Как создать временный почтовый ящик?
Наверняка многие сталкивались с ситуацией, когда нужно зарегистрироваться на сайте, к примеру, для разового скачивания, и вы не хотите получать различный спам или попросту ''светить'' свою почту. Решить данную проблему вам поможет 10minutesmail.
С помощью этого ресурса можно моментально сгенерировать временный почтовый ящик, который позволит принять письмо-подтверждение и завершить регистрацию. Созданный ящик будет активен в течение 10 минут, однако, его «срок жизни» может быть продлен. Еще один важный момент: после того, как ваш ящик будет удален, больше никто не сможет получить к нему доступ.
📌https://10minutemail.net/
#хитрости #безопасность
Наверняка многие сталкивались с ситуацией, когда нужно зарегистрироваться на сайте, к примеру, для разового скачивания, и вы не хотите получать различный спам или попросту ''светить'' свою почту. Решить данную проблему вам поможет 10minutesmail.
С помощью этого ресурса можно моментально сгенерировать временный почтовый ящик, который позволит принять письмо-подтверждение и завершить регистрацию. Созданный ящик будет активен в течение 10 минут, однако, его «срок жизни» может быть продлен. Еще один важный момент: после того, как ваш ящик будет удален, больше никто не сможет получить к нему доступ.
📌https://10minutemail.net/
#хитрости #безопасность
По следам. Насколько легко следить за человеком при помощи умных часов - проводим эксперимент
Можно ли использовать умные часы для того, чтобы шпионить за их владельцем? О да, и существует немало способов. Но, как оказывается, есть еще один. Если на часы установлено зловредное приложение, которое отправляет данные с встроенных в устройство датчиков движения — акселерометра и гироскопа — на удаленный сервер, то по этим данным можно восстановить активность человека, на котором эти самые часы надеты.
То есть понять, что он делал: ходил, сидел, набирал текст на клавиатуре и так далее. Давайте проверим, насколько страшна эта угроза на практике, и узнать, какие данные реально можно собрать:
📖По следам. Насколько легко следить за человеком при помощи умных часов - проводим эксперимент
Можно ли использовать умные часы для того, чтобы шпионить за их владельцем? О да, и существует немало способов. Но, как оказывается, есть еще один. Если на часы установлено зловредное приложение, которое отправляет данные с встроенных в устройство датчиков движения — акселерометра и гироскопа — на удаленный сервер, то по этим данным можно восстановить активность человека, на котором эти самые часы надеты.
То есть понять, что он делал: ходил, сидел, набирал текст на клавиатуре и так далее. Давайте проверим, насколько страшна эта угроза на практике, и узнать, какие данные реально можно собрать:
📖По следам. Насколько легко следить за человеком при помощи умных часов - проводим эксперимент
Telegraph
По следам. Насколько легко следить за человеком при помощи умных часов - проводим эксперимент
Можно ли использовать умные часы для того, чтобы шпионить за их владельцем? О да, и существует немало способов. Но, как оказывается, есть еще один. Если на часы установлено зловредное приложение, которое отправляет данные с встроенных в устройство датчиков…
Геоданные Google сделали невиновного подозреваемым в уголовном деле
Закари Маккой, самый обычный житель штата Флорида, стал подозреваемым в ограблении дома, после того как во время поездки велосипеде он воспользовался приложением RunKeeper для отслеживания своей активности. При этом, Закари включил сервисы определения местоположения Google, что позволило как приложению, так и Google отслеживать его местонахождение в любое время.
О том, что его подозревают в преступлении, Маккой узнал после того, как с ним связалась команда Google и сообщила, что полиция запрашивала информацию с его аккаунта. Американец сначала не понял, в чем дело, но собрав весь пазл воедино, пришел к выводу, что в письме говорилось про ограбление того дома, мимо которого он проезжал практически каждый день по несколько раз. Именно это и привлекло внимание полиции. Компания должна была предоставить правоохранителям информацию со всех устройств, которые были замечены на месте преступления в определённое время и дату.
После многих разбирательств, юноша все-таки смог добиться снятия всех обвинений. Ответный иск Маккоя и его адвоката вынудил правоохранительные органы пересмотреть свой ордер. Они отозвали запрос на данные Google аккаунта Маккоя и исключили ее из списка подозреваемых.
#безопасность #приватность
Закари Маккой, самый обычный житель штата Флорида, стал подозреваемым в ограблении дома, после того как во время поездки велосипеде он воспользовался приложением RunKeeper для отслеживания своей активности. При этом, Закари включил сервисы определения местоположения Google, что позволило как приложению, так и Google отслеживать его местонахождение в любое время.
О том, что его подозревают в преступлении, Маккой узнал после того, как с ним связалась команда Google и сообщила, что полиция запрашивала информацию с его аккаунта. Американец сначала не понял, в чем дело, но собрав весь пазл воедино, пришел к выводу, что в письме говорилось про ограбление того дома, мимо которого он проезжал практически каждый день по несколько раз. Именно это и привлекло внимание полиции. Компания должна была предоставить правоохранителям информацию со всех устройств, которые были замечены на месте преступления в определённое время и дату.
После многих разбирательств, юноша все-таки смог добиться снятия всех обвинений. Ответный иск Маккоя и его адвоката вынудил правоохранительные органы пересмотреть свой ордер. Они отозвали запрос на данные Google аккаунта Маккоя и исключили ее из списка подозреваемых.
#безопасность #приватность
Под прикрытием. Изучаем способы взлома Facebook без изменения пароля
Принято считать, что получить доступ к чужой переписке на Facebook просто невозможно. На самом деле, если вы хотите взломать чей-то аккаунт на Facebook, для этого достаточно установить бесплатную пробную версию любого шпионского приложения. Если вы решили взломать чей-то аккаунт на Facebook, то как раз эта статья поможет вам в этом.
