Lmst
Login

#MitM

Habrhabr@zhub.link
2026-02-01

MITM-атаки в телеграмм ботах и почему этот вектор самый опасный

Аннотация : Многие Telegram-боты, особенно связанные с криптовалютами, используют HTTP-запросы для взаимодействия с внешними API. В этой статье мы разберем, как на этом можно построить MITM-атаку для подмены кошельков, чеков и перехвата данных, почему это работает, и какие меры защиты стоит применять разработчикам и пользователям. Рассмотрим реализацию на Python с использованием mitmproxy. Введение: Суть проблемы Telegram-боты стали неотъемлемой частью экосистемы — от новостных каналов до торговых платформ. Однако архитектура многих ботов, особенно тех, что используют популярные библиотеки вроде aiogram или python-telegram-bot, часто подразумевает выполнение внешних HTTP-запросов для обработки команд (например, для проверки баланса или генерации платежного адреса). Если такой бот использует сторонний HTTP/HTTPS-прокси, все его запросы и ответы проходят через промежуточный сервер. Это открывает возможность для атаки «человек посередине» (MITM), когда злоумышленник может не только перехватывать, но и модифицировать трафик в реальном времени. На практике это может привести к подмене криптокошельков, платежных реквизитов или токенов доступа. В статье рассматривается принцип работы такой атаки и ее техническая реализация в образовательных целях — чтобы разработчики и администраторы понимали риски и могли их минимизировать.

habr.com/ru/articles/991548/

#telegram #bot #mitm #информационная_безопасность

Habrhabr@zhub.link
2026-01-27

WPA-Enterprise: инструкция по выживанию

Статьи У вас WPA Enterprise PEAP/TTLS? Тогда мы уже у вас и Пентест WPA-Enterprise: от теории к практике наглядно показывают наличие проблем с безопасностью WPA-Enterprise и рисуют неприглядную картину окружающей нас реальности. Но о том, как настроить Wi-Fi в организации, чтобы избежать описанных ужасов авторы упоминают кратко и без подробностей. Я буду рассматривать подключение компьютеров домена Active Directory (AD) к Wi-Fi сети при помощи Network Policy Server (NPS). Статья разбита на две части. Теоретическая: общие вопросы, протоколы и их уязвимости, сценарии атак, настройки и особенности их применения. Практическая: производится пошаговая настройка Wi-Fi на базе Active Directory и Network Policy Server. TL;DR : WPA-Enterprise требует обязательного применения и проверки сертификата сервера. Безальтернативно. Без сертификата WPA‑Enterprise становится просто красивой декорацией в театре безопасности. Статья написана для того, чтобы все и всегда проверяли сертификат сервера.

habr.com/ru/articles/989476/

#wifi #wpa2enterprise #mitm #peap #mschapv2 #activedirectory #network_policy_server

Daniel ThomasDanielRThomas@social.coop
2026-01-22

Transpennine Express train wi-fi appears to attempt to machine in the middle (MITM) TLS connections to social.coop using a Cisco Umbrella certificate. Not sure what is intended to happen if it succeeds as my browsers just said "nah mate, you can't go there l, look how dodgy the certificate is". I sent in a complaint, will see what happens. #MITM #TPE

Cobalt_StrikedCobalt_Striked
2026-01-19

🔴 Potential MITM Attack Detected

Confidence: CRITICAL (90/100)
Service: Yandex
IP: 91.124.192.11
Location: London, United Kingdom
ASN: Unknown
ISP: None

Certificate Details:
- Subject: yabro-wbplugin.edadeal.yandex.ru
- Issuer: yabro-wbplugin.edadeal.yandex.ru
- Self-signed: Yes
- Expired: Yes

Indicators:
• Self-signed certificate
• Expired certificate
• Generic hosting provider

Cobalt_StrikedCobalt_Striked
2026-01-19

🔴 Potential MITM Attack Detected

Confidence: CRITICAL (100/100)
Service: Yandex
IP: 82.22.15.16
Location: New York City, United States
ASN: AS7018
ISP: AT&T Enterprises, LLC

Certificate Details:
- Subject: yabro-wbplugin.edadeal.yandex.ru
- Issuer: yabro-wbplugin.edadeal.yandex.ru
- Self-signed: Yes
- Expired: Yes

Indicators:
• Self-signed certificate
• Expired certificate
• Unexpected country (United States)

Cobalt_StrikedCobalt_Striked
2026-01-19

🔴 Potential MITM Attack Detected

Confidence: CRITICAL (80/100)
Service: Microsoft
IP: 222.138.4.210
Location: Zhengzhou, China
ASN: AS4837
ISP: CHINA UNICOM China169 Backbone

Certificate Details:
- Subject: *.s-microsoft.com
- Issuer: Microsoft RSA TLS CA 01
- Self-signed: No
- Expired: Yes

Indicators:
• Expired certificate
• Unexpected country (China)
• Generic hosting provider

Cobalt_StrikedCobalt_Striked
2026-01-19

🔴 Potential MITM Attack Detected

Confidence: CRITICAL (90/100)
Service: Google
IP: 38.180.98.201
Location: Meppel, Netherlands
ASN: AS58061
ISP: Scalaxy B.V.

