Сижу на работе, починяю примус, никому не мешаю, тут приходит сообщение на электронную почту:
Установочные данные пришлось потереть для анонимности. Хотя какая анонимность? Все уже у хаЦкеров есть))) При этом предоставленный мизер указывает, что утечка установочных данных с наибольшей вероятностью откуда-то из банков или операторов связи. Сам использую услуги только двух (писать не буду), самых распространенных.
Сколько не пытался вспомнить серфинг по порносайтам, где присутствует реальная непотребщина - гейпорно, педофилия, зоофилия и тому подобное, так и не получилось. Чем могу кого-то удивить, тоже так и не понял.
Подобного рода писанина, лично мне, приходит не в первый раз с шагом в полгода на протяжении двух лет. Напрашивающийся вывод - хохлы. Ведь не мытьем так катаньем)))
Таким образом, хочется предупредить честной народ об очередных закидонах сетевых бастардов.
Забирали работы из школы, 4 класс, среди них нашла шедевр. Кому тяжело читать, перевожу:
«Жили-были пользователь windows, хакер и локальная сеть. Однажды хакер захотел уничтожить Windows пользователя, для этого ему нужно быть в одной локальной сети, так вот, хакер пошел к локальной сети и подключился к ней, просканировал сеть и нашел там IP windows, просканировал windows и нашел открытый порт 445, открыл Metasploit framework и нашел в нем Exploit port 445, выбрал его, указал payload, указал rhosts, указал lhost, указал iport, выполнил команду exploit.
Дрейнер — программное обеспечение которое ворует крипту.
В переводе с английского дрейнер переводится как "сливщик". Очень правильное название, так как ваши деньги в прямом смысле смываются прямиком в кошелёк злоумышленника.
⚙️ Как он работает
Как он украдёт мои TONы? Они хранятся на TrustWallet, а сид-фразу знаю только я. Где уязвимость?
Главная уязвимость — это сам человек. Здесь играет роль социальная инженерия, а помимо скамера винить ещё можно вашу невнимательность.
Допустим, вы увидели на просторах интернета инфу о каком-то классном проекте, который обещает раздать жирный дроп.
Вы переходите по ссылке на сайт этого проекта. Сайт выглядит цивильно, доменное имя похоже на нормальное, есть даже сертификат SSL — безопасность 110% 🛡
Вам предлагают привязать ваш кошелек для авторизации, и, конечно же, для скама получения в будущем аирдропа.
Подключили ваш кошелек, все супер. Тем временем на сайте запускается скрипт, то есть начинает работать дрейнер. Он читает ваш кошелек, узнает каких активов у вас больше всего, а далее отправляет их на кошелек злоумышленника.
Суть в том, что когда вы подключили кошелёк, началось развертывание смарт-контракта и выполнение сценария. Для вас это выглядело как банальная авторизация, а по факту вы добровольно дали согласие на ликвидацию ваших средств.
Вы просто об этом не знали.
🔒 Как обезопасить себя
Переходя по сомнительным ссылкам никогда не подключайте свой кошелёк.
Проверяйте домен сайта вплоть до каждого слэша.
Если вам предлагают авторизоваться в вашем кошельке на компьютере, а у вашего кошелька не существует декстоп-версии — повод остановиться и задуматься.
Если хотите попасть на какой-то сайт, биржу или другой ресурс — найдите ссылку в официальных соцесетях разработчиков. В поисковых системах много фейковых страниц.
Диверсифицируйте свои активы на разных кошельках. Так, в случае дрейна одного кошелька, остальные активы остаются в безопасности.
Больше интересного и полезного контента о криптовалютах и арбитраже в ТГ канале - КриптоМарс
На одном из телеканалов Ставрополя разошлись тревожные сообщения о том, что в городе тестируют систему оповещения в связи с массовой атакой беспилотников.
Как на самом деле
Но это фейк, возникший в результате хакерской атаки. Выяснилось, что одного из интернет-провайдеров взломали неизвестные. В эфир просочились провокационные сообщения о «массовых атаках дронов».
