Подсказка: настоящий Detalist обведен красным. @In4security

Картонные головы Гидры
Думаю, ни для кого в этом канале не является секретом, что немалая доля объявлений в даркнете и околохакерских сайтах – это чистой воды развод. И если форумы научились достаточно эффективно бороться с этим: используется система рейтингов, гарантов, да и вообще к новичкам там относятся с подозрением, то сайты типа Hydra – это просто клондайк для мошенников.

Каждый день в сети появляется как минимум десяток «зеркал» Hydra, как две капли воды похожих на оригинал. Эти ресурсы активно рекламируются, продвигаются, так что у новичка, решившего купить что-то запрещенное, есть все шансы попасть на подобный ресурс. Да, в общем-то и опытные пользователи вполне могут оказаться несколько не там, где планировали (особенно учитывая шизофренические адреса гидры).

Сайты-клоны берут всю информацию с настоящего ресурса, но вот платежные данные меняют на свои. Параллельно они сохраняют логины с паролями, отключают двухфакторную аутентификацию и проверяют баланс аккаунта.

Судя по количеству предложений таких фишинговых скриптов (средняя цена колеблется в районе 80-100$) и числу ежедневно появляющихся фейковых зеркал Hydra, «бизнес» идет достаточно бойко. Ну а что, не будут же покупатели наркоты обращаться в полицию… хотя… Открываем новости: «В апреле этого года в Астрахани мужчина пожаловался полицейским, что не может найти оплаченную им закладку».
@In4security

Adieu aux armes!

В штатах можно покупать оружие в интернет-магазине с доставкой на дом, неплохо, правда?

Ребятам из хакерской группировки Magecart это тоже понравилось, поэтому накануне черной пятницы они взломали сайт Smith & Wesson и разместили на нем ссылку на удаленный скрипт, похищавший данные банковских карт клиентов интернет-магазина.

Скрипт был весьма хитрым. Сперва он проверял IP-адрес потенциальной жертвы на предмет его соответствия IP-адресам американских провайдеров. Если адрес не соответствовал, то вредоносная часть скрипта не подгружалась. Оно и понятно, иностранцы вряд ли будут заказывать пушку по почте! Если же адрес был американским, скрипт дожидался перехода на платежную страницу и встраивал в нее вредоносный код, демонстрирующий покупателю фейковую платежную форму. Полученные сведения передавались на командный сервер злоумышленников по адресу: https://live.sequracdn.net/t/

Хакерам не откажешь в чувстве юмора, так как сервер назван в честь ИБ-компании Sanguine Security, а в качестве контактного лица при регистрации домена указан ее аналитик Willem de Groot.

Самое интересное, что еще сегодня утром скрипт продолжал висеть на сайте оружейников, а Smith & Wesson никак не отреагировала на информацию о выявленной угрозе. Что за отношение к покупателям? В общем, вы понимаете: только Калашников!
@In4security

ElasticLeak
Настоящий бич 2019 года – общедоступные незащищенные базы данных. Число подобных инцидентов исчисляется тысячами и конца им все не видно.

Такое ощущение, что компании борются за звание «Самая громкая утечка года», и американский телеком-оператор TrueDialog имеет все шансы войти в число лидеров, ведь в открытом доступе была обнаружена база Elasticsearch, содержащая несколько десятков миллионов SMS-сообщений американских абонентов, их номера телефонов, адреса электронной почты и незашифрованные (!), а также зашифрованные нестойкими алгоритмами пароли.

Данных было настолько много, что нашедшие их хактивисты даже не смогли точно посчитать количество скомпрометированных аккаунтов. Зато определить принадлежность базы было совсем несложно – в качестве host ID был указан: api.truedialog.com. В течение двух дней исследователи пытались достучаться до компании, но единственный результат, который они получили: база ушла в оффлайн.

TrueDialog сохраняет молчание и не признает факт утечки. Знакомая ситуация. Должно быть им просто не хочется оправдываться перед 990 своими партнерами – операторами сотовой связи.
@In4security

Обратите внимание на эти два сайта. Верхний предлагает нам скачать и установить VPN-клиент VPN Pro.

