#news Новая атака SmartAttack от специалиста по взлому изолированных от сети систем Мордекая Гюри. На этот раз в ход идут умные часы, служащие в качестве приёмника ультразвуковых волн с целевой машины.
Для передачи сигнала используется малварь, подающая его через встроенный динамик компьютера с помощью двоичной частотной модуляции. Часы улавливают ультразвук, встроенное приложение их дешифрует и пересылает дальше. При этом владелец часов может и не подозревать об этом в сценарии, где они были взломаны злоумышленником. Атака эффективна на расстоянии до 6-9 метров со скоростью 5-50 бит в секунду — для стягивания логинов, паролей и ключей хватит. Из решений запрет на умные часы и удаление встроенных динамиков. В общем, неугомонный Гюри продолжает служить источником головной боли для ИБ-отделов режимных объектов, вскрывая всё новые возможные векторы атаки. Ранее в шпионском сериале SATA-кабели, индикаторы, блоки питания и оперативная память.
@tomhunter
Для передачи сигнала используется малварь, подающая его через встроенный динамик компьютера с помощью двоичной частотной модуляции. Часы улавливают ультразвук, встроенное приложение их дешифрует и пересылает дальше. При этом владелец часов может и не подозревать об этом в сценарии, где они были взломаны злоумышленником. Атака эффективна на расстоянии до 6-9 метров со скоростью 5-50 бит в секунду — для стягивания логинов, паролей и ключей хватит. Из решений запрет на умные часы и удаление встроенных динамиков. В общем, неугомонный Гюри продолжает служить источником головной боли для ИБ-отделов режимных объектов, вскрывая всё новые возможные векторы атаки. Ранее в шпионском сериале SATA-кабели, индикаторы, блоки питания и оперативная память.
@tomhunter
🔥12👍3❤2🤯1
#news Исследователи обнаружили, что микрофоны в ноутбуках, телефонах и умных колонках испускают радиосигналы с записанной информацией при обработке звука. Их можно перехватить на расстоянии до двух метров и через 25-сантиметровую стену.
Эксперименты показали, что хуже всего с утечкой у ноутбуков — длинные провода в них усиливают сигнал. Микрофоны часто включаются многими приложениями в фоне, а очистить радиопомехи можно с помощью LLM’ок. При этом оборудование для перехвата копеечное — хватит простенького FМ-приёмника и медной антенны. В качестве митигации предлагают изменить расположение микрофонов в ноутах и скорректировать протоколы обработки звука, чтобы снизить разборчивость сигнала. А пока радиолюбители со склонностью к шалостям могут поиграть в шпионов с соседями. Мы такое, конечно, не одобряем, но и запретить ведь не можем. Подробнее об оригинальном методе прослушки в исследовании, а по ссылке выше есть видео с проверкой концепции.
@tomhunter
Эксперименты показали, что хуже всего с утечкой у ноутбуков — длинные провода в них усиливают сигнал. Микрофоны часто включаются многими приложениями в фоне, а очистить радиопомехи можно с помощью LLM’ок. При этом оборудование для перехвата копеечное — хватит простенького FМ-приёмника и медной антенны. В качестве митигации предлагают изменить расположение микрофонов в ноутах и скорректировать протоколы обработки звука, чтобы снизить разборчивость сигнала. А пока радиолюбители со склонностью к шалостям могут поиграть в шпионов с соседями. Мы такое, конечно, не одобряем, но и запретить ведь не можем. Подробнее об оригинальном методе прослушки в исследовании, а по ссылке выше есть видео с проверкой концепции.
@tomhunter
😁9🔥5🤯3👍1
#news Вчера вечером прилегли многие сервисы, включая экосистему Google, AWS, Discord и многие другие. Проблема была на стороне Cloudflare: отвалился их ключевой сервис Workers KV, вслед за ним посыпалось всё остальное.
Так как на сервис завязана значительная часть инфраструктуры, поломался внушительный список компонентов. А вместе с ними начались проблемы и у всех сторонних сервисов. Перебои продлились несколько часов. Хорошие новости: это был не кибербез-инцидент и не очередные перебитые кабели на морском дне — у подрядчика Cloudflare, который держит часть их инфраструктуры, произошёл сбой. Плохие новости, парни: никакого «облака» не существует, это просто чей-то компьютер. И он немного приболел. По следам сбоя Cloudflare обещает поработать над устойчивостью и устранить единую точку отказа в лице подрядчика, на котором висит бэкенд Workers KV. В общем, можно выдыхать — сегодня без сетевого апокалипсиса.
