plastikcash | Business and Startups

Telegram-канал plastikcash - Plastik

57134

Авторские статьи. Безопасность. Анонимность. Схемы. Хочешь задать вопрос? @plastikanswers РЕКЛАМА НЕ ПРОДАЕТСЯ! Контакт: @plastikcash0

Subscribe to a channel

Plastik

Разведка 2.0: Работаем с AutoRecon
Привет, Аноним.
Сегодня я расскажу тебе о том, почему этап разведки занимает так много времени и как можно его оптимизировать с помощью AutoRecon.
Разберемся, что это за инструмент, для чего он нужен и чем он лучше Nmap.
👉🏼Если это все звучит как белый шум, то специально для тебя я разложил все по полочкам в начале статьи.
Также просканируем несколько целей, чтобы понять, какие результаты можно увидеть по завершению работы этого "чуда".

Читать полностью…

Plastik

Вся правда о Red Team
Как-то раз для директора компании отправили большой букет роз и мишку c вшитым Raspberry PI и внешней антенной.
Привет, Аноним.
Все больше компаний попадают под хакерские атаки. Заводы, фабрики, магазины, интернет-сайты и целые государства.
Сегодня я расскажу тебе о том, что такое Red Teaming. Почему компании так заинтересованы в этой услуге и готовы платить миллионы.

Читать полностью…

Plastik

Пробив телефона. Мифы о анонимности. Работа спецслужб.
Привет, Аноним.
Если купить сим-карту на левый паспорт, то меня не найдут.
Сегодня развеем популярные мифы, а так же поговорим о...
▪️Как работают спецслужбы?
▪️Как оставаться анонимным?
▪️Как работает пробив телефона?
▪️Какие данные сохраняют операторы и за сколько их можно купить на теневых форумах?

Читать полностью…

Plastik

Тамагочи для хакеров. За 1,5$ млн.
Привет, Аноним!
Да, ты все правильно понял, это игрушка для хакеров, а не очередной фин-тех стартап.
В этом мини-обзоре «тамагочи для хакеров» заглянем под капот этого зверя, оценим стоимость устройства и проанализируем возможности и дальнейшее развитие.

Читать полностью…

Plastik

ТОП-5 Хакерских гаджетов
Привет, Аноним.
В этой подборке одни из самых крутых устройств.
Ты сможешь эмулировать различные смарт-карты, проходить турникеты бизнес-центров, перехватывать нажатия клавиатуры в реальном времени, анализировать Bluetooth, а также прослушивать радиоэфир на разных частотах.

Читать полностью…

Plastik

Где купить сливы данных?
Сегодня расскажу о площадках, где чаще всего выкладываются или продаются утечки данных.

Если в СМИ публикуют новости об очередном взломе и утечке данных клиентов, то скорее всего предложение о продаже будет размещено на одном из следующих форумов:
▫️Raidforumsизвестный англоязычный форум в мире утечек информации.
Постоянно появляются новые базы данных.
Так, например, на этом форуме был недавно размещен дамп базы форума dava.com.
Помимо открытых тем с утечками и дампами, есть отдельная тема "Database Requests", где пользователи оставляют свои запросы на данные. Это связано с тем, что не все селлеры готовы продавать данные публично.
▫️Crackingанглоязычный форум, где можно купить БД с разных сайтов.
Например, на сайте не так давно был выложен дамп пользователей в открытый доступ другого хакерского форум cracked.to.
В основном на форуме размещаются сливы учетных записей бесплатно. Но есть и приватные предложения.
▫️Probiv(onion ссылка)на известном среде хакеров ресурсе есть отдельная ветка "Покупка и продажа баз данных".
В целом на форуме есть разного рода утечки, которые можно купить. Также есть достаточно запросов на определенные данные сервисов или жителей какой-то страны.
▫️Darkmoneyизвестный форум, на котором также есть профильный раздел с утечками.
Иногда попадаются базы разных сервисов, сливы с государственных ресурсов и т.д. Некоторые продавцы предлагают бесплатный тест, чтобы оценить качество базы и данных в ней.

