446475
Канал №1 на тему хакинга и информационной безопасности в телеграм. Обратная связь: @hackerless_bot Сотрудничество, реклама: @workhouse_price Канал в реестре РКН: https://clck.ru/3FgdFY
😈 Senior-безопасник создал крутейший канал про ИБ
Благодаря простым картинкам даже новичок поймет основы хакинга и информационной безопасности.
Присоединяйтесь: @infosec
😈 Россиян снова скамят от имени Ozon
❗️ Мошенники, пытаясь получить доступ к данным россиян, используют фишинговые атаки от имени маркетплейса Ozon — об этом граждан предупредили в МВД России
По их данным, на зеркальном сайте Ozon, предлагают получить промокод на 10 тыс. рублей в честь дня рождения
Заинтересовавшихся этим «предложением» потенциальных жертв просят связаться с «личным менеджером» через мессенджер WhatsApp
— В случае перехода терятется доступ к учётной записи и конфиденциальным данным
Ozon сообщил, что сайт удалось заблокировать
🗣 Ссылка на чтиво
🧑💻 Этичный хакер
😈 Операция Talent: закрыты хак-форумы Cracked и Nulled
— Правоохранители провели международную операцию Talent, в рамках которой были закрыты такие сайты, как cracked.io, cracked.to, nulled.to, starkrdp.io, mysellix.io и sellix.io
Европол и полиция Германии подтвердили арест двух подозреваемых и захват 17 серверов
❗️ Cracked и Nulled — два крупных хак-форума, насчитывающих более 10 млн пользователей. В основном эти ресурсы были ориентированы на кражу паролей, взлом и credential-stuffing атаки
На сайтах также публиковались хакерские инструменты, включая тулзы и скрипты для поиска уязвимостей и оптимизации атак, конфиги для credential-stuffing инструментов (таких как OpenBullet и SilverBullet)
😈 10 лучших инструментов для оценки уязвимостей и тестирования на проникновение (VAPT) в 2025 году
— Инструменты оценки уязвимостей и тестирования на проникновение (VAPT) являются неотъемлемой частью любого инструментария кибербезопасности и играют важную роль в выявлении, анализе и устранении уязвимостей в компьютерных системах, сетях, приложениях и ИТ-инфраструктуре
Лучшие инструменты VAPT в 2025 году:
— Wireshark: это анализатор сетевых протоколов, который фиксирует и интерактивно просматривает трафик, работающий в компьютерной сети.
— NMAP: это инструмент сканирования сети, используемый для обнаружения хостов и служб в компьютерной сети путем отправки пакетов и анализа ответов.
— Metasploit: это мощный инструмент для разработки и выполнения эксплойт-кода на удаленной целевой машине для выявления уязвимостей.
— Burp Suite: Интегрированная платформа для тестирования безопасности веб-приложений, включая зондирование уязвимостей и перехват трафика.
— OpenVAS: это фреймворк с открытым исходным кодом, который состоит из нескольких сервисов и инструментов, предлагающих комплексные и мощные решения для сканирования уязвимостей и управления уязвимостями.
— Nessus: это широко используемый сканер уязвимостей, который анализирует сети для выявления потенциальных рисков безопасности в сетевых системах для устранения.
— Nikto: Сканер веб-сервера, который проверяет веб-серверы на предмет опасных файлов, устаревшего программного обеспечения и других потенциальных проблем.
— Indusface: комплексное решение для обеспечения безопасности приложений, которое обеспечивает автоматизированное сканирование веб- и мобильных приложений в сочетании с ручным тестированием на проникновение.
— Acunetix: это сканер веб-уязвимостей, который автоматически проверяет веб-сайты на наличие уязвимостей безопасности, таких как SQL-впрыск и межсайтовые сценарии.
— SQLMap: это инструмент тестирования на проникновение с открытым исходным кодом, который автоматизирует процесс обнаружения и использования недостатков SQL-инъекции и захвата серверов баз данных.
