#news Вот так умирает свобода... под град аплодисментов. Начиная с версии 7.8, Telegram внедрил функцию регулярной проверки актуальности привязанного номера телефона, а также пароля двухфакторной авторизации. С этим уже столкнулись многие пользователи. Если нажмете на «Нет», мессенджер не замедлит предложить привязать к аккаунту новый телефон.

Как Telegram раньше идентифицировал своих пользователей? В начале года мессенджер предложил функцию переноса всей WhatsApp переписки в Telegram. Многие пользователи столкнулись при этом с блокировкой телефонов... которую Telegram предложил решить.

При попытке сделать это открывалось приложение электронной почты, которое формировало автоматическое письмо в поддержку. Т.е. на входе у мессенджера оставались: IMEI устройства, e-mail и номер телефона.

▶️ https://youtu.be/Kh9nFcatHQw

@tomhunter

#OSINT #Photo Всех с началом трудовой недели. Сегодня я поговорю с вами об источниках исследования фотографий:

├Open Metadata (EXIF)
├search4faces (Find Face)
├findclone (Find Face)
├yandex (Find Face)
├@findfacerobot (Find Face)
├@Quick_OSINT_bot (Find Face)
├@ssb_russian_probiv_bot (Find Face)
├eyeofgod (Find Face)
├azure (Find Face)
├betaface (Find Face)
├pictriev (Find Face)
├quiz (Find Face)
├allaboutbirds (Object Ident.)
├plantnet (Object Ident.)
├peakfinder (Object Ident.)
├forensics (Photo Forensic)
├sherloq (Photo Forensic)
├ballistics (Photo Forensic)
├descarteslabs (Factchecking)
├mapchecking (Factchecking)
├suncalc (Factchecking)
├fotorobot (Modelling)
├3Dface (Modelling)
├cameratrace (Camera Trace)
├stolencamerafinder (Camera Trace)
├fotoshop (Enhancer)
├upscaler (Enhancer)
├waifu2x (Enhancer)
└myheritage (Enhancer)

@tomhunter

#news Firefox от Mozilla оказался не таким уж и безопасным браузером, как малевали. Более семи месяцев подряд браузерное дополнение Safepal Wallet воровало криптовалюту из кошельков пользователей. Кстати, у Safepal есть официальные приложения для смартфонов, доступные как в Apple AppStore, так и в Google Play. Но вот расширений для браузеров Safepal не выпускала.

Mozilla, ожидаемо, проводит расследование. Подскажем им, что дополнение использовало для своей работы фишинговый домен https://safeuslife(.)com/tool/, зарегистрированный в начале года через Namecheap.

@tomhunter

#news Новый троян BloodyStealer, продаваемый в даркнете, уже активно используется злоумышленниками для кражи учетных записей на таких платформах, как Steam, Epic Games Store и EA Origin. Он способен собирать и красть широкий спектр конфиденциальной информации, включая файлы cookie, пароли, банковские карты, а также сеансы из различных приложений.

@tomhunter

#news MIT Technology Review пишет, что 2021 год уже поставил рекорд по количеству выявленных уязвимостей нулевого дня. Возможная причина — влиятельные хакерские группировки, вливающие всё больше денег в поиск и использование таких уязвимостей. Да что уж там хакеры, достаточно тех же NSO Group с их Пегасусом вспомнить. Впрочем, не факт, что это такая уж страшная новость: может, радоваться надо, что мы научились лучше такие уязвимости ловить. И не может не радовать, конечно, что эксплойтить их хакерам становится всё сложнее и дороже, с задействованием целых цепочек уязвимостей нулевого дня вместо одной-единственной. Стараемся-с.

@tomhunter

#OSINT #Logger Логирование или установление сведений об устройстве и соединении пользователя сети интернет - это важная часть процесса деанонимизации.

