Хакеры взломали более 1000 интернет-магазинов на движке Magento. Они не только украли платежные данные пользователей, но и установили скрипты для майнинга криптовалют.

@XAKEPCTBO_CHANNEL

​​Zeus — троян, к работе которого причастны более 100 человек

Продолжаем знакомиться с самыми известными вирусами в истории компьютеров.

Zeus — троян, ставший оружием в руках мошенников. Впервые был обнаружен в 2007 году.

Распространялся троян через социальные сети (порядка 1,5 миллионов фото-постов в Facebook, которые редиректились на сайт с трояном) и через электронную почту. После заражения, внедрялся в систему и сканировал ее на наличие информации регистрационного типа (логины и пароли). Таким образом злоумышленники получали возможность подключиться к банковским аккаунтам своих жертв и проводить операции по переводу денег. Средства переводились на другие «зараженные» аккаунт или на подставные счета, что осложняло процесс отслеживания цепочки злоумышленником.

Некоторые версии Zeus маскировались, используя цифровую подпись Kaspersky Lab, которая вследствие изучения была признана поддельной. Также большей распространенности служило то, что троян мог инфицировать не только компьютеры под управлением Windows, но и мобильные устройства с ОС BlackBerry или Android.

В 2010 году, 1 октября, ФБР заявило о проведении одной из самых масштабных операций по поимке преступников, которые были причастны к краже порядка 70 миллионов долларов со счетов жертв трояна Zeus. Было арестовано около 100 человек: 90 в США, остальные в Великобритании и Украине

↪️ @XAKEPCTBO\_CHANNEL

Повышаем мощность ноутбука

Автор показывает, как ускорить работу ноутбука при помощи оптимизации Windows и железа. Рекомендуем прислушаться к советам!

#ОтПодписчика

↪️ @XAKEPCTBO_CHANNEL

В интернете есть замечательная игра XSS Game. В ней начинающим и опытным хакерам предлагается произвести 6 XSS-атак в «эмуляторе браузера». Осилите? https://xss-game.appspot.com/

@XAKEPCTBO_CHANNEL

Мое путешествие началось год назад, когда заебала рутинная работа «принеси подай, иди нахуй не мешай» и я сорвался. Моих сбережений едва хватило на давнюю мечту «путешествие во Вьетнам». Через 2 недели деньги иссякли и я начал подрабатывать копирайтером. Знакомый, с которым я снимал бунгало был мягко говоря удивлён этому порыву и посоветовал канал @grand_online
Ознакомившись с деятельностью автора, я решил поиграть по последней опубликованной схеме. В итоге просидел всю ночь над телефоном т.к. выигрыш был больше 10 000 рублей и я не верил что их выведут. С рассветом, я увидел СМС оповещение, что на моем счету +10 563 рубля и лег спать. Рыбачить ради денег я после этого перестал 

📜Что такое XSS атака и чем она опасна?

В Википедии дано такое описание:

XSS (англ. Cross-Site Scripting — «межсайтовый скриптинг») — тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника.

Это одно из самых распространенных уязвимостей в web-приложениях.

XSS уязвимость позволяет хакерам внедрить вредоносный код на страницу и отправить его обратно в браузер пользователя, где этот код будет выполнен.

XSS очень опасен: хакеры могут похитить учетные данные администраторов сайтов и захватить над ними контроль.

Злоумышленники используют уязвимость в четырех целях:

• Изменение настроек;
• Кража cookie-файлов;
• Размещение рекламы с вирусами;
• Хищение токенов форм для проведения CSRF атак.

Есть 5 правил защиты сайтов от XSS атак:

1. Защита функцией htmlspecialchars().
Данная функция преобразует переданный ей аргумент в HTML-сущности, причем происходит преобразование именно тех символов, которые являются потенциально небезопасными.

2. Защита функцией striptags().
В отличие от htmlspecialchars() данная функция удаляет из строки аргумента только сами теги, причем второй аргумент служит для указания исключений, которые не нужно удалять.

