Кстати, о фишинге. Я на прошлой неделе писал о российских хакерах, против которых было выдвинуто обвинение в несанкционированном доступе к почте участников избирательной кампании президента США в 2016 году. Там шла речь как раз в том числе и о взломе почты руководителя штаба Хиллари Клинтон Джона Подесты. Вот так выглядели письмо со ссылкой и страница, которая открывалась по клику по ссылке в письме. Я не уверен, что я бы на такое не повелся. А вот двухфакторная авторизация помогла бы защитить от доступа к почтовому ящику, даже если гдето лоханулся и ввел пароль. (через фильтры Gmail письмо прорвалось, как я понимаю, путем использования нелатинских символов в нужных местах)

Сразу несколько человек прислали мне статью про китайские смартчасы для детей (кто бы мог подумать, что Пикабу станет таким источником контента для канала?). В статье маловато деталей, поэтому я не рвался её публиковать, но ладно уж. Собственно, автор статьи пишет о том, что обнаружил в китайских часах для детей (типа часы для того, чтобы следить за перемещением детей) уязвимость, позволяющую следить не только за своими детьми, но и за любыми. Производитель Wherecom (часы продаются под разными брендами, в том числе в России под брендом Elari) весьма неохотно и вяло реагирует на информацию об уязвимостях и чинит не спеша. Так что родители, вы там внимательно следите за тем, что покупаете своим детям (и критично относитесь к рекламе).

https://pikabu.ru/story/detskie_smartchasyi_i_illyuziya_bezopasnosti_6029400

Тут читатели сообщают, что у Яндекса опять найдётся все! Павел Медведев обнаружил новую утечку документов граждан РФ на множестве сайтов, в том числе в доменах Сбербанка и других, через поисковые запросы к Яндексу. Яндекс — найдётся всё (и ваши паспорта тоже)!
https://habr.com/post/417219/

С вот таким вот примером запроса в поисковик можно найти много всего интересного:
https://yandex.ru/search/touch/?text=inurl%3A0%20inurl%3Ab%20inurl%3A1%20inurl%3Ac%20%D1%81%D1%82%D0%B0%D1%82%D1%83%D1%81%20%D0%B7%D0%B0%D0%BA%D0%B0%D0%B7%D0%B0&lr=213&redircnt=1531472731.1

АПД все новое - это хорошо забытое старое. Ещё 2011 год
https://ezhoping.wordpress.com/2011/07/27/inurl-0-inurl-b-inurl-1-inurl-c/

========== РЕКЛАМА ==========

В продолжение темы фишинга. Разовые проверки — это хорошо, но для корпоративной безопасности важнее регулярно проверять и обучать всех сотрудников. Делать это можно с помощью системы Антифишинг: www.antiphish.ru. В лицензию входят курсы по безопасности: www.antiphish.ru/courses и поддержка с подпиской на шаблоны целевых атак для вашей компании. Ребята ведут собственные психологические исследования, а интересные примеры фишинга и других атак на людей каждую неделю собирают в открытом дайджесте: blog.antiphish.ru. Для подписчиков канала к лицензии Антифишинга на год добавится месяц в подарок, промо-код: «Информация опасносте».

==============================

Привет! Есть такой файл-шаринговый сервис Mega, который когда-то с большой помпой запускал известный интернет-предприниматель Kim Dotcom. В интернете нашли файлик, в котором содержится около 15,5 тысяч пользовательских логинов, паролей, и списки файлов, размещенных в этих аккаунтах (всего в сервисе зарегистрировано 115 млн пользователей). В одном из аккаунтов обнаружили имена файлов, которые позволяют предположить, что там хранятся видео, содержащие сцены насилия над детьми. Сервис утверждает, что весь контент шифруется, поэтому они знать не знают, что там хранится, но при этом не предлагают двухфакторной авторизации для защиты от несанкционированного доступа

https://www.zdnet.com/article/thousands-of-mega-logins-dumped-online-exposing-user-files/

10 базовых и полезных советов о том, как обезопасить себя и свои данные в интернете. Статья от ЛК, поэтому изобилует ссылками на продукты компании, но от этого суть советов не меняется:

