• Специалисты по кибербезопасности нашли несколько вредоносных расширений в магазине Chrome Web Store. Эти расширения крадут переписку с ИИ‑чат‑ботами и собирают данные о сайтах, которые посещает пользователь. Всю информацию вредоносные приложения отправляют на серверы злоумышленников. Этими расширениями воспользовались 900 тысяч человек.

• Первое расширение называется ChatGPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI. Его установили 600 тысяч пользователей. Второе называется AI Sidebar with Deepseek, ChatGPT, Claude, and more. У него 300 тысяч установок. Оба расширения маскируются под реальное дополнение Chat with all AI models от компании Aitopia. Одно из вредоносных расширений даже имело статус рекомендованного.

• Сами расширения передают переписку и адреса всех открытых вкладок на удалённый сервер. Это происходит каждые 30 минут. При установке расширения просят разрешение собирать анонимные данные для улучшения работы. Но на деле расширения копируют всё содержимое чатов с ИИ‑чат‑ботами. Для этого оно ищет нужные элементы на странице. Затем извлекает сообщения и сохраняет их. После этого данные уходят на серверы злоумышленников.

• А еще злоумышленники используют платформу Lovable для создания сайтов. На этих ресурсах хакеры публикуют политики о защите данных и другие элементы. Это делается для маскировки. Так что будьте внимательны... Наглядная демонстрация атаки есть на YT: https://youtu.be/A79PeC_SNPI

➡️ Исследование.

#Новости

📞 Таксофон у вас дома:

В детстве, которое пришлось на 90-е, мне очень хотелось иметь Интернет. Родители не собирались его подключать, поэтому я позвонил провайдеру и сказал, что хочу создать аккаунт. У меня спросили фамилию, я назвал вымышленную. Потом у меня спросили номер кредитной карты, я сказал, что мне нужно найти бумажник, после чего я перезвоню.

Из книги Big Secrets и нескольких выпусков журнала 2600 я знал пару фактов о кредитных картах. Номера карт American Express всегда состояли из 15 цифр и начинались с тройки, а номера карт Visa состояли из 16 цифр и начинались с четвёрки. Первая пара цифр обозначала банк-эмитент, затем шёл номер счёта; последняя цифра вычислялась при помощи алгоритма Луна и использовалась как контрольная сумма всех предыдущих цифр.

Для генерации номера карты Visa нужно начать с четвёрки, добавить несколько случайных цифр, а затем вычислить контрольную цифру и добавить её в конец. Получившееся число почти наверняка не совпадёт с номером реальной карты, но будет выглядеть настоящим номером.

Я написал программу для генерации номеров кредитных карт согласно описанному выше алгоритму, а затем перезвонил провайдеру, сообщил номер и произвольный срок действия. Представитель провайдера сказал: «Отлично, теперь нам нужен лишь номер телефона, чтобы перезвонить вам».

Не знаю, первое ли это правило мошенничества с кредитными картами, но оно вполне может им быть: «Не сообщай человеку, которого пытаешься обмануть, свой реальный номер телефона». Я сказал, что недавно переехал, мне нужно его поискать, и что я перезвоню. Я пошёл к таксофону рядом с магазином у дома, записал его номер, перезвонил провайдеру и сообщил данные. На другом конце провода повесили трубку, подождали несколько минут и перезвонили на таксофон, я ответил. Меня попросили назвать имя пользователя, дали мне произвольный пароль и поблагодарили.

Интернет оказался всем тем, на что я надеялся; по крайней мере, на пару недель. Но однажды имя пользователя и пароль не сработали. Очевидно, провайдер попытался снять платёж с карты, и ему не удалось. Я сгенерировал новый номер кредитки, вернулся к магазину, снова позвонил с таксофона и попросил создать новый аккаунт. Всё проходило без проблем, пока я не дал номер таксофона, после чего меня не поблагодарили.

Номер таксофона занесли в чёрный список, но преимущество жизни в большом американском городе в 90-х заключалось в том, что всегда можно было найти другой таксофон. Я позвонил провайдеру с другого, создал новый аккаунт и снова получил Интернет.

На следующие несколько месяцев это превратилось в своеобразную игру «кошки-мышки» между мной и провайдером. Я распечатал список сгенерированных номеров кредитных карт и носил его с собой. Если я находил таксофон, то или звонил, чтобы создать новый аккаунт, или записывал его адрес на будущее. Иногда я попадал на сотрудника, с которым я говорил раньше и который узнавал мой голос, иногда сотрудник настаивал на том, чтобы перезвонить на следующий день, из-за чего мне пришлось бы зависать рядом с таксофоном, надеясь, что он зазвонит. Если я был с другом, то просил позвонить его и сказать текст, который я записывал на бумаге.

Со временем у меня наконец появился более постоянный доступ к Интернету, но этот опыт заставил меня полюбить таксофоны за то, что они были столь полезны в нужную мне минуту.

• Максимально атмосферная статья, где автор рассказывает об опыте использования таксофонов и его установке у себя дома. Статья - оффтоп, но однозначно вам понравится.

➡️ Источник [eng].
➡️ Перевод [ru].

#Разное #оффтоп

⚙️ Maltrail ― крайне полезный инструмент для обнаружения вредоносного трафика на базе общедоступных черных списков сетевых адресов.

• Если говорить простыми словами, то Maltrail является легковесной системой обнаружения вторжений (IDS). Принцип работы следующий:

➡Тулза тихо слушает весь сетевой трафик, идущий к вашему серверу и от него.
➡Сверяет IP-адреса, домены и URL из этого трафика с огромной, постоянно обновляемой базой данных, собранной из сотен публичных "чёрных списков" и статических сигнатур. Туда входят списки от AlienVault, dshield, Emerging Threats, трекеры Ransomware и данные о тысячах семейств вредоносов!
➡Если обнаруживается совпадение — Maltrail немедленно записывает это в лог и показывает в красивом веб-интерфейсе.

