Эксплойт
1.98M subscribers
14.4K photos
6.86K videos
2 files
10K links
Главное медиа об интернет-культуре и технологиях.

Больше интересного на https://exploit.media

Написать в редакцию: @exploitex_bot

Сотрудничество: @todaycast

РКН: https://clck.ru/3FjURF
Download Telegram
​​Как проверить безопасность сайта

Каждый сайт имеет внутренние сервисы аналитики, метрики и т.п. Есть и сайты, на которых размещены вредоносные сервисы вроде майнеров и фишинг механизмов.

Сервис https://urlscan.io/ проводит детальный анализ сайта. Перейдите на сайт, введите ссылку на ресурс, который нужно проанализировать и нажмите на кнопку "Public Scan".

В результатах вы найдете: вердикт о безопасности сайта, IPv4-адрес, IPv6-адрес, сколько раз был отсканирован другими пользователями, скриншот сайта, на каком движке работает и количество вредоносных активностей.

Как видите исходя из скриншота, наш сайт полностью безопасен и вы можете зайти на него и посмотреть, что нового и интересного там вышло)

Эксплойт / #безопасность
Как хакеры взламывают правительство и военных, заражая USB-устройства

Хакерская группировка Transparent Tribe проводила атаки на правительства и военнослужащих 27 государств, используя троян Сrimson.

Они отправляли фальшивые сообщения вместе с вредоносными документами Microsoft Office, содержащими встроенный макрос, который устанавливает в систему вирус удаленного доступа, способный незаметно распространяться на все подключаемые флешки.

🔗 exploit.media/news/crimson-remote-access/

#новость
​​Как найти аккаунты пользователя во всех соц. сетях

Поиск человека в интернете занимает много времени, потому что надо вручную проверять наличие аккаунта в каждой из соц. сетей.

https://namechk.com/ — сервис для поиска профилей пользователей по никнейму:
1. Перейдите на сайт.
2. Введите логин/юзернейм пользователя.
3. Нажмите на иконку с лупой. Сервис найдет аккаунты на таких сайтах как: Facebook, YouTube, Twitter, Instagram, TikTok и т.п.

Зелёный цвет означает, что пользователя с таким логином не существует. Красный — не удалось произвести поиск. Серый – пользователь с таким логином обнаружен. Сервис также проверяет доменные зоны .NET, .COM, .ORG и т.д.

Эксплойт / #OSINT
​​Как сгенерировать мнемонический пароль

Как мы уже писали ранее, самый важный критерий в безопасности пароля - это его длина. Чтобы сделать длинный и одновременно хорошо запоминающийся пароль, можно использовать технику мнемонических фраз

Например, это может быть составление пароля из первых букв (или слогов) слов запомнившейся фразы. Вспомнив мнемоническую фразу, пользователь вероятнее всего вспомнит пароль.

Для автоматической генерации подобных паролей можно воспользоваться ботом @EasyStrongPasswordBot. Просто выберите язык и сложность пароля, и бот сам сгенерирует и предложит вам сразу 4 варианта паролей.

Эксплойт / #полезно
​​Как приложения для защиты персональных данных сливают вашу личную информацию

Существует целый ряд приложений, которые предлагают вам удалить всю персональную информацию о вас с сайтов, которыми вы не пользуетесь. Одним из таких является sayMine.

Однако, чтобы подобный сервис смог разослать в компании сообщения с просьбами удалить данные пользователя, вам необходимо выгрузить в него все свои письма за много лет, чтобы приложение могло их обработать.

Пользователь в далеком 2013 году воспользовался услугами VPN сервиса hidemy.name,за все время использования получив на свой ящик одно лишь письмо с кодом подтверждения.

В 2020 году он вдруг решает воспользоваться модным сервисом sayMine. В итоге, администратору VPN приходит письмо, в котором помимо всех остальных данных фигурирует также имя и фамилия пользователя, которые он не указывал при регистрации.

Эксплойт / #приватность
Хакеры украли данные 8,3 млн пользователей Freepik с помощью SQL-инъекции

Freepik - это сайт с графическим онлайн-ресурсами насчитывающей 18 миллионов уникальных пользователей в месяц.

