#news Google сегодня заявила о том, что в 2021 году она разослала клиентам около 50 000 предупреждений о спонсируемых государством попытках фишинга или взлома, что на 33% больше, чем в предыдущем году. Из них, более 14 000 предупреждений по APT28. Пользователям рекомендуется серьезно отнестись к этим предупреждениям и рассмотреть возможность регистрации в программе Advanced Protection Program или включения двухфакторной аутентификации, если они еще этого не сделали.
@tomhunter
@tomhunter
#OSINT #Security Сегодня расскажу вам об источниках информации, предназначенных для сбора данных о гражданах России. Их использование, без сомнения, пригодится для верификации анкетных данных и скоринга. Начинаем...
├interpol (розыск)
├mvd (розыск)
├fsin (розыск)
├fssp и suspect (2 вида розыска)
├terrorists (терроризм)
├passport (проверка паспорта)
├inn (проверка ИНН)
├гибдд (проверка ВУ)
├obrnadzor (проверка диплома)
├exbico (кредиты)
├fssp (исполнительные производства)
├peney (налоги)
├reestr-zalogov (залоги)
├fedresurs (банкротство)
├sudrf (участие в судах)
├sudact (участие в судах)
├mos-sud (мировые суды МСК)
├mirsud (мировые суды СПб)
├kad (арбитражные суды)
├гибдд (нарушения ПДД)
├integrum (связь с бизнесом)
├zachestnyibiznes (связь с бизнесом)
├list_org (связь с бизнесом)
├rusprofile (связь с бизнесом)
├search_social (социальные сети)
├social_searcher (социальные сети)
├search4faces (социальные сети)
└obrnadzor (проверка диплома)
@tomhunter
├interpol (розыск)
├mvd (розыск)
├fsin (розыск)
├fssp и suspect (2 вида розыска)
├terrorists (терроризм)
├passport (проверка паспорта)
├inn (проверка ИНН)
├гибдд (проверка ВУ)
├obrnadzor (проверка диплома)
├exbico (кредиты)
├fssp (исполнительные производства)
├peney (налоги)
├reestr-zalogov (залоги)
├fedresurs (банкротство)
├sudrf (участие в судах)
├sudact (участие в судах)
├mos-sud (мировые суды МСК)
├mirsud (мировые суды СПб)
├kad (арбитражные суды)
├гибдд (нарушения ПДД)
├integrum (связь с бизнесом)
├zachestnyibiznes (связь с бизнесом)
├list_org (связь с бизнесом)
├rusprofile (связь с бизнесом)
├search_social (социальные сети)
├social_searcher (социальные сети)
├search4faces (социальные сети)
└obrnadzor (проверка диплома)
@tomhunter
🔥5❤1
Хелло... Мы ищем таланты. Если ты молод, энергичен, любишь учиться и хотел бы развиваться в сфере ИБ, то тебе к нам! Пентесты, расследования... будет интересно.
https://spb.hh.ru/employer/4035239
@tomhunter
https://spb.hh.ru/employer/4035239
@tomhunter
❤1
#news Самым загадочным в недавнем взломе Twitch были некие файлы, отсылающие к пицце. Пицце, да. «Удали пицца-скрипт», «пицца-штука», «перемести пиццу в securelogin» и так далее.
Откуда взялась пицца? А оказывается, вот откуда: крупнейший взлом в своей истории Твич пережил вовсе не в этом месяце, а в 2014 году, вскоре после покупки сервиса Амазоном. Ту атаку внутри компании назвали «Urgent Pizza», и доселе о ней ничего не было известно — сотрудники поделились историей только сейчас.
Оставим ехидство-де «поделом» в отношении компании, в которой на тот момент ИБшников-то почти не было, а последствия атаки разгребали долгими неделями и месяцами действующие сотрудники, работая по 20 часов и ночуя в отелях рядом с офисом. Из-за взлома Твичу пришлось, в общем-то, заново перестраивать всю свою инфраструктуру — компания была убеждена, что скомпрометировали все её серверы.
По всей видимости, кто-то не слишком любит учиться на ошибках.
Откуда взялась пицца? А оказывается, вот откуда: крупнейший взлом в своей истории Твич пережил вовсе не в этом месяце, а в 2014 году, вскоре после покупки сервиса Амазоном. Ту атаку внутри компании назвали «Urgent Pizza», и доселе о ней ничего не было известно — сотрудники поделились историей только сейчас.