Нижний тоже предлагает скачать дистрибутив VPN Pro, только вот вместе с этим дистрибутивом мы получим в подарок аж два трояна: Vidar и CryptBot, обладающих функционалом RAT и стилера. Что важно, сам VPN-клиент тоже будет установлен – чтобы не вызывать лишних подозрений у жертвы.

Адрес фейкового сайта - https://intervpn.pro/. Доменное имя зарегистрировано в конце сентября этого года через голландского регистратора, а вот хостится все это дело в России.

Такие вот новогодние подарки для желающих обойти блокировки Роскомнадзора.
@In4security

All right!
Утечки информации иногда оборачиваются любопытными последствиями. После того, как в открытом доступе оказалась база данных неонацистского форума Iron March, сервис Airbnb заблокировал более 60 пользователей, адреса электронной почты которых «засветились» на ультраправом ресурсе.

Airbnb уже не первый раз вставляет палки в колеса неонацистам, ранее сервис уже блокировал учетки участников разных мероприятий ультраправых организаций, однако, нынешняя ситуация является отличной иллюстрацией использования публичной утечки данных для идентификации конкретной социо-идеологической группы людей.

Ну и на закуску занимательная статистика. Оказывается, неонацисты обычно предпочитают снимать жилье, нежели сдавать.
@In4security

Security.html not found (404)
Шереметьевский центр организации воздушного движения использует почтовый сервер на домене scovd.ru. Однако, Shodan говорит о том, что этот сервер используется не только для почты. Например, на нем висит ftp и… система видеонаблюдения от компании Hikvision, админка которой находится на раз-два-три и никак не защищена от брутфорса.

Но не нужно было даже ничего брутить: в лучших традициях информационной безопасности система видеонаблюдения была защищена дефолтным паролем, что давало возможность невозбранно наблюдать за работой диспетчеров.

Более того, стопкадры с камер вообще по факту лежали в открытом доступе и были доступны всем желающим, разве что гугл их не проиндексировал. Проблему исправили только после того, как толпы школьников (и не только) ломанулись смотреть реалити-шоу про людей, сосредоточенно вглядывающихся в экраны радаров.

Тем временем админы Центра упражняются в остроумии, используя весьма оригинальный вариант сообщения вебсервера об ошибках 403 и 404 (можете проверить сами, скажем, вот так: http://scovd.ru/404). Только вот данное сообщение скорее характеризует состояние информационной безопасности в Центре организации воздушного движения.

В общем, только поездом!
@In4security

Не думай о секундах свысока
Что можно сделать за 5-8 секунд? Как выяснилось, весьма многое. Например, продать или купить акции до того, как их курс изменится. Трейдеры готовы платить немалые деньги за инсайдерскую информацию для того, чтобы получить преимущество над конкурентами. А раз есть спрос, есть и предложение.

Так, выяснилось, что параллельно с видеотрансляциями пресс-конференций Bank of England, выходящими в эфир с небольшой задержкой, из зала велись еще и аудиотрансляции, опережающие видеопоток на те самые 5-8 секунд.

Нелегальный аудиострим был организован компанией-подрядчиком с использованием резервной трансляционной системы, установленной в банке на случай поломки основной. Предприимчивый подрядчик продавал доступ к трансляции трейдерам, готовым выложить от 2,5 до 5 тысяч фунтов за пресс-конференцию. И, судя по всему, такое секундное преимущество окупало все расходы.

Банк не может пока точно сказать, сколько пресс-конференций прошло в таком режиме, но клянётся, что доступ подрядчика к аудио системе заблокирован и такое больше не повторится.

А тем временем в сети обнаруживаются объявления о продаже подобного доступа к трансляциям других крупных финансовых учреждений.
@In4security

Your own… personal… data…
Никогда не знаешь, где всплывут твои персональные данные. Для этого даже не надо оставлять их на фишинговом сайте. Достаточно быть, скажем, клиентом сети маникюрных салонов «Пальчики». Сегодня информация о 110 тысячах их посетителей оказалась в сети.

