Поворот не туда.
Помнишь знаменитые сказочные лестницы из Хогвартса, которые перемещались и вели в разные места? Так вот, в мире IT такое существует наяву.
На днях, специалисты Лаборатории Касперского рассказали о способе мошенничества, который во многом схож с технологией тех самых лестниц.
В чём завязка? Cтарые ссылки вдруг могут начать вести на сайты с вредоносным ПО. Причём, такое может случиться, например, с программкой, которая вдруг начинает вместо обновления скачивать малварь. Ссылка в коде программы остаётся прежней, а вот то, что находится за ней, меняется кардинально.
По факту расследования, оказалось, что такие проблемы случаются именно со старыми ссылками. В случае, если доменное имя перестаёт оплачиваться владельцем, оно уходит на один из доменных аукционов, на котором ждёт, что его выкупят. Само доменное имя, при этом, "паркуется" на DNS-серверах аукциона, которые перенаправляют потенциального покупателя на страничку с объявлением о продаже.
Чтобы поднять прибыль, такие аукционы могут использовать дополнительный рекламный модуль, который периодически будет редиректить покупателя на чужой сайт, заплативший за это.
Самая простая причина появления редиректов на вредоносные сайты — это банальная неразборчивость рекламщиков. В самом деле, какая разница, кто платит тебе за редирект. При этом, злоумышленники получают прекрасную возможность долгое время оставаться незамеченными, поскольку перенаправление происходит не при каждом переходе, а только иногда, и может зависеть от определённых характеристик "жертвы" — геолокации, модели девайса и т.д.
Согласись, идея проста и, при этом, весьма опасна. Ведь даже просто набрав в строке навигации браузера адрес по памяти, ты можешь оказаться совсем не там, где хотел.
В качестве резюме скажу только одно. Информационная безопасность — это не прихоть. Это необходимость. Ты же не будешь покупать гнилую картошку вместо свежей только потому, что не являешься специалистом по картошке? Здесь работает ровно такой же принцип. Смотри, что тебе пытаются продать.
Помнишь знаменитые сказочные лестницы из Хогвартса, которые перемещались и вели в разные места? Так вот, в мире IT такое существует наяву.
На днях, специалисты Лаборатории Касперского рассказали о способе мошенничества, который во многом схож с технологией тех самых лестниц.
В чём завязка? Cтарые ссылки вдруг могут начать вести на сайты с вредоносным ПО. Причём, такое может случиться, например, с программкой, которая вдруг начинает вместо обновления скачивать малварь. Ссылка в коде программы остаётся прежней, а вот то, что находится за ней, меняется кардинально.
По факту расследования, оказалось, что такие проблемы случаются именно со старыми ссылками. В случае, если доменное имя перестаёт оплачиваться владельцем, оно уходит на один из доменных аукционов, на котором ждёт, что его выкупят. Само доменное имя, при этом, "паркуется" на DNS-серверах аукциона, которые перенаправляют потенциального покупателя на страничку с объявлением о продаже.
Чтобы поднять прибыль, такие аукционы могут использовать дополнительный рекламный модуль, который периодически будет редиректить покупателя на чужой сайт, заплативший за это.
Самая простая причина появления редиректов на вредоносные сайты — это банальная неразборчивость рекламщиков. В самом деле, какая разница, кто платит тебе за редирект. При этом, злоумышленники получают прекрасную возможность долгое время оставаться незамеченными, поскольку перенаправление происходит не при каждом переходе, а только иногда, и может зависеть от определённых характеристик "жертвы" — геолокации, модели девайса и т.д.
Согласись, идея проста и, при этом, весьма опасна. Ведь даже просто набрав в строке навигации браузера адрес по памяти, ты можешь оказаться совсем не там, где хотел.
В качестве резюме скажу только одно. Информационная безопасность — это не прихоть. Это необходимость. Ты же не будешь покупать гнилую картошку вместо свежей только потому, что не являешься специалистом по картошке? Здесь работает ровно такой же принцип. Смотри, что тебе пытаются продать.
securelist.ru
Аукцион редиректов
Мы уже обращали внимание на ссылки под старыми роликами на YouTube или в статьях “Википедии”, которые в какой-то момент становились вредоносными и начинали вести на страницы партнерских программ, фишинговые сайты или даже на вредоносное ПО. Складывалось впечатление…
Forwarded from Хакер — Xakep.RU
Самая масштабная атака в истории Twitter: взломаны аккаунты звезд, компаний и криптовалютных бирж
Минувшая ночь была трудной для компании Twitter: массовой компрометации подверглось множество аккаунтов публичных людей, компаний, криптовалютных бирж и так далее. Среди пострадавших числятся Билл Гейст, Илон Маск, Джефф Безос, Барак Обама, CoinDesk, Binance, Apple. Неизвестные злоумышленники устроили фальшивую раздачу биткоинов от лица взломанных учетных записей и «заработали» около 120 000 долларов.
https://xakep.ru/2020/07/16/twitter-hacked/
Минувшая ночь была трудной для компании Twitter: массовой компрометации подверглось множество аккаунтов публичных людей, компаний, криптовалютных бирж и так далее. Среди пострадавших числятся Билл Гейст, Илон Маск, Джефф Безос, Барак Обама, CoinDesk, Binance, Apple. Неизвестные злоумышленники устроили фальшивую раздачу биткоинов от лица взломанных учетных записей и «заработали» около 120 000 долларов.
https://xakep.ru/2020/07/16/twitter-hacked/
Пока в твиттере смешались отечественные митушники и поломанные селебрити с биткойнами, наша команда подготовила большой дайджест про фишинг учетных данных Windows.
