Klaudziush

В своей работе часто сталкиваюсь с борьбой со спамом и отношусь ко всем письмам, как «потенциально опасные». Сегодняшний случай показался мне довольно интересным. Он не связан с рассылкой мошеннических писем, а связан с тем, что пользователи часто ошибаются при вводе своего адреса для регистрации на интернет-ресурсах. Что из этого получается и как рушиться судьба человека в этой статье.

Для простоты восприятия информацию и действия публикую в хронологическом порядке.

16:54

Некая Клавдия Олександривна зарегистрировалась на сайте CreditPlus с целью получения кредита. Для регистрации она указала мой электронный адрес ******@yandex.ru (а мой он уже более 10 лет) и всячески верифицирован.

17:22

Получен отказ в получении кредита.

Решение об отказе принято на основании совокупности факторов. Наиболее весомые факторы: ваша кредитная история и достоверность указанных данных.

То есть компания заподозрила в том, что их пытаются обмануть и что-то предоставили «левое». Что ж, молодцы.

Но наша героиня не сдается и…

17:32

Компания БыстроЗайм присылает мне новую серию писем. Видимо уж очень нужны деньги человеку.

17:51

Компания выпускает кредитную карту и добавляет ее в систему! И теперь, чтобы стать миллионером нужно просто авторизоваться и выбрать нужную сумму.

17:54

Чтобы продолжить оформление заявки на займ нашей заявительнице предложили ответить на встречное предложение (counter-offer). Что там было я не знаю, но…

17:54

В это же самое время мне приходит новое письмо. Запрашивала наша героиня 5000 гривен, а получить может лишь 2600 гривен.

18:04 и 18:30 (один скрин, второй такой же)

Соискательница легких денег все-таки добавила мой адрес себе в личный кабинет, но так как почта моя она не смогла перейти по ссылке и получить денюжку.

В чем мораль сей истории.

Дело в том, что, совершая такие ошибки человек может передать свои личный данные посторонним людям. Мне ничто не мешало (кроме профессиональной этики специалиста по ИБ) зайти в ее личные кабинеты и скачать всю информацию себе на компьютер.

Второе, что бросилось в глаза это то, что женщина по всей видимости находится или проживает в(на) Украине, а регистрируется на почтовые сервис России (мало того, что Яндекс заблокирован в этой стране, так и домен при регистрации указывала .ru). А почта ходит как родная (наверное пользуется VPN или прокси-серверы ну или TOR как вариант).

Пожалуйста, не совершайте таких ошибок, как эта женщина. Внимательно относитесь к информации, которую вы указываете при регистрации.

(как продолжение поста Apple+FBI. Дружба на века)

Производитель инструментов для проведения судебно-криминалистической экспертизы компания Cellebrite выпустила новый инструмент, которым может воспользоваться ФБР для разблокировки iPhone террориста, устроившего стрельбу на военной авиабазе в Пенсаколе (Флорида, США) в декабре прошлого года.

Для взлома iPhone стрелка ФБР может обратиться к соответствующему инструменту от Cellebrite, сообщает South China Morning Post. Компания как раз обновила свой программный продукт UFED Physical Analyser, предназначенный для извлечения и анализа данных с некоторых моделей iPhone.

«Впервые обилие ранее неиспользовавшихся данных с iOS-устройств сможет изменить ход расследования. Это обновление позволяет быстро выполнять временный джейлбрейк и полностью извлекать файловую систему в рамках одного оптимизированного рабочего процесса»

- сообщил вице-президент по исследованиям безопасности Cellebrite в электронном письме, разосланном клиентам компании во вторник, 14 января.

Инструмент использует эксплоит Checkm8, предоставляющий доступ к чипам iPhone, выпущенных в 2011-2017 гг. Как сообщает Cellebrite, он может взламывать iPhone, начиная с iPhone 5s 2013 года выпуска и заканчивая iPhone X 2017 года выпуска.

