Всем привет, на связи ваш хакер 🦾
В сфере информационной безопасности я кручусь уже больше 10 лет, а в IT сфере в целом - больше 15 лет. За это время я наломал кучу всего: взломал Яндекс-пробки, Госуслуги, шлагбаумы Москвы, создал устройства для взлома радио и взлома мобильной связи, нашел уязвимости в сотне приложений, проникал в сети крупных организаций через уязвимости и в личные девайсы пользователей по всему миру.
Большинство моих взломов не были бы успешными, если бы люди не нарушали базовые правила безопасности.
Я устал на все это смотреть, потому и решил начать рассказывать обо всем этом простыми словами в своем канале, где наглядно показываю всем заранее, какие правила безопасности нужно соблюдать, чтобы не стать моей жертвой.
Пиши мне, если:
▪️У тебя есть вопросы по моим постам из @sectipsru
▪️У тебя есть темы, о которых ты хотел бы узнать больше в моих будущих постах
▪️У тебя есть вопрос, предполагающий быстрый ответ
▪️Тебе нужна определенная услуга после прочтения моих постов
_______
Связь - @personal_security_consulting
В сфере информационной безопасности я кручусь уже больше 10 лет, а в IT сфере в целом - больше 15 лет. За это время я наломал кучу всего: взломал Яндекс-пробки, Госуслуги, шлагбаумы Москвы, создал устройства для взлома радио и взлома мобильной связи, нашел уязвимости в сотне приложений, проникал в сети крупных организаций через уязвимости и в личные девайсы пользователей по всему миру.
Большинство моих взломов не были бы успешными, если бы люди не нарушали базовые правила безопасности.
Я устал на все это смотреть, потому и решил начать рассказывать обо всем этом простыми словами в своем канале, где наглядно показываю всем заранее, какие правила безопасности нужно соблюдать, чтобы не стать моей жертвой.
Пиши мне, если:
▪️У тебя есть вопросы по моим постам из @sectipsru
▪️У тебя есть темы, о которых ты хотел бы узнать больше в моих будущих постах
▪️У тебя есть вопрос, предполагающий быстрый ответ
▪️Тебе нужна определенная услуга после прочтения моих постов
_______
Связь - @personal_security_consulting
👍2
Знаете ли вы, что вы можете легко получить копию любого сайта, который вы хотите?
Копию можно легко получить с помощью «прокси» веб-сервера, который вернет браузеру клиента содержимое оригинальных веб-страниц. Эта схема позволяет также вносить любые изменения в дизайн оригинального сайта! Например, вы можете изменить тексты, цвета, удалить ненужные блоки и так далее.
В настоящее время мы работаем над веб-сервисом, который позволит любому получить копию любого сайта за пару кликов и настроить его множеством различных способов. Мы считаем, что данный вид услуг будет особенно полезен для следующих групп:
1. Люди, которые хотят иметь копию уже существующего веб-сайта для себя, не тратив деньги на разработку
2. Люди, которым нужно показать какой-то сайт другим, но их беспокоит нежелательное содержимое, которое мешает.
3. Веб-студии, которые создают веб-сайты для клиентов и хотят быстро создавать прототипы для демонстрации клиентам.
Концепция нашего нового сервиса довольно проста:
1. У вас есть домен в Интернете (например, mysite.com)
2. Вы хотите копию сайта google.com
3. Когда кто-либо в Интернете обращается к вашему домену (mysite.com), содержимое google.com отображается с измененным содержимым.
Подпишитесь на нашу страницу, чтобы повысить свою личную безопасность!
Копию можно легко получить с помощью «прокси» веб-сервера, который вернет браузеру клиента содержимое оригинальных веб-страниц. Эта схема позволяет также вносить любые изменения в дизайн оригинального сайта! Например, вы можете изменить тексты, цвета, удалить ненужные блоки и так далее.
В настоящее время мы работаем над веб-сервисом, который позволит любому получить копию любого сайта за пару кликов и настроить его множеством различных способов. Мы считаем, что данный вид услуг будет особенно полезен для следующих групп:
1. Люди, которые хотят иметь копию уже существующего веб-сайта для себя, не тратив деньги на разработку
2. Люди, которым нужно показать какой-то сайт другим, но их беспокоит нежелательное содержимое, которое мешает.
3. Веб-студии, которые создают веб-сайты для клиентов и хотят быстро создавать прототипы для демонстрации клиентам.
Концепция нашего нового сервиса довольно проста:
1. У вас есть домен в Интернете (например, mysite.com)
2. Вы хотите копию сайта google.com
3. Когда кто-либо в Интернете обращается к вашему домену (mysite.com), содержимое google.com отображается с измененным содержимым.
Подпишитесь на нашу страницу, чтобы повысить свою личную безопасность!
