Żądny wiedzy? Wbijaj na Mega Sekurak Hacking Party w maju! -30% z kodem: majearly
Może słyszeliście o punycode? – czyli możliwości użycia w nazwie domeny liter z innego niż znany nam alfabet. Tutaj np. niewinny wariant litery a – i mamy sprytny scam: Ale mamy też coś idącego nieco dalej: Opera users can now access emoji-based web addresses and register their unique strings of…
Czytaj dalej »
Prosty test możecie wykonać tutaj. Wersja systemu operacyjnego, karta graficzna, CPU, adresy IP (czasem też LAN), status baterii, dostępność kamerki, zainstalowane pluginy w przeglądarce… to tylko kilka danych które ta strona próbuje ustalić. PSJeśli w wyniku testu, wielu miejscach brakuje pewnych danych – to fantastyczna wiadomość, używana przez Ciebie przeglądarka…
Czytaj dalej »![„Jest tu atak hackerski na pana konto! Proszę zainstalować An…”. Oszust podszywający się pod bank nie wiedział, że dodzwonił się do policjanta…[nagranie rozmowy]](https://sekurak.pl/wp-content/uploads/2019/10/hacker-150x150.jpeg "„Jest tu atak hackerski na pana konto! Proszę zainstalować An…”. Oszust podszywający się pod bank nie wiedział, że dodzwonił się do policjanta…[nagranie rozmowy]")
Nagranie publikuje Policja w Lubinie (na końcu wpisu nagranie, tutaj nieco skrócona transkrypcja): – Nazywam się Aleksander Wysocki [już po kilku słowach ewidentny wschodni akcent], jestem specjalistą d/s bezpieczeństwa, dzwonię z banku BNP Paribas, mój identyfikator to 102 701. Dzwonię w sprawie przelewu w wysokości 400zł. Czy pan wykonywał taki…
Czytaj dalej »
Adobe wypuścił łatkę w niedzielę, 13. lutego. Jeśli chodzi o lukę CVE-2022-24086, to mamy prawie same złe wieści: Podatność jest klasy Arbitrary Code Execution – czyli można wykonać dowolny kod na serwerze (a później zainstalować tam backdoora, uzyskać dostęp do bazy danych, atakować inne serwery, …) Exploitacja nie wymaga uwierzytelnienia…
Czytaj dalej »
Historia z Polski. Połączenie wywiadu telefonicznego, użycia ogólno-dostępnych wyszukiwarek oraz narzędzi usprawniających wyszukiwanie. Zaczyna się od tego, że dziewczyna miała wieczorem wrócić do domu z zajęć… ale nie wróciła. Telefon nie działa. Chwilę wcześniej napisała tylko (z nieznanego numeru telefonu) takiego SMSa: OK, ale kim jest Olek? Może też był…
Czytaj dalej »
Tak swój wpis rozpoczyna Natalia. Po tytule już wyczuwacie, że chodzi o opis popularnego oszustwa. A, że popularne oszustwa chyba najlepiej opisują osoby, które (niemal) padły ofiarą cyber-zbójów, zacytujmy większe fragmenty: Wystawiłam pierwszy produkt i dosłownie po kilku minutach dostałam wiadomość, że jakaś miła blondynka chce kupić. Ja uchachana, że…
Czytaj dalej »
Niby dużo osób wie że RSA-512 (chodzi o 512 bitów) już dawno temu został złamany, a chyba najlepszym publicznym wynikiem jest złamanie RSA-829. Gadu, gadu, ale jak konkretnie na podstawie tylko klucza publicznego odzyskać klucz prywatny? Jakich narzędzi użyć? Poradnik krok po kroku dostępny jest tutaj. Autor zaczyna po prostu…
Czytaj dalej »
Już wkrótce rozpoczynamy nowy cykl tekstów na sekuraku: czwartki z OSINT-em. TLDR: co tydzień będzie to nowy dłuższy tekst autorstwa Krzyśka Wosińskiego. Na dzisiaj mamy już gotowych kilka odcinków, więc czekamy na Wasze zapisy i startujemy. Jako dodatkowy bonus, po zapisaniu się na naszą listę poniżej (oraz potwierdzeniu zapisu –…
Czytaj dalej »
Ciekawostka, która chyba wielu rozsierdzi. Producenci samochodów zdaje się idą w nowy model biznesowy – kupujesz samochód z dostępnym hardware, obsługującym różne przydatne funkcje, a jeśli chcesz je włączyć – płacisz (lub o zgrozo: płacisz abonament). W przypadku CPU możemy mieć coś podobnego. Tom’s hardware donosi, że Linux od wersji…
Czytaj dalej »
Z czym mamy do czynienia? Z podatnością klasy RCE (remote code execution) w WebKit. Oznacza to, że jeśli ofiara wejdzie na odpowiednio spreparowaną stronę webową, napastnik może uzyskać dostęp na jej telefon. CVE-2022-22620 Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a…
Czytaj dalej »
Media donoszą, że podatne mogą być względnie świeże modele samochodów Mazda (wyprodukowane w przedziale lat 2014 – 2017): They drove a 2014 to 2017 model Mazda, and they had tuned into KUOW, 94.9 on the FM dial, the NPR station. No właśnie, co się działo kiedy „ofiary” słuchały radia KUOW?…
Czytaj dalej »
No więc, dzwoni do Ciebie ktoś, kto przedstawia się jako „konsultant” mBanku. Numer niewiele mówiący, lub nawet numer prawdziwej infolinii bankowej. Ale kto czyta Sekuraka, ten wie że numer dzwoniącego można w łatwy i efektywny sposób podrobić. No więc jak sprawdzić czy rzeczywiście dzwoni do nas osoba z mBanku? Poprosiłem…
Czytaj dalej »
Jak to z każdym dobrym produktem bywa – marketing marketingiem, ale to dopiero demo na żywo potrafi przekonać nieprzekonanych. Vice opisuje właśnie historię dema Pegasusa dla nowojorskiej policji. Ale przy okazji ciekawostka, dziennikarz dotarł do e-maila przesyłanego w ramach „pokazu” możliwości narzędzia. Mail jest wprawdzie z 2015 roku, ale załączony…
Czytaj dalej »
Hack Bitfinex „pochłonął” blisko 120 000 BTC, a ~właśnie udało się odzyskać ~94636 BTC. Jakim cudem? Wg śledczych przestępcy mieli backup w cloudzie ;-) niby zaszyfrowany, ale udało się go odszyfrować: 31. stycznia 2022 r. organy ścigania uzyskały dostęp do portfela 1CGA4 poprzez odszyfrowanie pliku zapisanego na koncie cloudowym LICHTENSTEIN…
Czytaj dalej »![Zhackował Hearthstone. Banalny sposób na rozłączenie gry przeciwnika [historia ciekawego buga, fixed]](https://sekurak.pl/wp-content/uploads/2022/02/efekt-150x150.png "Zhackował Hearthstone. Banalny sposób na rozłączenie gry przeciwnika [historia ciekawego buga, fixed]")
Kliiiiikbait – bo sposób nie był banalny! A nie, czekaj, sposób był banalny, jak już się wiedziało co i jak. No dobra, nie taki banalny. Ech… zobaczmy o co chodziło w bugu, który został wykorzystany bojowo 3 lata temu i nieco później załatany. Idąc od końca, efekt na koncie gracza-hackera…
Czytaj dalej »