📖Под прикрытием. Изучаем способы взлома Facebook без изменения пароля
❗️Кстати, на канале недавно выходила подобная статья со способами взлома Инстаграм
Принято считать, что получить доступ к чужой переписке на Facebook просто невозможно. На самом деле, если вы хотите взломать чей-то аккаунт на Facebook, для этого достаточно установить бесплатную пробную версию любого шпионского приложения. Если вы решили взломать чей-то аккаунт на Facebook, то как раз эта статья поможет вам в этом.
📖Под прикрытием. Изучаем способы взлома Facebook без изменения пароля
❗️Кстати, на канале недавно выходила подобная статья со способами взлома Инстаграм
Telegraph
Под прикрытием. Изучаем способы взлома Facebook без изменения пароля
Принято считать, что получить доступ к чужой переписке на Facebook просто невозможно. На самом деле, если вы хотите взломать чей-то аккаунт на Facebook, для этого достаточно установить бесплатную пробную версию любого шпионского приложения. Если вы решили…
Как вычислить IP-адрес другого человека?
Причины такого любопытства разные, кого-то обманули, кого-то шантажируют. Если вы заинтересованы в том, чтобы узнать географическое местоположение человека или же его IP, то данный сервис будет вам очень полезен. IPlogger создает ссылку, которая собирает информацию о пользователях, перешедших по ней. Все, что вам нужно - это убедить человека нажать на эту самую ссылку.
Стоит отметить, что этот сервис обладает большим функционалом. Например, вы можете воспользоваться ГEO-логгером. Он определяет точную локацию мобильного устройства с помощью GPS. Для создания логгеров нужно перейти на сайт, затем указать любой URL картинки в выбранной вами панели, и отправить выданную вами ссылку нужному пользователю. Просмотр собранной информации доступен из панели "Управление ссылками''.
📌https://iplogger.org/ru/
#хитрости
Причины такого любопытства разные, кого-то обманули, кого-то шантажируют. Если вы заинтересованы в том, чтобы узнать географическое местоположение человека или же его IP, то данный сервис будет вам очень полезен. IPlogger создает ссылку, которая собирает информацию о пользователях, перешедших по ней. Все, что вам нужно - это убедить человека нажать на эту самую ссылку.
Стоит отметить, что этот сервис обладает большим функционалом. Например, вы можете воспользоваться ГEO-логгером. Он определяет точную локацию мобильного устройства с помощью GPS. Для создания логгеров нужно перейти на сайт, затем указать любой URL картинки в выбранной вами панели, и отправить выданную вами ссылку нужному пользователю. Просмотр собранной информации доступен из панели "Управление ссылками''.
📌https://iplogger.org/ru/
#хитрости
Этичному хакеру удалось взломать камеру на Mac, iPhone и iPad
Компания Apple выплатила ИБ-исследователю Райану Пикрену 75 000 долларов по программе bug bounty за уязвимости в Safari, благодаря которым можно было получить доступ к чужой веб-камере на Mac, iPhone и iPad, просто заманив человека на конкретный сайт.
Apple жестко ограничивает доступ сторонних приложений к камерам своих устройств, однако ограничения для собственных не так строги. При этом всё равно Safari требует для каждого сайта подтверждения от пользователя, что он разрешает ресурсу использовать свою камеру. Исследователь использовал цепочку эксплойтов, которая обошла эту защиту.
Благодаря уязвимостям, Пикрену удалось заставить браузер рассматривать свой вредоносный веб-сайт как Skype.com, который был включён в список доверенных ресурсов, имеющим доступ к камере. Исследователь отмечает, что у Skype не существует веб-версии для Safari, однако с помощью найденных им эксплойтов злоумышленники могут подделать любой веб-сайт, в том числе Zoom и Google Hangouts.
При переходе на подобный замаскированный ресурс Safari по умолчанию начинает ему доверять, хотя в списке доверенных веб-сайтов его нет. С помощью этой уязвимостью сразу после перехода пользователем злоумышленники могли просматривать всё, что было видно на устройстве. Кроме того, на вкладке Safari появлялся значок видеокамеры, что означало, что сайт использует её.
Хуже того, исследование показало, что таким же способом могут быть украдены и незашифрованные пароли, так как Safari использует такой же подход для обнаружения сайтов, на которых требуется автоматическое заполнение пароля.
PoC-эксплоиты и демонстрация атак описанных доступны в блоге специалиста. Один из таких примеров можно увидеть ниже.
#хакеры #безопасность
Компания Apple выплатила ИБ-исследователю Райану Пикрену 75 000 долларов по программе bug bounty за уязвимости в Safari, благодаря которым можно было получить доступ к чужой веб-камере на Mac, iPhone и iPad, просто заманив человека на конкретный сайт.
Apple жестко ограничивает доступ сторонних приложений к камерам своих устройств, однако ограничения для собственных не так строги. При этом всё равно Safari требует для каждого сайта подтверждения от пользователя, что он разрешает ресурсу использовать свою камеру. Исследователь использовал цепочку эксплойтов, которая обошла эту защиту.
Благодаря уязвимостям, Пикрену удалось заставить браузер рассматривать свой вредоносный веб-сайт как Skype.com, который был включён в список доверенных ресурсов, имеющим доступ к камере. Исследователь отмечает, что у Skype не существует веб-версии для Safari, однако с помощью найденных им эксплойтов злоумышленники могут подделать любой веб-сайт, в том числе Zoom и Google Hangouts.