На недостоверность информации указывает и ряд лексических ошибок и некорректных формулировок, которые содержатся в сообщение. Например, «подготовьте тревожный рюкзак с необходимыми вещами» или «тестовое оповещение тревоги» (а не, к примеру, системы оповещения).
Аналогичные фейки о «массовых атаках дронов» транслировались также в Карачаево-Черкесии, Республике Ингушетии и Чечне. Главное управление МЧС России по Карачаево-Черкесии сообщило, что не распространяло информацию об атаке БПЛА 6-7 апреля в регионе. Уточняется, что телеграм-канал, в котором опубликовали ложные сведения, не был официальным аккаунтом ведомства. В Чечне также опровергли информацию о предупреждениях об атаке БПЛА.
Отметим, что подобные провокации не раз уже были запущены украинскими ЦИПсО, заинтересованными в распространении панических настроений и дестабилизации российского общества.
Уважаемые читатели, призываем вас быть бдительными и не доверять сомнительным источникам информации.
Мать рассказывает. Просыпается в 5:30 от того, что в комнате разговаривают. Прямо возле нее. Живет она одна потому испугалась сильно. Вроде по-русски говорят, вроде нет. Пришла в себя, вскочила, включила свет. Оказывается заговорил телевизор. Он в режиме стендбай и из него льется украинская речь. Индикатор, который всегда горит в режиме стендбай маленьким голубеньким цветом, как-то странно переливался. Про что говорили мать не поняла, да и не интересно было. Тут же включила пультом телевизор. Включился обычный канал, на котором она и выключала. Украинская речь пропала.
Как думаете, что это могло быть? Телевизор смартТВ, Филипс. Лет 15 ему. Какая там система не помню. Подключен к кабельному и вай фай. Отключать вай фай? Ругаться с кабельным оператором? И как вообще это могла произойти с выключенным аппаратом?
Обфускация кода — это процесс, преобразующий программный код в форму, затрудняющую его понимание как для человека, так и для автоматизированных систем анализа. Этот метод является одним из ключевых элементов в стратегии защиты от обнаружения вредоносного ПО антивирусными системами. Рассмотрим ряд ведущих инструментов обфускации для разнообразных языков программирования.
PowerShell:
— Invoke-Stealth - Этот инструмент предназначен для обфускации скриптов PowerShell, помогая скрыть их от систем обнаружения вроде AMSI.
— Chimera - это скрипт обфускации PowerShell, предназначенный для обхода AMSI и антивирусных решений. Он перерабатывает вредоносные PS1, которые, как известно, будят AV, и использует подстановку строк и конкатенацию переменных, чтобы обойти общие сигнатуры обнаружения.
Python:
— Pyarmor - Это инструмент командной строки, предназначенный для запутывания сценариев Python, привязки запутанных сценариев к конкретным машинам и установки сроков действия для запутанных сценариев.
— Hyperion - Обфускатор для Python, позволяющий применять более 10 уровней обфускации, сохраняя при этом скрипт компактным и исполняемым на разных платформах и версиях Python.
Bash:
— Blind-Bash - Универсальный инструмент для обфускации скриптов Bash, улучшающий безопасность за счет усложнения процесса расшифровки. Включает шифрование строк и переменных.
— Bashfuscator - это модульная и расширяемая среда обфускации Bash, написанная на Python 3. Она предоставляет множество различных способов сделать однострочные строки или сценарии Bash гораздо более трудными для понимания. Это достигается за счет генерации запутанного, рандомизированного кода Bash, который во время выполнения оценивает исходный ввод и выполняет его.
Batch:
— BatchObfuscator - Используя методы обфускации, BatchObfuscator защищает исходный код пакетного скрипта, скрывая конфиденциальную информацию и усложняя процесс обратного проектирования
— SomalifuscatorV2 - Инструмент с функциями противодействия виртуальным машинам, анти-echo и защитой от изменений байтов.
PHP:
— YAK Pro - Php Obfuscator - это инструмент для обфускации PHP кода. Он удаляет все комментарии и отступы, превращая код в однострочный файл. YAK Pro обфусцирует структурный код и имена переменных, функций и классов, делая ваш код сложнее для понимания и чтения.
