Хакерская группировка Magecart разработала скрипт, который маскируется под страницу 404
Целью атаки стали интернет-магазины на основе популярных веб-платформ WooCommerce и Magento. WooCommerce входит в топ-3 самых используемых CMS. Сайты взламывают и встраивают в код специальные веб-скиммеры — модули для кражи данных банковских карт.
Это не классическая фишинговая атака, когда у пользователя крадут данные только из-за его невнимательности. Используется уязвимость Magento и WooCommerce. Скиммер-загрузчик или маскируется под фрагмент кода Meta Pixel, или прячется в случайных встроенных скриптах, уже присутствующих на скомпрометированной странице оформления заказа онлайн-магазина.
Для пользователя это выглядит так: после загрузки страницы "404 File Not Found" и при последующем обновлении происходит подмена страницы ввода платёжных данных, которую пользователь заполняет, доверяя сайту, на котором находится.
Такая тактика хакеров позволяет им избегать обнаружения, так как для средств мониторинга трафика происходящее выглядит обычным запросом для получения изображения. Лишь при декодировании строки Base64 можно обнаружить персональные данные человека и информацию о банковской карте. В итоге администраторам становится труднее обнаруживать вредоносный код на скомпрометированных сайтах и избавляться от него.
Что делать, чтобы случайно не поделиться данными с мошенниками?
🔜 Использовать надёжные антивирусы, которые могут автоматически определять загрузку вредоносного кода, вне зависимости от того, откуда она идёт.
🔜 Внезапно оказавшись на странице 404 интернет-магазина со странным сценарием, задуматься на долю секунды, а затем закрыть её.
🔜 Использовать для оплаты на сайтах виртуальную карту с ограниченной суммой на счёте и выставленными лимитами.
🔜 Заблокировать и перевыпустить карту, если вы уже ввели все данные в подозрительную форму, а потом поняли, что не стоило так делать.
Целью атаки стали интернет-магазины на основе популярных веб-платформ WooCommerce и Magento. WooCommerce входит в топ-3 самых используемых CMS. Сайты взламывают и встраивают в код специальные веб-скиммеры — модули для кражи данных банковских карт.
Это не классическая фишинговая атака, когда у пользователя крадут данные только из-за его невнимательности. Используется уязвимость Magento и WooCommerce. Скиммер-загрузчик или маскируется под фрагмент кода Meta Pixel, или прячется в случайных встроенных скриптах, уже присутствующих на скомпрометированной странице оформления заказа онлайн-магазина.
Для пользователя это выглядит так: после загрузки страницы "404 File Not Found" и при последующем обновлении происходит подмена страницы ввода платёжных данных, которую пользователь заполняет, доверяя сайту, на котором находится.
Такая тактика хакеров позволяет им избегать обнаружения, так как для средств мониторинга трафика происходящее выглядит обычным запросом для получения изображения. Лишь при декодировании строки Base64 можно обнаружить персональные данные человека и информацию о банковской карте. В итоге администраторам становится труднее обнаруживать вредоносный код на скомпрометированных сайтах и избавляться от него.
Что делать, чтобы случайно не поделиться данными с мошенниками?
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19😱8❤5🔥5👌2
МТС дарит подарки в честь 30 лет! Нажмите на кнопку, чтобы узнать, какой ваш 😎
Telegram
МТС О̶ф̶и̶ш̶и̶а̶л̶
Сказали юности «привет», взяли билет на зрелость и празднуем 3️⃣0️⃣❗️
#️⃣ Как и полагается, каждый юбилей мы празднуем с ещё большим размахом, и в этот раз разыгрываем миллионы ценных призов, среди которых автомобили с системой МТС Авто, путешествия и уикенды…
#️⃣ Как и полагается, каждый юбилей мы празднуем с ещё большим размахом, и в этот раз разыгрываем миллионы ценных призов, среди которых автомобили с системой МТС Авто, путешествия и уикенды…
❤6🔥5💩2
Параноикам приготовиться
Исследователи из Корнеллского университета в США нашли способ перехватывать нажатия клавиш через микрофон. Точность распознавания при этом достигает 95%.
Правда, сначала алгоритм нужно обучить для конкретной клавиатуры (а их великое множество). Ему нужно «скормить» звуки нажатия клавиш и привязать каждый звук к конкретной кнопке. То есть злоумышленнику необходимо знать, какую клавишу вы нажимаете и какому символу она соответствует.