👍6
Удаляйте метаданные из своих фотографий
Ваши фотографии могут рассказать о вас больше, чем вам хотелось бы. Проблема в том, что каждое изображение, которое вы делаете, содержит дополнительную информацию в своем файле:
1. Время, когда был сделан снимок
2. Место съемки
3. Модель вашего телефона, на который был сделан снимок
Поэтому вы должны быть осторожны, отправляя свои фотографии через Интернет людям, потому что, если они в курсе этой особенности, они могут получить дополнительную информацию о вас. Например, если вы отправите свои старые фотографии и скажете, что они были сняты сегодня, люди смогут проверить, настоящая ли это дата.
Но не стоит паниковать! Спасибо разработчикам популярных приложений, что они уже позаботились о нашей безопасности. Все популярные мессенджеры (Telegram, Whatsapp) убирают эту информацию с картинок. Но все же есть каналы, где вы все равно не защищены при обмене картинками:
1. Отправка изображений по электронной почте
2. Обмен изображениями через Dropbox/Google Photos и другие облачные сервисы
3. Обмен изображениями через любые сторонние сервисы, о которых мало что известно.
Подпишитесь, чтобы повысить свою личную безопасность!
Ваши фотографии могут рассказать о вас больше, чем вам хотелось бы. Проблема в том, что каждое изображение, которое вы делаете, содержит дополнительную информацию в своем файле:
1. Время, когда был сделан снимок
2. Место съемки
3. Модель вашего телефона, на который был сделан снимок
Поэтому вы должны быть осторожны, отправляя свои фотографии через Интернет людям, потому что, если они в курсе этой особенности, они могут получить дополнительную информацию о вас. Например, если вы отправите свои старые фотографии и скажете, что они были сняты сегодня, люди смогут проверить, настоящая ли это дата.
Но не стоит паниковать! Спасибо разработчикам популярных приложений, что они уже позаботились о нашей безопасности. Все популярные мессенджеры (Telegram, Whatsapp) убирают эту информацию с картинок. Но все же есть каналы, где вы все равно не защищены при обмене картинками:
1. Отправка изображений по электронной почте
2. Обмен изображениями через Dropbox/Google Photos и другие облачные сервисы
3. Обмен изображениями через любые сторонние сервисы, о которых мало что известно.
Подпишитесь, чтобы повысить свою личную безопасность!
👍2
Установите PIN-код на SIM-карте
Представьте, что однажды вы оказались в ситуации, когда ваш смартфон украли или потеряли. Если ваш экран заблокирован (с паролем), первое, о чем вы будете беспокоиться, это цена вашего смартфона.
Но вы забыли о своей SIM-карте, которая, скорее всего, не имеет защитного PIN-кода! Это может быть джек-потом для вора, потому что воры знают, что защита экрана для них почти непробиваема, в отличие от SIM-карты без PIN. Незащищенная SIM-карта позволяет похитителям проводить практически любые манипуляции с вашими банковскими счетами и социальными сетями, поскольку все они используют SMS-верификацию.
Похитителям даже не нужен ваш смартфон, им нужна только ваша SIM-карта, чтобы получить доступ ко всему, что им действительно нужно. Они просто вынимают SIM-карту из украденного телефона и вставляют ее в другой смартфон. Существует множество инструментов, которые похитители используют для быстрого поиска связанных с номером телефона банковских и социальных учетных записей.
Чтобы защитить себя от этой угрозы, установите PIN-код SIM-карты по инструкциям ниже:
1. Android: https://lnkd.in/dMzcxAcJ
2. iOS: https://lnkd.in/dparQBPS
Если вы уже оказались в ситуации, когда похитители украли вашу незащищенную SIM-карту, как можно скорее обратитесь в офис оператора и заблокируйте вашу SIM-карту!
Подпишитесь, чтобы повысить свою личную безопасность!
Представьте, что однажды вы оказались в ситуации, когда ваш смартфон украли или потеряли. Если ваш экран заблокирован (с паролем), первое, о чем вы будете беспокоиться, это цена вашего смартфона.
Но вы забыли о своей SIM-карте, которая, скорее всего, не имеет защитного PIN-кода! Это может быть джек-потом для вора, потому что воры знают, что защита экрана для них почти непробиваема, в отличие от SIM-карты без PIN. Незащищенная SIM-карта позволяет похитителям проводить практически любые манипуляции с вашими банковскими счетами и социальными сетями, поскольку все они используют SMS-верификацию.
Похитителям даже не нужен ваш смартфон, им нужна только ваша SIM-карта, чтобы получить доступ ко всему, что им действительно нужно. Они просто вынимают SIM-карту из украденного телефона и вставляют ее в другой смартфон. Существует множество инструментов, которые похитители используют для быстрого поиска связанных с номером телефона банковских и социальных учетных записей.
