Книга «Хакинг на Rust» — это руководство для тех, кто хочет овладеть современными методами кибербезопасности через призму языка программирования Rust. Вы узнаете, как использовать уникальные возможности Rust — безопасность памяти, скорость и низкоуровневый контроль — для поиска уязвимостей, создания эксплойтов и защиты систем.

Объем: 242 страницы.
Цена: бесплатно.

Что внутри:

- Основы Rust для хакеров: Система владения, работа с памятью, FFI.
- Инструменты хакера: Фаззинг, анализ бинарников, эксплуатация уязвимостей (стековые переполнения, гонки данных).
- Продвинутые техники: Обход защиты (DEP, ASLR), интеграция с C/C++ и Python, создание инструментов для пентеста.
- Безопасность кода: Статический анализ, формальная верификация, этический аудит.
- Реальные кейсы: От переполнений в Tor до смарт-контрактов на Solana.


Для кого эта книга:

- Пентестеры, разработчики и исследователи безопасности.
- Любители CTF, стремящиеся освоить Rust.
- Все, кто хочет писать безопасный код и противостоять киберугрозам.


Почему Rust?
Rust не только предотвращает 70% уязвимостей памяти, но и становится стандартом для критичных систем (от браузеров до блокчейнов). Эта книга научит вас использовать его мощь ответственно — для защиты, а не разрушения.

Важно: Книга пропагандирует этичный хакинг. Все примеры предназначены для легального тестирования и обучения.

С этой книгой вы:

- Научитесь находить уязвимости до злоумышленников.
- Создадите инструменты для аудита и защиты систем.
- Поймёте, как Rust меняет будущее кибербезопасности.


Цитата из книги:
«Rust — не просто язык. Это обязательство перед безопасностью. Каждая строка кода — шаг к защищённому цифровому миру» .

Погрузитесь в мир Rust и станьте архитектором безопасности завтрашнего дня.

Содержание книги "Хакинг на Rust"

Введение
•Почему Rust? Преимущества языка для кибербезопасности.
•Безопасность, скорость и контроль: как Rust меняет подход к хакингу.
•Цели книги и структура.

Часть 1: Основы Rust для хакеров

1.Знакомство с Rust
Установка и настройка среды (Rustup, Cargo).
Hello, World! Первые шаги в коде.
Особенности синтаксиса: макросы, шаблоны, перечисления.

2.Система владения (Ownership)
Правила владения и заимствования.
Управление памятью без сборщика мусора.
Как это предотвращает уязвимости (например, use-after-free).

3.Типы данных и структуры
Примитивы, строки, коллекции.
Структуры, перечисления и паттерн-матчинг.
Обработка ошибок: Result и Option.

4. Низкоуровневое программирование
Работа с указателями и сырыми данными (unsafe).
Взаимодействие с памятью: стек vs. куча.
FFI: интеграция с C-библиотеками.

Часть 2: Инструменты хакера на Rust
5. Создание эксплойтов
Буферные переполнения и их обход в Rust.
Пример: эксплуатация уязвимостей через unsafe.
Инструменты для анализа бинарников (например, gdb + Rust).

6. Сетевые атаки
Написание сетевых сканеров и снифферов.
Работа с сокетами: TCP/UDP, raw sockets.
Пример: ARP-спуфинг на Rust.

7. Фаззинг и тестирование на устойчивость
Инструменты: cargo-fuzz, afl.rs.
Генерация тестовых данных для обнаружения уязвимостей.
Анализ крашей и отладка.

8. Криптоанализ и безопасность
Реализация и взлом алгоритмов шифрования.
Атаки на слабые генераторы случайных чисел.
Пример: подбор ключей с использованием многопоточности.

Часть 3: Продвинутые темы
9. Обход защиты
Антидебаггинг-техники в Rust.
Обфускация кода и скрытие сигнатур.
Работа с DEP и ASLR.

10. Интеграция с другими языками
Расширение Python-скриптов через Rust (PyO3).
Встраивание Rust в C/C++ проекты.
Пример: ускорение фаззера написанного на Python.

