Bitcoin Forum

Предыстория (родственная тема): Безопасность - роутер (https://bitcointalk.org/index.php?topic=2944516.0)

---

---

Получил 2 письма:

• ссылка на смену моего "забытого" пароля:
  Quote
  
  Dear Vadi2323,
  
  This mail was sent because the 'forgot password' function has been applied to your account. To set a new password click the following link:
  
  <ссылка>
  
  IP: 173.224.120.147
  
  Username: Vadi2323
  
  Regards,
  The Bitcoin Forum Team.
• пароль изменён, если это был не я, то поменять снова через восстановление забытого пароля:
  
  Quote
  Dear Vadi2323,
  
  Your Bitcoin Forum (bitcointalk.org) password was just changed by IP address 173.224.120.147 via email recovery. If you did not do this, then you should use the forgotten password feature to change your password.
  
  Regards,
  The Bitcoin Forum Team.

Попробовал войти на форум - пароль действительно не подходит. Сменил через восстановление забытого пароля.

Посмотрел журнал посещений своей почты - там только мой IP, никаких 173.224.120.147.

В настройках почты нет пересылок на другие адреса.

Ну, запрос на изменение пароля сделали скорее всего с VPN или прокси (адрес 173... штатовский, Сент Луис). А изменили пароль с вашего IP. Получается, кто-то имеет доступ к вашей почте, причём через ваш IP. Интернет через роутер раздаётся? А может кто-то из домашних? Ну, как вариант.

Я же написал цитату из письма (см. выше), в письме пишут, что пароль сменили с того же штатовского адреся, т. е. мой ни при чём.

Как вариант больше похоже на неаккуратные действия персонала российского почтового сервиса, на котором у меня почта зарегистрирована. Или типа того. А вот что они хотели посмотреть и кто попросил это сделать - вот это уже интересно.

Специализд оперативно откликнулся на мыло с адреса Француа Ешкере francya767@gmail.com . Нужны доступы:

http://www.hostpic.org/images/1803071340210116.png

А мыло это ушло недавно, 21 февраля

https://i.gyazo.com/6393e54d1aced449c918d487966f2d27.png (https://i.gyazo.com/6393e54d1aced449c918d487966f2d27.png)

https://i.gyazo.com/093d0e3ffc70669679430bf892b82f9f.png (https://i.gyazo.com/093d0e3ffc70669679430bf892b82f9f.png)

Хороший карьерный рост :) Две недели назад скупал крипту, а потом вжууух и борьба с терроризмом

Ссылка : https://forum.bits.media/index.php?/topic/10825-%D1%83%D0%B3%D0%BD%D0%B0%D0%BB%D0%B8-%D1%83%D1%87%D1%91%D1%82%D0%BA%D1%83/&page=3 (https://forum.bits.media/index.php?/topic/10825-%D1%83%D0%B3%D0%BD%D0%B0%D0%BB%D0%B8-%D1%83%D1%87%D1%91%D1%82%D0%BA%D1%83/&page=3)

Эщкере, да....

http://www.muzoko.ru/lil-pump/chto-takoe-eshkere-eshhkere (http://www.muzoko.ru/lil-pump/chto-takoe-eshkere-eshhkere)

Ясно. Сдаётся мне, что дальше писать с этого мыла ему ни к чему. Пусть засечёт время )

Несколько лет назад угоняли почту через уязвимость секретного вопроса, через мобильную версию меняли пароли, либо же просто скачивали без последствий все, что было в почтовом ящике.
Потом этот баг пофиксили основные русские почтовики.
А вот что происходит с БТТ в этом вопросе - мне не известно.

Мне больше всего не нравится вот эта фраза "via email recovery".
Можно галку поставить в "Сессия только с одного IP-адреса"

ps: У меня нет доверия к российским почтовикам, ни к одному. Лучше что-то надежное, шифрованное и не такое распиаренное, как Протон или Тутанота.

pps: Спасибо за то, что открыли картинки. Мне пока не положено их вставлять :)

И пароли, связанные с такой русской почтой - могут быть тоже скомпрометированы.

Каким-то образом получили доступ к твоей почте, возможно брут, либо дыра почтовика если не популярный почтовик использовал, такой вариант не исключен.
Отдел по борьбе с терроризмом расмешил :D какой-то школотрон сидит и пытается инфу нарыть, ещё не хватало, чтобы он написал сразу и по делу, у меня завтра выходной в школе, отправьте побыстрее данные от MEW с секретными ключами для проверки ;D

Какая-то мутная история. И очень мне не нравится.
Вот запись в логах:
https://s8.hostingkartinok.com/uploads/images/2018/03/622f841b86de505e1fc0c20e7a84eee6.png
С разницей в 6 минут?..

Поиск по форуму что-то не дал результатов. Предположений пока было два: что это все еще аукается взлом 2015-го либо что пароль был слабый. Но тогда странная последовательность: запросил пароль для сброса (фактически, предупредил), потом сменил пароль... Почта, судя по всему, не была взломана. Email не менял, видимо, во избежание блокировки. Ощущение, что есть какая-то закавыка на этапе сброса, что от меня ускользает.

Там форум ссылку формирует и высылает на мыло, типа такой https://bitcointalk.org/index.php?action=reminder;sa=setpassword;u=888888;code=zxcVBNMASD . Иногда получается последние 10 цифр угадать (?)

А борец с терроризмом ни при чём, просто на подсосе, пользуясь случаем. Поймать очередной фэйл ) Это старая история.

Время по Москве:

20:21 - хакер запросил сброс пароля
20:50 - хакер сменил пароль (типа по ссылке из письма)
20:55 - я запросил сброс пароля
20:56 - я сменил по ссылке из письма

Как раз разница в 6 минут.

Да, по левому коду пароль не сменишь (проверено только что на вспомогательном аккаунте), а если бы он мог подсмотреть его где-то, угоны приобрели бы массовый характер. Но угадывать... Это ж должна быть какая-то основа, а не тупо с потолка.


Боец мог быть просто совпадением. Или взломщик попытался таким образом пошатнуть хрупкое душевное равновесие испуганного пользователя, чтобы по горячим следам выманить данные.:) Но если так, то e-mail ему точно известен.


Да меня просто удивило, как оперативно Вы среагировали.:)


Однако же, какой провал во времени между первыми двумя действиями.

Если предположить, что для кода восстановления пароля существует определенная маска, то тут угадывать придется гораздо меньше.


https://rovego.livejournal.com/4400387.html
Если идет целенаправленная атака, то она идет с нескольких сторон.
Все же помнят http://dslov.ru/pos/1/p1_324.htm


А вот здесь по моему мнению все очень логично. Полчаса хватит понять - в сети ли атакуемый или нет. Если реакция идет моментально, то про это забывают. В данном случае - очень повезло, что только 36 минут. И атака, если брать время США  - в утреннее, дневное время.
Кто же знал, что в России 20.50 ? :)

Отдельное спасибо ТС, так как многие поменяли пароли в результате прочтения этого топика.

А моё - это "кидала должен платить за попытки". В данном случае придётся расстаться с адреском с Гмэйла. Ибо нефик.

Это уже не первое расставание, ещё кое-что недавно было приведено к общему знаменателю "ноль".


Приятно слышать, но не понял - зачем "многим" пароли менять?

Там по какой-то причине капчу не поставили. А зря.

Эх, да тут вообще есть хоть подобие защиты? :) Например, если несколько раз неверный пароль при входе набирать делают так, что после нескольких попыток надо часок подождать. Как сделано на БТТ - не знаю.


Ваши слова о том, что такой человек должен быть наказан за такое - вот что действительно приятно и правильно.

Про пароли не сложно, сейчас потерять аккаунт будет очень (я даже слово то не подберу в русском языке, кроме одного) обидно.
А потерять что-то серьезное, типа Хиро или Легенды - это просто жуть. И я не говорю про то, что будет сложно восстановить, а про то, человек такого уровня участвует и в более серьезных проектах. И тут вот такое.
Поэтому и была смена паролей, так как если бы произошло чудо и внезапно я бы стал Сеньором (да, я иногда фантазёр), то увидев такой топик - я бы побежал менять свой 21-символьный пароль на 31- символьный :)
Да и в логах видно.

Дело не в паролях. А в возможности обойтись без ввода оных при взломе. Что толку в 31 символе, когда можно пробовать 10 символов вводить, без спецсимволов, без капчи.

Тоже верно. Но допускаю, что все-таки некоторые люди регистрировали отдельный ящик для БТТ. И на их месте я побежал не в почту, а именно на БТТ менять.
Думаю, что форум был не готов к ажиотажу и бешеной куче регистраций и надеюсь, что что-то изменится при переходе на новый движок, потому что SMF 2009 это конечно хорошо, но сейчас то 2018-ый

Мануал, как подстраховаться от потери аккаунта: Как прикрепить за собой аккаунт в Bitcointalk (https://bitcointalk.org/index.php?topic=3075947.0)

Кстати. Энтони, Энтони. Хуентони. AntonyK. Мне какой-то Антон Карташов antonnykartashov@gmail.com прислал 2 письма на мыло с мерзкими намёками по теме. По хронометражу совпадает и AntonyK -> Антон Карташов. Одно письмо удалил, одно осталось:


Вот ведь говнюк!

Вот это-то меня и беспокоит.


Я скорее предполагаю, что там работала программа. Многовато полчаса выжидать, чтобы просто проверить, в Сети ли человек - для этого 5-10 минут хватит.


Что-то мне подсказывает, что взломщик не из США.:)


Они эту капчу и на входе-то только в прошлом году поставили (https://bitcointalk.org/index.php?topic=2086082.0) (на страницу напоминания пароля - чуть раньше (https://bitcointalk.org/index.php?topic=1408545.msg14287487#msg14287487)). Движок древний, как остатки Титаника.


