#news Тут заметили осеннюю фишинговую email-кампанию, которая нацелена на пользователей Microsoft 365. Примечательна тем, что успешно обходит антиспам-фильтры.
Обнаружившие кампанию исследователи назвали её One Font — по привычке прятать в письмах текст размером в 1 пункт. Ещё мошенники засовывают ссылки в <font> и играются с CSS, чтобы запутывать системы безопасности почтовиков: семантический анализ становится бесполезным.
Из-за таких махинаций языковые фильтры почтовиков то видят вместо фишингового текста то случайный набор слов, то распознают письмо как рекламное, а не мошенническое.
Прочие подробности и примеры писем можно посмотреть в свежем отчёте от исследователей Avanan.
Техника не то чтобы новая, конечно. Несколько лет назад те же Avanan рассказывали о мошенниках ZeroFont, тоже обходивших почтовые фильтры через микроскопический текст. Но, как и полагается, с годами мошенники учатся изощряться изощрённее и выдумывают новые финты — куда ж им деваться.
@tomhunter
Обнаружившие кампанию исследователи назвали её One Font — по привычке прятать в письмах текст размером в 1 пункт. Ещё мошенники засовывают ссылки в <font> и играются с CSS, чтобы запутывать системы безопасности почтовиков: семантический анализ становится бесполезным.
Из-за таких махинаций языковые фильтры почтовиков то видят вместо фишингового текста то случайный набор слов, то распознают письмо как рекламное, а не мошенническое.
Прочие подробности и примеры писем можно посмотреть в свежем отчёте от исследователей Avanan.
Техника не то чтобы новая, конечно. Несколько лет назад те же Avanan рассказывали о мошенниках ZeroFont, тоже обходивших почтовые фильтры через микроскопический текст. Но, как и полагается, с годами мошенники учатся изощряться изощрённее и выдумывают новые финты — куда ж им деваться.
@tomhunter
#news Госуслуги уже два дня кто-то штурмует, причём мощно. 10 ноября Минцифры говорило про атаку 680 Гб в секунду.
Из пострадавших есть местный бот. Какое-то время он рассказывал в ответ на попытки получить QR-код или сертификаты, что «коронавируса не существует», QR-коды «являются частью планов мирового правительства по сегрегации населения», а вакцины — «средство утилизации лишнего населения».
Минцифры утверждает, что добрались только до бота, а данные пользователей в безопасности.
@tomhunter
Из пострадавших есть местный бот. Какое-то время он рассказывал в ответ на попытки получить QR-код или сертификаты, что «коронавируса не существует», QR-коды «являются частью планов мирового правительства по сегрегации населения», а вакцины — «средство утилизации лишнего населения».
Минцифры утверждает, что добрались только до бота, а данные пользователей в безопасности.
@tomhunter
#news Помимо хакерской атаки на чат-бота Госуслуг, СМИ возопили сегодня об утечке персональных данных покупателей фейковых ПЦР-тестов. Называются цифры в районе 0,5 млн. человек. И это только по столичному региону. Не буду говорить о моральной составляющей покупателей таких "тестов".
Отмечу, что с атакой на чат-бота и Госуслугами вообще эта утечка никак не связана. Фуххх... Ростелеком выдохнул. Утекли данные многочисленных фейковых сервисов по покупке ПЦР, которые клепали мошенники. Пример одного из таких сервисов я уже давал. Вы же не думали, что такое прибыльное дело останется без неофициальных игроков. И не зря, только за октябрь, было зарегистрировано более 300 доменных имен, похожих на Госуслуги.
@tomhunter
Отмечу, что с атакой на чат-бота и Госуслугами вообще эта утечка никак не связана. Фуххх... Ростелеком выдохнул. Утекли данные многочисленных фейковых сервисов по покупке ПЦР, которые клепали мошенники. Пример одного из таких сервисов я уже давал. Вы же не думали, что такое прибыльное дело останется без неофициальных игроков. И не зря, только за октябрь, было зарегистрировано более 300 доменных имен, похожих на Госуслуги.
@tomhunter
#news Федеральная торговая комиссия США (FTC) поделилась руководством для малых предприятий о том, как защитить свои сети от атак программ-вымогателей, блокируя попытки злоумышленников использовать уязвимости с помощью социальной инженерии или атак на технологии таргетинга.
