Сообщество - Информационная безопасность
Информационная безопасность
843 поста 18 224 подписчика
1597

Как воруют баллы в «Перекрестке»

Здесь не будет очередной жалобы на то, что украли баллы с карты. Но будет рассказ о том, как их воруют. Пост публикуется с целью привлечь внимание магазина к проблеме, на которую они старательно закрывают глаза уже несколько лет.


Как и любая сеть магазинов, «Перекресток» имеет свои пластиковые карты, которые может купить любой покупатель за двадцатку деревянных. На эту карту будут начисляться баллы с каждой покупки. Чем больше закупитесь, тем больше баллов начисляется. Когда накопится достаточное количество баллов, вы можете приобрести любые продукты в счет этих баллов (кроме сигарет и спиртного). Курс обмена: 10 баллов = 1 рубль. Подходим к сути. У «Перекрестка» есть веб-сайт. По системе/задумке «Перекрестка» вы должны купить карту и зарегистрировать ее на сайте, чтобы получить доступ в личный кабинет и совершать покупки онлайн, следить за операциями и т.д. Но что вы получаете на кассе? Пластиковую карту с 16-значным номером, которая уже активна.


А теперь зайдём на страницу регистрации карты. Выглядит она так:

Как воруют баллы в «Перекрестке» Перекресток, Бонусные баллы, Бонусы, Взлом, Длиннопост

Okay. Введем номер карты, что потом?

Как воруют баллы в «Перекрестке» Перекресток, Бонусные баллы, Бонусы, Взлом, Длиннопост

Wow. Введем номер, что потом?

Как воруют баллы в «Перекрестке» Перекресток, Бонусные баллы, Бонусы, Взлом, Длиннопост

Мы входим в личный кабинет, к которому привязывается данная карта. Теперь она полностью под нашим контролем. То есть, мы можем установить официальное приложение на Android/iPhone и генерировать штрих-код, которым можно расплачиваться на кассе.


Но постойте! А что, если мы введем номер не своей карты, а номер телефона свой? Чужая карта привяжется к вашему номеру! Аплодирую «Перекрестку!»



Техническая часть


Что же, мы можем взять номер любой карты перекрестка (с этого момента «перекресток» будет с маленькой буквы), зарегистрировать ее на свой номер.


Важно знать, что на один номер можно зарегистрировать аж 5 карт (правило магазина). И все баллы с этих 5 карт суммируются в одну. Важно знать, что номер карты состоит из 16 цифр. Возьмем, для примера, номер 7790 9977 0000 0000. Пусть эта карта будет ваша. Как найти другие? Система следующая: надо прибавить +8 к этому числу. Это и есть номер карты другого человека. Но важно знать, что в одном десятке не может быть больше 1 карты (в комментариях подсказали, что последняя цифра — контрольная (как в банковских картах), используется алгоритм Луна. Поэтому в одном десятке и не может быть больше одной карты). В таком случае, следует прибавить +10, чтобы перейти на десяток выше.


И так. у вас карта 7790 9977 0000 0000. Следующая: 7790 9977 0000 0008 (+8).


Но в одном десятке не может быть 2 карты, значит еще +10. Итог: 7790 9977 0000 0018 (+10)


Следующая +8: 7790 9977 0000 0026 (+8)


И т.д., но с наступлением полусотни, счетчик сбрасывается и вам надо подбирать действующий номер уже вручную. Все просто — вводим номер карты с *1 до *9, пока сайт не предложит нам ввести номер телефона.


С этим разобрались. Дальше!



Хакерская часть


Сразу к делу. Выставляем на сайте «Москву и Московскую область», или же «Питер».

Как воруют баллы в «Перекрестке» Перекресток, Бонусные баллы, Бонусы, Взлом, Длиннопост

Это позволит нам получить доступ в личный кабинет интернет-магазина. Зарегистрировавшись и войдя в кабинет, мы перейдем во вкладку «добавление карты»:

Как воруют баллы в «Перекрестке» Перекресток, Бонусные баллы, Бонусы, Взлом, Длиннопост

Этот очень удобный инструмент перекресток сделал специально для хакера. Здесь мы можем проверить номер карты на валидность. Вставляем номер и перекресток через json выдает нам «true» или «false». Ну, вы поняли. Можно даже брут написать. У меня выходило около 1000 валидных карт в час.

Следствия


Все хорошо, но если у меня один телефон, одна сим-карта. Как мне зарегистрировать другие карты? Ответ прост. Идем на платный сервис, где можем покупать номера, на которые будем принимать смс с кодом подтверждения. Таких сервисов довольно много. Один номер, в целом, стоит 2–4 рубля. А баланс на картах может превышать 10000 баллов — более тысячи рублей. Так что, это целесообразно.


Это не призыв к взлому. Это «инструкция к ограблению банка». Врываться и грабить банк никто, конечно же, не будет, но те, кто это сделают, ответят перед законом.