Read. Enjoy. Use (только в пентесте, разумеется).
https://habr.com/ru/company/tomhunter/blog/511286/
Read. Enjoy. Use (только в пентесте, разумеется).
https://habr.com/ru/company/tomhunter/blog/511286/
Хабр
Фишинг учетных данных Windows
В первом квартале 2020 года число фишинговых атак на пользователей по всему миру выросло вдвое по сравнению с аналогичным периодом 2019 года — с 9% до 18%. Так...
Сидельцы дома
Хотя повсеместно снимаются ограничения от вроде бы отступившей пандемии, если ты, конечно, не чувствуешь себя на 65+ лет, отголоски ковидных времен все еще достаточно осязаемые. Я обещал, что буду периодически рассказывать новости о самоизоляции. Вот ещё одна.
В мае этого года Управление "К" при содействии Group-IB задержало мошенника, который воровал деньги при помощи специального приложения для интернет-банкинга.
Приложение было замаскировано под единую точку входа в систему быстрых платежей основных банков России. На деле же, программка отправляла информации по карточкам пользователей своему хозяину. Далее, зная все данные, вплоть до cvv, мошенники выводили средства относительно небольшими суммами. Ты спросишь, а как же код подтверждения по SMS? Здесь у злоумышленников всё было продумано. Фальшивый банковский агрегатор, установленный на телефон жертвы, блокировал смски от банка и отсылал код подтверждения сам-понимаешь-кому.
Создание ложных приложений не единственный источник дохода мошенников в сфере банковского обслуживания. Есть масса примеров того, как злоумышленники создавали собственные онлайн-магазины или фишинговые версии известных компаний. Цель, однако, всегда одинаковая — украсть данные с твоей карточки, а затем втихаря списать оттуда деньги.
За время эпидемии количество таких атак выросло в десятки раз (до 400-600 за месяц). Сюда, конечно, относятся и уязвимости в протоколах электронных платежей, но главная причина такого бешенного роста состоит в том, что "спрос рождает предложение". Ушедшие на самоизоляцию люди, стали гораздо больше пользоваться онлайн-сервисами оплаты и, как следствие, гораздо чаще попадаться на удочку злоумышленников.
Кстати, подробнее почитать про мошенничество в системе дистанционного банковского обслуживания можно в материале от Group-IB. Я не жадничаю на ссылки на блоги других компаний, потому что считаю распространение полезной информации гораздо важнее коммерческих условностей. Все равно же вы это прочитаете, если будете интересоваться. Так почему бы не узнать последние новости от меня?
Хотя повсеместно снимаются ограничения от вроде бы отступившей пандемии, если ты, конечно, не чувствуешь себя на 65+ лет, отголоски ковидных времен все еще достаточно осязаемые. Я обещал, что буду периодически рассказывать новости о самоизоляции. Вот ещё одна.
В мае этого года Управление "К" при содействии Group-IB задержало мошенника, который воровал деньги при помощи специального приложения для интернет-банкинга.
Приложение было замаскировано под единую точку входа в систему быстрых платежей основных банков России. На деле же, программка отправляла информации по карточкам пользователей своему хозяину. Далее, зная все данные, вплоть до cvv, мошенники выводили средства относительно небольшими суммами. Ты спросишь, а как же код подтверждения по SMS? Здесь у злоумышленников всё было продумано. Фальшивый банковский агрегатор, установленный на телефон жертвы, блокировал смски от банка и отсылал код подтверждения сам-понимаешь-кому.
Создание ложных приложений не единственный источник дохода мошенников в сфере банковского обслуживания. Есть масса примеров того, как злоумышленники создавали собственные онлайн-магазины или фишинговые версии известных компаний. Цель, однако, всегда одинаковая — украсть данные с твоей карточки, а затем втихаря списать оттуда деньги.
За время эпидемии количество таких атак выросло в десятки раз (до 400-600 за месяц). Сюда, конечно, относятся и уязвимости в протоколах электронных платежей, но главная причина такого бешенного роста состоит в том, что "спрос рождает предложение". Ушедшие на самоизоляцию люди, стали гораздо больше пользоваться онлайн-сервисами оплаты и, как следствие, гораздо чаще попадаться на удочку злоумышленников.
