Глава компании SEC Consult взломал мошенников, прислав им вредоносный PDF
В начале августа 2016 года французский исследователь Иван Квиатковски проучил мошенников, выдававших себя за специалистов технической поддержки. Дело в том, что скаммеры атаковали родителей специалиста, с чем он мириться не пожелал и хитростью вынудил мошенника установить шифровальщика Locky на свой компьютер. О похожем поступке недавно рассказал и глава сингапурского подразделения компании SEC Consult, Флориан Лукавски (Florian Lukavsky). Он сумел скомпрометировать мошенников более крупного калибра и передал все собранные о них данные в руки правоохранительных органов.
О содеянном Лукавски рассказал журналистам издания The Register на конференции Hack in the Box, прошедшей в Сигнапуре, в августе 2016 года. Эксперту удалось разоблачить так называемых скаммеров-китобоев (или whaling-скаммеров). Основной бизнес таких парней заключается в организации хитроумных афер с применением социальной инженерии. Мошенники рассылают сотрудникам крупных, прибыльных предприятий письма, которые замаскированы под послания от начальства или от руководителей фирм-партнеров. В письмах поддельный босс просит сотрудников срочно перевести деньги на какой-либо банковский счет, который на самом деле принадлежит злоумышленникам.
Данная схема работает очень эффективно. Так, по данным ФБР, за семь месяцев было зафиксировано более 14 000 случаев whaling-мошенничества, а компании суммарно лишились более чем 2,2 млрд долларов. Среди пострадавших, были такие всемирно известные компании, как Mattel, потерявшая 3 млн долларов, Ubiquiti, лишившаяся 46,7 млн долларов, и бельгийский банк Crelan, чьи потери составили 78 млн долларов. При этом вернуть средства удается очень редко. К примеру, компания Ubiquiti сумела вернуть лишь 9 млн долларов из похищенных 46,7 млн.
Лукавски применил к мошенникам их же методы. Эксперт сумел скомпрометировать Microsoft-аккаунты злоумышленников.
«Некто выдал себя за CEO международной компании и запросил срочный денежный перевод, и лишь пару часов спустя они [пострадавшие] осознали, что это был скам. Мы, совместно с представителями правоохранительных органов, решили перехитрить мошенников, — рассказывает Лукавски. — Мы отправили им специально подготовленный PDF-файл, замаскированный под подтверждение транзакции. Как только они открыли его, мы узнали данные их Twitter, юзернеймы и идентификационные данные. В итоге мы смогли получить имена пользователей Windows 10 и [парольные] хеши, которые по умолчанию были привязаны к Outlook».
Парольные хеши Windows 10 не продержались долго, и вскоре исследователь предоставил полиции данные, которые позже привели к аресту ряда лиц в Африке.
Также эксперт признался журналистам, что ему очень понравилась недавняя история Ивана Квиатковски. Лукавски рассказал, что один из его друзей тоже недавно «поймал» whaling-скаммера и передал в руки правоохранительных органов и банков информацию сразу о семи различных счетах, принадлежавших злоумышленникам. Эксперт уверен, что такие аккаунты являются едва ли не самым ценным активом мошенников, так как в наши дни банки вводят все более жесткие механизмы регламентации и регулирования и уделяют больше внимания схемам, направленным против отмывания денег.
Алексей, не оставляй меня одного с компьюетром
Надо выходить из аккаунта. Привет когда будешь читать это в лучшем
Nulled.in
У кого есть аккаунт на сайте nulled.in с 10 симпатиями? Нужно скачать один файл. За денежное вознаграждение разумеется. Заранее спасибо!
Об аккаунтах
То чувство, когда создал новый аккаунт по причине непоправимых бедствий со старым и забыл про отсутствие некоторых возможностей при недостижении определённого рейтинга Однако помимо этого тебя считают ньюфагом, а ведь на самом деле я уже и позабыл когда познакомился с пикабу. Как будто жизнь начата с чистого листа.
Придуман способ массового взлома аккаунтов Facebook
Синх нашел проблему в механизме, при помощи которого социальная сеть обнуляет забытые пароли пользователей. Как только кто-то запрашивает смену пароля, Facebook осуществляет эту операцию через генерацию случайного шестизначного кода, то есть комбинаций для таких кодов может быть всего 10⁶ = 1 000 000.
Исследователь обнаружил, что если запросить смену пароля через mbasic.facebook.com, шестизначный код сменится и придет в негодность лишь после его использования, то есть, фактически у него нет «срока годности». Синх понял, что если миллион человек запросит смену пароля примерно одновременно, то код, который социальная сеть создаст для миллион первого, будет дублировать чей-то еще.