3. BB-коды.
Пропуск только определенных тегов, иногда совсем в иной форме, чем позволяют стандарты HTML

4. Регулярные выражения.
Кто-то регулярки любит, кто-то нет, а кто-то даже предпочитает написать свою собственную, через которую не проходят потенциально опасные символы или теги. Удобно в случае исключения аргументов из внедряемого тега без изменения HTML-сущности оставшейся части.

5. Самописные функции.
Всевозможные рекурсивные парсеры строк, которые очень гибко борются с XSS, также довольно популярны. Хотя в самописных функциях гораздо чаще можно найти какую-либо уязвимость.

↪️ @XAKEPCTBO\_CHANNEL

​​Коди Кретсингер — хакер, взломавший PlayStation

Коди Кретсингер — член хакерской группировки LulzSec. Он признал свою вину за взлом Sony Playstation в 2011 году. Кретсингер получил доступ к персональным данным 77 млн пользователей, из-за его атаки компания Sony Playstation вынуждена была приостановить работу сети на 24 дня.

Саму группировку LulzSec нередко критикуют за отсутствие мотивации своих действий: хакеры должны быть людьми идейными, а не заниматься просто демонстрацией собственных навыков. На счету LulzSec взломы таких компаний, как Mantech International, Sony, Nintendo и других.

Утешает, что ни один из участников LulzSec не воспользовался своими навыками с целью финансового мошенничества. Коди Кретсингер отбыл год в заключении, а личности других его «коллег» до сих пор не установлены.

↪️ @XAKEPCTBO\_CHANNEL

Будьте бдительны: в антивирусном приложении Naver Defender обнаружен троян KevDroid. задача малвари – похищение данных с зараженных устройств, включая список контактов и сообщения.

@XAKEPCTBO_CHANNEL

💻Чем опасен переход по коротким ссылкам?

Каждый раз когда вы переходите по ссылке от неизвестного вам человека, задумывались ли вы о всей опасности того что вы сделали?

Переходя по ссылке вы можете не подозревать, но на вашем устройстве после перехода могут находится вредоносные программы а ваши персональные данные могут быть похищены.

Вот чем опасны переходы по ссылкам:

• Хакер может украсть логины и пароли от социальных сетей;

• Может узнать ваш IP адрес;

• Подгрузить вирус используя exploit pack.

Чаще всего через рассылку ссылок производятся XSS атаки. Хакер подсовывает жертвам вредоносный скрипт, а чтобы он ничего не заподозрил, сокращает ссылку при помощи специальных сервисов.

Проверить, куда ведет сокращенная ссылка, можно через сайты-дешифраторы. Один из них: longurl.info. В поле нужно вставить короткую ссылку и нажать на кнопку «Раскрыть ссылку». Сервис покажет, куда именно ведет короткий адрес.

↪️ @XAKEPCTBO\_CHANNEL

🌐Защита от прослушки и взлома. Часть 1

1. Используйте надёжные пароли.
Рекомендуется использовать в пароле сочетание букв в разных регистрах, специальных символов и цифр. Ещё лучше, чтобы пароль был длиннее 16 знаков (F@DDM>RdwR1443Nc0Wpl1c4^4C). Чтобы подобрать такой пароль, злоумышленникам, владеющим современными программными средствами, понадобится больше 200 лет.

2. Зашифруйте свои данные.
Вы можете зашифровать информацию на жёстких дисках и съёмных носителях. Это будет полезным в случае, если посторонние отберут у вас компьютер или снимут с него жесткий диск. Без ввода специального пароля они не смогут прочитать содержимое дисков. Вся информация на диске для них будет выглядеть как абракадабра.

3. Зашифруйте свою электронную почту.
Для шифрования писем в электронной почте нужно воспользоваться технологией PGP, которая шифрует сообщения перед отправкой и позволяет их прочитать только владельцу специального пароля. Даже если ваше письмо перехватят, то прочитать его содержимое посторонним будет невозможно. Полученный текст для них будет выглядеть как абракадабра.

