Чтобы узнать телеграмм аккаунт скамера нужно всего лишь...
...посмотреть куда отправляются данные после кнопки "подтвердить" на фишинговом ресурсе🤡
Как я писал тут, часто при создании фишкитов мошенники допускают ошибки в коде и выдают сами себя. На скриншоте видно, что достаточно использовать панель разработчика в браузере, чтобы увидеть куда улетают украденные данные на фишинговом сайте. В данном случае, отправка осуществляется телеграмм ботом, который отправляет все собранные данные в личку/чат фишеру в открытом виде😎
Кстати, фишинговый ресурс для анализа я приметил здесь.
❤ @seclemur |❤ @tinyscope
...посмотреть куда отправляются данные после кнопки "подтвердить" на фишинговом ресурсе
Как я писал тут, часто при создании фишкитов мошенники допускают ошибки в коде и выдают сами себя. На скриншоте видно, что достаточно использовать панель разработчика в браузере, чтобы увидеть куда улетают украденные данные на фишинговом сайте. В данном случае, отправка осуществляется телеграмм ботом, который отправляет все собранные данные в личку/чат фишеру в открытом виде
Кстати, фишинговый ресурс для анализа я приметил здесь.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🗿2
Forwarded from Tinyscope
Привет! 👀
Мы запускаем своего бота @tinyscope_bot в свободное плавание!
Что он умеет сейчас:
✔️ Искать с помощью регулярных выражений домены среди зарегистрированных за последние сутки и за последние 30 дней;
✔️ Смотреть DNS записи домена;
✔️ Получать Whois данные ресурса.
Надеемся он окажется полезным в вашей работе.
❤ @tinyscope |❤ @tinyscope_bot
Мы запускаем своего бота @tinyscope_bot в свободное плавание!
Что он умеет сейчас:
Надеемся он окажется полезным в вашей работе.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🆒2
#Охотимся на командные центры стиллеров👀
Известно, что боты в Telegram используются как C2 не только в фишинговых китах, но и для эксфильтрации данных с зараженной машины. На гитхабе полно разных примеров для отправки данных по пути хост жертвы->злоумышленник (link1 или link2).
Практически во всех случаях используется метод sendMessage , который имеет вид:
Часто такой урл даже не шифруется внутри ВПО, что дает нам получить токен бота. Имея токен бота мы можем не только получить данные, которые украл злоумышленник, но и данные самого злоумышленника (утилита или методы Telegram bot API).
А где мы можем найти такие семплы? Конечно на песочницах!
1️⃣ Идем на любую песочницу с функционалом поиска по семплам. Например, Virustotal;
2️⃣ Ищем файлы, которые как-то коммуницируют с
3️⃣ Переходим в любой из вредоносных файлов и также идем в Relations;
4️⃣ Во вкладке Contacted URLs мы видим ключ для доступа к боту в сыром виде.
Этим же способом можно найти образцы ВПО, которые отправляют украденные данные в Discord, Anonfiles, Pastebin etc🧠
❤ @seclemur |❤ @tinyscope
Известно, что боты в Telegram используются как C2 не только в фишинговых китах, но и для эксфильтрации данных с зараженной машины. На гитхабе полно разных примеров для отправки данных по пути хост жертвы->злоумышленник (link1 или link2).
Практически во всех случаях используется метод sendMessage , который имеет вид:
https://api.telegram.org/bot{Your_bottoken}/sendMessage?chat_id={your_chat_id}&text=Hello_worldЧасто такой урл даже не шифруется внутри ВПО, что дает нам получить токен бота. Имея токен бота мы можем не только получить данные, которые украл злоумышленник, но и данные самого злоумышленника (утилита или методы Telegram bot API).
А где мы можем найти такие семплы? Конечно на песочницах!
api.telegram.org (Relations -> Communicating Files);Этим же способом можно найти образцы ВПО, которые отправляют украденные данные в Discord, Anonfiles, Pastebin etc
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Offensive OSINT
Тонкости рекона
Каждый слышал про crt.sh, но не каждый знает, что когда вы совершаете запрос по вашему домену/организации/слову, то он имеет ограничение в 10к результатов.
Популярные инструменты для сбора поддоменов зачастую используют вот такой запрос к этому ресурсу:
Полная статья | Канал автора
#subdomain #crtsh
Каждый слышал про crt.sh, но не каждый знает, что когда вы совершаете запрос по вашему домену/организации/слову, то он имеет ограничение в 10к результатов.
Популярные инструменты для сбора поддоменов зачастую используют вот такой запрос к этому ресурсу:
https://crt.sh/?Identity=example.com&output=jsonУ этого же ресурса есть публична postgresgl база данных с гостевым доступом:
psql -h crt.sh -p 5432 -U guest certwatchС помощью прямого подключения к бд можно обойти указанный лимит, составив запрос самостоятельно.