Оставим ехидство-де «поделом» в отношении компании, в которой на тот момент ИБшников-то почти не было, а последствия атаки разгребали долгими неделями и месяцами действующие сотрудники, работая по 20 часов и ночуя в отелях рядом с офисом. Из-за взлома Твичу пришлось, в общем-то, заново перестраивать всю свою инфраструктуру — компания была убеждена, что скомпрометировали все её серверы.
По всей видимости, кто-то не слишком любит учиться на ошибках.
#news У банка в ОАЭ украли $35 миллионов с помощью дипвойс-фейка. Мошенник подделал голос директора крупной компании, позвонил в банк и рассказал сотруднику, что его компания планирует крупную сделку, поэтому нужно перевести деньги на её новые счета. Ещё мошенники скинули ему электронных писем от «директора» про сделку. Банковский менеджер ничего не заподозрил — голос директора тот же, что и всегда, письма солидно выглядят — и перевёл деньги, куда попросили.
В интересные времена живём.
@tomhunter
В интересные времена живём.
@tomhunter
#news Группировка Desorden взломала индийские серверы Acer и похитила с них 60 гигабайт различных данных. Это финансовые и корпоративные документы, плюс данные миллионов клиентов, продавцов и дистрибьюторов. Теперь эти данные продаются.
Как справедливо подмечают хакеры, они в этом году не первые: весной Acer уже взламывали REvil, потребовавшие выкуп в $50 миллионов.
@tomhunter
Как справедливо подмечают хакеры, они в этом году не первые: весной Acer уже взламывали REvil, потребовавшие выкуп в $50 миллионов.
@tomhunter
#news Новая фишинговая кампания, получившая название MirrorBlast, использует документы Excel. Если жертву обманом заставить открыть вредоносный документ и «разрешить содержимое» в Microsoft Office, макрос выполняет сценарий JScript, который загружает и устанавливает пакет MSI, представлен в двух вариантах: один написан на REBOL, а другой - в KiXtart. Важно отметить, что разработчики MirrorBlast приложили значительные усилия для сокрытия вредоносного кода, добившись нулевого обнаружения на VirusTotal.
@tomhunter
@tomhunter
#news VirusTotal опубликовали масштабный отчёт по вирусам-вымогателям за 2020 и первую половину 2021.
Всего исследователи насчитали около 130 различных рансомварных семейств. Самым активным из них оказался тип GandCrab, лихо бушевавший в начале 2020 и затихший во второй половине года. С большим отрывом отстают Babuk, Cerber, Matsnu и Wannacry.
@tomhunter
Всего исследователи насчитали около 130 различных рансомварных семейств. Самым активным из них оказался тип GandCrab, лихо бушевавший в начале 2020 и затихший во второй половине года. С большим отрывом отстают Babuk, Cerber, Matsnu и Wannacry.
@tomhunter
#news Большая часть компаний и организаций Нидерландов, задействованных в критически важной инфраструктуре, излишне уязвима для хакеров и киберпреступников. Сорок три из сотни опрошенных компаний не смогли оптимально защитить свою систему электронной почты от фишинга, спуфинга и программ-вымогателей. К ним относятся банки, производители энергии и компании по производству питьевой воды.
Пикантная подробность заключается в том, что одна из компаний, которая не обеспечивает должной защиты своей электронной почты, - это атомная электростанция в Борселе. При этом, пресс-секретарь АЭС подчеркивает, что никакая жизненно важная система управления станцией не подключена к Интернету.
@tomhunter
Пикантная подробность заключается в том, что одна из компаний, которая не обеспечивает должной защиты своей электронной почты, - это атомная электростанция в Борселе. При этом, пресс-секретарь АЭС подчеркивает, что никакая жизненно важная система управления станцией не подключена к Интернету.
@tomhunter
#news Возвращаемся к любимой теме! ЕС сейчас расследует Apple в рамках антимонопольного дела: нехорошо, что Яблоко разрешает скачивать приложения только из своего магазина.
В ответ на эти инсинуации компания выпустила отчёт, в котором утверждает, что всё это только ради любимых пользователей и их безопасности. Посмотрите, мол, на Андроид, малварь на малвари малварью погоняет, а у нас вот такого нет почти, и всё благодаря бронебойному чудо-магазину.
Осмелюсь всё же бессовестно предположить, что причину этого отражает график выше, а не эппсторовская магия.
