#OSINT #Nickname Разберем сегодня еще одну маленькую тему проверки никнеймов в процессе OSINT-исследований. А ты знал, что у среднестатистического человека обычно имеется 7,6 учетных записей в социальных сетях?

├@maigret_osint_bot (Nickname Checker)
├whatsmyname (Nickname Checker)
├sherlock (Nickname Checker)
├namecheckup (Nickname Checker)
├namechk (Nickname Checker)
├instantusername (Nickname Checker)
└usersearch (Nickname Checker)

Пермутация (подбор) адреса электронной почты по имени и домену:

├NAMINT (Email/SN Permutator)
├polished (Email Permutator)
├metricsparrow (Email Permutator)
├@mailcat_s_bot (Email Permutator)
└google (Email Permutator)

А для поиска социальных профилей просто по фамилии и имени воспользуйся следующим ресурсом:

├NAMINT (Name Checker)
├Google Dork (Name Checker)
└social-searcher (Name Checker)

@tomhunter

#news Служба безопасности Украины (СБУ) отключила сеть из шести колл-центров во Львове, которые используются мошенниками. Мошенники, стоящие за этими незаконными центрами обработки вызовов, использовали телефонные номера VoIP (передача голоса по Интернет-протоколу), чтобы скрыть свое местонахождение и обмануть тысячи иностранных граждан. Операторы предлагали иностранцам вкладывать деньги в акции и криптовалюту.

@tomhunter

#news Исследователи из ThreatFabric обнаружили новый троян ERMAC, базирующийся на исходниках Cerberus. Пока что атакует только польских пользователей. Предполагается, что за ним стоит та же группировка, что распространяла ранее малварь BlackRock. Троян маскируется под самые разные приложения, от доставки еды до банковских и антивирей, создаёт фишинговые оверлеи и ворует персональные данные. Ещё умеет чистить кэш приложений и воровать учётки, в которые залогинено устройство. По ссылке можно посмотреть, в какие приложения троян целится — их там аж 378.

Как пишут исследователи, ERMAC напоминает нам о том, что слив исходников той или иной малвари может не только облегчить экспертам её обезвреживание, но и помочь другим хакерам склепать на этой основе что-нибудь новенькое.

@tomhunter

#news Лучший канал про Apple снова на связи. Если AirTag, отслеживающее устройство от Яблока, находится в режиме утери, то обнаруживший его человек сможет просканировать находку телефоном и увидеть номер телефона владельца, чтобы с ним связаться.

Оказывается, можно сделать так, что доброхот увидит не номер, а фишинговую страницу iCloud или ещё какой-нибудь зловредный сайт. Причём сделать это очень просто: Apple не запрещает владельцу ЭйрТэга вставить в поле «мобильный телефон» вообще любой код. Такие вот маленькие милые троянчики.

@tomhunter

#OSINT #Phone Сегодня я разберу тему идентификации личностей владельцев телефонных номеров в рамках OSINT-исследований. Тема обширная и довольно актуальная для нашего времени:

├testhlr (HLR)
├getcontact (Caller ID)
├sync (Caller ID)
├numbuster (Caller ID)
├truecaller (Caller ID)
├whocalls (Caller ID)
├yandex (Caller ID)
├sberbank (Bank Cards)
├@getfb_bot (Facebook Check)
├epieos (Skype Check)
├phonebook (Dorks)
├phoneinfoga (Dorks)
├intelx (Dorks)
├infotracer (Service)
├pipl (Service)
├telpoisk (Service)
├@Deltainformbot (Service)
├@OSINTInfoRobot (Service)
├@QuickOSINT_Robot (Service)
├eyeofgod (Service)
├@Tpoisk_Bot (Service)
├@UniversalSearchRobot (Service)
├@usersbox_bot (Service)
├saverudata.info (Service)
├Moriarty-Project (Service)
├isphere (Service)
└AVinfoBot (Service)

‼️ Не забывай проверять номер телефона в системах восстановления пароля к популярным онлайн-сервисам. Кроме этого, обратите внимание на возможность установления геолокации мобильника.

@tomhunter

#news Для кого-то, увы, это утро вышло не таким добрым — вчера в московский офис Group-IB пришли с обыском. Возможно, задержан и её CEO, Илья Сачков.

Представитель компании говорит, что причины обысков им не известны. В урле статьи в издании, которое первым написало о происходящем, значится gendirektor-group-ib-zaderzhan-po-podozreniyu-v-gosizmene — возможно, речь о неком шпионском деле. А может, всё из-за дела 2020 года, в котором власти США обвинили сотрудника Group-IB в заговоре с целью продажи данных, которые его подельник якобы украл у соцсети Formspring в 2012 году. Компания тогда сообщила, что обвинения бездоказательные. Позднее выяснилось, что в 2014 этот сотрудник встретился с ФБР в посольстве США в Москве и дал им некие показания — в том числе о «связях с российскими хакерами». По его утверждению, показания давал с согласия CEO.

В общем, о деталях пока мало что ясно.

