Взломать по ссылке: «Могут ли взломать страницу вконтакте, когда случайно перешёл по подозрительной ссылке? Стоит защита по номеру телефона.»

Содержание

Как крадут деньги и данные в интернете | Советы от Mail.ru для бизнеса

Кибератаки не всегда направлены против государств или корпораций. На это требуются большие бюджеты и талант. Рынок мелких киберпреступлений гораздо шире. Провести фишинговую атаку почти ничего не стоит. И сделать это может практически любой человек без IT-образования.

Цели киберпреступников

Мелкие атаки на аккаунты, почтовые ящики, соцсети и профили нужны для того, чтобы получить доступ к личной информации. Некоторым достаточно персональных данных, но часто на этом не ограничиваются. Информацию можно собрать в базу и продать, но киберпреступникам выгоднее добраться до финансов пользователя. Узнать пароли от банковских аккаунтов и платежных систем, а также паспортные данные.

Далее фишинговая атака принимает разные формы:

кража денег со счетов;
взлом аккаунта;
шантаж с предложением вернуть доступ к профилю в обмен на денежную компенсацию;
обман с целью установки ПО, которое сможет отслеживать действия пользователя.

Как устроен фишинг и почему его стоит бояться?

Вы получаете письмо, заходите на сайт-двойник, вам пишут в соцсетях или пытаются взломать аккаунт. Фишинг работает на незнании и невнимательности человека. Вы могли перейти по сомнительной ссылке на сайт известного онлайн-магазина. Дизайн вас не смутил, все логотипы и разделы на месте. Вы выбираете товар, создаете заказ и оплачиваете покупку. У мошенников нет доступа к онлайн-оплате настоящего магазина, поэтому вместо ввода данных карты они попросят перечислить деньги на счет. Чтобы запутать пользователя, киберпреступники напишут инструкцию о том, как сделать перевод, опубликуют ссылку на разрешающий такую операцию закон. В итоге, вы переводите деньги за товар на карту человека и теряете их без права вернуть.

Эта история хорошо показывает, что фишинг опасен даже для знающего пользователя. Кибератаки эволюционируют каждый год, преступники находят новые способы получать конфиденциальные данные. Поэтому их жертвой может стать любой человек. Стоит случайно открыть письмо с неизвестного адреса и кликнуть по вложению или ссылке, и вы пострадаете от фишинга.

Развитие кибератак

Фишинг связан с английским словом, означающим рыбалку. Кибератаки устроены похожим образом, что и ловля рыбы. Только злоумышленники ловят данные и деньги людей, которые по невнимательности или незнанию готовы их предоставить.

Первые фишинговые атаки начались в середине 1990-х, а их жертвами стали интернет-провайдеры из США. Но основная механика фишинга с тех пор почти не изменилась. Преступники представлялись сотрудниками компании-провайдера и отправляли письма клиентам. От них требовалось подтвердить данные профиля. Письма были оформлены в официальном стиле с использованием логотипа провайдера. Клиенты выдавали информацию, после чего их аккаунты взламывали. Рассмотрим подробнее вредоносные email-рассылки и расскажем о других способах фишинга.

Виды фишинговых атак

Выдают себя за сотрудников компании

Пример из 90-х используется и спустя двадцать пять лет. Письма от компании или банка делают более похожими на настоящие, практически идентичными. Можно получить рассылку от любой государственной структуры, ритейлера или службы доставки. В письмо вшита ссылка — по ней нужно перейти, чтобы подтвердить или изменить логин и пароль. Как только это происходит, аккаунт переходит в руки киберпреступника.

Они также используют СТА — призыв к действию. Необходимо сыграть на страхе пользователя, чтобы мотивировать его передать данные. Разберем основные методы.

Блокировка профиля

Никто не хочет терять свой аккаунт. Мошенники знают это и под видом официального представителя компании угрожают блокировкой, если пользователь не подтвердит свои данные.

Подозрительная активность

В этом случае фишинг становится средство обмана. Преступники предупреждают пользователя, что его аккаунт могли взломать. Нужно лишь перейти по ссылке и подтвердить свои данные.

Докажите, что вы не робот

Для проверки аккаунта необходимо подтвердить, что пользователь является человеком, а не программой. Только киберпреступники не просят выделить на экране все картинки со светофорами или прописать символы, которые видны в специальном поле. Нужно перейти по ссылке и указать пароль от профиля.

Письма из ФНС

Мошенники маскируют рассылки от налоговой и просят прислать недостающие документы, справки и уведомления. Или сообщают о налоговой задолженности. Официальное оформление и страх быть в чем-то повинным заставляет людей хотя бы поинтересоваться, о какой задолженности идет речь. Дальше фишинг работает по знакомой схеме — переход по ссылке, ввод данных и кража аккаунта.

Фишинг по выбранным людям

Киберпреступники готовятся перед фишингом. Читают соцсети потенциальной жертвы, изучают резюме, смотрят блоги. Это нужно для того, чтобы сформировать личный подход к пользователю. Все, как в маркетинге, только другой умысел. Используя в общении с жертвой данные о работе, друзьях или недавней поездке, мошенники повышают доверие к себе. И передача личной информации упрощается.

Атака на руководство и сотрудников

Аккаунты топ-менеджмента содержат корпоративные данные и личные переписки. Злоумышленники пытаются получить их, чтобы шантажировать руководителей. Еще один способ — вывести деньги из компании, обратившись к бухгалтеру или финансовому директору от лица СЕО.

Охота на облачные сервисы

Google Диск, Dropbox и другие программы открывают виртуальный доступ к данным. Сотрудники сохраняют личную информацию, компании могут закинуть туда часть корпоративных данных. Все это имеет ценность для киберпреступников, которые присылают письма с просьбой подтвердить данные или делают клоны Google Drive и Dropbox.

Фишинговые письма с прикрепленными файлами

Более опасный вид мошенничества. Пользователь получает письмо от неизвестного источника. Внутри ссылка или прикрепленный файл. Если кликнуть по нему, произойдет атака на компьютер пользователя. Киберпреступники могут занести троян или программу-шпиона — тогда утечка может коснуться всех данных. Письма маскируют под рабочие сообщения от коллег. Прежде, чем разбираться, кто и зачем это прислал, человек посмотрит прикрепленный файл и запустит вирус на свой ПК.

Взлом соцсетей

К вам могут обратиться через аккаунт известной компании или от имени друзей с предложением обновить данные или сделать перевод.

Мобильный фишинг — СМС и мессенджеры

Работает по принципу взлома соцсетей. Но вместо взлома злоумышленникам нужно создать поддельные номера, чтобы обращаться к пользователю от имени банка или бренда. Целью атаки является доступ к банковскому аккаунту или смартфону.

Голосовая атака

Происходит то же самое, что и при СМС-фишинге, только с клиентом разговаривают по телефону. Чаще всего звонит вымышленный представитель банка, сообщая о странных операциях по счету. Киберпреступники готовятся и используют при общении ваше имя.

Фишинг через Wi-Fi

Создается точка доступа к интернету, идентичная существующей рядом открытой сети. Люди по ошибке подключаются к wi-fi и открывают свои аккаунты в соцсетях или банковские приложения. Информация уходит к мошенникам.

Защищаемся от фишинга

Внимательность и осторожность спасут ваши данные. Проверяйте, кто отправил странное письмо, сообщение или СМС. Не оставляйте данные на незащищенных сайтах (https надежнее http). Изучайте URL — поддельные ресурсы не смогут повторить адрес официального сайта. Не переходите по ссылкам, чтобы подтвердить или обновить свои данные.

Если не уверены, что к вам обращается сотрудник компании, напишите в службу поддержки. Также стоит поступать в случае со звонком или СМС из банка. Перезвоните сами и узнайте, действительно ли к вам обратился сотрудник банка.

Избегайте простых и одинаковых паролей для нескольких аккаунтов. После взлома одного профиля киберпреступники легко напишут скрипт, который проверит остальные и взломает их, если пароль где-то повторится. Лучший выход — двухфакторная аутентификация. В этом случае для входа в аккаунт нужно знать не только логин и пароль. Через СМС или почту придет код подтверждения, который нужно будет ввести для доступа к аккаунту. Этот метод защитит от простых атак. От взлома компьютера и фишинга поможет антивирус.

А если руковожу бизнесом?

Предупредите сотрудников о типах атак и запретите публиковать данные компании в частных переписках вне корпоративных аккаунтов. Рабочая почта не должна стать источником утечки. Запретите использовать ее для личного общения и используйте проверенный почтовый сервис. Например, Почту для домена от Mail.ru для бизнеса. Система безопасности поможет отразить кибератаки.

Храните корпоративные данные на надежном сервере. Если этого кажется недостаточно, стоит нанять эксперта по безопасности, который будет следить за фишингом и другими атаками на ваш бизнес.

Чек-лист для тех, кто стал жертвой фишинга

Подключите антивирус и запустите проверку.
Смените пароли во всех аккаунтах, которые могли украсть или взломать.
Позвоните в банк и заморозьте счет и карту.
Расскажите сотрудникам или клиентам о возможной атаке.

Распознавайте фишинговые сообщения, ложные звонки из службы поддержки и другие виды мошенничества и не поддавайтесь на них

В этой статье содержатся советы о том, как избежать мошеннических атак, а также рекомендации на случай взлома вашего идентификатора Apple ID.