Полная статья | Канал автора
#subdomain #crtsh
Telegraph
Тонкости рекона
crt.sh Давно ничего не писал, хотелось статью, но вышла пока только заметка. Итак crt.sh это ресурс, который мониторит и собирает в себя выпускаемые сертификаты. Является одним из самых популярных источников поддоменов. И все бы с ним хорошо, только вот запрос…
👍5🗿3🆒1
Куча дашбордов, в которые интересно потыкать
Сам я залип в ShadowServer - много информации об IoT устройствах по миру и различные данные с ханипотов
❤ @seclemur |❤ @tinyscope
Сам я залип в ShadowServer - много информации об IoT устройствах по миру и различные данные с ханипотов
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Tinyscope
Привет! 👀
В процессе разработки и исследований образовался скрипт для получения данных из TLS/SSL сертификата. Максимально быстрый и не требует танцев с бубном как zgrab2.
Принимает на вход домен/список доменов, а на выходе отдает файл в JSON :
Попробовать можно здесь:
🧩 Github
❤ @tinyscope |❤ @tinyscope_bot
В процессе разработки и исследований образовался скрипт для получения данных из TLS/SSL сертификата. Максимально быстрый и не требует танцев с бубном как zgrab2.
Принимает на вход домен/список доменов, а на выходе отдает файл в JSON :
./gocert -f ./domains.txt -o ./output.json
Попробовать можно здесь:
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
Forwarded from Tinyscope
Фишинг под владельцев пунктов выдачи Ozon.
Кто знаком с личными кабинетами пунктов выдачи - какие можно действия совершить, имея туда доступ?🤔
❤ @tinyscope |❤ @tinyscope_bot
Кто знаком с личными кабинетами пунктов выдачи - какие можно действия совершить, имея туда доступ?
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Tinyscope
Как ребята на той стороне адаптируются под новостную повестку:
mtsbank.space
mtsbank.website
mtsbank-ipo.ru
mtsbankipo.ru
mts-bank.pro
mtsbank.xyz
mts-banking.online
mtsbank-ipo.online
mtsbank.shop
mtsbank.press
mtsbanking.online
mts-bank.online
Контента пока что на ресурсах нет, но думаю как только новость об IPO разлетится по интернету, то появятся предложения участия в IPO на выгодных условиях👀
❤ @tinyscope |❤ @tinyscope_bot
mtsbank.space
mtsbank.website
mtsbank-ipo.ru
mtsbankipo.ru
mts-bank.pro
mtsbank.xyz
mts-banking.online
mtsbank-ipo.online
mtsbank.shop
mtsbank.press
mtsbanking.online
mts-bank.online
Контента пока что на ресурсах нет, но думаю как только новость об IPO разлетится по интернету, то появятся предложения участия в IPO на выгодных условиях
Please open Telegram to view this post
VIEW IN TELEGRAM
Деанон самых матерых
Минюст США сегодня опубликовали данные с установлением личности LockBitSupp - администратора и разработчика группировки вымогателей LockBit. Наверное, одной из самых известных ransomware группировок в даркнете - по данным разных источников доходы группировки исчисляются миллионами, если не миллиардами долларов.
Blackhat - это как игра в казино. Ты можешь в моменте сорвать куш, но на дистанции все ровно проиграешь. Да еще и в этом случае нанесешь вред окружающим.
❤ @seclemur |❤ @tinyscope
Минюст США сегодня опубликовали данные с установлением личности LockBitSupp - администратора и разработчика группировки вымогателей LockBit. Наверное, одной из самых известных ransomware группировок в даркнете - по данным разных источников доходы группировки исчисляются миллионами, если не миллиардами долларов.
Blackhat - это как игра в казино. Ты можешь в моменте сорвать куш, но на дистанции все ровно проиграешь. Да еще и в этом случае нанесешь вред окружающим.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🗿2
Недавно выступал на митапе где рассказывал о том куда можно пожаловаться на фишинговые и вредоносные ресурсы. Мне задали вопрос можно ли подать жалобу на вредоносный контент в Telegram.
Вот список контактов куда стоит сообщить:
⏩ Volunteer support (Контакты есть в настройках TG)
⏩ @Notoscam
⏩ @AmeliaTearheart
⏩ Форма на сайте (https://telegram.org/support?setln=ru)
⏩ На почты:
- sms@telegram.org - проблемы со входом;
- dmca@telegram.org - проблемы с каналом;
- abuse@telegram.org - жалоба на контент;
- sticker@telegram.org - жалоба на стикеры;
- stopCA@telegram.org - детское насилие;
- recover@telegram.org - восстановить аккаунт;
- support@telegram.org - общая поддержка;
- security@telegram.org - вопросы безопасности.