VBA:
— VisualBasicObfuscator - Универсальный обфускатор Visual Basic Code, предназначенный для использования во время заданий по тестированию на проникновение. Используется в основном для предотвращения обнаружения антивирусных и почтовых фильтров, а также для задач проверки Blue Teams.
— VBad - Это полностью настраиваемый инструмент обфускации VBA в сочетании с генератором документов MS Office. Его цель – помочь команде «красных и синих» в атаке или защите.
— MacroPack Community - Это инструмент, используемый для автоматизации обфускации и создания ретро-форматов, таких как документы MS Office или формат, подобный VBS. Он также поддерживает различные форматы ярлыков. Этот инструмент можно использовать для красной команды, пентестов и социальной инженерии. MacroPack упростит обход решений по защите от вредоносных программ и очень прост в применении.
Многие сталкивались со странными звонками: после непродолжительного вызова (может длиться от 1 до 3 секунд) неизвестные сбрасывают его. Как показывает практика, в 99% случаев звонят таким способом мошенники и рекламные отделы компаний, а также автоматические рассылки.
С одной стороны, такие звонки кажутся безобидными, ведь злоумышленники не успевают установить контакт с потенциальной жертвой. Но на деле этот способ обзвона оказывается для мошенников еще более эффективным, чем тот, при котором они дожидаются ответа.
Зачем звонят и сбрасывают?
Звонок и моментальный сброс — способ ускорить процесс обзвона жертв или потенциальных клиентов мошенниками и спамерами. Чаще всего звонки совершаются автоматически с помощью специальных программ. Чем больше звонков сделано, тем больше людей смогут охватить злоумышленники. А так как приобрести базу номеров для них не составляет проблемы, список абонентов для звонков постоянно пополняется.
Заставляют абонента проявить активность
Входящий вызов и сброс позволяют мошенникам и спамерам потратить на каждого человека минимальное количество времени, но при этом заинтересовать ее. Пропущенный вызов заставляет жертву гадать, кто ей звонил. А так как жизнь многих абонентов сопряжена с постоянными звонками (коллеги, клиенты, доставщики, звонки по оставленным объявлениям и т.д.), часть из них перезванивает на номер неизвестных, чтобы не пропустить важный звонок.
После того как жертва перезванивает, мошенники могут перейти к следующей фазе действий:
Предварительная — ответный вызов фиксируется, а номер засчитывается как «активный». После этого номер вносят в список для дальнейших звонков и в следующий раз звонят на него уже с настоящими попытками обмана или рекламы.
Активная — как только жертва перезванивает, злоумышленники сразу переходят к делу. Если звонят спамеры, то они начинают рекламировать товары или услуги, если мошенники — жертву пытаются обмануть одной из схем.
Независимо от того, какую модель поведения выбрали злоумышленники, номер жертвы оказывается в списке «активных» абонентов. Даже если она сумеет распознать обман, на ее телефон начнет поступать куда больше нежелательных вызовов, чем обычно.
Заставляют позвонить на платный номер
Злоумышленники и рекламные отделы компаний могут арендовать платные номера, рассчитанные на исходящие вызовы абонентов. Как только жертва перезванивает, ее различными способами удерживают на линии: просят подождать соединения, проигрывают автоматическое сообщение, заманивают «выгодными» предложениями, чтобы абонент остался и дослушал. Чем больше времени жертва проведет на линии, тем выше окажется счет — один исходящий звонок на платный номер в среднем обходится абоненту в несколько сотен рублей.
При этом злоумышленников редко удается призвать к ответственности. Так как жертва позвонила самостоятельно, т.е. спамеры не навязывали ей рекламу, то и предъявить им зачастую нечего.
Что делать, если звонят и сбрасывают?
Хотя многие абоненты руководствуются правилом «не отвечать на звонки с неизвестных номеров», для некоторых это не вариант. Особенности работы значительной части людей подразумевают звонки от незнакомцев, пропускать которые не хочется. К счастью, сейчас появилось достаточно способов распознавания мошенников и спамеров для тех, кто не может позволить себе игнорировать звонки из-за работы или по другим причинам. Самые эффективные из них:
Виртуальные секретари. Это услуга мобильных операторов, которая использует искусственный интеллект для ответа на звонки за абонента. Секретарь записывает содержание звонка в виде голосового и текстового файла, а затем отправляет его абоненту. Так он сможет узнать, кто именно ему звонил.