@tomhunter
@tomhunter
#news Троян GravityRAT снова распространяется в сети, на этот раз под видом чата со сквозным шифрованием SoSafe Chat. В 2020 году эта же вредоносная программа распространялась через приложение для Android под названием Travel Mate Pro. После установки на целевое устройство шпионское ПО может выполнять широкий спектр вредоносных действий, позволяя злоумышленникам извлекать данные, шпионить за жертвой и отслеживать ее местоположение.
@tomhunter
@tomhunter
#news Управление комиссара по защите персональных данных на Кипре взыскало штраф в размере 1 млн долларов от разведывательной компании WiSpear за сбор мобильных данных от различных лиц, прибывающих в аэропорт Ларнаки. WiSpear зарегистрирована в Лимассоле, Кипр. Возглавляется Дилианом, бывшим кадровым офицером сил обороны Израиля (IDF). Компания специализируется на предоставлении решений для непрерывного перехвата Wi-Fi и обеспечения безопасности. До WiSpear Дилан основал Circles, компанию по видеонаблюдению, которая объединилась с NSO, создателем шпионского ПО Pegasus. В настоящее время он руководит Intellexa, компанией, предоставляющей киберразведку правоохранительным органам и спецслужбам.
▶️ https://youtu.be/Tl3mpywMYFA
@tomhunter
▶️ https://youtu.be/Tl3mpywMYFA
@tomhunter
#news Серверы электронной почты Федерального бюро расследований (ФБР) были взломаны для распространения спама. Сообщения поступали с законного адреса электронной почты - eims@ic.fbi.gov - с корпоративного портала правоохранительных органов ФБР (LEEP) и содержали тему «Срочно: злоумышленник в системе». Все электронные письма приходили с IP-адреса ФБР 153.31.119.142 (mx-east-ic.fbi.gov). Электронные письма достигли не менее 100 000 почтовых ящиков.
@tomhunter
@tomhunter
#news Palo Alto Networks создала сводную таблицу, чтобы дать обзор злонамеренного использования верхних TLD (доменов верхнего уровня) для каждой категории и их совокупного распределения (CD). Чем выше CD, тем больше этот конкретный TLD используется для категории. Самым популярным доменом верхнего уровня является .com, который имеет среднее количество вредоносных доменов. Мошенники, как правило, используют его, потому что он добавляет легитимности и в целом повышает их шансы на успех. Наиболее распространенными вредоносными программами являются TLD .ga, .xyz, .cf, tk, .org и .ml.
@tomhunter
@tomhunter
#news Не все сервисы VPN одинаково полезны - это знает даже ребенок. Исследователь сетевой безопасности Maderas опубликовал сравнительный анализ популярных VPN по их безопасности и качеству работы.
@tomhunter
@tomhunter
#news Насчёт недавней рассылки: ФБР говорит, что она случилась из-за некой ошибки в настройке внутреннего софта. Эта ошибка и позволила разослать фейковые письма.
В своём блоге Брайан Кребс рассказал, что получил с того же ящика (eims@ic.fbi.gov) такое письмо:
«Привет, это pompompurin. Загляните в шапку этого письма, чтобы убедиться в том, что оно действительно пришло с серверов ФБР. Я вам пишу, потому что мы обнаружили ботнет, который хостится на вашем лбу. Немедленно примите меры! Спасибо».
Pompompurin рассказал, что цель взлома — указать на зияющую дыру в безопасности ФБР. Он мог бы разослать более правдоподобные письма, но делать этого не стал.
В посте по ссылке выше есть больше подробностей о самой уязвимости, кому интересно — прошу.
Ещё одна цель атаки — Винни Троя, в фейковых письмах названный легендарным опасным хакером. На самом деле Троя — крупный ИБ-исследователь. Сам он тоже заявлял, что за атакой наверняка стоит pompompurin, которому Троя давно не очень нравится.
@tomhunter
В своём блоге Брайан Кребс рассказал, что получил с того же ящика (eims@ic.fbi.gov) такое письмо:
«Привет, это pompompurin. Загляните в шапку этого письма, чтобы убедиться в том, что оно действительно пришло с серверов ФБР. Я вам пишу, потому что мы обнаружили ботнет, который хостится на вашем лбу. Немедленно примите меры! Спасибо».
Pompompurin рассказал, что цель взлома — указать на зияющую дыру в безопасности ФБР. Он мог бы разослать более правдоподобные письма, но делать этого не стал.