Под фишингом подразумеваются мошеннические попытки получить от вас личную информацию. Мошенники используют все доступные средства: мошеннические электронные письма и текстовые сообщения, вводящая в заблуждение всплывающая реклама, фальшивые загрузки, спам в календаре, даже ложные телефонные звонки — чтобы заставить вас предоставить такую информацию, как ваш пароль идентификатора Apple ID или номера кредитных карт.

Если вы получили подозрительное электронное письмо якобы от имени компании Apple, перешлите его по адресу [email protected].

На компьютере Mac добавьте дополнительные сведения, выбрав адрес электронной почты и нажав «Переслать как вложенный файл» в меню «Сообщения».

Как избежать фишинга и других видов мошенничества

Если во время просмотра веб-страниц появляется сообщение о наличии вируса на устройстве iPhone, компьютере Mac или другом устройстве Apple, или кто-то утверждает, что звонит из компании Apple и запрашивает ваше имя пользователя и пароль учетной записи, вероятно, вы стали целью мошеннической атаки. Вот несколько мер, которые можно предпринять во избежание ущерба.

Защита идентификатора Apple ID. Используйте двухфакторную аутентификацию, всегда храните свою контактную информацию в надежном месте и регулярно обновляйте ее; никогда никому не сообщайте свой пароль идентификатора Apple ID или коды подтверждения. Служба поддержки Apple никогда не запрашивает эту информацию.
Узнайте, как определить подлинность электронных писем от компании Apple о ваших покупках в App Store или iTunes Store.
Никогда не используйте подарочные карты App Store, iTunes и Apple Store для осуществления других типов платежей.
Если вы отправляете или получаете деньги с помощью Apple Pay (только для США), относитесь к этому как к любой другой конфиденциальной транзакции.
Узнайте, как обеспечить безопасность устройств Apple и ваших данных.
Ни при каких обстоятельствах не передавайте личную информацию, такую как номера кредитных карт, если не можете убедиться, что получатель является тем, за кого себя выдает.
Не переходите по ссылкам, не открывайте и не сохраняйте вложения в подозрительных или нежелательных сообщениях.
Если у вас есть какие-либо сомнения по поводу запроса или сообщения, или если вам просто необходимо направить какой-либо компании обновленные данные, свяжитесь с этой компанией напрямую.

Если вы считаете, что ваш идентификатор Apple ID был взломан, или если вы могли ввести свой пароль или другую личную информацию на мошенническом веб-сайте, немедленно измените свой пароль идентификатора Apple ID.

Если вы получили подозрительное электронное письмо или сообщение

Мошенники пытаются имитировать сообщения электронной почты и текстовые сообщения респектабельных компаний, чтобы обманом заставить вас предоставить им вашу персональную информацию и пароли. Следующие признаки помогут вам распознать мошенников:

Адрес электронной почты или телефон отправителя не соответствует названию компании, сотрудником которой он представился.
Адрес электронной почты или телефон, который отправитель использовал для связи с вами, отличается от того, который вы дали этой компании.
Ссылка в сообщении выглядит правдоподобно, но URL-адрес не соответствует веб-сайту компании.*
Сообщение значительно отличается от предыдущих сообщений, которые вы получали от этой компании.
В сообщении вас просят указать личную информацию, например номер кредитной карты или пароль для учетной записи.
Сообщение было получено без предварительного запроса с вашей стороны и содержит вложение.

Обязательно сообщайте о подозрительных электронных письмах и сообщениях.

Если вы получили по электронной почте фишинговое сообщение, которое выглядит так, словно его отправила компания Apple, вы можете перенаправить его на адрес [email protected]. Если вы пересылаете сообщение из почтового клиента на компьютере Mac, включите тему письма, выбрав сообщение и нажав «Переслать как вложение» в меню «Сообщение».
Нежелательные или подозрительные электронные письма, попадающие в папку «Входящие» на веб-сайте iCloud.com, me.com или mac.com, необходимо пересылать на адрес [email protected].
Чтобы сообщить о нежелательных или подозрительных сообщениях iMessage, нажмите кнопку «Сообщить о спаме» под сообщением. Вы также можете блокировать нежелательные сообщения и звонки.

Если ваш веб-браузер отображает раздражающие всплывающие окна

Если при просмотре веб-страниц вы видите всплывающее окно или уведомление, которое предлагает вам бесплатный приз или предупреждает о проблеме с вашим устройством, не верьте этому. Эти типы всплывающих окон, как правило, являются мошеннической рекламой, предназначенной для того, чтобы обманным путем заставить вас предоставить личную информацию или перевести деньги мошенникам.

Не звоните по номеру и не переходите по ссылкам, чтобы получить приз или решить проблему. Проигнорируйте сообщение и просто уйдите с этой страницы или закройте все окно или вкладку.

Если вам предлагают загрузить программное обеспечение

Будьте предельно осторожны при загрузке контента из Интернета. Некоторые файлы, доступные для загрузки в Интернете, могут не содержать заявленное программное обеспечение или могут содержать не то программное обеспечение, которое вы рассчитывали получить. Это включает в себя приложения, требующие установки профилей конфигурации, которые затем могут управлять вашим устройством. Установленное неизвестное или нежелательное программное обеспечение может стать навязчивым и раздражающим и даже может повредить ваш компьютер Mac и способствовать хищению ваших данных.

Чтобы избежать нежелательного, поддельного или вредоносного программного обеспечения, устанавливайте программное обеспечение из App Store или загружайте его непосредственно с веб-сайта разработчика. Узнайте, как безопасно открывать программное обеспечение на компьютере Mac или удалить ненужные профили конфигурации с вашего iPhone, iPad или iPod touch.

Если вы получили подозрительный звонок или сообщение автоответчика

Мошенники могут подделывать реальные телефонные номера компании и с помощью лести и угроз вынуждают вас предоставить им информацию, деньги или даже подарочные карты iTunes. Если вы получили нежелательный или подозрительный телефонный звонок от лица, утверждающего, что оно представляет компанию Apple, просто положите трубку.

Вы можете сообщить о мошеннических звонках от имени службы технической поддержки в Федеральную торговую комиссию (только для США) по адресу reportfraud.ftc.gov или в местные правоохранительные органы.

Если вы приняли подозрительное приглашение в приложении «Календарь»

Если вы получили нежелательное или подозрительное приглашение в календаре в приложении «Почта» или «Календарь», вы можете пожаловаться на него как на спам в iCloud.

Чтобы удалить уже принятое приглашение, нажмите на событие, затем нажмите «Отклонить» или «Удалить событие». Если вы случайно подписались на нежелательный календарь, откройте приложение «Календарь», нажмите «Календари» и найдите неизвестный или подозрительный календарь. Нажмите на календарь, затем прокрутите вниз и нажмите «Удалить календарь».

*Чтобы определить адрес, на который указывает ссылка, на компьютере Mac наведите указатель мыши на ссылку, чтобы увидеть URL-адрес. Если вы не видите URL-адрес в строке состояния в Safari, выберите «Просмотр» > «Показать строку состояния». На устройстве iOS нужно нажать ссылку и удерживать ее.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: 13 апреля 2021 г.

Amnesty International заявляет, что iPhone можно взломать даже если владелец не переходит по вредоносной ссылке

Amnesty International представили отчет, согласно которому вредоносное ПО Pegasus от NSO Group может заразить телефон и украсть личные данные, даже если пользователь не кликает по ссылке. Полный отчет содержится на сайте компании.

Amnesty International заявила, что обнаружила продукцию Apple журналистов и адвокатов, которая была заражена вредоносным израильским программным обеспечением Pegasus от NSO Group. Данное ПО способно предоставить злоумышленникам доступ к камере телефона, микрофону, сообщениям и электронной почте.

Открытие предполагает, что даже с самым последним обновлением существует способ успешного взлома продукции Apple, о котором не знает компания.

В ранних версиях Pegasus пользователь должен был кликнуть на ссылку, чтобы злоумышленник смог получить доступ к его данным. Однако теперь даже отказ от нажатия не способен защитить iPhone от ПО NSO.

Amnesty International смогла обнаружить доказательства взлома iPhone 12, новейшей модели iPhone, работающей под управлением iOS 14.6. «Apple безоговорочно осуждает кибератаки против журналистов, правозащитников и других людей, стремящихся сделать мир лучше. Более десяти лет Apple возглавляет отрасль в области инноваций и безопасности. Более того, исследователи в области безопасности согласны с тем, что iPhone является самым безопасным и защищенным потребительским мобильным устройством на рынке», – заявил глава отдела разработки и архитектуры безопасности Apple Иван Кристич.

На днях журналисты Washington Post и 16 других новостных организаций провели расследование и выяснили, что частное израильское шпионское ПО использовалось для взлома десятков телефонов репортеров, правозащитников, руководителей бизнеса, а также невесты убитого саудовского журналиста Джамаля Хашогги.

Как я взломал мошенников, или просто внутренности фишинг-панелей / Хабр

INTRO

Недавно столкнулся с обычной для интернета ситуацией — классической просьбой от родственника отдать свой голос за него в каком-то голосовании. Оказалось, человека «взломали» мошенники, а ссылки на голосование вели на фишинговые ресурсы.