11. Создание инструментов для пентеста
Сканеры уязвимостей (SQLi, XSS).
Автоматизация атак с помощью Cargo.
Пример: brute-force атака на API.

Часть 4: Безопасность кода на Rust
12. Пишем безопасный код
Избегание уязвимостей: целочисленные переполнения, гонки данных.
Статический анализ: clippy, rust-analyzer.
Формальная верификация с помощью Kani.

Для получения книги, пишите по контакту: @timcore1

#blog
#hacking
#ai

Вайлберриз меня радует последнее время. Эта книга стоит всего 344 рубля (чашка кофе). На озоне на порядок дороже, и на остальных маркетплейсах и платформах гораздо дороже.

Вот ссылка для покупки: https://www.wildberries.ru/catalog/373615913/detail.aspx

#bug_bounty
#bug_hunting
#log_poisoning

Log Poisoning через X-Forwarded-For: Рвём логи на куски

Эй, бро, если ты думаешь, что X-Forwarded-For — это просто заголовок для прокси, то ты явно не нюхал пороха на баг-баунти. Это не просто строчка в HTTP-запросе, это твой швейцарский нож для инъекций, если админы спят на клавиатуре. Сегодня я тебе покажу, как превратить этот заголовок в яд для логов и как через это залезть в систему, пока WAF курит в сторонке.

Подробнее: https://timcourse.ru/log-poisoning-cherez-x-forwarded-for-rvyom-logi-na-kuski/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#bug_bounty
#bug_hunting
#http_smuggling

HTTP Smuggling: Контрабанда для хакеров

Эй, бро, если ты думаешь, что HTTP-запросы — это просто «GET / HTTP/1.1», то ты явно не видел, как прокси и сервера дерутся за то, кто и как парсит запросы. HTTP Smuggling — это не просто уязвимость, это искусство обмана, где ты заставляешь фронтенд и бэкенд видеть разные картины мира. Сегодня я тебе покажу, как засунуть свой шелл через эту дыру, пока админы чешут репу над логами. Погнали рвать протоколы, как старый свитер.

Подробнее: https://timcourse.ru/http-smuggling-kontrabanda-dlya-hakerov/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#osint

Легендарные фейлы в OSINT: как не попасть в топ глупых ошибок при сборе инфы

Эй, цифровой детектив, думаешь, что OSINT — это просто “погуглить с умным видом”? Ха, держи карман шире! Открытые источники — это минное поле, где один неверный клик может превратить тебя из Шерлока в мем про “эксперта”. Сегодня разберем легендарные косяки в сборе инфы, посмеемся над чужими граблями и вынесем уроки, чтобы ты не стал следующим героем Reddit. Готов? Поехали!

Подробнее: https://timforensics.ru/legendarnye-fejly-v-osint-kak-ne-popast-v-top-glupyh-oshibok-pri-sbore-infy/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#forensics

Тренды цифровой форензики: что модно, скучно и реально работает в 2025

Эй, цифровые копатели, добро пожаловать в 2025 год! Мир форензики меняется быстрее, чем пароли на взломанных аккаунтах, и если ты не в теме, то рискуешь остаться у разбитого жесткого диска. Сегодня разберем, что сейчас в моде, что уже приелось, а что реально спасает в полевых условиях. Без розовых очков, без маркетинговой чуши — только мясо и мой личный опыт. Погнали!

Подробнее: https://timforensics.ru/trendy-czifrovoj-forenziki-chto-modno-skuchno-i-realno-rabotaet-v-2025/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#cpp
#edr

Обход EDR: Как прятать процессы в памяти через Process Hollowing. Практика с C++ и WinAPI. Маскировка под системные службы

Эй, хакеры и кодеры! Сегодня мы погружаемся в мрачный и захватывающий мир обхода Endpoint Detection and Response (EDR) систем. Тема на повестке — Process Hollowing (или “выдалбливание процесса”), техника, которая позволяет спрятать вредоносный код в памяти легитимного процесса. А чтобы всё выглядело максимально невинно, замаскируем наш процесс под системную службу. Всё это с использованием C++ и WinAPI. Готовы? Погнали!