- Проверяйте настройки приватности социальных сервисов
- Не пользуйтесь публичными сервисами для хранения файлов с личной информацией
- Избегайте трекинга (приватные режимы в браузере, блокировщики рекламы и трекеров, и тд)
- Не раздавайте свои имейлы и телефоны направо и налево
- Пользуйтесь мессенджерами с шифрованием end-to-end
- Гигиена паролей (сложные пароли, избегайте повторного использования паролей)
- Проверяйте, каким приложениям и с какими правами вы даете доступ к своим социальным сервисам
- Защищайте телефоны и компьютеры паролями и биометрией
- Отключайте уведомления, показывающиеся на экране блокировки
- Используйте VPN в публичных сетях (хотя, впрочем, и не только там)

https://me-en.kaspersky.com/blog/privacy-ten-tips-2018/11419/?es_p=7138309

говоря, кстати, о настройках приватности. В штатах есть такой популярный сервис для платежей с мобильного телефона, или же переводов денег между физлицами — Venmo (принадлежит PayPal). Так вот, у них по умолчанию данные о транзакциях пользователей — ПУБЛИЧНЫЕ. Реально, платежи и переводы видны кому угодно в интернете. (кстати, 7 миллионов активных пользователей в месяц). Кому пришла такая прекрасная идея в голову — не понимаю. Но вот тут опубликовали интересный проект об изучении поведения пользователей на базе 207 миллионов транзакций — имена, время транзакции (сумма транзакции недоступна), юзерпик, комментарии к транзакции.

https://22-8miles.com/public-by-default/

(все доступно по совершенно открытому и публичному API https://venmo.com/api/v5/public?limit=1)

И немножко юмора разбавить все это. Буквально «выдернуть шнур, выдавить стекло», только в немного другом порядке.

Так, комментарий про USB Accessories mode в iOS 12 beta. Одни написали не разобравшись (https://www.trustedreviews.com/news/ios-12-usb-restricted-passcode-iphone-3509225), другие давай “локализовать контент” (читай, перевод-рерайт-клики нужны для рекламы-потому что кушать хочется) уже на русском языке. Речь идет о том, что якобы в beta 4 iOS 12 Apple изменила поведение режима USB accessories, и теперь система будет требовать ввода пароля при каждом подключении USB-аксессуара. Пока что подтверждения этому изменению от экспертов нет, все работает как и раньше, никаких требований ввести пароль при подключении USB-аксессуара не появилось. Скорей всего, возникла путаница именно с тем, что при подключении к аксессуару час устройства не были разблокированы, и поэтому просили пароль. Короче, не читайте советских газет.

Парочка ссылок и комментариев от читателей (вы лучшие!):

1. “Синема Парк – национальная сеть кинотеатров №1 в России. Предлагает вводить данные карты по http, при этом «Сайт полностью отвечает стандартам безопасности Visa и MasterCard» )))”

Хорошие новости, что совсем скоро Chrome будет сайты с http отмечать как небезопасные, может быть, таки дойдет до некоторых, что пора бы уже озаботиться нормальным сертификатом.
Да, оплата во фрейме по https, но осадочек остается (сайт не отвечает PCI-DSS, а фрейм - да)

2. ИБ-специалисты регулярно обнаруживают в интернете плохо настроенные установки MongoDB, что уже не раз приводило к утечкам данных. Но на этот раз найденная экспертами незащищенная база MongoDB помогла выявить масштабную кардерскую кампанию по отмыванию денег.

https://xakep.ru/2018/07/18/carders-and-games/

3. На страницах IoT-поисковика ZoomEye обнаружены учетные данные десятков тысяч видеорегистраторов Dahua, работающих на старых прошивках. За три запроса можно найти пароли и логины к примерно 30 000 устройств.

https://www.bleepingcomputer.com/news/security/passwords-for-tens-of-thousands-of-dahua-devices-cached-in-iot-search-engine/
https://tproger.ru/news/passwords-dahua-devices/

4. Возвращаясь к теме выкладки приватных данных в публичные сервисы (поиск Яндекс по документам Google хорошо это показал). По рассказу читателя, в github тоже можно найти много интересного, включая токены, пароли и проч). %username%, будь осторожен!