Я увлекаюсь безопасностью, поэтому решил из интереса проверить безопасность фишингового ресурса.

«Админку» мошенников удалось успешно взломать, внутри нашлось n-количество украденных учеток. Их логины были переданы в службу безопасности VK, плюс соответствующие «abuse» жалобы были направлены регистраторам, хостерам.

А теперь расскажу как и какие оказываются бывают Phishing-as-Service панели…

Началось все как обычно просьба от родственника отдать свой голос за него в каком-то голосовании:

Родственник:
Привет, просто хочу выиграть 🙂 http://x-vote.ru/votes/701738#vote

На самом деле, большинство скорее всего проигнорирует подобную просьбу, но с точки зрения безопасности возникла заинтересованность в проверке на Race condition само голосование — удастся ли 1 аккаунту отдать по факту несколько голосов, отправив их несколько в один короткий промежуток времени.

К сожалению, проверить это так и не удалось. Ввиду, судя по всему, отсутствия всякого голосования, и к тому же не совсем той Oauth формой, которую хотелось бы увидеть.

Становится уже совсем очевидно, что это просто фишинг, и ничего более.

Однако просто покидать сайт, отказавшись от удовольствия проверить на Race Condition было бы поражением, сканирование портов и поиск директорий на предмет админки или интересных файлов ни к чему не привели, поэтому, быстро прикинув, я решил не писать в форму гадости, которые могли бы вызвать у хозяев фишинг-сайта колоссально-нравственные страдания.

Вместо этого я предположил, что данные, которые жертвы отправляют в форму, затем где-то отображаются, и фильтрация там отсутствует, и, значит, что вместо логина/пароля можно отправить «вредоносный» HTML+JS, или в простонародье Blind XSS. Слепой она называется, потому как факт его отрабатывания мы зафиксировать сразу не можем — только если на неё наткнется администратор/модератор по ту сторону.

Спустя день изучаем наш xsshunter — будничное действие для многих багбаунти хантеров. Это довольно простой и понятный ресурс для проверки на слепые XSS, который сразу может предоставить тебе:

url, где произошло срабатывание;
IP;
Cookie;
Dom-страницы;
… и еще по мелочи. Но в целом все тоже самое можно организовать, отправляя эти данные к себе, скажем, на VPS.

Нас интересует тот факт, что blind XSS-таки отработала успешно.

Исторически, упоминая XSS всегда предлагалось «красть сессию» (содержимое document.cookie).

Но в современном мире, как правило такое уже не работает — сессионные куки выставляются с заголовком «httpOnly», что делает их недоступными для вредосного JS.

Но XSS все еще опасны, по-прежнему можно обращаться к API сайтов в контексте уязвимого сайта, воровать данные со страницы (токены), хоть это и чуть более сложно.

Но злоумышленники не озаботились безопасностью сессии, поэтому мне удалось «угнать» сессию целиком.

Заходим на хост, меняем сессионную куку, попадаем внутрь.

Здесь в глаза бросаются, помимо логинов и паролей, тот факт, что панель не рассчитана на одного человека — а монетизируется продажей доступа туда.

К созданию подошли почти с душой. Не забыли добавить bootstrap с кнопочками, а также весьма расширенный функционал, а именно:

Выгрузка с различных форматах:

Прокси:

Ключи для API:

Логи выгрузов с IP.

Также такие панельки позволяют автоматически создавать хосты с выбранным содержанием, которое может привлечь пользователей, а именно:

Пример добавления и существующие хосты на аккаунте:

А вот, как выглядят классические сгенерированные страницы:

… и многие другие.

Разработчики фишинговой панели активно используют имеющееся API Вконтакте, например выгружают количество друзей, подписчиков, проверяют права администрирования в пабликах, и.т.д, например такие как execute.getDialogsWithProfilesNewFixGroups.php, примеры методов:
https://vk.com/dev/execute

Довольно примечательным являлась следующая ситуация.

Если зайти в аккаунт Вконтакте используя логин и пароль — велика вероятность словить подозрение от VK с просьбой ввести отправленный в личные сообщения код.

Однако при помощи их методов и access-токена, никаких проблем с этим не было, и тот же самый код можно было прочитать через этот функционал.

Выглядело это примерно так:

GET /method/execute.getDialogsWithProfilesNewFixGroups?access_token=****b750be150c961c******ace8d9dd54e448d5f5e5fd2******7e21388c497994536a740e3a45******&lang=ru&https=1&count=40&v=5.69 HTTP/1.1
Host: vk-api-proxy.xtrafrancyz.net

HTTP/1.1 200 OK
Date: Tue, 03 Mar 2020 09:57:08 GMT
Content-Type: application/json; charset=utf-8
Connection: close
Vary: Accept-Encoding
Server: vk-proxy
X-Powered-By: PHP/3.23359
Cache-Control: no-store
X-Frame-Options: DENY
Access-Control-Allow-Origin: *
Content-Length: 57453

{"response":{"a":{"count":271,"unread_dialogs":151,"items":[{"message":{"id":592***,"date":1583222677,"out":0,"user_id":14967****,"read_state":1,"title":"","body":"Код подтверждения входа: 063725.","owner_ids":[]},"in_read":592***,"out_read":592***}

ВК помнит, откуда пользователь обычно заходит на сайт. Предположительно, поэтому мошенники такое тоже предусмотрели и использовали различные прокси серверы разбросанные географически — чтобы «попасть» в туже зону, где обычно находится жертва. Этим объясняется тот факт, что при попытке проверить пару логин+пароль не вышло без лишних вопросов от ВК, однако сработало через их функционал, использующий прокси.

Это если говорить о том, как шагают и что предпринимают фишеры, чтобы атаковать пользователей, в поисках аккаунтов с большим количеством подписчиков и друзей, а также администраторов сообществ.

На самом деле, один из возникающих вопросов, это что делать дальше в таких ситуациях?

В общем-то, я собрал те фишинговые хосты и утёкшие аккаунты, помимо тех, что были видны в интерфейсе, также те, что были видны по эндпоинту с кучей мусора: непроверенный акков, оскорблений в сторону фишеров, и тихой записью с blind xss пейлоадом, что в дальнейшем было передано ребятам из VK по рекомендации и помощи Bo0oM, которые, скорее всего, в свою очередь проводят стандартную процедуру внесения этих сайтов в запрещенные, и сбросы паролей.

Также пошел процесс complaint’ов в сторону фишинговых хостов и панельки. Подавляющая часть была скрыта за cloudflare’ом, поэтому пришлось написать им. Этот процесс, к слову, весьма неудобный и отбивающий желание репортить такие сайты, т.к почему-то Cloudflare не хочет принимать жалобу на почту, но хочет принимать жалобу через https://www.cloudflare.com/abuse/form, причем не несколько хостов за раз — а каждый раз отдельно на 1 url ¯ \ (ツ) / ¯

Но все же в их пользу стоит сказать — что бан они выдавали за 10 минут.

После чего некоторые из хостов начали выходить из под клаудфлеера, обнажая уже и хостинг, куда также была подана соответствующая информация.

UPD: Также была передана соответствующая информация и в QIWI с Yandex, для проверки уже кошельков.

Что делать, если взломали аккаунт | by SETTERS

В этой микро-детективной истории сошлись злой умысел, здравый смысл и романтика: руководитель отдела копирайтинга Ксения Жмудь рассказала о взломе и удалении своего Instagram-аккаунта.

Проснувшись утром, я обнаружила, что мой аккаунт больше не мой. Со странички выбросило, по нику не найти, а почту отвязали и сменили. На e-mail пришло интеллигентное письмо:

Пока я судорожно гуглила, что нужно делать в такой ситуации (а инструкций по поведению так найти и не удалось), террористы прислали еще одно сообщение:

Делать нечего — пришлось вести переговоры со злоумышленниками.

Пока я оттягивала неизбежное светской беседой, флиртом и уговорами отдать аккаунт по бартеру, параллельно писала в поддержку Facebook.

Facebook сразу прислал письмо с просьбой доказать владение аккаунтом фотографией с уникальным номером, написанным от руки.

Дальше террористы уже даже не угрожали, а с грустью констатировали факт, что если я не переведу денег — аккаунт «придется удалить».

О том, что «сейчас удалим» мне написали несколько раз, а ночью и правда удалили.

Потом дня два я провела в изоляции от своих фотографий и едких подписей к ним, не зная, вернется ли мой @ksushazhmud обратно или нет. (в итоге, конечно, вернулся).

На самом деле, это был даже не взлом. Просто ребята отправили мне письмо с предложением о сотрудничестве и стали ждать, когда я перейду по ссылке.

Я не блогер и рекламой не занимаюсь, но из любопытства по ссылке перешла, чтобы посмотреть, во сколько оценивают рекламный пост. Ссылка открывала веб-версию Instagram и просила авторизоваться.

Вот тут-то и крылась ловушка: сайт просто собирал пароли. В открывшейся ссылке была неверная буква:

Неверная, но похожая, так что можно и не обратить внимание.