Выводы


Экспериментальным путем было «сбручено» около 500 карт. Баланс варьировался от 50 до 1500 р.

Экспериментально также было проверено на практике. Был поход в магазин, где была произведена закупка на чужую карту. Чужая карта принадлежала моему знакомому, который был в курсе, но я знал лишь номер карты, которая впоследствии была зарегистрирована на мой виртуальный номер и присвоена мне. Приложу чек:

Как воруют баллы в «Перекрестке» Перекресток, Бонусные баллы, Бонусы, Взлом, Длиннопост

Были попытки связаться с службой поддержки. Слал письма 2 недели. В теме письма ставил «очень важно, вы взломаны». Странно, но не было ответа. Быть может, не восприняли всерьёз. Ну да ладно. Все, что описано выше, не так уж и серьёзно. Просто обкрадываем покупателей, тратим их деньги и кормим свою семью.


А на этом пока все. Статья не полная, — были намеренно скрыты технические аспекты, дабы избежать массового взлома.


Статья взята с Хабра: https://habr.com/post/427905/

Показать полностью 5
2861

Как ускорить Firefox в 7 раз - (проверено лично на 3-х машинах)

Как ускорить Firefox в 7 раз   -  (проверено лично на 3-х машинах) Mozila Firefox, Firefox, Браузер, Ускорение

Как ускорить Firefox в 7 раз


В версии Firefox 48 появился режим Electrolysis, который позволяет работать с каждой вкладкой как с отдельным процессом. Это значительно повышает безопасность работы в сети и приводит к ускорению прорисовки страниц до 700%. По умолчанию режим пока выключен. Как включить?


1. Обновите Firefox, если он у вас по каким-то причинам не настроен на автоматические апдейты.

2. Убедитесь, что у вас версия Firefox 48 или выше (Меню → Справка → О Mozilla Firefox).

3. В адресной строке впишите about:config.

4. В строку поиска скопипастите browser.tabs.remote.autostart и измените значение с false на true (двойной щелчок).

5. В строку поиска скопипастите extensions.e10sBlockedByAddons и измените значение с true на false (двойной щелчок).

6. В строку поиска скопипастите extensions.e10sBlocksEnabling и измените значение с true на false (двойной щелчок).

7. Перзапустите Firefox.


По заверениям разработчиков Mozilla Firefox, активация Electrolysis ускорит рендеринг web-страниц за счет более эффективного использования многоядерных процессоров. Если раньше каждая вкладка обрабатывалась в одном процессе в разных потоках — использовалось только 1 ядро, — то теперь нагрузка будет распределена более равномерно и вкладки начнут обрабатываться параллельно.


Пользователи подтвердили, что ускорение Firefox после проделанной манипуляции заметно невооруженным глазом, даже без всяких синтетических бенчмарков. Кроме ускорения, пользователи отмечают, что страницы стали прорисовываться и прокручиваться более плавно.

1363

С августа Firefox будет блокировать невидимый Flash-контент

Мера призвана защитить пользователей от загрузки сомнительных web-страниц, содержащих вредоносные Flash-файлы.
С августа Firefox будет блокировать невидимый Flash-контент Firefox, Flash, Блокировка, Сайт, Невидимый контент, Браузер, HTML 5

Начиная с августа текущего года интернет-обозреватель Firefox начнет автоматически блокировать некоторые виды Flash-контента, невидимые при загрузке страницы, сообщили разработчики из компании Mozilla. Данная мера призвана защитить пользователей от загрузки сомнительных web-страниц, содержащих вредоносные Flash-файлы. Кроме прочего, блокировка Flash в Firefox дополнительно сократит число специфичных для Flash-контента крахов и зависаний на 10%.

По словам разработчиков, браузер также будет автоматически блокировать внедряемые рекламодателями Flash-скрипты, применяющиеся для того, чтобы пользователь не смог заблокировать или проигнорировать рекламу.


Блокировка является последним подготовительным этапом перед реализацией инициативы по полному отказу от использования Flash в пользу HTML 5 и других стандартных технологий. В следующем году Firefox начнет по умолчанию блокировать весь Flash-контент. Для его просмотра потребуется соответствующее подтверждение пользователя.


В минувшем мае Google также заявила о намерении отказаться от Flash Player в пользу HTML 5. Переход должен завершиться до конца текущего года. Опция «HTML 5 by Default» будет включена по умолчанию, а для проигрывания Flash-контента потребуется ручная активация плагина, хотя Flash Player будет по-прежнему поставляться с браузером.

http://www.securitylab.ru/news/483167.php

1607

Вирус-рекламщик goac gocloudly

Всем доброго дня! Столкнулся с вирусов goac который открывает лишние вкладки с рекламой, прочитал кучу форумов, облазил интернет в поисках помощи удалить его, испробовал кучу антивирусных продуктов разных компаний, но вирус никуда не уходил. Оказалось всё намного проще, эта сволочь записалась в прошивку роутера и указывала левые DNS сервера с которых и кидала редирект. Сброс и перепрошивка роутера, финальный сброс всех настроек браузера и всё чисто. Картинок нет, задача была прибить сволочь. Буду очень рад если этой информацией помогу другим.