Мобильные определители. Определить, является ли номер мошенническим, помогают приложения. Они работают с базами номеров злоумышленников, поэтому могут показать отзывы на звонившего и его репутацию. Рекомендуем NumBuster (бесплатно в Google Play).
Ручная проверка. Проверять номера можно и самостоятельно — достаточно вбить номер неизвестного в поисковую строку браузера и открыть сайты, где о нем есть информация.
Продолжаем наши занимательную серию "теЛпеРдач" про безопасность в АО "РЖД". 😁 Начало здесь.
Сегодня поговорим про кибербезопасность, про то, как инфраструктура АО "РЖД" может противостоять киберугрозам и хакерским атакам.
1. Антивирю не верь!
Не являюсь экспертом в сфере компьютерной безопасности, поэтому буду довольно-таки приземленно рассуждать об этом вопросе. Так сказать, на языке обывателя, простыми словами и без сложных терминов. Строго на примере личного опыта работы в АО "РЖД".
Первое, о чём стоит сказать, так это то, что защиту сети и компов "железки" осуществляет всеми нами любимый антивирус Касперского. Этот продукт знаком своим очень интересным поведением "подозревать всё подозрительное" посредством чрезмерной загрузки ресурсов всей системы. А также тем, что это как бы отечественный продукт.
Сразу оговорюсь, что я антивирусами не пользуюсь и считаю их в принципе бесполезным приобретением (что платный, что бесплатный). Дело в том, что если проводить аналогию с физическими защитными приспособлениями, ну, например, железной дверью в доме, то ни один антивирус вам не обеспечит 100 % защиту от вирусов, т.к. все ваши компьютерные "двери" при нахождении в сети постоянно открыты (без этого в сеть не выйти). Антивирус - это даже не дверь, блокирующая проход в ваш дом (ПК), это вроде консьержа, который гоняет подростков, жгущих спички в подъезде (типа торрентов и кряков), но как только к вам в парадную зайдет какой-то незнакомый дядя в чёрной маске и с фомкой ("червь" или "троян"), то в этот момент, скорее всего, консьерж-антивирус будет сладко спать за своим рабочим местом. Ибо уже целый день "работал" - "устал". Да и сами механизмы работы этого программного продукта остаются неизвестны и сокрыты от рядового пользователю (чё-то там моргает в трее, чё-то там проверяет по расписанию) в отличие от той же самой входной двери, которая очевидно закрыта на замок и её механизм работы открыт и прозрачен: ключ провернул, дёрнул - закрыта!
Пост одного пикабушника про странности Каспера
Единственный шанс обеспечить свою безопасность в современном сетевом обществе - это выполнять резервное копирование данных и пользоваться виртуальной машиной, а защиту от утечки осуществлять шифрованием файлов (от взлома учётных данных гарантированно поможет только двухфакторка). Ведь, если вирус перехватить управление операционной системой и зашифрует или скомпрометирует ваши данные, то никакой антивирус вам уже не поможет вернуть всё взад. Только переустановка и восстановление. А это 100 % защита от потери данных и заражения в отличие от антивиря за 4999... И не забудьте, что помимо финансовых трат на антивирусный абонемент вы ещё отдаёте на его функционирование (моргание буковки в трее) значительную часть ресурсов системы, которые ПК мог отдать на необходимые нужды по обработке данных. И эта доля вычислительных мощностей, отдаваемых под антивирус, с каждым разом становится всё больше и больше: тот же Касперский обрастает всякими модулям по обнаружению утечек персональных данных, снятию галочек с рекламных продуктов в установочных пакетах и прочей бесполезной ненужной ерунде, за которую рядовой пользователь платит деньги, суетливо подбрасывая в жерло своей "пекарни" дополнительные плашки с оперативой.
