За шторкой
Как потратить шесть тысяч рублей на бесплатную услугу Мне нужно было снять с учёта проданную тачку. Через «Госуслуги» не удалось, они упорно твердили, что обязательно тащиться очно. Ну конечно, зачем оформлять такие вещи в электронном виде, когда на дворе…
Собираюсь сегодня ехать менять права. По этому случаю вспомнила, как меня хотели развести на 6 кусков за бесплатную услугу 🙃
Чёрные киберриелторы и другие опасности «Госуслуг»
Ношусь со сменой документов, поэтому меня пробило на посты о кибербюрократии. Повод вспомнить, как пару лет назад в СМИ гуляли страшилки о чёрных риелторах, которые отжимали квартиры через «Госуслуги» . Сейчас такое не прокатит, закон ограничил возможность продать недвижку дистанционно. Но мало ли на что ещё хватит фантазии киберговнюков.
Начните с пароля и номера телефона. Если девайс позволяет впихнуть в него две симки, впихните. Пусть одна будет для контактов, а вторая — для всяких там банков и «Госуслуг». Да, это не даст вам суперсилу, но чуть усложнит задачу мошенникам, которые положили глаз на ваш аккаунт.
Проверьте, что ваш пароль выглядит сложнее, чем «Анфиса48». А теперь убедитесь, что он отличается от паролей в аккаунтах «Spotify» или в «Весёлой ферме».
Раньше СМС от «Госуслуг» могли идти несколько дней. Ей-богу, их почта России доставляла. Щас дела обстоят чуть лучше, поэтому смело включайте двухфакторную аутентификацию.
Настройка контрольных вопросов меня немного смущает. Спорная функция. Пользователь может сам не помнить, какого из любимых актёров детства указал в ответе. Или злоумышленник разгадает ответ, изучив странички жертвы в соцсетях.
Оповещения о входе в аккаунт на e-mail — топ-тема. Киберговнюка проще спалить, как только он посмеет залогиниться и покуситься на данные жертвы.
Продвинутый способ защитить аккаунт — врубить вход с помощью электронной подписи (ЭЦП). Позже объясню, что это за зверь. Пока посмотрите список центров , где её можно сделать. Пригодится.
Бегом проверять свои настройки безопасности! И не поленитесь напомнить об этом своим близким: вдруг кто-то не шарит или не задумывается 😿
Ношусь со сменой документов, поэтому меня пробило на посты о кибербюрократии. Повод вспомнить, как пару лет назад в СМИ гуляли страшилки о чёрных риелторах, которые отжимали квартиры через «Госуслуги» . Сейчас такое не прокатит, закон ограничил возможность продать недвижку дистанционно. Но мало ли на что ещё хватит фантазии киберговнюков.
Начните с пароля и номера телефона. Если девайс позволяет впихнуть в него две симки, впихните. Пусть одна будет для контактов, а вторая — для всяких там банков и «Госуслуг». Да, это не даст вам суперсилу, но чуть усложнит задачу мошенникам, которые положили глаз на ваш аккаунт.
Проверьте, что ваш пароль выглядит сложнее, чем «Анфиса48». А теперь убедитесь, что он отличается от паролей в аккаунтах «Spotify» или в «Весёлой ферме».
Раньше СМС от «Госуслуг» могли идти несколько дней. Ей-богу, их почта России доставляла. Щас дела обстоят чуть лучше, поэтому смело включайте двухфакторную аутентификацию.
Настройка контрольных вопросов меня немного смущает. Спорная функция. Пользователь может сам не помнить, какого из любимых актёров детства указал в ответе. Или злоумышленник разгадает ответ, изучив странички жертвы в соцсетях.
Оповещения о входе в аккаунт на e-mail — топ-тема. Киберговнюка проще спалить, как только он посмеет залогиниться и покуситься на данные жертвы.
Продвинутый способ защитить аккаунт — врубить вход с помощью электронной подписи (ЭЦП). Позже объясню, что это за зверь. Пока посмотрите список центров , где её можно сделать. Пригодится.
Бегом проверять свои настройки безопасности! И не поленитесь напомнить об этом своим близким: вдруг кто-то не шарит или не задумывается 😿
Отвяжите это немедленно! Как посмотреть, где вы логинились с помощью Яндекс-аккаунта
Меня отругали, что я рассказала только, как найти сайты, где вы логинились через Gmail. Исправляюсь! Ловите пост о настройках безопасности пользователей «Яндекса».