3843

Создатель интернета задумал новый проект. Это будет нечто.

Создатель интернета задумал новый проект. Это будет нечто. Интернет, Шифрование, Безопасность, Интересное, IT

Тим Бернерс-Ли, считающийся одним из «отцов» современного интернета, собирается запустить новый проект. Он трудится над ним вместе с командой единомышленников уже более девяти месяцев.


Проект называется Solid, а его цель — постепенное создание децентрализованной сети, которая должна уничтожить монополию крупных интернет-компаний. На основе Solid разработчики смогут создавать приложения, работающие в связке, но независимо друг от друга и от всей платформы.


Одной из самых главных проблем современного интернета Бернерс-Ли считает утрату пользователями контроля над своими личными данными. Отличие платформы Solid от нынешнего интернета заключается в том, что пользователю будет предоставлен полный контроль над всеми его данными в любых приложениях. Благодаря этому, человек может удалиться из любых сервисов, не оставив в них ничего.


Бернерс-Ли продемонстрировал изданию Fast Company скриншоты одного из приложений, созданных на базе Solid. Это гибрид почтового клиента, облачного хранилища, мессенджера, музыкального сервиса и менеджера задач. Он создал это приложение для собственного пользования, но готов в скором времени поделиться им с другими людьми.

Создатель интернета задумал новый проект. Это будет нечто. Интернет, Шифрование, Безопасность, Интересное, IT

Бернерс-Ли также работает над децентрализованной версией голосового ассистента Alexa, этот проект называется Charlie. В отличие от Alexa, Charlie предоставляет пользователям возможность хранить свои собственные данные и не зависеть от информации из интернета.


Тим Бернерс-Ли является главой Консорциума Всемирной паутины. В марте 2019 года он опубликовал открытое письмо, посвящённое 28-летию с момента запуска интернета. В нём он рассказал, что, по его мнению, крупные интернет-компании монополизировали рынок и не дают развиваться небольшим проектам. Он также выразил надежду на то, что пользователи осознают, что именно от них зависит, каким будет интернет и интернет-сервисы в будущем. Пользователи формируют спрос на различные услуги и вправе не принимать те условия, с которыми они не согласны, делая выбор в пользу сервисов, которые прислушиваются к их желаниям и учитывают их интересы.


До недавнего времени Бернерс-Ли работал в Массачусетском технологическом институте, а теперь он трудится в собственной компании Inrupt. Помимо него в этом проекте задействовано ещё несколько людей, хорошо известных в ИТ-индустрии, а также программисты-волонтёры. Бернерс-Ли собирается привлечь финансирование от инвесторов, и хотя заработок его не особо интересует, платформа Solid может оказать сильное влияние на рынок и пошатнуть позиции компаний, которые стоят миллиарды долларов.


Мой телеграмм https://teleg.run/deepernetwork_news

Показать полностью
1665

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью

Источник - Хабрахабр


На волне новостей чип-апокалипсиса 2018 года, когда взломано почти всё, а сайты мировых брендов, сами того не подозревая, майнят в наших браузерах криптовалюту, мы решили покуситься на святая святых и взломать документы, подписанные усиленной квалифицированной электронной подписью. И вот что из этого вышло.

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт
Как известно, усиленная квалифицированная электронная подпись (ЭП) позволяет определить лицо, подписавшее документ, и обнаружить факт внесения изменений в документе (см. ст. 5, п. 3 Федерального закона № 63 «Об электронной подписи»). Алгоритм генерации коллизий хеш-функции в этот раз нам не понадобится. Для взлома надо найти способы внесения изменений в электронный документ после его подписания, так, чтобы эти изменения не были обнаружены при проверке ЭП. Начнём.


Сценарий с документом DWG, вектор атаки — внешние ссылки



Здесь и далее предполагается, что в системе уже установлен сертификат квалифицированной электронной подписи:


Создаём документ HVAC.dwg, который ссылается на файл nothing.dwg, расположенный на шаре в локальной сети предприятия. Файл nothing.dwg содержит выноски на оборудование Поставщика А;


Отправляем HVAC.dwg на согласование ответственному лицу;


С помощью программы «Autodesk→AutoCAD→Добавление цифровых подписей» ответственное лицо подписывает HVAC.dwg. Теперь это электронный подлинник:

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт

Реализуем атаку:


Нужно заменить оборудование Поставщика А на оборудование Поставщика Б изменением nothing.dwg, расположенного на сетевом ресурсе;