@tomhunter
В ответ на эти инсинуации компания выпустила отчёт, в котором утверждает, что всё это только ради любимых пользователей и их безопасности. Посмотрите, мол, на Андроид, малварь на малвари малварью погоняет, а у нас вот такого нет почти, и всё благодаря бронебойному чудо-магазину.
Осмелюсь всё же бессовестно предположить, что причину этого отражает график выше, а не эппсторовская магия.
@tomhunter
#OSINT #AD Сегодня я расскажу об изучении уникальных рекламных идентификаторов на сайте и их применимости для использования в OSINT-исследованиях. Рекламные идентификаторы (ID) прячутся в коде вебсайта (в Chrome открывается комбинацией клавиш - CTRL+U):
├blacklight (Search AD)
├urlscan (Search AD)
└spiderfoot (Search AD)
Поиск совпадений рекламных идентификаторов:
├spyonweb (Reverse AD)
├shodan (Reverse AD)
├osint.sh (Reverse AD)
├analyzeid (Reverse AD)
├dnslytics (Reverse AD)
└intelx (Reverse AD)
Доступ к чужой статистике:
https://metrika.yandex.ru/dashboard?id=ID
https://top100.rambler.ru/search?query=ID
https://top.mail.ru/visits?id=ID
З.Ы. Подробнее на эту тему читайте в обзорной статье в моем блоге на Хабре. Подробнее об исследовании сайтов.
@tomhunter
AdSense: Pub- или ca-pub
Analytics: UA-
Amazon: &tag=
AddThis: #pubid / pubid
Metrika: mc.yandex / ym
Rambler: top100Сервисы поиска рекламных идентификаторов:
Mail.ru: Top.Mail.Ru
├blacklight (Search AD)
├urlscan (Search AD)
└spiderfoot (Search AD)
Поиск совпадений рекламных идентификаторов:
├spyonweb (Reverse AD)
├shodan (Reverse AD)
├osint.sh (Reverse AD)
├analyzeid (Reverse AD)
├dnslytics (Reverse AD)
└intelx (Reverse AD)
Доступ к чужой статистике:
https://metrika.yandex.ru/dashboard?id=ID
https://top100.rambler.ru/search?query=ID
https://top.mail.ru/visits?id=ID
З.Ы. Подробнее на эту тему читайте в обзорной статье в моем блоге на Хабре. Подробнее об исследовании сайтов.
@tomhunter
#news 13-14 октября США провели двухдневную онлайн-встречу по вопросам кибербезопасности, а если быть точным, то проблемы программ-вымогателей. Участие приняли представители 30 стран. Хотя представителей России на встречу не позвали (как и представителей Китая), было отмечено, что - "Россия сделала определенные шаги в борьбе с киберпреступностью в ответ на сигналы США, которые касаются действующих на российской территории криминальных субъектов".
@tomhunter
@tomhunter
«Основные тренды мошенничества в 2021 году».
Владимир Макаров, T.Hunter
▶️ https://youtu.be/5aYTklSovHc
Читать на Хабре...
@tomhunter
Владимир Макаров, T.Hunter
▶️ https://youtu.be/5aYTklSovHc
Читать на Хабре...
@tomhunter
YouTube
Защита от мошенничества | Безопасная среда
Ландшафт угроз постоянно меняется, криминальные схемы совершенствуются, а угрозы далеко не всегда направлены на непосредственное проникновение внутрь периметра организации. Как на ранних стадиях выявлять потенциально опасные для бизнеса действия и события…
#news Хорошего начала рабочей недели! А у нас тут схлопнулись REvil. «Что, опять?», — может ехидно поинтересоваться давний читатель этого канала, но на сей раз, кажется, ребята решили окончательно и бесповоротно ребрендиться сворачиваться.
Причина простая — кто-то хакнул хакеров, поэтому REvil потеряли доступ и к своему порталу оплаты, и к блогу со сливами данных. Представитель группировки рассказал, что сервер оказался скомпрометирован, а взломщики пытались его вычислить. На этом хакер откланялся, пожелал всем удачи и был таков.
Едва ли кто-то удивится, думаю, если выяснится, что таинственные взломщики взломщиков — это американские правоохранительные органы, которые давно уж точили зуб на REvil.