В базе содержатся: ФИО, дата рождения, мобильный телефон и адрес электронной почты – стандартный, но вполне ценный для социального инженера набор. Располагая такими данными, можно, к примеру, провернуть аферу с перевыпуском сим-карты.

Самое печальное, что люди, данные которых попали в сеть, скорее всего даже не узнают о факте утечки, а будут лишь удивляться возросшему числу звонков всевозможных спамеров и мнимых сотрудников безопасности банков.
@In4security

Тот случай, когда одни мошенники предупреждают об угрозе со стороны других мошенников. Фото счастливого покупателя паспорта Николая гуляет по сети уже не один год. Есть даже страница ВКонтакте с этим фото, правда там указано имя Иван Голицын: https://vk.com/i.golitsin.

Другие фотографии счастливых клиентов подобраны похожим образом.
@In4security

Перед новым годом утечки следуют одна за другой.

На одном российском форуме сегодня выставили на продажу полный доступ к серверу литовского интернет-провайдера Progmera (http://progmera.lt/).

В качестве доказательств приложены скриншоты базы абонентов и файловой структуры сервера.

Не завидуем провайдеру, ведь у них действует GDPR, а это отнюдь не 152ФЗ, санкции за утечки персональных данных более чем внушительные.
@In4security

Сегодня все цитируют новость от «Коммерсанта» о том, что требование об обязательной идентификации пользователей мессенджеров спровоцировало рост сервисов анонимной верификации. Разберемся, почему это не так: https://telegra.ph/Verificiruj-ehto-12-20

Условный хакер
Что делать, если ты хочешь быть крутым хакером, но ничего толкового сделать не можешь? Притворяться крутым хакером. Таких личностей предостаточно на любом форуме околохакерской тематики: пара скриптов, Shodan… и вот ты уже чувствуешь себя героем сериала «Мистер Робот».

Однако, 22-летний британец Керем Альбайрак поступил еще проще – он снял видео, в котором утверждал, что получил доступ к 319 миллионам аккаунтов ICloud. В размещенном на YouTube ролике гордый хакер продемонстрировал вход аж… в два аккаунта и потребовал от компании Apple выкуп в размере 75 тысяч долларов в криптовалюте или подарочными картами iTunes, обещая в противном случае продать данные на черном рынке. Спустя некоторое время он увеличил сумму выкупа до 100 тысяч долларов и пообещал в случае невыполнения обнулить учетные записи.

Естественно, Apple не стала спускать данную ситуацию на тормозах и вскоре Альбайрак был задержан британской полицией прямо у себя дома.

В ходе обыска выяснилось, что герой повествования был участником хакерской группы «Turkish Crime Family», выступая в качестве ее официального представителя. Анализ переписки показал, что молодой человек уверял других участников группы в том, что вероятность успеха его атаки составляет 99.9%, а даже если она и не получится, то это все равно привлечет внимание прессы и станет отличным пиар-ходом.

На допросе несостоявшийся хакер заявил, что решил стать хакером потому, что это круто – это дает тебе власть над интернетом, славу и уважение.

А что же в итоге со взломом Apple? Его попросту не было. Полиция не нашла никаких признаков вторжения в инфраструктуру организации. Доказаны лишь два эпизода неправомерного доступа к учетным записям, которые Альбайрак совершил, использовав пароли из базы публичных утечек.

Судья оценил этот «условный взлом Apple» и приговорил нашего героя к двум годам условно и 300 часам обязательных работ.
@Infosecurity

Я знаю, что вы загружали в сеть прошлым летом.
В открытом доступе появилась подборка из 9000 логинов-паролей от учеток созданного Китом Доткомом новозеландского файлообменника mega.nz.

Пароли собраны различными троянами-стилерами с компьютеров незадачливых пользователей и отфильтрованы в тематическую выборку.