Думаю, что никак.


https://s8.hostingkartinok.com/uploads/images/2018/03/3eab6b5e5a57f0162a9b0a26b35b0020.png :Р


Есть более ранний (https://bitcointalk.org/index.php?topic=2941292.0). Ну, и еще несколько тем в рубрикаторе (https://bitcointalk.org/index.php?topic=2905880.0;topicseen) тоже.


Да там какая-то сомнительная хрень в той теме. Группа лиц по предварительному сговору. Хотя автор писал, что его взломали.

Что-то последнее время на ПМ совсем не отвечает.

Да не говорите. Мое письмо к нему 29, что ли, января попало. На тот момент у него на очереди был ответ на сообщение от 18-го (https://bitcointalk.org/index.php?topic=994018.msg29431576#msg29431576). Наверное, между 18-ым и 29-ым оказалась какая-то кошмарная куча писем, из-под которой он до сих пор не выбрался.:) или просто не хочет читать мою писанину

Я тут вот чего думаю: по ситуации в этой теме не стоит ли написать theymos'у? Скажем, топик в англ.разделе создать. Вдруг повезет и он хотя бы капчу на форму ввода нового пароля поставит. А то стрем какой-то.

Так ручками такое не удобно :) И интервал и тайм-аут выставить - очень несложно.


Соглашусь с этим :) Хотя если группа - то связки могут быть очень разными.


Так и я про это же.  



Немного покаoпал ваших ребят, эту Францу и Антону :)
https://infotracer.com/emailTeaser.php?email=francya767@gmail.com (https://infotracer.com/emailTeaser.php?email=francya767@gmail.com)
Отзывы тоже неплохи
И детали
https://www.robtex.com/ip-lookup/173.194.74.27

https://infotracer.com/emailTeaser.php?email=antonnykartashov@gmail.com (https://infotracer.com/emailTeaser.php?email=antonnykartashov@gmail.com)

Об этом адресе есть старые отзывы, 2013-2014
Но такие...
Орфография сохранена, переводчик

https://whatismyipaddress.com/ip/173.194.74.26 (https://whatismyipaddress.com/ip/173.194.74.26)

И немного деталей

https://www.robtex.com/ip-lookup/173.194.74.26 (https://www.robtex.com/ip-lookup/173.194.74.26)


В рубрикаторах была девушка, которая англо-русский словарь делала, основных понятий. Может к ней обратиться, так как я не напишу красиво тему в английской ветке. Да и галка об том, что нельзя принимать сообщения от Новичков - стоит у многих :)

ps: Что-то мне подсказывает, что атака идет через российский почтовик mail.ru. И она направлена в сторону ТС. Так как подобных сообщений я не встречал, ни вчера ни сегодня. Значит либо где-то новое мыло просочилось в паблик, либо какая-то новая дырка в самом почтовике.

Ну шо тут скажешь Франце-Антоне? Добро пожаловать в индексацию поисковиков в зоне RU :)

Другими словами: скажи Auf Wiedersehen! своим нацистским яйцам

http://s.storage.akamai.coub.com/get/b60/p/coub/simple/cw_image/d9e3b5d3eca/41cb619a6991636ea50d9/timeline_1471386103_00031.jpg

Не люблю тупых.

---

ЗЫ:

http://www.hostpic.org/images/1803090143250104.png

Зачем девушку тревожить? Сами справимся.
Пока так (https://bitcointalk.org/index.php?topic=3091363.0). Посмотрим, ответят ли чего-нибудь.


Да вот непохоже, что e-mail тут был задействован. Парень бы увел тогда аккаунт с концами - и сделал это быстро и "тихо", а не выжидая по полчаса. А тут как будто ткнули прутиком, попали в прореху - и прореха тут же закрылась. И в дальнейшем взломщик мог только сидеть и посылать сообщения про тупых.

Между-прочим, сейчас почту просто так не сменишь. На старый адрес приходит ссылка, которая 14 дней действует.

Энтони оказывается и у нас на форуме тусит: AntonyK (https://bitcointalk.org/index.php?action=profile;u=406560)

Его тема: Продам BTC-e RUR коды 1к1 (https://bitcointalk.org/index.php?topic=1196436)

Ещё тема его [ОБМЕН]WEX RUR/BTC <=> QIWI/СБЕРБАНК https://bitcointalk.org/index.php?topic=906223

Чувак говорит, что знаком с ним лично:

Предполагаю, что поэтому взломщик и не стал менять e-mail после смены пароля.


Так это все те же лица, что в том топике (https://forum.bits.media/index.php?/topic/10825-%D1%83%D0%B3%D0%BD%D0%B0%D0%BB%D0%B8-%D1%83%D1%87%D1%91%D1%82%D0%BA%D1%83/&) болтали. То есть вся шайка может быть тут (если их таки группа лиц). В принципе, закономерно: "ломать" аккаунт скорее попытался бы кто-то из здесь присутствующих, а не какой-то перец со стороны.

Дополним картину.

https://mmgp.ru/showthread.php?t=371330 (https://mmgp.ru/showthread.php?t=371330)
Бегун...
Саранск...
Сервис...был.

https://forum.bits.media/index.php?/profile/5045-zuks/ (https://forum.bits.media/index.php?/profile/5045-zuks/)
https://bitcointalk.org/index.php?action=profile;u=362692 (https://bitcointalk.org/index.php?action=profile;u=362692)
Не знаю, кто такой. Было упоминание про zuks

Немного текста тут

http://forum.bitcoinfo.ru/viewtopic.php?t=22341&p=134970 (http://forum.bitcoinfo.ru/viewtopic.php?t=22341&p=134970)
ps: Про попытку угона. Тут вижу два варианта и оба они очень невеселые для защиты форума.  

theymos предполагает, что проблема где-то посредине.


И вот это уже становится любопытным.

Сам удивляюсь.

---

Хотел бы дополнить ранний пост с хронометражем:

Время по Москве:

20:21 - хакер запросил сброс пароля
20:50 - хакер сменил пароль (типа по ссылке из письма)
20:55 - я запросил сброс пароля
20:56 - я сменил по ссылке из письма. Как раз разница в 6 минут.

и через короткое время письмо от Антон Карташов antonnykartashov@gmail.com письмо пришло хотя нет, оно уже было, что-то типа "ti uze rabotu nashel?". Я ещё не публиковал эту тему. Подумал, что придурок какой-то пишет, и удалил.

Процитирую на память.

Значит так.

Для того (или тех), кто замешан в атаке на мою компьютерную систему. Предлагаю по-хорошему написать здесь: как, с использованием каких приёмов производили попытки взломов и какие именно, какую уязвимость использовали. Ваша информация должна быть в таком виде, чтобы люди после прочтения поняли как не попадать в такие ситуации.

В этом случае мы расстанемся без последствий. Я человек добрый и не люблю наказывать. Для себя картину происходящего я уже давно составил (и вы это знаете). Просто хочу дать последний шанс.

Срок на раздумья до этого понедельника 12.03.2018, 09:00 по Москве.

Взломщику удалось выкачать письма, которые валялись в ящике. Точно вместе с письмом со ссылкой на смену пароля.

Причём в браузере они как непрочитанные были и по логам только с моего IP обращение шло.

Сижу, перелопачиваю инфу с поисковика...
Атака "на подступах" (посредине, между Вашим компьютером и почтовиком) может быть организована через сниффер, но снифферу нужно находиться где-то рядом с машиной - на промежуточном/связанном компе, в зоне действия Wi-Fi или еще где-то в пределах доступа, чтобы можно было перехватывать траффик. И учитывая, что общение с почтовиками сейчас в основном идет по зашифрованным протоколам (вроде SSL), этот вариант представляется еще более сомнительным.
Скорее всего либо был взломан компьютер (посредством какого-нибудь трояна), либо все-таки ломалась напрямую почта. И тогда мы были неправы и он таки имеет доступ к почте.


Про браузер и непрочитанное taikuri13, в принципе, ответил. А насчет IP - взломщик мог задействовать IP-спуфинг (подменить свой IP на Ваш). Но вот чего для меня во всей этой истории остается неясным: если почта все же "уплыла" (или тем паче была взломана машина), почему ущерб такой мизерный? Он Вас просто потроллить таким образом решил, что ли?

Перелопатил компьютер. У меня один вариант. Я его озвучу завтра, после 09:00. Нужно всё-таки дождаться ответа г-на Smartwm, возможно ему хватит ума покаяться и дать правдивую информацию, а не тупую лапшу на уши.

А что он там покуда "вешает"? Из лапши.

Намекает на spectre и meltdown.

Когда-то в Англоязычной ветке была тема о продаже аккаунта. Я связался с человеком через почту. Он мне якобы отписал с аккаунта,  который я хотел купить. Ничего не предвещало беды.. Я написал модераторам, мол так и так.... Реакции ноль..
2. Когда-то тоже "все-таки" купил аккаунт   SR  Мембера. Купил и оставил. Через пару дней обнаружил, что от моего аккаунта ведется переписка. Я понял, что я купил БРУТ. Я даже пароль не менял... И владельцу аккаунта написал об этом... Мне даже спасибо не сказали..)))
 p.s.Установить индивидуальный пин или секретную почту или хотя бы двухфакторку, или принять смс на установленный заранее номер
- и проблем станет примерно на 70-80 процентов меньше.

А теперь по сабжу: диапазон вирусов сейчас огромный:
- с внц,
- без внц,
-с параллельной сессией,
-без параллельной сессии,
-с внц без паралелльной сессии
- с внц с параллельной сесии
- кейлоггеры, стиллаки, снифферы.
Чего душа пожелает.........