Настройки доступа можно посмотреть по этой ссылке. Тут и история входов, и пароль, и двухфакторка, и список программ, которым пользователь дал доступ к данным. Если какое-то приложение кажется подозрительным, нужно кликнуть по нему, а потом по большой жёлтой кнопке «отозвать».
У «Яндекса» есть годная фича — возможность включить пароли приложений. Пользователь создаёт отдельный пароль для каждой новой программы. При этом если прога предназначена для чтения писем, то она получит доступ только к почте, а диск и другие сервисы останутся скрыты.
Кто там хотел пост в сохранёнки?Репостите давайте в свои «Избранные», расхламляйте ящики и прокачивайте безопасность.
Меня отругали, что я рассказала только, как найти сайты, где вы логинились через Gmail. Исправляюсь! Ловите пост о настройках безопасности пользователей «Яндекса».
Настройки доступа можно посмотреть по этой ссылке. Тут и история входов, и пароль, и двухфакторка, и список программ, которым пользователь дал доступ к данным. Если какое-то приложение кажется подозрительным, нужно кликнуть по нему, а потом по большой жёлтой кнопке «отозвать».
У «Яндекса» есть годная фича — возможность включить пароли приложений. Пользователь создаёт отдельный пароль для каждой новой программы. При этом если прога предназначена для чтения писем, то она получит доступ только к почте, а диск и другие сервисы останутся скрыты.
Кто там хотел пост в сохранёнки?Репостите давайте в свои «Избранные», расхламляйте ящики и прокачивайте безопасность.
Расхламляем мыло: безопасность аккаунта mail.ru
Круто, что вам зашла тема расхламления и защиты почты. Время поболтать о mail.ru 💻
Настройки безопасности почты mail.ru доступны поэтой ссылке. Тут можно получить список устройств, на которых вы заходили в свой аккаунт. Советую проверить его, а то вдруг логинились с ноутов бывших и забыли. Пароли-то никто менять любит.
А расхламляться нужно в разделе «Внешние сервисы». Тут как раз лежит список всех сервисов и ресурсов, в которых вы авторизовались через мэйловский аккаунт. Я за цифровой минимализм: сносите оттуда окаянные бесполезные сайты-форумы о фарфоровых котиках, на которые вы давно не заходите.
Теперь покопаемся в настройках входа. Я не пользуюсь mail.ru, поэтому, когда изучала внутренности аккаунта, была удивлена. Пользователь может выбрать несколько способов защиты от киберговнюков. Тут вам и двухфакторка, и вход по QR-кодам, и даже по электронному ключу (например, по отпечатку пальца).
Пользуйтесь на здоровье!
Круто, что вам зашла тема расхламления и защиты почты. Время поболтать о mail.ru 💻
Настройки безопасности почты mail.ru доступны поэтой ссылке. Тут можно получить список устройств, на которых вы заходили в свой аккаунт. Советую проверить его, а то вдруг логинились с ноутов бывших и забыли. Пароли-то никто менять любит.
А расхламляться нужно в разделе «Внешние сервисы». Тут как раз лежит список всех сервисов и ресурсов, в которых вы авторизовались через мэйловский аккаунт. Я за цифровой минимализм: сносите оттуда окаянные бесполезные сайты-форумы о фарфоровых котиках, на которые вы давно не заходите.
Теперь покопаемся в настройках входа. Я не пользуюсь mail.ru, поэтому, когда изучала внутренности аккаунта, была удивлена. Пользователь может выбрать несколько способов защиты от киберговнюков. Тут вам и двухфакторка, и вход по QR-кодам, и даже по электронному ключу (например, по отпечатку пальца).
Пользуйтесь на здоровье!
Bossware: как нас сталкерят работодатели
Анфиса устала заполнять табличку для бухгалтерии и решила зависнуть в соцсетях. Зависла аж на три часа. Вечером получила нагоняй от шефа. «Вы докажите, что я видосы с котиками смотрела на рабочем месте!» — взъерепенилась Анфиса. А ей хоба — и показали подробный отчёт со всеми её действиями. И пару скринов в придачу. 😕
Это называется «мониторинг сотрудников» с помощью специальных программ — bossware. Программ этих тьма: одни просто считают время, проведённое сотрудником в разных программах, другие врубают режим тотального контроля.
Вся эта «боссовщина» — оберег от утечек информации и происков киберговнюков. Она составляет портрет сотрудника, запоминает типичную для него модель поведения и бьёт тревогу, если что-то резко изменилось. Или если сотрудник заигрался в пасьянс.
