#news У Robinhood утечка, ставшая результатом успешной социнженерии на сотрудника поддержки. Неизвестные взломщики получили около 5 миллионов электронных почт пользователей и порядка 2 миллионов настоящих имён. Для около 310 (не тысяч, а человек) слиты имя, дата рождения и индекс; ещё на 10 человек получили некие «более детальные данные».
Компания утверждает, что никакой критичной информации — номеров соцстрахования или номеров карт, например — в слив не попало.
Взломщики запросили у Robinhood выкуп, но вместо выплаты компания связалась с правоохранительными органами.
@tomhunter
Компания утверждает, что никакой критичной информации — номеров соцстрахования или номеров карт, например — в слив не попало.
Взломщики запросили у Robinhood выкуп, но вместо выплаты компания связалась с правоохранительными органами.
@tomhunter
#news По поводу "горячей новости" о засвете пользователями Telegram своих телефонов, могу пояснить принцип его работы...
@tomhunter
https://api.telegram.org/bot{токен_бота}/sendContact?chat_id={ваш_id}&phone_number=919876543210&first_name={отображаемое_имя}
Создаёте бота. В описании оставляете данные своего фейкового аккаунта, как аккаунт техподдержки. Выполняете код. Бот вам присылает контакт. Это сообщение отправляете жертве с сообщением "Смотри, в этом боте слили твой номер телефона, чтобы его удалить, обратись к админам со скриншотом записи". Пользователь делает скриншот, где отображается его номер телефона и отправляет вам. Это социальная инженерия. Судя по всему, уязвимость работает только на официальных клиентах под Android.@tomhunter
❤1
#news Проект Tor выпустил Tor Browser 11.0 с новым дизайном пользовательского интерфейса и удалением поддержки луковых сервисов V2. Браузер представляет собой переделку Firefox ESR, которая позволяет пользователям анонимно просматривать веб-страницы и получать доступ к специальным доменам .onion, доступным только через Tor. Наиболее значительным изменением является, давно анонсированное, прекращение поддержки луковых служб V2, означающее, что URL-адреса TOR с короткими 16-символьными именами хостов больше не поддерживаются.
@tomhunter
@tomhunter
#news Забавно-интригующий апдейт по REvil: теперь их луковые сайты (блог со сливами и сервис для выплаты выкупа), которые ранее были взломаны спецслужбами, показывают вот такую страницу с заголовком «Revil это плохо».
На странице есть загадочная форма, требующая логин и пароль — не очень ясно, от чего. А CSS-файл со стилями называется revil_sucks.css.
Интересно, это спецслужбы так развлекаются, или некая сторонняя группировка взломала уже взломанных хакеров?
@tomhunter
На странице есть загадочная форма, требующая логин и пароль — не очень ясно, от чего. А CSS-файл со стилями называется revil_sucks.css.
Интересно, это спецслужбы так развлекаются, или некая сторонняя группировка взломала уже взломанных хакеров?
@tomhunter
#news Microsoft выпустили свежий патч, устраняющий 55 уязвимостей. 6 из них — «нулевые дни», причём две активно эксплойтят хакеры: это уязвимости в Excel и Exchange.
CVE-2021-42292 — уязвимость в Экселе, позволяющая обходить внутреннюю систему безопасности: если пользователь откроет специальный зловредный файл, это позволяло провернуть через Эксель выполнение произвольного кода. Читателей-маководов прошу обратить на это особое внимание — патча под яблочную ОС пока нет, а значит, маковский Excel всё ещё уязвим.
CVE-2021-42321 — RCE-уязвимость в Exchange, затрагивающая версии от 2016 и 2019. Корень проблемы — неверная валидация cmdlet-аргументов. Для эксплойта злоумышленнику нужно быть авторизованным в системе, что немного облегчило возможный урон от неё.
Всем советую как можно быстрее обновиться, а за macOS держим кулачки и ждём Excel-патча.
@tomhunter
CVE-2021-42292 — уязвимость в Экселе, позволяющая обходить внутреннюю систему безопасности: если пользователь откроет специальный зловредный файл, это позволяло провернуть через Эксель выполнение произвольного кода. Читателей-маководов прошу обратить на это особое внимание — патча под яблочную ОС пока нет, а значит, маковский Excel всё ещё уязвим.