😈 Взлом госуслуг: мифы и реальность
— В данной статье Лука Сафонов постарается выяснить что из взлома госуслуг миф и выдумки, а что является правдой, а для этого придется самому взломать госуслуги
Лука Сафонов — эксперт в сфере информационной безопасности, основатель компании «Киберполигон». В прошлом — руководитель Лаборатории практического анализа защищённости Центра информационной безопасности компании «Инфосистемы Джет»
😈 Facebook** признала ошибку при блокировке тем, связанных с Linux
❗️ Социальная сеть Facebook заявила, что блокировка публикаций, связанных с Linux, была ошибочной и уже исправлена
— Представитель компании сообщил, что ограничение было снято, а обсуждение Linux по‑прежнему разрешено в соцсети
Причины первоначальной блокировки остаются неясными. Facebook не пояснила, из‑за чего произошло ограничение тем, связанных с Linux
🗣 Ссылка на чтиво
🧑💻 Этичный хакер
😈 Введение в IPv6 адреса: как пользоваться и как исследовать сеть
IPv6-адрес (Internet Protocol Version 6 address) — цифровая метка, используемая для идентификации сетевого интерфейса компьютера или любого другого сетевого узла, работающего в IPv6-сети
В отличие от обычного IP-адреса, например, 192.168.0.3, IPv6-адрес имеет вид 2001:0db8:85a3:0000:0000:8a2e:0370:7334
😈 DeepSeek допустил утечку данных более чем на миллион записей
Эксперты из компании Wiz, специализирующейся на облачной безопасности, выяснили, что DeepSeek оставил одну из своих баз данных открытой для всех
❗️ В ней было более миллиона записей, включая системные логи, запросы пользователей и их API-ключи
«Ошибки случаются, но здесь утечка была слишком серьезной и легко обнаруживаемой», — отметил CTO Wiz Ами Луттвак
— По его словам, DeepSeek пока не готов работать с конфиденциальной информацией
😈 Фишинг и разведка: Gemini стал наёмником в кибератаках
— Иностранные хакеры активно используют технологии ИИ для повышения эффективности кибератак на цели по всему миру, включая США
‼️ По данным Google, десятки хакерских групп в более чем 20 странах за последний год прибегли к помощи чат-бота Gemini при написании вредоносного кода, поиске уязвимостей и сборе информации о потенциальных жертвах атак
В прошлом году OpenAI также зафиксировала активность пяти зарубежных хакерских групп, использовавших ChatGPT
🗣 Ссылка на чтиво
🧑💻 Этичный хакер
😈 DeepSeek ограничивает регистрацию новых аккаунтов из-за масштабной кибератаки
‼️ Китайская ИИ-компания DeepSeek заявила, что из-за «масштабных кибератак» на свои сервисы она вынуждена временно ограничить регистрацию новых аккаунтов
«Из-за крупномасштабных вредоносных атак на сервисы DeepSeek мы временно ограничиваем регистрацию, чтобы обеспечить непрерывность обслуживания. Существующие пользователи могут войти в систему как обычно. Спасибо за ваше понимание и поддержку», — гласит сообщение на статус-странице DeepSeek
😈 Хакеры взломали аккаунт поддержки Ozon в VK
‼️ Минувшей ночью хакеры взломали аккаунт службы поддержки Ozon в соцсети "ВКонтакте" и запустили массовую фишинговую рассылку
В сообщениях сообщалось, что компания отмечает годовщину и запускает розыгрыш призов — для участия в конкурсе надо перейти по ссылкам
«Сегодня ночью злоумышленники получили доступ к аккаунту сотрудника службы поддержки официального сообщества "ВКонтакте" и запустили фишинговую рассылку
Мы в курсе ситуации, и сейчас доступ восстановлен, а рассылка прекращена. Фишинговые сообщения, отправленные пользователям, были удалены
Если вы получили сообщение от мошенников, ни в коем случае не переходите по ссылкам», — официальный комментарий от представителей Ozon