Обычно такие программы ставят только на корпоративные ноутбуки и смартфоны. На личные — только если сотрудник использует их для работы. Работодатель может скрывать отдельные функции. Например, не все рассказывают, что на компах в офисе стоят кейлоггеры.
Иногда босс может пойти на компромисс и разрешить персоналу отключать bossware. Но в таком случае рабочими будут считаться только те часы, когда слежка была разрешена.
Я обязательно расскажу подробнее о видах bossware, а давать оценку не хочу, ни хорошую, ни плохую. Это бизнес 👀
Анфиса устала заполнять табличку для бухгалтерии и решила зависнуть в соцсетях. Зависла аж на три часа. Вечером получила нагоняй от шефа. «Вы докажите, что я видосы с котиками смотрела на рабочем месте!» — взъерепенилась Анфиса. А ей хоба — и показали подробный отчёт со всеми её действиями. И пару скринов в придачу. 😕
Это называется «мониторинг сотрудников» с помощью специальных программ — bossware. Программ этих тьма: одни просто считают время, проведённое сотрудником в разных программах, другие врубают режим тотального контроля.
Вся эта «боссовщина» — оберег от утечек информации и происков киберговнюков. Она составляет портрет сотрудника, запоминает типичную для него модель поведения и бьёт тревогу, если что-то резко изменилось. Или если сотрудник заигрался в пасьянс.
Обычно такие программы ставят только на корпоративные ноутбуки и смартфоны. На личные — только если сотрудник использует их для работы. Работодатель может скрывать отдельные функции. Например, не все рассказывают, что на компах в офисе стоят кейлоггеры.
Иногда босс может пойти на компромисс и разрешить персоналу отключать bossware. Но в таком случае рабочими будут считаться только те часы, когда слежка была разрешена.
Я обязательно расскажу подробнее о видах bossware, а давать оценку не хочу, ни хорошую, ни плохую. Это бизнес 👀
Forwarded from умный холодильник
Киберпреступники заставят вас хранить верность партнёру вечно
Уберите детей от экранов. Будем болтать об опасных секс-девайсах.
В двадцать первом веке человечество дошло до электронных поясов верности. Мужчина цепляет его к своим гениталиям, а партнёр(-ша) может блокировать и разблокировать устройство удаленно через Bluetooth или специальную прогу. При этом вручную пояс не открыть.
Безопасники психанули и решили проверить устройство на уязвимость. Косяков в нём — тьма. Киберговнюк при желании легко взломает пояс и сможет навсегда заблокировать его через приложение. Аварийного способа освободить пострадавшего нет. Придётся резать 🙈 не мужчину, конечно же, а пояс. Но процедура не самая приятная, да и сделать это сложно (погуглите, как он крепится). Ещё один способ — шибануть током. Если пустить по поясу примерно три вольта электричества (две батареи AA), он перезагрузится и выпустит несчастного.
Допустим, кибершпане не так часто требуется залезть в чьи-то штаны. Но судя по отзывам в Apple App Store и Google Play Store на мобильное приложение Cellmate, пояс может и без вмешательства хакеров отрубиться. Народ пишет, что приложение переставало работать и мужчины застревали. 👀
Будьте осторожны и всегда читайте отзывы о девайсах перед покупкой. А то мало ли, застрянете тоже😖
Уберите детей от экранов. Будем болтать об опасных секс-девайсах.
В двадцать первом веке человечество дошло до электронных поясов верности. Мужчина цепляет его к своим гениталиям, а партнёр(-ша) может блокировать и разблокировать устройство удаленно через Bluetooth или специальную прогу. При этом вручную пояс не открыть.
Безопасники психанули и решили проверить устройство на уязвимость. Косяков в нём — тьма. Киберговнюк при желании легко взломает пояс и сможет навсегда заблокировать его через приложение. Аварийного способа освободить пострадавшего нет. Придётся резать 🙈 не мужчину, конечно же, а пояс. Но процедура не самая приятная, да и сделать это сложно (погуглите, как он крепится). Ещё один способ — шибануть током. Если пустить по поясу примерно три вольта электричества (две батареи AA), он перезагрузится и выпустит несчастного.
