CyberSec News Telegram Gönderileri

Играем в новую игру от Catizen с будущим дропом! ⚡️

Bombie - новая P2E игра, в которой вы прокачиваете своего персонажа, чтобы он убивал волны зомби. Игра максимально простая, открываем ящики, получаем вещи, одеваем персонажа, проходим волны, прокачиваем снаряжение и самого персонажа.

⭐️ Советую в самом начале купить небольшой набор за 0.02 TON или 0.10 USDT, он сильно поможет вам в начале, я думаю это временная акция, слишком круто для старта прокачки.

👉 Заходим в игру, получаем бонус в виде ящиков
https://t.me/catizenbot/bombie?startapp=g_1002_4819569

Одним ключом не открыть разные замки, а вот украденный пароль сгодится несколько раз.

Хакеры всё чаще листают базы слитых паролей и используют их для взлома корпоративных аккаунтов. 80% проникновений в этом году происходило за счёт скомпрометированных данных сотрудников. Интересный момент, что количество таких атак выросло одновременно с количеством слитых баз.

Но есть и положительный момент — количество успешных атак сократилось на 15-20%. Самураи стали бдительнее следить за исполнением политики безопасности и успешней защищают честь своего имения и сёгуна.

#новость

Авиакомпания United Airlines не платит реальные деньги за найденные уязвимости, но зато может щедро насыпать бонусов. Самая крупная награда — 1 миллион миль, которых хватит на кругосветное путешествие, а после ещё останется на полёты во все японские города.

Первым хакером, который сорвал куш, стал американец Джордан Винс. Ему удалось найти критическую уязвимость. Какая именно дыра была — неизвестно, но максимальную награду дают только за серьёзные проблемы, например, удалённое исполнение кода. Правила участия в программе не разрешают разглашать информацию об уязвимости, потому хакер рассказал только то, что найти дыру было легко.

Свою награду он получил. Но интересно, что начислили бонусы двумя траншами — в 999.999 миль и 1 милю.

#История

Хакеры из группировки Dump Forums взломали сайт оператора платёжной системы «Мир». Они говорят, что выгрузили множество интересной инфы с сайта и «здорово провели время в их внутренней сети». Под последним, видимо, подразумеваются оставленные шутки на главной странице. Например, на сайте размещено объявление о разработке «новейшей процессинговой системы „Береста-Ѣ“, которая защищает от хакерских атак».

В НСПК взлом подтвердили, но уверяют, что никакие критичные данные не утекли. Независимые ронины это подтверждают, так как хранить что-то на сайте-визитке нет смысла. С другой стороны для компании, которая занимается обслуживанием платежей, это серьёзный репутационный ущерб, ведь разницу между сайтом и клиринговой системой обычные люди не смогут разглядеть.

Конечно, после такого не нужно делать сепуку как истинный самурай, но задуматься над улучшением защиты точно стоит.

#новость

В марте этого года произошло эпохальное событие для языка программирования от Google. Golang попал на 10 строчку рейтинга популярных ЯП. Частично это заслуга якудза и прочих взломщиков, которые используют его для защиты своих вредоносов от антивируса. И, соответственно, помогли и белые хакеры, которые дают отпор.

Но пока самым популярным языком в сфере кибербезопасности остаётся Python. С его помощью можно хакеры могут делать практически всё: писать скрипты, эксплойты и вредоносные программы целиком.

Великий и ужасный C чуть менее популярен, но также распространён. В первую очередь за счёт того, что позволяет управлять аппаратными компонентами.

Javascript. Основной инструмент для написания инъекций. Также с его помощью выполнять межсайтовые сценарии.

PHP. Хоть язык и старый, а кто-то считает и вовсе устаревшим, но для взлома всё ещё очень популярен. Интерес к языку связан с тем, что большинство сайтов основаны на этом языке программирования.

C++. Плюсы дают доступ к низкоуровневым системным компонентам и позволяют дизассемблировать код. Полезен для разбора корпоративных приложений.

Java. Если играться с мобильными устройствами, то это основной язык для этой сферы.