Пароли, хешированные с помощью MD5, взломать легко, а их 4.5 млн., поэтому Freepik сбросил учетные записи для 229.000 пользователей и отправил им по электронной почте, чтобы они как можно скорее сменили пароли. Для 3.55 млн пострадавших Freepik решил не париться и отправил уведомления по почте об обновлении их учетных данных.

Если желаете проверить, не были ли ваши учетные данные скомпрометированы в результате утечки данных, вы можете использовать Have I Been Pwned.

🔗 exploit.media/news/freepik-leak/
Баг позволяет подменять файлы в Google Drive

Проблема, о которой Google знает, но, к сожалению, не исправляет, находится в функции "управления версиями", которая позволяет пользователям загружать новые версии файла.

Уязвимость позволяет менять расширение у загружаемого под видом новой версии файла, позволяя пользователям загружать файлы с любым расширением и содержанием. Таким образом можно заменить, например файл .PDF, на исполняемый файл .EXE с вредоносным содержимым.

🔗 exploit.media/news/gdrive-bug/
C помощью бага в Safari можно украсть историю поиска и другие данные

Когда пользователь делится контентом по электронной почте, с помощью уязвимости к письму прикрепляются его локальные файлы, которые вместе с содержимым письма отправляются злоумышленнику. Это могут быть например файлы с историей браузинга или паролями.

Эта проблема может привести к ситуациям, когда вредоносные веб-страницы могут обманным путем заставлять пользователей поделиться статьей по электронной почте, но в конечном итоге тайно скачают файлы с устройства.

🔗 exploit.media/news/apple-delays-safari-bug/
Специальные функции Windows 10, способные повысить безопасность вашего компьютера

ПК с установленной Windows 10 — это настоящая сокровищница скрытых функций безопасности, которые пользователь может включить вручную для дальнейшего усиления имеющейся защиты.

В этой статье на суд читателей представлены, по нашему мнению, лучшие функции в сфере безопасности, которые каждый должен попробовать активировать на своей Windows 10.

🔗 exploit.media/security/win10-security-features/
​​Как удалить метаданные изображения

Каждое изображение содержит в себе скрытую информацию вплоть до местоположения создания снимка и модели устройства.

Чтобы при передаче фотографии третьи лица не получили доступ к этим данным — воспользуйтесь сервисом Imgonline.com. Просто загрузите фотографию и скачайте её уже без метаданных.

Обработанный файл может весить меньше за счет удаления дополнительной информации, но само изображение никак не сжимается.

Читать на сайте / #полезно
Северокорейские хакеры взламывают банки по всему миру

Финансирование северокорейского режима - удовольствие не из дешевых. Для этого хакеры из Северной Кореи, известные как BeagleBoyz, используют инструменты удаленного доступа, чтобы красть миллионы у международных банков.

BeatleBoys в настоящее время нападает на банки в более чем 30 странах мира, пытаясь украсть 2 миллиарда долларов, с помощью международных денежных переводов и выдачи наличных в банкоматах. Ранее они уже пытались ограбить Банк Бангладеша, а также нацелились на криптовалютные биржи.

🔗 exploit.media/news/beagleboyz-atm-hack/
👍1
​​Как проверить IP адрес на чистоту

Сегодня почти каждый сервис в интернете имеет свою антифрод систему, которая встречает вас по IP адресу, и чем он чище, тем больше доверия со стороны сайта вы получите. Например, пользователям, адреса которых имеют низкий уровень доверия может чаще показываться капча или быть недоступны некоторые функции.

Чтобы проверить ваш IP-адрес или адрес вашего VPN сервера на чистоту можно воспользоваться ботом @zpcny_bot. Он проверит ваш IP на наличие в 80 блеклистах и принадлежность к VPN или Proxy.

Бот собирает данные с трех самых авторитетных сервисов, услугами которых пользуются и антифрод системы.

Эксплойт / #полезно
Четверть самых популярных веб-сайтов собирают цифровые отпечатки

Исследовательская группа просканировала и проанализировала 100 000 самых популярных веб-сайтов в Интернете и выяснила, что более чем на 10% из них, и более четверти из 10 тысяч, собирают цифровые отпечатки посетителей.

Исследователи также обнаружили несколько новых способов отслеживания людей в интернете, о которых ранее не было известно. Подробнее в нашей утренней статье.