Читать полностью…

Plastik

НОВОСТНОЙ ДАЙДЖЕСТ
▫️В Санкт-Петербурге задержаны трое кардеров.
Злоумышленники «клонировали» известные интернет-магазины и похищали банковские данные покупателей. Ущерб составил порядка 4 млн руб.
Подробнее
▫️Утекли логи 20 млн пользователей VPN.
1.2 Тб логов утекли у VPN-провайдеров, "не хравшивших логи". Помимо логов, на сервере лежали открытыми персональные данные: адреса электронной почты, пароли (открытым текстом), IP-адреса, домашние адреса, модели смартфонов, идентификаторы устройств и т.д.
Жертвами оказались те кто пользовался UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN.
Подробнее
▫️Netflix and Malware. Мошенники маскируют вирусы под сериалы.
Злоумышленники добавляют названия популярных шоу в рекламные и вредоносные программы, а также используют их для проведения фишинговых атак.
Подробнее
▫️КиноПираты. Теневые инвесторы интернет-пиратства.
Специалисты Group-IB раскрыли основных бенефициаров пиратских онлайн-кинотеатров и пиратского спортивного стриминга. Финансируют пиратскую индустрию онлайн-казино Lucky Partners и Welcome Partners, букмекер 1xBet, а также техподдержка со стороны легальных хостеров «Многобайт» и «ДДОС-ГВАРД».
Подробнее
▫️iPhone для хакеров. Apple выпустила специальную версию смартфона.
Избранным исследователям предоставят специальные версии iPhone. У них отключено большинство функций безопасности, а так же будут иметь меньше ограничений и обеспечат более глубокий доступ к операционной системе и железу.
Подробнее

Читать полностью…

Plastik

🧬Контрольные суммы (хеш-суммы)

Очень часто на сайтах разных дистрибутивов и софта можно увидеть колонки с названием SHA256Sum или MD5Sum.
Это контрольные суммы (или хеш-суммы), которые вычисляются с помощью криптографических алгоритмов.
Контрольные суммы позволяют проверить подлинность и целостность файла. Также, по контрольным суммам очень легко искать файлы в поисковых системах.

Зачем нужны контрольные суммы?
Например, если файл был скачан не полностью, или файл был частично поврежден или полностью подменен на выходе он будет иметь другую контрольную сумму.
Скачивая образ дистрибутива с сайта можно сверить контрольную сумму. При условии что все прошло без каких-либо происшествий с файлом контрольная сумма должна совпадать.
Это особо актуально, если приходится работать в небезопасных и нестабильных сетях. Значение контрольной суммы меняется, если хотя бы один бит файла изменился.

В Kali Linux есть две утилиты sha256sum и md5sum, которые доступны с коробки. С названия становиться очевидным что первая утилита использует алгоритм SHA-256, а вторая — MD5. Иногда, на сайтах можно увидеть сразу две контрольных суммы файла, а иногда только одну.
Для проверки контрольных сумм на машине достаточно выполнить команды:
$ md5sum <filename>
$ sha256sum <filename>

Читать полностью…

Plastik

💊Хакинг. ТОП-5 сервисов для прокачивания навыков

Сегодня я расскажу тебе о лучших сервисах, которые позволяют прокачать навыки в практической наступательной безопасности .

На сервисах размещены одни из лучших материалов, практических заданий и лабораторий, для получения практических навыков. Большинство их них являются бесплатными. Задания максимально адаптированы под реальные ситуации.

▫️HackTheBoxплощадка, которая заслуживает отдельного внимания и находится на первом месте в нашем списке.
Это целое комьюнити людей, которые делятся опытом, знаниями и советами на форуме. Есть платная подписка за 10 фунтов/месяц, которая предоставляет неограниченный доступ к машинам и гайдам для прохождения.
Основная фишка сервиса — уязвимые машины (170), которые включают веб-уязвимости, инфраструктурные и другие. После регистрации, доступен OpenVPN конфиг к сети, где есть уязвимые машины. Для погружения в тему поможет канал IppSec.