❤ @seclemur |❤ @tinyscope
Вот список контактов куда стоит сообщить:
- sms@telegram.org - проблемы со входом;
- dmca@telegram.org - проблемы с каналом;
- abuse@telegram.org - жалоба на контент;
- sticker@telegram.org - жалоба на стикеры;
- stopCA@telegram.org - детское насилие;
- recover@telegram.org - восстановить аккаунт;
- support@telegram.org - общая поддержка;
- security@telegram.org - вопросы безопасности.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11
23 апреля нашел два свежезарегистрированных домена, паттерн которых был похож на те, что использует группировка SideWinder при своих атаках:
SideWinder - индийская прогосударственная группировка, атакующая преимущественно соседние с Индией государства с целью шпионажа.
23 мая появляется отчет с изучением инфраструктуры группировки, где среди прочих перечислены вышеупомянутые индикаторы.
Примерно понимая шаблон по которому группировка подготавливает домены для своих фишинговых атак, я поискал недавно зарегистрированные тут - @tinyscope_bot
OSINT инструменты помогают находить и отслеживать деятельность группировок. Многие из них бесплатны и общедоступны.
❤ @seclemur |❤ @tinyscope
gov-govpk.info
dgps-govpk.com
SideWinder - индийская прогосударственная группировка, атакующая преимущественно соседние с Индией государства с целью шпионажа.
23 мая появляется отчет с изучением инфраструктуры группировки, где среди прочих перечислены вышеупомянутые индикаторы.
Примерно понимая шаблон по которому группировка подготавливает домены для своих фишинговых атак, я поискал недавно зарегистрированные тут - @tinyscope_bot
OSINT инструменты помогают находить и отслеживать деятельность группировок. Многие из них бесплатны и общедоступны.
Please open Telegram to view this post
VIEW IN TELEGRAM
🗿4👍3
Forwarded from Bimbosecurity
Мой хороший, краулинг публичных отчетов — это не Threat Intelligence 😘😘
💩3
Forwarded from Tinyscope
Запилили приятный сайтик со статистикой по доменам и некоторыми дашбордами - tinyscope.ru
А по этой ссылке можно наглядно увидеть что из себя представляет Certificate Transparency Log😵
❤ @tinyscope ❤ @tinyscope_bot
А по этой ссылке можно наглядно увидеть что из себя представляет Certificate Transparency Log
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
Набор скриптов от Netlas для нетворк рекона и не только - git 🌐
Также Netlas выпустили хороший гайд по сбору скоупа цифрового следа организации из открытых источников - гайд🔼
❤ @seclemur❤ @tinyscope
Также Netlas выпустили хороший гайд по сбору скоупа цифрового следа организации из открытых источников - гайд
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
На Википедии появлялись разные версии произошедшего 🤣
https://en.wikipedia.org/w/index.php?title=CrowdStrike&action=history
https://en.wikipedia.org/w/index.php?title=CrowdStrike&action=history
Forwarded from CTT Report Hub
#cyberthreattech
Помните наши эксперименты с Google Bard|Gemini + Google Drive?
Мы не оставили эти наработки.
С учетом накопленного опыта в RAG и понимании как лучше представлять TI-отчеты для того, чтобы RAG работал наиболее эффективно, вместе с коллегами из InsightStream мы сделали первую версию ИБ-ассистента.
У него "под ногами" TI-отчеты и отвечая на вопросы он опирается именно на эту базу знаний (на секундочку, это около 4000 тактических и операционных отчетов в год со всего мира).
На данный момент мы запустили закрытое тестирование ИБ-ассистента среди наших тех. партнеров и ключевых SOC.
По результатам тестов посмотрим что еще стоит подкрутить.
На данный момент качество ответов уже лучше чем Google Bard|Gemini + Google Drive и значительно превосходит "коробочные" RAG. И это при том, что мы еще не все методы повышения качестве ответов применили :)
Помните наши эксперименты с Google Bard|Gemini + Google Drive?
Мы не оставили эти наработки.
С учетом накопленного опыта в RAG и понимании как лучше представлять TI-отчеты для того, чтобы RAG работал наиболее эффективно, вместе с коллегами из InsightStream мы сделали первую версию ИБ-ассистента.
У него "под ногами" TI-отчеты и отвечая на вопросы он опирается именно на эту базу знаний (на секундочку, это около 4000 тактических и операционных отчетов в год со всего мира).
На данный момент мы запустили закрытое тестирование ИБ-ассистента среди наших тех. партнеров и ключевых SOC.
По результатам тестов посмотрим что еще стоит подкрутить.
На данный момент качество ответов уже лучше чем Google Bard|Gemini + Google Drive и значительно превосходит "коробочные" RAG. И это при том, что мы еще не все методы повышения качестве ответов применили :)
insightstream.ru
ИнсайтСтрим – Умный поиск RAG по знаниям компании