Я вот после твоего поста сразу задумался, возможно стоит поменять мыло. А то у меня тоже почта нашего, СНГшного оператора к акку привязана. Как бы не случилось чего  >:(
Как я понял доверять компаниям нельзя. А нашим так точно!

Для скриншотов используйте программу Greenshot и не нужно будет текст копировать в блокнот) там выделяемая область копируется в буфер обмена

Коллеги, скажите - а почему на форуме не сделают просто двухфакторную аутентификацию через гугл-аутентификатор тот же самый? Для всех бы все стало безопаснее, разве нет?

Так это все равно пришлось бы троянцев засылать на компьютер. Либо JS в браузере, но, во-первых, браузеры сейчас все в заплатках уже (новые версии, по крайней мере), а во-вторых, потребовался бы какой-нибудь сайт или вредоносный рекламный блок для запуска. То есть, опять требуется взлом фишинг или какой-нибудь еще социальная-инженерия-ход-конем, чтобы заманить туда пользователя.


Под сниффером подразумевалась специализированная программа-анализатор траффика (типа Wireshark или tcpdump). Вирусы - отдельная тема.


Потому что всем лень это все отложено до нового движка (https://bitcointalk.org/index.php?topic=455867.msg5069851#msg5069851). Хотя уже говорилось (https://bitcointalk.org/index.php?topic=364307.msg5796618#msg5796618), что, если найдется умелец, который напишет 2FA-заплатку для текущего SMF-старца, theymos вполне может ее прикрутить.

У меня несколько лет было всё нормально. Странности начались 3 месяца назад, после подключения Интернета по оптике - был установлен новый роутер, в котором я беспечно не стал разбираться и не проверил, как настроили. А настроен он был изначально на хакерский DNS и с открытым доступом к его настройкам - можно было подключаться по WAN, LAN, WiFi. По WiFi можно было подключаться к моей LAN-сети. Так было месяц, пока я не обнаружил дыру в роутере.

В таких условиях есть несколько путей для загрузки на компьютер килоггера, что и было сделано. Например, через  LAN-WiFi - была неправильная настройка сети на компьютере и лишняя не закрытая локальная учётка (после удаления 1С остался пользователь USR1CV81) - это я обнаружил уже совсем недавно. Килоггер мне поставили продвинутый, профессиональный - антивирус он прошёл, как нож сквозь масло. Интересно, сколько такой стоит.

Килоггер позволил: 1) перехватывать пароли 2) забирать на компе почту и переправлять на хакерский комп. Вообще килоггеры много чего умеют, например делают снимки с экрана - что делает пользователь, удалять сам себя. Но этот килоггер не позволил пройти 2ФА. Также он не смог украсть файл кошелька.

Вообще пикантная ситуация получилась. Г-н Smartwm видел большую вкусную конфету, мог читать её обёртку, нюхать. А съесть - никак. В последнем разговоре по имэйлу он сначала просил 80 тыс. за раскрытие деталей атаки, потом требовал 30 тыс., в конце разговора был куском чистого зла и стоял мат-перемат.

Ясненько. Так у Вас повторение истории (https://bitcointalk.org/index.php?topic=2944516.0) получилось, только все зашло несколько дальше.


А что за антивирус, кстати?

Было много фишинговых писем на почту, причём фишинг обычно он массовый, а это как быдто спецзаказ был, причём качественный, настроеный на клиента. Как будто знали, по каким ссылкам хожу. Сложилось впечатление, что хотели, чтобы я пароли начал вводить или менять.

Антивирус - Защитник встроенный в 10.

Всем удачи, я переустанавливать всё, что смогу.

И ответные действия конечно же сделаю. Ибо нефиг.

Вобщем, коллеги, решил я ОС не переустанавливать, а ещё раз посмотреть её. И после окончательного осмотра я уверен, что с компьютером всё в порядке, никаких киллогеров на нём нет и не было.

Также мне не давал покоя факт, что взломщик не производил впечатления гения.

В итоге вывод - проблема в роутере, он позволяет проводить атаку man-in-the-middle. С таким роутером нужно что-то делать, в моём случае только менять, потому что обновление не помогло и другого нет. Атака эта и позволяет часто воровать пароли у пользователей форума. Думаю, и 2ФА украдёт такая атака, если её устанавливать через такой роутер, в который влезли.

Схема такая. Злоумышленник сканированием находит IP роутера, который уязвим к атаке. Тут на форуме для этого устраивают "аэрдропы". (Мне слали письма со ссылками для перехода, потому что я в таких "ардропах" не участвую.) Далее злоумышленник делает вход в ОС роутера или сервис, и делает там настройки, возможно даже сохраняет их, после этого начинает перехватывать траффик с кражей паролей и данных.

Что скажете?

PS Мне очень повезло, что 2ФА были установлены давно, на другом роутере.

Спасибо за советы, но говорят, что не всегда это помогает: https://xakep.ru/2015/04/07/195-routers/ Мне не помогло, правда был открыт (потом закрыт) веб-конфигуратор. Но всё равно в роутере кто-то лазит. Не думаю, что если всё сначала перенастроить и закрыть веб-конфигуратор это поможет.

Если целью будет конкретный взлом - то защищать необходимо от кабеля в квартиру/дом. И все равно это не спасет. Только цена такого взлома под конкретного человека - достаточно дорогая. А защититься от обезьяны - этих мер процентов на 90 хватит.

https://www.comss.ru/page.php?id=4126 (https://www.comss.ru/page.php?id=4126)

Ну и Комодо, там и файрволл неплохой.

В спам отправлял, уже удалили. В заголовках не смотрел.

---

Статья по теме: https://xakep.ru/2015/04/07/195-routers/
Я был прав.

Стоило бы рассмотреть возможность миграции на Linux все же. Ну, или как минимум поменять антивирус.


Гений бы давно забрал все и скрылся в направлении Кариб.:) И уж точно не стал бы общаться с Вами.


Вот это вряд ли: для 2FA в любом случае потребуется доступ к телефону. Но если телефон получает интернет от того же роутера, это возможно, конечно.
Некоторые полезные советы можно посмотреть еще в этой теме (https://bitcointalk.org/index.php?topic=2945637.0). И стоит позакрывать порты на роутере тоже (брать роутер с встроенным фаерволом).


Есть методы подделать заголовки писем (http://computer76.ru/2015/11/19/how-to-fake-email/). Не панацея, в общем, если взломщик сильно грамотный.

Зачем лезть туда, где не понимаю. К тому же 10 по оценкам профиков более защищена, чем Линух.


Так бы и было, если бы не 2ФА, установленная ещё на старом роутере.

Я в шоке от того, какой мне роутер провайдер подсунул :o 2011 года выпуска. К тому же явно юзаный до этого. Он мало того дырявый, его и изначально дыряво настроили мне. Взлом всего лишь почты и акка на толке - это я lucky guy какой-то 8)

Но какова была атака! Грузили апельсины бочками :-\

Ну дураков то тут нет на самом деле. Значит, не получалось взять. Эта же песня 3 месяца тянется, и он всё это время следил, ждал, изучал. Может, что то там напрягало, или он не один ломился. Понял, что цейтнот и решил не тормозить и наехать, сыграть на опережение.

Я всё понимаю, но под женской учёткой просить селфи члена - это стрёмно. Путёвые пацаны до такого не опускаются ;)

Ну естественно пришлось бы разбираться. Но есть дистры, которые упрощают миграцию с виндоусов (внешне организованы похоже и т.п.). Это могло бы помочь на первых порах. И потом сначала все выглядит чудным, но быстро привыкаешь - и на виндоус уже не тянет.:) Проверено на собственном опыте.


А вот это что-то новенькое. Что за профики такое сказали?


Да я с начала темы все удивлюсь, насколько Вы удачливы.


Кредиторы под дверью пасли.:)


Может в нем актерский талант погибает. Вжился в роль и забыл вовремя "выйти".:Р

Пари заключили :)
Посмотрим, чего он стоит без подставы с модемом.

http://www.hostpic.org/images/1803132158100108.png

Какой-то обидчивый хакир попался. Сколько он тут разболтал...

---

Полезную прогу нашёл. Сканирует комп на уязвимости, называется XSpider - сетевой сканер безопасности. Программное средство сетевого аудита, предназначенное для поиска уязвимостей на серверах и рабочих станциях. Советую скачать и просканировать IP своего компа. Запускайте из под витруалки. Я брал здесь: http://www.softportal.com/get-1453-xspider.html

Я редко загружаю и запускаю исполняемые файлы. В основном только обновления. Решил посмотреть, что загружал за последние 3 месяца. Из загрузок были только Кора и VirtualBox. Решил прогнать через Вирустотал.

Любопытный детект для ВиртуалБокса показал Baidu для последних 2-х загрузок: Win32.Trojan.WisdomEyes.16070401.950...

https://www.virustotal.com/#/file/bbd74e2d9717285863578ff728c16b411c88d1d0b63e3fd456cd09d2131635b3/detection

https://www.virustotal.com/#/file/da7bbcc9806a3f574f1faed5381c6e116b10a7bbb4779913d5446e49fe08fd7d/detection

И описание подходящее:


Кто-нибудь пользуется ВиртуалБоксом? :)

Качал с официального сайта 3 марта и 17 января. ВиртуалБокс заботливо выдаёт окошки со ссылками на обновления.

ЗЫ больше доверяю Ораклу, чем Байде.

Вобщем злой обидчивый болтливый хакир скис, и тут отписываться не хочет. Поэтому сам приведу мои последние ему слова:

Как было правильно сказано тут (https://forums.virtualbox.org/viewtopic.php?f=2&t=82551), если скачивали 100% с официального сайта, получаются две версии:
 - либо крутойкорпорацсименем Oracle реально засунул в продукт вирус;
 - либо тут ложное срабатывание у вирустотал.
В принципе, можно просто проверить файл на другом антивирусе (или антивирусах). Для надежности.