▫️PortSwigger Web Security Academyдобротный материал от разработчиков известного инструмента Burp Suite.
На сайте есть краткая теория и лабы по Web Security. Можно прокачать свои навыки в SQL, XSS, CSRF, CORS, XML, SSRF, SSTI атаках и других аспектах. Информация подготовлена интересно, лабы актуальные, это один из лучших способов прокачать свои навыки в WEB безопасности. Все доступно с браузера, сервис является полностью бесплатным.

▫️Root-Meсервис, который предоставляет пользователям отдельные задания по направлениям и комнаты.
В любой из 20 комнат можно присоединиться к текущему заданию или создать свое на выбор. В комнате могут быть несколько машиной с Active Directory. Как правило, в ходе решения нужно получить флаг, которые будет являться решением задания.

▫️Tryhackmeна этом ресурсе можно потренировать навыки повышения привилегий Windows и Linux.
Пользователю предоставляется доступ к уязвимой машине по SSH, где есть разные способы получить root-права. Способы повышения максимально адаптированы под реальные условия. Процесс обучения построен в формате последовательного выполнения заданий.

Читать полностью…

Plastik

НОВОСТНОЙ ДАЙДЖЕСТ
▫️ Twitter. Крупнейшая атака в истории.
Украдено более $120.000. Рассказываем подробности в статье.
Подробнее
▫️Иранские хакеры случайно слили обучающие видео и файлы.
Обнаружен сервер с 40 Гб видео и других файлов, проливающих свет на «работу» группы.
Подробнее
▫️Хакеры украли 336 биткоинов.
Для вывода использовали смешивания монет чтобы затруднить отслеживание средств.
Подробнее
▫️В Конгрессе США готовится закон против «русских хакеров».
Или как попытаться украсть данные о вакцине против COVID-19.
Подробнее
▫️В СИЗО "Матросская тишина" ребята организовали колл-центр.
Когда нет времени сидеть, остается только действовать.
Подробнее

Читать полностью…

Plastik

Твиттер. Украдено $120.000. Крупнейшая атака.
Привет, Аноним.
В ночь на 16 июля произошла одна из самых глобальных атак на Twitter.
Среди "жертв" оказались создатель Microsoft Билл Гейтс, глава Amazon Джефф Безос, основатель Tesla Илон Маск и многие другие.
Сегодня мы посмотрим последовательность развития событий. Поговорим об эффективности выбранного хакерами способа монетизации.
А так же разберемся, кто взял на себя ответственность за эту атаку и каким способом был взломан Twitter.

Читать полностью…

Plastik

Как безопасно отправлять файлы через TOR
Ты наверняка сталкивался с проблемой анонимной отправки файлов. Нужно искать сервис, регистрироваться и обходить ограничения по размеру.
Сегодня я поделюсь утилитой OnionShare, которая позволяет безопасно отправлять файлы через Tor без каких-либо ограничений.

Клиент доступен для всех популярных ОС (Mac, Windows и Linux). Установка и загрузка файла занимает несколько минут.

Для установки на Kali Linux нужно выполнить команду:
$ apt-get install onionshare
Чтобы просто выгрузить файл, достаточно выбрать файл или директорию. После этого поднимается сервер и на выходе ссылка с загруженным файлом.

Для загрузки файла на сервер выполняем команду (файл будет доступен для скачивания только 1 раз, после сервер остановится автоматически):
$ onionshare filename.txt
Для скачивания файла OnionShare не нужен. Скачать файл можно с помощью Tor-браузера.
По завершении скачивания файла сервер автоматически отключается и сайт удаляется. Отследить его после этого невозможно. При этом нет никаких ограничений по расширению, размеру и хранению файла.