В посте по ссылке выше есть больше подробностей о самой уязвимости, кому интересно — прошу.
Ещё одна цель атаки — Винни Троя, в фейковых письмах названный легендарным опасным хакером. На самом деле Троя — крупный ИБ-исследователь. Сам он тоже заявлял, что за атакой наверняка стоит pompompurin, которому Троя давно не очень нравится.
@tomhunter
#anon #phone Поговорим об... анонимности. Сегодня речь пойдет о безопасности наших мобильников. Начнем с железа...
ТРЕБОВАНИЯ:
├процессор МТК 65хх/67хх серии
├GhostPhone (для смены IMEI)
├отключение камеры и микрофона
└отказ от использования SIM-карты
МТК 65хх/67хх нам нужен для поддержки GhostPhone, позволяющего изменять настоящий IMEI смартфона. По IMEI телефон отслеживается сотовым оператором. Даже без наличия в нем SIM-карты. Убираем SIM-карту. Онлайн-сервисы вы привяжете на виртуальный номер телефона. Связываться вы будете через защищенные сервисы. Трафик пойдет через внешний модем и будет прикрыт VPN+TOR. Делаем возможность физической блокировки камеры и микрофона.
Что мы получили? Устройство, которое не передает информацию через GSM, не имеет номера телефона и постоянного IMEI, по которым его можно было бы отследить через оператора связи. На случай удаленного включения, камера и микрофон могут блокироваться вручную.
@tomhunter
ТРЕБОВАНИЯ:
├процессор МТК 65хх/67хх серии
├GhostPhone (для смены IMEI)
├отключение камеры и микрофона
└отказ от использования SIM-карты
МТК 65хх/67хх нам нужен для поддержки GhostPhone, позволяющего изменять настоящий IMEI смартфона. По IMEI телефон отслеживается сотовым оператором. Даже без наличия в нем SIM-карты. Убираем SIM-карту. Онлайн-сервисы вы привяжете на виртуальный номер телефона. Связываться вы будете через защищенные сервисы. Трафик пойдет через внешний модем и будет прикрыт VPN+TOR. Делаем возможность физической блокировки камеры и микрофона.
Что мы получили? Устройство, которое не передает информацию через GSM, не имеет номера телефона и постоянного IMEI, по которым его можно было бы отследить через оператора связи. На случай удаленного включения, камера и микрофон могут блокироваться вручную.
@tomhunter
#news Данные примерно 7 миллионов клиентов Robinhood, украденных в результате недавней утечки данных, продаются на популярном хакерском форуме. Данные включают следующую информацию:
Этот же злоумышленник, pompompurin, также был ответственен за злоупотребление почтовыми серверами ФБР для рассылки электронных писем с угрозами в выходные дни.
@tomhunter
Адреса электронной почты для 5 миллионов клиентов
Полные имена для 2 миллионов других клиентов
Имя, дата рождения и почтовый индекс на 300 человек
Более обширная информация о счете для десяти человек
Этот же злоумышленник, pompompurin, также был ответственен за злоупотребление почтовыми серверами ФБР для рассылки электронных писем с угрозами в выходные дни.
@tomhunter
#news Биткоин получил первый апдейт за 4 года. Цель обновления, названного Taproot, — сделать транзакции более конфиденциальными и эффективными.
Раньше для цифровых подписей использовался алгоритм с эллиптической кривой, который создавал подпись из приватного ключа от кошелька. Теперь появились подписи Шнорра, позволяющие комбинировать несколько подписей в одну.
У этого целых два следствия. Во-первых, простые транзакции теперь не отличаются визуально от сложных, что позволяет меньше светить своми ключами — плюсик к приватности. Во-вторых, благодаря новым подписям смарт-контракты смогут изрядно набрать в популярности: они будут гораздо менее тяжелыми и дорогими.
Побольше про все плюшки Taproot можно почитать в обзоре River.
@tomhunter
Раньше для цифровых подписей использовался алгоритм с эллиптической кривой, который создавал подпись из приватного ключа от кошелька. Теперь появились подписи Шнорра, позволяющие комбинировать несколько подписей в одну.
У этого целых два следствия. Во-первых, простые транзакции теперь не отличаются визуально от сложных, что позволяет меньше светить своми ключами — плюсик к приватности. Во-вторых, благодаря новым подписям смарт-контракты смогут изрядно набрать в популярности: они будут гораздо менее тяжелыми и дорогими.