Подробнее: https://timrobot.ru/obhod-edr-kak-pryatat-proczessy-v-pamyati-cherez-process-hollowing-praktika-s-c-i-winapi-maskirovka-pod-sistemnye-sluzhby/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#exploit
#javascript

Крипто-эксплойты: Атака на слабые CSRNG в веб-приложениях. Предсказание сессионных куков через утечки энтропии. Генерация коллизий для Math.random() в Node.js

Эй, кодеры и хакеры! Сегодня мы ныряем в тёмные воды крипто-эксплойтов, где слабые генераторы случайных чисел (CSRNG — Cryptographically Secure Random Number Generators) становятся твоей дверью в святая святых веб-приложений. Мы разберём, как предсказывать сессионные куки через утечки энтропии и как ломать Math.random() в Node.js, создавая коллизии. Всё с примерами, кодом и хардкорным подходом. Погнали!

Подробнее: https://timrobot.ru/kripto-eksplojty-ataka-na-slabye-csrng-v-veb-prilozheniyah-predskazanie-sessionnyh-kukov-cherez-utechki-entropii-generacziya-kollizij-dlya-math-random-v-node-js/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#ai
#astra

Topaz Labs анонсировала веб-инструмент Astra для апскейлинга видео до 4K

Topaz Labs, известная своими инновационными решениями в области обработки изображений и видео с использованием искусственного интеллекта, недавно анонсировала новый веб-инструмент под названием Astra. Этот инструмент предназначен для апскейлинга видео до разрешения 4K, предлагая как точное восстановление, так и креативное улучшение контента. Astra представляет собой значительный шаг вперед в области видеообработки, особенно для создателей AI-генерируемого контента, и уже вызвала интерес среди видеографов и кинематографистов.

Подробнее: https://timneuro.ru/topaz-labs-anonsirovala-veb-instrument-astra-dlya-apskejlinga-video-do-4k/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

Здравствуйте, дорогие друзья!

Предоставляю Вашему вниманию 2-е издание моей книги, которая называется: «Хакинг на JavaScript 2.0».

Книга в процессе написания, но скоро уже увидит этот свет. В ней я переосмыслил подход к хакингу на JS, исходя из первой книги, и добавил много всякого и интересного (читай содержание книги ниже, перейдя по ссылке).

Сейчас же можно оформить предзаказ по цене: 900 рублей.
После написания книга будет стоить 1300 рублей.

«Хакинг на JavaScript 2.0»

Погрузись в мир кибербезопасности с помощью JavaScript — языка, который стал настоящим оружием в руках хакеров! Эта книга — твой проводник в искусство эксплуатации веб-уязвимостей, автоматизации атак и создания мощных инструментов для пентеста. От базовых основ JS до продвинутых техник вроде XSS, кражи данных и обхода защиты — здесь есть всё, чтобы превратить тебя из новичка в мастера.

Ты научишься писать эксплойты для веб-приложений, создавать парсеры, чекеры и даже C2-серверы на Node.js. Разберёшься, как обходить фильтры WAF, внедрять вредоносный код и защищать свои проекты от подобных атак. Каждая глава подкреплена примерами кода и реальными кейсами: от простого keylogger’а в браузере до фишинговых страниц нового уровня.

Особое внимание уделено этике и легальности — книга расскажет, как использовать навыки в рамках Bug Bounty и не перейти грань закона. С практическими проектами, лайфхаками и списком must-have инструментов, «Хакинг на JavaScript 2.0» станет твоей настольной книгой, будь ты начинающим хакером или опытным разработчиком, жаждущим новых вызовов. Хардкор, польза и никакого занудства — только реальные навыки для реальных задач!

Содержание книги: https://vk.com/hacker_timcore?w=wall-44038255_10663

Для оформления предзаказа, пишите по контакту: @timcore1

#video
#forensics

#7 Как стать аналитиком в форензике образование, навыки и карьерный путь

Аналитик по форензике — это профессионал, который занимается исследованием цифровых устройств в целях выявления и анализа данных, которые могут быть использованы как доказательства в судебных делах. Это может включать в себя расследование компьютерных атак, восстановление удаленных файлов, анализ мобильных устройств и многое другое.