Вы вводите пароль/логин и хоп! вы попались. На следующее утро уже получаете письмо счастья. Поэтому:

Не вводите свои логин/пароль, после перехода по внешним ссылкам. Если у вас подключён бизнес-профиль, то любой может прислать, вам на почту ссылку с пассажем типа: «предлагаем по бартеру вот это, будете с нами работать?». Если у вас есть кнопка «связаться» в инсте, значит любой может с вами связаться⠀

Не переводите никому денег, мы не ведём переговоров с террористами)

Что делать, если аккаунт взломали:

1) Если вы все-таки перешли по ссылке и прошляпили аккаунт: попытайтесь войти в свой инст, нажмите «проблемы со входом», а далее заполните форму «меня взломали». Укажите почту, на которую регистрировали свой инст изначально

2) Автоматически вам на почту упадёт письмо от Facebook, где сапорт попросит прислать фотку с уникальным кодом и вашим фейсом

3) Спустя 1–7 дней аккаунт будет восстановлен.

Даже если аккаунт удалят — Fb его легко возродит по бекапам. А ещё для надежности подключите двухфакторную защиту.

✊🏼Контролируйте свои пароли, девочки)

Читайте также: Бренды знают всё: как работает таргетинг (история в кейсах)

Подписывайтесь на наш Telegram-канал SETTERS

Взломать за 60 секунд: как обезопасить свой дом от кражи во время каникул | Статьи

Во время длинных новогодних праздников многие россияне отправляются отдыхать за город или уезжают за границу. В это время традиционно возрастает интерес к «освободившейся» недвижимости у квартирных воров. Впрочем, в последние годы в Москве фиксируют рекордно низкий уровень квартирных краж. Эксперты связывают это с установкой охранных сигнализаций и введением системы «Безопасный город». Однако волнение по поводу сохранности нажитого испытывает едва ли не каждый владелец, собравшийся надолго уехать. О том, как обезопасить свой дом от возможного взлома, «Известия» поговорили с легальным взломщиком замков Андреем Фоксиковым (этот псевдоним герой использует для общения в интернете).

Следить за маячками

Существует несколько типов замков, самые простые «личинки» домушник может вскрыть за минуту, но на более сложные у него уходит на несколько минут больше. С развитием технологий не только усложнились механизмы защиты от воров, но и сами домушники стали более изобретательными. При этом опытный вор сможет вскрыть любой замок вне зависимости от типа, в то время как спонтанные кражи чаще совершают наркоманы, алкоголики и асоциальные элементы. Чаще всего такие воры пытаются проникнуть в дом через окно, если хозяева не поставили решетки.

— Опытный квартирный вор может вскрыть любой замок вне зависимости от его типа. Еще 10 лет назад все мастера изготавливали спецсредства вручную, а всё, что нужно жуликам для любого типа замка, было доступно: средства, позволяющие вскрыть замок, можно было найти в любом хозяйственном магазине. При определенном уровне тренировки сделать это можно за пару минут, отмечает эксперт по взлому замков.

Фото: Global Look Press/Alexei Moschenkov

Еще до кражи воры приходят, чтобы разведать обстановку: проверить, какого типа замки висят двери, есть ли сигнализация и камеры. Как правило, чтобы проверить отсутствие хозяев, на дверь вешают маячок: им может служить объявление о доставке еды или услугах компьютерного мастера. Убедившись, что никто не помешает грабить чужое добро, воры возвращаются с инструментом, нужным для конкретного типа замка. При этом количество замков не усложняет задачу, а лишь оттягивает время входа в квартиру или дом.

— Если мы говорим о любителях, то есть устройства, способные капитально усложнить им задачу. Например, есть накладки, отвечающие за безопасность, но они довольно дорогостоящие. Антивандальные накладки защищают только от силового метода вскрытия, профессиональные жулики его не используют. Силой замки открывают только дилетанты, — добавляет Фоксиков.

Праздничные гастроли

Несколько лет назад он работал с криминалистами и делал экспертизы по вскрытию квартир, поэтому может на глаз определить, насколько искусный вор обчистил жилище. Самые примитивные воры — гастролеры, которые приезжают в город во время праздников. Несколько дней они следят за тем, горит ли в квартире свет, есть ли газеты и письма в почтовом ящике, открывается ли дверь.

— Им проще зайти в квартиру с несложными замками, чем мучиться с дверью, где стоит что-то посерьезнее. Большинство замков на самом деле, если знать их конструкцию, открываются очень просто подручными средствами, — уточняет эксперт по взлому.

Фото: ИЗВЕСТИЯ/Константин Кокошкин

По его словам, гаджеты, которые используются для отпугивания воров, в целом способны справляться со своими задачами. Например, существуют розетки, которые включаются по часам. Подключив к ним лампу, можно создать ощущение, что в доме находятся жильцы. Муляжи камер с красным индикатором способны отпугнуть не слишком опытного вора еще на этапе просмотра входа в квартиру.

— В камерах толку немного, потому что практически всегда домушник приходит открывать дверь в медицинской маске. А вот если повесить какой-то муляж перед дверью, прикрепить купол с красной лампочкой на потолок — это может отпугнуть воров-любителей на этапе пробивки квартиры. Стандартный видеоглазок тоже может оказаться бесполезным, потому что вор его выдернет и заберет с собой, а более продвинутые модели, которые заливают фото и видеозаписи на сервер, стоят в несколько раз дороже, — объясняет Фоксиков.

Вошел как к себе домой

Профессиональные воры, которые не боятся ни сложных замков, ни камер, не приходят в квартиру просто так. Обычно о том, что в квартире лежит крупная сумма, им сообщают по наводке. Для воров с опытом не имеет значения, дорогая или дешевая у владельца квартиры дверь, напротив, за старой железной дверью как раз и может скрываться то, за чем охотится домушник.

— У бабушки, которая живет одна, денег в квартире может оказаться намного больше, чем у ее соседа на дорогой машине. У него может всё лежать на счете в банке, а бабушка откладывает пенсию в конверт. При прочих равных воры пытаются зайти туда, куда проще. Но если воры знают, за чем они идут, то взломают любой замок, — считает специалист по взлому.

Сигнализация — хороший способ обезопасить жилье от вторжения посторонних, но и здесь существует несколько нюансов. Во-первых, она должна быть правильно установлена. Во-вторых, частная охрана приезжает значительно медленнее, чем Росгвардия. Ну и, в-третьих, вор, который пришел с определенной целью, уже знает, где лежит искомое. Он может успеть вынести деньги еще до приезда группы экстренного реагирования.

Фото: ИЗВЕСТИЯ/Александр Казаков

Где деньги лежат

Существует несколько способов обезопасить свои сбережения, в случае если они хранятся в квартире. Домушники лучше многих знают все «тайные места», в которых обычно люди прячут деньги. Книги, цветочные горшки, банки с вареньем, картинные рамки и другие «неочевидные» места для хранения денег проверяют в первую очередь.

Прикрученный сейф затруднит работу домушника на некоторое время, но опять же вор со стажем способен вскрыть и его. Усложнить задачу можно, если сейф находится в труднодоступном месте, до которого сложно добраться с помощью инструмента.

— Очень действенный способ — поставить приваренный сейф под ванной или вмонтировать его в стену или пол. Просто что-то заныкать в книжках или цветочном горшке — не получится. Залетные квартирные кражи канули в Лету. Сейчас либо лезут за тем, что уже знают, либо уходят в электронное мошенничество. Когда люди идут за заранее известной суммой денег, их не остановит ни охрана, ни камера, ни самая дорогая дверь. Нагло заходят в такие защищенные дома, что непонятно, как вообще это осуществимо, — рассказывает эксперт по безопасности.

Фото: Global Look Press/Nikolay Gyngazov

В Москве на ситуацию существенно повлияла система «Безопасный город», благодаря которой можно отследить передвижение домушника по городу. Поэтому стали чаще грабить подмосковные коттеджи и дачи. Эксперт отмечает, что воров наводят на дом из-за разговорчивости самого хозяина. Стоило ему проболтаться где-то в баре с друзьями об успешно проданной машине, и его квартира уже потенциальный кандидат на взлом с проникновением.

— Чтобы избежать кражи, нужно поменьше распространяться родственникам, друзьям, знакомым, соседям и консьержам о своих планах совершить крупную покупку, продаже какого-либо имущества или крупной премии, — резюмировал Фоксиков.

Это же касается и любителей прихвастнуть в соцсетях: за вашими обновками и отпуском могут следить не только друзья и подписчики, но и профессиональные домушники. Определенную опасность таят в себе шумные вечеринки с малознакомыми людьми, во время которых кто-то из гостей может сфотографировать ключи от входной двери или даже успеть сделать слепок. С другой стороны, мастера из металлоремонта за такую работу не возьмутся, да и сам ключ, сделанный по эскизу, может не подойти. Но полагаться на авось в вопросе безопасности имущества тоже не стоит.

Как могут взломать ваш пароль

11.07.2015&nbsp безопасность | для начинающих | интернет

Взлом паролей, какие бы пароли это ни были — от почты, онлайн-банкинга, Wi-Fi или от аккаунтов В контакте и Одноклассников, в последнее время стал часто встречающимся событием. В значительной степени это связано с тем, что пользователи не придерживаются достаточно простых правил безопасности при создании, хранении и использовании паролей. Но это не единственная причина, по которой пароли могут попасть в чужие руки.