• При использовании нужно учитывать:

➡Это IDS, а не IPS. Maltrail обнаруживает, но не блокирует трафик по умолчанию.
➡Возможны ложные срабатывания. Иногда в списки попадают IP-адреса крупных сервисов вроде Google или Cloudflare.
➡Идеален для pet-проектов и небольших серверов. Он очень лёгкий, почти не потребляет ресурсов и прост в настройке.

➡️ https://github.com/stamparm/maltrail

#Tools #Security

💸 Монорельс для денег.

• Пока во многих каналах пишут о взломе самого безопасного мессенджера в мире, давайте лучше поведаю вам историю о монорельсе для денег! Надеюсь, что будет интересно. А что касается взлома, то поговорим о нем позже, когда будет более детальная и проверенная информация.

• Итак, в конце 19 века, во время бума розничной торговли, владельцы магазинов столкнулись с определенными проблемами: кражами на кассах, случаями хищений со стороны сотрудников, а еще покупателям приходилось долго ждать расчета или сдачи. Чтобы оставаться на плаву, владельцам магазинов нужно было найти безопасный и удобный способ перемещения денег по магазину.

• Многие годы деньги в крупных магазинах доставляли в общую кассу с помощью курьеров. Продавцы звонили в колокольчики или кричали "Кассир!", чтобы вызвать "кассовых мальчиков". Те забирали деньги клиентов, бежали к кассовому пункту, получали сдачу и возвращались обратно. Согласитесь, сейчас такая схема выглядит безумием.

• Уильям Стикни Ламсон, торговец тканями из Массачусетса, был одним из первых, кто попытался автоматизировать этот денежный поток. В конце 1870-х он экспериментировал с передачей налички, завернутой в носовые платки. Сотрудники бросали их друг другу до кассы. Это было, конечно, странно и тоже не особо эффективно. Но потом он создал гораздо более продвинутую систему, которая стала чрезвычайно популярной у бизнеса.

• Ламсон изобрел систему, основой которой были полые деревянные шары. Деньги помещались в них, а они уже катились по наклонным рельсам, установленным за полками. Конечная станция - касса. Покупатели находили это удобным и новаторским, поэтому вскоре и другие розничные торговцы начали использовать такую систему.

• Система кассовых шаров работала достаточно хорошо, но рельсы были громоздкими, а внутреннее устройство некоторых магазинов не позволяло соединять все отделы наклонными дорожками.

• Здесь пришла на помощь другая система. 15 июля 1875 года предприниматель из США Дэвид Браун получил патент на "аппарат для транспортировки наличных денег и прочих мелких грузов". Система представляла собой корзинки, подвешенные к веревочной карусели. Полученные за товар деньги продавец отправлял в корзине кассиру, а тот возвращал сдачу и чек.

• Ламсон выкупил права на это изобретение, усовершенствовал его и добился коммерческого успеха своего предприятия. В 1882 году он основал в Бостоне компанию Cash Carrier Company. Она занялась массовым выпуском устройств по доставке денег на базе этой технологии.

• К концу 1880-х продавцы отправляли деньги в небольших деревянных емкостях или корзинах. Оснащенные шарнирной системой, те передвигались по натянутому проводу от прилавка к кассовому пункту, который обычно представлял собой клетку в центре магазина. Натягивая специальный шнур или нажимая на рычаг, продавцы могли отправлять емкости по проводу, а те достигали пункта назначения за считанные секунды. Кассир возвращал сдачу и квитанцию тем же образом.

• К середине 1890-х годов компания Cash Carrier Ламсона стала международной, обслуживая розничных торговцев в Великобритании, США и Канаде. Неудивительно, что у Ламсона появились конкуренты, которые патентовали похожие системы и пытались пробиться на быстро развивающийся рынок "кассовых деньгоперевозок".

• С развитием спроса системы становились все более масштабными, сложными и эффективными. Одна из популярных инноваций - доставка с электрическим двигателем. Он приводил в движение серию канатов, по которым кассовые контейнеры могли перемещаться в любом направлении.

• Системы разных компаний стали неотъемлемой частью дизайна розничных магазинов начала XX века. Самые сложные из них напоминали аттракционы, когда деньги и товары стремительно передвигались по открытым пространствам, лихо заворачивали за углы, и скользили вверх и вниз по наклонным проводам.

• Но всему когда-то приходит конец... Все эти канатные системы устарели с появлением новых технологий. Автоматические кассовые аппараты обеспечили безопасность и повысили удобство, что позволило уйти от "железных дорог" в магазинах...

#Разное

• В копилку гайдов по настройке голосовой и видеосвязи прибыло... На хабре опубликовали хорошее руководство по настройке Nextcloud Talk.

• Nextcloud Talk занимает третье место среди всех платформ цифровых коммуникаций, учитывая функциональность, защищённость, открытый код клиента и сервера, установку на самохостинге, поддержку сквозного шифрования. А еще веб-интерфейс и мобильное приложение Nextcloud Talk работают через сервер пользователя, что хорошо подойдет для семьи и для общения с друзьями. Поддерживается федерация с другими серверами.

➡️ https://habr.com/ru/post/984836

• В дополнение ⬇

➡Matrix и XMPP на своем сервере для самых маленьких.
➡Galene — простой сервер видеоконференций. Установка на VPS.
➡Звонки через Jabber в докер-контейнере за 5 минут.
➡Запускаем сотовую сеть 4G LTE с поддержкой звонков и SMS.

#Разное