Он знает spectre, meltdown и много других страшных слов.:) Наверное, Ваша с ним переписка была отвлекающим маневром и он в это время рыл подкоп под компьютер. (Ведь самый просто способ хакнуть компьютер - это его украсть!) Но не рассчитал и вырыл не туда, как будущий граф Монте-Кристо...
Что поделать, далеко не все, кто считает себя хакерами, оказываются ими на самом деле.

Сама скачанная Байда на компьтер не ругается, только на Вирустотале такое. Ерунда всё это.


Ну таки трояна подсунул. Вопрос - как. Его же нужно прогрузить, запустить. Такие вещи без посторонней помощи в виде дыры не проходят.

легендам стоит защищать по максимуму свои аккаунты, они стоят как неплохая машина)

Роутер был "дырявый". Мог с левого DNS закачать троянца.

Других вариантов не вижу.

Ну вот и как защититься от дырявого модема? Проверил свой: 2016 года последняя прошивка.

Менять роутер вестимо, если это вызывает опасения.

Если по роутеру возникли опасения, то заодно и ОС переставить.

И уехать в другую страну. На всякий случай. Да вообще можно тогда уже всерьез покопаться с безопасностью: сбежать на Linux, подумать, где разместить кошелек. Может быть, отказаться от каких-то привычек (или наоборот завести новые).:)

Причём на всём, что через такой роутер в Инет ходило, в том числе телефоны.

Не в Линуксе дело, у Ярёмы стоял Линукс и всё равно учётку угнали.


Да, пересмотреть подход к безопасности. Не стоит надеяться на один только рубеж. На всех уровнях должно быть чётко.

А что у Яремы, кстати, была за ситуация?

Это он пусть сам расскажет. Только что-то он стал молчалив.

то что оно пришло к тебе на почту - не значит что заходили на нее, заходи в твой акк биткоинтока и на нем поменяли пароль

Смотря от кого защищена.
Информация об эксплойте под ВСЕ ОС Windows.
https://www.securitylab.ru/news/486209.php
Windows - ОС с закрытым исходным кодом, что туда внедряют разработчики не известно никому.
Тот же Linux - он как конструктор, систему можно отконфигурировать по своему желанию и допилить до желаемого результата.

у меня почта на гугле зарегана. думаю гугл почту взломать не возможно)

Для задавшихся целью нет ничего невозможного. Единственное, что Вы можете сделать - это максимально усложнить процесс взлома. Тогда есть вероятность, что задавшиеся целью просто перестанут задаваться целью.

Гугл почта непростая. Только к ней привязан маркет, соотвественно программы маркета, для телефона. Привязаны соцсети, как правило.
Также очень интересная кнопка - войти на сайт, форум через Гугл.
К этому добавляем гуглосервисы на смартфоне, в этот же список добавляем бесплатный вай фай.
И финалом - то, что почта привязана к сим-карте или дополнительному ящику. (Люди устраивались к сотовому опреатору на работу, чтобы получить доступ).

Это основное. А на сладкое - последний метод, гопбрутфорс. Просто отнять у вас смартфон.

Вся защита это от любопытных воришек.От них мы ставим пароли,заводим несколько аккаунтов.
А кто нибудь вдумчиво и до конца читал  хотя бы тот же документ пользовательского соглашения,
при активации своего только что к примеру купленного смартфона.И  практически  все, соглашаемся
 с политикой конфиденциальности и ставим галочку.А для кого она конфиденциальна одному богу
известно.

Правильное мнение.  Те кто думает, что ГУГЛ почту взломать не возможно-мне Вас искренне жаль. Ребятки, для того, чтобы зайти на Вашу гугл почту-достаточно снять с рабочей машины кукисы и  юзер-агент. ВСЕ))))) Меня около двух лет  назад взломали вот так же как и Влади, тоже через роутер.. Потерял я очень много активов и не только их....  И почта у меня была именно Гмейл, было прикольно смотреть как Хакер ломился через  смс-подтверждение..
На ставьте никогда галочки на "запомнить мой компьютер" и сохраните кучу нервов.
Был у меня товарищ хакер, так я видел какие они вещи умеет делать.... Как пример: Общественный вай фай. Телочка сидит за ноутом, а он на своем  показывает, какие кнопочки она нажимает и ее личные данные))).... Как-то так.

Вот, пару часов назад Microsoft расширение выпустили https://browserprotection.microsoft.com/learn.html (https://browserprotection.microsoft.com/learn.html)

Не согласен. Не запоминание сессии служит в основном одной цели - чтобы другой пользователь на этом же компьютере вместо вас не зашёл. Также простые куки можно подделать при оставшейся сессии, но у почтовиков они непростые.

А вот пароль при вводе перехватить - намного легче, чем куки сохранённые украсть и суметь задействовать.

Ага, а как же ЛОГИ с БОТнета?? сейчас много всего придумано уже. Все правильно он написал. Сейчас, уже и куча исполняемых файлов есть. и ВНЦ в том числе с параллельными сессиями и без них. Все упирается в кошелек. Можно и приват такой написать, что ну его .....)

НЕ понял... А зачем? :o

Вроде как давно была утечка с хешами паролей у биталка вот мне кажеться у меня и сбрутили хешь =(. Очень сомневаюсь что меня поломали через эксплойт или еще как то ибо увели тогда все что было на пк .

Чтобы всё увести с ПК нужны мозги, купить трояна и наводку от инсайдера любой дурак сможет. А вот мозги не продают :D

А я вот сомневаюсь, что Вы использовали уникальный пароль для форума(тот который больше нигде не светился)...Даже уверен в этом.

Опять какер почту читает.

Похоже на воровство куки.


Что примечательно - на свежей лицухе и вход в Яндекс через ихнюю 2ФА, т. е. пароля нет.

Стащил чего-то?

Только почту почитал

Дело в том, что настройки такие, что пароля нет. Вход через ЯндексКлюч. Т. е. это не кража пароля. Свежая ось. Лицензия. Прог мало. Роутер нормальный. Читает почту. Бабло не крадёт :)

 8)


 ;D :D

Проще всего прислать вам стиллер(разновидность трояяна), замаскированный под письмо из банка с уведомлением о неоплаченном кредите, в склейке с другим файлом.
Открываете файл - сливаете все сохраненные в браузере пароли.
ACHTUNG! Не сохраняйте пароли в браузере. ACHTUNG!

Почему то не открывает ссылку. В чем может быть причина?

Тема удалена или перенесена в закрытый (для широкой публики) раздел.
Топики о том же:
Будь готов к взлому своей учетки (https://bitcointalk.org/index.php?topic=2941292.0)
Угон аккаунтов bitcointalk и меры предосторожности (https://bitcointalk.org/index.php?topic=2714740.0)
Также стоит посмотреть темы из раздела "Безопасность" в рубрикаторе (https://bitcointalk.org/index.php?topic=2905880.0).

Немного новостей
Рекомендую прочитать полную статью по ссылке

https://xakep.ru/2018/05/24/vpnfilter/

Успели уже даже немного обсудить (https://bitcointalk.org/index.php?topic=4221684.0).

Незнаю насколько новый способ - но появился по моему недавно.
Угон аккаунтов gmail через андроид смарты.
Угон прост до банальности - хакерами создается приложение которое проходит верификацию маркета (игрушка или банальный калькулятор), далее после набора определенного кол-ва положительных отзывов в действие запускается вирус под видом обновления приложения который и собирает данные на телефоне ну или планшете.
Так что обращайте внимание каким приложениям какие разрешения даёте, гугл не очень быстро реагирует на подобные вирусы и к моменту когда приложение удалят информация уже может уплыть.

Очень интересный топик,весь трафик который летит по воздуху потенциально уязвим.Атут вообще подарок-роутер с дырой.Только LAN и сразу в комп даст какие то гарантии безопасности.А  BackTrack,Kali Linux,wifislax они тоже не дремлют.Хорошо что всё закончилось без потерь.

А почему не желательно пишет когда устанавливаешь секретный вопрос*

Потому что:
 - это, фактически, второй пароль от аккаунта (т.е. у потенциального взломщика в два раза выше шансы взломать его, играя в "угадайку" - особенно, если он хорошо Вас знает);
 - при попытке сбросить пароль по секретному вопросу аккаунт автоматически заблокируется (https://bitcointalk.org/index.php?topic=3101722.msg32069754#msg32069754) в целях безопасности (это было введено после взлома форума в 2015-ом (https://bitcointalk.org/index.php?topic=1067985), когда к хакерам "утекли" в том числе секретные вопросы).

Секретный вопрос - это очень отдельная тема для этого форума.
Потому что при попытке сменить пароль через этот вопрос бывают подобные случаи

9 MONTH HERO ACCOUNT LOCKED - разблокируйте, у меня много доказательств (https://bitcointalk.org/index.php?topic=2851296.0)

Пора к потоку для индефикации анализ крови прикрепить ;DВсе будет пучком тогда или мочи :Dтем более esmanthra сказал уже что согласен ;D

на гармоны.
Это векс скоро требовать будет со своих клиентов, потому что верификация селфи паспорт их уже не устраивает, как и подтверждение владения кошелька с которого пополнял и айпи и вообще всё остальное. Если кому нужно тебе что-то не отдавать, то не отдадут. Так же как с медалями ситуация, сначала вроде взяли допинг проверили всё гуд, а как получил медали так сразу  верификацию не прошел, заблочили медаль, медаль верни, вот так и тут, всё деньги, и личная выгода, а людям по*уй кого кинули кого опрокинули, а когда и сколько токенов вы будете выкупать 1 к 1, а то вот я купил по 0.6 к 1 и хочу продать.
К тому что все мыслят лишь в сторону гребсти к себе и про себя и под себя когда понимаешь и когда не понимаешь вот и добавляется помимо жрать срать трахаться индивиду надо только кнопку даешь бабло и слышать ничего другово не хочу, и если ему обещают кнопку то он сует эти деньги даже если отказываются предупреждают, говорят кинем, уже ничего слышать не хочет у него горит во лбу кнопка дают бабло.