Sam Altman: Богатство поколений после
превращения OpenAL в
коммерческую компанию
— Deepseek R1 доступен бесплатно и
продается за 6 миллионов долларов
🧑💻 Этичный хакер
😈 Криптоанализ шифра Виженера: как реализовать и взломать
Шифр Виженера — это метод полиалфавитного шифрования буквенного текста с использованием ключевого слова
Этот метод является простой формой многоалфавитной замены
Впервые этот метод описал Джованни Баттиста Беллазо в 1553 году, однако в XIX веке получил имя Блеза Виженера, французского дипломата
Метод прост для понимания и реализации, но является недоступным для простых методов криптоанализа
😈 Беларусь вводит трёхдневную блокировку внешнего интернет-трафика
‼️ С 25 января по 27 января 2025 года белорусские хостинг-провайдеры ограничат доступ к виртуальному хостингу из-за пределов Республики Беларусь
— Эта мера введена в соответствии с распоряжением Оперативно-аналитического центра при Президенте Республики Беларусь и обусловлена угрозами для объектов информационной инфраструктуры и обрабатываемой информации
🗣 Ссылка на чтиво
#Internet #Blocking | 🧑💻 Этичный хакер
Когда решил разобраться в реверс-инжиниринге
🧑💻 Этичный хакер
😈 Топ-менеджера Лаборатории Касперского развели на 10 млн рублей
Мошенники позвонили от лица сотрудников Росфинмониторинга и ФСБ и убедили его отдать им деньги
Советник генерального директора по образовательным проектам, 67-летний Вениамин Гинодман, поверил «руководителям службы безопасности» сразу же
Он снял со своего банковского счета 10 миллионов рублей и отдал их курьеру мошенической схемы
— Сама Лаборатория регулярно рассказывает о новых способах мошенничества и раздаёт советы, как на них не попасться
🧑💻 Этичный хакер
Как реагируют на рекомендации по безопасности
🧑💻 Этичный хакер
😈 Операция Heart Blocker: ликвидация крупного фишингового сервиса
‼️ Правоохранительные органы США и Нидерландов провели операцию «Heart Blocker», в ходе которой ликвидировали фишинговую организацию Saim Raza или HeartSender
HeartSender продавал фишинговые наборы, инструменты для кражи cookie-файлов и другие средства для массовой рассылки вредоносных писем
— Группировка обслуживала тысячи клиентов, предоставляя доступ к панелям управления сайтами (cPanel), SMTP-серверам и взломанным аккаунтам WordPress
🗣 Ссылка на чтиво
🧑💻 Этичный хакер
Когда решил узнать статус исправления уязвимостей
🧑💻 Этичный хакер
😈 Самые важные события в мире инфосека за январь
В данной статье подробно рассмотрим:
— Дональд Трамп помиловал основателя Silk Road Росса Ульбрихта
— Хакеры заявили об атаках на Росреестр и «Ростелеком»
— В в открытый доступ выложили учетные данные 15 тысяч устройств FortiGate
— Обнаружена массовая атака на расширения для Chrome
— Деньги у российских пользователей воруют через NFC
— Опасные туннели
— Ботнет из MikroTik’ов
— Identity Check
— Двойной кликджекинг
— Проблема Google OAuth
🗣 Ссылка на чтиво
🧑💻 Этичный хакер
😈 Аккаунт Tor Project в Twitter взломан для продвижения криптовалютной схемы
‼️ 30 января официальный аккаунт группы в социальной сети X (ранее Twitter) был взломан и использовался для продвижения мошеннической криптовалютной схемы
Проект Tor незамедлительно опубликовал предупреждение по другим каналам связи, включая свой официальный блог и аккаунт Mastodon
— В своем заявлении организация подтвердила факт взлома своей учетной записи X и призвала подписчиков не доверять публикациям, прямым сообщениям или ссылкам
Они заверили пользователей, что предпринимаются усилия по восстановлению контроля над учетной записью.
