Media is too big
VIEW IN TELEGRAM
#OSINT Поговорили о кибердетективах и не только. Что было из интересного:
1️⃣ Популярные логеры
2️⃣ Маскировка логеров ссылкой
3️⃣ Маскировка логера редиректом
4️⃣ Маскировка логера в файле
5️⃣ Маскировка логера в онлайн-сервисе
6️⃣ Маскировка логера в блоге
7️⃣ Маскировка логера в Telegram-боте
8️⃣ Маскировка логера в email
9️⃣ Получение данных о геолокации
🔟 Рабочее место и приложения кибердетектива
@tomhunter
1️⃣ Популярные логеры
2️⃣ Маскировка логеров ссылкой
3️⃣ Маскировка логера редиректом
4️⃣ Маскировка логера в файле
5️⃣ Маскировка логера в онлайн-сервисе
6️⃣ Маскировка логера в блоге
7️⃣ Маскировка логера в Telegram-боте
8️⃣ Маскировка логера в email
9️⃣ Получение данных о геолокации
🔟 Рабочее место и приложения кибердетектива
@tomhunter
❤9🔥6🤬1💯1
#news В популярном WordPress-плагине Ninja Forms обнаружили критическую уязвимость, которую активно использовали хакеры: она позволяет внедрить на сайт произвольный код. В том числе есть цепочки, с помощью которых можно захватить уязвимый сайт.
Уязвимость закрыли в версии 3.6.11, но самое интересное не это. Самое интересное — это что WordPress накатил всем патч принудительно. Обновилось всего более 730 тысяч сайтов.
Такое, напомню, уже было с плагином UpdraftPlus, в котором тоже нашлась критическая уязвимость. Весьма спорные у них методы нанесения добра, конечно: я бы не стал доверять системе, которая в любой момент может принести мне на сайт чего-нибудь эдакого и накатить принудительно из самых благородных побуждений.
@tomhunter
Уязвимость закрыли в версии 3.6.11, но самое интересное не это. Самое интересное — это что WordPress накатил всем патч принудительно. Обновилось всего более 730 тысяч сайтов.
Такое, напомню, уже было с плагином UpdraftPlus, в котором тоже нашлась критическая уязвимость. Весьма спорные у них методы нанесения добра, конечно: я бы не стал доверять системе, которая в любой момент может принести мне на сайт чего-нибудь эдакого и накатить принудительно из самых благородных побуждений.
@tomhunter
🔥7🤬1
#news Десятки компаний зарабатывают миллиарды долларов, продавая данные о местоположении пользователей на американском частном рынке. Большинство клиентов — обычные подозреваемые в торговле данными — маркетинговые фирмы, хедж-фонды, компании по недвижимости и другие брокеры данных. Из-за слабого регулирования крайне сложно отследить как пути передачи персональных данных между частными компаниями, так и способы их использования. Компании обычно настаивают на том, чтобы данные о том, где люди живут, спят, собираются, поклоняются и протестуют, использовались исключительно в безобидных целях, таких как принятие решения о том, где построить Starbucks, или размещение целевой рекламы. Но горстка компаний (Venntel, Babel Street, Anomaly 6, X-Mode) продает данные более опасной клиентуре: федеральным правоохранительным органам, военным, спецслужбам и оборонным подрядчикам.
@tomhunter
@tomhunter
🤔4😁1🤯1
#news Уязвимость Demonic (CVE-2022-32969) позволяет раскрыть секретную фразу восстановления криптокошелька. Уязвимость вызвана способностью веб-браузеров сохранять содержимое полей ввода в рамках системы «восстановления сеанса». Так, Google Chrome и Mozilla Firefox будут кэшировать данные, введенные в текстовые поля (кроме полей пароля), чтобы браузер мог восстановить данные после сбоя с помощью функции «Восстановить сеанс». Поскольку расширения браузерного кошелька, такие как Metamask, Phantom и Brave, используют поле ввода, не обозначенное как поле пароля, когда пользователь вводит свою фразу восстановления, она сохраняется на диске в виде обычного текста. Злоумышленник или вредоносное ПО, имеющие доступ к компьютеру, могут украсть сид-фразу и импортировать кошелек на свои устройства. Эта атака потребует физической кражи компьютера, получения удаленного доступа или компрометации его с помощью троянской программы удаленного доступа, что нередко встречается в целенаправленных и постоянных атаках.