Ссылка на видеоролик: https://rutube.ru/video/86f25e8bfcfd91ae97bc9a89a4f1f3c9/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#video
#hacking
#ethical_hacking

#13 Юридические аспекты проведения пентеста: как заключить договор и избежать рисков

Зачем нужен договор на пентест?

Этичный хакинг (пентест) — это легальный способ выявить уязвимости в IT-инфраструктуре компании. Однако без четкого юридического оформления такие действия могут быть расценены как незаконные. Договор на пентест защищает обе стороны: заказчика (компанию, которая проверяется) и исполнителя (команду пентестеров). Он определяет границы работы, ответственность и условия конфиденциальности.

Ссылка на видеоролик: https://rutube.ru/video/821ae9b26c40287a46ca7ec468a4cfb3/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#news
#hacking

Cock[.]li взломали. Похищены данные миллиона пользователей
В июне 2025 года немецкий провайдер электронной почты Cock[.]li, известный своим акцентом на конфиденциальность и минимальной модерацией, подвергся масштабной кибератаке. В результате взлома были похищены данные более 1 миллиона пользователей, что стало одним из крупнейших инцидентов в истории этого сервиса. Атака была осуществлена через уязвимости в устаревшей платформе веб-почты Roundcube, которая на момент инцидента уже была выведена из эксплуатации.

Масштаб утечки данных

По официальным данным, предоставленным Cock[.]li, в результате взлома были скомпрометированы записи 1 023 800 пользователей, которые заходили в систему через веб-интерфейс Roundcube с 2016 года. Кроме того, были похищены контактные данные, связанные с примерно 93 000 пользователей, из которых 10 400 аккаунтов содержали дополнительную информацию, такую как имена, email-адреса, vCard и комментарии.

Список похищенных данных включает:

Адреса электронной почты;
Временные метки первого и последнего входа в систему;
Количество и данные о неудачных попытках входа;
Языковые настройки;
Сериализованные настройки Roundcube и подписи к письмам;
Контактные данные (для подгруппы из 10 400 аккаунтов).
При этом Cock[.]li подчеркивает, что пароли пользователей, содержимое писем и IP-адреса не были затронуты, так как они хранились в отдельных таблицах базы данных, не попавших в руки злоумышленников.

Как произошел взлом

Атака была осуществлена через уязвимости в платформе Roundcube, которая использовалась Cock[.]li для предоставления веб-доступа к почте. В частности, упоминаются две уязвимости: SQL-инъекция CVE-2021-44026 и удаленное выполнение кода (RCE) CVE-2025-49113, которая, по некоторым данным, является недавно обнаруженным zero-day эксплойтом. Несмотря на то, что Cock[.]li отрицает уязвимость своей версии Roundcube к последнему эксплойту, сервис принял решение полностью отказаться от использования этой платформы после инцидента.

Первые признаки проблемы появились на прошлой неделе, когда доступ к веб-почте Cock[.]li был внезапно прерван без официальных объяснений. Вскоре после этого на подпольных форумах, включая русскоязычный XSS, появился злоумышленник под псевдонимом Satoshi, который предложил две базы данных Cock[.]li на продажу за 1 биткоин (примерно 92 500–105 000 долларов США).

Реакция Cock[.]li и рекомендации пользователям

Cock[.]li подтвердил подлинность утекших данных, проанализировав предоставленные злоумышленником образцы и структуру столбцов баз данных. В официальном заявлении на сайте сервиса администрация признала, что использование Roundcube было ошибкой, и сообщила о полном отказе от этой платформы. На данный момент приоритетным решением не является внедрение новой веб-почты; вместо этого пользователям рекомендуется использовать настольные или мобильные почтовые клиенты для доступа к своим аккаунтам.

Всем пользователям, которые заходили в систему с 2016 года, настоятельно рекомендуется сменить пароли. Кроме того, владельцы 10 400 аккаунтов, чьи контактные данные были скомпрометированы, получат отдельные уведомления от сервиса.