Certificate Details:
- Subject: ads.google.com
- Issuer: ads.google.com
- Self-signed: Yes
- Expired: Yes

Indicators:
• Self-signed certificate
• Expired certificate
• Generic hosting provider

Cobalt_StrikedCobalt_Striked
2026-01-19

🔴 Potential MITM Attack Detected

Confidence: CRITICAL (90/100)
Service: Google
IP: 178.250.159.2
Location: Moscow, Russian Federation
ASN: AS29182
ISP: JSC IOT

Certificate Details:
- Subject: hestia.google.com
- Issuer: hestia.google.com
- Self-signed: Yes
- Expired: Yes

Indicators:
• Self-signed certificate
• Expired certificate
• Generic hosting provider

Cobalt_StrikedCobalt_Striked
2026-01-19

🟠 Potential MITM Attack Detected

Confidence: HIGH (70/100)
Service: Google
IP: 195.123.210.32
Location: Riga, Latvia
ASN: AS50979
ISP: GREEN FLOID LLC

Certificate Details:
- Subject: anality-google.com
- Issuer: E6
- Self-signed: No
- Expired: Yes

Indicators:
• Expired certificate
• Unknown certificate issuer
• Generic hosting provider

Cobalt_StrikedCobalt_Striked
2026-01-19

🔴 Potential MITM Attack Detected

Confidence: CRITICAL (90/100)
Service: Google
IP: 123.176.98.119
Location: Tseung Kwan O, Hong Kong
ASN: AS133380
ISP: Layerstack Limited

Certificate Details:
- Subject: google.com
- Issuer: google.com
- Self-signed: Yes
- Expired: Yes

Indicators:
• Self-signed certificate
• Expired certificate
• Generic hosting provider

Cobalt_StrikedCobalt_Striked
2026-01-19

🔴 Potential MITM Attack Detected

Confidence: CRITICAL (90/100)
Service: Google
IP: 38.180.98.201
Location: Meppel, Netherlands
ASN: AS58061
ISP: Scalaxy B.V.

Certificate Details:
- Subject: ads.google.com
- Issuer: ads.google.com
- Self-signed: Yes
- Expired: Yes

Indicators:
• Self-signed certificate
• Expired certificate
• Generic hosting provider

N-gated Hacker Newsngate
2026-01-04

💔📱 "Hey, let's hijack a dating app for cyber shenanigans because clearly, nothing says 'security prowess' like repurposing rejected Tinder knockoffs for nefarious deeds. 😅 Oh, the thrill of tedious and creating pseudo-C2 servers that no serious hacker would ever use. Truly, this is the cutting edge of cyber , right? 🙄"
mattwie.se/hinge-command-contr

Fabio Panifabiux@mastodon.opencloud.lu
2025-12-31

@smaurizi Ma chi ci crede che siano E2EE? #MITM #MuskInTheMiddle

Erik van StratenErikvanStraten@todon.nl
2025-12-29

@SteveBellovin :

(Microsoft) myth: 99.9% of phishing is prevented by using MFA

See also (2019): techcommunity.microsoft.com/t5

#phishing #PhaaS #Evilginx2 #EvilProxy #AitM #MitM

Zoomed in screenshot of hxxps://large-listening-838836.framer[.]app (this site is still live). A fake login page for Luxembourg asking for: 1. user-ID 2. password 3. TOTP code
Spirillen Marsupilamispirillen@matrix.rocks
2025-12-29
Habrhabr@zhub.link
2025-12-28

Самодельный джаммер Bluetooth и Wi-Fi в радиусе 30 метров

В некоторых условиях в целях безопасности нельзя допустить подключение устройств по беспроводной связи. Например, на предприятиях, где высок риск утечки информации. Или чтобы гарантированно погасить следящие маячки типа Airtag вокруг себя. В таких ситуациях по специальному разрешению соответствующих органов используют подавители радиосигналов, в том числе Bluetooth/BLE и Wi-Fi. В образовательном проекте ESP32-BlueJammer на Github можно ознакомиться с устройством, которое гасит любой полезный сигнал в диапазоне около 2,4 ГГц с помощью генерации шума и бесполезных пакетов (DoS-атака). Примечание. Самовольное подавление радиосигнала незаконно в некоторых странах, поэтому схема изготовления устройства распространяется исключительно в образовательных целях.

habr.com/ru/companies/globalsi

#Bluetooth #WiFi_джаммер #подавление_сигнала #ESP32 #Bluejacking #Bluesnarfing #MITM #следящие_маячки #Airtag #nRF24

Erik van StratenErikvanStraten@todon.nl
2025-12-24

@matv1 : ik begrijp het probleem niet. Druk gewoon zelf op zo'n shortcut-link. Zodra de browser "tot stilstand is gekomen" op de bedoelde website, kopieer je de link uit de adresbalk van jouw browser (mocht jouw browser nog steeds niet de echte link laten zien, dan ben je wel heel stom bezig door zelf zo'n browser te gebruiken).