@tomhunter
Так как на сервис завязана значительная часть инфраструктуры, поломался внушительный список компонентов. А вместе с ними начались проблемы и у всех сторонних сервисов. Перебои продлились несколько часов. Хорошие новости: это был не кибербез-инцидент и не очередные перебитые кабели на морском дне — у подрядчика Cloudflare, который держит часть их инфраструктуры, произошёл сбой. Плохие новости, парни: никакого «облака» не существует, это просто чей-то компьютер. И он немного приболел. По следам сбоя Cloudflare обещает поработать над устойчивостью и устранить единую точку отказа в лице подрядчика, на котором висит бэкенд Workers KV. В общем, можно выдыхать — сегодня без сетевого апокалипсиса.
@tomhunter
😁11👍3🔥3🤯2🤔1🤡1
#news Исследователи представили новый метод джейлбрейка ИИ-моделей. На этот раз совсем элементарный: достаточно одного символа, чтобы поломать токенизацию LLM’ки и обойти ограничения.
Атака сводится к искажению ввода: добавив лишнюю букву или изменив слово с сохранением смысла, можно обойти фильтры. Исковерканные слова модели по-прежнему понятны, а вот распознание вредоносного контента отваливается. Например, instructions заменяют на finstructions, и модель, обученная распознавать атаку по instruction, её пропускает. LLM’ка при этом сам запрос выполняет нормально, так что потенциал под инъекцию промптов есть. Из токенизаторов атаке не подвержен только Unigram. В общем, головная боль для разработчиков моделей и развлечение на выходные для любителей джейлбрейкнуть LLM’ку на досуге. Подробнее о TokenBreak в отчёте.
@tomhunter
Атака сводится к искажению ввода: добавив лишнюю букву или изменив слово с сохранением смысла, можно обойти фильтры. Исковерканные слова модели по-прежнему понятны, а вот распознание вредоносного контента отваливается. Например, instructions заменяют на finstructions, и модель, обученная распознавать атаку по instruction, её пропускает. LLM’ка при этом сам запрос выполняет нормально, так что потенциал под инъекцию промптов есть. Из токенизаторов атаке не подвержен только Unigram. В общем, головная боль для разработчиков моделей и развлечение на выходные для любителей джейлбрейкнуть LLM’ку на досуге. Подробнее о TokenBreak в отчёте.
@tomhunter
👍12🔥3❤2😁2😱1💯1
#news Ещё один прорыв в деле использования LLM’ок под нужды багхантинга. На этот раз отличился Claude: модель успешно приспособили под обнаружение уязвимостей, а также их эксплуатацию и создание проверок концепции.
Для этого Claude обучили анализировать .NET-сборки и подняли сервер, который дал модели доступ к их полной структуре. В итоге вместо ручного анализа LLM’ка прошла за специалиста полный путь от обнаружения уязвимости на небезопасную десереализацию до цепочки эксплойта под неё. Всё это с детальным анализом и пониманием структуры бинарников. В общем, пока начинающие багхантеры портят жизнь разработчикам липовыми ИИ-репортами, на уровне повыше идут процессы, которые уже скоро изменят BB-индустрию как таковую. Подробнее о приключениях Клода в мире багханта в отчёте.
@tomhunter
Для этого Claude обучили анализировать .NET-сборки и подняли сервер, который дал модели доступ к их полной структуре. В итоге вместо ручного анализа LLM’ка прошла за специалиста полный путь от обнаружения уязвимости на небезопасную десереализацию до цепочки эксплойта под неё. Всё это с детальным анализом и пониманием структуры бинарников. В общем, пока начинающие багхантеры портят жизнь разработчикам липовыми ИИ-репортами, на уровне повыше идут процессы, которые уже скоро изменят BB-индустрию как таковую. Подробнее о приключениях Клода в мире багханта в отчёте.