@tomhunter
@tomhunter
😁8🔥2😱1
#news Дистрибутивы WIndows 10-11 и другой софт на официальном сайте стали недоступны в России.
Похоже, Мелкософт втихую отрубил скачивание в российском регионе, так как при заходе из-под VPN всё работает. Более того, если не сменить язык на сайте с русского на иной, даже и сторонний айпишник может не помочь.
Комментариев от компании пока нет, а список закрытых для россиян сайтов IT-гигантов всё пополняется — в их числе и Intel, и IBM. Ну, лишь бы со старых-добрых ZverCD не пришлось пыль сдувать. И то добро.
@tomhunter
Похоже, Мелкософт втихую отрубил скачивание в российском регионе, так как при заходе из-под VPN всё работает. Более того, если не сменить язык на сайте с русского на иной, даже и сторонний айпишник может не помочь.
Комментариев от компании пока нет, а список закрытых для россиян сайтов IT-гигантов всё пополняется — в их числе и Intel, и IBM. Ну, лишь бы со старых-добрых ZverCD не пришлось пыль сдувать. И то добро.
@tomhunter
😁8🤔6🤯4🤬2❤1🎉1
#news В сети появился сайт для снятия отпечатков пальцев под названием «Extension Fingerprints», который может генерировать хэш отслеживания на основе установленных в браузере расширений Google Chrome. Некоторые из расширений, которые идентифицирует веб-сайт, — это uBlock, LastPass, Adobe Acrobat, Honey, Grammarly, Rakuten и ColorZilla. Другие популярные расширения, такие как MetaMask, не предоставляют никаких ресурсов, но z0ccc может определить, установлены ли они, проверив, равен ли «typeof window.ethereum undefined». Наличие более 3-х обнаруживаемых расширений делает фингерпринт пользователя очень уникальным...
@tomhunter
@tomhunter
🔥7
#news Новый кардинговый сайт в Штатах вышел на большой рынок с бесплатной раздачи слитых банковских карт.
В файле на 8 миллионов строк самих карт не так много, но в нём 3 миллиона почтовых ящиков для фишинга и угона аккаунтов. Сам же сайт предлагает поиск по стране выпуска карты и её виду, номеру телефона и десятку других параметров.
Что занятно, цена доступа к чужой карточке — всего пятнадцать центов. Что как бы намекает на существенную разницу в финансовых потерях кардера и незадачливого владельца карты, поленившегося обезопасить себя двухфакторкой и иными методами. Так что не ленитесь!
@tomhunter
В файле на 8 миллионов строк самих карт не так много, но в нём 3 миллиона почтовых ящиков для фишинга и угона аккаунтов. Сам же сайт предлагает поиск по стране выпуска карты и её виду, номеру телефона и десятку других параметров.
Что занятно, цена доступа к чужой карточке — всего пятнадцать центов. Что как бы намекает на существенную разницу в финансовых потерях кардера и незадачливого владельца карты, поленившегося обезопасить себя двухфакторкой и иными методами. Так что не ленитесь!
@tomhunter
🔥5
#news Импортозамещаемся... Завели для вас удобный блог на Яндекс.Дзене. Приглашаем подписаться https://zen.yandex.ru/tomhunter
💩28🔥4🎉2
#anon 49% юзеров Рунета задают в паролях телефоны, инициалы и даты рождения. Двухфакторную аутентификацию при авторизации используют только 15% юзеров, лишь 21% следует рекомендациям по созданию надежного пароля, а 5% — соглашаются на «пароль-абракадабру», который предлагают сайты при регистрации. 31% пользователей записывает свои пароли в блокнот или на бумажку, 15% — используют менеджер паролей в браузере или отдельное приложение, 8% — создают заметки в компьютере или телефоне...