Кто использует Cock[.]li и почему это важно

Cock[.]li, основанный в 2013 году под управлением единственного оператора, известного как Винсент Кэнфилд, позиционирует себя как альтернативу крупным почтовым провайдерам. Сервис популярен среди тех, кто ищет анонимность и не доверяет мейнстримовым платформам, включая участников сообществ по информационной безопасности и open-source. Однако платформа также привлекает киберпреступников, таких как участники ransomware-группировок Dharma и Phobos, что делает утечку данных особенно значимой для исследователей и правоохранительных органов.

Последствия и уроки

Этот инцидент подчеркивает риски, связанные с использованием устаревшего программного обеспечения, особенно в сервисах, ориентированных на конфиденциальность. Cock[.]li признал, что более своевременные обновления и отказ от Roundcube могли бы предотвратить утечку.

#news
#nfc

Клиентов российских банков атакует вредоносное приложение SuperCard

В мае 2025 года российские пользователи банковских услуг столкнулись с новой киберугрозой — вредоносным приложением SuperCard. Эта программа, представляющая собой модификацию известного вредоносного ПО NFCGate, позволяет злоумышленникам перехватывать данные банковских карт через NFC-трафик и снимать деньги со счетов жертв. Об этом сообщила компания F6, специализирующаяся на разработке решений для борьбы с киберпреступлениями.

Что такое SuperCard и как оно работает

SuperCard — это вредоносная модификация легитимной программы NFCGate, изначально предназначенной для анализа и мониторинга NFC-трафика. Технология NFC (Near Field Communication) позволяет передавать данные на коротком расстоянии без подключения к интернету, что делает ее популярной для бесконтактных платежей. Однако SuperCard использует эту функцию для перехвата информации о банковских картах, предоставляя мошенникам доступ к счетам пользователей.

Приложение маскируется под полезные программы, часто имитируя государственные или финансовые сервисы, чтобы обмануть пользователей. Злоумышленники применяют методы социальной инженерии, убеждая жертв установить APK-файл из непроверенных источников, таких как Telegram-каналы или даркнет.

История распространения

SuperCard впервые был замечен в Европе весной 2025 года, где его использовали для атак на клиентов европейских банков. В апреле 2025 года итальянская компания Cleafy обнаружила платформу Malware-as-a-Service (MaaS) под названием SuperCard X, через которую распространялось это вредоносное ПО. Уже в мае F6 зафиксировала первые попытки атак на российских пользователей, что свидетельствует о быстрой адаптации мошенников к новым рынкам.

Особенностью SuperCard является его коммерческая модель распространения. В отличие от предыдущих версий NFCGate, которые продавались в даркнете, SuperCard активно рекламируется через Telegram-каналы, включая китайскоязычные, и предлагается по подписке с клиентской поддержкой на китайском и английском языках. Программа нацелена на пользователей крупных банков в США, Австралии и Европе, но теперь охватила и Россию.

Масштаб угрозы в России

По данным F6, в первом квартале 2025 года ущерб от различных вариантов NFCGate в России составил 432 миллиона рублей (около 5,5 миллиона долларов США), а заражено было более 175 000 устройств на Android. Появление SuperCard усиливает эту угрозу, так как программа постоянно модифицируется — новые версии появляются еженедельно, заимствуя успешные тактики из глобальных кампаний.

Технические особенности SuperCard

Анализ F6 выявил значительные различия в коде и функционале разных образцов SuperCard, что указывает на разработку несколькими группами злоумышленников. После установки приложение определяет, какую платежную систему использует жертва (Visa, Mastercard, American Express, UnionPay или JCB), чтобы затем использовать данные для мошеннических транзакций. В Европе, например, похищенные данные применялись для снятия наличных в банкоматах или прямых переводов на подконтрольные счета.

Как защититься от SuperCard

Для предотвращения атак F6 рекомендует пользователям соблюдать осторожность и придерживаться следующих мер:

Избегать взаимодействия с неизвестными контактами и не переходить по подозрительным ссылкам.
Устанавливать приложения только из официальных магазинов, таких как Google Play или RuStore, предварительно изучив отзывы.
Проверять разрешения приложений на доступ к NFC и настройки платежей по умолчанию, удаляя незнакомые или нежелательные программы.
Банкам, в свою очередь, советуют усилить системы защиты от мошенничества с помощью поведенческой аналитики, анализа данных сессий и оценки рисков транзакций в реальном времени. Также рекомендуется проверять геолокацию пользователей и запрашивать физические карты при подозрительных NFC-операциях в банкоматах.