├canarytokens (Logger Files/Link + mask)
├@FakeSMI_bot (Logger News + mask)
├iplogger (Logger Link + mask)
├webresolver (Logger Link + mask)
├locklizard (Logger Pdf)
├pmdoctrack (Logger Pdf)
├grabify (Logger Link)
├ip-trap (Logger Link)
├iknowwhatyoudownload (Logger Link)
└spy (Logger Link)

Маскировка логеров:
├clck, bit, bitly, lnnkin, cli (Link Shorter)
├telegra.ph, medium, teletype, start.me (Logger in Page)
├@LivegramBot, @Manybot, @FleepBot, @BotFather (Logger in Bot)
├https://vk.com/away.php?to=LOGER_LINK (Logger Redirect)
└https://telegraph.com%story%LOGER_LINK/2Fdp94 (Logger Redirect)

Логирование геолокации (GPS, LBS, WiFi, IP):
├seeker (github)
├trape (github)
├TrackUrl (github)
├Bigbro (github)
├r4ven (github)
└iplogger (geologger)

Получение социального профиля:
├socfishing (socphishing)
├dmp (socphishing)
└soceffect (socphishing)

@tomhunter

#news Хакерская группа Nobelium разработала новое вредоносное ПО FoggyWeb (работает с апреля 2021г.), которое представляет собой «пассивный и узконаправленный» бэкдор, злоупотребляющий токеном языка разметки утверждений безопасности (SAML). Microsoft продолжает собирать информацию об уязвимостях, использующихся Nobelium.

@tomhunter

#news У нас всё под контролем. Радионяни, видеоняни, умные часы с трекером - всё для того, чтобы наши дети были в безопасности. Благодаря современным гаджетам мы можем каждую минуту следить за ними. Но кроме нас за нашими детьми также может следить кто-то ещё. Взломы радионянь и смартчасов. Где же дырка в системе безопасности? Узнаем у специалиста компании T.Hunter Владимира Макарова.

▶️ https://youtu.be/SVv5qw0J7F0

@tomhunter

#OSINT #Nickname Разберем сегодня еще одну маленькую тему проверки никнеймов в процессе OSINT-исследований. А ты знал, что у среднестатистического человека обычно имеется 7,6 учетных записей в социальных сетях?

├@maigret_osint_bot (Nickname Checker)
├whatsmyname (Nickname Checker)
├sherlock (Nickname Checker)
├namecheckup (Nickname Checker)
├namechk (Nickname Checker)
├instantusername (Nickname Checker)
└usersearch (Nickname Checker)

Пермутация (подбор) адреса электронной почты по имени и домену:

├NAMINT (Email/SN Permutator)
├polished (Email Permutator)
├metricsparrow (Email Permutator)
├@mailcat_s_bot (Email Permutator)
└google (Email Permutator)

А для поиска социальных профилей просто по фамилии и имени воспользуйся следующим ресурсом:

├NAMINT (Name Checker)
├Google Dork (Name Checker)
└social-searcher (Name Checker)

@tomhunter

#news Служба безопасности Украины (СБУ) отключила сеть из шести колл-центров во Львове, которые используются мошенниками. Мошенники, стоящие за этими незаконными центрами обработки вызовов, использовали телефонные номера VoIP (передача голоса по Интернет-протоколу), чтобы скрыть свое местонахождение и обмануть тысячи иностранных граждан. Операторы предлагали иностранцам вкладывать деньги в акции и криптовалюту.

@tomhunter

#news Исследователи из ThreatFabric обнаружили новый троян ERMAC, базирующийся на исходниках Cerberus. Пока что атакует только польских пользователей. Предполагается, что за ним стоит та же группировка, что распространяла ранее малварь BlackRock. Троян маскируется под самые разные приложения, от доставки еды до банковских и антивирей, создаёт фишинговые оверлеи и ворует персональные данные. Ещё умеет чистить кэш приложений и воровать учётки, в которые залогинено устройство. По ссылке можно посмотреть, в какие приложения троян целится — их там аж 378.