И только в государственном учреждении правоохранительной направленности (не будем тыкать пальцем) информационная безопасность может выглядеть, как на представленной картинке.
@tomhunter
И только в государственном учреждении правоохранительной направленности (не будем тыкать пальцем) информационная безопасность может выглядеть, как на представленной картинке.
@tomhunter
😁7❤5🔥4💩2🎉1
#news Исследователи раскрыли 56 серьёзных уязвимостей у десятка производителей решений по управлению техническим оборудованием.
Уязвимости позволяют выполнять произвольный код, ковыряться в прошивке устройств, блокировать их — так вплоть до отключения устройства. А речь идёт о критической ОТ-инфраструктуре: нефть и газ, электроэнергия, водообеспечение, ядерное и химическое производство — огромный спектр промышленного оборудования.
Причём почти половина уязвимостей — результат работы горе-специалистов, допустивших, к примеру, незашифрованные данные доступа. А тем временем их эксплойт в войнах нового века может иметь катастрофические последствия…
@tomhunter
Уязвимости позволяют выполнять произвольный код, ковыряться в прошивке устройств, блокировать их — так вплоть до отключения устройства. А речь идёт о критической ОТ-инфраструктуре: нефть и газ, электроэнергия, водообеспечение, ядерное и химическое производство — огромный спектр промышленного оборудования.
Причём почти половина уязвимостей — результат работы горе-специалистов, допустивших, к примеру, незашифрованные данные доступа. А тем временем их эксплойт в войнах нового века может иметь катастрофические последствия…
@tomhunter
🔥9
#news Сервера Microsoft 365 лихорадит — уже полдня у пользователей по всему миру проблемы с доступом к их сервисам.
Речь о Exchange Online, Microsoft Teams и нескольких других сервисах компании. Сообщают о невозможности залогиниться и зайти в почтовые ящики, а отправленные письма застревают в очереди на доставку. Поисковик на платформе тоже не работает.
Мелкософт подробностей происходящего пока не сообщает. Между тем трудности с доступом возникли по следам серьёзных проблем с работой Cloudfare сегодня днём, что привело к падению крупных сотен сайтов. Ну, по крайней мере, звучит интригующе!
@tomhunter
Речь о Exchange Online, Microsoft Teams и нескольких других сервисах компании. Сообщают о невозможности залогиниться и зайти в почтовые ящики, а отправленные письма застревают в очереди на доставку. Поисковик на платформе тоже не работает.
Мелкософт подробностей происходящего пока не сообщает. Между тем трудности с доступом возникли по следам серьёзных проблем с работой Cloudfare сегодня днём, что привело к падению крупных сотен сайтов. Ну, по крайней мере, звучит интригующе!
@tomhunter
🔥11
#news 21 июня в Cloudflare произошел сбой, который затронул трафик в 19 центрах обработки данных... Полный список затронутых веб-сайтов и сервисов включает, помимо прочего, Amazon, Twitch, Amazon Web Services, Steam, Coinbase, Telegram, Discord, DoorDash, Gitlab и другие.
Cloudflare заявляет, что сбой был вызван изменением, которое должно было повысить устойчивость сети... Ну это же очевидно, кэп)))
@tomhunter
Cloudflare заявляет, что сбой был вызван изменением, которое должно было повысить устойчивость сети... Ну это же очевидно, кэп)))
@tomhunter
😁10
#news Исследователи обнаружили, что Adobe Acrobat блокирует программное обеспечение безопасности от просмотра открываемых PDF-файлов, создавая угрозу безопасности для пользователей. Adobe подтвердила, что пользователи сообщали о проблемах из-за того, что компоненты DLL из некоторых продуктов безопасности несовместимы с использованием Adobe Acrobat библиотеки CEF.
@tomhunter
@tomhunter
❤7
#news По следам новостей о трекере Facebook на сайтах клиник. Его обнаружили также и на сайте крупнейшей сети детских больниц в штатах.