При переходе на подобный замаскированный ресурс Safari по умолчанию начинает ему доверять, хотя в списке доверенных веб-сайтов его нет. С помощью этой уязвимостью сразу после перехода пользователем злоумышленники могли просматривать всё, что было видно на устройстве. Кроме того, на вкладке Safari появлялся значок видеокамеры, что означало, что сайт использует её.
Хуже того, исследование показало, что таким же способом могут быть украдены и незашифрованные пароли, так как Safari использует такой же подход для обнаружения сайтов, на которых требуется автоматическое заполнение пароля.
PoC-эксплоиты и демонстрация атак описанных доступны в блоге специалиста. Один из таких примеров можно увидеть ниже.
#хакеры #безопасность
Как создать свой QR-код?
Вы наверняка видели рекламные объявления, баннеры или визитные карточки с QR-кодами, в которые зашиваются URLы, телефоны, простой текст и даже SMS сообщения. Однако, мало кто знает, что создание QR-кодов - вовсе не дорогостоящий процесс, доступный только корпорациям.
Чтобы сгенерировать собственный quick response (так расшифровывается QR) код, воспользуйтесь данным сервисом. Максимальное количество символов, которые помещаются в один QR-код: цифры – 7089, цифры и буквы (включая кириллицу) – 4296, двоичный код – 2953 байт, иероглифы – 1817.
Вам также потребуется задать, что именно вы хотите «зашить» в QR-код: URL, текст, телефонный номер или SMS. От данного выбора зависит что программа - сканер вашего телефона будет делать с полученной информацией после сканирования: открывать браузер, звонить или открывать программу редактирования SMS-сообщений. Так, к примеру, в код на картинке я вшил ссылку на этот канал.
❗️Кстати, QR-коды совсем не безобидны, поэтому не стоит сканировать все подряд. Подробнее можете почитать в этой статье.
📌http://qrcoder.ru
#хитрости
Вы наверняка видели рекламные объявления, баннеры или визитные карточки с QR-кодами, в которые зашиваются URLы, телефоны, простой текст и даже SMS сообщения. Однако, мало кто знает, что создание QR-кодов - вовсе не дорогостоящий процесс, доступный только корпорациям.
Чтобы сгенерировать собственный quick response (так расшифровывается QR) код, воспользуйтесь данным сервисом. Максимальное количество символов, которые помещаются в один QR-код: цифры – 7089, цифры и буквы (включая кириллицу) – 4296, двоичный код – 2953 байт, иероглифы – 1817.
Вам также потребуется задать, что именно вы хотите «зашить» в QR-код: URL, текст, телефонный номер или SMS. От данного выбора зависит что программа - сканер вашего телефона будет делать с полученной информацией после сканирования: открывать браузер, звонить или открывать программу редактирования SMS-сообщений. Так, к примеру, в код на картинке я вшил ссылку на этот канал.
❗️Кстати, QR-коды совсем не безобидны, поэтому не стоит сканировать все подряд. Подробнее можете почитать в этой статье.
📌http://qrcoder.ru
#хитрости
Игры в компьютер. Обзор игр, которые обучат навыкам хакинга и не только
Если ты читаешь эти строки, то для тебя есть хорошие новости: ты пока еще не умер от сам-знаешь-какого вируса! Из плохих новостей — тебя, скорее всего, уже попросили самоизолироваться и соблюдать карантин, работая из дома. Сидеть в четырех стенах невыносимо уныло, поэтому, чтобы не страдать от скуки, самое время размять мозги интересными задачками. Тем более что тут у нас отличный список!
📖Игры в компьютер. Обзор игр, которые обучат навыкам хакинга и не только
Если ты читаешь эти строки, то для тебя есть хорошие новости: ты пока еще не умер от сам-знаешь-какого вируса! Из плохих новостей — тебя, скорее всего, уже попросили самоизолироваться и соблюдать карантин, работая из дома. Сидеть в четырех стенах невыносимо уныло, поэтому, чтобы не страдать от скуки, самое время размять мозги интересными задачками. Тем более что тут у нас отличный список!
📖Игры в компьютер. Обзор игр, которые обучат навыкам хакинга и не только
Telegraph
Игры в компьютер. Обзор игр, которые обучат навыкам хакинга и не только
Если ты читаешь эти строки, у нас для тебя хорошие новости: ты пока еще не умер от сам-знаешь-какого вируса! Из плохих новостей — тебя, скорее всего, уже попросили самоизолироваться и соблюдать карантин, работая из дома. Сидеть в четырех стенах невыносимо…
Как проверить сайт на наличие вирусов
Полагаю, при поиске нужных файлов, документов или фильмов, многие сталкивались с ситуацией, когда, казалось бы, нужный материал обнаружен, но вот сайт не вызывает доверия: домен странный, название - хаотичный набор букв, а описание и вовсе состоит из непонятных иероглифов. При переходе на подобный сомнительный сайт, пользователь рискует заразиться, особенно при отсутствии надежной антивирусной защиты. Так как же быть?
Чтобы проверить сайт на наличие вирусов, воспользуйтесь safeweb. Для этого введите адрес веб-сайта, который хотите проверить и через несколько секунд вы получите отчет о находящихся на нем угрозах, если они имеются. Помимо этого, вы можете почитать отзывы о безопасности интересующего вас сайта и посмотреть его рейтинг.
📌https://safeweb.norton.com/
#хитрости #безопасность
Полагаю, при поиске нужных файлов, документов или фильмов, многие сталкивались с ситуацией, когда, казалось бы, нужный материал обнаружен, но вот сайт не вызывает доверия: домен странный, название - хаотичный набор букв, а описание и вовсе состоит из непонятных иероглифов. При переходе на подобный сомнительный сайт, пользователь рискует заразиться, особенно при отсутствии надежной антивирусной защиты. Так как же быть?