В этой статье — подробная информация о том, какие методы могут применяться для взлома пользовательских паролей и почему вы уязвимы перед такими атаками. А в конце вы найдете список онлайн сервисов, которые позволят узнать, был ли уже скомпрометирован ваш пароль. Также будет (уже есть) вторая статья на тему, но начать чтение я рекомендую именно с текущего обзора, а уже потом переходить к следующему.

Обновление: готов следующий материал — Про безопасность паролей, в котором описано, как в максимальной степени обезопасить свои аккаунты и пароли к ним.

Какие методы используются для взлома паролей

Для взлома паролей используется не такой уж и широкий набор различных техник. Почти все они известны и почти любая компрометация конфиденциальной информации достигается за счет использования отдельных методов или их комбинаций.

Фишинг

Самый распространенный способ, которым на сегодняшний день «уводят» пароли популярных почтовых сервисов и социальных сетей — фишинг, и этот способ срабатывает для очень большого процента пользователей.

Суть метода в том, что вы попадаете на, как вам кажется, знакомый сайт (тот же Gmail, ВК или Одноклассники, например), и по той или иной причине вас просят ввести ваш логин и пароль (для входа, подтверждения чего-либо, для его смены и т.п.). Сразу после ввода пароль оказывается у злоумышленников.

Как это происходит: вы можете получить письмо, якобы от службы поддержки, в котором сообщается о необходимости войти в аккаунт и дана ссылка, при переходе на которую открывается сайт, в точности копирующий оригинальный. Возможен вариант, когда после случайной установки нежелательного ПО на компьютере, системные настройки изменяются таким образом, что при вводе в адресную строку браузера адреса нужного вам сайта, вы на самом деле попадаете на оформленный точно таким же образом фишинговый сайт.

Как я уже отметил, очень многие пользователи попадаются на это, и обычно это связано с невнимательностью:

При получении письма, которое в том или ином виде предлагает вам войти в ваш аккаунт на том или ином сайте, обращайте внимание, действительно ли оно было отправлено с адреса почты на этом сайте: обычно используются похожие адреса. Например, вместо [email protected], может быть [email protected] или нечто подобное. Однако, правильный адрес не всегда гарантирует, что все в порядке.
Прежде чем куда-либо ввести свой пароль, внимательно посмотрите в адресную строку браузера. Прежде всего, там должен быть указан именно тот сайт, на который вы хотите зайти. Однако, в случае с вредоносным ПО на компьютере этого недостаточно. Следует также обратить внимание на наличие шифрования соединения, которое можно определить по использованию протокола https вместо http и изображению «замка» в адресной строке, по нажатии на который, можно убедиться, что вы на настоящем сайте. Почти все серьезные ресурсы, требующие входа в учетную запись, используют шифрование.

Кстати, тут отмечу, что и фишинговые атаки и методы перебора паролей (описано ниже) не подразумевают сегодня кропотливой муторной работы одного человека (т.е. ему не нужно вводить миллион паролей вручную) — все это делают специальные программы, быстро и в больших объемах, а потом отчитываются об успехах злоумышленнику. Более того, эти программы могут работать не на компьютере хакера, а скрытно на вашем и у тысяч других пользователей, что в разы повышает эффективность взломов.

Подбор паролей

Атаки с использованием подбора паролей (Brute Force, грубая сила по-русски) также достаточно распространены. Если несколько лет назад большинство таких атак представляли собой действительно перебор всех комбинаций определенного набора символов для составления паролей определенной длины, то на данный момент всё обстоит несколько проще (для хакеров).

Анализ утекших за последние годы миллионов паролей показывает, что менее половины из них уникальны, при этом на тех сайтах, где «обитают» преимущественно неопытные пользователи, процент совсем мал.

Что это означает? В общем случае — то, что хакеру нет необходимости перебирать несчетные миллионы комбинаций: имея базу из 10-15 миллионов паролей (приблизительное число, но близкое к истине) и подставляя только эти комбинации, он может взломать почти половину аккаунтов на любом сайте.

В случае целенаправленной атаки на конкретную учетную запись, помимо базы может использоваться и простой перебор, а современное программное обеспечение позволяет это делать сравнительно быстро: пароль из 8-ми символов может быть взломан в считанные дни (а если эти символы представляют собой дату или сочетание имени и даты, что не редкость — за минуты).

Обратите внимание: если вы используете один и тот же пароль для различных сайтов и сервисов, то как только ваш пароль и соответствующий адрес электронной почты будут скомпрометированы на любом из них, с помощью специального ПО это же сочетание логина и пароля будет опробовано на сотнях других сайтах. Например, сразу после утечки нескольких миллионов паролей Gmail и Яндекс в конце прошлого года, прокатилась волна взломов аккаунтов Origin, Steam, Battle.net и Uplay (думаю, и многих других, просто по указанным игровым сервисам ко мне многократно обращались).

Взлом сайтов и получение хэшей паролей

Большинство серьезных сайтов не хранят ваш пароль в том виде, в котором его знаете вы. В базе данных хранится лишь хэш — результат применения необратимой функции (то есть из этого результата нельзя снова получить ваш пароль) к паролю. При вашем входе на сайт, заново вычисляется хэш и, если он совпадает с тем, что хранится в базе данных, значит вы ввели пароль верно.

Как несложно догадаться, хранятся именно хэши, а не сами пароли как раз в целях безопасности — чтобы при потенциальном взломе и получении злоумышленником базы данных, он не мог воспользоваться информацией и узнать пароли.

Однако, довольно часто, сделать это он может:

Для вычисления хэша используются определенные алгоритмы, в большинстве своем — известные и распространенные (т.е. каждый может их использовать).
Имея базы с миллионами паролей (из пункта про перебор), злоумышленник также имеет и доступ к хэшам этих паролей, вычисленным по всем доступным алгоритмам.
Сопоставляя информацию из полученной базы данных и хэши паролей из собственной базы, можно определить, какой алгоритм используется и узнать реальные пароли для части записей в базе путем простого сопоставления (для всех неуникальных). А средства перебора помогут узнать остальные уникальные, но короткие пароли.

Как видите, маркетинговые утверждения различных сервисов о том, что они не хранят ваши пароли у себя на сайте, не обязательно защищают вас от его утечки.

Шпионские программы (SpyWare)

SpyWare или шпионские программы — широкий спектр вредоносного программного обеспечения, скрытно устанавливающегося на компьютер (также шпионские функции могут быть включены в состав какого-то нужного ПО) и выполняющего сбор информации о пользователе.

Помимо прочего, отдельные виды SpyWare, например, кейлоггеры (программы, отслеживающие нажимаемые вами клавиши) или скрытые анализаторы траффика, могут использоваться (и используются) для получения пользовательских паролей.

Социальная инженерия и вопросы для восстановления пароля

Как говорит нам Википедия, социальная инженерия — метод доступа к информации, основанный на особенностях психологии человека (сюда можно отнести и упоминавшийся выше фишинг). В Интернете вы можете найти множество примеров использования социальной инженерии (рекомендую поискать и почитать — это интересно), некоторые из которых поражают своей изящностью. В общих чертах метод сводится к тому, что почти любую информацию, необходимую для доступа к конфиденциальной информации, можно получить, используя слабости человека.

А я приведу лишь простой и не особенно изящный бытовой пример, имеющий отношение к паролям. Как вы знаете, на многих сайтах для восстановления пароля достаточно ввести ответ на контрольный вопрос: в какой школе вы учились, девичья фамилия матери, кличка домашнего животного… Даже если вы уже не разместили эту информацию в открытом доступе в социальных сетях, как думаете, сложно ли с помощью тех же социальных сетей, будучи знакомым с вами, или специально познакомившись, ненавязчиво получить такую информацию?

Как узнать, что ваш пароль был взломан

Ну и, в завершение статьи, несколько сервисов, которые позволяют узнать, был ли ваш пароль взломан, путем сверки вашего адреса электронной почты или имени пользователя с базами данных паролей, оказавшихся в доступе хакеров. (Меня немного удивляет, что среди них слишком значительный процент баз данных от русскоязычных сервисов).

Обнаружили ваш аккаунт в списке ставших известных хакерам? Имеет смысл поменять пароль, ну а более подробно о безопасных практиках по отношению к паролям учетных записей я напишу в ближайшие дни.

remontka.pro в Телеграм | Другие способы подписки

А вдруг и это будет интересно:

Взлом сломанной ссылки — шифр

Интернет существует уже несколько десятилетий. Гиперссылки — это ключевой элемент. В наши дни их существование настолько распространено, что обычный браузер не замечает их существования. Когда посетители веб-сайта переходят по ссылке, они верят, что эта ссылка приведет их туда, куда они хотят. Что происходит, когда хорошие ссылки портятся? Этот пост расскажет о деталях.

Вот формула для ситуации, когда может произойти атака:

 Отсутствующая веб-страница + Заброшенная веб-страница + Хакер = угроза

Отсутствующие веб-страницы

С годами создается множество веб-страниц.Когда я был ребенком в 90-х, я, вероятно, создал десяток сайтов на случайные темы, используя такие платформы, как Geocities. Я понятия не имею, что случилось с этими сайтами и прячутся ли они где-нибудь в сети. У меня, конечно, были ссылки на другие сайты на них и другие сайты, связанные с этим. Эти ссылки и сам веб-сайт потеряны для мира. Согласно исследованию, 98% ссылок стали недействительными через 20 лет. Эти брошенные ссылки называются гнилью ссылок. Социальные сети также уязвимы для этого явления.По прошествии двух лет 30% ссылок не переходят по назначению.