Как пишут исследователи, ERMAC напоминает нам о том, что слив исходников той или иной малвари может не только облегчить экспертам её обезвреживание, но и помочь другим хакерам склепать на этой основе что-нибудь новенькое.

@tomhunter

#news Лучший канал про Apple снова на связи. Если AirTag, отслеживающее устройство от Яблока, находится в режиме утери, то обнаруживший его человек сможет просканировать находку телефоном и увидеть номер телефона владельца, чтобы с ним связаться.

Оказывается, можно сделать так, что доброхот увидит не номер, а фишинговую страницу iCloud или ещё какой-нибудь зловредный сайт. Причём сделать это очень просто: Apple не запрещает владельцу ЭйрТэга вставить в поле «мобильный телефон» вообще любой код. Такие вот маленькие милые троянчики.

@tomhunter

#OSINT #Phone Сегодня я разберу тему идентификации личностей владельцев телефонных номеров в рамках OSINT-исследований. Тема обширная и довольно актуальная для нашего времени:

├testhlr (HLR)
├getcontact (Caller ID)
├sync (Caller ID)
├numbuster (Caller ID)
├truecaller (Caller ID)
├whocalls (Caller ID)
├yandex (Caller ID)
├sberbank (Bank Cards)
├@getfb_bot (Facebook Check)
├epieos (Skype Check)
├phonebook (Dorks)
├phoneinfoga (Dorks)
├intelx (Dorks)
├infotracer (Service)
├pipl (Service)
├telpoisk (Service)
├@Deltainformbot (Service)
├@OSINTInfoRobot (Service)
├@QuickOSINT_Robot (Service)
├eyeofgod (Service)
├@Tpoisk_Bot (Service)
├@UniversalSearchRobot (Service)
├@usersbox_bot (Service)
├saverudata.info (Service)
├Moriarty-Project (Service)
├isphere (Service)
└AVinfoBot (Service)

‼️ Не забывай проверять номер телефона в системах восстановления пароля к популярным онлайн-сервисам. Кроме этого, обратите внимание на возможность установления геолокации мобильника.

@tomhunter

#news Для кого-то, увы, это утро вышло не таким добрым — вчера в московский офис Group-IB пришли с обыском. Возможно, задержан и её CEO, Илья Сачков.

Представитель компании говорит, что причины обысков им не известны. В урле статьи в издании, которое первым написало о происходящем, значится gendirektor-group-ib-zaderzhan-po-podozreniyu-v-gosizmene — возможно, речь о неком шпионском деле. А может, всё из-за дела 2020 года, в котором власти США обвинили сотрудника Group-IB в заговоре с целью продажи данных, которые его подельник якобы украл у соцсети Formspring в 2012 году. Компания тогда сообщила, что обвинения бездоказательные. Позднее выяснилось, что в 2014 этот сотрудник встретился с ФБР в посольстве США в Москве и дал им некие показания — в том числе о «связях с российскими хакерами». По его утверждению, показания давал с согласия CEO.

В общем, о деталях пока мало что ясно.

@tomhunter

#news Вредонос FinFisher (он же FinSpy и Wingbird) теперь может заражать устройства Windows с помощью буткита UEFI, внедряемого в диспетчер загрузки Windows. ПО было разработано Gamma Group и также имеет возможности, часто встречающиеся у шпионских программ. Разработчик заявляет, что он продает FinFisher исключительно правоохранительным органам по всему миру. Однако его следы обнаруживались в ряде хакерских атак.

@tomhunter

#OSINT #Phone Давайте еще одну тему разберу с вами сегодня - про возможность установления геолокации мобильника по данным GPS, LBS, WiFi или IP. Речь, естественно, идет о тех случаях, когда физического доступа к устройству у меня нет. Существует несколько методов получения подобной информации.