4. Установите дополнительную защиту от несанкционированного входа в ваши аккаунты.
Для этого понадобится включить — там, где это возможно — двухфакторную аутентификацию. Это дополнительная защита аккаунтов в соцсетях, мессенджерах, электронной почте, Apple, Google и т.п.

5. Сохраняйте анонимность в сети.
Для этого вам придётся использовать VPN (Virtual Private Network, виртуальная частная сеть). Эта технология позволяет заходить на интернет-ресурсы якобы из других стран, никто не узнает о вашем настоящем местоположении. Это важно, если вы хотите сохранить местонахождение в тайне или воспользоваться сервисом, доступным только в определённой стране. Это пригодится, если вы решили из-за границы совершить операцию в российском банке или подключиться к сервису для просмотра сериалов Netflix из России.

↪️@XAKEPCTBO_CHANNEL

🌐Защита от прослушки и взлома. Часть 2

6. Используйте удалённые (облачные) хранилища данных.
В случае утраты какого-либо из устройств вы не потеряете информацию.
Хранилище Google Drive привязано к вашему Google-аккаунту. На нём можно установить двухфакторную аутентификацию и посмотреть журнал посещений и включить оповещения о входе с неизвестных устройств. Google Drive сам не шифрует данные. Для этого потребуются сторонние сервисы — например, Boxcryptor или VeraCrypt.

7. Вводите важную информацию только на сайтах с защищённым соединением.
Любую информацию — от ввода логина и пароля до номера банковской карты и вашей фамилии — стоит отправлять только с ресурсов, где включён HTTPS. Это зашифрованный способ передачи информации. От обычного протокола HTTP он отличается тем, что любые данные, которые вы отправляете на сайт шифруются и недоступны для перехвата.

8. Минимизируйте возможность подсмотреть за вами и подслушать вас.
Злоумышленники или спецслужбы, используя специальное программное обеспечение и уязвимости вашего софта, могут подключиться к микрофону и камере вашего компьютера, телефона или планшета. Веб-камеру на ноутбуке можно закрыть и заклеить. Выломать микрофон нельзя, поэтому важные разговоры лучше всего вести при выключенном устройстве. Чтобы ваше местонахождение сложнее было выявить, отключите сервисы геолокации на смартфоне. Кроме того, вы можете перевести его в авиарежим или вообще выключить.

9. Следите за тем, кто и когда заходил в ваш аккаунт.
Соцсети, почтовые сервисы и мессенджеры умеют сообщать пользователям о всех фактах входа в их аккаунты. Например, если у вас есть приложение «ВКонтакте» на смартфоне, то сообщения о входе в ваш аккаунт будут приходить автоматически. В Facebook и Google эту опцию нужно настроить.
Если автоматических оповещений нет, то обычно в настройках своего аккаунта можно посмотреть список последних сессий (входов в ваш аккаунт) и завершить их, если есть подозрительные. Такой журнал посещений есть и в Facebook, и во «ВКонтакте», и в GMail, и в мессенджере Telegram.

10. Соблюдайте правила информационной гигиены.
Для совершения важных операций (финансовые транзакции, покупка билетов и т.п.) нужно использовать компьютер, в защищённости которого вы уверены. Лучше не использовать чужое устройство. Помните, что компьютер, которым вы пользуетесь на работе, принадлежит не вам, а вашему работодателю.
На вашем компьютере должно быть лицензионное программное обеспечение, в том числе операционные системы. На пиратских копиях может находиться вредоносный и шпионский софт. Если вы не хотите покупать лицензионные программы, можно воспользоваться бесплатными аналогами. Хотя перед скачиванием лучше всего проверить, что пишут об их безопасности на уважаемых IT-ресурсах (CNews, Geektimes, VC) и в «Википедии».