Рынок антивирусов - это, прежде всего, коммерческая структура, которая заинтересована в привлечении новых клиентов и повышению своего дохода, а не заботой о безопасности данных своих потребителей. В большинстве компаний антивирусы пишут хакеры, которые и заражают сети и другие машины вирусами. Ведь чтобы продать антивирус - нужен вирус. Клиента надо запугать, чтобы продать ему ультра-супер-гига-мегасредство от всех напастей. Потом, когда интерес клиента к продукту иссякнет - пишем новый вирус и увеличиваем продажи. Да и в большинстве случаев эффективно противостоять вирусу может только тот, кто его и написал. А если вдруг антивирусная вундервафля даст сбой и не поможет, то: "Ну, извините, у вируса была неизвестная сигнатура, за ваша данные ответственности не несём, купите наш другой продукт подороже."
2. Who is your daddy?
Теперь, после небольшого вступления, вернемся к кибербезопасности АО "РЖД" и отечественному антивирусу.
Вообще, это довольно-таки странный фетиш в эпоху противостояния западному миру говорить про безопасность, работая полностью на заграничном софте (кстати, есть данные, что к знаменитому вирусу WannaCry, о котором я буду говорить, причастны в том числе и западные спецслужбы). Все вычислительные системы АО "РЖД" функционируют исключительно на заморской ОС Windows, корпоративные программные продукты используют приложения SAP, передача сообщений идёт посредством Microsoft Exchange и тому подобное. Даже хвалёный Яндекс.Браузер, который руководство АО "РЖД" активно пропихивает работникам компании вместо Google, базируется на заморском движке Blink на базе Chromium (тот же, на котором существует и сам Google, и который этим же Гуглом и разработан). А где "Эльбрус"? Где "Байкал"?Где 1С? Где, на худой конец, Unix-системы? Где этот знаменитый секретный российский браузер, который планировали разрабатывать ещё в 2009 году?
Ах-да, ОС "Эльбрус" - это семейство Linux. Печалька! 😥А "Байкал" использует западную микропроцессорную архитектуру. А чего не переходят в АО "РЖД" на Linux, под которую практически не делают вирусы, а? Ну, да, естественно! Куда же тогда накатывать Яндекс.Браузер и Касперского? Расходы по контрактам на поставку софта надо же куда-то списывать. В бюджете заложено. Да и для Linux'а требуется штат компетентных программистов - там недостаточно просто кликнуть мышкой на исполнительный файл, чтобы накатить приложение. Зачем "РЖД" нормальные ITшники, программисты и защищенная инфраструктура? Главное, чтобы в компании работали все твои близкие родственники и друзья, а заказать хай-тэк услуги можно и на стороне. Ничего страшного.
Единственное, чем тешат себя представители "РЖД" в плане защиты и кибербезопасности так это отечественным антивирусом. Т.е. ПК, который полностью управляется закрытой системой, передающей данные непонятно на какие сервера, как бы в безопасности, потому под этой же системой (её управлением) "работает" некий антивирь, который что-то там защищает. "Who is your daddy?" - задает вопрос Windows "Касперу", который зашёл к ней в гости и прописался в реестре по её разрешению. Кстати, этот же самый "Касперский" очень банально отключается и выгоняется из системы без каких-либо экспертных знаний посредством загрузки в безопасном режиме через "живую" флешку, либо восстановлением пароля админа через реестр (чтобы получить доступ к локальной записи администратора), т.к. сам модуль антивируса не записывается в загрузочный сектор ОС. Вот такой вот крутой "антивирь" в крупнейшей транспортной корпорации. Да, понятно, что доменная организация сети позволяет настраивать свою политику безопасности и менять удаленно пароли пользователей, а также восстанавливать удаленный софт. Но когда дело до этого дойдёт, все необходимые цели злоумышленников уже будут выполнены в случае физического доступа к машине.
"Да, что ты нам втираешь тут! " - воскликнет читатель. - "Да в РЖД все BIOS запаролены, а USB порты заблокированы!". Нет, BIOS никто не паролит в "РЖД" (есть новые компы с паролем с завода, но их очень мало, их практически нет), это во-первых, а во-вторых, все блокировки USB-портов от флешек идут на уровне операционной системы посредство того же "Каспера", который "засыпает" при безопасной загрузке.
3. Всё идёт по плану...
