Когда решил узнать статус исправления уязвимостей

🧑‍💻 Этичный хакер

😈 Взлом госуслуг: мифы и реальность

— В данной статье Лука Сафонов постарается выяснить что из взлома госуслуг миф и выдумки, а что является правдой, а для этого придется самому взломать госуслуги

Лука Сафонов — эксперт в сфере информационной безопасности, основатель компании «Киберполигон». В прошлом — руководитель Лаборатории практического анализа защищённости Центра информационной безопасности компании «Инфосистемы Джет»

Для экспериментов он использовал свой собственный аккаунт, содержащий доступ к моим данным и данным моего юр лица. Доступ осуществляется как с помощью связки логин/пароль + смс, так и ЭЦП

🗣 Ссылка на чтиво

🧑‍💻 Этичный хакер

😈 Операция Heart Blocker: ликвидация крупного фишингового сервиса

‼️ Правоохранительные органы США и Нидерландов провели операцию «Heart Blocker», в ходе которой ликвидировали фишинговую организацию Saim Raza или HeartSender

HeartSender продавал фишинговые наборы, инструменты для кражи cookie-файлов и другие средства для массовой рассылки вредоносных писем

— Группировка обслуживала тысячи клиентов, предоставляя доступ к панелям управления сайтами (cPanel), SMTP-серверам и взломанным аккаунтам WordPress

🗣 Ссылка на чтиво

🧑‍💻 Этичный хакер

😈 10 лучших инструментов для оценки уязвимостей и тестирования на проникновение (VAPT) в 2025 году

— Инструменты оценки уязвимостей и тестирования на проникновение (VAPT) являются неотъемлемой частью любого инструментария кибербезопасности и играют важную роль в выявлении, анализе и устранении уязвимостей в компьютерных системах, сетях, приложениях и ИТ-инфраструктуре

Лучшие инструменты VAPT в 2025 году:
— Wireshark: это анализатор сетевых протоколов, который фиксирует и интерактивно просматривает трафик, работающий в компьютерной сети.
— NMAP: это инструмент сканирования сети, используемый для обнаружения хостов и служб в компьютерной сети путем отправки пакетов и анализа ответов.
— Metasploit: это мощный инструмент для разработки и выполнения эксплойт-кода на удаленной целевой машине для выявления уязвимостей.
— Burp Suite: Интегрированная платформа для тестирования безопасности веб-приложений, включая зондирование уязвимостей и перехват трафика.
— OpenVAS: это фреймворк с открытым исходным кодом, который состоит из нескольких сервисов и инструментов, предлагающих комплексные и мощные решения для сканирования уязвимостей и управления уязвимостями.
— Nessus: это широко используемый сканер уязвимостей, который анализирует сети для выявления потенциальных рисков безопасности в сетевых системах для устранения.
— Nikto: Сканер веб-сервера, который проверяет веб-серверы на предмет опасных файлов, устаревшего программного обеспечения и других потенциальных проблем.
— Indusface: комплексное решение для обеспечения безопасности приложений, которое обеспечивает автоматизированное сканирование веб- и мобильных приложений в сочетании с ручным тестированием на проникновение.
— Acunetix: это сканер веб-уязвимостей, который автоматически проверяет веб-сайты на наличие уязвимостей безопасности, таких как SQL-впрыск и межсайтовые сценарии.
— SQLMap: это инструмент тестирования на проникновение с открытым исходным кодом, который автоматизирует процесс обнаружения и использования недостатков SQL-инъекции и захвата серверов баз данных.

Под катом смотрите основные функции и особенности каждого инструмента

🗣 Ссылка на чтиво

🧑‍💻 Этичный хакер

Как реагируют на рекомендации по безопасности

🧑‍💻 Этичный хакер

😈 Операция Talent: закрыты хак-форумы Cracked и Nulled

— Правоохранители провели международную операцию Talent, в рамках которой были закрыты такие сайты, как cracked.io, cracked.to, nulled.to, starkrdp.io, mysellix.io и sellix.io

Европол и полиция Германии подтвердили арест двух подозреваемых и захват 17 серверов

❗️ Cracked и Nulled — два крупных хак-форума, насчитывающих более 10 млн пользователей. В основном эти ресурсы были ориентированы на кражу паролей, взлом и credential-stuffing атаки

