​​Как хакеры воруют данные карт через Netflix и Captcha

Злоумышленники используют новый метод обхода средств контроля безопасности электронной почты для кражи данных кредитных карт.  Сценарий очень простой: жертва получает финишнговое письмо, якобы от техподдержки Netflix, с уведомлением о неудачном платеже и просьбой обновить данные карты.

Однако, если в обычном случае, почтовый сервис распознал бы ссылку на подобный сайт в письме и принял его за угрозу, то в этот раз злоумышленники, в качестве первого звена цепочки переадресаций использовали легитимную страницу CAPTCHA, которая не признается вредоносной, а дальнейшая переадресация для почтового бота невозможна, так как необходимо пройти капчу 🤷.

После ввода капчи жертва переправляется на фишинговую страницу с запросом данных платежной карты, далее все заканчивается сообщением об «успехе».

Эксплойт / #безопасность

​​Как защититься от скрытого майнинга в браузере

Некоторые сайты, в качестве дополнительного способа монетизации, устанавливают скрытые майнеры, которые добывают владельцам криптовалюту, за счет компьютеров посетителей.

Чтобы проверить, уязвим ли ваш браузер к подобного рода атакам можно воспользоваться сайтом https://cryptojackingtest.com/. Сайт запустит аналог скрытого майнара, а затем покажет, удалась ли его эксплуатация в вашем браузере.

Чтобы защититься от нежелательного майнинга используйте специальное расширение AntiMiner для Сhrome или Crypto Mining Blocker для Firefox. В последних версиях браузера Opera такая функция присутствует по умолчанию. Также с этой задачей могут справиться и некоторые блокировщики рекламы.

Эксплойт / #безопасность

​​В Firefox теперь можно экспортировать сохраненные пароли

В новой версии Firefox 79 появилась функция экспорта сохраненных логинов и паролей для авторизации на сайтах. Данные сохраняются в файл CSV, который затем можно импортировать в другие менеджеры паролей или использовать как резервную копию.

Чтобы экспортировать пароли, зайдите во встроенный менеджер паролей Lockwise, а затем выберите «Export Logins» в меню, которое находится в правом верхнем углу.

Скачать обновление можно с официального FTP сервера Mozilla, а чтобы обновиться автоматически, перейдите в «Параметры» -> «Справка» -> «О Firefox», и браузер сам установит новую версию.

Эксплойт / #полезно

​​Хакеры взломали военных США через Word-документы

Киберпреступники из Северной Кореи атаковали американские оборонные предприятия. Для доступа в локальную сеть злоумышленники отправляли сотрудникам фишинговые письма, содержащие поддельные документы с предложениями о работе.

Файл .docx представлял собой ZIP-файл из нескольких частей. Используя технику внедрения шаблона, злоумышленники помещали ссылку в файл .XML, по которой загружались файлы шаблонов (DOTM) с удаленного сервера. Некоторые из них переименовывались в файлы JPEG, чтобы избежать подозрений. Файлы шаблонов содержали код макроса, который и загружал DLL-имплант в систему жертвы, открывая хакерам доступ в компьютерную сеть.

Оставаться незамеченными долгое время хакерам помогало использование одного и того же User-Agent, что и у настоящего пользователя, что позволяло избежать обнаружения и замаскировать трафик.

Эксплойт / #новость

​​Twitter взломал 17-ти летний подросток

Напомним, что в ночь на 16 июля произошел масштабный взлом Twitter, в ходе которого был перехвачен контроль над 130 аккаунтами знаменитостей, включая Илона Маска, Билла Гейтса, Джеффа Безоса, Барака Обамы, а также компаний Apple и Uber.

Как оказалось, виновным в случившемся оказался 17-летний Грэм Кларк из Тампы, США, (тот самый "Kirk") которого 31 июля арестовали и предъявили обвинения по 30 пунктам. Обвинения в содействии также предъявлены 19-летнему Мейсону Шеппарду из Великобритании и 17-летнему Ниме Фазели из Флориды.