Для проверки своей теории исследователь собрал базу Facebook ID, забрасывая запросами API Facebook Graph API. Синх методично перебирал ID, начиная с 100 000 000 000 000. Дело в том, что ID — это уникальный идентификатор, обычно состоящий из 15 символов. С ID разрешено работать только авторизованным приложениям, но если попытаться воспользоваться адресом www.facebook.com/[ID], произойдет редирект, ID будет автоматически заменен на имя пользователя. Что подтвердит верность ID. Также исследователь смог присовокупить к своей базе фотографии профилей и полные имена пользователей, так как социальная сеть никак не ограничивала распространение этой свободной информации. Суммарно Синх собрал информацию о двух миллионах учетных записей.
«Я сообщил им о проблеме еще 3 мая 2016 года, но в Facebook не поверили, что такая масштабная операция возможна. Они хотели доказательств. В итоге я провел почти месяц изучая вопрос и подготавливая инфраструктуру для атаки на 2 млн пользователей Facebook. Когда я добавил информацию о баге снова, они огласились, что это определенно проблема».
Имея на руках базу, состоящую из двух миллионов пользователей, Синх написал скрипт, который использовал сотни прокси и рендомных user-agent. Скрипт запрашивал сброс паролей для всех двух миллионов пользователей, быстро исчерпывая пул «одноразовых» шестизначных кодов. Затем исследователь выбрал случайное число (к примеру, 33825) и начал процедуру смены пароля, брутфорсом перебирая весь имеющийся двухмиллионный список. Надежды Синха полностью оправдались, так как в итоге в списке действительно удалось обнаружить пользователей, которым шестизначный код подходил, то есть алгоритм Facebook действительно начал повторяться, как и предполагалось.
Хотя компания уже выпустила патч, призванный устранить обнаруженную Синхом проблему, исследователь не уверен, что проблема полностью решена.
«Я знаю, что Facebook выпустила патч, и они теперь агрессивно фильтруют IP-адреса. Но я по-прежнему сомневаюсь, что их патч достаточно эффективен против этой уязвимости, так как можно использовать больший пул IP-адресов, симулировать глобальный трафик и применить социальную инженерию», — говорит исследователь.
Нужна небольшая помощь.
Столкнулся с небольшой проблемой, понадобился срочно инстаграм, а вот зарегать его не получается, выскакивают ошибки, так вот если у кого есть кокой-нибудь безхозный истограм может кто поделится им со мной?
Недельный доступ в TheDivision за 180 слов
Доброго времени суток, уважаемые Пикабушники!
Вот и новая возможность выиграть недельный доступ к игре Tom Clancys The Division, посредством моего аккаунта юплей. Недели вполне достаточно чтобы пройти сюжетку, и оценить игру, дальше она становится не слишком интересной (может дополнения изменят ситуацию?).
Но в этот раз участие в розыгрыше будет посложнее - нужно будет найти 180 слов.
Дело в том, что мне нравятся настольные игры. Уже пару месяцев мы с друзьями собираемся раз в неделю-две чтобы поиграть, но так как я нищеброд, приходится обходится ПнП версиями (как-нибудь напишу пост о моем сборнике). И встала проблемка о подборе слов для настольной игры "Активити". Вот в этом вы и сможете мне помочь!
Для участия в розыгрыше необходимо:
1. Составить списки слов по следующим направлениям - рисование, пантомима и рассказ. Также в каждом направлении 3 уровня сложности (простые, нормальные, сложные). Итого нужно подобрать 180 слов - по 20 в каждом направлении и каждой сложности. Чем интереснее и чем более необычные будут слова тем лучше. Составлять их можно например в виде такой таблички:
2. Прислать файлик со словами на этот адрес vikmanza@gmail.com. В письме также не забываем указывать свой ник на Пикабу.
3. Ждать розыгрыша и уповать на удачу. Трое победителей будут определены рандомом из всех кто пришлет мне слова (кстати, я потом залью готовые карточки в этими словами в свободный доступ). Но есть и другой вариант - трое людей, приславших наибольшее количество слов гарантировано получат доступ. Ищите и дерзайте!
Upd. Конкурс закончится 30 августа (в день рождения буду дарить подарки=))
1. Создаем персонажа во второй/третьей/четвертой ячейке (персонажа в первой ячейке просьба не трогать).
2. В аккаунте uplay ничего не трогаем.
3. По окончании недели, я меняю пароль и передаю его следующему пикабушнику. На этом этапе возможны задержки на день-два (я тоже человек=))
Может это слишком заморочено и идея не зайдет, но... а вдруг?)
Всем добра!
В Питере шаверма и мосты, в Казани эчпочмаки и казан. А что в других городах?
Мы постарались сделать каждый город, с которого начинается еженедельный заед в нашей новой игре, по-настоящему уникальным. Оценить можно на странице совместной игры Torero и Пикабу.
Реклама АО «Кордиант», ИНН 7601001509