Чтобы проверить сайт на наличие вирусов, воспользуйтесь safeweb. Для этого введите адрес веб-сайта, который хотите проверить и через несколько секунд вы получите отчет о находящихся на нем угрозах, если они имеются. Помимо этого, вы можете почитать отзывы о безопасности интересующего вас сайта и посмотреть его рейтинг.
📌https://safeweb.norton.com/
#хитрости #безопасность
Какие данные собрал о тебе Google для показа рекламы?
Не секрет, Google знает, что вы смотрите, что ищете, и ,как в случае из недавнего поста, когда и куда ходите. На этой основе он определяет ваши интересы, ваш возраст и пол. Google собирает целую базу ваших увлечений для показа релевантных объявлений.
Чтобы посмотреть, какую информацию собрал о вас Google, нужно зайти в настройки рекламных предпочтений в вашем аккаунте. Также вы можете отключить эту функцию или же настроить ее под себя, удаляя или изменяя ваши интересы.
📌https://adssettings.google.com/
#приватность
Не секрет, Google знает, что вы смотрите, что ищете, и ,как в случае из недавнего поста, когда и куда ходите. На этой основе он определяет ваши интересы, ваш возраст и пол. Google собирает целую базу ваших увлечений для показа релевантных объявлений.
Чтобы посмотреть, какую информацию собрал о вас Google, нужно зайти в настройки рекламных предпочтений в вашем аккаунте. Также вы можете отключить эту функцию или же настроить ее под себя, удаляя или изменяя ваши интересы.
📌https://adssettings.google.com/
#приватность
Создаем точку доступа Wi-Fi для перехвата данных
Каждый день мы немало времени проводим в сети, ведь интернет в наше время позволяет потреблять огромное количество информации, дает работу и в целом упрощает нашу жизнь. Представьте ситуацию, когда нужно срочно
выйти в сеть, но мобильный интернет не ловит или же попросту закончился.
К сожалению, многие люди в таких ситуациях начинают искать незащищенные точки доступа, тем самым подвергают свои данные огромной опасности, так как очень часто незапароленная "общественная" Wi-Fi сеть оказывается точкой доступа для перехвата данных. Все данные, которые введет человек, подключенный к такой сети, отправиться напрямую к мошеннику.
Предлагаю вам проверить, как работает эта система изнутри и создать свою точку для перехвата данных.
Скачиваем Kali Linux
Заходим в терминал и прописываем команды для установки WiFi-Pumpkin:
▫️
Запускаем WiFi-Pumpkin
▫️
После запуска у вас откроется интерфейс wifi-pumkin. Перейдите во вкладку Setting и дайте имя свое точке доступа. Далее в Activity Monitor settings ставьте галочки на HTTP-Requests (веб-запросы), HTTP-Authentication (учётные данные с веб-сайтов) и Pumpkin-Proxy. Во вкладке Plugins (плагины) выберите, что вам важнее. Pumpkin-Proxy позволяет использовать различные готовые решения (кейлогеры, BeEF, внедрение кода и т.д.) Зато SSLStrip+ в паре с dns2proxy позволяют обходить HTTPS и перехватывать намного больше учётных данных.
#хакинг
Каждый день мы немало времени проводим в сети, ведь интернет в наше время позволяет потреблять огромное количество информации, дает работу и в целом упрощает нашу жизнь. Представьте ситуацию, когда нужно срочно
выйти в сеть, но мобильный интернет не ловит или же попросту закончился.
К сожалению, многие люди в таких ситуациях начинают искать незащищенные точки доступа, тем самым подвергают свои данные огромной опасности, так как очень часто незапароленная "общественная" Wi-Fi сеть оказывается точкой доступа для перехвата данных. Все данные, которые введет человек, подключенный к такой сети, отправиться напрямую к мошеннику.
Предлагаю вам проверить, как работает эта система изнутри и создать свою точку для перехвата данных.
Скачиваем Kali Linux
Заходим в терминал и прописываем команды для установки WiFi-Pumpkin:
▫️
git clone https://github.com/P0cL4bs/WiFi-Pumpkin.git
▫️cd WiFi-Pumpkin
▫️chmod +x installer.sh
▫️sudo ./installer.sh --install
Запускаем WiFi-Pumpkin
▫️
wifi-pumpkinПосле запуска у вас откроется интерфейс wifi-pumkin. Перейдите во вкладку Setting и дайте имя свое точке доступа. Далее в Activity Monitor settings ставьте галочки на HTTP-Requests (веб-запросы), HTTP-Authentication (учётные данные с веб-сайтов) и Pumpkin-Proxy. Во вкладке Plugins (плагины) выберите, что вам важнее. Pumpkin-Proxy позволяет использовать различные готовые решения (кейлогеры, BeEF, внедрение кода и т.д.) Зато SSLStrip+ в паре с dns2proxy позволяют обходить HTTPS и перехватывать намного больше учётных данных.
#хакинг
Шпионаж из-за Великой стены. Как действуют команды китайских хакеров
В Китае для кибершпионажа, помимо регулярных структур на базе подразделений НОАК и Министерства госбезопасности, используются и вольнонаемные команды хакеров. Им поручают самую грязную работу, чтобы в случае разоблачения репутационный ущерб правительству был минимален. В этой статье мы разберем их инструменты и методы.
📖Шпионаж из-за Великой стены. Как действуют команды китайских хакеров
В Китае для кибершпионажа, помимо регулярных структур на базе подразделений НОАК и Министерства госбезопасности, используются и вольнонаемные команды хакеров. Им поручают самую грязную работу, чтобы в случае разоблачения репутационный ущерб правительству был минимален. В этой статье мы разберем их инструменты и методы.