Существует несколько причин отсутствия веб-страниц и соответствующих им URL-адресов. Владельцы домена могут не продлить срок действия, а прежний контент будет удален. Компании закрываются или передают право собственности. Вышеупомянутые Geocities были фактически закрыты в 2009 году, захватив с собой тысячи веб-сайтов. Веб-сайт может просто подвергнуться редизайну, и структура ссылок изменится без надлежащих перенаправлений.

Заброшенные веб-страницы

Вторая часть уравнения — это страницы, содержащие ссылки на несуществующие страницы.Чтобы убедиться, что ссылки веб-сайта по-прежнему действительны и работают, лицу, обслуживающему веб-сайт, придется вручную проверять все исходящие ссылки. Это непрактично, и владелец веб-сайта может не увидеть ценности. Есть веб-сайты и инструменты, которые могут сканировать веб-сайт на предмет неработающих ссылок. Даже если веб-страницы больше не обслуживаются, они могут ранжироваться по определенным ключевым словам в Google или других поисковых системах. Это означает, что туда идет трафик.

Вредоносные методы хакера

Трафик — это ценность и возможности.Здесь и появляются преступные хакеры. Действия по взлому не являются сложными или даже технически трудными.

Первый шаг — это поиск веб-сайтов, на которых есть ссылки, которые действительно ведут людей в нужное место. Это может быть простой ручной процесс или парсеры веб-сайтов, которые могут сканировать сайты и находить их.

Затем хакеру необходимо определить, какая именно ссылка на веб-сайт. Часто неработающие ссылки могут перенаправлять, и URL-адрес каким-то образом изменяется.Просмотреть источник и получить URL можно, ища код ссылки:

Теперь хакеру нужно захватить домен, о котором идет речь, установить новый и сопоставить URL-адрес. Возможно, домен был заброшен, или хакер мог найти способ получить страницу на уже существующем веб-сайте. После того, как страница открыта, любое количество приемов может быть использовано для злонамеренной выгоды. Веб-сайт может быть создан для клонирования прежнего веб-сайта.Это позволяет хакеру украсть учетные данные, если на бывшем сайте был логин. Веб-сайт, созданный хакером, может загружать вредоносное ПО, что может иметь негативные последствия для посетителя.

Способы защиты от взлома неработающих ссылок

Отказ от взлома неработающих ссылок с одних точек зрения возможен, в то время как другие маловероятны.

Отсутствующие веб-страницы: Это факт Интернета, что веб-страницы приходят и уходят. Существуют ежемесячные и ежегодные расходы, связанные с использованием веб-сайта.Часто случаются редизайны, в результате которых появляются новые структуры URL-адресов. В новой структуре часто нет правильной настройки перенаправления.

Неверные ссылки: Веб-мастера могут следить за своим сайтом вручную, чтобы гарантировать точность ссылок. Как упоминалось выше, бесплатные сервисы веб-сайтов могут сканировать и сканировать ссылки для поиска ошибок.

Поведение пользователя: Людям, посещающим незнакомые им веб-сайты, следует с осторожностью переходить по ссылкам. Нереально ожидать, что человек будет глубоко задумываться над каждым щелчком.Но если вы посещаете сайт, на котором никогда не были, будьте осторожны. Если тема ссылки несколько незаконна, также будьте осторожны. Ссылки на сайты, связанные с азартными играми, тематикой для взрослых или играми, могут быть особенно опасны для взлома.

URL-взлом: навигация своими руками | Журнал «Грамотность» Джерса (основан в 1999 г.)

Jerz -> E-Text

Сколько раз это случалось с вами? Вы нажимаете на многообещающую ссылку и попадаете на странную, потерянную веб-страницу с бесполезным сообщением «Используйте кнопку« Назад », чтобы вернуться к оглавлению.«Если вы хотите изучить этот веб-сайт, что вы будете делать? Взломайте URL!

Взлом URL-адреса — это процесс перемещения по сложному веб-сайту путем непосредственного воспроизведения адреса. Просто отрежьте конец адреса , чтобы увидеть, предоставил ли автор страницу оглавления для конкретной коллекции веб-страниц. (В том, что я имею в виду под взломом URL-адреса, нет ничего незаконного или даже технического, но компьютерным фанатам понравится книга Йорна Баргера «Взлом URL-адресов для развлечения и прибыли.»)

Если вы перейдете на« www.mysite.com/features/1999/may/juggling.htm », вы можете отрезать конец URL-адреса, чтобы увидеть, что находится на« www.mysite ». com / features / ». Если разработчик сайта поместил в этот каталог файл с именем index.html, сервер найдет его по умолчанию.

Если вы можете понять организационную структуру конкретного веб-сайта, вы можете полностью обойти навигацию по сайту , пытаясь предсказать адрес веб-страницы, которую вы хотели бы видеть.Если вам понравилась статья о жонглировании в мае 1999 года, вы можете «взломать» URL-адрес, чтобы проверить, какие статьи могут быть размещены на «www.mysite.com/features/[current year] / [current month] /».

В этом разделе я демонстрирую , как пользователь Интернета может взломать URL , чтобы использовать (а не просто читать ) страницу, которую я случайно нашел глубоко на университетском веб-сайте. На странице, которую я нашел, не хватало функций навигации, которые превращали статический текстовый документ в полезный, живой гипертекст.

[wp_ad_camp_4]

В новостях

28 октября 2002 г.
Взлом URL-адреса приводит к нарушению конфиденциальности в Интернете Дело : небольшая шведская компания опубликовала на своем веб-сайте информацию о квартальных доходах без какой-либо защиты паролем , но без публикации URL.Репортер Reuters угадал URL-адрес и нашел отчет еще до того, как он должен был быть опубликован. Теперь на репортера подали в суд за взлом URL-адреса.

Сделайте свои URL-адреса взломанными

Если ваш веб-сайт полностью находится в одном каталоге (например, «www.geocities.com/hectopus»), то все, что вам нужно сделать, это назвать свою домашнюю страницу. «Index.html» . Если ваш сайт более сложный, создайте домашние страницы с именем «index.html» в каждом подкаталоге.Кроме того, каждая страница на определенном уровне должна ссылаться на локальную страницу «index.html» , а также предоставлять ссылку на следующий уровень «вверх» . (См. Раздел «Навигация: компонент веб-авторства, которым часто пренебрегают»).

Золотое правило

Нравится вам это или нет, но ваш сайт будет разговаривать с незнакомцами
Вы говорите, что ваш сайт не такой уж сложный … вы говорите, что люди, которые его используют, уже знают, что найти им нужно… вы говорите, что у вас недостаточно времени… так что, , зачем вам делать свой сайт доступным для посторонних? Могу предложить несколько причин.

Золотое правило . Поступайте с другими так, как хотите, чтобы они поступали с вами. Никто не любит, когда его бросают на хромой веб-сайт. Если вы не можете дать все ответы самостоятельно, вам следует по крайней мере предложить ссылки на сайты, которые могут это сделать.
Обслуживание ваших клиентов . Что бы вы ни делали, чтобы сделать свой сайт более доступным для незнакомцев, также сделает его более доступным для целевой аудитории .
Гордость за хорошо выполненную работу . Что бы ни стоило сказать, стоит сказать хорошо.Если вы публикуете что-то в Интернете, вы, вероятно, хотите, чтобы люди это прочитали. Чтобы помочь им прочитать это, вы должны понять, что люди ценят в своих онлайн-текстах. (См. Еще раз «10 главных ошибок».)

Хакеры украли 600 миллионов долларов в результате взлома Poly Network

Хакеры вернули почти половину украденных 600 миллионов долларов, что, вероятно, станет одним из крупнейших в истории хищений криптовалюты .

Киберпреступники воспользовались уязвимостью в Poly Network, платформе, которая пытается соединить различные блокчейны, чтобы они могли работать вместе.

Poly Network раскрыла во вторник атаку и попросила установить связь с хакерами, призвав их «вернуть взломанные активы».

Блокчейн — это реестр действий, на котором основаны различные криптовалюты. У каждой цифровой монеты есть собственный блокчейн, и они отличаются друг от друга. Poly Network утверждает, что может заставить эти различные блокчейны работать друг с другом.

Poly Network — это децентрализованная финансовая платформа. DeFi — это широкий термин, охватывающий финансовые приложения, основанные на технологии блокчейн, которая направлена на устранение посредников, таких как брокерские компании и биржи.Следовательно, это называется децентрализованным.

Сторонники говорят, что это может сделать финансовые приложения, такие как кредитование или заимствование, более эффективными и дешевыми.

«Сумма денег, которую вы взломали, является самой большой в истории defi», — говорится в сообщении Poly Network в твите .

Хакеры начали возвращать средства

При странном повороте событий в среду хакеры начали возвращать часть украденных ими средств.

Они отправили в Poly Network сообщение, встроенное в транзакцию с криптовалютой, о том, что они «готовы вернуть» средства.Платформа DeFi ответила с просьбой отправить деньги на три крипто-адреса.