Кстати, подробнее почитать про мошенничество в системе дистанционного банковского обслуживания можно в материале от Group-IB. Я не жадничаю на ссылки на блоги других компаний, потому что считаю распространение полезной информации гораздо важнее коммерческих условностей. Все равно же вы это прочитаете, если будете интересоваться. Так почему бы не узнать последние новости от меня?
Хабр
Схемы хищений в системах ДБО и пять уровней противодействия им
В мае этого года Управлением «К» МВД России при содействии компании Group-IB был задержан 32-летний житель Волгоградской области, обвиняемый в хищениях денежных средств у клиентов российских банков...
Заходите, гости дорогие.
Сегодня я думал над тем, что бы тебе рассказать такого, чтобы не очень сильно заморачиваться. Воскресным летним днём не очень хочется зацикливаться на чём-то сложном. А потом увидел, что не только я в один прекрасный момент решил не париться.
Как известно, кибервойна — это тоже война. И, кроме выведенных из строя электростанций и взломанных аккаунтов известных политиков, там происходят и довольно курьёзные вещи.
Например, на днях стало известно, что исследователи из IBM X-Force Incident Response Intelligence Services, ковыряясь на облачном сервере иранской группировки ITG18, обнаружили практически в открытом доступе архив информации примерно в 40 Гб.
Разбор архива показал, что там хранились видеоуроки по взлому учётных записей на различных платформах, сами скомпрометированные учётные записи и инструкции по централизованному управлению хакнутыми почтовыми ящиками.
В ходе исследования, нашлись и взломанные аккаунты представителей вооружённых сил США и Греции, а их владельцы были оповещены о том, что их успешно прослушивают.
Причиной доступности этой хакерской информации стала неправильная конфигурация сервера, в результате которой закрытые обучающие уроки оказались незащищены. Т.е. вы понимаете, насколько лень было этой группировке защитить свое нечестно нажитое добро?
У этой истории не будет морали. Это просто очень забавно.
Сегодня я думал над тем, что бы тебе рассказать такого, чтобы не очень сильно заморачиваться. Воскресным летним днём не очень хочется зацикливаться на чём-то сложном. А потом увидел, что не только я в один прекрасный момент решил не париться.
Как известно, кибервойна — это тоже война. И, кроме выведенных из строя электростанций и взломанных аккаунтов известных политиков, там происходят и довольно курьёзные вещи.
Например, на днях стало известно, что исследователи из IBM X-Force Incident Response Intelligence Services, ковыряясь на облачном сервере иранской группировки ITG18, обнаружили практически в открытом доступе архив информации примерно в 40 Гб.
Разбор архива показал, что там хранились видеоуроки по взлому учётных записей на различных платформах, сами скомпрометированные учётные записи и инструкции по централизованному управлению хакнутыми почтовыми ящиками.
В ходе исследования, нашлись и взломанные аккаунты представителей вооружённых сил США и Греции, а их владельцы были оповещены о том, что их успешно прослушивают.
Причиной доступности этой хакерской информации стала неправильная конфигурация сервера, в результате которой закрытые обучающие уроки оказались незащищены. Т.е. вы понимаете, насколько лень было этой группировке защитить свое нечестно нажитое добро?
У этой истории не будет морали. Это просто очень забавно.
Forwarded from Раньше всех. Ну почти.
Данные 20 млн пользователей VPN-сервисов оказались в открытом доступе
Исследовательская команда vpnMentor обнаружила в открытом доступе данные более 20 млн пользователей приложений UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN, сообщает «Коммерсант».
Исследовательская команда vpnMentor обнаружила в открытом доступе данные более 20 млн пользователей приложений UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN, сообщает «Коммерсант».
Буквально новость-огонь про то, как беспроводная зарядка гробит гаджеты не из-за технологического недосмотра, а исключительно в корыстных целях.
TechRadar
This dangerous quick-charge vulnerability could burn your phone
Tencent Security finds many fast-charging devices had safety issues which could damage smartphones or laptops.
Будущее наступило
Мы с тобой много раз натыкались на истории про утечку данных. Доступной оказывалась информация по банковским картам, паролям, видеоурокам по взлому чужих почтовых ящиков.
Но будущее давно уже пришло в нашу жизнь. И сегодня меня взбодрила новость про несанкционированный доступ к базе ДНК.
Но, давай по порядку. Потому что тут речь даже не о биометрии и не украденных анализах твоей двоюродной бабушки (страшно представить, зачем они могут потребоваться злодеям). ДНК, Карл. Т. е. на свете могут появиться совсем незнакомые люди, которые тебя ну очень хорошо знают. Круто, да? (нет)
Как оказалось, на просторах Интернета существуют ресурсы, позволяющие искать родственников по данным ДНК. Загружаешь отчёт по своим генам и ждёшь, кого тебе найдут. Алгоритм ДНК-анализа позволяет искать уже даже троюродных родственников.