📖Шпионаж из-за Великой стены. Как действуют команды китайских хакеров
Telegraph
Шпионаж из-за Великой стены. Как действуют команды китайских хакеров
В Китае для кибершпионажа, помимо регулярных структур на базе подразделений НОАК и Министерства госбезопасности, используются и вольнонаемные команды хакеров. Им поручают самую грязную работу, чтобы в случае разоблачения репутационный ущерб правительству…
Хакеры продают полмиллиона аккаунтов Zoom
Теперь на хакерских форумах и в даркнете можно найти примерно 500 000 учетных записей Zoom, которые ради рекламы порой раздают вообще бесплатно.
Исследователи полагают, что найденные ими учетные данные – это результат атака типа credential stuffing. Таким термином обозначают ситуации, когда имена пользователей и пароли похищаются с одних сайтов, а затем используются против других. То есть злоумышленники имеют уже готовую базу учетных данных (приобретенную в даркнете, собранную самостоятельно и так далее) и пытаются использовать эти данные, чтобы авторизоваться на каких-либо сайтах и сервисах под видом своих жертв.
В базу данных, продаваемую хакерами, включены не только логины и пароли, но и уникальные URL-адреса создаваемых ими конференций, а также уникальный шестизначный ключ организатора конференции (HostKey). Среди организаций и компаний, почтовые адреса сотрудников которых включены в продаваемую базу, фигурируют крупные американские университеты, а также банки Chase и Citibank.
Журналисты Bleeping Computer связались с несколькими пострадавшими из списка, используя указанные адреса электронной почты, и удостоверились, что такие учетные записи действительно существуют. Кроме того, исследователям из Cyble удалось подтвердить подлинность части данных, проверив учетные записи, принадлежащие клиентам компании.
❗️Кстати, проверить, есть ли ваш адрес в крупных утечках, можно на сайте Have I Been Pwned, о котором на канале недавно выходил пост. Однако, если вы когда-либо использовали Zoom, вне зависимости от наличия вашего адреса в базе данных, рекомендую сменить пароль от аккаунта, а также везде, где используется аналогичный пароль.
#хакеры
Теперь на хакерских форумах и в даркнете можно найти примерно 500 000 учетных записей Zoom, которые ради рекламы порой раздают вообще бесплатно.
Исследователи полагают, что найденные ими учетные данные – это результат атака типа credential stuffing. Таким термином обозначают ситуации, когда имена пользователей и пароли похищаются с одних сайтов, а затем используются против других. То есть злоумышленники имеют уже готовую базу учетных данных (приобретенную в даркнете, собранную самостоятельно и так далее) и пытаются использовать эти данные, чтобы авторизоваться на каких-либо сайтах и сервисах под видом своих жертв.
В базу данных, продаваемую хакерами, включены не только логины и пароли, но и уникальные URL-адреса создаваемых ими конференций, а также уникальный шестизначный ключ организатора конференции (HostKey). Среди организаций и компаний, почтовые адреса сотрудников которых включены в продаваемую базу, фигурируют крупные американские университеты, а также банки Chase и Citibank.
Журналисты Bleeping Computer связались с несколькими пострадавшими из списка, используя указанные адреса электронной почты, и удостоверились, что такие учетные записи действительно существуют. Кроме того, исследователям из Cyble удалось подтвердить подлинность части данных, проверив учетные записи, принадлежащие клиентам компании.
❗️Кстати, проверить, есть ли ваш адрес в крупных утечках, можно на сайте Have I Been Pwned, о котором на канале недавно выходил пост. Однако, если вы когда-либо использовали Zoom, вне зависимости от наличия вашего адреса в базе данных, рекомендую сменить пароль от аккаунта, а также везде, где используется аналогичный пароль.
#хакеры
Карта DDoS атак по всему миру
Уверен, большинство моих читателей слышали о DDoS-атаках, на всякий случай вкратце напомню их принцип. DDoS-атака — распределённая атака типа «отказ в обслуживании», целью которой является создание условий, при которых пользователи не смогут получить доступ к сайту или веб-сервису из-за его перегрузки. Чаще всего злоумышленники перегружают сеть путем массовой отправки пакетов. Такой тип атак очень популярен и противостоять ему довольно сложно. Даже крупнейший веб-сервис для хостинга IT-проектов GitHub подвергся атаки в марте 2018 года. С помощью данного сервиса я предлагаю посмотреть, как проходили одни из самых известных DDoS атак.
Digital Attack Map - проект, созданный в сотрудничестве с Google Ideas и Arbor Networks. Это бесплатный сервис, который визуализирует текущие атаки на основе анализа сетевого трафика. Зачастую масштабы атак люди попросту недооценивают. В этом случае мы можем увидеть на карте, как выглядит процесс атаки, тип атаки, время ее начала и количество отправленной памяти в секунду. Также этот сервис показывает исторические данные, которые мы можем воспроизвести в виде анимации для более интересного наблюдения за процессом атаки.
📌https://www.digitalattackmap.com/
#хитрости
Уверен, большинство моих читателей слышали о DDoS-атаках, на всякий случай вкратце напомню их принцип. DDoS-атака — распределённая атака типа «отказ в обслуживании», целью которой является создание условий, при которых пользователи не смогут получить доступ к сайту или веб-сервису из-за его перегрузки. Чаще всего злоумышленники перегружают сеть путем массовой отправки пакетов. Такой тип атак очень популярен и противостоять ему довольно сложно. Даже крупнейший веб-сервис для хостинга IT-проектов GitHub подвергся атаки в марте 2018 года. С помощью данного сервиса я предлагаю посмотреть, как проходили одни из самых известных DDoS атак.