Отдел снабжения получает электронный подлинник HVAC.dwg, руководитель отдела проверяет целостность электронной подписи, она не нарушена, а AutoCAD развеивает последнюю тень сомнения успокаивающей надписью «Чертеж не изменился с момента подписания», поэтому вместо Поставщика А заказ на оборудование уходит к Поставщику Б

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт

Сценарий с документом DOC/DOCX, вектор атаки — шрифт



В этот раз будем использовать наиболее продвинутый комплекс защиты информации КриптоПро CSP 4.0, соответствующий стандарту ГОСТ Р 34.10-2012:


Создаём приказ о премировании сотрудников prikaz.docx. Основной текст набираем шрифтом Arial. Для размера премии используем похожий шрифт, например, бесплатный Noto Sans Regular от Google. Вводим согласованный с директором размер премии 150 000 руб.;


Устанавливаем шрифт Noto Sans Regular на компьютер директору и бухгалтеру (понадобятся права администратора);


Отправляем приказ на подпись директору;


Директор подписывает prikaz.docx усиленной квалифицированной ЭП с помощью КриптоПро Office Signature 2.0. Получаем электронный подлинник:

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт

Реализуем атаку:


С помощью бесплатной программы FontForge модифицируем файл шрифта NotoSans-Regular.ttf, заменив векторное изображение глифа 1 на изображение глифа 2

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт

Модифицированный NotoSans-Regular.ttf файл заменяем на компьютере бухгалтера [и ждём премию];


Получив подписанный директором подлинник приказа, бухгалтер открывает его и видит действительную подпись. Но размер премии увеличился со 150 000 руб. до 250 000 руб. Здесь важно знать меру, можно было заменить 1 на 9, но это будет слишком заметно.

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт

Это эффективные, но не единственные способы атаки. Есть еще макросы, вычисляемые значения полей, стили. Не защитит от них ни использование системы управления данными (PDM), ни откреплённые подписи, ни применение специализированных криптографических комплексов типа КриптоПро CSP.


Как же обеспечить защиту от такого рода атак? Самый эффективный способ — публиковать документы в нередактируемый формат или формат фиксированной разметки. Эти форматы нацелены на сохранение первоначального вида документа на любом устройстве, в любой точке мира. Вот наиболее распространённые представители форматов фиксированной разметки:


PDF (Portable Document Format) — разработан компанией Adobe. Стандарт ISO 32000;


XPS (XML Paper Specification) — разработан компанией Microsoft. Стандарт ECMA-388;


DWFx — разработан компанией Autodesk. Основан на XPS.


Но и здесь не всё так однозначно. Попробуем провести атаку через шрифт на подписанный PDF-документ:


Документ prikaz.docx опубликуем в PDF, например, с помощью виртуального принтера PDF-XChange. Полученный файл prikaz.pdf отправляем на подпись директору;


Директор открывает документ prikaz.pdf в программе Adobe Acrobat Reader DC;


Подписывает командой "Поставить цифровую подпись" в разделе "Сертификаты".


Подписанный PDF отправляется бухгалтеру.


Реализуем атаку:


Так же как и в сценарии с форматом DOCX устанавливаем бухгалтеру модифицированный шрифт NotoSans-Regular.ttf;


Получив подписанный prikaz.pdf, бухгалтер открывает его в Adobe Reader и видит размер премии 250 000 руб., целостность подписи при этом не нарушена

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт

Для PDF удалось реализовать данный вид атаки потому, что этот формат допускает использование шрифтов по ссылке, поэтому он не подходит для создания подлинников.Существует стандарт PDF/A (подмножество PDF), который обеспечивает необходимую защиту. Поэтому перед подписанием каждого PDF необходимо убедиться, что документ соответствует стандарту PDF/A или отсутствуют зависимости от шрифтов.


Форматы DWFx и XPS не подвержены такого рода атакам, так как на уровне стандарта ECMA-388 регламентируется хранение ресурсов внутри содержательной части документов (F.3.1 M2.6). Но DWFx не подходит для создания многостраничных текстовых документов, поэтому наиболее универсальным вариантом является XPS.


Попробуем по аналогии с PDF провести атаку через шрифт на подписанный XPS-документ:


Документ prikaz.docx опубликуем в XPS с помощью встроенного в Windows виртуального принтера Microsoft XPS Document Writer. Полученный файл prikaz.xps отправляем на подпись директору;


Директор открывает документ prikaz.xps в программе Pilot-ICE или в Pilot-XPS. Подписывает командой «Подписать» через КриптоПро CSP;


Подписанный XPS отправляется бухгалтеру.


Реализуем атаку:


Устанавливаем бухгалтеру модифицированный шрифт NotoSans-Regular.ttf;


Получив подписанный prikaz.xps, бухгалтер открывает его в Pilot-ICE, проверяет целостность ЭП и видит тот же размер премии, который был на момент подписания документа — 150 000 руб. Атака на XPS не удалась.