Допустим, кибершпане не так часто требуется залезть в чьи-то штаны. Но судя по отзывам в Apple App Store и Google Play Store на мобильное приложение Cellmate, пояс может и без вмешательства хакеров отрубиться. Народ пишет, что приложение переставало работать и мужчины застревали. 👀
Будьте осторожны и всегда читайте отзывы о девайсах перед покупкой. А то мало ли, застрянете тоже😖
Взлом по закону: этичный хакинг
Хакер ≠ кибершпана. Системы можно взламывать легально — «пентестить» их, заниматься этичным хакингом. Суть работы пентестера в том, чтобы искать слабые места — уязвимости, которыми могут воспользоваться киберговнюки.
Этичные хакеры действуют в рамках правил:
1. Разработчики системы в курсе, чем занимаются пентестеры. Взлом системы проводится строго по договору или в рамках программ Bug Bounty (когда компании предлагают баблишко или ништяки взамен на инфу об их уязвимостях).
2. Пентестеры не собираются использовать уязвимости или сливать их на чёрный рынок. Тут довольно много нюансов. Хакер может найти пробел в защите систем хранения данных, и это легально. А попытка выкачать оттуда конфиденциальную инфу уже потянет на административку или уголовку.
3. Пентестерам, в отличие от кибершпаны, не нужно переживать из-за отмывания баблишка, ведь их доход белый.
Пентестеры могут работать в штате или в компании, которая оказывает такие услуги. Фрилансить в этой сфере следует только в рамках легальных программ Bug Bounty. Компаниям выгоднее предлагать вознаграждение за найденные косяки, чем разгребать потом последствия взлома кибершпаной.
В каждой программе подробно расписано, что можно делать и какие именно уязвимости будут рассматриваться. Ломать всё подряд не нужно даже с благими намерениями, за это тоже могут впаять срок.
Так что знайте: за безопасностью ваших кредиток и данных стоят этичные хакеры в белых шляпках .
Хакер ≠ кибершпана. Системы можно взламывать легально — «пентестить» их, заниматься этичным хакингом. Суть работы пентестера в том, чтобы искать слабые места — уязвимости, которыми могут воспользоваться киберговнюки.
Этичные хакеры действуют в рамках правил:
1. Разработчики системы в курсе, чем занимаются пентестеры. Взлом системы проводится строго по договору или в рамках программ Bug Bounty (когда компании предлагают баблишко или ништяки взамен на инфу об их уязвимостях).
2. Пентестеры не собираются использовать уязвимости или сливать их на чёрный рынок. Тут довольно много нюансов. Хакер может найти пробел в защите систем хранения данных, и это легально. А попытка выкачать оттуда конфиденциальную инфу уже потянет на административку или уголовку.
3. Пентестерам, в отличие от кибершпаны, не нужно переживать из-за отмывания баблишка, ведь их доход белый.
Пентестеры могут работать в штате или в компании, которая оказывает такие услуги. Фрилансить в этой сфере следует только в рамках легальных программ Bug Bounty. Компаниям выгоднее предлагать вознаграждение за найденные косяки, чем разгребать потом последствия взлома кибершпаной.
В каждой программе подробно расписано, что можно делать и какие именно уязвимости будут рассматриваться. Ломать всё подряд не нужно даже с благими намерениями, за это тоже могут впаять срок.
Так что знайте: за безопасностью ваших кредиток и данных стоят этичные хакеры в белых шляпках .
За шторкой
Собрала инфу о поиске аккаунтов, привязанных к популярным почтам в один пост👀 • Яндекс • Mail.ru • Gmail Расхламляйтесь! P.S. Не забывайте, что эти способы помогают найти не все ресурсы, где вы зарегились с использованием своей почты. Расслабляться…
This media is not supported in your browser
VIEW IN TELEGRAM
Вакцина из воздуха
Прошёл уже год с тех пор, как коронавирус обнаружен у нулевого пациента. Всё это время киберговнюки пытались ограбить перепуганных людей и изобретали новые способы выманить деньги и данные пользователей.
Процветает коронавирусный фишинг. Сначала появились тысячи фейковых магазинов с антисептикам и масками, потом — рассылки с якобы секретными документами о вирусе. Сейчас «в тренде» — разработка вакцины. Ещё в августе были зафиксированы атаки на пользователей. Кибершпана и Великобритании отправляла сообщения с призывом перейти по ссылке и приобрести вакцину. Мол, у вас тут дела идут не очень, закажите-ка вакцину из Канады. Люди платят за воздух, да ещё и передают мошенникам свои персональные данные.