Я забыл добавить. Настройка одна была изменена: появилась галочка напротив пункта "Разрешить доступ к почтовому ящику с помощью почтовых клиентов
С сервера imap.yandex.ru по протоколу IMAP". Этой настройки точно не должно было быть, потому что сам её убирал.

Также в "Устройства, сервисы и программы Список всех мест, в которых вы авторизованы" было прописано что-то типа "сборщик почты mail.ru" (дословно не помню). Как раз хорошо подходит для настройки выше. Этого тоже не должно было быть, т. к. нигде не авторизовался.

Где-то в советах о защите аккаунта от угона, да и в принципе любой защиты - было прописано, что страницы настроек необходимо и очень полезно архивировать при помощи цифрового снимка.
Сервис archive.li

Для себя это делаю, потому что настройки забываются. А тут фото с датой.

ps: Как мысль, а эту галку не могло поставить например приложение на телефоне?

Нет. Не дочистил компьютер.

Откуда у тебя в компе то вирусня? С виндой вместе пришла или антивирус своих клиентов притянул?

Когда больше общаешься с линуксом понимаешь почему вирусы под него не пишут особо массово, просто после обновления обычные то проприетарные проги не запускаются, или их инсталяторы не устанавливаются, часть пакетов тоже перестает быть доступными.
Просто в винде библиотеки известно где лежат ц виндовс систем32, используя вызов функции из неё будет работать описание вызова одинаково для любой винды, а тут постоянно меняются пути библиотек, названия их файлов и т.д.
Поэтому если в винде написать вирус какой нить можно в однй строку текстового файла ( ну например  формат диска ц с опцией не спрашивать, или батничек перезагрузки или выключения компа, да да, для антивирусов это вирусы), или например вирусом считают радмин версии 2 а не 3, потому что он дает доступ без пароля после запуска просто, а пароль можно просто в реестр вбить зная ветку.
То тут действительно чужой софт если специально не заточен под нужную версию то просто не заупстится, или он будет охеренно большой и включать в себя всё что нужно от и до целиком ни от кого не зависеть, как софт кошелька биткоина.
Да ещё и это не всё, никаких антивирусов не будет, тут же поменяют саму систему исправят.
Вот поэтому под линукс и не пишут вирусов рассчитаных на массового потребителя. Индивидуально то делают конечно, можно почитать статьи о хакерах которые найдя человека сотрудника ему на флэшку всовывают то что там под любую систему сотворит что надо.

Я в теме уже рассказывал про техника с Ростелекома с роутером (https://bitcointalk.org/index.php?topic=3077537.msg32115750#msg32115750). Далее было проникновение в систему, везде, куда только получится, с использованием всевозможных методов, (с последующим обломом :)) Был перехват сессий Яндекса, это позволяло читать мою почту.

Полностью закрыть сессию на Яндексе везде (и у какера) точно можно через "Выйти на всех устройствах" в управлении аккаунтом.

Вирусни на компьютере в данный момент нет.

Мошенник из темы промышляет кидками на фейковых обменах. Да, да, тех самых обменах, где меняют тыщу рублей. Что полупрозрачно намекает о его финансовом положении ;)

Вывод: не бегать по сылкам которые кидают, и вообще все что присылают вам лично незнакомые вам люди файлы или сылки советую не открывать. так же при чтении писем сверять почту с которой они пришли, иногда бывают поддельные письма 1 в 1

У меня тоже подозрение что к угону мыла причастны сотрудники мыла русского.
Насчет прова были подозрения одно время но обошлось.
Спасибо что сказал, ростелеком значит такая же помойка как и сбербанк.
Насчет сбера, когда требуют в качестве цифровой подписи твою карту, то читай что там светится.
С картой придумали именно потому что не могут защитится от воровства сотрудников подделывающих подписи, людей с улицы. Если будешь жмакать ввод на пинпаде не читая что там написано, то будет как писал мужик в чтае бтце, внаглую парень пробил ему другой операцией снятие 4 тысяч рублей у него со счета и чек и сумму просто положил в карман. ОН как бы это всё вспомнил по операциям а в тот момент о своем думал, а потом уже обнаружил снятие денег. Он в банк, а там говорят уволился мол парень. Вот у тебя такая же *уйня, но только с другим путинским совхозом огромным, монополией.

Угонка акков частое явление тут, знаю человека в телеге который ворует заброшенные акки тупым брутом и потом продает, поэтому лучше свои акки подписывать в электруме в спец теме.

Роутер таки не нормальный. Контрольные суммы файла прошивки на роутере и на сайте производителя отличаются, хотя должны быть одинаковы:

https://www.virustotal.com/#/file/8b536a5d26be21d472038a7e2e6992e5d817d1d40fe65209e0db5a1953a86dbf/detection

https://www.virustotal.com/#/file/dd8adb9c2811c3405ec81649d36c110058168deb02c0e020e01bc125418ef57e/detection

То то я вспомнил, что одно время он автообновляться никак не хотел, хотя новая версия была.

Если кому доведётся общаться с нашим Ледоколом - не верить ни одному слову: "финансово ты в безопасности", "за вознаграждение расскажу о твоей уязвимости в железе", "дело не в модеме", "я девочка, сфоткай член и чтобы лицо было видно" и т. д.

Вы от него еще не устали?:)
Судя по цитатам, он давно уже перешел вчистую на троллинг.

Как мы знаем проблемы бывают нескольких видов: слабый пароль, нет двухфакторной авторизации,  плохая почта как mail.ru или Яндекс, пароль повторяется в учетных записях на разных  форумах.
У топикстартера очевидно  проблема в роутере, всё-таки нерадивый работник сунул туда троян заранее рассчитывая на взлом.
И по видимости прошивка у всех одинаковая с уязвимостью.
Меры безопасности соблюдать необходимо по всем фронтам.
Самый распространенный вариант взлома последнее время  это vpn-сервисы.
Если пользоваться дешевыми сомнительными VPN сервисами то 99% оттуда уши растут.
В принципе сейчас гадание на кофейной гуще, чтобы понять  откуда доступ у хакера необходимо проверять и
вспоминать все варианты.
Рекомендую пароли всем сменить на пароле с минимум 16 знаков, нижнее подчеркивание, вопросительные знаки и другие символы.
Не ходить по левым ссылкам, и если приходит какое-либо похожее письмо  с форума биржи и ещё каких-то стоящих аккаунтов . Прежде чем перейти по ссылке нажмите и посмотрите отправителя в подробностях. Всё зависит от нашей внимательности.

Сейчас новый тренд: вопросительные знаки и другие символы больше не советуют, достаточно алфавитно-цифрового пароля, главное чтобы был длинный - 20 символов и больше. Короткие пароли со спецзнаками научились ломать по радужным таблицам.

Да уж, второй роутер и Ледокол оперативно подсуетился с прошивкой. Прямо как отработанный конвейер работает на потоке. К тому же чтобы добраться до девайса внутри сети должен был троян быть. Видимо, во время первого инцидента был загружен и смог выжить.

Это не 100% факт. Если в веб-интерфейсе удалить какой-нибудь компонент, контрольная сумма файла прошивки, естественно, изменится. Если затем добавить этот же компонент (а он будет грузиться через Интернет), то контрольная сумма снова изменится, но будет не такая, как изначально. Хотя функционал останется родной, производителя.

Возможно при автообновлении такое расхождение по контрольным суммам и выходит.

С роутером понятно.

Теперь о трояне. По характеру выживаемости проблемы после переустановки ОС просматриваются признаки заражения какого-то из БИОСов, скорее всего который на материнской плате. На старых моделях материнских плат защита от заражения БИОС слабая. Гарантированно такое можно устранить только перепрошивкой программатором, т. к. программная прошивка может блокироваться вирусом.

Для ОС и антивируса до такого зловреда добраться невозможно.

Рекомендация: заменить компьютер на более современный с БИОСом, поддерживающие новые стандарты безопасности. Например, в таких BIOS защита может обеспечиваться путём объединения двоичного кода биос и утилиты прошивки в одном "защищённом" исполняемом файле. Загнать "левый" код в такой чип очень непросто.

Или заменой материнской платы. Главное снова не допустить запуск вируса на машине. Если поражён какой-либо чип карт расширения, то менять весь комп, это самое надёжное.

Когда-то я майнил Magicoin майнером cpuminer_win64_magi_byMarcusDe-core2-1104\minerd.exe

А сегодня при разборе старых файлов антивирь взревел, что это угроза Trojan:Win32/Bitrep.B, Уровень оповещения: Критический.

Вот так оно и попадает на наши компы.

Не подскажите почитал вашу тему и мне тоже приходило письмо
This mail was sent because the 'forgot password' function has been applied to your account. To set a new password click the following link:

и IP китайский 120.234 итд Пользуюсь платным VPN до этого не было такого.
Пароль вроде не сменили. Я после этого сам сменил пароль, но так и не понял что это было?
Если пытались угнать, то почему не угнали и не сменили пароль. Почта Гугл. Могли ее взломать?

По радужной таблице можно любой пароль взломать. Только вот проблема, что радужную таблицу необходимо сначала сделать, тоесть, высчитать полностью. Здесь два компонента: необходимое место на диске и время нужное для обсчета таблицы. И пока что, для паролей даже алфавита по типу (А-Я, 0-9, а-я) на 15 знаков+ это не достижимая величина. Смотря конечно как еще хранят пароли, с помощью какой хэш функции и добавляют ли соль и прочие защитные вещи.