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью Эцп, Электронная подпись, Информационная безопасность, Уязвимость, Habr, Длиннопост, Шрифт

Итоги


Усиленная квалифицированная электронная подпись по прежнему является надёжной технологией для обнаружения факта внесения изменений в документ. Но следует комплексно оценивать эффективность её применения. Эксперимент показал, что редактируемые форматы DWG, DOC, DOCX не подходят для создания электронных подлинников, так как могут быть легко скомпрометированы. Более защищенными и универсальными для создания подлинников являются форматы PDF/А и XPS, так как они содержат всю необходимую информацию для того, чтобы каждый раз отображать документ в неизменном виде.


Дмитрий Поскребышев

Показать полностью 7
1979

Модераторы и администраторы , что это за реклама? За переход списывают деньги.

UPD

#comment_125015154

***

Модераторы и администраторы , что это за реклама? За переход списывают деньги. Обман, Реклама, Списание средств, Надоело, Админ

Уже который раз эта реклама в мобильном приложении мелькает. При переходе( была другая реклама, с , якобы, смешным роликом- не увидел сразу подвоха и перешел) списывает 30р и подписывает тебя на какие то тупые рассылки с видосами. Это же натуральная провокация. Просьба убрать подобную рекламу.
@admin, @moderator

1000

Больше 20 миллионов пользователей используют фальшивые блокировщики рекламы

По мотивам https://pikabu.ru/story/mayner_hanstrackr_v_prilozhenii_chro...

Один из сооснователей и разработчиков AdGuard, Андрей Мешков, опубликовал в блоге компании интересную запись. Он пишет, что из-за плохой модерации Chrome Web Store более 20 млн пользователей установили себе фальшивые блокировщики рекламы и фактически являются участниками ботнета.

Фальшивые блокировщики рекламы, равно как и подделки любых популярных аддонов и приложений, вовсе не редкость. К примеру, осенью 2017 года в официальном Chrome Web Store обнаружили поддельную версию Adblock Plus, которой пользовались порядка 37 000 человек.

Мешков рассказывает, что данная проблема не нова. Мошенники довольно давно размещают в Chrome Web Store клоны популярных блокировщиков (добавляя всего несколько строк собственного кода). В результате пользователи вполне могли установить что-то вроде Adguard Hardline или Adblock Plus Premium или другие имитации. Единственный возможный способ борьбы с подобными фейками — это обратиться к Google с жалобой о неправомерном использовании товарного знака. Удаление клона занимает несколько дней.

По данным AdGuard, в настоящее время ситуация стала хуже, а мошенники умнее. На скриншоте ниже приведены результаты поиска, содержащие подделки. К этим клонам злоумышленники добавили пару строк кода и аналитику, но также употребляют ключевые слова в описании расширений, чтобы оказаться первыми в результатах поиска.

Больше 20 миллионов пользователей используют фальшивые блокировщики рекламы Вирус, Расширение, Adblock, Фейк, Безопасность, Браузер, Длиннопост

Очевидно, что таких простых трюков и пребывания в топе достаточно для завоевания доверия случайных пользователей. К примеру, только у одной из подделок насчитывается более 10 миллионов пользователей.

Больше 20 миллионов пользователей используют фальшивые блокировщики рекламы Вирус, Расширение, Adblock, Фейк, Безопасность, Браузер, Длиннопост

Об исследовании кода можно прочитать тут:

https://blog.adguard.com/ru/bolshie-20-millionov-polzovatiel...

https://xakep.ru/2018/04/20/fake-adblockers/


Так что опасные расширения с именами:

AdRemover for Google Chrome™(10+ млн пользователей);

uBlock Plus(8+ млн пользователей);

Adblock Pro(2+ млн пользователей);

По сути почти все расширения со словом «AdRemover» и «Adblocker» являются потенциально опасными, так как эти ключевые слова используют злоумышленники для поднятия своих фейков в топ.

Так же обратите внимание на превьюшку расширения в Chrome Web Store (скрин 1). У поддельных расширений она зачастую без логотипа и нарисована "на коленке в парке под пивко".


Для того чтобы скачать официальный блокировщик:

AdBlock https://getadblock.com/

ABP  https://adblockplus.org/ru/

uBlock https://www.ublock.org/

AdGuard https://adguard.com/ru/adguard-browser-extension/overview.ht...


Это самое распространенное.

Берегите свои данные и себя!

Показать полностью 1
1015

Опасная сделка

Новый сервис – это новые возможности. В том числе и для злоумышленников, которые весьма оперативно отслеживают все новшества.


Вот, например, 6 мая Сбербанк запустил сервис «Безопасная сделка», предназначенный для обеспечения гарантии оплаты сделки ее участниками и защиты их прав. Техническим партнером банка выступила компания SafeCrow, не первый год специализирующаяся на оказании подобных услуг.


На сайте банка была создана соответствующая страница, личный кабинет сервиса располагается на отдельном домене - sb-sdelka.ru.