На сайтах также публиковались хакерские инструменты, включая тулзы и скрипты для поиска уязвимостей и оптимизации атак, конфиги для credential-stuffing инструментов (таких как OpenBullet и SilverBullet)

🗣 Ссылка на чтиво

🧑‍💻 Этичный хакер

😈 Топ-менеджера Лаборатории Касперского развели на 10 млн рублей

Мошенники позвонили от лица сотрудников Росфинмониторинга и ФСБ и убедили его отдать им деньги

Советник генерального директора по образовательным проектам, 67-летний Вениамин Гинодман, поверил «руководителям службы безопасности» сразу же

Он снял со своего банковского счета 10 миллионов рублей и отдал их курьеру мошенической схемы

— Сама Лаборатория регулярно рассказывает о новых способах мошенничества и раздаёт советы, как на них не попасться

🧑‍💻 Этичный хакер

😈 Россиян снова скамят от имени Ozon

❗️ Мошенники, пытаясь получить доступ к данным россиян, используют фишинговые атаки от имени маркетплейса Ozon — об этом граждан предупредили в МВД России

По их данным, на зеркальном сайте Ozon, предлагают получить промокод на 10 тыс. рублей в честь дня рождения

Заинтересовавшихся этим «предложением» потенциальных жертв просят связаться с «личным менеджером» через мессенджер WhatsApp

— В случае перехода терятется доступ к учётной записи и конфиденциальным данным

Ozon сообщил, что сайт удалось заблокировать

🗣 Ссылка на чтиво

🧑‍💻 Этичный хакер

Когда решил разобраться в реверс-инжиниринге

🧑‍💻 Этичный хакер

😈 Подборка инструментов для проведения SSRF-атак

Server-Side Request Forgery (SSRF) — это уязвимость, которая позволяет злоумышленнику заставить сервер отправлять запросы к произвольным адресам, что может привести к утечке данных или размещению вредоносного кода

При этом злоумышленник может контролировать либо весь запрос целиком, либо его отдельные части (например, домен)

1. curl: Командная утилита для отправки запросов к URL. Зачастую используется в скриптах для тестирования SSRF уязвимостей.

2. Postman: Инструмент для работы с API, который позволяет отправлять HTTP-запросы к серверу, модифицируя их по необходимости. Может быть полезен для тестирования серверного поведения.

3. Gobuster: Инструмент для брутфорсинга пути и поддоменов. Его можно использовать для поиска уязвимых точек, где может быть полезна SSRF.

4. Fiddler: Сетевой отладчик для HTTP, который может захватывать и модифицировать трафик, включая запросы к серверу. Полезен для тестирования реакции сервера на различные ссылки.

5. RequestBin: Сервис для тестирования HTTP-запросов. Можно использовать для приема и анализа запросов, которые отправляются через SSRF уязвимости.

🧑‍💻 Этичный хакер

😈 Как пробить человека по фотографии из окна

GeoSpy AI — нейросеть, способная вычислить местонахождение по фотографиям из квартиры

GeoSpy AI использует сложные алгоритмы машинного обучения и компьютерного зрения для анализа изображений

Система извлекает уникальные характеристики из фотографий — текстуры, цвета, освещение и даже детали, которые могут быть незаметны для человеческого глаза

Эти данные затем сопоставляются с обширной базой географической информации, включающей изученные регионы, города и страны

Конец конденциальности уже настал!

🧑‍💻 Этичный хакер

😈 Три страны, один враг: география DDoS-атак на DeepSeek

Компания DeepSeek, столкнулась с волной масштабных DDoS-атак, которые серьёзно нарушили работу её сервисов

❗️ По данным исследователей NSFOCUS, атаки были зафиксированы 25, 26 и 27 января, средняя продолжительность атак составила 35 минут, а сами атаки привели к сбоям в работе сервисов компании

Дополнительно зафиксированы атаки на чат-систему DeepSeek 20 и 25 января, причём их продолжительность превышала один час

— Ситуация ухудшилась 28 января, когда команда DeepSeek объявила о масштабной кибератаке, вынудившей компанию сменить IP-адреса для защиты инфраструктуры 😂