Побольше про все плюшки Taproot можно почитать в обзоре River.
@tomhunter
#news Intel выявила три уязвимости (CVE-2021-0157, CVE-2021-0158 и CVE-2021-0146) с высокой степенью опасности, которые затрагивают широкий спектр семейств процессоров Intel, что позволяет злоумышленникам и вредоносным программам получать более высокие уровни привилегий на устройстве.
@tomhunter
@tomhunter
#news Исследователи разработали новую технику, основанную на фаззинге, под названием «Blacksmith», которая возрождает атаки уязвимости Rowhammer на современные устройства DRAM в обход существующих средств защиты. Эта уязвимость обходит программные механизмы безопасности, что приводит к повышению привилегий, повреждению памяти и многому другому.
@tomhunter
Rowhammer - это средство защиты, основанное на утечке электрических зарядов между соседними ячейками памяти, что позволяет злоумышленнику переключать единицы и нули и изменять содержимое в памяти.▶️ https://youtu.be/7IQi2mJ9mek
@tomhunter
#anon #os Продолжаем говорить об анонимности. В первой части мы обсудили физическую защиту смартфона от отслеживания. Тема нашего сегодняшнего поста - альтернативные операционные системы (ОС). Вы удивитесь, но их достаточно много...
МОБИЛЬНЫЕ ОС
├ubuntu
├lineage
├sailfish
├Nethunter
├graphene
└AOSP
Альтернативные ОС ориентированы на большую конфиденциальность и безопасность своих пользователей. Это означает, что они (скорее всего) сохраняют меньше пользовательских данных, а также то, что запрашивать эти данные гораздо сложнее.
Что мы получили? Устройство, которое не собирает и не передает информацию о своих пользователях ключевым ИТ-корпорациям (Google, Apple, Facebook, ну или Яндекс). Предположительно, такое устройство также не подвержено отслеживанию через ADINT (рекламные идентификаторы). Разумеется, при соблюдении норм цифровой гигиены, о которых мы поговорим в следующих постах.
@tomhunter
МОБИЛЬНЫЕ ОС
├ubuntu
├lineage
├sailfish
├Nethunter
├graphene
└AOSP
Альтернативные ОС ориентированы на большую конфиденциальность и безопасность своих пользователей. Это означает, что они (скорее всего) сохраняют меньше пользовательских данных, а также то, что запрашивать эти данные гораздо сложнее.
Что мы получили? Устройство, которое не собирает и не передает информацию о своих пользователях ключевым ИТ-корпорациям (Google, Apple, Facebook, ну или Яндекс). Предположительно, такое устройство также не подвержено отслеживанию через ADINT (рекламные идентификаторы). Разумеется, при соблюдении норм цифровой гигиены, о которых мы поговорим в следующих постах.
@tomhunter
#event 1 декабря в Москве пройдет конференция КРЭБ (Конкурентная разведка & Экономическая безопасность), на которой будет обсуждаться как эффективно обеспечить корпоративную безопасность в 2022 году.
На КРЭБе также обсудят корпоративную безопасность с учетом человеческого фактора, противодействие внешним угрозам, мошенничеству и коррупции, а также проведут круглый стол с представителями клубов безопасности. Участвовать можно офлайн и онлайн.
Смотреть программу: https://clck.ru/Yrb8d
@tomhunter
На КРЭБе также обсудят корпоративную безопасность с учетом человеческого фактора, противодействие внешним угрозам, мошенничеству и коррупции, а также проведут круглый стол с представителями клубов безопасности. Участвовать можно офлайн и онлайн.
Смотреть программу: https://clck.ru/Yrb8d
@tomhunter
#news В продолжение эпопеи: Гитхаб (родительская компания npm) рассказал о двух критических уязвимостях, которые недавно устранил.
Во-первых, на некоторое время в конце октября названия приватных пакетов, хранящихся на зеркале npm, оказались публично доступны. Содержимое не засветили, но для эксплойта dependency confusion-уязвимости достаточно и названий. Гитхаб изменил процесс генерации зеркала, чтобы предотвратить такие сливы в будущем.