@tomhunter
🔥10🤡2👍1👎1
#news Archetyp Market, один из ключевых европейских наркомаркетов даркнета, перехвачен. В Барселоне арестовали 30-летнего немца, оператора платформы, в Германии и Швеции приняли модератора и шестерых крупнейших торговцев с площадки.
За пять лет работы Archetyp набрал больше 600 тысяч юзеров и через него прошли почти $300 миллионов транзакций. На май 2023-го это был самый посещаемый сайт в Tor, какое-то время Archetyp был крупнейшим наркомаркетом и пережил нескольких конкурентов. Между тем основатель был идейным продолжателем дела ни в чём не виноватого либертарианца Росса Ульбрихта, и создал платформу для борьбы с коммерциализацией наркорыночка и продвижения либерализации законодательства. Но вслед за арестом его благородным порывам пришёл конец, а глобальная экосистема наркотрафика по итогам перехвата существенно пострадала.
@tomhunter
За пять лет работы Archetyp набрал больше 600 тысяч юзеров и через него прошли почти $300 миллионов транзакций. На май 2023-го это был самый посещаемый сайт в Tor, какое-то время Archetyp был крупнейшим наркомаркетом и пережил нескольких конкурентов. Между тем основатель был идейным продолжателем дела ни в чём не виноватого либертарианца Росса Ульбрихта, и создал платформу для борьбы с коммерциализацией наркорыночка и продвижения либерализации законодательства. Но вслед за арестом его благородным порывам пришёл конец, а глобальная экосистема наркотрафика по итогам перехвата существенно пострадала.
@tomhunter
🔥5❤2😁2😢1
#news К новинкам рансомвари. Группировка Anubis, всплывшая на форумах в начале года, отметилась любопытным нововведением в энкрипторе: в него встроена функциональность вайпера.
Вайпер опциональный: рансомварь идёт с параметром
@tomhunter
Вайпер опциональный: рансомварь идёт с параметром
/WIPEMODE, который удаляет содержимое файлов, оставляя названия и расширения файлов нетронутыми. В сущности это социнженерия с угрозами удалить файлы, получившая реальное воплощение — жертва видит, что часть файлов превратилась в тыкву без шанса на восстановление, и начинает паниковать. В общем, подход относительно оригинальный. Помимо этого, у Anubis гибкая и заманчивая партнёрка 80/20, как в лучших RaaS-домах даркнета, так что перспективы у нового бренда есть. Впрочем, вайпер — это, конечно, оригинально, но успехов не гарантирует. Пока у группировки на сайте висят семь взломов. Подробнее о новичке в отчёте.@tomhunter
🔥4❤3👍2👎1
#news Ещё один мессенджер «У нас никогда не будет рекламы» сдался. Рекламную экосистему добавили в WhatsApp, она будет отображаться во вкладке Обновления. Также появится реклама в статусах, платные подписки и бусты к видимости каналов в каталоге.
В рамках экосистемы WhatsApp будет собирать возраст юзера, информацию об устройстве, местоположение до города, подписки на каналы и взаимодействие с ними. Плюс активность в других приложениях компании. Добавившие WhatsApp в Центр аккаунтов получат сомнительный бонус в виде интеграции рекламы со всех платформ. Как утверждают, продавать номера аккаунтов рекламщикам не будут, как и не станут лезть в сообщения, звонки и группы, чтобы собрать больше инфы под таргетированную рекламу. В общем, в борьбе между пиаром на защищённости и монетизацией победила последняя. Из плюсов, ещё надо посмотреть, что из функциональности экосистемы доберётся до России. Обстоятельства-то не располагают.
@tomhunter
В рамках экосистемы WhatsApp будет собирать возраст юзера, информацию об устройстве, местоположение до города, подписки на каналы и взаимодействие с ними. Плюс активность в других приложениях компании. Добавившие WhatsApp в Центр аккаунтов получат сомнительный бонус в виде интеграции рекламы со всех платформ. Как утверждают, продавать номера аккаунтов рекламщикам не будут, как и не станут лезть в сообщения, звонки и группы, чтобы собрать больше инфы под таргетированную рекламу. В общем, в борьбе между пиаром на защищённости и монетизацией победила последняя. Из плюсов, ещё надо посмотреть, что из функциональности экосистемы доберётся до России. Обстоятельства-то не располагают.