🗣 Ссылка на чтиво
🧑💻 Этичный хакер
😈 Facebook против Linux
— Facebook начал блокировать посты, содержащие упоминания различных тем, связанных с операционной системой Linux, а также сайтов и групп по данной тематике
Первым о блокировке сообщил портал DistroWatch — крупный информационный ресурс, посвящённый новостям и обзорам операционных систем с открытым исходным кодом
‼️ По данным редакции ресурса, в системе модерации Facebook Linux признан вредоносным программным обеспечением, а связанные с ним группы помечены как «угроза кибербезопасности»
🗣 Ссылка на чтиво
🧑💻 Этичный хакер
Как оценивают выплаты в баг баунти
🧑💻 Этичный хакер
😈 Подборка ресурсов для эскалации привелегий в Linux
Эскалация привилегий — это процесс, при котором злоумышленник получает более высокий уровень доступа к компьютерной системе или сети, чем тот, что ему был первоначально предоставлен
1. Семинар по локальной эскалации привилегий Windows / Linux: семинар по эскалации привилегий охватывает все известные (в то время) векторы атак локальной эскалации привилегий пользователей как в операционных системах Linux, так и в операционных системах Windows и включает в себя слайды, видео, тестовые виртуальные машины
2. linux-exploit-sugester.sh: инструмент аудита эскалации привилегий Linux, написанный на bash
3. linuxprivchecker.py: этот скрипт предназначен для локального выполнения в Linux-системе перечисления базовой системной информации и поиска общих векторов повышения привилегий, таких как файлы, доступные для записи по всему миру, неправильные настройки, пароли с открытым текстом и применимые эксплойты
🧑💻 Этичный хакер
😂 Когда работаешь в этой вашей сесурити
🧑💻 Этичный хакер
😈 Как удалить свою личную информацию из интернета
В этом руководстве мы разберём, как «зачистить» интернет от нежелательных сведений
❗️ Особое внимание уделим российским реалиям — закону «О персональных данных», «праву на забвение», взаимодействию с Роскомнадзором, а также общим стратегическим ходам, которые помогут вам чувствовать себя в сети более защищённо
🗣 Ссылка на чтиво
🧑💻 Этичный хакер
😈 Акции техногигантов в США упали на триллион долларов из-за китайского стартапа
‼️ Американские технологические гиганты — Nvidia, Microsoft, Meta Platforms Inc. и Tesla — в понедельник потеряли в акциях триллион долларов
DeepSeek — китайский стартап произвел фурор в отрасли после запуска бесплатной модели с открытым исходным кодом
— Выход на рынок передовой китайской модели моментально вызвал глобальный кризис, который обрушился на компании и производителей чипов, специализирующихся на искусственном интеллекте
🗣 Ссылка на чтиво
🧑💻 Этичный хакер
😈 OSINT: Инструмент сбора информации о системе
LinEnum — это скрипт оболочки, который автоматизирует процесс перечисления локальной информации из систем Linux
— Он предназначен для выполнения локальных проверок эскалации привилегий и сбора системной информации для целей тестирования и администрирования
Все проверки собраны в один Bash файл, не требующий дополнительных зависимостей
🗣 Репозиторий на GitHub
#Tools #OSINT #Linux | 🧑💻 Этичный хакер
😈 Основы XSS и поиск уязвимых к XSS сайтов (Часть 1)
Межсайтовый скриптинг (XSS) (Cross-Site Scripting) — подтип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника
Самое главное, что нужно понимать про виды XSS то, что они бывают:
🗄 Хранимые (Постоянные):
— Введённое злоумышленником специально сформированное сообщение в гостевую книгу (комментарий, сообщение форума, профиль) которое сохраняется на сервере, загружается с сервера каждый раз, когда пользователи запрашивают отображение этой страницы.
— Злоумышленник получил доступ к данным сервера, например, через SQL инъекцию, и внедрил в выдаваемые пользователю данные злонамеренный JavaScript код (с ки-логерами или с BeEF).
🗄 Отражённые (Непостоянные):
— На сайте присутствует поиск, который вместе с результатами поиска показывает что-то вроде «Вы искали: [строка поиска]», при этом данные не фильтруются должным образом.
🗣 Ссылка на чтиво
#XSS #Vulnerability #Guide | 🧑💻 Этичный хакер