Digital Attack Map - проект, созданный в сотрудничестве с Google Ideas и Arbor Networks. Это бесплатный сервис, который визуализирует текущие атаки на основе анализа сетевого трафика. Зачастую масштабы атак люди попросту недооценивают. В этом случае мы можем увидеть на карте, как выглядит процесс атаки, тип атаки, время ее начала и количество отправленной памяти в секунду. Также этот сервис показывает исторические данные, которые мы можем воспроизвести в виде анимации для более интересного наблюдения за процессом атаки.
📌https://www.digitalattackmap.com/
#хитрости
В поле зрения. Как устроен компьютерный деанон по лицу — и можно ли его избежать
Современное компьютерное зрение обеспечило государства небывалыми возможностями в области видеонаблюдения. Кажется, лучше прочих этим пользуются авторитарные (или склонные к авторитаризму) режимы. С деаноном пытаются бороться самыми разными способами — от лазерных указок до специального макияжа и украшений.
Однако, если в Гонконге маски и шарфы надевают протестующие, то в Москве массово переходят на балаклавы сами правоохранители. Впрочем, против новых, только появляющихся систем распознавания лиц ни то, ни другое уже, видимо, не поможет.
📖В поле зрения. Как устроен компьютерный деанон по лицу — и можно ли его избежать
Современное компьютерное зрение обеспечило государства небывалыми возможностями в области видеонаблюдения. Кажется, лучше прочих этим пользуются авторитарные (или склонные к авторитаризму) режимы. С деаноном пытаются бороться самыми разными способами — от лазерных указок до специального макияжа и украшений.
Однако, если в Гонконге маски и шарфы надевают протестующие, то в Москве массово переходят на балаклавы сами правоохранители. Впрочем, против новых, только появляющихся систем распознавания лиц ни то, ни другое уже, видимо, не поможет.
📖В поле зрения. Как устроен компьютерный деанон по лицу — и можно ли его избежать
Telegraph
В поле зрения. Как устроен компьютерный деанон по лицу — и можно ли его избежать.
Современное компьютерное зрение обеспечило государства небывалыми возможностями в области видеонаблюдения. Кажется, лучше прочих этим пользуются авторитарные (или склонные к авторитаризму) режимы. С деаноном пытаются бороться самыми разными способами — от…
Анонимный и глубокий поиск в интернете
Каким поисковиком ты обычно пользуешься? Google или Яндексом? Или, быть может, ты по какой-то причине юзаешь Bing? А ведь инструментов для поиска в интернете гораздо больше, и помимо закрытых коммерческих поисковиков, шпионящих за каждым твоим шагом (как узнать, что собрал о тебе Google, читай в этом посте), существуют отличные гиковские альтернативы. Одна из таких альтернатив - DuckDuckGo.com
DuckDuckGo не хранит никакой информации о пользователях и не следит за ними на других сайтах. У всех людей будет одинаковая поисковая выдача на конкретный запрос. Для анонимности это плюс, но минус для эффективности поиска, а безопасность персональных данных обеспечивается благодаря использованию алгоритма шифрования AES и ключа длиной 128 бит.
Более того, в DuckDuckGo практически отсутствует спам, которым забиты все коммерческие поисковики. Сейчас результаты поиска удивляют своей чистотой и точностью, они агрегируются из пятидесяти разных источников, включая Wikipedia, Wolfram Alpha и собственного поискового робота, что позволяет поисковику выдавать намного больше результатов поиска.
📌https://duckduckgo.com
#хитрости #приватность
Каким поисковиком ты обычно пользуешься? Google или Яндексом? Или, быть может, ты по какой-то причине юзаешь Bing? А ведь инструментов для поиска в интернете гораздо больше, и помимо закрытых коммерческих поисковиков, шпионящих за каждым твоим шагом (как узнать, что собрал о тебе Google, читай в этом посте), существуют отличные гиковские альтернативы. Одна из таких альтернатив - DuckDuckGo.com
DuckDuckGo не хранит никакой информации о пользователях и не следит за ними на других сайтах. У всех людей будет одинаковая поисковая выдача на конкретный запрос. Для анонимности это плюс, но минус для эффективности поиска, а безопасность персональных данных обеспечивается благодаря использованию алгоритма шифрования AES и ключа длиной 128 бит.
Более того, в DuckDuckGo практически отсутствует спам, которым забиты все коммерческие поисковики. Сейчас результаты поиска удивляют своей чистотой и точностью, они агрегируются из пятидесяти разных источников, включая Wikipedia, Wolfram Alpha и собственного поискового робота, что позволяет поисковику выдавать намного больше результатов поиска.
📌https://duckduckgo.com
#хитрости #приватность
Взламываем принтер с помощью телефона
Вместо вступления, давайте сперва разберемся, для чего хакеры вообще проводят атаки на принтеры, а затем перейдем к самому способу взлома через телефон. Принтеры могут раскрыть гораздо больше, чем кажется.
Целью атаки может быть память NVRAM устройства, в котором могут находиться данные для входа (пароль). Кроме того, таким образом можно получить доступ к файловой системе, в которой находятся файлы конфигурации и данные аутентификации аккаунтов. Это лишь основные причины взлома таких информационных носителей, но на самом деле их гораздо больше. Хватит лирики, переходим к атаке.
Устанавливаем Termux
Прописываем команды в консоль:
▫️git clone https://github.com/RUB-NDS/PRET
▫️cd PRET
▫️pip install colorama pysnmP
Теперь переходим на сайт Shodan и в строке поиска вводим такой запрос:
port:9100 pjl
Выбираем нужны нам IP принтера, переходим обратно в терминал и вводим:
▫️python2 pret.py (ip адрес жертвы) pjl
Проникновение завершено. Теперь остается ввести в терминале help и вы увидите какие манипуляции можно провести с выбранным вами принтером.