Теперь расскажу про то, как WannaCry превзошёл наш отечественный Kasperskiy и позаражал половину компов только в нашем депо. Произошло это в 2017 году.
Я пришёл на работу, включил свой комп. Ничего не предвещало беды. Да, я в отличие от некоторых товарищей, свой рабочий ПК выключаю, когда ухожу. Затем я зашёл в общую сетевую папку, размещенную на компе другого работника отдела, и начал наблюдать, как файлы с расширением .pdf и соответствующей красной иконкой "Акробата" приобрели странное расширение и не стали открываться по двойному клику мыши. "Неизвестный файл!" - отвечала Винда, как бы сама изумляясь данной нестыковке. Я подумал, что это у меня на компе проблемы, либо что-то я делаю не так. Но нет, всё оказалось намного банальнее. Моя коллега открыла электронное сообщение с исполнительным файлом червя WannaCry, замаскированным под текстовый документ и... пошёл мазут по трубам. Заразились всё компы, которые в тот момент находились в сети. Мой был выключен - я свои данные спас. А вот бестолочи, оставляющие свои компы включенными после работы, распрощались со своими файлами. Эти же бестолочи потом возмущались о том, что в принципе всё это киношные сказки "про червей и трояной", а они сами в этом во всем "разбираются" прекрасно.
Ответ на мой пост одного "умного" пикабушника
И как ни странно WannaCry не стал проходить цинично СДО (курсы дистанционного обучения) за работников и распространился по сети без всяких флешек, получив всего лишь разрешение на свой запуск от рядового пользователя в домене.
А вот паспортные данные стащили уже в 2019 году. И опять и снова кто-то из бестолочей будет кричать: "Всё норм, полёт нормальный, ничего страшного."
Да, сразу же можно обвинить в случившимся человеческий фактор - мол, нечего открывать всякие подозрительные сообщения. Но дело всё в том, что я не вижу вины за своей коллегой: во-первых, она не может знать изначально - опасен файл, или нет, а во-вторых, отдел в котором она находилась, работал с внешними клиентами, и соответственно сообщения от всех получателей должны быть открыты и прочитаны. У меня претензии по случившемуся возникают, прежде всего, к антивирусу, а также к фильтрации подозрительных сообщений на уровне сервера. Почему вообще сообщение с вредоносным скриптом дошло до адресата в корпоративной сети, и почему "супермегагига"антивирус позволил этот файл открыть и заразить систему? За что получают зарплату работники РЦБЗ и разработчики Касперского? За красивые отчёты и презентации? За надутые щёки и красивые лозунги?
После данного инцидента руководство "РЖД" конечно же рапортовало, что всё в норме, что защита сработала, что "всё идёт по плану". В общем, как обычно. Старая и заезженная пластинка.
Всем работникам, пострадавшим от червя, наобещали, что их данные восстановят. Естественно, шифрование было очень сильным, и все мои коллеги получили от ИВЦ обратно чистые жесткие диски с девственно свежей осью. Такие пироги.
Конечно, сейчас кто-то сделает мне замечание: "Пострадали там какие-то офисные компы с бесполезными отчётиками, а поезда-то как катались, так и катаются. Да и вообще это было давно!"
Но хочу добавить небольшую ложку дёгтя. Практически целый март месяц (уже текущего года) сайт "РЖД" "лежал", выражаясь цензурно. При этом продажа билетов в основном проходит через сайт. Посмотрите статистику по DownRadar.
Не помогали гневные сообщения клиентов ни в официальном сообществе в ВК, ни на других ресурсах. "Всё нормально. Работаем. Завтра всё будет работать," - кормили завтраками клиентов АО "РЖД" сотрудники горячих линий практически целый месяц.
Так обстоит дело в части информационной безопасности в АО "РЖД" глазами рядового работника. Отписывайтесь в комментариях, если вы, будучи сотрудником "железки", пострадали от действий того же WannaCry, либо иного вируса в корпоративной сети. Посмотрим, много ли нас таких, и так ли всё безопасно, как вещает руководство корпорации.
До встречи на страницах нашего журнала про дурость в железнодорожной компании. Берегите себя!❤
Какая операционная система стоит на вашем рабочем ПК?