Эта технология, как оказалось, настолько эффективна, что если хотя бы 2% жителей страны или, скажем, планеты внесут в базу данных свои ДНК, то почти все они смогут найти хотя бы одного родственника.
Не трудно догадаться, что такой базой заинтересовалась полиция. В 2018 году база данных GEDmatch была использована для поимки серийного убийцы. В базе, конечно, нашли не его самого, а одного из родственников. Но круг поисков существенно сузился и виновный был наказан.
Однако, пользователям GEDmatch не очень понравилась идея поиска преступников среди их родственников. Поэтому, сервис ввёл дополнительную возможность отключать доступность профиля пользователя для ведения расследований.
Однако, на днях опция на сайте была отключена и данные всех пользователей стали снова доступны полиции. Что послужило причиной отключения, техническая ошибка или успешная атака на ресурс, пока неизвестно. Ведётся расследование, на время которого сервис GEDmatch отключен.
Эта история поднимает очень важные этические вопросы. Имеют ли право правоохранительные органы, в целях поимки преступников, использовать данные людей, которые сознательно эти данные закрыли? И правильно ли поступают пользователи, препятствуя расследованию? Несмотря на кажущуюся очевидность ответов, в данном случае, пострадавшими считаются пользователи, отказавшиеся предоставлять доступ к своим ДНК.
Мы с тобой много раз натыкались на истории про утечку данных. Доступной оказывалась информация по банковским картам, паролям, видеоурокам по взлому чужих почтовых ящиков.
Но будущее давно уже пришло в нашу жизнь. И сегодня меня взбодрила новость про несанкционированный доступ к базе ДНК.
Но, давай по порядку. Потому что тут речь даже не о биометрии и не украденных анализах твоей двоюродной бабушки (страшно представить, зачем они могут потребоваться злодеям). ДНК, Карл. Т. е. на свете могут появиться совсем незнакомые люди, которые тебя ну очень хорошо знают. Круто, да? (нет)
Как оказалось, на просторах Интернета существуют ресурсы, позволяющие искать родственников по данным ДНК. Загружаешь отчёт по своим генам и ждёшь, кого тебе найдут. Алгоритм ДНК-анализа позволяет искать уже даже троюродных родственников.
Эта технология, как оказалось, настолько эффективна, что если хотя бы 2% жителей страны или, скажем, планеты внесут в базу данных свои ДНК, то почти все они смогут найти хотя бы одного родственника.
Не трудно догадаться, что такой базой заинтересовалась полиция. В 2018 году база данных GEDmatch была использована для поимки серийного убийцы. В базе, конечно, нашли не его самого, а одного из родственников. Но круг поисков существенно сузился и виновный был наказан.
Однако, пользователям GEDmatch не очень понравилась идея поиска преступников среди их родственников. Поэтому, сервис ввёл дополнительную возможность отключать доступность профиля пользователя для ведения расследований.
Однако, на днях опция на сайте была отключена и данные всех пользователей стали снова доступны полиции. Что послужило причиной отключения, техническая ошибка или успешная атака на ресурс, пока неизвестно. Ведётся расследование, на время которого сервис GEDmatch отключен.
Эта история поднимает очень важные этические вопросы. Имеют ли право правоохранительные органы, в целях поимки преступников, использовать данные людей, которые сознательно эти данные закрыли? И правильно ли поступают пользователи, препятствуя расследованию? Несмотря на кажущуюся очевидность ответов, в данном случае, пострадавшими считаются пользователи, отказавшиеся предоставлять доступ к своим ДНК.
Хабр
Как генеалогические сайты облегчают поимку убийц
Чем больше людей закачивают свою ДНК на веб-сайты с родословными, тем легче становится находить преступников За последние шесть месяцев небольшой открытый сайт...
За открытое хранение данных ДНК в сети?
Anonymous Poll
27%
Нет
27%
Нет, конечно
5%
Конечно, нет
41%
Ищу троюродного дядю-миллионера
Вечерело. А меня все не отпускал тема последствий удалёнки. Сегодня снова немного поговорим о том, как мошенники пользуются доверием к знаменитым брендам.
Специалистами Лаборатории Касперского было установлено, что с 2019 года количество фишинговых атак, в которых упоминался стриминговый сервис Netflix, составило более 22 000.
Аналогичные атаки зафиксированы и с упоминанием онлайн-кинотеатров Hulu, Disney +, Apple TV Plus, Amazon Prime Video.
Злоумышленники создают рекламные ссылки и файлы, добавляя туда названия сервисов и сериалов. В частности, наиболее часто упоминаются "Мандалорец", "Ведьмак", "Очень странные дела", "Половое воспитание", "Оранжевый — хит сезона".
Прошедшего по ссылке пользователя обычно ждёт не онлайн-сервис, а троян, блокирующий данные, или программа-шпион, ворующая платёжные данные.