Почти сотня клиник, полмиллиона обслуживаемых семей. Две дюжины трекеров и несколько десятков сторонних файлов куки на сайте. Трекер от Facebook сливает компании айпишники, имя врача, причину визита и ФИО записанного на приём ребёнка. На сайте также пасутся Google, Amazon и крупнейший инфоброкер Oracle.
С такой инфой можно элементарно вычислить и заболевание, и страницу родителей в соцсети. А там уже и таргетированная реклама по самому больному или что ещё похуже.
@tomhunter
Почти сотня клиник, полмиллиона обслуживаемых семей. Две дюжины трекеров и несколько десятков сторонних файлов куки на сайте. Трекер от Facebook сливает компании айпишники, имя врача, причину визита и ФИО записанного на приём ребёнка. На сайте также пасутся Google, Amazon и крупнейший инфоброкер Oracle.
С такой инфой можно элементарно вычислить и заболевание, и страницу родителей в соцсети. А там уже и таргетированная реклама по самому больному или что ещё похуже.
@tomhunter
🤯6🤬4🔥1
#news Проблемы с доступом к сервисам Microsoft 365 были вызваны отключением электроэнергии.
Компания сообщила об этом по следам затянувшегося на 16 часов сбоя в работе нескольких своих сервисов. При этом у клиентов не было никакой инфы — тикеты, на которые ссылалась техподдержка, просто не были доступны.
В тот же день Cloudfare серьёзно так прилёг из-за ошибки при апдейте их сети. Всё это заставляет задуматься о последствиях гиперцентрализации сетевой инфраструктуры — один такой инцидент-то приводит к сбоям в работе сотен компаний и сайтов по всему миру.
@tomhunter
Компания сообщила об этом по следам затянувшегося на 16 часов сбоя в работе нескольких своих сервисов. При этом у клиентов не было никакой инфы — тикеты, на которые ссылалась техподдержка, просто не были доступны.
В тот же день Cloudfare серьёзно так прилёг из-за ошибки при апдейте их сети. Всё это заставляет задуматься о последствиях гиперцентрализации сетевой инфраструктуры — один такой инцидент-то приводит к сбоям в работе сотен компаний и сайтов по всему миру.
@tomhunter
🤔5😁2🔥1
#news Китайские хакеры используют рансомварь-атаки для маскировки своих шпионских операций.
Спецы из Secureworks изучили пять штампов рансомвари и отметили их необычную активность: все пять были в ходу краткий срок и и имели малое число жертв. В трёх атаках обнаружили общий С2-сервер, и все штампы доставляет HUI Loader — характерная китайская приблуда для шпионажа.
В итоге такие рансомварь-атаки могут быть лишь прикрытием для шпионажа. Они позволяют скрыть подлинную мотивацию атаки и не дать жертве должным образом на неё отреагировать. Я простой рансомварщик Бао город Шэньчжэнь…
@tomhunter
Спецы из Secureworks изучили пять штампов рансомвари и отметили их необычную активность: все пять были в ходу краткий срок и и имели малое число жертв. В трёх атаках обнаружили общий С2-сервер, и все штампы доставляет HUI Loader — характерная китайская приблуда для шпионажа.
В итоге такие рансомварь-атаки могут быть лишь прикрытием для шпионажа. Они позволяют скрыть подлинную мотивацию атаки и не дать жертве должным образом на неё отреагировать. Я простой рансомварщик Бао город Шэньчжэнь…
@tomhunter
😁4🔥3🤔2
#news Любопытная новость из Израиля. Не так давно там сделали бота для записи на приём в различные госучреждения. А злоумышленники его модифицировали, забронировали все места и перепродают их теперь по солидной цене.
Изначально бот был бесплатным, а теперь больше ста баксов за место на смену паспорта и в полдюжины других департаментов. И простого решения нет, так как пришлось бы сносить онлайн-сервис для записи, создавая тем самым ещё больше проблем. Пытались решить вопрос капчей, но бота натаскали её обходить.