Источник

- - -

Мои пять копеек:

Вам не кажется странным то, что на рынке существуют огромное количество компаний, который ежегодно выпускают устройства для взлома телефона. Каждый год эти компании совершенствуют свои методы взлома, используя уязвимости которые до сих пор остаются неисправленными, а Apple НИ РАЗУ не обратилась в суд за защитой своих прав и прав пользователей?

По моему кому-то с**ть на вас, на вашу безопасность, но не плевать на ваши кошельки.

P.S. баянометр показал, что мой пост на 35% схож на этот пост.

Норвежские специалисты из Norwegian Consumer Council (NCC) подготовили отчет, в котором сообщают неутешительную информацию: избежать сбора данных, которые затем используют для таргетирования рекламы (и, вероятно, не только для этого), пользователи вряд ли смогут. Эффективный способ обезопасить себя — не пользоваться смартфонами.

В остальных случаях придется мириться с тем, что мобильные приложения активно «сливают» пользовательские данные третьим сторонам, не уведомляя об этом очевидно. Большинство протестированных специалистами приложений также не предоставляют возможность сократить объемы информации, которую программы отправляют «на сторону» (как известным рекламным платформам — Facebook, Google и Twitter, так и тем, о которых вы слыхом не слыхивали).

В исследовании положение вещей называют «рекламной слежкой», а возникшую ситуацию с тотальным сбором данных — вышедшей из-под контроля, вредящей потребителю, обществу и бизнесу. Эксперты указывают на серьезные нарушения прав, которые «происходят со скоростью миллиард раз в секунду».

Оказалось, что данные GPS снимают не только навигаторы, но, например, приложения-фильтры для фотографий, календари менструальных циклов, «сканеры настроения» и так далее. Даже откровенно детские приложения могут отправлять пользовательские данные сразу десятку заинтересованных сторон. Многие приложения делают это в обход общепринятых правил и требований, в том числе GDPR, либо действуют откровенно нарушая их.

В NCC считают необходимым обратить внимание на проблему со стороны регулирующих органов разных стран.

Onliner.by

Подрядчики, занимавшиеся анализом образцов речи, получали доступ к записям разговоров без какой-либо проверки.

В течение нескольких лет Microsoft прослушивала и обрабатывала голоса пользователей Skype и Cortana без каких-либо мер безопасности. Об этом изданию The Guardian рассказал бывший подрядчик компании, в течение двух лет занимавшийся обработкой голосов пользователей с помощью личного ноутбука у себя дома в Пекине.

По словам подрядчика, работники получали доступ к записям команд голосовому помощнику Cortana и некоторых телефонных звонков в Skype через web-приложение, запущенное в браузере Google Chrome на их персональных ноутбуках с использованием китайского интернета. При этом им не оказывалась никакая помощь по защите данных от вмешательства киберпреступников или правительств. Более того, согласно инструкциям от Microsoft, для большего удобства у всех работников был один и тот же пароль, а проверка благонадежности самих работников и вовсе отсутствовала.

«Я анализировал записи на британском английском языке (я британец), поэтому прослушивал людей, установивших в настройках своих устройств Microsoft британский английский, и имел доступ к ним через свой домашний ноутбук с помощью одного лишь пароля»,

– сообщил бывший работник, занимавшийся анализом образцов речи пользователей. Свой логин и пароль он получил от Microsoft по электронной почте в незашифрованном виде, причем логин был очень простым, а пароль – одним для всех.

Впервые о прослушке разговоров, ведущихся через переводчик в Skype, стало известно в августе прошлого года. Как сообщалось, приложение Skype собирало и использовало записи разговоров пользователей для улучшения продуктов Microsoft, а также для развития технологии перевода и распознавания речи.

Согласно заявлению Microsoft, с тех пор компания закрыла программу обработки речи пользователей Skype и Cortana для Xbox, и перевела остальных сотрудников, занимающихся анализом образцов речи, в защищенные офисы, расположенные за пределами Китая.

Источник