Как известно, спрос рождает предложение. Сидящий на удалёнке народ с радостью потребляет большое количество развлекательных шоу. Скачать сериал на халяву хочется многим, а, как известно, скупой платит дважды.
Ты можешь сказать, что сейчас уже никто не переходит по странным баннерам, но почти шесть тысяч пользователей антивируса Касперского, попавшие под "сериальные" атаки, с тобой не согласятся.
Специалистами Лаборатории Касперского было установлено, что с 2019 года количество фишинговых атак, в которых упоминался стриминговый сервис Netflix, составило более 22 000.
Аналогичные атаки зафиксированы и с упоминанием онлайн-кинотеатров Hulu, Disney +, Apple TV Plus, Amazon Prime Video.
Злоумышленники создают рекламные ссылки и файлы, добавляя туда названия сервисов и сериалов. В частности, наиболее часто упоминаются "Мандалорец", "Ведьмак", "Очень странные дела", "Половое воспитание", "Оранжевый — хит сезона".
Прошедшего по ссылке пользователя обычно ждёт не онлайн-сервис, а троян, блокирующий данные, или программа-шпион, ворующая платёжные данные.
Как известно, спрос рождает предложение. Сидящий на удалёнке народ с радостью потребляет большое количество развлекательных шоу. Скачать сериал на халяву хочется многим, а, как известно, скупой платит дважды.
Ты можешь сказать, что сейчас уже никто не переходит по странным баннерам, но почти шесть тысяч пользователей антивируса Касперского, попавшие под "сериальные" атаки, с тобой не согласятся.
Kaspersky
Press Releases & News | Kaspersky
When it comes to disguising malicious files under the names of popular streaming platforms and their content, cybercriminals most frequently use Netflix and The Mandalorian (a Disney + original) as a lure.
Сегодня воскресенье, а значит не время говорить о серьезных вещах. Время гифок. Уверен, что в какой-то выходной точно так же подумали ребята из следующей истории.
В начале июля специалисты Cryptolaemus зафиксировали возобновление работы долгое время молчавшего ботнета Emotet. Проснувшийся зловред распространяется посредством рассылки писем-приманок с вложенными файлами MS Office, либо ссылками на них.
Жертва, скачавшая и открывшая файл не становится сразу заражённой. Для дальнейшей работы зловреда нужно, чтобы пользователь ответил утвердительно на запрос о включении макросов. И вот тогда, на машину жертвы загружается пейлоад ("полезная" нагрузка, осуществляющая дальнейшее развитие зловреда — установку программ, ворующих данные, майнеров, шифровальщиков и т.д.).
В основном, ссылки, которые рассылает Emotet, ведут на предварительно взломанные ресурсы на базе WordPress. Доступ к этим сайтам злоумышленники выстраивают через веб-шелл. И, как установили специалисты, при этом, всегда используют один и тот же пароль.
А вот теперь, сам курьёз. Анекдот. Хохма. Прибаутка. Я не знаю более подходящих слов к чувсву юмора этих товарищей, но...
Неизвестные хакеры смогли узнать этот пароль и начали подменять файлы загрузки гифками. Таким образом, жертвы Emotet не получают пейлоады на свои машины, а эффективность самого ботнета существенно снижается.
Пока нельзя сказать точно, кто именно стоит за этими "контратаками", но чувство юмора у него все-таки есть — одной из загруженных гифок оказался Хакермен из нашумевшего несколько лет назад короткометражного комедийного боевика "Kung Fury".
Возможно, таким комичным образом происходит передел рынка, в ходе которого работа одного из самых активных ботнетов 2019 года уже снизилась в четыре раза, а возможно, в дело вмешались хорошие парни, пожелавшие до поры оставаться неизвестными.
Так или иначе, шалость удалась.
В начале июля специалисты Cryptolaemus зафиксировали возобновление работы долгое время молчавшего ботнета Emotet. Проснувшийся зловред распространяется посредством рассылки писем-приманок с вложенными файлами MS Office, либо ссылками на них.
Жертва, скачавшая и открывшая файл не становится сразу заражённой. Для дальнейшей работы зловреда нужно, чтобы пользователь ответил утвердительно на запрос о включении макросов. И вот тогда, на машину жертвы загружается пейлоад ("полезная" нагрузка, осуществляющая дальнейшее развитие зловреда — установку программ, ворующих данные, майнеров, шифровальщиков и т.д.).
В основном, ссылки, которые рассылает Emotet, ведут на предварительно взломанные ресурсы на базе WordPress. Доступ к этим сайтам злоумышленники выстраивают через веб-шелл. И, как установили специалисты, при этом, всегда используют один и тот же пароль.
А вот теперь, сам курьёз. Анекдот. Хохма. Прибаутка. Я не знаю более подходящих слов к чувсву юмора этих товарищей, но...
Неизвестные хакеры смогли узнать этот пароль и начали подменять файлы загрузки гифками. Таким образом, жертвы Emotet не получают пейлоады на свои машины, а эффективность самого ботнета существенно снижается.