@tomhunter

#news Вредонос FinFisher (он же FinSpy и Wingbird) теперь может заражать устройства Windows с помощью буткита UEFI, внедряемого в диспетчер загрузки Windows. ПО было разработано Gamma Group и также имеет возможности, часто встречающиеся у шпионских программ. Разработчик заявляет, что он продает FinFisher исключительно правоохранительным органам по всему миру. Однако его следы обнаруживались в ряде хакерских атак.

@tomhunter

#OSINT #Phone Давайте еще одну тему разберу с вами сегодня - про возможность установления геолокации мобильника по данным GPS, LBS, WiFi или IP. Речь, естественно, идет о тех случаях, когда физического доступа к устройству у меня нет. Существует несколько методов получения подобной информации.

А) посредством направления пользователю геологгера:

├seeker (geologger)
├trape (geologger)
├TrackUrl (geologger)
├Bigbro (geologger)
├r4ven (geologger)
└iplogger (geologger)

В) посредством локализации пользователя по его рекламным идентификаторам:

├yandex (ADINT)
├google (ADINT)
└mytarget (ADINT)

З.Ы. аналогичная тема, но для электронной почты.

@tomhunter

#news Троян GriftHorse заразил более 10 миллионов устройств Android в 70 странах мира. Вредоносная программа распространялась через 200 с лишним приложений в Google Play и сторонних магазинах приложений. После установки на телефон жертвы эти вредоносные приложения получали доступ к номеру мобильного телефона и использовали его для подписки ничего не подозревающих жертв на премиальные SMS-услуги, которые взимали более 30 евро в месяц с их телефонных счетов.

@tomhunter

#OSINT #IP Привет всем! Сегодня я хочу обсудить с вами ряд источников, которые использую при проведении OSINT-исследований IP-адреса:

├maxmind (GeoIP)
├sypexgeo (GeoIP)
├ipinfo (GeoIP)
├domaintools (WHOIS)
├virustotal (Virus Check)
├dnsdumpster (DNS)
├ptrarchive (DNS)
├dnslytics (DNS)
├viewdns (DNS)
├intelx (Leaks)
├leakix (Leaks)
├cyberhubarchive (Skype Leaks)
├webresolver (Skype Leaks)
├talosintelligence (IP Quality)
├ipqualityscore (IP Quality)
├fofa (IoT)
├censys (IoT)
├zoomeye (IoT)
├shodan (IoT)
├alienvault (Framework)
├spiderfoot (Framework)
├robtex (Framework)
├@UniversalSearchRobot (Framework)
├threatcrowd (Visualization)
├canarytokens (Logger IP)
├grabify (Logger IP)
├iplogger (Logger IP)
└iknowwhatyoudownload (Torrents)

P.S. Еще небольшая подборка источников для исследования IP. Источники для уточнения геолокации IP.

@tomhunter

#news Исследователи нашли способ совершать мошеннические платежи с помощью Apple Pay с заблокированного iPhone с картой Visa в цифровом кошельке с включенным экспресс-режимом.

Метод сродни цифровой версии карманной кражи. Он работает по воздуху, даже если iPhone находится в сумке или в чьем-то кармане и нет лимита транзакций.

Исследователи смогли имитировать транзакцию с ограничением доступа к билетам, используя устройство Proxmark, действующее как устройство чтения карт, которое обменивается данными с целевым iPhone, и телефон Android с чипом NFC, который обменивается данными с платежным терминалом.

▶️ https://vimeo.com/618441042

@tomhunter

#news Замечена новая группировка, которая атакует российские топливно-энергетический комплекс и авиационную промышленность. Кроме этих индустрий у нас, среди жертв прочие важные организации в ещё десятке стран.

Главная цель — хищение данных. В основном ChamelGang интересны использованием некой новой малвари, среди которой можно отметить пассивный бэкдор DoorMe. Построен так, что антивирям его поймать сложно, а вот возможности внутри заражённой системы даёт впечатляющие.

Группировку назвали ChamelGang за пристрастие к фишингу: ребята создают клоны сервисов Google, Microsoft, IBM и иже с ними. В том числе, конечно, копируют их сервисы обновлений и поддержки.

@tomhunter

#news Принёс киберпанка тебе в вечернюю ленту! Части армии США начали постепенно вручать оружие с RFID-метками.

Многие считают, что с точки зрения безопасности это крайне неоднозначное решение, поскольку такие солдаты становятся уязвимыми для разнообразных кибератак. Самое, например, очевидное: противник сможет отслеживать по этим меткам их положение.

Министерство обороны, военно-морской флот и морская пехота уже отказались от такого оружия как раз из соображений безопасности. Зато у 5 военно-воздушных подразделений и минимум одного флоридского спецназовского отряда такое оружие в арсенале имеется.

Что тут сказать... Любишь риск, да?

@tomhunter

#OSINT #Media Раскрою сегодня одну небольшую тему. Речь пойдет о мониторинге упоминаемости в СМИ при помощи бесплатных источников:

├kribrum (Media Monitoring)
├IBM Watson News Explorer (Media Monitoring)
├alerts (Media Monitoring)
├sitesputnik (Media Monitoring)
├yandex_news (Media Monitoring)
└tgstat (Telegram Monitoring)

З.Ы. Подробнее о том, как наладить мониторинг деятельности субъектов бизнеса.