Компания Twitter, в своем отчете, опубликованном за день до ареста, сообщила, что группа сотрудников компании стала жертвой фишинговой атаки по телефону. Злоумышленники использовали социальную инженерию, чтобы ввести в заблуждение сотрудников Twitter и получить доступ к внутренним системам.

Эксплойт / #новость

​​TikTok будет заблокирован в США по приказу Дональда Трампа

31 июля президент США Дональд Трамп сообщил, что он принял решение о блокировке TikTok в стране. Трамп уточнил, что приложение будет заблокировано «немедленно», добавив, что подпишет документы в субботу, 1 августа.

В США у компании около 1000 сотрудников, а  TikTok в США используют больше 100 млн. человек. А на данный момент приложение оценивается более чем в 100 млрд. долларов.

Это решение может помешать сделке о приобретении доли сервиса компанией Microsoft и иными американскими инвесторами. Блокировку сервиса власти США начали обсуждать на фоне ухудшения отношений с Китаем — TikTok уличили в слежке за пользователями.

Эксплойт / #новость

​​Как запретить нежелаемое использование камеры

Раньше мы писали о том, как определить, использует ли камеру то или иное приложение. Но этот способ никак не ограничивает работу таких приложений.

Чтобы полностью заблокировать доступ к камере определенным приложениям, или всем сразу, можно использовать Camera Blocker. После установки данного приложения нужно будет выдать ему права администратора устройства. В результате, все приложения, кроме выбранных вами исключений, никак не смогут использовать ни фронтальную, ни основную камеру.

При желании, приложение будет уведомлять о новых аппликациях, которые запрашивают доступ к камере. И да, вам не нужны Root права, чтобы использовать это приложение.

Эксплойт / #приватность

​​Google создали расширение для прозрачности рекламы в Chrome

На этой неделе Google запустил расширение Ads Transparency Spotlight для Chrome, которое показывает подробную информацию о рекламных объявлениях на посещаемой странице.

Используя это расширение пользователи теперь могут узнать сколько рекламных объявлений находится на странице, какие рекламодатели присутствуют на странице, причины, по которым вы увидели именно это объявление. Расширение также показывает, какие данные о вас использовались для показа персонализированной рекламы, как например ваше местоположение, демография и интересы.

Расширение уже доступно для установки в официальном магазине приложений Chrome.

Эксплойт / #приватность

​​Ошибка в плагине для рассылок позволяет хакерам внедрить бэкдоры на 300 тысяч сайтов

В WordPress плагине Newsletter была обнаружена XSS-уязвимость, а также уязвимость PHP Object Injection, которые позволяют злоумышленникам получить доступ к админ-панели сайта, внедрить бэкдоры, выполнить произвольный код, загрузку файлов или любую другую атаку, которая может привести к захвату сайта.

Плагин используется для создания адаптивных новостных рассылок и почтовых маркетинговых кампаний в блогах WordPress. Он был загружен более 12 миллионов раз, и установлен на более чем 300 000 сайтах.

Исправленная версия плагина была выпущена 17 июля, но с тех пор плагин был загружен всего 151 449 раз. Это означает, что как минимум 150 000 сайтов на WordPress все еще уязвимы к такого рода атакам. Напомним, что недавно критическая уязвимость была найдена также в плагине wpDiscuz.

Эксплойт / #новость

​​В даркнете продают паспорта россиян голосовавших по поправкам в Конституцию

По заявлению Коммерсанта, на теневом форуме выставили на продажу базу данных участников онлайн-голосования по поправкам в Конституцию, содержащую более миллиона строк с паспортными данными избирателей, каждая из которых продаётся по 1 доллару оптом или 1,5 доллара в розницу. Вот только база эта совсем не новая, она гуляла по интернету в зашифрованном виде еще с 1 июля.