А ровно неделю спустя, 13 мая, в сети появился ресурс sberbank- service.******, мимикрирующий под вышеупомянутый сервис. Давайте сравним их.


Вот так выглядит страница сервиса на сайте Сбербанка.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

А вот так – на сайте злоумышленников.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

Ключевым элементом обеих страниц является кнопка «Создать сделку». Но если на сайте банка эта кнопка приводит нас в личный кабинет, в котором нам предлагают авторизоваться, используя номер телефона и код из СМС.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

То вредоносный ресурс без всяких пояснений просто предлагает ввести пароль.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

Что ж, стоит познакомиться с этим сайтом поближе.


Если оригинальный домен, используемый сервисом Сбербанка, был зарегистрирован компанией «SafeCrow» через RU-CENTER, то регистратором доменного имени SBERBANK-SERVICE.***** выступила американская компания «Network Solutions». При этом идентификатор страны в Whois указывает на Россию, а в поле регион значится RU-NVS, что судя по всему означает Новосибирск. В привязке к домену фигурирует почтовый адрес: sb.service.help@gmail.com.


Хостится сайт на платформе Wix. И не только хостится, ведь Wix – это прежде всего онлайн конструктор сайтов. Заглядываем в код страницы и сразу же видим: <meta name="generator" content="W*x.com Website Builder"/>. Похоже, что злоумышленники не стали заморачиваться и быстренько сколотили фишинговый сайт прямо в онлайн-билдере.


Это, кстати, отличает его от других подобных ресурсов. За последние несколько месяцев большая часть сайтов, предназначенных для обмана клиентов Сбербанка, или была сделана на чистом HTML с вкраплениями Java-скриптов, или использовала какие-то самописные движки. А тут даже картинки хостятся на https://static.w*xstatic.com/media.


Сайт имеет валидный SSL-сертификат, так что Google Chrome заботливо сообщает, что ресурсу можно доверить все самое сокровенное.

Опасная сделка Информационная безопасность, Фишинг, Банк, Длиннопост

Анализ кода страницы не приносит особых результатов. Сплошной мусор и Java-скрипты, доставшиеся от Wix. На сайте присутствует тег google-site-verification и скрипт Google Analytics, что, впрочем, уже давно не редкость даже для фишинговых ресурсов. Изучать целевую аудиторию хотят все.


Верхняя область сайта и футер более-менее точно скопированы с сайта банка, однако, фишинговый ресурс потерял возможность полноценного масштабирования и утратил оригинальные шрифты. Изменениям подверглось и верхнее меню. Часть ссылок в нем введет на сайт Сбербанка, но количество и наименование кнопок отличается от оригинального, а кнопки «Главная», «Лицензия» и «Сделка» ссылаются на элементы фишингового ресурса. В разделе «Лицензия» размещена таблица с реквизитами Сбербанка и ссылка на pdf-файл со сканом генеральной лицензии ЦБ, который лежит на docs.w*xstatic.com. Картинка на главной странице взята с фотостока Istock.


Вывод.

В своем нынешнем виде сайт может использоваться в качестве одного из элементов криминальной схемы. Форма ввода пароля, отсутствие логина и регистрации позволяют предположить, что жертва, попавшая на сайт, уже будет иметь готовый пароль, переданный злоумышленниками, то есть без социальной инженерии здесь явно не обойдется.

Несмотря на то, что на данный момент не представляется возможным изучить все детали мошеннической схемы, сайт уже сейчас может представлять угрозу, ведь он явно предназначен для введения в заблуждение клиентов банка.


Мы проинформировали ПАО «Сбербанк» и компанию «Сэйфкроу» о выявленной угрозе и надеемся, что фишинговый ресурс прекратит свое существование еще до появления первых жертв.

Показать полностью 4
1839

Как удалить из Google информацию о себе

Google следит за нами, и это уже давно ни для кого не секрет. Следит как за нашим местоположением, так и за всеми действиями в интернете. Вы наверняка могли заметить, что стоит поискать в Сети информацию о каком-либо продукте или прочитать о нём статью, как вам тут же покажут соответствующую рекламу на YouTube. Если бы Google не собирала данные о своих пользователях, реклама не была бы персонализированной и, следовательно, просто не работала.


С одной стороны, кажется, что ничего плохого во всём этом нет. Ну собирает Google данные о нас, что же теперь, не пользоваться сервисами компании? Ведь благодаря этому ваше нахождение в интернете становится интереснее и полезнее: вам советуют то, что, скорее всего, вас заинтересует. Но если вспомнить недавний инцидент с индексацией Google Docs, закрадываются сомнения: а не сможет ли кто-то кроме Google получить данные о том, где вы живёте и чем увлекаетесь? Гарантий нет, так что стоит самостоятельно позаботиться о себе.