Для демонстрации исследователи взяли 36 клавиш клавиатуры MacBook Pro и записали каждую из них по 25 раз. Результаты: 95% точности при записи на микрофон iPhone 13 mini с расстояния 17 см от клавиатуры, 93% при записи через Zoom и 91,7% при записи через Skype.
Исследователи рекомендуют использовать мембранные клавиатуры, так как они издают меньше звуков при печати, или вовсе перейти на сенсорную клавиатуру.
Спросили старшего менеджера по продукту в команде Hardware Future Crew Александра Бобовникова, стоит ли волноваться и печатать потише. На самом деле нет. Перехватить пароли таким образом без вашего ведома практически невозможно. Издаваемый звук зависит от площади кнопки, материала, сопротивления механизма нажатия и индивидуальных особенностей печати каждого человека. Чтобы обучить алгоритм, нужен доступ к переписке, записи звука и информации о модели ноутбука. И если есть все эти данные, то уже нет смысла считывать нажатия клавиш.
Исследователи из Корнеллского университета в США нашли способ перехватывать нажатия клавиш через микрофон. Точность распознавания при этом достигает 95%.
Правда, сначала алгоритм нужно обучить для конкретной клавиатуры (а их великое множество). Ему нужно «скормить» звуки нажатия клавиш и привязать каждый звук к конкретной кнопке. То есть злоумышленнику необходимо знать, какую клавишу вы нажимаете и какому символу она соответствует.
Для демонстрации исследователи взяли 36 клавиш клавиатуры MacBook Pro и записали каждую из них по 25 раз. Результаты: 95% точности при записи на микрофон iPhone 13 mini с расстояния 17 см от клавиатуры, 93% при записи через Zoom и 91,7% при записи через Skype.
Исследователи рекомендуют использовать мембранные клавиатуры, так как они издают меньше звуков при печати, или вовсе перейти на сенсорную клавиатуру.
Спросили старшего менеджера по продукту в команде Hardware Future Crew Александра Бобовникова, стоит ли волноваться и печатать потише. На самом деле нет. Перехватить пароли таким образом без вашего ведома практически невозможно. Издаваемый звук зависит от площади кнопки, материала, сопротивления механизма нажатия и индивидуальных особенностей печати каждого человека. Чтобы обучить алгоритм, нужен доступ к переписке, записи звука и информации о модели ноутбука. И если есть все эти данные, то уже нет смысла считывать нажатия клавиш.
🔥18👍14❤8
Future Crew в Лиссабоне!
На прошлой неделе наши коллеги приняли участие в международной технологической конференции Web Summit в Португалии.
На мероприятии собираются крупнейшие IT-компании со всего мира: в этом году конференцию посетили более 70 тысяч участников из 153 стран. И наша команда стала частью этого — всегда полезно выбраться за пределы привычного и погрузиться в международный мир цифровых инноваций.
На протяжении четырёх дней на площадке Web Summit выступили 779 спикеров и были представлены 2 608 стартапов. На тематических сессиях обсуждали тренды будущего:
🟣 Абсолютный тренд — ИИ: лекции и стартапы на эту тему в областях финтеха, медицины, образования и т.д. Плюсы и минусы искусственного интеллекта, потенциал и непривлекательные стороны, всестороннее применение в будущем;
🟣 Эволюция электронных коммуникаций: бесконтактные системы, связь без телефонов и умные города;
🟣 Кибербезопасность. Сейчас тема максимально востребована.
Нам удалось пообщаться с коллегами из других стран, обменяться опытом и узнать о тенденциях в развитии стартапов. И кто знает — возможно, в следующем году мы посетим Web Summit уже с нашими продуктами.
В отдельном посте расскажем подробнее о стартапах, представленных на конференции, и об идеях, которые нам показались интересными.
На прошлой неделе наши коллеги приняли участие в международной технологической конференции Web Summit в Португалии.
На мероприятии собираются крупнейшие IT-компании со всего мира: в этом году конференцию посетили более 70 тысяч участников из 153 стран. И наша команда стала частью этого — всегда полезно выбраться за пределы привычного и погрузиться в международный мир цифровых инноваций.