#хакинг
Вместо вступления, давайте сперва разберемся, для чего хакеры вообще проводят атаки на принтеры, а затем перейдем к самому способу взлома через телефон. Принтеры могут раскрыть гораздо больше, чем кажется.
Целью атаки может быть память NVRAM устройства, в котором могут находиться данные для входа (пароль). Кроме того, таким образом можно получить доступ к файловой системе, в которой находятся файлы конфигурации и данные аутентификации аккаунтов. Это лишь основные причины взлома таких информационных носителей, но на самом деле их гораздо больше. Хватит лирики, переходим к атаке.
Устанавливаем Termux
Прописываем команды в консоль:
▫️git clone https://github.com/RUB-NDS/PRET
▫️cd PRET
▫️pip install colorama pysnmP
Теперь переходим на сайт Shodan и в строке поиска вводим такой запрос:
port:9100 pjl
Выбираем нужны нам IP принтера, переходим обратно в терминал и вводим:
▫️python2 pret.py (ip адрес жертвы) pjl
Проникновение завершено. Теперь остается ввести в терминале help и вы увидите какие манипуляции можно провести с выбранным вами принтером.
#хакинг
Проводим полную онлайн-разведку
Существуют тонны общедоступных ресурсов для получения информации о любом человеке или организации, но все они либо плохо работают в связке, либо при поиске информации очень сложно сделать крупный анализ и собрать все данные в одну полную картину. Конечно, этот факт не отменяет того, что все эти ресурсы необходимо знать по отдельности и уметь применять, однако, рубрику #OSINT (Open Source INTelligence) начнем мы именно с Framework OSINT, как ресурса, собирающего источники воедино.
OSINT Framework поможет вам в режиме онлайн найти, выбрать и собрать разведывательную информацию из общедоступных источников, а также провести анализ полученной информации. Благодаря этому ресурсу поиск пользователей, адресов электронной почты, IP-адресов или сведений о социальных сетях становится очень простым, поскольку у вас есть немало инструментов, доступных в одной панели. Просматривая веб-сайт OSINT Framework, вы найдете множество способов получения данных о любой цели, которую вы исследуете. Вообщем, ресурс определенно заслуживает внимания.
📌https://osintframework.com/
❗️Кстати, мой коллега с канала @Social_Engineering немало статей посвящает теме OSINT. Рекомендую ознакомиться.
#хитрости #OSINT
Существуют тонны общедоступных ресурсов для получения информации о любом человеке или организации, но все они либо плохо работают в связке, либо при поиске информации очень сложно сделать крупный анализ и собрать все данные в одну полную картину. Конечно, этот факт не отменяет того, что все эти ресурсы необходимо знать по отдельности и уметь применять, однако, рубрику #OSINT (Open Source INTelligence) начнем мы именно с Framework OSINT, как ресурса, собирающего источники воедино.
OSINT Framework поможет вам в режиме онлайн найти, выбрать и собрать разведывательную информацию из общедоступных источников, а также провести анализ полученной информации. Благодаря этому ресурсу поиск пользователей, адресов электронной почты, IP-адресов или сведений о социальных сетях становится очень простым, поскольку у вас есть немало инструментов, доступных в одной панели. Просматривая веб-сайт OSINT Framework, вы найдете множество способов получения данных о любой цели, которую вы исследуете. Вообщем, ресурс определенно заслуживает внимания.
📌https://osintframework.com/
❗️Кстати, мой коллега с канала @Social_Engineering немало статей посвящает теме OSINT. Рекомендую ознакомиться.
#хитрости #OSINT
Хакеры имитировали умные телевизоры для обмана рекламы
Специалисты White Ops обнаружили масштабную мошенническую операцию: на протяжении нескольких месяцев хакерская группа имитировала активность умных телевизоров, чтобы обмануть рекламодателей и получить прибыль от рекламы. Исследователи назвали эту операцию и стоящую за ней группировку ICEBUCKET. По их мнению, это наиболее масштабный случай подмены SSAI (Server-Side Ad Insertion) на сегодняшний день.
Интернет-рекламодатели используют серверы SSAI в качестве посредников между своими рекламными платформами и конечными пользователями. По сути, серверы SSAI отправляют рекламу приложениям, работающим на устройствах людей. Однако, группировка ICEBUCKET обнаружила недостатки в механизме коммуникации SSAI-серверов. В итоге в течение последних месяцев мошенники использовали уязвимость для подключения к серверам SSAI и запрашивали объявления для показа на несуществующих устройствах (схему атаки для наглядности я приложил под постом).
В силу того, что цена за тысячу показов объявлений на умных телевизорах и других телевизионных connected-девайсах выше, чем в других случаях, группировка сосредоточила усилия на имитации именно этих типов устройств. В общей сложности мошенники подделывали более 1000 различных типов устройств (user-agents), используя для этого свыше 2 000 000 IP-адресов, расположенных в более чем 30 странах мира. По словам исследователей, большая часть такого трафика приходилась на фейковые умные телевизоры, расположенные в США.
На пике своей активности в январе 2020 года группировка ICEBUCKET ежедневно генерировала около 1,9 миллиарда рекламных запросов на серверы SSAI. Операция была настолько масштабной, что в январе текущего года почти 2/3 рекламного трафика CTV SSAI приходилось на несуществующие устройства, созданные мошенниками.
#хакеры
Специалисты White Ops обнаружили масштабную мошенническую операцию: на протяжении нескольких месяцев хакерская группа имитировала активность умных телевизоров, чтобы обмануть рекламодателей и получить прибыль от рекламы. Исследователи назвали эту операцию и стоящую за ней группировку ICEBUCKET. По их мнению, это наиболее масштабный случай подмены SSAI (Server-Side Ad Insertion) на сегодняшний день.