Радует, что фишеры уже не так активно эксплуатируют тему коронавирусаю. Видимо, у народа выработался иммунитет к такому. И всё же будете осторожнее 👀
Прошёл уже год с тех пор, как коронавирус обнаружен у нулевого пациента. Всё это время киберговнюки пытались ограбить перепуганных людей и изобретали новые способы выманить деньги и данные пользователей.
Процветает коронавирусный фишинг. Сначала появились тысячи фейковых магазинов с антисептикам и масками, потом — рассылки с якобы секретными документами о вирусе. Сейчас «в тренде» — разработка вакцины. Ещё в августе были зафиксированы атаки на пользователей. Кибершпана и Великобритании отправляла сообщения с призывом перейти по ссылке и приобрести вакцину. Мол, у вас тут дела идут не очень, закажите-ка вакцину из Канады. Люди платят за воздух, да ещё и передают мошенникам свои персональные данные.
Радует, что фишеры уже не так активно эксплуатируют тему коронавирусаю. Видимо, у народа выработался иммунитет к такому. И всё же будете осторожнее 👀
Лжедмитрий в кибербезопасности: фейковые антивирусы
Лжеантивирусы — программы, которые имитируют удаление вредоноса с устройства. Или сначала заражают комп, а потом лечат. Их относят к scareware — программам-страшилкам.
Мне по душе заморское название — «rogue antivirus» или «rogueware» (rogue — «жулик, мошенник»).
Лжеантивирусы бывают совсем простыми и работают как компоненты веб-приложений. Щас объясню. Пользователь заходит на сайт и видит всплывающее окно с предупреждением: «Обнаружен вирус, купите наш продукт, спасите комп».
Бывают и более замороченные жулики. Пользователь запускает бесплатное сканирование. Программа-страшилка вопит: «Аттеншн! У вас опасный вирус, который вот-вот уничтожит комп!» А потом тоже предлагает купить инструмент для удаления вируса. Или оплатить услуги техподдержки :)
Если пользователь ведётся и покупает платную программу, в лучшем случае он получит пустышку, в худшем — уже настоящий вредонос.
Некоторые лжеантивирусные приложения, установленные на комп, регулярно пугают пользователя и просят денег за избавление от каждой найденной гадости.
Скупой платит дважды. И трижды. И столько раз, сколько попросит программа-жулик.
Лжеантивирусы — программы, которые имитируют удаление вредоноса с устройства. Или сначала заражают комп, а потом лечат. Их относят к scareware — программам-страшилкам.
Мне по душе заморское название — «rogue antivirus» или «rogueware» (rogue — «жулик, мошенник»).
Лжеантивирусы бывают совсем простыми и работают как компоненты веб-приложений. Щас объясню. Пользователь заходит на сайт и видит всплывающее окно с предупреждением: «Обнаружен вирус, купите наш продукт, спасите комп».
Бывают и более замороченные жулики. Пользователь запускает бесплатное сканирование. Программа-страшилка вопит: «Аттеншн! У вас опасный вирус, который вот-вот уничтожит комп!» А потом тоже предлагает купить инструмент для удаления вируса. Или оплатить услуги техподдержки :)
Если пользователь ведётся и покупает платную программу, в лучшем случае он получит пустышку, в худшем — уже настоящий вредонос.
Некоторые лжеантивирусные приложения, установленные на комп, регулярно пугают пользователя и просят денег за избавление от каждой найденной гадости.
Скупой платит дважды. И трижды. И столько раз, сколько попросит программа-жулик.
Скимминг и шимминг: как преступники воруют деньги с карт
Скимминг — метод копирования данных карты с помощью специального устройства — скиммера.
Суть проста: Анфиса вставляет карту в банкомат, скиммер копирует данные. Чтобы получить PIN-код, шпана ставит мини-камеру или накладки на клавиатуру.
При использовании банкомата проверяйте, нет ли на нём накладок, не отличается ли клавиатура по цвету, попробуйте подцепить её ногтем. Нет ничего постыдного в заботе о личной безопасности.
Прокачанный вид скимминга называется шиммингом. Схема та же: Анфиса вставляет в банкомат карту, данные улетают к злоумышленникам. Только явных визуальных признаков внутри аппарата не будет. Преступники запихивают тонкое и гибкое устройство для считывания реквизитов карты в картридер.
Совсем поехавшие от жажды наживы устанавливают липовые банкоматы. Сегодня провернуть такое трудновато: кругом камеры. Внешне эти шайтан-машины от обычных банкоматов не отличить. Их начинка — встроенный компьютер, скиммер, накладки на клавиатуру для сохранения PIN-кода.