@tomhunter
😁15👍3🤡3❤1😢1
#news Голливуд продолжает активно делать хуже не только кинематограф, но и сеть. Ассоциация киностудий продавливает преследование VPN-сервисов за пособничество в пиратстве.
По логике голливудских воротил и ЕС в придачу, VPN-сервисы должны либо блокировать доступ к пиратскому контенту, либо вести логи активности. Иначе говоря, сервисы могут поставить перед выбором стать инструментами контроля или лишиться возможности обеспечивать свою основную функциональность. Зачем пользователю VPN, который мониторит его трафик — вопрос на миллион нидерландских серверов. Зачем при таких раскладах держать VPN-сервисы в Европе — вопрос не хуже. В перспективе мы можем застать исход VPN-поставщиков из ЕС, а следом и из Швейцарии с её схожими инициативами. А юзер по итогам получит увлекательную возможность обзавестись китайским VPN с бэкдором от партии. Это всё точно поможем победить пиратство.
@tomhunter
По логике голливудских воротил и ЕС в придачу, VPN-сервисы должны либо блокировать доступ к пиратскому контенту, либо вести логи активности. Иначе говоря, сервисы могут поставить перед выбором стать инструментами контроля или лишиться возможности обеспечивать свою основную функциональность. Зачем пользователю VPN, который мониторит его трафик — вопрос на миллион нидерландских серверов. Зачем при таких раскладах держать VPN-сервисы в Европе — вопрос не хуже. В перспективе мы можем застать исход VPN-поставщиков из ЕС, а следом и из Швейцарии с её схожими инициативами. А юзер по итогам получит увлекательную возможность обзавестись китайским VPN с бэкдором от партии. Это всё точно поможем победить пиратство.
@tomhunter
😁12🤡7🔥4🤔2😢1
#news В Linux обнаружили LPE-уязвимость, причём в udisks. С учётом того, что демон повсюду, затронуты все основные дистрибутивы. Уязвимость позволяет получить рут-доступ при наличии флага
Хуже всего openSUSE: в нём цепочка из CVE в udisks и ещё одной в конфиге PAM, дающей локальному юзеру
@tomhunter
allow_active.Хуже всего openSUSE: в нём цепочка из CVE в udisks и ещё одной в конфиге PAM, дающей локальному юзеру
allow_active под эксплойт. В остальных дистрибутивах злоумышленнику придётся быть креативнее. Между тем исследователи создали PoCs под эксплойт на Ubuntu, Debian и Fedora, так что уязвимость улетает в категорию универсальных, критических и немедленно требующих патча. Обнаружили её те же ребята, что нашли Looney Tunables и другие нашумевшие CVE, так что кейс серьёзный. Параллельно CISA предупредила об активном эксплойте исправленной в 2023-м CVE в ядре Linux, тайминг — моё почтение. Не будьте как жертвы этих атак, накатывайте патчи вовремя.@tomhunter
🔥10❤3😁2😱1😢1
#news ИИ-боты всё чаще ломают сайты открытых библиотек, архивов и музеев. Согласно свежему исследованию, рост трафика отметили 39 из 43 опрошенных, и примеров, когда их ресурсы не выдерживают массового стука от ботов, всё больше.
Проще говоря, собирающие датасеты для обучения скраперы набегают на сайты, не готовые к такому наплыву, и кладут их. Часть скрывает своё искусственное происхождение, боты также игнорируют robots.txt, так что эффективность от него нулевая. Университет в США описал аналогичный кейс: боты нагнали столько трафика, что студенты и персонал вуза лишились доступа к своим ресурсам, пока их IT-отдел неделю разбирался, что с этим делать. 2025-й год, рой ИИ-ботов дудосит один сайт за другим в нескончаемой жатве информации для обучения своих инфернальных моделей. Будущее безжалостно!
@tomhunter
Проще говоря, собирающие датасеты для обучения скраперы набегают на сайты, не готовые к такому наплыву, и кладут их. Часть скрывает своё искусственное происхождение, боты также игнорируют robots.txt, так что эффективность от него нулевая. Университет в США описал аналогичный кейс: боты нагнали столько трафика, что студенты и персонал вуза лишились доступа к своим ресурсам, пока их IT-отдел неделю разбирался, что с этим делать. 2025-й год, рой ИИ-ботов дудосит один сайт за другим в нескончаемой жатве информации для обучения своих инфернальных моделей. Будущее безжалостно!