Daarnaast wordt het verwijderen van mogelijk aanwezige tracking-gegevens aan de achterkant van de URL zeer op prijs gesteld (test zelf of de "geschoonde" URL nog werkt voordat je deze opneemt in een toot).

Zie ook todon.nl/@ErikvanStraten/11569.

@ronald48 @bert_hubert

#Privacy #MitM #AitM

jakob 🇦🇹 ✅jakob@soc.schuerz.at
2025-12-22

Ich hab mal eine Frage zu #Cryptpad und ähnlichen Techniken...

Das Zeugs ist ja Ende zu Ende Verschlüsselt. #E2EE
Man kann ein Dokument oder eine Tabelle nur ansehen, wenn man die genaue URL kennt. Dann wird es im Browser entschlüsselt.

Und es wird gesagt, dass nichtmal der Hoster des Services eine Chance hat, einzusehen, was da in den Dokumenten drin steht.

Ich hab mir so ein Service noch nicht aufgesetzt um da mal genauer reinschauen zu können... Aber wenn ich die genaue URL kennen muss, um es im Browser entschlüsseln zu können, muss ich diese URL ja irgendwie auf einem Webserver in einem Logfile abgreifen können.

Das müsste ja mit einem #MITM Angriff auf eigener Infrastruktur klappen. Also wenn ich es jetzt anlege, herauszufinden, was meine User so auf meinem Server treiben, dann schalte ich einfach einen Proxy ganz transparent dazwischen... und schon hab ich die URLs und kann dann einfach damit über einen Browser reinschauen.

Insofern kann ich so einem Service wiederum auch nur trauen, wenn ich es selbst betreibe...

Oder lieg ich da falsch?

Security Landsecurityland
2025-12-16

The challenge of evolving cyber threats demands constant skill improvement. JSAC2026, hosted by JPCERT/CC in Tokyo (Jan 22-23), is the premier technical exchange for security analysts. Featuring deep-dives from Cisco Talos & Unit 42 on new MitM frameworks, Phishing-as-a-Service, and attributing complex APT campaigns.

Read More: security.land/jsac2026-cyberse

Le site de Korbenkorben.info@web.brid.gy
2025-12-13

HTTP Breakout Proxy - Le reverse engineering sans prise de tête

fed.brid.gy/r/https://korben.i

<p>Pendant que Burp Suite avale 500 Mo de RAM au démarrage, <a href="https://github.com/jbsouthe/http-breakout-proxy">HTTP Breakout Proxy</a> lui, tient dans un binaire de quelques Mo qui disparaît dès que vous fermez le terminal.</p> <p>Alors HTTP Breakout Proxy c&rsquo;est quoi ?</p> <p>Hé bien les amis, c&rsquo;est un proxy HTTP/HTTPS écrit en Go qui intercepte le trafic réseau en temps réel et vous propose une interface web pour analyser tout ce qui passe. Requêtes, réponses, headers, body, timing&hellip; Tout est capturé et affiché proprement dans votre navigateur.</p> <p> <img alt="" src="http-breakout-proxy-retour-outils-jetables-2.png" /> </p> <p>Vous le lancez avec <code>./http-breakout-proxy</code>, il écoute sur <code>127.0.0.1:8080</code>, et vous ouvrez l&rsquo;interface dans votre browser. Ensuite, si vous voulez débugger une API par exemple, vous lancez le proxy, vous configurez votre client HTTP pour passer par <code>localhost:8080</code>, et vous voyez tout passer en direct.</p> <p>C&rsquo;est vrai que <a href="https://portswigger.net/burp">Burp</a> est devenu un monstre à tout faire avec scanner de vulnérabilités, fuzzer, crawler, extensions&hellip; Y&rsquo;a aussi <a href="https://www.charlesproxy.com/">Charles Proxy</a> que j&rsquo;aime bien mais qui pèse dans les 100 Mo et nécessite une JVM complète. Et même <a href="https://www.mitmproxy.org/">mitmproxy</a> , pourtant réputé léger, a accumulé tellement de fonctionnalités qu&rsquo;il faut lire 50 pages de

Client Info

Server: https://mastodon.social
Version: 2025.07
Repository: https://github.com/cyevgeniy/lmst