Скиммерами могут воспользоваться официанты, кассиры — все, кто принимает оплату. Достаточно прикрепить окаянный девайс к терминалу.
Не нужно включать режим жёсткой паранойи. Установите лимит на покупки и снятие наличных, сделать это можно в личном кабинете онлайн-банка. Не храните все деньги на одной карте, заведите отдельный счёт для сбережений и переводите себе сумму, которая нужна для оплаты покупки.
Скимминг — метод копирования данных карты с помощью специального устройства — скиммера.
Суть проста: Анфиса вставляет карту в банкомат, скиммер копирует данные. Чтобы получить PIN-код, шпана ставит мини-камеру или накладки на клавиатуру.
При использовании банкомата проверяйте, нет ли на нём накладок, не отличается ли клавиатура по цвету, попробуйте подцепить её ногтем. Нет ничего постыдного в заботе о личной безопасности.
Прокачанный вид скимминга называется шиммингом. Схема та же: Анфиса вставляет в банкомат карту, данные улетают к злоумышленникам. Только явных визуальных признаков внутри аппарата не будет. Преступники запихивают тонкое и гибкое устройство для считывания реквизитов карты в картридер.
Совсем поехавшие от жажды наживы устанавливают липовые банкоматы. Сегодня провернуть такое трудновато: кругом камеры. Внешне эти шайтан-машины от обычных банкоматов не отличить. Их начинка — встроенный компьютер, скиммер, накладки на клавиатуру для сохранения PIN-кода.
Скиммерами могут воспользоваться официанты, кассиры — все, кто принимает оплату. Достаточно прикрепить окаянный девайс к терминалу.
Не нужно включать режим жёсткой паранойи. Установите лимит на покупки и снятие наличных, сделать это можно в личном кабинете онлайн-банка. Не храните все деньги на одной карте, заведите отдельный счёт для сбережений и переводите себе сумму, которая нужна для оплаты покупки.
Авторские права — наживка фишеров
Киберзлодеи — народ изобретательный. Один из способов угона аккаунтов пользователей Facebook — запугивание и рассылка сообщений о якобы нарушении авторских прав.
Жертва получает от имени администрации Facebook фейковое письмо, в котором белым по синему сказано: «Вы — злостный нарушитель, аккаунт ваш скоро забанят, а вас засудят за использование чужих изображений». Для решения вопроса приглашают пройти по ссылке и авторизоваться в соцсети. Ясен красен, ссылка поддельная и ведёт на фишинговую форму, через которую пользователь легко и непринужденно передаёт логин и пароль прямиком кибершпане.
То же самое вытворяют и «ВКонтакте». Ругают пользователя, грозятся блокировкой и судами.
Даже двухфакторка может оказаться бесполезной. При удачном стечении обстоятельств киберзлодей может успеть перехватить код авторизации и войти в аккаунт жертвы.
Я тоже получала похожие письма. Конечно, на несколько секунд охватывает паника. Потом смотрю — а почта какая-то палёная, на админа соцсети отправитель не похож. Но на панике можно натворить всякого и потерять аккаунт.
Способ защиты прост — никому не доверяем, пятьсот раз все письма проверяем. Если на ваш аккаунт реально пожаловались за нарушение авторских прав, вам сообщат в уведомлениях внутри социальной сети и уж точно не будут слать письма с просьбой срочно перейти по ссылке и залогиниться.
Киберзлодеи — народ изобретательный. Один из способов угона аккаунтов пользователей Facebook — запугивание и рассылка сообщений о якобы нарушении авторских прав.
Жертва получает от имени администрации Facebook фейковое письмо, в котором белым по синему сказано: «Вы — злостный нарушитель, аккаунт ваш скоро забанят, а вас засудят за использование чужих изображений». Для решения вопроса приглашают пройти по ссылке и авторизоваться в соцсети. Ясен красен, ссылка поддельная и ведёт на фишинговую форму, через которую пользователь легко и непринужденно передаёт логин и пароль прямиком кибершпане.
То же самое вытворяют и «ВКонтакте». Ругают пользователя, грозятся блокировкой и судами.
Даже двухфакторка может оказаться бесполезной. При удачном стечении обстоятельств киберзлодей может успеть перехватить код авторизации и войти в аккаунт жертвы.
Я тоже получала похожие письма. Конечно, на несколько секунд охватывает паника. Потом смотрю — а почта какая-то палёная, на админа соцсети отправитель не похож. Но на панике можно натворить всякого и потерять аккаунт.