@tomhunter
🔥7😱5😁4❤1💯1
#news Произральские хактивисты взломали Nobitex, крупнейшую криптобиржу Ирана, и стянули больше $90 миллионов. Хакеры получили доступ к горячему кошельку биржи, а также обещают слить исходники и внутренние данные.
Украденными средствами распорядились оригинально: их отправили на vanity-адреса с нецензурными посланиями в адрес КСИР в названии. Сгенерировать их с рабочими приватными ключами нереально, и $90 миллионов в сущности просто сожгли. Так что дело не в деньгах — главное, чтобы дошёл смысл послания. В принципе, взломом биржи в 2025-м мало кого удивишь, а вот инфоповод от красиво горящих криптомонеток разлетится по сети погромче — логика прослеживается. Кроме того, как и полагается порядочной бирже в подсанкционной стране, через Nobitex шли шальные деньги с рансомвари и сопутствующего. Так что помимо политического месседжа получился и удар по иранской киберпреступности. В общем, борьба с гидрой сионизма не задалась по всем фронтам.
@tomhunter
Украденными средствами распорядились оригинально: их отправили на vanity-адреса с нецензурными посланиями в адрес КСИР в названии. Сгенерировать их с рабочими приватными ключами нереально, и $90 миллионов в сущности просто сожгли. Так что дело не в деньгах — главное, чтобы дошёл смысл послания. В принципе, взломом биржи в 2025-м мало кого удивишь, а вот инфоповод от красиво горящих криптомонеток разлетится по сети погромче — логика прослеживается. Кроме того, как и полагается порядочной бирже в подсанкционной стране, через Nobitex шли шальные деньги с рансомвари и сопутствующего. Так что помимо политического месседжа получился и удар по иранской киберпреступности. В общем, борьба с гидрой сионизма не задалась по всем фронтам.
@tomhunter
😁8🔥6🤯4🤬2❤1😢1
#news А помните, когда-то киберпреступная сцена СНГ была большой дружной семьёй? Новость в тему: из Киева в США экстрадировали брокера начального доступа группировки Ryuk. Были и такие ребята.
33-летний украинец вчера уехал в пункт финального назначения всех выдающихся киберпреступников. Ранее он был в розыске ФБР, его арестовали в апреле по следам расследования из 2023-го. Товарища тогда идентифицировали бонусом к членам операций LockerGoga, MegaCortex, Dharma и Hive. К тому моменту и Ryuk уже давно не было, и Conti распалась. А бюро всех помнит. Тем временем хихикающим по другую сторону границы остаётся надеяться, что политический климат в их краях не изменится. А то ведь списочки на экстрадицию длинные — места всем хватит.
@tomhunter
33-летний украинец вчера уехал в пункт финального назначения всех выдающихся киберпреступников. Ранее он был в розыске ФБР, его арестовали в апреле по следам расследования из 2023-го. Товарища тогда идентифицировали бонусом к членам операций LockerGoga, MegaCortex, Dharma и Hive. К тому моменту и Ryuk уже давно не было, и Conti распалась. А бюро всех помнит. Тем временем хихикающим по другую сторону границы остаётся надеяться, что политический климат в их краях не изменится. А то ведь списочки на экстрадицию длинные — места всем хватит.
@tomhunter
😁11🔥4💯3🫡3
#news Вчера по сети разлетелась горячая новость про 16 миллиардов утёкших паролей, крупнейшую утечку данных в истории и прочее сенсационное. Пошло это со статьи на Forbes, сочинённой наполовину кем-то смахивающим на человека, наполовину ChatGPT. А первоисточник на Cybernews. Давайте разберём по частям ими написанное.