По состоянию на 7 часов утра по лондонскому времени на адреса Poly Network было возвращено более 4,8 миллиона долларов. К 11 часам утра по восточному времени около 258 миллионов долларов были отправлены обратно.

«Я думаю, это демонстрирует, что даже если вы можете украсть криптоактивы, их отмывание и обналичивание чрезвычайно сложно из-за прозрачности блокчейна и использования аналитики блокчейнов», — Том Робинсон, главный научный сотрудник аналитической компании Elliptic, сказал: сказал по электронной почте.

«В этом случае хакер пришел к выводу, что самый безопасный вариант — просто вернуть украденные активы».

Как только хакеры украли деньги, они начали отправлять их на различные другие адреса криптовалюты. Исследователи из компании по безопасности SlowMist заявили, что в общей сложности на три адреса было переведено криптовалюты на сумму более 610 миллионов долларов.

SlowMist сообщил в своем твите, что его исследователи «захватили почтовый ящик, IP-адрес и отпечатки устройства злоумышленника» и «отслеживают возможные ключи личности, связанные с злоумышленником Poly Network.

Исследователи пришли к выводу, что кража «скорее всего была давно спланированной, организованной и подготовленной атакой».

Poly Network призвала биржи криптовалюты занести в «черный список токенов», поступающие с адресов, которые были связаны с хакерами.

По данным эмитента стейблкоина, около 33 миллионов долларов Tether, которые были частью кражи, были заморожены.

Чанпенг Чжао, генеральный директор крупной криптовалютной биржи Binance, сказал, что он знал об атаке.

Он сказал, что Binance «координирует свои действия с всем нашим партнерам по безопасности проактивно помогать, «но это» нет никаких гарантий.«

« Мы предпримем юридические действия и призываем хакеров вернуть активы », — сообщила Poly Network в Twitter.

Взломов DeFi растет

DeFi становится ключевой целью для атак.

С начала По данным компании CipherTrace, занимающейся соблюдением требований криптовалюты, за год до июля общий объем взломов, связанных с DeFi, составил 361 миллион долларов, что почти в три раза больше, чем в 2020 году.

Мошенничество, связанное с DeFi, также растет. В прошлом году на него приходилось 54% от общего объема крипто-мошенничества против 3% за весь прошлый год.

Hack # 1 — Посмотрите эту ссылку!

Новичок 20 декабря 2019 г.

Основные выводы:

— Вредоносное ПО можно легко установить на компьютер или смартфон, используя ссылку в сообщениях электронной почты, баннерах или текстовых сообщениях, и жертва этого не заметит.
— дает злоумышленнику полный контроль над правами компьютера или смартфона.
— Если ваши личные ключи хранятся в Интернете или на вашем смартфоне, это означает, что ваши крипто-средства зависят от того, что злоумышленник решает с ними делать.
— Аппаратные кошельки полностью снижают эти риски: они защищают исходные данные от программных и физических атак. Вредоносная программа, установленная на смартфоне, не может получить начальные данные, хранящиеся в аппаратном кошельке.

В то время как физическое вмешательство в смартфон требует дополнительного уровня сложности (например, физическая кража), вредоносное ПО является более привлекательным вариантом для хакера. Во многих случаях вредоносное ПО пугает больше, чем надоедливое ПО, которое замедляет работу вашего браузера.Злоумышленник использует уязвимости в операционной системе для установки вредоносного ПО.

Что такое вредоносное ПО?

Вредоносное ПО — это тип программного обеспечения, которое скрывается за кажущимися безобидными ссылками в электронных письмах, рекламных баннерах и текстовых сообщениях. Один из способов злоумышленника установить вредоносное ПО — использовать методы социальной инженерии: жертву обманом заставляют установить вредоносное программное обеспечение на свой компьютер (т.е. она нажимает на ссылку и соглашается установить что-то). Другой способ — злоумышленник использовать уязвимости в программном обеспечении, таком как веб-браузер, используемом жертвой: это позволит злоумышленнику установить вредоносное ПО без согласия жертвы.

Последствия

Злоумышленник может использовать такие уязвимости, чтобы предоставить им полный контроль над правами смартфона или компьютера, получая при этом доступ к библиотеке конфиденциальных данных. Злоумышленник также может сбросить учетные записи (например, Google Office Suite), используя контроль над компьютером. В результате, криптовалютные средства пользователей зависят от того, что злоумышленник решает с ними делать, если пароли и закрытые ключи хранятся в этих онлайн-аккаунтах.

Хотя это может дать некоторую надежду на то, что пароли не всегда сохраняются, злоумышленник может сбросить пароль приложения / учетной записи (для подтверждения нового пароля требуется только доступ к электронной почте). Затем, чтобы перевести все средства на свой адрес, злоумышленник инициирует отправку. Для подтверждения транзакции потребуется 2FA, отправленная по SMS. Если взломанное устройство касается смартфона, он может получить доступ к SMS и перевести все криптовалюты на свои учетные записи.

Различные формы вредоносного ПО

Многочисленные формы этих типов вредоносных программ постоянно скрываются в качестве успешных преступлений до их возможного обнаружения — например, недавно с помощью поддельного программного обеспечения для криптовалютной торговли UnionCryptoTrader.dmg заразил компьютеры Mac OS.

Самая устрашающая часть этих атак, и почему их так трудно обнаружить, заключается в том, что они действуют незаметно в фоновом режиме компьютера или смартфона. Пользователи очень редко узнают, что что-то не так, пока их средства не исчезнут. Например, в случае уязвимости UnionCryptoTrader.dmg вредоносная программа была «безфайловой». Он встроен в память устройства и никогда не взаимодействует с файлами или дисками. Это позволяет вредоносной программе обходить многие программные приложения, специально разработанные для обнаружения вредоносных программ посредством взаимодействия с драйверами или файлами.

Сочетание сотрудников криптовалютных бирж, занимающихся социальной инженерией, со встроенным вредоносным ПО в ссылки электронной почты (так называемые фишинговые атаки) также является потенциальной уязвимостью некоторых криптовалютных бирж.

Примечательно, что некоторые биржи предотвратили попытки взлома, которые использовали такой метод ранее в этом году, когда хакеры пытались получить доступ к электронной почте и паролям сотрудников с помощью фишингового вредоносного ПО. Тем не менее, ряд громких успешных взломов криптобирж показывает, как не все биржи так искусно применяли методы кибербезопасности.

Тот факт, что атаки фишинговых вредоносных программ могут не распространяться среди взломов бирж, не означает, что их следует игнорировать с точки зрения риска. Угрозы для криптобирж и пользователей, вероятно, станут более изощренными, поскольку меры безопасности адаптируются к разноплановым подходам.

Гибридные атаки требуют одновременных ответов на несколько дыр в безопасности, включая доверие к третьей стороне. Для пользователей никогда не гарантируется, что активы, хранящиеся на бирже, безопасны, поэтому вам следует принять необходимые меры, чтобы избежать этого.

Вот здесь на помощь приходят аппаратные кошельки: не доверяйте, проверяйте.

Аппаратные кошельки снижают риски

Аппаратные кошельки

предотвращают подобные атаки вредоносного ПО, создавая дополнительный барьер для вывода криптовалютных средств из вашего кошелька. Активы пользователя не могут быть отправлены с устройства Ledger, если пользователь физически не подключит устройство к компьютеру и не проверит транзакцию как на компьютере , так и на устройстве .Если вредоносное ПО контролирует ваше устройство, оно не может управлять вашим кошельком Ledger, даже если оно подключено к компьютеру.

Аппаратные кошельки защищают сид от программных и физических атак. Вредоносная программа, установленная на смартфоне, не может получить начальные данные, хранящиеся в аппаратном кошельке.

Важно помнить: если адреса на компьютере / телефоне и аппаратном устройстве не совпадают, возможно, у вас была попытка взлома. Ваш аппаратный кошелек показывает вам истинные данные о транзакции, которую вы собираетесь отправить.Физическое оборудование значительно труднее взломать, чем ваш компьютер, который уязвим для капризов общедоступного Интернета.

В сочетании с протоколами 2-FA и множественной подписи на биржах, «холодное хранилище», использующее аппаратные кошельки, является самым популярным методом хранения огромного количества обменных и кастодиальных резервов по определенной причине. Это также должен быть выбор осмотрительного инвестора.

Аппаратные устройства защищают от физического и цифрового взлома — другие варианты хранения не обеспечивают таких мер безопасности.

хакеров взламывают учетную запись Facebook, используя URL-адрес в Интернете: Cybersecurity

Интернет — это обширное и интересное место, где вы можете подключиться и поделиться им за секунды. Есть ли у вас люди, с которыми вы хотите поговорить через границу? Без проблем, один текст, один пост, одно видео, и вот вы на связи. Вы можете делиться своим распорядком дня, вместе играть в игры и делать много вещей, просто используя Интернет и социальные сети. Это то, что поражает детей и подростков.Они фантазируют о том, что делают все, что могут, в любое время в социальных сетях. Они не осознают, что с этим связано множество опасностей.

Онлайн-опасности — это уже не шутки; существуют реальные угрозы, из-за которых люди даже погибают, особенно когда речь идет о уязвимых подростках. В наши дни хакеры в моде, и вопросы кибербезопасности приобрели новую форму. Теперь хакеры могут даже взломать учетную запись Facebook, используя URL-адрес в Интернете, и это опасно для всех, кто использует Facebook.Кроме того, существует не менее опасный способ взлома Facebook Messenger. Дети не узнают об этом раньше, чем это произойдет. Вот почему родители должны предпринять несколько шагов для обеспечения кибербезопасности себя и своих детей.