@tomhunter
Причина простая — кто-то хакнул хакеров, поэтому REvil потеряли доступ и к своему порталу оплаты, и к блогу со сливами данных. Представитель группировки рассказал, что сервер оказался скомпрометирован, а взломщики пытались его вычислить. На этом хакер откланялся, пожелал всем удачи и был таков.
Едва ли кто-то удивится, думаю, если выяснится, что таинственные взломщики взломщиков — это американские правоохранительные органы, которые давно уж точили зуб на REvil.
@tomhunter
#news Исследователи доказали, что можно научить машину угадывать 4-значные PIN-коды карт в 41% случаев, даже если жертва прикрывает терминал. Атака требует настройки реплики целевого банкомата, потому что обучение алгоритма конкретным размерам и расстоянию между клавишами различных контактных площадок имеет решающее значение. Для эксперимента исследователи собрали 5800 видеороликов 58 разных людей из разных демографических групп, введя 4- и 5-значные PIN-коды.
@tomhunter
@tomhunter
#news В Израиле всплеск атак программ-вымогателей, нацеленных медицинские учреждения. Основной жертвой хакеров-вымогателей стал медицинский центр "Гилель Яффе" в Хадере, который не может расшифровать свои данные уже более 6 дней. Атака приписывается китайской группе киберпреступников, использовавших вымогатель DeepBlueMagic. DeepBlueMagin отключает решения безопасности, которые обычно обнаруживают и блокируют попытки шифрования файлов, что позволяет проводить успешные атаки. Само шифрование производится при помощи утилиты BestCrypt.
@tomhunter
@tomhunter
#news Группировка TA505 вернулась и принесла с собой новую RAT-малварь, получившую название FlawedGrace.
TA505 известна бурной деятельностью — они постоянно клепают новую малварь и нередко задают моду. Это те же ребята, что распространяли банковские трояны Dridex и Trick, а также шифровальщики Locky и Jaff. Распространяют всегда очень массово: например, в свежих кампаниях в конце сентября-начале октября фишинговые письма с малварью шли десятками и сотнями тысяч за волну.
Занятная свежая фишка — новые загрузчики, которые написаны на экзотических Rebol и KiXtart.
@tomhunter
TA505 известна бурной деятельностью — они постоянно клепают новую малварь и нередко задают моду. Это те же ребята, что распространяли банковские трояны Dridex и Trick, а также шифровальщики Locky и Jaff. Распространяют всегда очень массово: например, в свежих кампаниях в конце сентября-начале октября фишинговые письма с малварью шли десятками и сотнями тысяч за волну.
Занятная свежая фишка — новые загрузчики, которые написаны на экзотических Rebol и KiXtart.
@tomhunter
#news В Squirrel Engine нашли уязвимость, которая позволяет злоумышленнику выбраться из песочницы SquirrelVM и выполнять произвольный код. Уязвимость закрыли, но стабильного релиза с этим фиксом пока нет.
Squirrel — скриптовый язык, который использует куча игр. Хакер может, например, залить в стимовский воркшоп карту с вредоносным скриптом на Squirrel. Как только владелец частного сервера её установит и запустит игру с ней, зловред сбежит из виртуалки и захватит машину, которая хостит сервер.
@tomhunter
Squirrel — скриптовый язык, который использует куча игр. Хакер может, например, залить в стимовский воркшоп карту с вредоносным скриптом на Squirrel. Как только владелец частного сервера её установит и запустит игру с ней, зловред сбежит из виртуалки и захватит машину, которая хостит сервер.
@tomhunter
#news #decoder Выпущен бесплатный дешифратор вымогателя BlackByte, позволяющий жертвам восстанавливать свои файлы. Дешифратор не остались незамеченным для BlackByte, которые предупредили, что использование дешифратора с неправильным ключом может повредить файлы жертвы. Тем не менее, если вы являетесь жертвой BlackByte и хотите использовать предлагаемый дешифратор, вам нужно будет загрузить исходный код с Github и скомпилировать его самостоятельно.
@tomhunter
@tomhunter
#news Всего за неделю компания Acer подверглась второй кибератаке со стороны хакерской группы «Desorden». Ранее было взломано подразделение Acer Индия, а теперь добрались и до Acer Тайвань. Acer Taiwan отключила уязвимый сервер вскоре после того, как злоумышленники сообщили компании о взломе. Однако хакерская группа заявляет, что другие серверы в Малайзии и Индонезии по-прежнему уязвимы.
@tomhunter
@tomhunter