Cybernews последние полгода мониторили датасеты с утёкшими данными, насчитали 30 штук, суммарно в них 16 миллиардов записей. Базы были доступны временно, в незащищённых хранилищах и Elasticsearch. В основном это был микс с инфостилеров, старые утечки и сеты под подстановку учёток. «Тоже мне сенсация» — уже хмыкнул любой ИБ-джун (если не хмыкнул, увольняйте — он безнадёжен). В общем, никакие 16 миллиардов паролей никуда не утекали. Но трафик сам себя не нагонит, поэтому получилось что получилось. Этот пост простым смертным не пересылайте, конечно, отправьте сенсационного — пусть от ужаса хоть двухфакторку накатят. Ну а мы работаем дальше.
@tomhunter
Cybernews последние полгода мониторили датасеты с утёкшими данными, насчитали 30 штук, суммарно в них 16 миллиардов записей. Базы были доступны временно, в незащищённых хранилищах и Elasticsearch. В основном это был микс с инфостилеров, старые утечки и сеты под подстановку учёток. «Тоже мне сенсация» — уже хмыкнул любой ИБ-джун (если не хмыкнул, увольняйте — он безнадёжен). В общем, никакие 16 миллиардов паролей никуда не утекали. Но трафик сам себя не нагонит, поэтому получилось что получилось. Этот пост простым смертным не пересылайте, конечно, отправьте сенсационного — пусть от ужаса хоть двухфакторку накатят. Ну а мы работаем дальше.
@tomhunter
😁17👍6💯4🔥2❤1🤯1
#news Любопытное исследование отпечатков браузера и их использования в рекламе. Учёные собрали фреймворк из OpenWPM, спуфинга отпечатков и анализа рекламного биддинга. И в сущности получили первое задокументированное подтверждение, что слежка по отпечаткам в сети существует и активно работает.
Анализ показал, что поведение рекламных платформ меняется при смене отпечатка: изменялись значения по биддингу и HTTP-записи. Более того, на части сайтов связанные с отпечатками системы стучат по бэкенду — то есть поднимают профили юзера в реальном времени. Проще говоря, отслеживание по отпечаткам активно применяют на уровне рекламной экосистемы. В сухом остатке от теории «Отпечатки собирают, и спецслужбы найдут тебя по ним, если ты был плохим мальчиком в даркнете» переходим к практике «Отпечатки масштабно используют в рекламе и межсайтовом отслеживании». Такой себе апгрейд, но другие в нашей среде бывают редко. Подробнее здесь.
@tomhunter
Анализ показал, что поведение рекламных платформ меняется при смене отпечатка: изменялись значения по биддингу и HTTP-записи. Более того, на части сайтов связанные с отпечатками системы стучат по бэкенду — то есть поднимают профили юзера в реальном времени. Проще говоря, отслеживание по отпечаткам активно применяют на уровне рекламной экосистемы. В сухом остатке от теории «Отпечатки собирают, и спецслужбы найдут тебя по ним, если ты был плохим мальчиком в даркнете» переходим к практике «Отпечатки масштабно используют в рекламе и межсайтовом отслеживании». Такой себе апгрейд, но другие в нашей среде бывают редко. Подробнее здесь.
@tomhunter
👍6🔥5😁1
#news По следам новостей о 16 миллиардах утёкших паролей на Cybernews ушли в тотальный damage control. За выходные «постоянно обновляющийся материал» прирос такими впечатляющими фактами, как: 3,5 скриншота с относительно свежими временными метками. Информацией о том, что такое инфостилеры. Разделом о том, как хакеры могут использовать пароли.
Содержательная часть всё так же сводится к «мы нашли мусорные дампы и высосали инфопод из пальца». Что делать с хайпом, они явно не понимают и пытаются как могут сохранить лицо. Закрывая тему, рекомендую материал от Hudson Rock. Ключевой аргумент против сенсации: безумные числа банально не бьются с экосистемой инфостилеров — она в разы меньше, чем нужно для сбора такого датасета. Это если допустить, что здесь нужны аргументы — по одному скрину с названиями баз всё и так понятно. Зачем Cybernews разгонять откровенный фейк? Возможно, просто чтобы набить подписок по своим VPN-партнёркам. Ущерб репутации минимальный, а отпускные-то — вот они.