На протяжении четырёх дней на площадке Web Summit выступили 779 спикеров и были представлены 2 608 стартапов. На тематических сессиях обсуждали тренды будущего:
🟣 Абсолютный тренд — ИИ: лекции и стартапы на эту тему в областях финтеха, медицины, образования и т.д. Плюсы и минусы искусственного интеллекта, потенциал и непривлекательные стороны, всестороннее применение в будущем;
🟣 Эволюция электронных коммуникаций: бесконтактные системы, связь без телефонов и умные города;
🟣 Кибербезопасность. Сейчас тема максимально востребована.
Нам удалось пообщаться с коллегами из других стран, обменяться опытом и узнать о тенденциях в развитии стартапов. И кто знает — возможно, в следующем году мы посетим Web Summit уже с нашими продуктами.
В отдельном посте расскажем подробнее о стартапах, представленных на конференции, и об идеях, которые нам показались интересными.
🔥28👍7👏3🆒1
На следующей неделе CPO Urbanpredator Александра Кузнецова выступит на сессии «Видеонаблюдение и Видеоаналитика» на форуме SFitex в Санкт-Петербурге и расскажет о контроле уровня доступа с помощью технологий мультифакторной аутентификации.
Александра представит сценарии применения интеллектуальной СКУД, включая контроль периметра с помощью Predator Vision и вход «Свободные руки», когда Urbanpredator проверяет личность сотрудника и автоматически разблокирует турникет или замок при его приближении.
Среди новых возможностей продукта – 2D карта, она включает в себя:
• Colour-coding посетителей: сотрудники, гости, нарушители, охрана, подрядчики
• Отображение связей гостя с пригласившим сотрудником
• Возможность создания виртуальных зон
• Поиск посетителя по его данным
• Отображение информации по клику на любого посетителя
• Поиск «Кто последний был в этом помещении?»
Sfitex – это международная выставка технических средств охраны и оборудования для обеспечения безопасности и противопожарной защиты – а значит, максимально нам близкая и интересная. Вход на выставку не бесплатный, но можно себе позволить: 100 рублей на сайте или 200 рублей в кассе Экспофорума. Если вы будете в Санкт-Петербурге 28-30 ноября и вам интересен наш продукт – мы с вами встретимся и всё покажем.
#Urbanpredator
Александра представит сценарии применения интеллектуальной СКУД, включая контроль периметра с помощью Predator Vision и вход «Свободные руки», когда Urbanpredator проверяет личность сотрудника и автоматически разблокирует турникет или замок при его приближении.
Среди новых возможностей продукта – 2D карта, она включает в себя:
• Colour-coding посетителей: сотрудники, гости, нарушители, охрана, подрядчики
• Отображение связей гостя с пригласившим сотрудником
• Возможность создания виртуальных зон
• Поиск посетителя по его данным
• Отображение информации по клику на любого посетителя
• Поиск «Кто последний был в этом помещении?»
Sfitex – это международная выставка технических средств охраны и оборудования для обеспечения безопасности и противопожарной защиты – а значит, максимально нам близкая и интересная. Вход на выставку не бесплатный, но можно себе позволить: 100 рублей на сайте или 200 рублей в кассе Экспофорума. Если вы будете в Санкт-Петербурге 28-30 ноября и вам интересен наш продукт – мы с вами встретимся и всё покажем.
#Urbanpredator
👍6❤4🔥4🎉1
Возможно ли незаметно следить за человеком через AirTag?
AirTag — полезный аксессуар, который позволяет не потерять, а в случае потери найти любимую сумку, новый велосипед или сбежавшего кота. Отслеживание геопозиции — интересный функционал не только для каждого из нас, но и для шпиона.
Представьте, вы — профессиональный угонщик. В соседнем бизнес-центре каждый день паркуется хороший спорткар, на котором нет серьезных противоугонных средств защиты. Вы крепите AirTag под днище автомобиля, изучаете ежедневный маршрут следования машины, и, выбрав нужный момент, угоняете крутую тачку 🙂
Вы можете быть и шпионом. К примеру, если нужный вам человек обедает в соседнем кафе, незаметно подбросьте в его рюкзак или сумку AirTag и получайте информацию обо всех его передвижениях.
Конечно, о таких проблемах знают и Apple, и Google. Предотвращение слежки за пользователями (как бы смешно с их стороны это ни звучало) — серьезная задача. К счастью, решения нашлись.