Пока нельзя сказать точно, кто именно стоит за этими "контратаками", но чувство юмора у него все-таки есть — одной из загруженных гифок оказался Хакермен из нашумевшего несколько лет назад короткометражного комедийного боевика "Kung Fury".
Возможно, таким комичным образом происходит передел рынка, в ходе которого работа одного из самых активных ботнетов 2019 года уже снизилась в четыре раза, а возможно, в дело вмешались хорошие парни, пожелавшие до поры оставаться неизвестными.
Так или иначе, шалость удалась.
ZDNET
Meet the white-hat group fighting Emotet, the world's most dangerous malware
A private group of 20+ security researchers and system administrators have been waging a silent war against Emotet, today's most dangerous malware operation.
Forwarded from Раньше всех. Ну почти.
ЦБ проводит проверку в Альфа-Банке, речь идет об утечках данных клиентов. Хакеры могли получать доступ к базе клиентских данных Альфа-банка, используя принципиально новый тип уязвимости — Readovka
T.Hunter
Сегодня воскресенье, а значит не время говорить о серьезных вещах. Время гифок. Уверен, что в какой-то выходной точно так же подумали ребята из следующей истории. В начале июля специалисты Cryptolaemus зафиксировали возобновление работы долгое время молчавшего…
Свежайшее чтиво от CheckPoint. Статистика, отчет, показатели, все как мы любим.
Пандемия несёт в себе не только ограничения, но и новые возможности. И не только для простых граждан, но и для хакеров.
Так вот, CheckPoint опубликовал полугодовой отчёт по трендам кибератак 2020, из которого видно, как режим изоляции сказался на распространении киберугроз.
Помимо махинаций с сервисами онлайн-оплаты, злоумышленники часто атакуют облачные среды, пользуясь ошибками в настройке серверов или пытаясь скомпрометировать самих провайдеров облачных сервисов. Примечательно, что делают они это сообща. Например, вымогатели проникают в сеть своих жертв через арендованные ботнеты. Глобализация во всей ее красе.
Выросло и количество атак на мобильные устройства.
В список лидеров вошли так же "атаки с трамплина". Такой тип используется, когда злоумышленник не может действовать успешно "в лоб" и ищет путь обхода. Например, компрометация внешнего сервиса, которым пользуется жертва, может помочь злоумышленнику попасть в её инфраструктуру.
В отчёте CheckPoint так же перечислены и самые активные в России зловреды. И первое место занимает атакованный гифками Emotet, который мы вспоминали на прошлых выходных. Далее идут: набор эксплойтов RigEK, майнер XMRig, RAT-троян, шпионящий за жертвой, Agent Tesla и виндовый червяк Phorpiex.
Этот отчёт в очередной раз показывает, что жизнь меняется очень динамично, а вместе с ней и способы кражи информации.
Пандемия несёт в себе не только ограничения, но и новые возможности. И не только для простых граждан, но и для хакеров.
Так вот, CheckPoint опубликовал полугодовой отчёт по трендам кибератак 2020, из которого видно, как режим изоляции сказался на распространении киберугроз.
Помимо махинаций с сервисами онлайн-оплаты, злоумышленники часто атакуют облачные среды, пользуясь ошибками в настройке серверов или пытаясь скомпрометировать самих провайдеров облачных сервисов. Примечательно, что делают они это сообща. Например, вымогатели проникают в сеть своих жертв через арендованные ботнеты. Глобализация во всей ее красе.
Выросло и количество атак на мобильные устройства.
В список лидеров вошли так же "атаки с трамплина". Такой тип используется, когда злоумышленник не может действовать успешно "в лоб" и ищет путь обхода. Например, компрометация внешнего сервиса, которым пользуется жертва, может помочь злоумышленнику попасть в её инфраструктуру.
В отчёте CheckPoint так же перечислены и самые активные в России зловреды. И первое место занимает атакованный гифками Emotet, который мы вспоминали на прошлых выходных. Далее идут: набор эксплойтов RigEK, майнер XMRig, RAT-троян, шпионящий за жертвой, Agent Tesla и виндовый червяк Phorpiex.
Этот отчёт в очередной раз показывает, что жизнь меняется очень динамично, а вместе с ней и способы кражи информации.
Checkpoint
Cyber Security Trends Mid-Year Report | Check Point Software
The new normal created cyber security challenges as the world shifted to working, and living online. Infrastructure changes to empower a remote workforce opened new arenas for threat actors. Read Cyber Security Trends: Mid-Year Report.
Пишут, что это вещь дня, правда вчерашего. Мультитул от "российкого техноэнтузиаста" для пентестеров.
Wylsacom
Вещь дня: «тамагочи для хакеров», созданный российским энтузиастом, взорвал Kickstarter
Российский техноэнтузиаст Павел Жовнер вместе со своими друзьями создал то, что он называет «тамагочи для хакеров».