@tomhunter
Содержательная часть всё так же сводится к «мы нашли мусорные дампы и высосали инфопод из пальца». Что делать с хайпом, они явно не понимают и пытаются как могут сохранить лицо. Закрывая тему, рекомендую материал от Hudson Rock. Ключевой аргумент против сенсации: безумные числа банально не бьются с экосистемой инфостилеров — она в разы меньше, чем нужно для сбора такого датасета. Это если допустить, что здесь нужны аргументы — по одному скрину с названиями баз всё и так понятно. Зачем Cybernews разгонять откровенный фейк? Возможно, просто чтобы набить подписок по своим VPN-партнёркам. Ущерб репутации минимальный, а отпускные-то — вот они.
@tomhunter
😁7👍6💯2👎1
#article На Хабре наша новая статья, поговорим о ценности электронной почты в OSINT. Электронная почта сегодня — не просто канал связи. Для OSINT-расследователя это отправная точка, ведущая к сети данных: техническим метаданным, следам в утечках, связанным аккаунтам и даже рекламным профилям.
В статье мы разберем как провести глубокий анализ почты, начиная от заголовка и заканчивая ADINT. Ищем цифровые следы, изучаем домены и никнеймы, проверяем email на компрометацию и отслеживаем пиксели. За подробностями добро пожаловать на Хабр!
@tomhunter
В статье мы разберем как провести глубокий анализ почты, начиная от заголовка и заканчивая ADINT. Ищем цифровые следы, изучаем домены и никнеймы, проверяем email на компрометацию и отслеживаем пиксели. За подробностями добро пожаловать на Хабр!
@tomhunter
❤7👍4🔥2🤔1🤡1
#news К инновациям социнженерии от мира рансомвари. У группировки Qilin в панели появилась кнопка «Вызвать юриста». По нажатию со злоумышленником свяжется команда юристов и поможет давить на жертву.
Согласно рекламному посту о фиче, появление консультанта в чате — автоматический бонус к сумме выкупа и ходу переговоров, ведь никто не хочет иметь судебные разбирательства и издержки по инциденту. Лицо квалифицированного юриста компании из Fortune 500, когда дисконтный Сол Гудман от мира киберпреступности начнёт кидать ему пасты про американскую судебную систему от ChatGPT, представили? Qilin явно стремится занять вакантную рансомварь-сцену. Функциональность под DDoS-атаки, спам-сервисы, хранилища данных — не RaaS-операция, а полный пакет услуг. С учётом их послужного списка, приятного мало. Остаётся пожелать им поскорее отправиться вслед за предшественниками.
@tomhunter
Согласно рекламному посту о фиче, появление консультанта в чате — автоматический бонус к сумме выкупа и ходу переговоров, ведь никто не хочет иметь судебные разбирательства и издержки по инциденту. Лицо квалифицированного юриста компании из Fortune 500, когда дисконтный Сол Гудман от мира киберпреступности начнёт кидать ему пасты про американскую судебную систему от ChatGPT, представили? Qilin явно стремится занять вакантную рансомварь-сцену. Функциональность под DDoS-атаки, спам-сервисы, хранилища данных — не RaaS-операция, а полный пакет услуг. С учётом их послужного списка, приятного мало. Остаётся пожелать им поскорее отправиться вслед за предшественниками.
@tomhunter
😁12🔥4👍1
#news Ещё четвёрке членов REvil вынесли приговоры. Обошлось без неожиданностей: все четверо получили скромные пять лет лишения свободы. А за счёт отбытого в СИЗО срока их и вовсе отпустили из-под стражи после вынесения приговора.
В октябре глава REvil Пузыревский и трое соучастников получили от 4,5 до 6 лет. Вторая четвёрка в отличие от прежней признала вину, так что отделались совсем легко. У Бессонова конфисковали ~$1 миллион и пару авто в придачу. Группировке изрядно повезло: в силу известных событий сотрудничество по расследованию с США прекратилось. Для сравнения, украинец Васинский, которого приняли в Польше и экстрадировали в Штаты, в мае получил почти 14 лет тюремного срока и штраф в $16 миллионов. В общем, так и кончается дело одной из ключевых киберпреступных группировок 2010-х — не взрывом, а лёгким невнятным побулькиванием. Как, впрочем, и предсказывали.