Сами по себе номера и серии паспортов бесполезны, но продавец предлагает дополнить их другой полезной информацией из уже имеющихся у не баз данных — например, добавить туда имя, СНИЛС и ИНН, данные кредитной истории.

Продавец утверждает, что база полностью свежая, хотя это та же самая база, про которую писала Meduza еще в начале июля. По словам продавца, он смог продать уже 30 тысяч строк данных, однако покупать базу нет смысла, так как ее уже давно можно найти в сети совершенно бесплатно.

Эксплойт / #новость

​​Не дождавшись выкупа хакеры слили данные LG и Xerox

Не получив выкупа от LG Electronics и Xerox, операторы шифровальщика Maze сдержали свое обещание и опубликовали на своем сайте 70 гб похищенных у компаний данных. Среди них 50,2 Гб данных из внутренней сети LG, а также 25,8 Гб данных, принадлежащих компании Xerox.

LG Electronics и Xerox, вероятно, были скомпрометированы благодаря уязвимости CVE-2019-19781 в NetScaler Gateway, которая позволяла неавторизованному злоумышленнику выполнение вредоносного кода в системе. Аналитики еще в конце 2019 года предупреждали, что открытом доступе можно обнаружить более 80 000 серверов с этой уязвимостью

Украденная у LG информация включает в себя исходные коды прошивок для различных продуктов компании, в том числе для телефонов и ноутбуков. У Xerox хакеры украли информацию, связанную с операциями поддержки клиентов, в частности, касающуюся сотрудников Xerox.  Подлинность данных пока еще проверяется.

Эксплойт / #новость

​​Как оптимизировать вкладки на слабых ПК

Если у вас слабый компьютер — скорее всего знаете, что использовать браузер всего даже с несколькими открытыми вкладками бывает совсем невыносимо.

Если вы не хотите вручную закрывать каждую вкладку — воспользуйтесь расширением xTab для Chrome. После установки укажите желаемый лимит вкладок и выберите пункт «Close Oldest», чтобы автоматически закрывать самые старые вкладки, когда будет достигнут лимит.

Плагин также может закрывать наименее используемые вкладки или, например, вовсе запретить их создание при превышении лимита.

Эксплойт / #полезно

​​Хакеры выложили в сеть пароли от 900 VPN серверов

На одном из русскоязычных теневых форумов сегодня в виде открытого текста были опубликованы имена пользователей, пароли и IP-адреса более чем от 900 корпоративных VPN-серверов Pulse Secure.

Оо данным издания ZDNet БД содержит такую информацию, как: IP-адреса VPN-серверов, версию прошивки, SSH ключи для каждого сервера, список локальных пользователей, а также принадлежащие им пароли. В базе также можно найти детали аккаунта администратора, информацию о последнем входе и Сookie-сессии VPN.

Специалисты полагают, что злоумышленник воспользовался эксплойтом для уязвимости под идентификатором CVE-2019-11510, позволившей ему проникнуть в систему и извлечь данные.

Эксплойт / #новость

​​Пранкеры сорвали слушания по делу взломщика Twitter

Из-за пандемии судебные слушания по делу американского подростка, обвиняемого во взломе аккаунтов знаменитостей в твиттере, 5 августа проходили онлайн — в в сервисе для видеоконференций Zoom.

Видеоконференция проходила в открытом режиме, к ней можно было подключиться без пароля. Этим воспользовались пранкеры, присоединившись под видом журналистов CNN и BBC, они стали включать рэп, кричать и транслировать порно. Судья вынужден был прервать слушания.

На слушаниях рассматривалась возможность уменьшения залога для Кларка, в размере 750 тысяч долларов. Не смотря на вмешательство судья все-таки смог вынести решение, уменьшив залог.

Эксплойт / #новость

​​Голландские хакеры взламывают светофоры

На хакерской конференции Defcon сегодня голландские исследователи в области безопасности представили уязвимость в «умной» транспортной системе, которая позволяет через Интернет переключать сигналы светофоров в более чем 10 различных городах Нидерландов.

