Взлом + Информационная безопасность

Затем появляется звездочка (тоесть на профиле премиум).

Как это могло произойти?

1. SIM-свопинг? Нет, мой номер остался при мне, СМС приходят.

2. Вирус? Антивирусом все проверил - чисто , пароли нигде не светились.

3. Уязвимость в Telegram? По ссылкам нигде не переходил.

Факт: кто-то получил доступ без СМС, сменил почту и номер, а поддержка не реагирует.

Вывод: Telegram — не крепость

Многие верят в его "безопасность", но:

• Нет поддежки в критических ситуациях.

• СМС-верификация может быть отключена без альтернатив.

• Аккаунт можно украсть, а вернуть — почти невозможно.

Возникает вопрос: как у такого месенджера такая служба поддержки (прочитал, что работают только волонтеры и большая редкость, что она может ответить). Как обошли защиту и как сделали все так по убогому, что имея на руках номер телефона ты не можешь войти никак, если не купил премиум. И какой смысл от взлома, если взломщики даже никому не пишут из моих контактов.

Может кто то, что то подскажет как быть в данной ситуации???

По умолчанию, на сайте британского здания, статьи отмеченные как "Sun Сlub" EXCLUSIVE, доступные только за платную подписку.

Но интернет-поисковик и переводчик, дают полный и бесплатный доступ к закрытым платным статьям(которые при обычном показе показывают только баннер и с предложением оплатить подписку).

Аналогичная проблема может встречаться и у других англоязычных популярных новостных изданий и т.п.

ПРИЧИНА.
В данном случае это произошло из-за непродуманности самого сайта издания, который полностью открывает платные статьи, для онлайн-переводчиков страниц.

КАК ВЫГЛЯДИТ БАГ?
(ПОЗВОЛЯЮЩИЙ ЧИТАТЬ БЕСПЛАТНО СТАТЬИ ИЗ ПЛАТНЫХ РУБРИК).

1. Копируется ссылка на статью из платной рубрики "Sun Сlub" , и вставляется в поисковую строку Яндекса или Google, затем нажимается кнопка поиска или Enter.
   Можно иногда скопировать и вставить не ссылку, а точное название статьи.
   
   2. В результата поиска на первой полосе, появится ссылка на эксклюзивную статью из рубрики "Sun Сub".
   
   3. При нажатии на три точки справа от статьи, можно найти пункт меню "Перевести"
   
   4. Открывается новая вкладка, где статья из "Sun Сlub" не только переведена, но и доступна до самого конца.

Как видно нам скриншоте, мы до конца прочитали эксклюзивную статью, ничего не оплачивая.

ВЫВОД.
Владельцам британского таблоида "The sun" передается привет, и пожелание улучшить защиту своего сайта, обновив его движок, и закрыв доступ онлайн-переводчиков к полным версиям статей сайта.
Чтобы с помощью таких примитивных лайфхаков, никто не мог взломать сайт.

Материал взят из поста в телеграм-канале: https://t.me/Russian_OSINT/5612

Есть сайты, которые продают приватные читы для видеоигр от рандомных команд.

На одном из относительно популярных сайтов для покупки читов (70к визитов в месяц — по данным Similarweb) обнаружилась интересная штука.

При покупке чита предъявляются следующие требования:

Требования чита XYZ для игры Squad:

▪️Поддерживает только GPT (MBR не поддерживаем)

▪️Отключить Secure boot и TPM, Ваш Bios должен быть в формате UEFI

▪️Intel и AMD с поддержкой AVX1

▪️Windows 10 (2004, 20H2, 21H1, 21H2, 22H2), Windows 11

Подписчик пожаловался, что после установки читы стали происходить странные аномалии
— фризы, постоянные капчи в браузере.
Может ли это быть руткит?

Возможно паранойя, но попробуем порассуждать на эту тему в контексте кибербезопасности...

Что смутило?
Отключение Secure Boot, TPM, переход на GPT-разметку и запуск системы в режиме UEFI.

1️⃣ Отключение Secure Boot устраняет критически важный механизм контроля целостности загрузки UEFI, позволяя запускать неподписанные или модифицированные загрузчики и .efi-драйверы на раннем этапе инициализации системы.

Когда продавец чита требует отключить Secure Boot, он, по сути, просит пользователя довериться на "слово".

Становится возможна загрузка неподписанных или модифицированных драйверов и загрузчиков, что создаёт оптимальные условия для внедрения вредоносного кода на уровне ядра до запуска защитных механизмов Windows.