Для тех, кто не расстается с мобильными телефонами, но и пентест тоже не забрасывает, полезный материал от моих коллег. Можно даже сказать, тьюториал. Но, разумеется, исключительно в образовательных целях.
Хабр
Kali Linux NetHunter на Android Ч.3: нарушение дистанции
Статьи из цикла Kali Linux NetHunter на Android: зачем и как установить Kali Linux NetHunter на Android Ч.2: атаки на беспроводные сети Kali...
Сегодня мы поговорим о вещах, которые касаются буквально каждого из нас. О загрузчиках операционных систем.
Как ты знаешь, процессу загрузки ОС на твоём компьютере предшествует запуск программы-загрузчика, которая и должна определить параметры загрузки операционки.
Одним из широко распространённых загрузчиков является GRUB, который стал таким распространенным благодаря возможности выбирать между загрузками разных ОС. GRUB умеет не только сам запускать ряд систем (Linux, BSD, Solaris), но и передавать "по цепочке" работу другим загрузчикам. Таким образом, ты мог заметить, что если поставить на одну машинку сначала винду, а потом, ещё и Linux, у тебя появится возможность выбрать операционку при загрузке. А вот, если сделать наоборот, загружаться будет только винда.
GRUB является довольно древней разработкой (выпущен в 1995 году). С тех пор его, конечно же, полностью переписали для достижения модульности и переносимости. Так появился GRUB 2.
И вот, 29 июля этого года компания Eclypsium рассказала об уязвимости, названной ими "Дырка в башмаке" (от одинакового написания слов "загружать"/to boot и "башмак"/boot).
Суть уязвимости, которой присвоен индекс CVE-2020-10713, состоит в том, что получивший админский доступ к системе злоумышленник может изменить конфигурационный файл grub.cfg таким образом, что при следующем запуске GRUB 2 столкнётся с переполнением буфера и загрузит скомпрометированную версию ОС, вместо ожидаемой.
Вместе с тем, поломанный GRUB 2 может спровоцировать проблемы и с виндовыми дистрибутивами, поскольку защитный механизм загрузки Secure Boot, проверяющий, можно ли доверять конкретной версии стороннего загрузчика (получен сертификат Microsoft или нет), не смотрит на содержимое grub.cfg.
Эта уязвимость навела довольно много шуму, несмотря на то, что злоумышленнику всё равно придётся сначала получать рутовые права в "чистой" операционке. Microsoft и линуксовые вендоры бросились разрабатывать патчи. И спешка уже привела к факапам, когда, например, дистрибутивы Red Hat перестали запускаться после применения патчей. Зато, попутно были найдены ещё около семи уязвимостей в GRUB 2.
Как ты знаешь, процессу загрузки ОС на твоём компьютере предшествует запуск программы-загрузчика, которая и должна определить параметры загрузки операционки.
Одним из широко распространённых загрузчиков является GRUB, который стал таким распространенным благодаря возможности выбирать между загрузками разных ОС. GRUB умеет не только сам запускать ряд систем (Linux, BSD, Solaris), но и передавать "по цепочке" работу другим загрузчикам. Таким образом, ты мог заметить, что если поставить на одну машинку сначала винду, а потом, ещё и Linux, у тебя появится возможность выбрать операционку при загрузке. А вот, если сделать наоборот, загружаться будет только винда.
GRUB является довольно древней разработкой (выпущен в 1995 году). С тех пор его, конечно же, полностью переписали для достижения модульности и переносимости. Так появился GRUB 2.
И вот, 29 июля этого года компания Eclypsium рассказала об уязвимости, названной ими "Дырка в башмаке" (от одинакового написания слов "загружать"/to boot и "башмак"/boot).
Суть уязвимости, которой присвоен индекс CVE-2020-10713, состоит в том, что получивший админский доступ к системе злоумышленник может изменить конфигурационный файл grub.cfg таким образом, что при следующем запуске GRUB 2 столкнётся с переполнением буфера и загрузит скомпрометированную версию ОС, вместо ожидаемой.
Вместе с тем, поломанный GRUB 2 может спровоцировать проблемы и с виндовыми дистрибутивами, поскольку защитный механизм загрузки Secure Boot, проверяющий, можно ли доверять конкретной версии стороннего загрузчика (получен сертификат Microsoft или нет), не смотрит на содержимое grub.cfg.
Эта уязвимость навела довольно много шуму, несмотря на то, что злоумышленнику всё равно придётся сначала получать рутовые права в "чистой" операционке. Microsoft и линуксовые вендоры бросились разрабатывать патчи. И спешка уже привела к факапам, когда, например, дистрибутивы Red Hat перестали запускаться после применения патчей. Зато, попутно были найдены ещё около семи уязвимостей в GRUB 2.