помните, я пару дней назад писал про сервис переводов Venmo, который по умолчанию делает транзакции публичными (имя пользователя, фото, комментарий)

https://t.me/alexmakus/2250

Так вот, кто-то завел веселый твиттер, который парсит комментарии и твитит каждого, кто платит на venmo с комментариями про наркотики, алкоголь или секс

https://twitter.com/venmodrugs

страничка проекта на гитхабе
https://github.com/joel-g/venmo_tweeter

вчера меня (я даже соглашусь, что частично заслуженно) упрекнули в том, что я выделил одну компанию с http сайтом (пусть даже и фреймом https для платежей), хотя таких примеров огромное количество. Тогда вот вам общеобразовательная статья на тему того, почему сайту нужен HTTPS, даже если сайт не использует логинов, не хранит приватной информации или данных кредитных карт, с хорошими примерами о том, что бывает даже со статичными сайтами без https

https://www.troyhunt.com/heres-why-your-static-website-needs-https/

у Motherboard очень интересная статья о фейковом китайском iPhone, который выглядит весьма похожим на настоящий — и упаковка, и устройство, и дизайн операционной системы. Внутри оказываются бекдор в браузер, позволяющие удаленно запускать код, бекдор, сливающий кучу всякой информации об устройстве, информация об iCloud-аккаунте тоже хранится практически в открытом виде (хотя непонятно, наверно же, к iCloud-то как раз этот телефон подключиться не смог бы?). Короче, остерегайтесь дешевых айфонов!

https://motherboard.vice.com/en_us/article/qvmkdd/counterfeit-iphone-x-review-and-teardown

современные ограбления банков - весьма высокотехнологическая штука! Тут вот у ПИР-банка украли более 58 млн рублей с корсчета банка в Банке Россия. Общая информация об этом у Коммерсанта
https://www.kommersant.ru/doc/3677400

В очередной раз отличилась группа MoneyTaker, вот отчёт из прошлого года о том, как они работают
https://www.group-ib.com/blog/moneytaker

Вот статья на русском об этом ограблении
https://xakep.ru/2018/07/20/moneytaker-strikes-again/

Как выяснили аналитики Group-IB, атака на ПИР Банк началась еще в конце мая 2018 года. Предполагаемой точкой входа стало скомпрометированное сетевое устройство (маршрутизатор), стоящее в одном из территориальных подразделений банка. На этом маршрутизаторе были настроены туннели, позволившие атакующим получить доступ в локальную сеть финансового учреждения. В Group-IB подчеркивают: такой способ проникновения в сеть является характерным для группы MoneyTaker. Как минимум трижды хакеры уже использовался эту схему при атаках на банки, имеющих региональную филиальную сеть.

Для закрепления в системе и автоматизации некоторых этапов атаки хакеры MoneyTaker как правило используют скрипты на PowerShell, что отмечалось еще в прошлом отчете. Проникнув в основную сеть ПИР банка, злоумышленники смогли получить доступ к АРМ КБР, сформировать платежные поручения и отправить несколькими траншами деньги «в рейс» на заранее подготовленные счета.

А в Сингапуре вот взломали базу данных медпациентов сети клиник SingHealth. Имена, адреса, пол, раса, дата рождения - и все это на полтора миллиона человек. Плюс рецепты на лекарства - еще на 160 тыс человек. Вся информация опасносте!

https://www.moh.gov.sg/content/moh_web/home/pressRoom/pressRoomItemRelease/2018/singhealth-s-it-system-target-of-cyberattack.html

RedHat выпустили тулзу для сканирования на предмет наличия уязвимости на Spectre, вариант 1

https://access.redhat.com/blogs/766093/posts/3510331

получил недавно вот такое письмо от Google о том, что только их родной клиент для Gmail тру безопасный, а вот остальные могут быть не очень. Ну не знаю, Гугол, не знаю...

В картинке постом выше мне очень не понравилось еще, что оно выглядит как будто кто-то левый ходил в мой аккаунт и читал из него почту. Подозреваю, что менее осведомлённые пользователи и понимающие разницу, могут в панике побежать поставить приложение Gmail, раз Гугл советует. А там, глядишь, и фишинг в таком виде подтянется.

И кстати о Google и Gmail. Читатель канала поделился ссылкой о том, что новый «режим конфиденциальности» в Gmail не такой уж конфиденциальный, так что если вы его используете - то учитывайте это

http://www.eff.org/deeplinks/2018/07/between-you-me-and-google-problems-gmails-confidential-mode