Утечка примечательна тем, что Mega нередко используется для размещения различной информации сомнительного характера: в том числе краденных баз данных и т.д., а анализ учеток позволяет получить, например, историю загрузки файлов и адрес электронной почты владельца. Ну или вовсе использовать чужие аккаунты для размещения откровенно противоправного контента от чужого имени.

В общем, для тех, кто занимается OSINT, это явно полезная находка.
@In4security

Недавно мы писали о том, что сервер видеонаблюдения Шереметьевского узла управления воздушным движением был защищен дефолтным паролем, что привело к утечке фотографий и видеозаписей из системы. Однако, на этой неделе случилось куда более любопытное происшествие: неизвестные взломали систему видеонаблюдения тайской тюрьмы Лан Суан и запустили прямую трансляцию в YouTube.

В течение нескольких часов пользователи видеосервиса могли наблюдать за происходящим в переполненных камерах. Кстати, пользователь Big Brother’s Gaze, запустивший трансляцию, уже выкладывал на YouTube видео из российских, австралийских и американских тюрем.

Тайские власти распорядились отключить в тюрьме видеонаблюдение и провести расследование. Пока известно лишь то, что атака была осуществлена из-за пределов Таиланда.

Поможем же тайской полиции и объясним, как это произошло: сервер видеонаблюдения был найден через Shodan, а логин и пароль на нем были установлены: admin – admin.
@In4security

Last Christmas I gave You... my phone
Правительство Великобритании задумало поздравить заслуженных подданных с новым годом. С этой целью был сформирован список из 1097 фамилий, который... по ошибке оказался в свободном доступе в интернете.

В списке можно найти телефоны и адреса высокопоставленных сотрудников минобороны, бойцов контртеррористической подразделений, политиков и правительственных чиновников, а также огромного числа знаменитостей, включая, скажем, Элтона Джона.

Документ провисел онлайн почти двое суток. Сложно сказать, сколько людей успели его скачать, но до него добрались даже журналисты.

В общем, если захотите отправить открытку сэру Элтону, мы знаем, как это сделать!
@In4security

Иранский вопрос
Обострение отношений между США и Ираном вызвало всплеск активности разнообразных хактивистов.
В минувшие выходные были дефейснуты сайты Техасского департамента сельского хозяйства, федеральной библиотечной программы и совета ветеранов Алабамы. Сами по себе атаки весьма непоследовательны и осуществляются по принципу «взломать хоть кого-то» - хактивисты ищут явно уязвимые сайты и серверы, которые легко сбрутить.
Любопытно, что американское агентство по кибербезопасности публично заявляет, что у них нет свидетельств того, что данные атаки были осуществлены спонсируемыми Ираном хакерскими группировками (ну это же не русские хакеры, когда сходу все ясно).
На этом фоне обострилась борьба и в информационном пространстве. Вчера вечером в твиттере Национального информагентства Кувейта появилось сообщение о том, что их аккаунт был взломан, а ранее размещавшаяся информация о спешном выводе американских войск из страны не является достоверной.
@In4security

Маленький привет админу
Если поискать в гугле txt-файлы со словом hacked, можно найти массу примеров взломанных сайтов с «приветом» от различных хакеров. Как правило, это результат нецелевых взломов, однако, эти инциденты могут иметь весьма серьезные последствия.

Вот, например, сайт отеля, на котором лежит файл с текстом: HACKED BY R4PTOR-TuRKHaCKS.CoM.

А вот сайт агентства недвижимости. На нем размещен текст: HACKED BY Psych03.

Мы сегодня уже писали об иранских хакерах, но вот вам еще пример из гугла: http://www.nfca.org.tw/ckfinder/userfiles/files/hacked.txt - сайт тайваньской организации с файлом, содержащим текст: «hacked by saeed azarakhsh azarakhsh-team.ir».

Эта иранская хакерская группа вообще любит дефейсы сайтов и тайные послания админам. Досталось даже латиноамериканскому производителю софта для торговых сетей: http://www.mrcomanda.com/ir.html.