🗣 Ссылка на чтиво

🧑‍💻 Этичный хакер

Однако круто он придумал, и как я сам не догадался

🧑‍💻 Этичный хакер

😈 Фото голого Трампа появилось на его аккаунте

‼️ Верифицированный аккаунт Дональда Трампа в социальной сети X (Twitter) подвергся хакерской атаке

— Злоумышленники заменили изображение в его старом сообщении на неприемлемое фото

Пост стал одним из самых обсуждаемых в аккаунте президента США. Подлинность фотографии не подтверждена

🗣 Ссылка на чтиво

🧑‍💻 Этичный хакер

Когда просят описать работу в SOC

🧑‍💻 Этичный хакер

😈 Все знают, где ты находишься

‼️ Из-за масштабной утечки геолокационных данных из Gravy Analytics, стало известно, что более двух тысяч приложений из AppStore и Google Play тайно собирали геолокационные данные пользователей без их согласия

— Автор статьи решил попробовать отследить себя снаружи, то есть купить свои геолокационные данные, утёкшие через какое-нибудь приложение

Потратив пару десятков часов он получил следующие результаты:
1. Обнаружил пару запросов, отправленных моим телефоном, в которых содержалось точное местоположение + 5 запросов, через которые утекал IP-адрес, который при помощи обратного просмотра DNS можно превратить в геолокацию.
2. Много узнал об аукционах с торгами в реальном времени (RTB, real-time bidding) и протоколе OpenRTB; поразили объём и типы данных, отправляемые с заявками к биржам рекламы.
3. Отказался от идеи покупки данных о моём местоположении у брокера данных или сервиса слежения, потому что у меня нет достаточно большой компании, чтобы получить пробный режим или выложить 10-50 тысяч долларов на покупку огромной базы данных с данными миллионов людей + меня.

🗣 Ссылка на чтиво

🧑‍💻 Этичный хакер

😈 Топ-10 техник атак веб-приложений 2024 года

PortSwigger опубликовали топ-10 техник атак веб-приложений 2024 года, проекта, созданного усилиями сообщества, чтобы определить самые инновационные и важные исследования в области веб-безопасности, опубликованные за последний год

1. Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server
2. SQL Injection Isn't Dead: Smuggling Queries at the Protocol Level
3. Unveiling TE.0 HTTP Request Smuggling
4. WorstFit: Unveiling Hidden Transformers in Windows ANSI
5. Exploring the DOMPurify library: Bypasses and Fixes
6. DoubleClickjacking: A New Era of UI Redressing
7. CVE-2024-4367 - Arbitrary JavaScript execution in PDF.js
8. OAuth Non-Happy Path to ATO
9. ChatGPT Account Takeover - Wildcard Web Cache Deception
10. Hijacking OAuth flows via Cookie Tossing

🗣 Ссылка на чтиво

🧑‍💻 Этичный хакер

Иногда после пентеста могут начать пенетрировать тебя самого

🧑‍💻 Этичный хакер

😈 Telegram-аккаунты крадут через сообщения

‼️ Киберпреступники разработали новую схему угона учетных записей, маскируясь под службу безопасности мессенджера

Они отправляют сообщения от имени пользователя с ником «Безопасность» и аватаркой Telegram, убеждая перейти по ссылке для защиты данных

— Однако на самом деле жертву перенаправляют на поддельный сайт с QR-кодом, который дает злоумышленникам полный доступ к аккаунту

🗣 Ссылка на чтиво

🧑‍💻 Этичный хакер

😈 НАТО, ООН, армия США: как 18-летний хакер из Испании заставил понервничать мировые спецслужбы

‼️ Полиция Испании задержала 18-летнего хакера Natohub, который взял на себя ответственность за серию кибератак на госучреждения США и Испании

— На счету преступника серии кибератак на государственные и международные организации, включая Министерство обороны Испании, НАТО и даже армию США

Также ему удалось проникнуть в базы данных Организации гражданской авиации ООН (ICAO), откуда были извлечены 42 000 личных досье, включая имена, адреса электронной почты и информацию о трудовой деятельности

По данным следствия, только за 2024 год он осуществил не менее 40 кибератак

🗣 Ссылка на чтиво

🧑‍💻 Этичный хакер