@tomhunter

#news Хакерская группа GhostEmperor использует руткит Demodex, который действует как бэкдор для сохранения устойчивости на скомпрометированных серверах. Основная цель этого руткита - скрыть вредоносные артефакты (включая файлы, ключи реестра и сетевой трафик), чтобы избежать обнаружения как судебными следователями, так и продуктами безопасности. Чтобы обойти механизм принудительного применения подписи драйверов Windows, GhostEmperor использует схему загрузки, включающую компонент проекта с открытым исходным кодом под названием« Cheat Engine. Чтобы взломать серверы своих жертв, злоумышленники использовали известные уязвимости в серверном программном обеспечении с выходом в Интернет, включая Apache, Window IIS, Oracle и Microsoft Exchange.

@tomhunter

#news Злоумышленники замаскировали программу удаленного доступа Sarwent под сервис обнаружения шпионского ПО Pegasus от Amnesty International. Вредоносная программа выглядит и действует как часть законного антивирусного решения, специально созданного для сканирования системы на наличие следов Pegasus и их удаления.

Для распространения вредоноса, преступники используют поддельные сайты Amnesty International:

amnestyinternationalantipegasus [.] com
amnestyvspegasus [.] com 
antisticksusamnesty [.] com

@tomhunter

#OSINT #Maltego Если кто не знает, у меня есть уютный блог на Хабре. Там я пишу про информационную безопасность, пентесты, а еще выкладываю практические уроки для пользователей Maltego:

1. Что такое Maltego и зачем оно вообще нужно
2. Интерфейс и базовое устройство
3. Maltego и OSINT в Facebook
4. Maltego и OSINT в ВК, Instagram, LinkedIN и других соцсетях
5. Применение системы распознавания лиц для OSINT в Maltego
6. Поиск информации с применением геолокации
7. DarkNet matter
8. Maltego для бедных или какие есть бесплатные дополнения к ней

P.S. Дополнение от НЦБ Интерпол. Различные API для подключения к Maltego. Обучающие видеоролики.

@tomhunter

#news Google объявила, что Chrome переедет на Manifest V3. Расширения, написанные под предыдущей версией фреймворка, перестанут работать с января 2023 года — получается, через год с небольшим. Отправлять новые расширения для второй версии нельзя уже с января 2022.

Почему это важно? Потому что среди этих расширений и блокировщики рекламы, которые под третьим Манифестом работать не смогут. Разработчики блокировщиков, например автор uBlock Origin, опасаются, что новый фреймворк не позволит организовать и простейшие фильтры. В какой-то степени блокировщики работать смогут, но, судя по всему, будут лишь жалким подобием нынешних версий. Mozilla при этом заявила, что Firefox тоже перейдёт на Manifest V3, но частично: не перенесёт то, что ломает работу блокировщиков.

@tomhunter

#news Криптобиржа Coinbase уведомила 6000 пользователей о том, что их аккаунты оказались взломаны из-за уязвимости в системе двухфакторки. Пострадавших не так много (на фоне 68 миллионов пользователей биржи), потому что для взлома хакеру нужно было знать адрес почты жертвы, её номер телефона и пароль, плюс иметь доступ к почтовому ящику. Судя по всему, эти данные взломщики получили через фишинг или какую-нибудь очередную малварь, ворующую пароли с устройства.

По-хорошему, тут должна была сработать защита — украсть деньги всё равно бы не вышло без кода из смски. Но в системе был баг, позволивший хакерам получить нужный для доступа к аккаунту токен двухфакторки. Биржа компенсировала пострадавшим все утраченные средства за свой счёт, но перед этим злоумышленники успели посмотреть на все персональные данные своих жертв, от полных имён и домашних адресов до IP и истории транзакций.

@tomhunter

#news Федеральная комиссия по связи США на этой неделе объявила, что приступила к разработке правил, которые остановят незаконный перевыпуск SIM-карт. Напомним, что перевыпуск SIM-карты позволяет злоумышленнику получить доступ к большинству онлайн-сервисов жертвы, использующих номер мобильного телефона в качестве средства двухфакторной идентификации.

Мер, в принципе, может быть две. Во-первых, запрет совершения действий с SIM-картой по доверенности. Т.е. без личного присутствия владельца этой SIM-карты. Во-вторых, введение кодового слова для совершения регистрационных действий. Аналогично тому, как кодовое слово используется для подтверждения личности клиента банка.

@tomhunter

#news Желание стать хакером выразила пятая часть участников опроса ESET, проведенного среди российских пользователей в сентябре 2021 года. Больше всего в этой роли хотят попробовать себя молодые люди в возрасте от 18 до 24 лет, в т.ч. 23% мужчин и 16% женщин. По мнению 47% россиян, хакеры могут приносить пользу обществу, быть хорошими и честными, но 53% не согласны - по их мнению, хакеры - обманщики и мошенники.

@tomhunter