Вот кстати интересная статья что будет, если хранить только хэш функцией, без соли и прочего - https://habr.com/post/107243/ (я вот хз какие у Виндовса хэш функции. Вроде бы мд5)

P.S: узнал, у них свой алгоритм шифрования DES. Симметричный шифр разработанный компанией IBM

P.P.S: Вот кстати очень хорошая статья. 2010й год правда, поэтому выводы и поправки на нынешнее время делайте сами - https://m.habr.com/post/80036/

хэш и соли чайникам не понятно...а вобще жесть какая-то радужные таблицы ....зачем тогда вобще пароли нужны?)))

Все зависит от конечной цели атакующего. Причем большое количество кулцхакеров - это начинающие, которые скачав необходимый софт просто проходят по базам, в надежде выцепить мыло, либо пароли к соцсетям.

Следующая стадия - это троянщики, социальные инженеры (а как твоей бабушки девичья фамилия? :) ). Здесь ущерб может быть побольше, но многое зависит от человека.

А вот дальше уже идут люди, которые занимаются этим более профессионально. Здесь широчайший набор инструментов. Например, при осознанном интересе подобный атакующий может вполне спокойно устроиться к опреатору сотовой связи, чтобы в один момент сделать дубликат необходимой сим-карты (такие случаи бывали).
А если брать программные средства, то для опытного человека не составит труда найти брешь даже на сайте банка, на сайте яндекса и прочих пенсионных фондов, которые обязаны хранить персональные данные. Однако утечки происходят с регулярностью, рано или поздно такие базы аккуратно продаются на некоторых рынках. Конечно вас поводят по рынку, один заберет деньги, второму передаст, а третий случайно уронит диск в ваш пакет.

Радужки - это больше страшилка для начинающих, чем что-то осознанное. И должен быть определенный алгоритм, чтобы составлять такую таблицу именно под конкретного человека. Это время и деньги.

Мы не сможем защититься от профессионалов. Если ваш компьютер под прицелом - то взлом его только дело времени. И это произойдет, либо симкой, либо роутером, либо подключением из коробки в подъезде. Отсюда логична мысль о том, что полная анонимность в сети - это не просто какая-то идея, которую можно послушать. Анонимность в сети - в первую очередь приравнивается к безопасности, личной безопасности.

А так-то никто не будет взламывать начинающего баунтиста, чтобы забрать пару тысяч сатош. Эта работа стоит денег и затратна по времени. Но никто не исключает того факта, что этот начинающий баунтист не будет находиться в определенном списке, а все его кошельки - могут автоматически отслеживаться, это совсем несложно.

Вот и вывод - наша задача защититься от начинающих хакеров и создать максимальные проблемы профессионалам. И само собой - никаких связей с криптой, нигде. Обычная жизнь.

taikuri13 последний совет я думаю запоздалый для многих)

Никогда не поздно начать думать :)

Да, у многих уже полное досье в сети, от фоток до кредитных карт. Если задуматься, то на профиле в социальных сетях может вполне стоять милый котик, телефон привязки сменен, почта меняется везде.

Этот процесс достаточно сложен, необходимо будет думать от того, кто пробует искать на человека информацию. И зачищать хвосты следует методично и целенаправленно.
Почта делится на три, а то и на тридцать три. Соцсети - все личное убрать в отдельный аккаунт, перехать на него, разделив крипту и коллег по работе. Сменить все пароли, на разные, поставить ВПН, а лучше параллельный ВПН. Забыть про КИЦ, как страшний сон.

Задача не в том, чтобы полностью уйти из сети. Это невозможно для тех, кто уже наследил. Главная задача - это отделить себя от крипты максимально. Думаю, что в течение полугода можно провести очень хорошую работу над ошибками. Конечно - это не удалит данные из Сбербанка :) Но меняются и карты и паспорт, утерян СНИЛС, сменена платежка за ЖКХ на левую, нарисованную.

Да, это сложнее, чем просить Гугл запомнить пароль на сайте. Да, придется придумать и хранить пароли самостоятельно, либо при помощи инструмента, либо в блокноте.

Но всегда будет один вопрос, вопрос цены. Ведь не бывает бесплатных программ и сайтов. Каждый из них забирает что-то и цена этого что-то может быть повыше чем несколько десятков долларов.

Мы всегда платим, либо деньгами, либо временем/знаниями. Вопрос только в том, что же на самом деле окажется дешевле.

Я немного знаком с информационной безопасностью. Могу сказать, что того времени, которое указал (полгода) достаточно, чтобы отделить себя от крипты. Даже может получиться что за это время появятся дополнительные, очень интересные знания :)

Идея криптомира в анонимности, в отсутствии контроля, отсутствии централизации. Причем вопрос KYC впервые возник не при появлении баунти и проведении ICO. Для криптомира это очень старый и очень важный вопрос, который обсуждался еще в августе 2010 года, в теме номер 923.

будут ли законы KYC постоянно душить биткойн? (https://bitcointalk.org/index.php?topic=923.0)


ps: Этим словам скоро будет 8 лет.

taikuri13 в принципе это все понятно и ошибок не так много. Больше их в офф лайн(язык-враг).  я думаю при наличии ресурса, деньги, органы, можно будет попытаться поискать взломщика. А насчет жилища, эту тему я очень хорошо понял, когда одного знакомого, расстреляли в квартире за коллекцию монет. Тогда долго концы искали, пока они не привели к неожиданному источнику. С тех пор. моё скромное жилище, слегка контролируется весьма не примитивными штуками защиты)). Вобщем сейчас серьезно занимаюсь, всякими ухищрениями, против злодеев.

Так вот в том и дело, что пока не коснется никто не задумывается о проблемах безопаности. "Это меня не коснется", "Чего у меня брать", "В поликлиннике лежит все мое личное дело", "Кого бояться"... Список этих фраз можно продолжать бесконечно.

Но все очень резко меняется при прикосновении зла. За несколько минут человек способен превратиться из открытого человека, который постит свои фотки с отдыха и на фоне машины - в весьма серьезного "параноика" (как ранее этот человек называл всех тех, кто заботится о своей безопасности).

А все могло начаться с небольшой дырки в прошивке роутера. Но сейчас многие люди настолько забили на свою безопасность, чувствуя безнаказанность и какое-то выдуманное спокойствие, что иной раз становится страшно за последствия.

А то, что вы делаете - более чем правильно. Один мой знакомый всегда держал под рукой чемоданчик со всем нужным, чтобы в течение 20 минут полностью исчезнуть, практически без следов. Да, это законопослушний гражданин, который просто хорошо заработал в свои годы.

Школьника-скрипткидди, думаю, найдете в легкую, но если работал профессионал, с этим будет куда сложнее (на то он и профессионал, в конце концов).
А насчет защиты в реале - уже были случаи, когда людей похищали и под пытками выбивали криптовалюту. И все равно у кого-то вызывает вопросы, почему о своей занятости в крипте не стоит распространяться среди знакомых (тем паче малознакомых) людей.

это понятно. каждый должен меры принять относительно своих рисков. у меня они не высокие, активов мало. скорее от мелких вредителей пакостников  меры принимаю.

Техника с Ростелекома найти и задать вопрос кому он продал дальше свою закладку нет никаких сложностей. Но по каким то причинам те, кто это должен делать делать это не захотели. Зная особенности приёма на работу в провинции РФ я догадываюсь почему.

Ростелеком зря времени не теряет и предлагает роутер премиум класса ;D

http://www.hostpic.org/images/1807240201020105.png

С персональным обслуживанием :D

(обе цитаты - отсюда (http://27sysday.ru/setevoe-oborudovanie/router/wifi-router-2))

Видите - хакеры ценят.:Р Так что скиньте ссылочку своему "доброжелателю" - как подарок. Ну а че: премиум-класс, персональное обслуживание (наверняка типа того мэна, что приходит роутеры устанавливать (https://bitcointalk.org/index.php?topic=2944516.0) - только он еще наверняка дипломированный психотерапевт сисадмин, одет с иголочки и притаскивает с собой шампанское в день знакомства). Явно же пахнет деньгами, парню должно понравиться.

Я очень много нашел в коментах к данному посту, например то что я узнал что можно обезопасить свой аккаунт в Bitcointalk .  :)

Первый известный специалистам руткит для UEFI

Эксперты компании ESET рассказали об обнаружении вредоносной кампании, в ходе которой был задействован первый известный руткит для Unified Extensible Firmware Interface (UEFI). Ранее подобное обсуждалось лишь с теоретической точки зрения на ИБ-конференциях.

По данным компании, зафиксирован как минимум один случай успешного внедрения вредоносного модуля во флеш-память SPI, что гарантирует злоумышленникам не только возможность сохранить присутствие в системе после переустановки ОС, но и после замены жесткого диска.

Подробнее: https://xakep.ru/2018/09/28/lojax/

---

Думаю, автор темы попал на нечто подобное, только БИОС (микросхема) был старый, без UEFI

"Подобное" - это что, например?
Но вообще сомнительно, что тот образчик (в смысле взломщик) имел отношение к кому-то уровня Fancy Bear, дабы пользоваться такими приемами.

Выше писали уже:

Да, но конкретики этот пост также не предоставляет.

Информации для размышления и выводов в теме достаточно, писать больше смысла не вижу.

Также подрезюмирую:

http://www.hostpic.org/images/1810031409330104.png

Это как так логи можно просмотреть ?

Security log (https://bitcointalk.org/seclog.php)

Серьёзно, это типа ФСБ, Аля СБУ, шо за бред вообще. Ничего никому не отвечай, пусть едут в саратов, тоже мне нашлись.