↪️@XAKEPCTBO_CHANNEL

👨‍💻Кевин Митник — путь от хакера до эксперта по компьютерной безопасности

Американец Кевин Митник — наверное, самый известный в мире хакер, во многом благодаря склонности к эксцентричному поведению, которого от него и ожидала праздная публика. Во время своего ареста в 1995 году Митник безапелляционно заявил, что ему достаточно посвистеть в трубку уличного телефона-автомата, чтобы развязать ядерную войну.

В действительности, конечно, ничего подобного он сделать не мог, поскольку, пусть и действительно взломал множество защищённых сетей, но использовал для этого вовсе не какие-то гениальные программы и сверхъестественные коды, а банальные методы социальной инженерии — проще говоря, человеческий фактор. Митник применял не столько какие-то технические навыки, сколько знание психологии и манипулировал людьми, заставляя их выдавать свои пароли.

Практиковаться во взломе различных систем Митник начал с детства. Известно, что в 12-летнем возрасте он нашёл способ подделки автобусных билетов, который позволял бесплатно перемещаться по всему городу. Затем он «перехватил» управление системой голосовой связи в местной закусочной «МакАвто», чтобы говорить посетителям всякие гадости.

В шестнадцать лет Митник взломал сеть фирмы Digital Equipment Corporation и похитил размещённое там программное обеспечение: это стоило ему года в заключении и трёх лет под надзором полиции. Именно в это время он влез в систему голосовой почты Pacific Bell и после того, как был выписан ордер на его арест, пустился в бега.

В 1999 году поймавшие Митника агенты ФБР утверждали, что при нём были фальшивые документы и мобильные телефоны с «клонированными» номерами. В итоге его обвинили во взломе нескольких компьютерных и телефонных сетей и приговорили к 46 месяцам заключения плюс 22 месяца за нарушение условий условного освобождения; при этом шутка про ядерную войну обошлась ему в восемь месяцев в «одиночке».

Кевин Митник вышел из тюрьмы в 2003 году и с тех пор написал несколько книг о своих хакерских достижениях. В 2000-м вышел фильм «Взлом» (Track Down) на основе его биографии, написанной Цутому Симомурой и Джоном Маркоффом, причём Симомура был экспертом по компьютерным системам, чей компьютер был взломан Митником. Сегодня Митнику 49 лет, и он управляет собственной компанией по компьютерной безопасности.

↪️@XAKEPCTBO_CHANNEL

​​❗️ОН  В Е Р Н У Л С Я❗️
Всем известный хакер - меценат "Robin" теперь взялся за казино. БЕСПЛАТНО РАЗДАЕТ ДЕНЬГИ И СХЕМЫ обхода алгоритмов вулкана!!!
Имея всего 200-500 рублей люди поднимают десятки тысяч!!!🔥Подписывайтесь на его канал по секретной ссылке👇
https://t.me/joinchat/AAAAAEogFlYJe8QDPWvA-A

Самые громкие хакерские атаки

Автор рассказывает о пяти самых громких хакерских атаках в истории. Интересно и познавательно!

↪️ @XAKEPCTBO_CHANNEL

​​​​❗️ОН  В Е Р Н У Л С Я❗️
Всем известный хакер - меценат "Robin" теперь взялся за казино. БЕСПЛАТНО РАЗДАЕТ ДЕНЬГИ И СХЕМЫ обхода алгоритмов вулкана!!!
Имея всего 200-500 рублей люди поднимают десятки тысяч!!!🔥Подписывайтесь на его канал по секретной ссылке👇
https://t.me/joinchat/AAAAAEogFlYJe8QDPWvA-A

💻Десяток фактов о компании Kingston

17 октября 1987 года была создана компания Kingston — сегодня ей 30 лет! Если вы не слышали об этой компании, посмотрите на флешку смартфона, USB-накопитель или жесткий диск компьютера — их наверняка сделала именно эта компания.

По этому случаю предлагаем вам ознакомиться с 10 фактами о Kingston. Ее история полна неожиданностей, и кажется неплохим сюжетом для фильма!