Eclypsium | Supply Chain Security for the Modern Enterprise
There's a Hole in the Boot - Eclypsium | Supply Chain Security for the Modern Enterprise
The BootHole vulnerability in the GRUB2 bootloader opens up Windows and Linux devices using Secure Boot to attack. The majority of laptops, desktops, servers and workstations are affected, as well as network appliances and other special purpose equipment
Как я уже много раз говорил, информационная безопасность не является узкой темой, доступной только крутым специалистам. Эта сфера касается абсолютно всех. И вот тебе ещё один пример.
Китай — страна со сложной культурой и идиологией. В этой стране проживают несколько миллионов католиков. Власти Китая, по историческим и политическим причинам, католиков недолюбливают. Поэтому, в Китае есть две католические церкви — Патриотическая (лояльная правительству) и "подземная" (лояльная исключительно Ватикану).
Многие десятилетия Китай занимается тем, что активно поддерживает Патриотическую церковь, пытаясь срастить её с коммунистической партией (где-то крутанулся вокруг своей оси Карл Маркс), и, в то же время, выискивает прихожан церкви подземной, считая их, по сути, иностранными агентами.
С 2018 года Китай и Ватикан договорились о "перемирии", условием которого является совместный отбор епископов для Патриотической церкви. В этом году срок действия соглашения истекает, поэтому на сентябрь назначена новая встреча по обсуждению и продлению сотрудничества.
Однако, как говорится в докладе Recorded Future, уже с мая внутренняя сеть Ватикана подвергалась атакам китайской прогосударственной группировки RedDelta. И, в итоге, атаки достигли своей цели, когда руководитель католической исследовательской (дипломатической) миссии в Гонгконге открыл электронные письма, тщательно замаскированные под сообщения из Ватикана.
Сразу после открытия вложенного документа Word руководитель миссии Хавьер Короне Эррера подцепил троян-шпион PlugX. Этот троян так же известен своей "паранойей". Во-первых, PlugX загружает себя на компьютер жертвы, только убедившись, что не попал на ханипот. Во-вторых, он старательно по нескольку раз затирает следы своей деятельности в системе. PlugX и ранее был замечен на службе у китайских хакеров.
По мнению специалистов, за то время, пока троян действовал незамеченным, он успел утащить достаточно информации о настоящих планах Ватикана по деятельности в Китае и сведения о прихожанах "подземной" церкви. Как именно Китай распорядится этой информацией скоро станет понятно.
Ватикан, кстати, уже подвергался хакерской атаке, когда были взломаны "умные" чётки. О них я тоже рассказывал. Так что даже в духовных вопросах информационная безопасность никуда не девается.
Китай — страна со сложной культурой и идиологией. В этой стране проживают несколько миллионов католиков. Власти Китая, по историческим и политическим причинам, католиков недолюбливают. Поэтому, в Китае есть две католические церкви — Патриотическая (лояльная правительству) и "подземная" (лояльная исключительно Ватикану).
Многие десятилетия Китай занимается тем, что активно поддерживает Патриотическую церковь, пытаясь срастить её с коммунистической партией (где-то крутанулся вокруг своей оси Карл Маркс), и, в то же время, выискивает прихожан церкви подземной, считая их, по сути, иностранными агентами.
С 2018 года Китай и Ватикан договорились о "перемирии", условием которого является совместный отбор епископов для Патриотической церкви. В этом году срок действия соглашения истекает, поэтому на сентябрь назначена новая встреча по обсуждению и продлению сотрудничества.
Однако, как говорится в докладе Recorded Future, уже с мая внутренняя сеть Ватикана подвергалась атакам китайской прогосударственной группировки RedDelta. И, в итоге, атаки достигли своей цели, когда руководитель католической исследовательской (дипломатической) миссии в Гонгконге открыл электронные письма, тщательно замаскированные под сообщения из Ватикана.
Сразу после открытия вложенного документа Word руководитель миссии Хавьер Короне Эррера подцепил троян-шпион PlugX. Этот троян так же известен своей "паранойей". Во-первых, PlugX загружает себя на компьютер жертвы, только убедившись, что не попал на ханипот. Во-вторых, он старательно по нескольку раз затирает следы своей деятельности в системе. PlugX и ранее был замечен на службе у китайских хакеров.
По мнению специалистов, за то время, пока троян действовал незамеченным, он успел утащить достаточно информации о настоящих планах Ватикана по деятельности в Китае и сведения о прихожанах "подземной" церкви. Как именно Китай распорядится этой информацией скоро станет понятно.
Ватикан, кстати, уже подвергался хакерской атаке, когда были взломаны "умные" чётки. О них я тоже рассказывал. Так что даже в духовных вопросах информационная безопасность никуда не девается.
СМИ пишут про базу голосовавших в электронном виде по поправкам в Конституцию. Важный дисклеймер дает Коммерсант, подрезали не все данные, а только паспортные данные. Вот и отдавай после этого гражданский долг по последнему слову техники (на самом деле никакому не последнему).
Коммерсантъ
База данных пошла на второй тур
Личная информация избирателей поступила к хакерам в обработку