2️⃣ Отключение TPM снижает уровень аппаратной защиты и ослабляет механизмы контроля целостности загрузки, делая систему уязвимой для атак на загрузочную среду и обхода BitLocker, VBS и HVCI.

В сочетании с отключённым Secure Boot создаётся среда, в которой вредоносные или модифицированные загрузчики и драйверы могут работать практически без ограничений, оставаясь незаметными для стандартных средств защиты Windows.

3️⃣ Требование использования GPT и режима UEFI, особенно при отключённом Secure Boot, указывает на взаимодействие чита с системой на низком уровне
— через загрузчики или EFI-драйверы, облегчая внедрение собственных компонентов в процесс загрузки Windows/

А в отдельных случаях может быть использовано для реализации устойчивых угроз, таких как UEFI-руткиты (например, LoJax, BlackLotus, MosaicRegressor), которые интегрируются в прошивку материнской платы (SPI-flash) и способны сохраняться даже после переустановки ОС.

4️⃣ Когда чит получает привилегии уровня ядра, то он может осуществлять прямой доступ к физической памяти, скрывать свои процессы, вмешиваться в работу антивирусов, изменять системные вызовы и поведение API.

Особенно опасны случаи загрузки неподписанных драйверов.

5️⃣ Требование AVX (Advanced Vector Extensions).
Требование поддержки AVX обычно связано с необходимостью выполнения ресурсоёмких операций, таких как баллистические вычисления или обработка данных в реальном времени, но может также использоваться для шифрования, сжатия и обфускации кода.

Вредоносные загрузчики иногда применяют AVX-инструкции для расшифровки полезной нагрузки непосредственно в памяти во время выполнения, что затрудняет статический анализ и позволяет скрыть вредоносный код от антивирусов и EDR-систем до момента активации.

Использование читов, требующих ручного отключения механизмов загрузочной защиты, фактически означает полную потерю доверия к целостности и безопасности операционной системы.

В очень редких случаях злоумышленники могут даже попытаться затруднить анализ сетевого трафика типа Wireshark, однако применение таких техник среди рядовых приватных читов практически не встречается (я не слышал).

С учётом всех вышеперечисленных моментов (совокупно) нельзя сказать о 100% вредоносное (может у подписчика дело в другом), тут речь идёт о потенциальных рисках.

Ставить приват-чит на систему с важными данными за 400 рублей в месяц от ноунейм чит-девелопера — идея, сомнительная.

Техническая сторона вопроса c Secure Boot, TPM и UEFI показалась интересной.

Предупреждение!
Информация в статье носит ознакомительный характер, не носит рекомендательный характер, а выполнение действий из нее является вашим риском и ответственностью.

Есть следующая проблема:
Преступники получая доступ к сим-карте жертвы (а значит-ко всем приходящим смс-кодам и звонкам), спокойно могут получить доступ ко всем аккаунтам жертвы через функции восстановления доступ и пароля по смс или звонку робота..

Способов получить доступ к сим-карте-много.
Преступникам не обязательно даже быть в сговоре с сообщником который работает на оператора сотовой связи. т.к есть ряд простых хитростей и уловок.

Защитить свою сим-карту при атаке профессиональных преступников иногда нереально, если аккаунты жертвы представляют большой интерес и ценность (стоимость и прибыль с аккаунтов, личность человека, деятельность и тематика аккаунтов мешает кому-то и т.д).

ОДИН ИЗ ПРОСТЫХ СПОСОБОВ ЗАЩИТЫ.

Никто кроме вас не должен знать, на какую сим-карту (на какой сотовый номер телефона) оформлены аккаунты, а сама сим-карта не должна светиться нигде больше!

Для ценных аккаунтов у вас должна быть новая, отдельная сим-карта, которая использоваться должна чисто под регистрацию для аккаунтов.
И нигде больше. Даже регистрировать какие-то магазинные карты, аккаунты в других сервисах и т.д нельзя.

Почему?
А потому, что в последние годы утекли в общий доступ или даркнет, базы данных разных организаций, где были ФИО и номера клиентов.
При изучении этих утечек, хакер зная сотовые номера телефонов жертвы, могут начать попытку взлома.

Если хакеры или какое-то лицо работает именно против вас конкретно
-есть риск, что ваш противник будет знать все ваши сотовые номера, или даже сотовые номера ваших родственников и окружения, если противник имеет своих заинтересованных людей среди работников сотой связи и т.д.