@tomhunter
В октябре глава REvil Пузыревский и трое соучастников получили от 4,5 до 6 лет. Вторая четвёрка в отличие от прежней признала вину, так что отделались совсем легко. У Бессонова конфисковали ~$1 миллион и пару авто в придачу. Группировке изрядно повезло: в силу известных событий сотрудничество по расследованию с США прекратилось. Для сравнения, украинец Васинский, которого приняли в Польше и экстрадировали в Штаты, в мае получил почти 14 лет тюремного срока и штраф в $16 миллионов. В общем, так и кончается дело одной из ключевых киберпреступных группировок 2010-х — не взрывом, а лёгким невнятным побулькиванием. Как, впрочем, и предсказывали.
@tomhunter
🔥10😁5🤬2💯1
#news Относительно незаметно произошло закрытие теневого маркетплейса Huione Guarantee в Telegram. Мессенджер заблокировал платформу 13 мая. Но анализ показывает, что китайская киберпреступная экосистема успешно мигрировала на другие Telegram-площадки.
На начало года маркет с неблагозвучным названием отметился оборотом в $24 миллиарда, намного превзойдя западные площадки. И его закрытие практически не сказалось на операциях — более того, владельцы просто сменили бренд. Принадлежащая им Tudou Guarantee за месяц по числу юзеров приросла вдвое. Как можно догадаться, Telegram особого дела до ребрендинга и других площадок нет — сколько им позволят работать, вопрос на десятки миллиардов долларов, проходящих через киберпреступный рынок региона. Так что меры Франции по выбиванию дури из Дурова в таком разрезе выглядят не такими уж радикальными. В Китай вот он не летает, и что делать с местной киберпреступностью? Живёт себе и здравствует, как в лучшие годы западного даркнета.
@tomhunter
На начало года маркет с неблагозвучным названием отметился оборотом в $24 миллиарда, намного превзойдя западные площадки. И его закрытие практически не сказалось на операциях — более того, владельцы просто сменили бренд. Принадлежащая им Tudou Guarantee за месяц по числу юзеров приросла вдвое. Как можно догадаться, Telegram особого дела до ребрендинга и других площадок нет — сколько им позволят работать, вопрос на десятки миллиардов долларов, проходящих через киберпреступный рынок региона. Так что меры Франции по выбиванию дури из Дурова в таком разрезе выглядят не такими уж радикальными. В Китай вот он не летает, и что делать с местной киберпреступностью? Живёт себе и здравствует, как в лучшие годы западного даркнета.
@tomhunter
😁8❤2🔥1💯1
#news Рубрика «Их нравы». В США подняли сайт F*ckLAPD для идентификации полицейских Лос-Анджелеса. Юзеры могут загрузить фото, нейронка распознает лицо, пройдётся по публичной информации и идентифицирует сотрудника.
Сайт создал активист в ответ на насилие со стороны полиции в ходе беспорядков. Полицейские скрывают свои значки, так что борцы за права нелегальных иммигрантов могут идентифицировать их по фото. А заодно кошмарить их самих и их семьи. Автор в 2018-м уже занимался деаноном сотрудников иммиграционной службы в том же ключе — ужасная иммиграционка рушит жизни нелегалам, не дадим и защитим. При этом он ссылается на первую поправку и хвалится, что нецензурно выражаться в адрес полиции обходится ему всего в 10 баксов в год за домен. Не первый за год подобный пример в Штатах — массово сливать в публичный доступ инфу на оппонентов у них становится доброй традицией. И собранные брокерами данных массивы этому только способствуют.
@tomhunter
Сайт создал активист в ответ на насилие со стороны полиции в ходе беспорядков. Полицейские скрывают свои значки, так что борцы за права нелегальных иммигрантов могут идентифицировать их по фото. А заодно кошмарить их самих и их семьи. Автор в 2018-м уже занимался деаноном сотрудников иммиграционной службы в том же ключе — ужасная иммиграционка рушит жизни нелегалам, не дадим и защитим. При этом он ссылается на первую поправку и хвалится, что нецензурно выражаться в адрес полиции обходится ему всего в 10 баксов в год за домен. Не первый за год подобный пример в Штатах — массово сливать в публичный доступ инфу на оппонентов у них становится доброй традицией. И собранные брокерами данных массивы этому только способствуют.
@tomhunter
😁11👍4🔥3🤡3❤1👎1