Почему это важно

Рост числа кибератак с использованием таких программ, как SuperCard, подчеркивает необходимость повышения цифровой грамотности среди пользователей.

#blog
#books
#hacking

Новая книга по хакингу к изучению. Написана для широкого круга читателей, и технарям будет не особо интересна, но для исторической справки можно почитать.

#forensics

Цифровой детектив: как вычислить местоположение по одной фотке (и почему лучше этого не делать)

Эй, детективы с лупой в руках, добро пожаловать на мастер-класс по превращению фотки из отпуска в билет прямиком к вашему домашнему адресу. Сегодня я покажу, как вычислить местоположение по одной-единственной картинке. Мы разберем метаданные, обратный поиск и визуальные улики, но сразу жирный дисклеймер: это не игрушки, и если вы решите использовать это для слежки за соседом, я вас не знаю, а вы меня не слышали. Всё, что я расскажу, — чисто для образовательных целей. Поехали!

Подробнее: https://timforensics.ru/czifrovoj-detektiv-kak-vychislit-mestopolozhenie-po-odnoj-fotke-i-pochemu-luchshe-etogo-ne-delat/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

#forensics

Смартфон — твой главный предатель: что он хранит, даже если ты всё удалил

Эй, держатель смартфона, думаешь, твой карманный гаджет — это просто инструмент для мемов и котиков? Ошибаешься, приятель. Твой смартфон — это цифровой доносчик, который знает о тебе больше, чем твоя мама или лучший друг. Он хранит всё, даже если ты ткнул “Удалить” с чувством выполненного долга. Сегодня я, циничный спец по цифровой форензике, разберу, как твой девайс предаёт тебя ежедневно. Кэши, логи, резервные копии — ты удивишься, сколько грязи можно вытащить из “чистого” телефона. Смешно, но без иллюзий: приватность — это миф, если не знаешь, как её защищать. Погнали!

Подробнее: https://timforensics.ru/smartfon-tvoj-glavnyj-predatel-chto-on-hranit-dazhe-esli-ty-vsyo-udalil/

Другие наши проекты:

https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/

👨‍💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️‍♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).

Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore

Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.

Здравствуйте, дорогие друзья!

Предоставляю Вашему вниманию 2-е издание моей книги, которая называется: «Хакинг на JavaScript 2.0».

Книга готова. В ней я переосмыслил подход к хакингу на JS, исходя из первой книги, и добавил много всякого и интересного (читай содержание книги ниже).

Цена: 1300 рублей.
Объем: 207 страниц.

Погрузись в мир кибербезопасности с помощью JavaScript — языка, который стал настоящим оружием в руках хакеров! Эта книга — твой проводник в искусство эксплуатации веб-уязвимостей, автоматизации атак и создания мощных инструментов для пентеста. От базовых основ JS до продвинутых техник вроде XSS, кражи данных и обхода защиты — здесь есть всё, чтобы превратить тебя из новичка в мастера.

Ты научишься писать эксплойты для веб-приложений, создавать парсеры, чекеры и даже C2-серверы на Node.js. Разберёшься, как обходить фильтры WAF, внедрять вредоносный код и защищать свои проекты от подобных атак. Каждая глава подкреплена примерами кода и реальными кейсами: от простого keylogger’а в браузере до фишинговых страниц нового уровня.

Особое внимание уделено этике и легальности — книга расскажет, как использовать навыки в рамках Bug Bounty и не перейти грань закона. С практическими проектами, лайфхаками и списком must-have инструментов, «Хакинг на JavaScript 2.0» станет твоей настольной книгой, будь ты начинающим хакером или опытным разработчиком, жаждущим новых вызовов. Хардкор, польза и никакого занудства — только реальные навыки для реальных задач!

Содержание: https://vk.com/hacker_timcore?w=wall-44038255_10673

Для приобретения книги, пишите по контакту: @timcore1