В таком случае:

1. Сим-карта должна быть на том лице, которое не ассоциируется с вами у противника и общества.

Можно конечно арендовать долгосрочно виртуальный номер и не светить его нигде, кроме регистрации нужных вам аккаунтов.

Но если виртуальный сервис закроется ,станет недоступным и т.д
-вы потеряете доступ к номеру, и без этого номера не сможете потом восстанавливать логин и пароль аккаунта, иногда и войти в аккаунт, подтвердить ряд действий в аккаунте-сервисе и т.д.

Сервисы виртуальных номеров по запросу полиции и спецслужб
-без возражений раскрывают все данные о владельце виртуального номера(ip-адрес, настоящий мобильный номер, аккаунт с которого заказывался виртуальный номер и .п.)

ВНИМАНИЕ!

Так-же нужно учесть, если вы оформляете сим-карту не на себя, а другое лицо
- оно может само в любой момент с паспортом в офисе оператора восстановить сим-карту (т.к оно по документам владелец сим-карты), и с этого момента получить доступ к вашим аккаунтам через функции восстановления пароля и т.д.

Все здесь зависит от надежности лица, на которое вы решили оформить сим-карту.

2. Новая сим-карта для ваших аккаунтов, должна вставляться в абсолютно новый и не засвеченный телефон (можно для этого дешево купить звонилку или примитивный смартфон).

Почему?
Если за вами ярая слежка, то сотовый оператор видит, какие сим-карты вставляют в телефон.

Т.е сначала оператор зная сим-карту на ваше имя, по ней смотрит в каком телефоне она вставлена. Само телефон-устройство - запоминается по его уникальному imei.

А далее-какую бы сим-карту вы бы не вставили в смартфон(даже если сим-карта оформлена на алкоголика с соседнего квартала, которого вы впервые видите), то оператор один раз запомнив imei вашего устройства-смартфона, будет знать, какие сим-карты вы вставляете в устройство.

Поэтому-смартфон для левых сим-карт должен покупать новый, куда не вставлялись никакие сим-карты связанные с вами и вашим окружением.

3. Левая незасвеченная сим-карта, должна один раз в месяц совершать платное действие, иначе сотовый оператор через пол года, закроет вашу сим-карту, а ваш сотовый номер выставит на продажу, и в итоге отдаст другому человек.

А тот человек невольно получит доступ к вашим аккаунтам, даже при попытке создать свой новой аккаунт в той же соц.сети или сервисе.

4. Телефон где стоит ваша сим-карта для аккаунтов, должен быть всегда включении просматриваться.
Т.к если хакеры начнут атаковывать ваш аккаунт, то на него начнут проходить всякие смс с уведомлениями, кодами и т.д.
Это позволит быть вам моментально в курсе атаки и проблем.

5. Не отвечайте на смс, сообщения в мессенджерах и звонки на левой сим-карте, и не переходите ни по каким ссылкам в сообщениях
Т.к кроме вас лично, ее никто не должен знать, а значит, на нее могут писать и звонить только хакеры, мошенники, спамеры и т.д.

6. В телефон, где стоит ваша сим-карта для ценных аккаунтов, не устанавливайте никаких приложений, и не подключайте интернет.
Так вы лишите хакеров еще ряда путей для атаки и слежки.

7. Выключайте различные соединения типа wi-fi, Bluetooth и т.д. т.к эти каналы тоже являются путем атаки для хакеров, если хакер находится недалеко от вашего телефона.

ПРИКРЕПЛЕННЫЕ электронные ящики, другие аккаунты и т.д,
-еще один способ для деанона и взлома.

Обычно соц.сети и сервисы требуют прикрепить электронный ящик для возможного восстановления аккаунта и т.п.

И здесь снова есть правила безопасности, при нарушении которых, через прикрепленный ящик и доп.аккаунты, ваш ценный аккаунт могут взломать или близко к нему подобраться.

1. Прикрепляемый электронный ящик(email) и доп.аккаунт, должен быть новым, созданным абсолютно с ноля.

Т.к старые электронные ящики уже засвечены, и ассоциируются с вами. Через атаку на известные засвеченные электронные ящики, у хакеров есть шанс добраться и до вашего аккаунта через Восстановления пароля аккаунта.

2. Прикрепляемый электронный ящик(email) и доп.аккаунт, не должен больше ни для чего использоваться, кроме как для регистрации ваших ценных аккаунтов.
Иначе при использовании утечек баз данных ряда сайтов, сервисов и организаций, ваш электронный ящик будет засвечен.