Что Google известно о вас

Первое и самое важное – это ваша геолокация. С помощью неё Google может отслеживать и записывать ваше местоположение, а уже на основе этих данных предлагать вам персонализированную рекламу. Вы можете перейти по ссылке и убедиться, что Google помнит даже те места, о которых вы, возможно, уже и сами забыли. В левом верхнем углу можно выбрать любую дату, и на карте будет показано, где вы были, во сколько и даже на каком транспорте передвигались.


Google хранит не только ваши поисковые запросы, но и список статей, что вы прочитали, профили людей в социальных сетях, страницы которых вы посещали. Убедитесь сами, перейдя по этой ссылке.


Данные о ваших контактах, ваши планы в календаре, будильники, приложения, которыми вы пользуетесь, ваши музыкальные предпочтения и даже уровень заряда аккумулятора – ещё один перечень данных о вас, которые Google собирает для показа более релевантной рекламы. Список всех данных можно посмотреть здесь.


Если вам знакома фраза «Окей, Google», поздравляем: ваши голосовые команды для управления смартфоном, а также голосовые поисковые запросы сохранены на серверах Google. Вы можете их прослушать, пройдя по этой ссылке. А если случится утечка данных, то, возможно, не только вы.


Для Google основная цель сбора данных о пользователях – персонализация рекламы, ведь именно на этом компания зарабатывает деньги. Вы можете узнать, что о ваших интересах и предпочтениях известно рекламодателям, и наконец избавиться от назойливой рекламы продукта, который вы когда-то по нелепой случайности решили найти в интернете.


Если вы пользуетесь смартфоном на Android, возможно, ваши фотографии и видео уже хранятся в облачном хранилище Google, а вы об этом даже не знаете, потому что автозагрузка могла быть включена по умолчанию. Не спешите удалять приложение Google Photo – это не исправит ситуацию. Все ваши фотографии продолжат улетать в облако и в случае утечки данных могут оказаться в открытом доступе. Google сама написала инструкцию о том, как отключить автозагрузку фотографий и видео на разных устройствах.


Вы замечали, как много ресурсов вашего компьютера съедает Google Chrome? Браузер собирает о вас данные и работает фоном даже после полного закрытия, а также хранит ваши файлы cookie. Как и для чего Google использует эти файлы, вы можете узнать здесь. Если вы не хотите, чтобы вкладки продолжали работу в фоновом режиме, перейдите в настройки браузера Chrome и в пункте «Система» уберите галочку напротив «Не отключать работающие в фоновом режиме сервисы при закрытии браузера». Это доступно только для Windows-версии, у пользователей macOS такого пункта в Chrome нет. Если вам нужно отключить сбор данных о вас и использование файлов cookie, внизу страницы нажмите на кнопку «Дополнительные настройки», перейдите в «Настройки контента» и отключите всё то, что не хотели бы рассказывать о себе и своих действиях.


Как удалить все данные о себе и запретить их дальнейший сбор

Для начала вам следует перейти по этой ссылке и отключить сбор тех данных, которые вы не хотите передавать Google и рекламодателям. Все пункты собраны в одном месте, что очень удобно.


Затем нужно удалить те данные о вас, которые ранее уже были собраны. Для этого перейдите по следующей ссылке, укажите период (для удаления сразу всех данных можно выбрать пункт «Всё время»), выберите сервисы по одному или сразу все сервисы Google и смело нажимайте на кнопку удаления.


Изменить ваше имя, дату рождения и другие личные данные вы можете здесь.


Также, если вы не используете Google Pay для бесконтактной оплаты покупок и не покупаете приложения в Google Play, проверьте, не хранится ли в Google ваша платёжная информация, которую тоже можно удалить.

Показать полностью
759

Анонимный браузер Tor включил защиту от спецслужб.

Создатели Tor усилили защиту браузера, чтобы защитить пользователей от деанонимизации спецслужбами. Для этого разработчики внедрили специальную технологию, которая случайным образом размещает фрагменты кода в оперативной памяти.


Версия с повышенной защитой

Новая версия Tor Browser 6.5a1-hardened с повышенным уровнем защиты содержит механизм, помогающий защитить пользователей от деанонимизации, которую успешно выполняет ФБР и другие спецслужбы. О новой технологии рассказали исследователи из Калифорнийского университета в Ирвайне, которые помогли команде Tor Browser ее разработать.


Первая версия Tor Browser с пометкой «hardened» («усиленный») вышла в ноябре 2015 г. «Усиленные» версии браузера создаются на базе регулярных альфа-версий. Они содержат все изменения на текущий момент и, в дополнение к ним, усиленную защиту, главным образом, против эксплуатации уязвимостей, связанных с работой оперативной памяти.


Технология Selfrando

Технология, реализованная в Tor Browser 6.5a1-hardened, называется Selfrando. Суть ее работы заключается в том, что при запуске программы каждая ее функция помещается в оперативную память по отдельности, по собственному случайному адресу. Пока хакер не сможет угадать, в каких областях памяти хранятся фрагменты кода, он не сможет совершить атаку.