Читать полностью…

Plastik

Эксклюзив! Слита база сервиса ПризываНет.ру
Привет, Аноним.
Буквально несколько часов назад, в сеть попала база сервиса Prizyvanet.ру. Компания предоставляла консультационные услуги помощи призывникам.
Общий размер базы более 60 гб. Количество данных клиентов — 65 000.
Мы даже не успели сделать красивую обложку :)

Читать полностью…

Plastik

Wasabi. Bitcoin-кошелек
Привет, Аноним.
Сегодня поговорим об анонимности биткоин транзакций. Я расскажу о том, почему на самом деле BTC является псевдоанонимим. И как криптоэнтузиасты попытались решить эту проблемы с помощью технологии CoinJoin и что с этого получилось.

Читать полностью…

Plastik

Потерять всё из-за Сториз
Привет, Аноним.
Сегодня я хочу рассказать тебе об интересном кейсе, который будет актуальным еще долгое время.
А спонсор сегодняшней статьи — тренд выкладывать фото с авиабилетами. Особенно их количество увеличится вслед за открытием границ.

Читать полностью…

Plastik

Хакни и останови шредер с 200к рублей.
Привет, Аноним.
Я хочу рассказать о крутой игре, которая проходит прямо сейчас. Реальная игра, на реальные деньги с элементами взлома. Нужно получить доступ через сайт к управлению IoT-устройств.

Читать полностью…

Plastik

LeakIX — новый хакерский поисковик. Пароли и базы данных.
Привет, Аноним.
Сегодня я расскажу тебе о перспективном поисковике для хакеров.
Что это за проект, как он появился, и чем он отличается от существующих сервисов. Также пройдемся по расширенному синтаксису и посмотрим на результаты выдачи.
Проект появился не так давно, поэтому это один из первых обзоров.

Читать полностью…

Plastik

Яндекс дорки. Пароли, логи, документы в открытом доступе.
Привет, Аноним.
Google дорки? Нет, именно Яндекс.
Сегодня мы подготовили для тебя целый набор поисковых запросов, которые будут полезны для поиска паролей, логов, документов и другой интересной информации.
Подробнее в статье.

Читать полностью…

Plastik

НОВОСТНОЙ ДАЙДЖЕСТ
▫️Арестованы хакеры, стоящие за взломом Twitter.
Самому младшему всего 17 лет и он является организатором массового взлома.
Подробнее
▫️Хакер из Гомеля заработал более $2 млрд.
Преступники устанавливали вредонос GandCrab на компьютеры жертв с помощью спам-рассылки pdf-файлов. Было заражено более тысячи компьютеров и за расшифровку каждого из них требовали $1200.
Подробнее
▫️Раскрыты данные о двух 0-day уязвимостях в Tor и Tor Browser.
Эксперт также намерен раскрыть информацию якобы еще о трех уязвимостях 0day в Tor. Одна из них может показать реальный IP-адрес серверов Tor.
Подробнее
▫️Утечка базы данных Ledger-криптовалютного кошелька.
Речь идет об именах клиентов, их электронных и почтовых адресах, номерах телефонов и сведениях о приобретенных продуктах.
Подробнее
▫️Instagram включает камеру во время просмотра ленты.
Instagram использует камеру вашего смартфона даже тогда, когда вы не снимаете фото или видео.
Подробнее

Читать полностью…

Plastik

Cisco трещит по швам
Привет, Аноним.
На этой неделе были найдены серьезные уязвимости в Cisco ASA и Cisco Firepower.
С помощью этих уязвимостей можно читать и удалять файлы на сервере без какой-либо авторизации.
Как у нас с вами заведено — минимум теории, максимум практики, ждут в статье.

Читать полностью…

Plastik

10.000$ за смену никнейма в Uber. SSTI
Привет, Аноним.
Пользователь сменил свой ник на сайте uber.com на . За эту уязвимость хакер получил $10 000 вознаграждения.
Вкусно?
Сегодня я расскажу и покажу, как найти SSTI уязвимость и раскрутить ее до выполнения кода на сервере.