А) посредством направления пользователю геологгера:

├seeker (geologger)
├trape (geologger)
├TrackUrl (geologger)
├Bigbro (geologger)
├r4ven (geologger)
└iplogger (geologger)

В) посредством локализации пользователя по его рекламным идентификаторам:

├yandex (ADINT)
├google (ADINT)
└mytarget (ADINT)

З.Ы. аналогичная тема, но для электронной почты.

@tomhunter

#news Троян GriftHorse заразил более 10 миллионов устройств Android в 70 странах мира. Вредоносная программа распространялась через 200 с лишним приложений в Google Play и сторонних магазинах приложений. После установки на телефон жертвы эти вредоносные приложения получали доступ к номеру мобильного телефона и использовали его для подписки ничего не подозревающих жертв на премиальные SMS-услуги, которые взимали более 30 евро в месяц с их телефонных счетов.

@tomhunter

#OSINT #IP Привет всем! Сегодня я хочу обсудить с вами ряд источников, которые использую при проведении OSINT-исследований IP-адреса:

├maxmind (GeoIP)
├sypexgeo (GeoIP)
├ipinfo (GeoIP)
├domaintools (WHOIS)
├virustotal (Virus Check)
├dnsdumpster (DNS)
├ptrarchive (DNS)
├dnslytics (DNS)
├viewdns (DNS)
├intelx (Leaks)
├leakix (Leaks)
├cyberhubarchive (Skype Leaks)
├webresolver (Skype Leaks)
├talosintelligence (IP Quality)
├ipqualityscore (IP Quality)
├fofa (IoT)
├censys (IoT)
├zoomeye (IoT)
├shodan (IoT)
├alienvault (Framework)
├spiderfoot (Framework)
├robtex (Framework)
├@UniversalSearchRobot (Framework)
├threatcrowd (Visualization)
├canarytokens (Logger IP)
├grabify (Logger IP)
├iplogger (Logger IP)
└iknowwhatyoudownload (Torrents)

P.S. Еще небольшая подборка источников для исследования IP. Источники для уточнения геолокации IP.

@tomhunter

#news Исследователи нашли способ совершать мошеннические платежи с помощью Apple Pay с заблокированного iPhone с картой Visa в цифровом кошельке с включенным экспресс-режимом.

Метод сродни цифровой версии карманной кражи. Он работает по воздуху, даже если iPhone находится в сумке или в чьем-то кармане и нет лимита транзакций.

Исследователи смогли имитировать транзакцию с ограничением доступа к билетам, используя устройство Proxmark, действующее как устройство чтения карт, которое обменивается данными с целевым iPhone, и телефон Android с чипом NFC, который обменивается данными с платежным терминалом.

▶️ https://vimeo.com/618441042

@tomhunter

#news Замечена новая группировка, которая атакует российские топливно-энергетический комплекс и авиационную промышленность. Кроме этих индустрий у нас, среди жертв прочие важные организации в ещё десятке стран.

Главная цель — хищение данных. В основном ChamelGang интересны использованием некой новой малвари, среди которой можно отметить пассивный бэкдор DoorMe. Построен так, что антивирям его поймать сложно, а вот возможности внутри заражённой системы даёт впечатляющие.

Группировку назвали ChamelGang за пристрастие к фишингу: ребята создают клоны сервисов Google, Microsoft, IBM и иже с ними. В том числе, конечно, копируют их сервисы обновлений и поддержки.

@tomhunter

#news Принёс киберпанка тебе в вечернюю ленту! Части армии США начали постепенно вручать оружие с RFID-метками.

Многие считают, что с точки зрения безопасности это крайне неоднозначное решение, поскольку такие солдаты становятся уязвимыми для разнообразных кибератак. Самое, например, очевидное: противник сможет отслеживать по этим меткам их положение.

Министерство обороны, военно-морской флот и морская пехота уже отказались от такого оружия как раз из соображений безопасности. Зато у 5 военно-воздушных подразделений и минимум одного флоридского спецназовского отряда такое оружие в арсенале имеется.

Что тут сказать... Любишь риск, да?

@tomhunter