Механизм Selfrando похож на технологию ASLR (Address Space Layout Randomization) и заменяет ее как более эффективный аналог. Технология ASLR случайным образом выбирает, где в оперативной памяти будет находиться программа, но она находится по этому адресу целиком и не разбита на фрагменты.

Анонимный браузер Tor включил защиту от спецслужб. Tor, Анонимность, Защита, Спецслужбы, Длиннопост

Снижение производительности

Рандомизация кода требует вычислительных мощностей, и поэтому активация технологии Selfrando снижает скорость работы, но незначительно — всего на 1%. Хорошая новость заключается в том, что Selfrando не требует от разработчиков вносить слишком много изменений в существующий код.

«Вносить изменения в средства разработки или процессы не требуется. В большинстве случаев использовать Selfrando также же легко, как добавить новый компилятор или флаги в ваши существующие скрипты»,

— пояснили исследователи.


Защита от деанонимизации

Разработчики Tor Browser рассчитывают, что добавление технологии поможет защитить пользователей от деанонимизации.


Анонимность — главная цель Tor Browser и сети Tor. Дизайн сети разработан таким образом, чтобы наблюдатель не мог связать сервер с конкретным компьютером и пользователем. Эта возможность сделала Tor популярным инструментом в руках нарушителей закона, промышляющих продажей наркотиков и оружия, распространения порнографии и т. д.


Для того чтобы узнать реальные личности пользователей Tor, ФБР использует ряд методов. Так, в феврале 2015 г. организация изъяла серверы предназначенного для распространения детской порнограции сайта Playpen и перенаправила посетителей через собственные серверы. Это позволило раскрыть около 1,3 тыс. IP-адресов реальных пользователей сети Tor.


Атака стоимостью $1 млн

В ноябре 2015 г. стало известно, что в 2014 г. на анонимную сеть Tor была проведена атака, целью которой была деанонимиация пользователей сети.


Атака была проведена Университетом Карнеги-Меллон и оплачена ФБР. Бюро само обратилось к специалистам университета. Взлом был ему необходим, чтобы узнать активность нарушителей закона, пользующихся этой сетью для скрытия своего местонахождения. Гонорар за работу составил не менее $1 млн. Эту цифру администрации Tor назвал ее собственный источник.


Подробнее: http://www.cnews.ru/news/top/2016-06-20_anonimnyj_brauzer_to...

Показать полностью
1447

Немного лекций на тему "Практические аспекты сетевой безопасности" (ВМК МГУ)

Еще один небольшой видео курс лекций от ВМК МГУ, но уже посвященный "Сетевой безопасности"

Для желающих понять, что же это такое "Сетевая безопасность" и с чем её едят, ну или не понять, то лекции в любом случае стоит хотя бы послушать

1) Вводная
Лектор: Денис Гамаюнов (ЛБИС)

2) Лекция посвящена разбору "Авторизации и аутентификации" и "Настройки AAA в Linux"

Лектор: Владимир Иванов (Яндекс)

3)Тема лекции "Сетевая безопасность" и разбор "Протоколов уровня приложений. DNS, SMTP, HTTP."

Лектор: Денис Гамаюнов (ЛБИС)

4)Межсетевые экраны

Лектор: Владимир Иванов (Яндекс)

5) Системы обнаружения и фильтрации компьютерных атак

Лектор: Денис Гамаюнов (ЛБИС)

6) Основы веб-технологий. Часть 1.

Лектор: Андрей Петухов (ЛБИС)

7) Основы веб-технологий. Часть 2.

Лектор: Андрей Петухов (ЛБИС)

8) Уязвимости в веб-приложениях: SQLi

Лектор: Андрей Петухов (ЛБИС)

9) Уязвимости в веб-приложениях: XSS

Лектор: Андрей Петухов (ЛБИС)

10) Контроль нормального поведения приложений. Security Enhanced Linux (SELinux)

Лектор: Фёдор Сахаров

Показать полностью 8

Чем глубже изучаешь мозг, тем больше возникает вопросов. Истории успеха, достойные «Горячего» на Пикабу #3

Чем глубже изучаешь мозг, тем больше возникает вопросов. Истории успеха, достойные «Горячего» на Пикабу #3

Вячеслав Лебедев – сотрудник и аспирант МГУ им. М.В. Ломоносова. При знакомстве с трудами нейроученых понял, что мозг – целая вселенная внутри человека, и при более глубоком его изучении возникает еще больше вопросов. Вячеслав создал центр нейрофизиологической немедикаментозной помощи детям NeuroFuture, где уже несколько лет занимается развитием внимания и концентрации у детей.


Такие истории успеха вдохновляют, заставляют искать профессию мечты и посвящать свою жизнь тому, что любишь.

Отличная работа, все прочитано!