В случае с iPhone и iPad всё просто: устройства пришлют вам уведомление о том, что рядом с вами долгое время находится AirTag. Если он переведён в режим пропажи, вы можете приложить iPhone к метке и увидеть контактную информацию владельца. У Apple есть подробный гайд на официальном сайте.
Если же устройство не отмечено как утерянное, то Apple предоставит ссылку на пособие по выключению AirTag — без элемента питания никто за вами следить не сможет.
А как быть владельцам Android-смартфонов? В июле этого года Google внедрила аналогичную фичу: смартфон пришлёт вам уведомление, если за вами будет следовать маячок. Android-устройства умеют работать с AirTag, и благодаря NFC вы увидите ту же самую информацию о владельце и гайд по выключению маячка.
Если вы считаете, что за вами следят через AirTag, но Android никаких уведомлений не присылает, скачайте приложение «Детектор трекеров» от Apple — оно доступно в Google Play и позволяет найти «потерянные» метки.
AirTag — полезный аксессуар, который позволяет не потерять, а в случае потери найти любимую сумку, новый велосипед или сбежавшего кота. Отслеживание геопозиции — интересный функционал не только для каждого из нас, но и для шпиона.
Представьте, вы — профессиональный угонщик. В соседнем бизнес-центре каждый день паркуется хороший спорткар, на котором нет серьезных противоугонных средств защиты. Вы крепите AirTag под днище автомобиля, изучаете ежедневный маршрут следования машины, и, выбрав нужный момент, угоняете крутую тачку 🙂
Вы можете быть и шпионом. К примеру, если нужный вам человек обедает в соседнем кафе, незаметно подбросьте в его рюкзак или сумку AirTag и получайте информацию обо всех его передвижениях.
Конечно, о таких проблемах знают и Apple, и Google. Предотвращение слежки за пользователями (как бы смешно с их стороны это ни звучало) — серьезная задача. К счастью, решения нашлись.
В случае с iPhone и iPad всё просто: устройства пришлют вам уведомление о том, что рядом с вами долгое время находится AirTag. Если он переведён в режим пропажи, вы можете приложить iPhone к метке и увидеть контактную информацию владельца. У Apple есть подробный гайд на официальном сайте.
Если же устройство не отмечено как утерянное, то Apple предоставит ссылку на пособие по выключению AirTag — без элемента питания никто за вами следить не сможет.
А как быть владельцам Android-смартфонов? В июле этого года Google внедрила аналогичную фичу: смартфон пришлёт вам уведомление, если за вами будет следовать маячок. Android-устройства умеют работать с AirTag, и благодаря NFC вы увидите ту же самую информацию о владельце и гайд по выключению маячка.
Если вы считаете, что за вами следят через AirTag, но Android никаких уведомлений не присылает, скачайте приложение «Детектор трекеров» от Apple — оно доступно в Google Play и позволяет найти «потерянные» метки.
🔥20👍12🤯7❤2🍾1
Чтобы создать приложение для старшеклассников, нужно думать как старшеклассники, нужно стать старшеклассниками
Поэтому в понедельник СРО Membrana Kids Арсений Эпов под видом новенького попробовал интегрироваться в 10 «Б» московской школы №1465 имени адмирала Н. Г. Кузнецова.
Не совсем так, конечно: мы решили протестировать новый формат UX-исследования и провели уроки для предпринимательских классов, 10-х и 11-х. И нам понравилось, и ребятам тоже.
Арсений рассказал о профессии менеджера продукта в IT, о методологиях разработки, о том, что такое MVP и USM-mapping. Также мы рассмотрели несколько кейсов использования big data в разных проектах: от поиска нужной целевой аудитории до анализа потенциала локации.
А затем наши коллеги-предприниматели придумали и представили свои концепты приложений😎
• Карта с визуализацией маршрутов движения общественного транспорта, покупкой билетов на транспорт, расписанием движения и бронью отелей. В новом городе можно посмотреть достопримечательности по рекомендации от местных жителей.
• Онлайн-кинотеатр, где можно смотреть фильмы на иностранном языке с субтитрами, при этом непонятные фразы объясняются. А ещё можно устроить совместный просмотр и обсуждение с друзьями.
• Приложение, которое помогает создать ваш образ вместе со стилистом в коллаборации с интернет-магазинами одежды.