• Kingston Technology была создана 17 октября 1987 года предпринимателем Джоном Ту и инженером Дэвидом Саном. Название дано в честь музыкальной группы Kingston Trio, песни которой обожает Джон Ту;

• Джон выплескивает свою любовь к музыки даже в бизнес. В 2010 году Kingston Technology выпустила «флэшку» This is it, названную в честь несостоявшегося тура Майкла Джексона. На ней был установлен Windows Media Player и записан документальный фильм о жизни исполнителя;

• Самое интересное, что Джон Ту играет на ударных инструментах в группе JT&California Dreamin;

• В первые годы существования компании, Ту и Сан продавали созданные ими накопители прямо в гараже за наличные;

• Чтобы провести переговоры с первым клиентом, не имевшие денег Джон и Дэвид сняли небольшой офис на несколько дней. Роль обслуживающего персонала досталась друзьям и знакомым

• Символ компании – красная голова Red Head. Она появилась после рекламной кампании 1989 года под лозунгом «Улучши свою память», в которой было использовано изображение рук, устанавливающих в голову планки памяти. Свой современный вид Голова приобрела в 1992 году;

• Главы компании работают в одном помещении с обычными сотрудниками. На столе каждого работника стоит табличка с надписью «Член семьи Kingston» с указанием года начала работы;

• Kingston Technology — крупнейшая в мире частная компания по производству компьютерной техники. Она входит в Forbes-ТОП100 крупнейших частных компаний США, а ее основатели — в сотню богатейших людей США;

• Оперативная память, собранная на заводах Kingston, установлена практически в каждый второй компьютер или ноутбук в мире. Дело в том, что на этих заводах собираются и планки памяти по заказу других производителей;

• В 2012 году Kingston Technology представила первую в мире USB-флешку объёмом в 1 ТБ, а в 2017 году увеличила объем до 2ТБ.

↪️ @XAKEPCTBO\_CHANNEL

Программист создал графический браузер Texttop работающий... в терминале. Установить его можно введя docker run —rm -it tombh/texttop sh`
и запустив run*точка*sh.

@XAKEPCTBO_CHANNEL

Всё в нашей жизни имеет уязвимости: государство, человек, программный код и т.д.
Вопрос всегда один: «Как на этом могу заработать Я?»
Изучая новые алгоритмы, теорию вероятности, а так же шахматные комбинации, можно найти слабые стороны во всем и пользоваться ими.
На канале @grand_online публикуется детальная информация о том, как можно иметь деньги в сети «легально» и за короткие сроки.

Полезные Linux-команды для новичков

Операционная система Linux позволяет проделывать операции, которые недоступны на Windows. Систему используют не только системные администрации, разработчики программ и хакеры, но и обычные пользователи.

Если вы хотите начать пользоваться Linux, рекомендуем вам ознакомиться с командами для терминала, которые облегчат вам работу.

http://telegra.ph/Poleznye-Linux-komandy-dlya-novichkov-09-15

↪️@XAKEPCTBO_CHANNEL

📲Cloak & Dagger. Как хакеры обманывают пользователей Android?

Чтобы обмануть пользователя и заставить его установить приложение с вирусом, хакеры часто используют службу Accessibility Service. Она появилась в Android 1.6 и нужна для работы функций для людей с ограниченными возможностями.

При помощи этой службы злоумышленники выводят на экран жертвы фальшивое сообщение о доступности обновления для какого-либо приложения. На самом деле под этим сообщением скрывается запрос на установку вирусного приложения, но пользователь этого не видит.

Эта техника обмана называется Cloak & Dagger («Плащ и кинжал»). Исследовательская группа Palo Alto Networks считает, что кнопку установки вредоносного приложения можно скрыть под любыми уведомлениями.

Всем владельцам смартфонов и планшетов с Android ниже версии 8.0 Oreo рекомендуется быть внимательными и не нажимать на подозрительные кнопки.

↪️@XAKEPCTBO_CHANNEL