Мне уже третий день подряд приходят письма на мою почту, о том что функция забытый пароль была применена к моей учётной записи. Это получается что кто-то хочет взломать мой аккаунт? Что нужно делать в таких случаях, что-бы не допустить этого? Заранее благодарю за ответы.

Главное сначала удостовериться, что это настоящие письма, а не фейки, ведущие на фишинговый сайт похожий на bitcointalk.
Подделать отправителя несложно, например через phpmail. Поэтому смотрите служебные заголовки письма.

Такие письма шлют для того, что бы вы в панике перешли по ссылке в письме и попробовали залогиниться на псевдо-форуме, отдав тем самым свои данные злодею.

Если у вас нормальный антивирус, почта с 2-факторной авторизацией и сложный пароль типа %Fy5trDUItydiDe5765&75 думаю, ничего делать не нужно.

А этот лог можно просмотреть только за месяц или есть возможность сделать поиск по нику или по дате?

Нет, поиска там нет. Только то, что на странице в конкретный момент.

Аккуратнее с запуском сомнительных программ (кошельков шитфорков, например) во всяких песочницах, виртуал-боксах и прочих виртуалках. Зачастую эти виртуальные машины в одной сети с хостом и вредоносы могут просканировать из-под виртуалки основной компьютер по сети на предмет уязвимостей. И если таковые найдутся, то будет мясо.

Видимо имеется в виду, что вкладка "Безопасность устройства" в параметрах должна выглядеть как на скриншоте ниже. Если это не так, то следует настроить БИОС. Если компьютер старый без UEFI, то настоятельно имеет смысл купить новый.

http://www.hostpic.org/images/1812271644410107.png

С роутерами отдельная песня, там производителям плевать на безопасность, в роутере нужно отключать все ненужные компоненты и выстраивать домашнюю сеть изначально с расчётом на чужака в сети.

Для картинки

Специализированное техническое образование не является обязательным для российского хакера.

Дело в том, что нынешний «хакер» – продвинутый пользователь, имеющий доступ к хакерским сайтам. А ведь недавно профиль злоумышленника был совсем иной. Это был профессионал! Уходят времена, однако…

 ;)

Ничто не предвещало беды... WinRAR, факинг шит! Вот поэтому не нужно ставить необязательные программы на комп.

"Критическая уязвимость в WinRAR ставит под угрозу более 500 млн пользователей

Для успешной атаки злоумышленнику потребуется просто убедить жертву распаковать вредоносный архив с помощью WinRAR.

Специалисты компании Check Point раскрыли информацию о критической уязвимости в популярном архиваторе для Windows, аудитория которого насчитывает более полумиллиарда пользователей по всему миру, позволяющей выполнить код на целевой системе. Для успешной атаки злоумышленнику потребуется всего лишь обманом заставить жертву распаковать вредоносный архив.

Уязвимость обхода каталога, получившая несколько идентификаторов (CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 и CVE-2018-20253), затрагивает все версии WinRAR, выпущенные за последние 19 лет. Проблема кроется в устаревшей сторонней библиотеке UNACEV2.DLL, используемой архиватором для распаковки файлов в формате ACE. Поскольку WinRAR распознает формат по содержимому файла, а не его расширению, атакующим потребуется всего лишь изменить расширение .ace на .rar, чтобы замаскировать вредоносный архив.

Данная уязвимость предоставляет возможность извлечь файлы из архива в нужную злоумышленникам папку, а не назначенную пользователем. Таким образом они могут поместить вредоносный код в папку автозагрузки Windows, который будет автоматически выполняться при каждой загрузке системы. Как видно на видео https://youtu.be/R2qcBWJzHMo , для полной компрометации системы злоумышленнику потребуется просто убедить пользователя распаковать вредоносный архив с помощью WinRAR.

В конце января нынешнего года разработчики WinRAR выпустили версию WinRAR 5.70 Beta 1 , устраняющую данную уязвимость. Поскольку команда утратила доступ к исходному коду UNACEV2.dll еще в 2005 году, разработчики решили удалить библиотеку и, соответственно, поддержку формата ACE из версии 5.70 beta 1. Всем пользователям рекомендуется обновиться как можно скорее."

Источник: https://www.securitylab.ru/news/498047.php

И ещё, на конкретном примере: Злоумышленники эксплуатируют уязвимость в WinRAR для установки бэкдора
Специалисты заметили первую вредоносную кампанию, использующую данную проблему для внедрения вредоносного ПО.
Подробнее: https://www.securitylab.ru/news/498108.php

Очень знакомая ситуация. Если почту украли - то считай все. Так я помню у моего хорошего знакомого украли почту и с ней все. У него был акк на криптобирже и там тоже были эфиры, все это украли. Соц сети и доступ к картам. В общем, хватает умников.
Я бы на вашем месте вспомнил все остальные подвязки к площадкам где у вас украли доступ и сделал соответствующие выводы=))

Чему удивляться - если довольно большое кол-во пользователей устанавливают банальные ответы на секретный вопрос при попытке  восстановить доступ к почте. Например моё первое авто - ответы копейка, жигули и т.п.
Любой мэйл если не привязан телефон методом брутфорса ломается на ура.

каким образом? 16-ти значный пароль сломают?

Функция восстановить пароль - ответ на секретный вопрос.Не совсем правильно выразился, брутфорсятся при помощи бота ответы на секретные вопросы. По шаблону - если авто - то перебираются марки.

Очередной пример того, что чем меньше на ПК установлено программ, тем лучше:

Злоумышленники внедрили бэкдор в утилиту ASUS Live Update

Вредоносная версия утилиты была подписана украденным сертификатом и распространялась с официального сервера ASUS.

Подробнее: https://www.securitylab.ru/news/498504.php

ЗЫ что Асус - распонтованные мудаки знал давно, и не удивлён.


И ещё. Кто поймал пишут, что: "Расследуя атаку, мы обнаружили, что те же самые техники использовались и для заражения ПО трех других производителей." https://www.kaspersky.ru/blog/shadow-hammer-teaser/22486/ К сожалению, не уточняют каких.

Если они добрались до раздела загрузки официального сайта и сертификата, то там одной ASUS Live Update вряд ли обошлось. В таком случае воможно многое - драйверы переписывать, прошивки биос модифицировать (самое опасное).

Можно проверить свой МАК на зашкваренность на сайте Касперского по ссылке https://shadowhammer.kaspersky.com/

Взято отсюда: https://www.kaspersky.ru/blog/shadow-hammer-teaser/22486/

часто ломают сам сервис, сливая хэши паролей. далее в ход идут радужные таблицы (http://wiki-org.ru/wiki/%D0%A0%D0%B0%D0%B4%D1%83%D0%B6%D0%BD%D0%B0%D1%8F_%D1%82%D0%B0%D0%B1%D0%BB%D0%B8%D1%86%D0%B0).

Жить не обязательно, год назад периодически встречал на своей лестничной площадке чуваков позднего студенческого возраста со смартфоном в руке. Сейчас роутер забетонирован и отключено всё, что только можно отключить. Посему отвяли.

не спасет вас на 100 отключенный wps. если оперируете крупными суммами лучше вообще отключить wifi.
ничто не мешает при выключенном wps захватить хэндшейк и сбрутить пароль.
так же в последнее время набирают популярность mitm атаки wifi сетей.
если кому будет интересно - распишу подробнее.

Да, вайфай лучше вырубить нахрен, для работы он всё равно не нужен. Если же суммы не особо значительные и отключать влом, можно вайфайскую подсеть в отдельном сегменте разместить, из которого нет доступа к другим подсетям и настройкам роутера. В совокупности с другими мерами защиты за-fuck-ается взламывать.

Следует заметить, что сейчас инструменты для взлома продают либо дают в аренду, поэтому непосредственные взломщики талантами не блещут, тупые и являются не непосредственными разработчиками троянов, а их покупателями. Т. е. сами разработчики не рискуют, а используют покупателей (как безмозглый скот какой-то, быдло). Так вот этот самый безмозглый скот даже в случае взлома если комп "пустой" попадает в цейтнот - деньги уплочены, а когда через комп погонят бабло можно и не дождаться - уязвимость закроют или антивир начнёт детектировать. Поэтому такой подлец быдлец такой комп обойдёт стороной, ему это невыгодно.

была бы цель, а средства найдутся. если есть дома домочадцы помимо вас, то можно провести атаку "на них".
гуглите - mitm - атаки в wifi сетях. сами, не понимая происходящего, могут слить ваш форсированный пароль путем подмены точки доступа и поднятия одноименной с перехватывающим порталом
есть идругие варианты

Периодически обнаруживаю постороннее присутствие, принимаю меры. Подробности раскрывать не могу, просто отмечу, что разнообразие подходов впечатляет. Говно прилипло и отлипать не собирается. Но последнее время давление усилось, видимо из-за роста курса BTC - выяснилось, что все подключённые к интернету компы оказались скомпроментированные и ещё кое-что.

Курс растёт... А это значит, что скоро появятся истории на форуме, как кого-то ограбили. Ресурсы у "них" есть, целая индустрия трудится.

"Microsoft исправила две уязвимости нулевого дня
 
Компания выпустила патчи для 77 уязвимостей в рамках «вторника исправлений».
Во вторник, 9 июля, Microsoft выпустила очередные ежемесячные плановые обновления безопасности для своих программных продуктов. В этот раз компания исправила 77 уязвимостей, в том числе две уязвимости нулевого дня.
Уязвимости CVE-2019-0880 и CVE-2019-1132 позволяют злоумышленнику повысить свои привилегии на атакуемой системе. С их помощью нельзя удаленно захватить контроль над компьютером, но злоумышленник, которому уже удалось проникнуть в систему, может воспользоваться ими для получения доступа к привилегированной учетной записи.
Главной из двух уязвимостей является CVE-2019-1132, затрагивающая компонент Win32k в более старых версиях Windows, в том числе в Windows 7 и Server 2008. По словам специалистов ESET, она эксплуатировалась киберпреступниками, предположительно связанными с российским правительством. Подробности о вредоносной кампании исследователи обещали опубликовать позднее.
Вторая уязвимость нулевого дня, CVE-2019-0880, затрагивает процесс splwow64.exe. Проблема была обнаружена специалистами Resecurity. Уязвимость затрагивает Windows 10, 8.1, Server 2012, Server 2016, Server 2019, а также версии Server 1803 и 1903, однако в реальных атаках она эксплуатировалась только в более старых версиях Windows. Подробности о вредоносных кампаниях, в которых использовалась данная уязвимость, пока не известны."