Суть в том, что умная система дает приоритет, в виде зеленого света, для велосипедистов, у которых установлено специальное приложение.

Хакеры, с помощью реверс-инжиниринга одного из таких приложений, научились создавать на дороге несуществующие велосипеды, якобы приближающиеся к перекрестку, чтобы показать красный свет любым другим транспортным средствам, пытающимся пересечь дорогу. Как хакер управляет светофором с ноутбука вы можете посмотреть в этом видео.

Эксплойт / #новость

​​В московском метро установят более 12 000 камер с функцией распознавания лиц

Провайдер бесплатного WiFi в Московском метрополитене «Максимателеком» выиграл конкурс на оснащение вагонов системой видеонаблюдения с функцией распознавания лиц. Сумма контракта составила 1,38 млрд руб. За эти деньги в метро установят 12 304 камер, 418 серверов распознавания лиц, 398 LTE-роутеров и 1538 коммутаторов.

На улицах столицы аналогичная система работает уже с 1 января. Важный элемент городской системы видеонаблюдения с функцией распознавания лиц – технология поиска людей в потоке. Во время карантина, с её помощью искали нарушителей самоизоляции.

Также система распознавания лиц может быть взломана и использована для отслеживания передвижения конкретных лиц. Кстати говоря, о том, кто может следить за вами через подобные камеры, мы уже писали в этом посте.  

Эксплойт / #новость

​​Как узнать, прочитал ли получатель ваш E-mail

В Gmail есть существенный недостаток — отправитель никак не может определить, прочитал ли получатель письмо, или просто его не заметил.

Чтобы это исправить, воспользуйтесь расширением Mailtrack (для активации вам нужно просто авторизоваться через Gmail). Теперь рядом с сообщениями будут отображаться 2 галочки, которые символизируют о том, что получатель прочитал ваше сообщение.

В конце письма получатель будет видеть специальный виджет, который нужен для работы расширения. Кстати, как узнать IP получателя письма мы уже писали в этом посте.

Эксплойт / #полезно

​​Хакеры взломали Reddit в поддержку Трампа

Вчера Reddit подвергся массовому взлому, десятки каналов были взломаны и видоизменены. На взломанных субреддитах публиковались сообщения в поддержку Трампа, а также менялось оформление сообщества, чтобы поддерживать кампанию Трампа 2020 года.

В список затронутых каналов входят НФЛ, многие телешоу, The Pirate Bay, Disneyland, Disney's Avengers, несколько городских каналов и многие другие. В сумме каналы имеют десятки миллионов подписчиков.

Команда безопасности Reddit заявила, что взлом произошел после того, как злоумышленники захватили учетные записи модераторов сабреддитов.

Эксплойт / #новость

​​⚡️Эксплойт теперь онлайн!

Мы запускаем свой сайт, на котором будем публиковать еще больше эксклюзивного контента, которого нет на канале.

Хакерские приемы, компьютерные лайфхаки, хитрости смартфонов, новости интернета и секреты безопасности сети — все, что вы привыкли читать у нас на канале, теперь в двойном объеме будет и на сайте.

Сайт доступен по адресу exploit.media, а ознакомиться с базовым функционалом вы можете в этой статье.

Не хотите пропустить что-то важное? Тогда подписывайтесь и на наш новый аккаунт в Twitter — twitter.com/expl0itex

Эксплойт / exploit.media

​​Госдеп США через СМС предлагал россиянам $10 млн за информацию о вмешательстве в выборы

Государственный департамент США через СМС рассылку на номера россиян пообещал вознаграждение в размере 10 млн долларов за информацию об иностранном вмешательстве в выборы в стране, в частности об организации кибератак.

Российские власти такой подход не оценили. «Призывая за деньги рассказывать о вмешательстве в американские выборы, американские спецслужбы бесцеремонно вмешиваются в нашу жизнь», —  заявили в МИД

🔗 https://exploit.media/usa-state-sms/

Эксплойт / #новость