Читать полностью…

Plastik

⚡️Garmin всё! Хакерская пробежка.
Привет, Аноним.
Компания Garmin подверглась хакерской атаке.

Помимо сбоя в приложении, проблемы наблюдаются и на стороне колл-центра.
По некоторым данным, деятельность полностью парализована, включая производственную линию в Азии.
Подробнее разбираемся в статье.

Читать полностью…

Plastik

Угоняем API-ключ Админа. CORS.
Привет, Аноним.
CORS — сross-origin resource sharing.
▫️Узнаем что это такое.
▫️Как найти сайт имеющий уязвимую конфигурацию CORS.
▫️С помощью Javascript эксплоита, угонем API ключ админа сервиса.

Читать полностью…

Plastik

Как хранить пароли? KeePass
Привет, Аноним.
Сегодня я расскажу зачем нужны парольные менеджеры, какая разница между KeePass, KeePassX и KeePassXC.
Пошагово установим один из инструментов и настроим базу для хранения паролей.
Не стоит быть халатным к безопасности собственных ресурсов.

Читать полностью…

Plastik

Как безопасно скачивать и просматривать видео
Очень часто на рабочей машине или в поездках, нет хорошего доступа к интернету. И нет возможности посмотреть видео в хорошем качестве.
Да и просмотр роликов на площадках с рекламой не приносит особого удовольствия. Особенно если нужно регистрироваться и оставлять свои данные.

Youtube-dl прекрасно решает эту боль.
Инструмент позволяет скачивать видео с Youtube, VK, Instagram, а также еще с 100-ни других сайтов в оригинальном качестве.
Youtube-dl работает на GNU/Linux. А для Mac OS X и Windows имеется удобный GUI-интерфейс. Установка и работа максимально удобная и происходит буквально в два клика.

Установка:
$ sudo curl -L https://yt-dl.org/downloads/latest/youtube-dl -o /usr/local/bin/youtube-dl

$ sudo chmod a+rx /usr/local/bin/youtube-dl

Использование:
$ youtube-dl <url> — скачать видео или плейлист с Youtube/Instagram и других сайтов со списка.
$ youtube-dl -u LOGIN -p PASS <url> — скачать видео с VK.com.
$ youtube-dl -a video-url.txt — скачать несколько видео с файла.
$ youtube-dl -x <url> — скачать только аудио дорожку с видео.
$ youtube-dl -F <url> — можно посмотреть доступные форматы с качеством, размер для конкретного видео.

Читать полностью…

Plastik

"Tsunami". Сканер от Google.
Привет, Аноним.
Сегодня я хочу рассказать тебе о сканере "Tsunami" от Google.

Не так давно появилась информация, мол компания Google открыла исходники своего сканера. Все ресурсы описали этот инструмент, как что-то невероятное.
Сегодня попробуем его в деле, а также заглянем под капот.

Читать полностью…

Plastik

ТОП-7 хакеров на слуху
Привет, Аноним.
Сегодня я расскажу о хакерах, а именно о самых интересных личностях.
Как например 16-летний парень, укравший более $50 млн с криптобиржи.

Читать полностью…

Plastik

Деанон через Findclone. Онлайн и офлайн.
Привет, Аноним.
Сегодня я расскажу тебе о том, как можно вызвать удивление и что можно с этим сделать.
Также покажу тебе сервис, с помощью которого можно найти профиль человека VK по фото.

Читать полностью…

Plastik

Tinder. "Вашей маме зять не нужен?"
Как обойти платный функционал в Tinder?
Привет, Аноним.
Лето наступило, самоизоляция закончилась. Пора выходить на любовную охоту.

Читать полностью…

Plastik

Поиск поддоменов. Топовые инструменты.
Привет, Аноним.
Поиск поддоменов — неотъемлемая часть подготовки ко взлому.
Сегодня я расскажу почему их важно проверять.
И покажу самые популярные инструменты, которые используют специалисты с мира хакинга, bug bounty и т.д.

Читать полностью…
Subscribe to a channel