CVE-2021-42321 — RCE-уязвимость в Exchange, затрагивающая версии от 2016 и 2019. Корень проблемы — неверная валидация cmdlet-аргументов. Для эксплойта злоумышленнику нужно быть авторизованным в системе, что немного облегчило возможный урон от неё.
Всем советую как можно быстрее обновиться, а за macOS держим кулачки и ждём Excel-патча.
@tomhunter
#news Исследователи заметили корейский штамм вариант Пегасуса, работающий под Android.
Называется спайварь PhoneSpy. Она маскируется под лайфстайл-приложения, при этом даёт взломщикам полный доступ к заражённому устройству. Можно удалённо записывать видео и аудио с камеры и микрофона пользователя, следить за локацией, воровать СМС и чего только не. Полный список возможностей доступен в отчёте Zimperium.
Исследователи считают, что PhoneSpy используется с теми же целями, что и Пегасус. Жертвы — только южнокорейцы — уже есть, но пока не очень ясно, что у них общего и как они связаны.
@tomhunter
Называется спайварь PhoneSpy. Она маскируется под лайфстайл-приложения, при этом даёт взломщикам полный доступ к заражённому устройству. Можно удалённо записывать видео и аудио с камеры и микрофона пользователя, следить за локацией, воровать СМС и чего только не. Полный список возможностей доступен в отчёте Zimperium.
Исследователи считают, что PhoneSpy используется с теми же целями, что и Пегасус. Жертвы — только южнокорейцы — уже есть, но пока не очень ясно, что у них общего и как они связаны.
@tomhunter
#news Исследователь из ТОП-3 гугловского Bug Bounty рассказал на днях в своём блоге о критической уязвимости, которую в 2018 нашёл в GSuite (ныне переименована в Workspace). Она позволяла получить права суперпользователя в любой организации.
Чтобы получить доступ к управлению вообще всем, злоумышленнику нужно было знать лишь домен организации-жертвы и ID её GSuite. Оставалось бы немного поиграться на входе с POST-запросами, и вуаля.
Эксплойт исследователь запечатлел на видео, а о деталях рассказал в блог-посте.
Конечно, уязвимость устранили ещё в 2018, когда автор её и зарепортил. Но это один из тех случаев, когда невольно радуешься, что внимательный исследователь жажду денег и славы решил реализовывать всего-то через багбаунти-программу Гугла...
@tomhunter
Чтобы получить доступ к управлению вообще всем, злоумышленнику нужно было знать лишь домен организации-жертвы и ID её GSuite. Оставалось бы немного поиграться на входе с POST-запросами, и вуаля.
Эксплойт исследователь запечатлел на видео, а о деталях рассказал в блог-посте.
Конечно, уязвимость устранили ещё в 2018, когда автор её и зарепортил. Но это один из тех случаев, когда невольно радуешься, что внимательный исследователь жажду денег и славы решил реализовывать всего-то через багбаунти-программу Гугла...
@tomhunter
#news Тут заметили осеннюю фишинговую email-кампанию, которая нацелена на пользователей Microsoft 365. Примечательна тем, что успешно обходит антиспам-фильтры.
Обнаружившие кампанию исследователи назвали её One Font — по привычке прятать в письмах текст размером в 1 пункт. Ещё мошенники засовывают ссылки в <font> и играются с CSS, чтобы запутывать системы безопасности почтовиков: семантический анализ становится бесполезным.
Из-за таких махинаций языковые фильтры почтовиков то видят вместо фишингового текста то случайный набор слов, то распознают письмо как рекламное, а не мошенническое.
Прочие подробности и примеры писем можно посмотреть в свежем отчёте от исследователей Avanan.
Техника не то чтобы новая, конечно. Несколько лет назад те же Avanan рассказывали о мошенниках ZeroFont, тоже обходивших почтовые фильтры через микроскопический текст. Но, как и полагается, с годами мошенники учатся изощряться изощрённее и выдумывают новые финты — куда ж им деваться.