🔗 exploit.media/news/fp-inspector/
Россиянин пытался устроить кибератаку на Tesla, подкупив сотрудника

27-летний Егор Крючков как-то раз встретил в баре своего старого знакомого, который теперь работает в Tesla. Там он предложил ему 1 миллион долларов за установку вредоносного ПО в сети его работодателя, которое будет использовано, чтобы украсть данные и просить за них выкуп.

Сотрудник сообщил обо всем в ФБР, после чего Крючкова арестовали, обвинив в попытке подкупа и планировании кибератаки на завод Tesla.

🔗 https://exploit.media/news/kriuchkov-gigafactory/
Хакеры взломали около 28 000 принтеров по всему миру, чтобы повысить осведомленность о проблемах безопасности принтеров.

Они отобрали 50 000 открытых принтеров и отправили им команду на печать документа с руководством по безопасности.

Документ был напечатан почти на 28000 из этих устройств, что позволяет предположить, что теоретически хакеры могут перехватить контроль над более чем 56% всех обнаруженных существующих сети принтеров.

🔗 exploit.media/news/cybernews-printer-hack/
​​Продвинутый поиск в Facebook

Встроенный поиск в Facebook не принимает дополнительные атрибуты поиска. Например, вы не можете искать людей по стране, школе и т.п.

https://graph.tips/beta — сервис продвинутого поиска внутри Facebook. Можно искать людей, фото, посты, страницы, места, видео и события. Также есть возможность использовать фильтры.

1. Перейдите на сайт.
2. В разделе "Search" укажите, что хотите найти. Например, выберите "Videos".
3. Появится новый раздел "Search Videos".
4. Включите необходимые фильтры.
5. В разделе "Filter by date" укажите интервал времени, в котором следует искать.
6. При необходимости, введите ключевые слова в поле "Keywords".
7. Нажмите на кнопку "Open URL in new window".

Сайт сгенерирует ссылку поиска, учитывая указанные вами фильтры. Чтобы увидеть как выглядит ссылка, нажмите на кнопку "Show URL".

Эксплойт / #полезно
Режим «инкогнито» не обеспечивает анонимность в интернете

Режим инкогнито действительно не раскрывает некоторые аспекты просмотра вами страниц в интернете, но важно осознавать, какая именно информация при этом прячется, а какая – нет. Спойлер: никакая.

Читайте нашу сегодняшнюю статью, чтобы узнать, что конкретно можно узнать о вас в режиме инкогнито.

🔗 exploit.media/privacy/incognito-mode-explained/
​​Как безопасно хранить биткоин на своем телефоне

Ни одна биржа и ни один криптокошелек не являются на 100% безопасными. Например, в 2016 году хакеры взломали самую популярную на тот момент биржу Bitfinex и украли со счетов ее клиентов около 120 000 биткоинов, что по текущему курсу равняется 1,5 миллиардам $. Перевести средства позволила уязвимость множественной подписи, а потерянные деньги так и не удалось отследить.

Самый надежный способ хранить BTC — это аппаратный кошелек, который можно установить на ваш смартфон. В таком случае ваши средства будут храниться не где-то на бирже, а прямо на вашем телефоне. Надежнее аппаратного кошелька ничего нет, его никто не заблокирует и не заморозит «до выяснения». Ключевой недостаток в том, что если вы потеряете свое устройство — вы утратите всю хранящуюся на нем криптовалюту.

Установить «холодный» кошелек можно на iOS и Android. Интерфейс очень простой и понятный, доступны функции ввода и вывода. Главное создайте резервную копию кошелька в настройках безопасности.

#безопасность
Как защитить данные на вашем ноутбуке

Если вы пользуетесь ноутбуком, то скорее всего на нем находится вся ваша жизнь: ваши финансовые отчеты, планы на будущее, все фото и видео, отчеты о продажах вашей компании, и так далее. Чего вы не хотите, так это того, чтобы кто-либо другой получил несанкционированный доступ к этим данным.

Хорошая новость заключается в том, что как Windows, так и macOS позволяют легко защитить ваш ноутбук и предотвратить попадание ваших файлов в чужие руки. О там, как настроить базовую защиту используя встроеные функции читайте в этой статье.

🔗 exploit.media/security/laptop-security/

#безопасность