Вторая уязвимость позволяла публиковать обновления к пакетам, не имея должной авторизации. Гитхаб говорит, что ответственные за авторизацию микросервисы работали не совсем корректно, что и стало причиной уязвимости. При этом данных об эксплойтах нет, и компания уверена, что баг не использовали как минимум с сентября 2020.
А с 2022 npm включит обязательную двухфакторку для разработчиков. Если бы она стояла у владельцев UAParser.js, coa и прочих героев звучавших здесь весёлых историй, то взломов этих пакетов могло и не быть.
@tomhunter
Во-первых, на некоторое время в конце октября названия приватных пакетов, хранящихся на зеркале npm, оказались публично доступны. Содержимое не засветили, но для эксплойта dependency confusion-уязвимости достаточно и названий. Гитхаб изменил процесс генерации зеркала, чтобы предотвратить такие сливы в будущем.
Вторая уязвимость позволяла публиковать обновления к пакетам, не имея должной авторизации. Гитхаб говорит, что ответственные за авторизацию микросервисы работали не совсем корректно, что и стало причиной уязвимости. При этом данных об эксплойтах нет, и компания уверена, что баг не использовали как минимум с сентября 2020.
А с 2022 npm включит обязательную двухфакторку для разработчиков. Если бы она стояла у владельцев UAParser.js, coa и прочих героев звучавших здесь весёлых историй, то взломов этих пакетов могло и не быть.
@tomhunter
#news Microsoft представила управляемую искусственным интеллектом систему обнаружения атак программ-вымогателей для клиентов Microsoft Defender, которая дополняет существующую облачную защиту, оценивая риски и блокируя участников по периметру. В отличие от облачной защиты, которую администраторы настраивают вручную, новая система является адаптивной, что означает, что она может автоматически повышать или понижать агрессивность решений о блокировке, доставляемых через облако, на основе данных в реальном времени и прогнозов машинного обучения.
@tomhunter
@tomhunter
#anon #serf Возвращаемся к вопросам анонимности. В первой части мы обсудили физическую защиту смартфона от отслеживания. Во второй части - альтернативные ОС для смартфонов. Тема нашего сегодняшнего поста - браузеры с повышенной анонимностью и поисковые системы им под стать...
БРАУЗЕРЫ
├tor (Darknet)
├epic
├brave
├firefox
├duckduckgo
├inbrowser
└opera
ПОИСКОВИКИ
├darksearch (Darknet)
├notEvil (Darknet)
├Torch (Darknet)
├duckduckgo
├swisscows
├gibiru
├startpage
└qwant
Что мы получили? Избавление от следящих модулей, встроенных в популярные браузеры и поисковые машины. Прибавьте качественный VPN и вы еще больше повысите свою безопасность. Но об этом в следующий раз.
@tomhunter
БРАУЗЕРЫ
├tor (Darknet)
├epic
├brave
├firefox
├duckduckgo
├inbrowser
└opera
ПОИСКОВИКИ
├darksearch (Darknet)
├notEvil (Darknet)
├Torch (Darknet)
├duckduckgo
├swisscows
├gibiru
├startpage
└qwant
Что мы получили? Избавление от следящих модулей, встроенных в популярные браузеры и поисковые машины. Прибавьте качественный VPN и вы еще больше повысите свою безопасность. Но об этом в следующий раз.
@tomhunter
💩1
#news Криптомиксеры всегда были в эпицентре киберпреступности, позволяя хакерам «очищать» криптовалюту, украденную у жертв, и усложняли правоохранительным органам их отслеживание. Когда злоумышленники крадут криптовалюту или получают ее в качестве выкупа, правоохранительные органы или исследователи могут увидеть, на какой кошелек криптовалюты были отправлены средства. Микшеры позволяют злоумышленникам вносить незаконно полученную криптовалюту, а затем смешивать ее с большим пулом «случайных» транзакций. Таким образом, исходная криптовалюта запутывается в большом количестве сумм из множества разных и неизвестных источников. Сегодня хакеры используют четыре популярных сервиса криптомикширования, а именно Absolutio, AudiA6, Blender и Mix-btc. За исключением Mix-btc, все платформы работают в сети Tor. Они поддерживают Bitcoin, Bitcoin Cash, Dash, Ethereum, Ethereum Classic, Litecoin, Monero и Tether. Avaddon, DarkSide 2.0 (или BlackMatter) и REvil, вероятно, используют миксер BitMix.
@tomhunter
@tomhunter