@tomhunter
Обнаружившие кампанию исследователи назвали её One Font — по привычке прятать в письмах текст размером в 1 пункт. Ещё мошенники засовывают ссылки в <font> и играются с CSS, чтобы запутывать системы безопасности почтовиков: семантический анализ становится бесполезным.
Из-за таких махинаций языковые фильтры почтовиков то видят вместо фишингового текста то случайный набор слов, то распознают письмо как рекламное, а не мошенническое.
Прочие подробности и примеры писем можно посмотреть в свежем отчёте от исследователей Avanan.
Техника не то чтобы новая, конечно. Несколько лет назад те же Avanan рассказывали о мошенниках ZeroFont, тоже обходивших почтовые фильтры через микроскопический текст. Но, как и полагается, с годами мошенники учатся изощряться изощрённее и выдумывают новые финты — куда ж им деваться.
@tomhunter
#news Госуслуги уже два дня кто-то штурмует, причём мощно. 10 ноября Минцифры говорило про атаку 680 Гб в секунду.
Из пострадавших есть местный бот. Какое-то время он рассказывал в ответ на попытки получить QR-код или сертификаты, что «коронавируса не существует», QR-коды «являются частью планов мирового правительства по сегрегации населения», а вакцины — «средство утилизации лишнего населения».
Минцифры утверждает, что добрались только до бота, а данные пользователей в безопасности.
@tomhunter
Из пострадавших есть местный бот. Какое-то время он рассказывал в ответ на попытки получить QR-код или сертификаты, что «коронавируса не существует», QR-коды «являются частью планов мирового правительства по сегрегации населения», а вакцины — «средство утилизации лишнего населения».
Минцифры утверждает, что добрались только до бота, а данные пользователей в безопасности.
@tomhunter
#news Помимо хакерской атаки на чат-бота Госуслуг, СМИ возопили сегодня об утечке персональных данных покупателей фейковых ПЦР-тестов. Называются цифры в районе 0,5 млн. человек. И это только по столичному региону. Не буду говорить о моральной составляющей покупателей таких "тестов".
Отмечу, что с атакой на чат-бота и Госуслугами вообще эта утечка никак не связана. Фуххх... Ростелеком выдохнул. Утекли данные многочисленных фейковых сервисов по покупке ПЦР, которые клепали мошенники. Пример одного из таких сервисов я уже давал. Вы же не думали, что такое прибыльное дело останется без неофициальных игроков. И не зря, только за октябрь, было зарегистрировано более 300 доменных имен, похожих на Госуслуги.
@tomhunter
Отмечу, что с атакой на чат-бота и Госуслугами вообще эта утечка никак не связана. Фуххх... Ростелеком выдохнул. Утекли данные многочисленных фейковых сервисов по покупке ПЦР, которые клепали мошенники. Пример одного из таких сервисов я уже давал. Вы же не думали, что такое прибыльное дело останется без неофициальных игроков. И не зря, только за октябрь, было зарегистрировано более 300 доменных имен, похожих на Госуслуги.
@tomhunter
#news Федеральная торговая комиссия США (FTC) поделилась руководством для малых предприятий о том, как защитить свои сети от атак программ-вымогателей, блокируя попытки злоумышленников использовать уязвимости с помощью социальной инженерии или атак на технологии таргетинга.
@tomhunter
@tomhunter
#news Троян GravityRAT снова распространяется в сети, на этот раз под видом чата со сквозным шифрованием SoSafe Chat. В 2020 году эта же вредоносная программа распространялась через приложение для Android под названием Travel Mate Pro. После установки на целевое устройство шпионское ПО может выполнять широкий спектр вредоносных действий, позволяя злоумышленникам извлекать данные, шпионить за жертвой и отслеживать ее местоположение.
@tomhunter
@tomhunter
#news Управление комиссара по защите персональных данных на Кипре взыскало штраф в размере 1 млн долларов от разведывательной компании WiSpear за сбор мобильных данных от различных лиц, прибывающих в аэропорт Ларнаки. WiSpear зарегистрирована в Лимассоле, Кипр. Возглавляется Дилианом, бывшим кадровым офицером сил обороны Израиля (IDF). Компания специализируется на предоставлении решений для непрерывного перехвата Wi-Fi и обеспечения безопасности. До WiSpear Дилан основал Circles, компанию по видеонаблюдению, которая объединилась с NSO, создателем шпионского ПО Pegasus. В настоящее время он руководит Intellexa, компанией, предоставляющей киберразведку правоохранительным органам и спецслужбам.