Интернет-рекламодатели используют серверы SSAI в качестве посредников между своими рекламными платформами и конечными пользователями. По сути, серверы SSAI отправляют рекламу приложениям, работающим на устройствах людей. Однако, группировка ICEBUCKET обнаружила недостатки в механизме коммуникации SSAI-серверов. В итоге в течение последних месяцев мошенники использовали уязвимость для подключения к серверам SSAI и запрашивали объявления для показа на несуществующих устройствах (схему атаки для наглядности я приложил под постом).
В силу того, что цена за тысячу показов объявлений на умных телевизорах и других телевизионных connected-девайсах выше, чем в других случаях, группировка сосредоточила усилия на имитации именно этих типов устройств. В общей сложности мошенники подделывали более 1000 различных типов устройств (user-agents), используя для этого свыше 2 000 000 IP-адресов, расположенных в более чем 30 странах мира. По словам исследователей, большая часть такого трафика приходилась на фейковые умные телевизоры, расположенные в США.
На пике своей активности в январе 2020 года группировка ICEBUCKET ежедневно генерировала около 1,9 миллиарда рекламных запросов на серверы SSAI. Операция была настолько масштабной, что в январе текущего года почти 2/3 рекламного трафика CTV SSAI приходилось на несуществующие устройства, созданные мошенниками.
#хакеры
Скованные одним ником. Как найти человека по никнейму
Имя пользователя (он же - никнейм человека) - своего рода фингерпринт (отпечаток). Не сказать, что он уникальный для всех и для каждого, тем не менее поиск по имени пользователя может оказаться весьма результативным.
У каждого из нас своя история формирования никнейма и различных вариантов - миллиарды. Это может быть некая составляющая из фамилии, имени и отчества, любимый герой или исполнитель, название игры, музыки, фильма, книги и.. кажется это не имеет смысла перечислять, потому что вариантов действительно огромное количество и у всех на этот счет будет свое понимание и свой смысл.
Кто-то nickname придумал только вчера, а кто-то десяток лет назад и применяет повсеместно во всех социальных сетях, играх, мессенджерах и других ресурсах Интернета. Одинаковый идентификатор человека на всех сайтах - именно это и позволяет найти удивительное количество информации о человеке без его ведома и при минимальных усилиях:
📖Скованные одним ником. Как найти человека по никнейму
#OSINT
Имя пользователя (он же - никнейм человека) - своего рода фингерпринт (отпечаток). Не сказать, что он уникальный для всех и для каждого, тем не менее поиск по имени пользователя может оказаться весьма результативным.
У каждого из нас своя история формирования никнейма и различных вариантов - миллиарды. Это может быть некая составляющая из фамилии, имени и отчества, любимый герой или исполнитель, название игры, музыки, фильма, книги и.. кажется это не имеет смысла перечислять, потому что вариантов действительно огромное количество и у всех на этот счет будет свое понимание и свой смысл.
Кто-то nickname придумал только вчера, а кто-то десяток лет назад и применяет повсеместно во всех социальных сетях, играх, мессенджерах и других ресурсах Интернета. Одинаковый идентификатор человека на всех сайтах - именно это и позволяет найти удивительное количество информации о человеке без его ведома и при минимальных усилиях:
📖Скованные одним ником. Как найти человека по никнейму
#OSINT
Telegraph
Скованные одним ником. Как найти человека по никнейму
Имя пользователя (он же - никнейм человека) - своего рода фингерпринт (отпечаток). Не сказать, что он уникальный для всех и для каждого, тем не менее поиск по имени пользователя может оказаться весьма результативным. У каждого из нас своя история формирования…
Делаем из телефона хакерское устройства одним приложением
Каждый день на рынке различного софта появляются все больше интересных приложений от обычных пользователей. Уже прошли те времена, когда для проведения атаки нужно было как минимум обладать какими-то знаниями, а для использования собранной информации проводить ее обработку в десятках других утилит. Нынче можно просто выбрать понравившиеся приложения и установить его на ваш смартфон. Одно из самых лучших в сфере хакерства - это DSploit.
Приложение DSploit включает в себя много интересных функций, которые есть в других отдельных продуктах. Программа способна распознавать пароли и логины, корректировать изображения, изменять ссылки сайтов, а также видео. Кроме того, можно отключать интернет определенному пользователю устройства, а также есть возможность присмотреть модель устройства. Еще приложение может сохранять трафик в безопасном режиме, чтобы потом его расшифровать на компьютере. Вообщем, функционал программы очень богатый.
❗️Важный нюанс. Для использования приложения необходимо иметь root права. Чтобы максимально просто их получить, вы можете скачать приложение Kingo Root.
📌Скачать DSploit
📌Получить root права
#хакинг
Каждый день на рынке различного софта появляются все больше интересных приложений от обычных пользователей. Уже прошли те времена, когда для проведения атаки нужно было как минимум обладать какими-то знаниями, а для использования собранной информации проводить ее обработку в десятках других утилит. Нынче можно просто выбрать понравившиеся приложения и установить его на ваш смартфон. Одно из самых лучших в сфере хакерства - это DSploit.
Приложение DSploit включает в себя много интересных функций, которые есть в других отдельных продуктах. Программа способна распознавать пароли и логины, корректировать изображения, изменять ссылки сайтов, а также видео. Кроме того, можно отключать интернет определенному пользователю устройства, а также есть возможность присмотреть модель устройства. Еще приложение может сохранять трафик в безопасном режиме, чтобы потом его расшифровать на компьютере. Вообщем, функционал программы очень богатый.
❗️Важный нюанс. Для использования приложения необходимо иметь root права. Чтобы максимально просто их получить, вы можете скачать приложение Kingo Root.
📌Скачать DSploit
📌Получить root права
#хакинг