Советы родителям по обеспечению безопасности своих детей в Интернете

Не было бы лучше, если бы вы уже знали о возможных угрозах, которые могут возникнуть на вашем пути, и были бы готовы к этому? Да, это было бы здорово, и есть способы сделать это возможным. Вы можете предпринять несколько шагов, чтобы убедиться, что ваши дети в безопасности в Интернете и их не поймают хакеры.Вот подсказки:

· Изменить настройки конфиденциальности в социальных сетях

По умолчанию большинство платформ социальных сетей не заботятся о сокрытии личной информации пользователей. Все, что люди публикуют или которыми делятся, видно всему миру, включая дни рождения, номера телефонов и даже адреса. Поэтому вместо того, чтобы надеяться, что социальные сети не будут делиться вашей информацией, скажите своим детям, чтобы они не вводили такую подробную информацию в их учетных записях в социальных сетях. В этом нет необходимости, и они должны знать, что не всякая информация предназначена для обнародования.Вы можете вместе с ними ознакомиться с их политикой конфиденциальности, чтобы убедиться, что они все делают правильно.

· Расскажите им об опасных сообщениях

Все, что ваш ребенок публикует в сети и чем он делится, может быть опубликовано и использовано другими людьми по любой причине. На вашу учетную запись могут быть не те глаза, которые ждут, когда ваши сообщения будут использовать ваши сообщения для оскорбления. Так что лучше научить их этому, чем говорить что-либо в Интернете. Скажите им, что они не должны все, что приходит им в голову, они должны подумать об этом сотни раз, потому что это будет публично и любой может использовать это в любых злых целях.По этим причинам дети подвергаются киберзапугиванию. Но их нужно поощрять к разговору с вами на любом этапе.

· Защита от кражи личных данных

Если вы разрешили им совершать покупки в Интернете, вы должны сообщить им о проблемах с кражей личных данных. Когда они используют информацию о кредитной карте, они должны знать, как хакеры могут получить к ним доступ. Они должны следить за своим онлайн-банкингом, чтобы видеть, не совершаются ли какие-либо несанкционированные покупки на их имена и карты. Напомните им, что они никогда не должны делиться этой информацией с незнакомцами, поскольку такой обмен информацией может стоить им больше.

· Остерегайтесь мошенничества

Ну, мы всегда учим наших детей не брать конфеты у незнакомцев, то же самое и с онлайн-мошенниками. Они будут сталкиваться с множеством блестящих предложений и заманчивой рекламы, но это все жульничество. Дети этого не понимают, и они даже не успевают щелкнуть по нему, а потом обнаруживают, что предаются мошенничеству. С помощью этой рекламы мошенники пытаются украсть информацию детей и использовать ее для своей защиты. Эти хакеры пытаются обмануть детей разными способами, потому что они знают тактику, как добраться до детей в наши дни.Так что учите своих детей этим вещам.

· Подписывайтесь на них в социальных сетях

Если вы оставили их в социальных сетях для самостоятельного изучения, вы глубоко ошибаетесь. Вы должны следить за ними на всех платформах социальных сетей, которые они используют, чтобы вы могли видеть, что они публикуют, как они себя ведут. Кроме того, это заставляет их поверить, что вы с ними на каждой платформе и что вы не из какого-то отсталого поколения. Как только они узнают, что вы с ними в социальных сетях, вы сможете открыто говорить с ними о вещах, которые не соответствуют их учетным записям.

· Установить программу родительского контроля

Да, очень необходимо использовать программное обеспечение для родительского контроля, чтобы контролировать их действия. Существует множество серьезных угроз, которые невозможно отследить, просто взглянув на их учетные записи. Использование хорошего приложения для родительского контроля, такого как SecureTeen, может очень помочь вам в обеспечении безопасности детей даже от хакеров, которые взламывают учетную запись Facebook с помощью URL-адреса в Интернете. Вы можете легко следить за этими вещами и лучше общаться со своими детьми. Таким образом, использование приложения для родительского контроля никоим образом не вредит ни детям, ни вам самим, а открывает путь к безопасности.

· Общайтесь с ними

Ключ к лучшему пониманию своих действий и инстинктов — поговорить с ними. Вы не можете просто навязывать им правила и думать, что они будут следовать и понимать причины. Вы должны общаться с ними так, чтобы они чувствовали себя важными и ценными. Они должны думать, что вы уважаете их право высказывать свое мнение и делаете все возможное для их безопасности. Так дети узнают, что они могут прийти к вам, когда им покажется, что у них проблемы.

Вот полное руководство по кибербезопасности для родителей, чтобы узнать и узнать, как обезопасить своих детей. Не забудьте взять их на борт, если начнете волноваться.

Настройте ссылку для регистрации

Хотите, чтобы людям было еще проще найти вашу подписку? Ты можешь! Мы повысили популярность игры за регистрацию, предоставив вам возможность создавать индивидуальные сокращенные ссылки.

Как подписчик Platinum или Enterprise, вы можете настроить имя URL-адреса для регистрации в соответствии с брендом вашей организации или любым названием, которое вы предпочитаете.Более короткую уникальную ссылку легче запомнить , а проще продвигать — настоящий беспроигрышный вариант!

Используйте специальные ссылки для регистрации на:

Создайте запоминающиеся ссылки для подписки, чтобы включить их в печатный информационный бюллетень или бюллетень.
Настройте ссылки в соответствии с названием, брендом или целью вашей организации.
Создайте ссылки, соответствующие названию вашего мероприятия.
Создайте короткую ссылку, которую легко скопировать или использовать, когда количество символов ограничено.

Создание настраиваемой ссылки

Начните с создания вашей регистрации.После того, как вы опубликуете регистрацию, вы увидите возможность создать настраиваемую ссылку или создать короткую ссылку на вкладке «Поделиться».

Когда вы выбираете вариант создания настраиваемой ссылки, вы можете ввести настраиваемый текст в конце URL-адреса. Имейте в виду, что вы ограничены 50 символами.

Затем мы проверим доступность, чтобы убедиться, что ссылка уникальна. Например, если вы введете «доброволец» в качестве последней части ссылки, возможно, эта ссылка уже используется.

Genius Tip: Если вы создаете настраиваемую ссылку для определенной подписки, вы можете связать другие подписки с помощью нашей функции вкладок. Таким образом, ваши участники могут использовать памятную ссылку, чтобы найти все регистрации, связанные с вашей организацией.

Создание сокращенного URL-адреса

Если вы выберете вариант создания короткой ссылки, система назначит и сгенерирует короткую версию вашей ссылки для регистрации.

Это может быть полезно, если вам нужна ссылка, которая не занимает много места, например, в информационном бюллетене или в слайд-шоу.Люди могут легко записать ссылку или набрать ее на своем телефоне.

После создания настраиваемой ссылки или короткого URL-адреса вы готовы опубликовать и поделиться своей подпиской. Имейте в виду, что вы всегда можете пригласить людей прямо с нашего сайта. Используйте новую ссылку на:

Поделиться из собственной почтовой программы
Вставить в информационный бюллетень
Проект в презентации
Разместить на доске объявлений

Это так просто! Наличие уникальной ссылки — это настоящий поворотный момент, который понравится вам и членам вашей группы.Дайте ему кружиться сегодня.

Зарегистрироваться

«PlugWalkJoe» арестовано в связи со взломом в 2020 году известных аккаунтов Twitter

Джозеф О’Коннор, 22-летний гражданин Великобритании, известный под ником PlugWalkJoe, был арестован в Испании в среду за его причастность к хакерской атаке на Твиттер 2020 года, которая скомпрометировала аккаунты бывшего президента Барака Обамы и Илона Маска. и сбежал с более чем 100000 долларов в биткойнах. В пресс-релизе, объявляющем об аресте, Министерство юстиции США пишет, что О’Коннору также предъявлено обвинение в «компьютерных вторжениях, связанных с захватом учетных записей пользователей TikTok и Snapchat.”

О’Коннор был арестован по нескольким пунктам обвинения в сговоре с компьютерами и незаконном доступе к ним без разрешения, а также «с намерением вымогать у человека ценную вещь, передавая сообщение, содержащее угрозу», среди ряда других обвинений, Министерство юстиции пишет. Согласно Krebs on Security , О’Коннор был хорошо известным средством обмена сим-кодами — методом взлома ценных аккаунтов в социальных сетях путем манипулирования сотрудниками сотовой сети с целью дублирования телефонных номеров, чтобы хакеры могли перехватывать запросы двухфакторной авторизации.

«Они могут прийти и арестовать меня. Я бы посмеялся над ними. Я ничего не сделал ».

В интервью для газеты The New York Times , проведенном с несколькими хакерами, связанными со взломом Twitter, О’Коннор открыто назвал себя «PlugWalkJoe» и подтвердил, что хакеры получили учетные данные Twitter для захвата учетных записей через внутренняя компания Slack. В то время О’Коннор был довольно оптимистичен в отношении своего участия и очевидной безопасности: «Они могут прийти и арестовать меня.