▶️ https://youtu.be/Tl3mpywMYFA
@tomhunter
▶️ https://youtu.be/Tl3mpywMYFA
@tomhunter
#news Серверы электронной почты Федерального бюро расследований (ФБР) были взломаны для распространения спама. Сообщения поступали с законного адреса электронной почты - eims@ic.fbi.gov - с корпоративного портала правоохранительных органов ФБР (LEEP) и содержали тему «Срочно: злоумышленник в системе». Все электронные письма приходили с IP-адреса ФБР 153.31.119.142 (mx-east-ic.fbi.gov). Электронные письма достигли не менее 100 000 почтовых ящиков.
@tomhunter
@tomhunter
#news Palo Alto Networks создала сводную таблицу, чтобы дать обзор злонамеренного использования верхних TLD (доменов верхнего уровня) для каждой категории и их совокупного распределения (CD). Чем выше CD, тем больше этот конкретный TLD используется для категории. Самым популярным доменом верхнего уровня является .com, который имеет среднее количество вредоносных доменов. Мошенники, как правило, используют его, потому что он добавляет легитимности и в целом повышает их шансы на успех. Наиболее распространенными вредоносными программами являются TLD .ga, .xyz, .cf, tk, .org и .ml.
@tomhunter
@tomhunter
#news Не все сервисы VPN одинаково полезны - это знает даже ребенок. Исследователь сетевой безопасности Maderas опубликовал сравнительный анализ популярных VPN по их безопасности и качеству работы.
@tomhunter
@tomhunter
#news Насчёт недавней рассылки: ФБР говорит, что она случилась из-за некой ошибки в настройке внутреннего софта. Эта ошибка и позволила разослать фейковые письма.
В своём блоге Брайан Кребс рассказал, что получил с того же ящика (eims@ic.fbi.gov) такое письмо:
«Привет, это pompompurin. Загляните в шапку этого письма, чтобы убедиться в том, что оно действительно пришло с серверов ФБР. Я вам пишу, потому что мы обнаружили ботнет, который хостится на вашем лбу. Немедленно примите меры! Спасибо».
Pompompurin рассказал, что цель взлома — указать на зияющую дыру в безопасности ФБР. Он мог бы разослать более правдоподобные письма, но делать этого не стал.
В посте по ссылке выше есть больше подробностей о самой уязвимости, кому интересно — прошу.
Ещё одна цель атаки — Винни Троя, в фейковых письмах названный легендарным опасным хакером. На самом деле Троя — крупный ИБ-исследователь. Сам он тоже заявлял, что за атакой наверняка стоит pompompurin, которому Троя давно не очень нравится.
@tomhunter
В своём блоге Брайан Кребс рассказал, что получил с того же ящика (eims@ic.fbi.gov) такое письмо:
«Привет, это pompompurin. Загляните в шапку этого письма, чтобы убедиться в том, что оно действительно пришло с серверов ФБР. Я вам пишу, потому что мы обнаружили ботнет, который хостится на вашем лбу. Немедленно примите меры! Спасибо».
Pompompurin рассказал, что цель взлома — указать на зияющую дыру в безопасности ФБР. Он мог бы разослать более правдоподобные письма, но делать этого не стал.
В посте по ссылке выше есть больше подробностей о самой уязвимости, кому интересно — прошу.
Ещё одна цель атаки — Винни Троя, в фейковых письмах названный легендарным опасным хакером. На самом деле Троя — крупный ИБ-исследователь. Сам он тоже заявлял, что за атакой наверняка стоит pompompurin, которому Троя давно не очень нравится.
@tomhunter
#anon #phone Поговорим об... анонимности. Сегодня речь пойдет о безопасности наших мобильников. Начнем с железа...