Как вы понимаете, параллельно с размещением такого файла злоумышленники могут закинуть на скомпрометированный ресурс массу других сюрпризов: тот же шелл или загрузчик трояна, так что оставлять без внимания такие инциденты явно не стоит.
@In4security

Каждому малоимущему по бекдору!

В США действует программа обеспечения малоимущих граждан недорогими смартфонами. Одним из устройств, продаваемых мобильным оператором Assurance Wireless в рамках данной программы является Unimax U686CL.

Казалось бы, ничем не примечательный Android-телефон. Только вот вместе со смартфоном покупатель получает в подарок целых два зашитых в прошивку трояна.

Первый – бекдор Adups malware - скрывается в приложении Wireless Update и позволяет получать по воздуху обновления прошивки без уведомления пользователя и в обход производителя мобильного устройства. Кроме того, также без ведома пользователя вредоносная программа может дистанционно устанавливать любые приложения. Согласитесь, отличная функция, особенно для спецслужб.

Второй – хорошо обфусцированный троян-дроппер предположительно китайского происхождения, скрывающийся в системном приложении Settings app, умеет загружать хорошо известное рекламное приложение HiddenAds.

Это далеко не первый случай, когда в прошивке китайских телефонов оказываются трояны, однако, раньше речь шла в основном о рекламных или банковских вредоносных программах, интересных в первую очередь злоумышленникам, в то время как возможности, предоставляемые Adups malware весьма иполезны различным силовым ведомствам.

С учетом особенностей производства современной высокотехнологичной техники сложно сказать, на каком этапе производства в прошивке телефона появились эти вредоносные программы. Более того, вполне вероятна ситуация, что эти два трояна оказались в одном смартфоне по независящим друг от друга причинам: грубо говоря, одного внедрил один подрядчик, другого – кто-то еще. Об этом может свидетельствовать тот факт, что функционал Adups в полной мере перекрывает возможности второго обнаруженного трояна-дроппера, в связи с чем одновременное нахождение на телефоне этих двух программ не имеет практического смысла.
@in4security

Микрокредит с последствиями
Сегодня на дубликате появилось объявление о продаже данных 200 тысяч человек,  
оформлявших заявки на микрозайм в прошлом году. В базе содержатся ФИО, дата  
рождения, прописка, паспортные данные и адрес электронной почты. Стоимость  
базы – 200 тысяч рублей.
Объявление размещено пользователем с ником Swan777, который является весьма  
интересной личностью.  
Например, три года назад он попробовал заработать на скрипте OpenLoan –
фейковом сайте МФО, работающем по следующей схеме:
1. Клиент переходит на ваш сайт в поисках кредита
2. Заполняет заявку на займ
3. Перед ним появляется таймер принятия решения. В этот момент его заявка улетает  
в десятки МФО для продажи.
4. Клиент получает смс о предвариетльном одобрении.
5. Клиент заходит в ЛК, выбирает сумму и оформляет способ выплаты займа.
6. Перед ним появляется сообщение о необходимости активации займа.
7. Клиент платит сумму,к торую вы установите в админке.
8. После активации займа появляется список контор МФО, которые возможно ему дадут  
займ.
Понятное дело, что для того, чтобы заработать на таком сайте, его надо  
раскручивать, поэтому примерно в то же время наш герой искал скрипт для  
рассылки спама, а также людей, способных нагнать трафик на сайт. Но, судя по  
всему, не взлетело.
Параллельно он пытался заработать на фейковых сайтах по продаже билетов в кино  
или театр, а также на сдаче в почасовую аренду «секс-комнат» для посетителей  
сайтов знакомств. Естественно никаких комнат не было, а все было чистой воды  
мошенничеством.
Перепробовав еще с десяток видов мошенничеств, в итоге Swan777 сосредоточился  
на получении микрозаймов на чужое имя и 2 года назад даже искал дроповода,  
работающего по микрофинансовым организациям.
Исходя из этого можно предположить, что продаваемая база была получена именно  
благодаря фейковым сайтам-агрегаторам заявок на получение микрокредитов. Ведь  
зачем красть персональные данные, если люди охотно предоставят их сами?
@In4security