Такой вот занятный пример спекуляции на электронных очередях. Формат сменился, методы остались теми же. Эффективнее стали разве что, спасибо техпрогрессу.
@tomhunter
Изначально бот был бесплатным, а теперь больше ста баксов за место на смену паспорта и в полдюжины других департаментов. И простого решения нет, так как пришлось бы сносить онлайн-сервис для записи, создавая тем самым ещё больше проблем. Пытались решить вопрос капчей, но бота натаскали её обходить.
Такой вот занятный пример спекуляции на электронных очередях. Формат сменился, методы остались теми же. Эффективнее стали разве что, спасибо техпрогрессу.
@tomhunter
🔥14🤯5😁2
#OSINT Новая статья вышла на Хабре. Как и обещали – продолжаем выискивать годные расширения для браузера Google CHROME, которые помогут в нелегком деле поиска информации в открытых источниках. Или как у нас в русских деревнях любят говорить – «помогут при проведении OSINT». Приятного чтения!
Читать: https://habr.com/ru/company/tomhunter/blog/673260/
@tomhunter
Читать: https://habr.com/ru/company/tomhunter/blog/673260/
@tomhunter
🔥11
#news В семье взломанных блокчейнов пополнение. У Harmony стянули сто миллионов долларов криптой с их кроссчейн-моста Horizon.
Подробности эксплойта пока не раскрыты, известно только, что хакер вывел сумму полудюжиной токенов и перегнал в эфир. По следам этого Harmony остановила все транзакции на мосту и объявила о крупномасштабном расследовании произошедшего с участием ФБР.
Их собственный токен Harmony One на фоне кражи пока просел на 10 процентов. Что ж, делайте ваши ставки, не северокорейские ли это шельмецы опять демонстрируют миру великий результат из своих рук.
@tomhunter
Подробности эксплойта пока не раскрыты, известно только, что хакер вывел сумму полудюжиной токенов и перегнал в эфир. По следам этого Harmony остановила все транзакции на мосту и объявила о крупномасштабном расследовании произошедшего с участием ФБР.
Их собственный токен Harmony One на фоне кражи пока просел на 10 процентов. Что ж, делайте ваши ставки, не северокорейские ли это шельмецы опять демонстрируют миру великий результат из своих рук.
@tomhunter
🔥9😢2
#news Исследователи из Elliptic рассказывают о своих занятных наблюдениях: Dogecoin всё чаще используется для транзакций на чёрном рынке.
DOGE облюбовали самые разные преступники — её используют для обычных криптоскамов и принимают в качестве выплаты за освобождение от рансомвари, ею платят за нелегальные материалы и даже спонсируют ХАМАС. В 2021 году, например, Израиль постановил изъять крипту с кошельков, которые приписал ХАМАСу — в Dogecoin там было порядка $40 тысяч. Некоторые наркотические даркнет-маркеты тоже принимают депозиты в DOGE.
Прочие увлекательные примеры можно найти в репорте Elliptic по ссылке выше. Киберпанк, который мы не ожидали, но заслужили.
@tomhunter
DOGE облюбовали самые разные преступники — её используют для обычных криптоскамов и принимают в качестве выплаты за освобождение от рансомвари, ею платят за нелегальные материалы и даже спонсируют ХАМАС. В 2021 году, например, Израиль постановил изъять крипту с кошельков, которые приписал ХАМАСу — в Dogecoin там было порядка $40 тысяч. Некоторые наркотические даркнет-маркеты тоже принимают депозиты в DOGE.
Прочие увлекательные примеры можно найти в репорте Elliptic по ссылке выше. Киберпанк, который мы не ожидали, но заслужили.
@tomhunter
🔥3😁2🤯1💩1
#news Вот уж удивили... Четыре американских сенатора попросили Федеральную торговую комиссию США провести расследование в отношении Apple и Google. В своем письме законодатели заявили, что компании «превратили онлайн-рекламу в интенсивную систему слежки» за пользователями.
@tomhunter
@tomhunter
🔥6