3. Название-логин электронного ящика и доп.аккаунтов, не должно даже намекать на сведения, связанные с вами.
Иначе, если хакеры доберутся до утечек со списком электронных ящиков, они уже смогут заподозрить, что ящик принадлежит вам и начать атаку на ящик.

4. Прикрепляемый электронный ящик(email) и доп.аккаунт, должен регистрироваться заводиться только на не засвеченном устройстве и незасвеченной сим-карте.

Иначе у хакеров может появиться зацепка, если у них есть данные о вашем устройстве и его уникальных номерах и т.д.

Т.к в почтовом электроном сервисе ведется лог-журнал, где записываются все действиях, и с каких ip-адресов они совершались, и с каких устройств.

Если вы зарегистрируете новый ящик со старого засвеченного устройства или с известной всем старой сим-карты - можно считать что вы уже засветились.

ОПРЕДЕЛЕНИЕ ВАШЕЙ ЛЕВОЙ СИМ-КАРТЫ ПО ВАШЕМУ МЕСТОПОЛОЖЕНИЮ И ЛОКАЦИЯМ(БИЛЛИНГ)

Это еще одна проблема, если против вас сильный противник, который заодно с операторами сотовой связи и т.д.

Если он поймет что потерпел неудачу, из-за того что ему не удается узнать сим-карту на которую зарегистрированный ценный аккаунт, то у него остается еще один способ-биллинг.

Сотовый оператор видит, где примерно находится ваша известная всем сим-карта. Изучив, какие сим-карты находятся рядом, и никогда не перемещаются в другие места, можно уже составить догадки, какая из этих сим-карт является вашей левой сим-картой.

Но если вы будете носить смартфон с левыми симками с собой
-то тогда оператор легко точно определит, что это ваша левая сим-карта).

Есть конечно вариант-хранить телефон с левыми сим-картами в том месте, которое не связано сильно с вами, и противник не додумается что там надо проводить сканирование-биллинг.

УСТРОЙСТВА НА КОТОРЫХ СТОЯТ ЛЕВЫЕ СИМ-КАРТЫ И НА КОТОРЫХ ВЕДУТСЯ ЦЕННЫЕ АККАУНТЫ - должны быть разными.

Т.е с одного смартфоны вы ведете ценные аккаунты.
А в другом смартфоне стоят левые сим-карты на которые зарегистрированы аккаунты.

Тогда, если хакеры через атаку на аккаунты, выйдут на смартфон с которого вы ведете аккаунты, то они не смогут выйти на сим-карты и номер, на котором зарегистрированы аккаунты.
Т.к сим-карты находятся в совсем другом устройстве.

НЕЛЬЗЯ ВСЕ АККАУНТЫ РЕГИСТРИРОВАТЬ ТОЛЬКО НА ОДНУ СИМ-КАРТУ.
Минимум должно быть две сим-карт.
На одну сим-карту зарегистрировать одну часть аккаунтов в соц.сетях, на другую сим-карту зарегистрировать другую часть аккаунтов.

Иначе, если хакеры все-таки получат доступ к одной из сим-карт, вы потеряете все аккаунты разом.
А так вы сохраните часть аккаунтов, с которых вы моете предупредить людей и аудиторию аккаунтов, через посты, что аккаунты в других соц.сетях у вас угнали.

В идеале, каждый аккаунт в каждой соц.сети, должен быть зарегистрирован на отдельную сим-карту.
Тогда при угоне одной сим-карты, будет намного меньше урон и потери.

ЛУЧШЕ ИСПОЛЬЗОВАТЬ ИНОСТРАНЫЕ СИМ-КАРТЫ(сотовые номера), ЭЛЕКТРОННЫЕ ЯЩИКИ ИНОСТРАНЫХ ПОЧТОВЫХ СЕРВИСОВ И Т.Д, ПРИКРЕПЛЕМЫЕ НА ВАШ АККАУНТ.

Т.к в вашей стране, серьезный противник со связями, легко может попросить работников сотовой связи и различных сервисов, сделать ему дубликат вашей сим-карты под видом восстановления, раскрыть все данные о вашем электроном ящике, аккаунте в сервисе и т.д.

При использовании сим-карт, электронных ящиков и т.д иностранных провайдеров и сервисов, и влиятельного противника будет уже меньше возможностей.