Источник: https://www.securitylab.ru/news/499896.php

Уязвимости эти довольно противные, потому что позволяют, например, каким-нибудь сраным скриптом с веб-страницы заменить системные файлы хренью и никая защита не сработает.

За последние 15 лет из всех книжек по защите, что видел, все советовали использовать лицензионное ПО и загружать обновления. А по факту пришлось столкнуться с инсайдером от Ростелекома, модифицированными настройками и прошивкой роутера, модифицированным биосом, взломанным сайтом Asus с заменой программ и драйверов на троянов, дырявым Winrar, бездействием полиции, бездействием ХуЯндекса. В добавок мошенники научились слать смс и звонить с поддельных официальных номеров Сбербанка, например 900.

П**дец какой бардак.

Так просто уровень безопасности другой. Для того, кто кошечек в интернете смотрит и через ВКонтактике переписывается - вот для них обновления самое то, даже если будет дыра в роутере, ее мало кто заметит.

А где крипта или финансы, там эти книги стоит выкинуть и самому свою "модель угроз" выстроить, а потом и защищаться, по каждому пункту.

Ну количество подходов для отъема у очень доверчивых будет только увеличиваться. В случае кустарщины, без нужных знаний и умений все может оказаться еще хуже.
Прокси-прокладки вшитые к кустарные роутеры (привет тем кто любит брать с рук роутеры) (сейчас такое благо блочат браузеры и брандмауэр это видит),  поддельные ssl сертификаты от дырявых центров (и такое есть), перехват сессий в публичных вай фаях (паблик вай фаи это вообще отдельная тема). Это норма.

Поэтому и придумал проверять цифровую подпись файла, даже если сайт "официальный". И контрольные суммы файлов смотреть, сверяя с тем, что указано (но их то и поменять могут, при взломе сайта).

Кстати, какер, который учётки воровал (назовём его Ледокол) сейчас со своих многочисленных клонов ищет аккаунты "на Local Bitcoin", например: Куплю аккаунт local bitcoin (https://bitcointalk.org/index.php?topic=5153491)

А также продаёт запароленные кошельки "с биткоинами". Вот ведь клоун, ничего не могущий! )

Будьте осторожны.

Долбаный Хром зае.. своими дырами: В Google Chrome исправлена опасная уязвимость (https://www.securitylab.ru/news/500688.php)

Недавно такая и в Мозиле была. Браузеры все больше и больше вгрызаются в управление системой. С другой стороны, теперь их так просто не надуришь всякими прокси http, которые мамкины хакеры любят вшивать прокладками в кастомные прошивки роутеров и прочей дичи.

Хотелось бы мне увидеть того придурка, который запускает браузер от имени администратора :)

У многих пермишены могут быть неправильно выставлены. Даже на Линуксе такое очень часто случается (когда расшариваются админские права на всех, это легко проверить, так как не нужно вводить команду супер юзера) а в Винде многие сидят с админских учеток, и там вообще все грустно. Те люди, которых ты хочешь увидеть, это 70 % населения короче.

В догонку про Хром. Последний год-два, что стал читать новости по безопасности, то и дело мне попадались новости про уязвимости данного браузера.

Так вот. Для тех, кто пользуется Оперой прошу учесть, что она сделана на основе кода Хрома и все дыры для Хрома актуальны и для Оперы. Но после выхода обновления для Хрома это же обновление для Оперы выпускают с запозданием, причём довольно долгим. Имейте это ввиду - Опера по обновлениям всегда опаздывает.

Вот это полезный и хороший пост. У них общий движок - Хромиум, если что. У Интернет эксплорера (если им кто то еще пользуется) тоже Хромиум. Свои движки только у Хрома, Сафари и Мозиле.

Chromium - это не движок, а веб-браузер (https://ru.wikipedia.org/wiki/Chromium) с открытым исходным кодом, разрабатываемый сообществом The Chromium Authors, компанией Google и некоторыми другими компаниями (Opera Software, Яндекс, NVIDIA, …). На основе Chromium создан браузер Google Chrome (https://ru.wikipedia.org/wiki/Google_Chrome) и Opera (новая) также.

Соответственно, и Chromium, и Google Chrome, и Opera (https://ru.wikipedia.org/wiki/Opera) используют один движок -  Blink (https://ru.wikipedia.org/wiki/Blink_(%D0%B4%D0%B2%D0%B8%D0%B6%D0%BE%D0%BA)), который является форком движка WebKit (https://ru.wikipedia.org/wiki/WebKit).

Немного перепутал, с кем не бывает. Но суть это не особо поменяло, из того, что я сказал.

Движок один - уязвимости одни. Что у Хрома, что у Оперы, что у IE.

Опять неувязочка :) IE использует движок Trident (https://ru.wikipedia.org/wiki/Microsoft_Trident), а вот Microsoft Edge (https://ru.wikipedia.org/wiki/Microsoft_Edge) использует уже платформу Chromium. Это два совершенно разных браузера.

P.S. Вот противный какой...  ;D

Правильно говорил Вундерсвин, что модеров менять пора. А то разумистами стали. Как только модер становится разумистом - время его менять.

Еще скажи что у Мозиллы не Quantum движок, и я опять обосрался.

Ощутимый прогресс в защите операционных систем заставил злоумышленников изобретательно искать в компьютерах новые уязвимости. Несколько заслуживающих внимания статей на тему атаки BadBIOS:

BadBIOS, или Большие Проблемы (https://kiwibyrd.org/2014/08/06/1315/)
Coreboot, оно же LinuxBIOS: компрометация ядра и его защита (https://kiwibyrd.org/2019/06/30/1964/#more-4144)
UEFI как SNAFU (https://kiwibyrd.org/2015/01/23/151/#more-2451)
UEFI: Хотели как лучше… (https://kiwibyrd.org/2013/11/07/1110/#more-1061)

И ещё, с подставой от спецслужб легитимного производителя: Угрозы на три буквы (https://kiwibyrd.org/2014/05/17/145/) Тут уже и актуальна становится тема роутера (перехват незашифрованных сетевых пакетов) или админов провайдеров, да и просто всех, через кого трафик пойдёт. Публикация расследования от Kaspersky Lab: Угроза из BIOS (https://securelist.ru/ugroza-iz-bios/19169/) Цитата среди прочих:

---

Бонус. Статья на тему атаки BadUSB: Чума на ваши USB (https://kiwibyrd.org/2014/09/02/1483/)

С каждой новой прочтенной статьей по безопасности начинаешь параноить все больше. Не понял одного из этой статьи. Перепрогроммирование чипов происходит через вирус или вполне возможно  заказать уже зараженный USB носитель с Китая, например?

Мне кажется, что китайцы легко могут создавать и продавать подобные флешки.
BADUSB кабель (https://ru.aliexpress.com/i/32975244406.html)

В сети уже сейчас много информации, как ее можно сделать самостоятельно. Лучше покупать флешки у известных брендов и в специальных магазинах.


Так ли страшен BadUSB, каким его преподносят СМИ? (https://lifehacker.ru/kak-obezopasit-sebya-ot-neulovimoj-uyazvimosti-badusb/)
Мы изобрели лекарство от BadUSB (https://www.kaspersky.ru/blog/badusb-solved/12425/)


новый хит ;D
Фейковый зарядный кабель для iPhone

https://habr.com/ru/news/t/463557/

Как раз таки этот вирус распостраняется именно вторым вариантом, когда флешка уже была и доброжелателей до тебя. Тоже самое кстати и с роутерами (поэтому не стоит брать бу роутеры). Я не помню, писал здесь или нет (а то еще в бан улечу за плагиат самого себя, ха ха) но если прошить роутер на низком уровне (скачал прошивку, и если она опенсорс то кое что в ней поменял) то роутер можно превратить в грозное оружие анального угнетения наивных пользователей, так как можно и прокси сервер-прокладку загрузить, и удаленный доступ получить, и пакеты смотреть (если без https) и вайт листы свои создавать, и свои программы устанавливать. Много чего.


Смотри, здесь есть правда очень важный момент который упускают "пугатели":
Чем больше масштабируемость и охват, тем меньше собственно инвазивность. Фишинговые сайты к примеру вообще не имеют инвазивности, а работают за счет глупости самих людей. В то же время, реверсивный инжениринг с травлением или УФ атакой на чип твоего Трезора позволит ребятам получить все что угодно. Но во втором случае они ограниченны конкретной моделью чипа (STM32 например) и необходимостью физического доступа.

Очень схожая вещь с badusb, вот цитата: "Оба представленных прототипа — недавний и тот, что видели на конференции BlackHat, — для иллюстрации механизма атаки используют контроллер USB 3.0 производства компании Phision. Выбор совсем не случаен: для этого контроллера в широком доступе находились утилиты перепрошивки, поэтому протокол его работы было легко разобрать." (https://lifehacker.ru/kak-obezopasit-sebya-ot-neulovimoj-uyazvimosti-badusb/)

Как можешь заметить, атака успешно прошла против конкретного контроллера конкретного производителя. С другим может не выйти.