OSINT-исследований. А ты знал, что у среднестатистического человека обычно имеется 7,6 учетных записей в социальных сетях?
├@maigret_osint_bot (Nickname Checker)
├whatsmyname (Nickname Checker)
├sherlock (Nickname Checker)
├namecheckup (Nickname Checker)
├namechk (Nickname Checker)
├instantusername (Nickname Checker)
└usersearch (Nickname Checker)
Пермутация (подбор) адреса электронной почты по имени и домену:
├NAMINT (Email/SN Permutator)
├polished (Email Permutator)
├metricsparrow (Email Permutator)
├@mailcat_s_bot (Email Permutator)
└google (Email Permutator)
А для поиска социальных профилей просто по фамилии и имени воспользуйся следующим ресурсом:
├NAMINT (Name Checker)
├Google Dork (Name Checker)
└social-searcher (Name Checker)
@tomhunter
├@maigret_osint_bot (Nickname Checker)
├whatsmyname (Nickname Checker)
├sherlock (Nickname Checker)
├namecheckup (Nickname Checker)
├namechk (Nickname Checker)
├instantusername (Nickname Checker)
└usersearch (Nickname Checker)
Пермутация (подбор) адреса электронной почты по имени и домену:
├NAMINT (Email/SN Permutator)
├polished (Email Permutator)
├metricsparrow (Email Permutator)
├@mailcat_s_bot (Email Permutator)
└google (Email Permutator)
А для поиска социальных профилей просто по фамилии и имени воспользуйся следующим ресурсом:
├NAMINT (Name Checker)
├Google Dork (Name Checker)
└social-searcher (Name Checker)
@tomhunter
❤1🔥1😢1
#news Служба безопасности Украины (СБУ) отключила сеть из шести колл-центров во Львове, которые используются мошенниками. Мошенники, стоящие за этими незаконными центрами обработки вызовов, использовали телефонные номера VoIP (передача голоса по Интернет-протоколу), чтобы скрыть свое местонахождение и обмануть тысячи иностранных граждан. Операторы предлагали иностранцам вкладывать деньги в акции и криптовалюту.
@tomhunter
@tomhunter
#news Исследователи из ThreatFabric обнаружили новый троян ERMAC, базирующийся на исходниках Cerberus. Пока что атакует только польских пользователей. Предполагается, что за ним стоит та же группировка, что распространяла ранее малварь BlackRock. Троян маскируется под самые разные приложения, от доставки еды до банковских и антивирей, создаёт фишинговые оверлеи и ворует персональные данные. Ещё умеет чистить кэш приложений и воровать учётки, в которые залогинено устройство. По ссылке можно посмотреть, в какие приложения троян целится — их там аж 378.
Как пишут исследователи, ERMAC напоминает нам о том, что слив исходников той или иной малвари может не только облегчить экспертам её обезвреживание, но и помочь другим хакерам склепать на этой основе что-нибудь новенькое.
@tomhunter
Как пишут исследователи, ERMAC напоминает нам о том, что слив исходников той или иной малвари может не только облегчить экспертам её обезвреживание, но и помочь другим хакерам склепать на этой основе что-нибудь новенькое.
@tomhunter
#news Лучший канал про Apple снова на связи. Если AirTag, отслеживающее устройство от Яблока, находится в режиме утери, то обнаруживший его человек сможет просканировать находку телефоном и увидеть номер телефона владельца, чтобы с ним связаться.
Оказывается, можно сделать так, что доброхот увидит не номер, а фишинговую страницу iCloud или ещё какой-нибудь зловредный сайт. Причём сделать это очень просто: Apple не запрещает владельцу ЭйрТэга вставить в поле «мобильный телефон» вообще любой код. Такие вот маленькие милые троянчики.
@tomhunter
Оказывается, можно сделать так, что доброхот увидит не номер, а фишинговую страницу iCloud или ещё какой-нибудь зловредный сайт. Причём сделать это очень просто: Apple не запрещает владельцу ЭйрТэга вставить в поле «мобильный телефон» вообще любой код. Такие вот маленькие милые троянчики.
@tomhunter