• Приложение для тех, кто любит готовить, с рецептами на основе ингредиентов, которые вам нравятся или просто есть в холодильнике. Можно выбрать критерии: быстрее/проще/что-то изысканное.
• Соревнования по шуткам между командами: одна команда пишет шутки, а другая их оценивает, потом они меняются ролями. В итоге топовые шутейки можно почитать/посмотреть на главном экране приложения.
• Приложение, где можно делиться своей геопозицией с друзьями и менять статусы.
Сейчас мы создаём новое решение для детей в интернете, и в его основе будет мнение самих детей.
P.S. Благодарим за помощь с организацией уроков Елизавету Ивановну Новикову, учителя истории и обществознания 🤗
Поэтому в понедельник СРО Membrana Kids Арсений Эпов под видом новенького попробовал интегрироваться в 10 «Б» московской школы №1465 имени адмирала Н. Г. Кузнецова.
Не совсем так, конечно: мы решили протестировать новый формат UX-исследования и провели уроки для предпринимательских классов, 10-х и 11-х. И нам понравилось, и ребятам тоже.
Арсений рассказал о профессии менеджера продукта в IT, о методологиях разработки, о том, что такое MVP и USM-mapping. Также мы рассмотрели несколько кейсов использования big data в разных проектах: от поиска нужной целевой аудитории до анализа потенциала локации.
А затем наши коллеги-предприниматели придумали и представили свои концепты приложений
• Карта с визуализацией маршрутов движения общественного транспорта, покупкой билетов на транспорт, расписанием движения и бронью отелей. В новом городе можно посмотреть достопримечательности по рекомендации от местных жителей.
• Онлайн-кинотеатр, где можно смотреть фильмы на иностранном языке с субтитрами, при этом непонятные фразы объясняются. А ещё можно устроить совместный просмотр и обсуждение с друзьями.
• Приложение, которое помогает создать ваш образ вместе со стилистом в коллаборации с интернет-магазинами одежды.
• Приложение для тех, кто любит готовить, с рецептами на основе ингредиентов, которые вам нравятся или просто есть в холодильнике. Можно выбрать критерии: быстрее/проще/что-то изысканное.
• Соревнования по шуткам между командами: одна команда пишет шутки, а другая их оценивает, потом они меняются ролями. В итоге топовые шутейки можно почитать/посмотреть на главном экране приложения.
• Приложение, где можно делиться своей геопозицией с друзьями и менять статусы.
Сейчас мы создаём новое решение для детей в интернете, и в его основе будет мнение самих детей.
P.S. Благодарим за помощь с организацией уроков Елизавету Ивановну Новикову, учителя истории и обществознания 🤗
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥34👍7❤6👏3
Безопасность ноутбука и любого другого устройства зависит прежде всего от вас. Можно рассчитывать на встроенные антивирусы, но некоторые пользователи их не особо жалуют. Они отключают защитные средства, думая, что пара сотен мегабайт оперативной памяти и 1-2% загрузки ЦП важнее безопасности. И совершают страшную ошибку.
Большинство вредоносного программного обеспечения, которое вы можете встретить в интернете, детектируется встроенными средствами защиты. Но на данный момент никакое, даже самое дорогое ПО не сможет защитить вас на 100%. Главная защита — ваша собственная бдительность.
Скачивайте приложения из надёжных источников, используйте разные пароли и не ведитесь на выигрыш миллиона рублей, о котором вам любезно сообщили по почте. Stay secure.
P.S. Кстати, о том, как можно обойти антивирус, наш пентестер из команды CICADA8 Михаил Жмайло рассказал в статье «Диск – это лава. Исследуем методы выполнения пейлоада в памяти» на Хабре.
Большинство вредоносного программного обеспечения, которое вы можете встретить в интернете, детектируется встроенными средствами защиты. Но на данный момент никакое, даже самое дорогое ПО не сможет защитить вас на 100%. Главная защита — ваша собственная бдительность.
Скачивайте приложения из надёжных источников, используйте разные пароли и не ведитесь на выигрыш миллиона рублей, о котором вам любезно сообщили по почте. Stay secure.
P.S. Кстати, о том, как можно обойти антивирус, наш пентестер из команды CICADA8 Михаил Жмайло рассказал в статье «Диск – это лава. Исследуем методы выполнения пейлоада в памяти» на Хабре.
👍16🔥13❤4