Способ защиты прост — никому не доверяем, пятьсот раз все письма проверяем. Если на ваш аккаунт реально пожаловались за нарушение авторских прав, вам сообщат в уведомлениях внутри социальной сети и уж точно не будут слать письма с просьбой срочно перейти по ссылке и залогиниться.
Forwarded from умный холодильник
Принтер-вымогатель
То кофемашина вымогает деньги, то принтеры печатают послания с требованием выкупа. Хоть заводи рубрику о вещах-преступниках.
Есть такой гадкий вредонос-шифровальщик — Egregor. Мало того, что он пакостит и грозится уничтожить все данные жертвы, так ещё и печатает записки с требованием выкупа на всех доступных принтерах. Причём послания могут быть напечатаны даже на кассовых чеках.
Такая атака более актуальна для компаний, чем для обычных пользователей. Проблемы с безопасностью любят замалчивать. Иногда их скрывают даже от сотрудников. Как неловко будет, если окаянный вирус возьмёт и отправит палевные письма на МФУ кадровиков или бухгалтеров.
То кофемашина вымогает деньги, то принтеры печатают послания с требованием выкупа. Хоть заводи рубрику о вещах-преступниках.
Есть такой гадкий вредонос-шифровальщик — Egregor. Мало того, что он пакостит и грозится уничтожить все данные жертвы, так ещё и печатает записки с требованием выкупа на всех доступных принтерах. Причём послания могут быть напечатаны даже на кассовых чеках.
Такая атака более актуальна для компаний, чем для обычных пользователей. Проблемы с безопасностью любят замалчивать. Иногда их скрывают даже от сотрудников. Как неловко будет, если окаянный вирус возьмёт и отправит палевные письма на МФУ кадровиков или бухгалтеров.
Преступники на фрилансе. Что такое кардинг
Мошеннические действия с банковскими картами называют кардингом. Кардеры воруют кошельки жертв, пробуют списать деньги или ищут уязвимости в процессе выдачи заказа, оформления банковского продукта. Кардеры повсюду: в таких грязных делишках бывают замешаны официанты, курьеры.
Кардингом называется и копирование данных магнитной полосы на карте, кража PIN-кода. Этот метод был популярен до распространения чипов. Сейчас куда опаснее получение реквизитов карты и попытка оплатить товары или услуги «без пластика» на руках.
В даркнете продаются базы с реквизитами банковских карт, данными для входа в аккаунт онлайн-банка. Кардеры покупают их и проверяют актуальность до тех пор, пока не смогут воспользоваться какой-то из карт.
Выводить средства удаётся по-разному. Часто кибершпана покупает товары, например, через PayPal, а потом продаёт новенькую технику и другие ценные вещи на досках объявлений. Деньги также можно обналичить: через казино, криптовалютные биржи.
В цепочке кардинга задействуют дропов — ребят, которые выполняют самую грязную работу — обналичивают деньги. Дропы принимают на свои реквизиты похищенные средства или оформляют заказы на свои адреса.
В сети есть гуру кардинга, целые каналы, посвящённые обучению этому ремеслу. Пользователям обещают лёгкий заработок с минимальными вложениями: «Налетай, не стесняйся, сделаем из тебя настоящего хацкера, мама будет гордиться!» Но в реальности всё, что учащиеся смогут заработать, — тюремный срок.
Некоторые гуру гарантируют трудоустройство, обещают взять лучших учеников в команду. Конечно, возьмут, дропы-то всегда нужны. Если старого дропа посадят, а нового не найдут, работа ж простаивать будет. «За шторкой» не рекомендуют заниматься кардингом, посещать подобные курсы и откликаться на вакансии.
Мошеннические действия с банковскими картами называют кардингом. Кардеры воруют кошельки жертв, пробуют списать деньги или ищут уязвимости в процессе выдачи заказа, оформления банковского продукта. Кардеры повсюду: в таких грязных делишках бывают замешаны официанты, курьеры.
Кардингом называется и копирование данных магнитной полосы на карте, кража PIN-кода. Этот метод был популярен до распространения чипов. Сейчас куда опаснее получение реквизитов карты и попытка оплатить товары или услуги «без пластика» на руках.
В даркнете продаются базы с реквизитами банковских карт, данными для входа в аккаунт онлайн-банка. Кардеры покупают их и проверяют актуальность до тех пор, пока не смогут воспользоваться какой-то из карт.