ТРЕБОВАНИЯ:
├процессор МТК 65хх/67хх серии
├GhostPhone (для смены IMEI)
├отключение камеры и микрофона
└отказ от использования SIM-карты
МТК 65хх/67хх нам нужен для поддержки GhostPhone, позволяющего изменять настоящий IMEI смартфона. По IMEI телефон отслеживается сотовым оператором. Даже без наличия в нем SIM-карты. Убираем SIM-карту. Онлайн-сервисы вы привяжете на виртуальный номер телефона. Связываться вы будете через защищенные сервисы. Трафик пойдет через внешний модем и будет прикрыт VPN+TOR. Делаем возможность физической блокировки камеры и микрофона.
Что мы получили? Устройство, которое не передает информацию через GSM, не имеет номера телефона и постоянного IMEI, по которым его можно было бы отследить через оператора связи. На случай удаленного включения, камера и микрофон могут блокироваться вручную.
@tomhunter
ТРЕБОВАНИЯ:
├процессор МТК 65хх/67хх серии
├GhostPhone (для смены IMEI)
├отключение камеры и микрофона
└отказ от использования SIM-карты
МТК 65хх/67хх нам нужен для поддержки GhostPhone, позволяющего изменять настоящий IMEI смартфона. По IMEI телефон отслеживается сотовым оператором. Даже без наличия в нем SIM-карты. Убираем SIM-карту. Онлайн-сервисы вы привяжете на виртуальный номер телефона. Связываться вы будете через защищенные сервисы. Трафик пойдет через внешний модем и будет прикрыт VPN+TOR. Делаем возможность физической блокировки камеры и микрофона.
Что мы получили? Устройство, которое не передает информацию через GSM, не имеет номера телефона и постоянного IMEI, по которым его можно было бы отследить через оператора связи. На случай удаленного включения, камера и микрофон могут блокироваться вручную.
@tomhunter
#news Данные примерно 7 миллионов клиентов Robinhood, украденных в результате недавней утечки данных, продаются на популярном хакерском форуме. Данные включают следующую информацию:
Этот же злоумышленник, pompompurin, также был ответственен за злоупотребление почтовыми серверами ФБР для рассылки электронных писем с угрозами в выходные дни.
@tomhunter
Адреса электронной почты для 5 миллионов клиентов
Полные имена для 2 миллионов других клиентов
Имя, дата рождения и почтовый индекс на 300 человек
Более обширная информация о счете для десяти человек
Этот же злоумышленник, pompompurin, также был ответственен за злоупотребление почтовыми серверами ФБР для рассылки электронных писем с угрозами в выходные дни.
@tomhunter
#news Биткоин получил первый апдейт за 4 года. Цель обновления, названного Taproot, — сделать транзакции более конфиденциальными и эффективными.
Раньше для цифровых подписей использовался алгоритм с эллиптической кривой, который создавал подпись из приватного ключа от кошелька. Теперь появились подписи Шнорра, позволяющие комбинировать несколько подписей в одну.
У этого целых два следствия. Во-первых, простые транзакции теперь не отличаются визуально от сложных, что позволяет меньше светить своми ключами — плюсик к приватности. Во-вторых, благодаря новым подписям смарт-контракты смогут изрядно набрать в популярности: они будут гораздо менее тяжелыми и дорогими.
Побольше про все плюшки Taproot можно почитать в обзоре River.
@tomhunter
Раньше для цифровых подписей использовался алгоритм с эллиптической кривой, который создавал подпись из приватного ключа от кошелька. Теперь появились подписи Шнорра, позволяющие комбинировать несколько подписей в одну.
У этого целых два следствия. Во-первых, простые транзакции теперь не отличаются визуально от сложных, что позволяет меньше светить своми ключами — плюсик к приватности. Во-вторых, благодаря новым подписям смарт-контракты смогут изрядно набрать в популярности: они будут гораздо менее тяжелыми и дорогими.
Побольше про все плюшки Taproot можно почитать в обзоре River.
@tomhunter
#news Intel выявила три уязвимости (CVE-2021-0157, CVE-2021-0158 и CVE-2021-0146) с высокой степенью опасности, которые затрагивают широкий спектр семейств процессоров Intel, что позволяет злоумышленникам и вредоносным программам получать более высокие уровни привилегий на устройстве.
@tomhunter
@tomhunter