#Гайды_и_Советы

Компьютеры плохо справляются с генерацией случайных чисел. А это серьёзная проблема, когда речь заходит о шифровании. Можно разработать аппарат по подбрасыванию монеток, но в CloudFlare нашли куда более изящный способ генерации случайных чисел.

Компания выстановила у стены сотню лавовых ламп и направила на неё камеру, которая регулярно фотографирует лампы. Случайные цвета пикселей используются для ключа шифрования. Эффективность метода в том, что цветные переливы появляются непредсказуемо. Да и красиво это.

Явно инженеры вдохновлялись традицией Ханами.

#новость

Древняя японская поговорка гласит: «Даже обезьяны с деревьев падают». И неудивительно, что даже крупные компании с тысячами высокооплачиваемых специалистов допускают ошибки.

Несколько лет назад Apple выпустила уникальную фичу для iOS, которая в теории должна была скрывать MAC-адрес устройства при подключении к Wi-Fi. Функция и правда маскировала идентификатор в одном месте, но был маленький нюанс — оставались способы увидеть реальный.

В целом какая-то безопасность была, для людей которых не волнует конфиденциальность это не особо большая проблема. А с другой стороны такая мнимая защита снижает бдительность и дарит чувство защищённости там, где её нет.

Баг уже пофиксили в обновлении iOS 17.1, но осадочек остался.

#новость

Чтобы остаться незамеченными, ниндзя облачаются в чёрную одежду и бесшумно двигаются к цели. Но если ты знаешь, что тебя раскроют, нужно действовать хитрее.

Около 5 лет IT-эксперты путали вирус-шпион с обычным майнером. Угроза не считалась большой, рисков было немного, а потому никто не бил тревогу. С 2017 года вирусу удалось заразить свыше миллиона устройств.

Теперь известно, что этот зловред собирает информацию с устройства жертвы, включая скриншоты экрана, запись звука с микрофона и представлял хакерам полный доступ к системе.

Уязвимость распространялась через уязвимость в Windows, которую уже пофиксили. Но если заражённые девайсы не обновляются, зловред может работать как прежде.

#новость

Как выглядит типичный хакер? В первую очередь в голову придёт образ зачуханного щуплого ботаника с астигматизмом и вряд-ли кто-то представит тренированного сумоиста.

Несколько хакерских группировок кошмарили работников казино в Лас-Вегасе. Однако это был не классический обман, а уже новый уровень социнженерии. Хакеры рассылали смс с угрозами сотрудникам казино и обещали разгромить дома родственников. Пугали даже побоями и оружием, но словесно и взамен требовали выдать им логины или пароли.

Тактика оказалась действенной и программистам погромистам удавалось получать доступ, а после сливать чувствительные данные и требовать за них выкуп уже с топ-менеджмента. Притом они обносили не только мелкие казино, страдали и такие гранды как Caesars Entertainment и MGM Resorts. Суммарно оценивают ущерб от действий хакеров свыше 100 миллионов баксов.

#новость

Не для всех вариантов взлома нужно писать код. Также справедливо утверждение, что для взлома иногда недостаточно уметь кодить. Социнжерения стала важный шагом для успешных атак и придумано уже довольно много методов.

Фишинг. Хакер посылает жертве сообщение с вредоносной ссылкой. Чаще всего она ведёт на вполне себе надёжный ресурс, если бы не одно маленькое но — в адресе меняется O на ноль или ставится единица вместо I. Если перейти по этой ссылке, можно поделиться своим логином и паролем с хакером.

Претекстинг. Это те самые звонки от службы безопасности банков или сотрудников ФСБ. Цель таких бесед выудить нужную информацию, которая далее поможет во взломе.

Трояны могут быть двух видов. Классических троянских коней рассылают через e-mail под видом прикреплённого документа или заархивированного файла.

Но есть и более экзотичный способ распространения — «дорожное яблоко», который иногда применяют для атак на компании. В офисе оставляют флешку или карту памяти с вредоносом. Из любопытства кто-то может умыкнуть себе и вставить в ПК, тем самым заразив рабочее устройство.

Может прожжёный самурай и не купится на такие методы обмана, но обычные сотрудники компаний могут легко повестись. Для надёжной защиты всем работникам в офисе нужно знать о возможных угрозах.

#Антихак