Выводить средства удаётся по-разному. Часто кибершпана покупает товары, например, через PayPal, а потом продаёт новенькую технику и другие ценные вещи на досках объявлений. Деньги также можно обналичить: через казино, криптовалютные биржи.
В цепочке кардинга задействуют дропов — ребят, которые выполняют самую грязную работу — обналичивают деньги. Дропы принимают на свои реквизиты похищенные средства или оформляют заказы на свои адреса.
В сети есть гуру кардинга, целые каналы, посвящённые обучению этому ремеслу. Пользователям обещают лёгкий заработок с минимальными вложениями: «Налетай, не стесняйся, сделаем из тебя настоящего хацкера, мама будет гордиться!» Но в реальности всё, что учащиеся смогут заработать, — тюремный срок.
Некоторые гуру гарантируют трудоустройство, обещают взять лучших учеников в команду. Конечно, возьмут, дропы-то всегда нужны. Если старого дропа посадят, а нового не найдут, работа ж простаивать будет. «За шторкой» не рекомендуют заниматься кардингом, посещать подобные курсы и откликаться на вакансии.
За шторкой pinned «Лжедмитрий в кибербезопасности: фейковые антивирусы Лжеантивирусы — программы, которые имитируют удаление вредоноса с устройства. Или сначала заражают комп, а потом лечат. Их относят к scareware — программам-страшилкам. Мне по душе заморское название —…»
Forwarded from умный холодильник
Шпионский робот-пылесос
Безопасники снова взялись за умные устройства. Атака LidarPhone способна превратить робот-пылесос в шпионское устройство, подслушивающее разговоры.
С опаской смотрю на своего Роберта.
Атака возможна благодаря лидару, с помощью которого пылесос ориентируется в пространстве и отличает кошку от табуретки. Злоумышленник может использовать лидар и его лазер как лазерный микрофон. Такие микрофоны способны слушать информацию на расстоянии.
Кибершпане нужно получить контроль над лидаром. Это возможно, если вмешаться в процесс обновления прошивки или накормить пылесос зловредом.
Лазерные микрофоны отслеживают вибрации поверхности, которые потом можно декодировать и расшифровать беседу. Тут есть проблемки: пылесос мотает лидаром, что сокращает возможности прослушки. Но хакер может заставить пылесос сфокусироваться на одном объекте с помощью вредоноса.
В любом случае лидары пылесосов не так точны, как лазерные микрофоны. Но исследователи всё равно смогли получить хорошие результаты во время тестов на роботе-пылесосе Xiaomi Roborock.
Снова с опаской смотрю на своего Роберта.
Эксперты несколько раз попробовали снять сигнал с разных объектов и на разном расстоянии. Правда, эксперименты сосредоточились на восстановлении чисел, а не текста. Точность составила 90 %.
Безопасники утверждают, что LidarPhone можно использовать, чтобы выяснить пол тех, кто болтает возле пылесоса, и даже их политические взгляды по выпускам новостей, звучащих на фоне.
Безопасники снова взялись за умные устройства. Атака LidarPhone способна превратить робот-пылесос в шпионское устройство, подслушивающее разговоры.
С опаской смотрю на своего Роберта.
Атака возможна благодаря лидару, с помощью которого пылесос ориентируется в пространстве и отличает кошку от табуретки. Злоумышленник может использовать лидар и его лазер как лазерный микрофон. Такие микрофоны способны слушать информацию на расстоянии.
Кибершпане нужно получить контроль над лидаром. Это возможно, если вмешаться в процесс обновления прошивки или накормить пылесос зловредом.
Лазерные микрофоны отслеживают вибрации поверхности, которые потом можно декодировать и расшифровать беседу. Тут есть проблемки: пылесос мотает лидаром, что сокращает возможности прослушки. Но хакер может заставить пылесос сфокусироваться на одном объекте с помощью вредоноса.
В любом случае лидары пылесосов не так точны, как лазерные микрофоны. Но исследователи всё равно смогли получить хорошие результаты во время тестов на роботе-пылесосе Xiaomi Roborock.
Снова с опаской смотрю на своего Роберта.
Эксперты несколько раз попробовали снять сигнал с разных объектов и на разном расстоянии. Правда, эксперименты сосредоточились на восстановлении чисел, а не текста. Точность составила 90 %.
Безопасники утверждают, что LidarPhone можно использовать, чтобы выяснить пол тех, кто болтает возле пылесоса, и даже их политические взгляды по выпускам новостей, звучащих на фоне.