Чтобы защитить себя от этой угрозы, установите PIN-код SIM-карты по инструкциям ниже:
1. Android: https://lnkd.in/dMzcxAcJ
2. iOS: https://lnkd.in/dparQBPS
Если вы уже оказались в ситуации, когда похитители украли вашу незащищенную SIM-карту, как можно скорее обратитесь в офис оператора и заблокируйте вашу SIM-карту!
Подпишитесь, чтобы повысить свою личную безопасность!
👍2
Как легко проверить, был ли ваш компьютер взломан?
Существует интересный механизм, с помощью которого вы можете обмануть хакеров, если они уже находятся в вашем компьютере: сделайте файл с привлекательным именем, таким как "пароль.docx" или "мои секреты.xls", но не храните реальные данные в этих файлах. Эти файлы - просто приманка для хакеров, которые думают, что вы глупая жертва. Вместо этого хакеры станут вашей жертвой!
Когда хакеры откроют вашу приманку, вы получите уведомление на электронную почту, что файл был открыт кем-то. Эта техника называется «Canary Tokens».
Canary Tokens могут быть сгенерированы через этот сайт - https://canarytokens.org (лично рекомендуем), и их можно использовать в разных интересных случаях, получая уведомления, когда:
1. Был открыт документ в Microsoft Excel/Word
2. Была просмотрена папка Windows в Windows Explorer
3. Был открыт PDF -документ в Acrobat Reader
4. Был склонирован ваш сайт
5. По кредитной карте производится транзакция
Если однажды вы получите уведомление по электронной почте - плохие новости! У кого -то уже есть доступ к вашему компьютеру, и они ищут ваши личные данные! В будущих сообщениях мы объясним, как оставаться защищенным, даже если кто -то получит доступ к вашему компьютеру.
Подписывайтесь, чтобы повысить вашу личную безопасность!
Существует интересный механизм, с помощью которого вы можете обмануть хакеров, если они уже находятся в вашем компьютере: сделайте файл с привлекательным именем, таким как "пароль.docx" или "мои секреты.xls", но не храните реальные данные в этих файлах. Эти файлы - просто приманка для хакеров, которые думают, что вы глупая жертва. Вместо этого хакеры станут вашей жертвой!
Когда хакеры откроют вашу приманку, вы получите уведомление на электронную почту, что файл был открыт кем-то. Эта техника называется «Canary Tokens».
Canary Tokens могут быть сгенерированы через этот сайт - https://canarytokens.org (лично рекомендуем), и их можно использовать в разных интересных случаях, получая уведомления, когда:
1. Был открыт документ в Microsoft Excel/Word
2. Была просмотрена папка Windows в Windows Explorer
3. Был открыт PDF -документ в Acrobat Reader
4. Был склонирован ваш сайт
5. По кредитной карте производится транзакция
Если однажды вы получите уведомление по электронной почте - плохие новости! У кого -то уже есть доступ к вашему компьютеру, и они ищут ваши личные данные! В будущих сообщениях мы объясним, как оставаться защищенным, даже если кто -то получит доступ к вашему компьютеру.
Подписывайтесь, чтобы повысить вашу личную безопасность!
👍5🔥3
Регулярно проверяйте активные сеансы в своих аккаунтах социальных сетей.
Даже если сейчас вы заботитесь о своей безопасности, в прошлом вы могли легко допустить утечку своих учетных данных. Возможно, вы вошли в свою учетную запись с какого-то постороннего устройства, возможно, вы везде использовали один и тот же пароль или, возможно, хакеры уже давно проникли в ваш компьютер (прочитайте наш предыдущий пост, как это выяснить!).
Большинство популярных сервисов, которые вы используете, позволяют вам проверять все активные сеансы, которые есть у вас на вашем аккаунте: Facebook. Вконтакте, Инстаграм, Телеграм
Если вы видите какие-то странные сеансы с неизвестных устройств или из-за рубежа, завершите все свои сеансы, смените пароль и войдите снова! Это означает, что кто-то украл ваши учетные данные и использует вашу учетную запись параллельно! Также было бы отличным дополнением настроить 2FA-безопасность (об этом мы поговорим в следующих постах).
Подписывайтесь, чтобы повысить вашу личную безопасность!
Даже если сейчас вы заботитесь о своей безопасности, в прошлом вы могли легко допустить утечку своих учетных данных. Возможно, вы вошли в свою учетную запись с какого-то постороннего устройства, возможно, вы везде использовали один и тот же пароль или, возможно, хакеры уже давно проникли в ваш компьютер (прочитайте наш предыдущий пост, как это выяснить!).
Большинство популярных сервисов, которые вы используете, позволяют вам проверять все активные сеансы, которые есть у вас на вашем аккаунте: Facebook. Вконтакте, Инстаграм, Телеграм
Если вы видите какие-то странные сеансы с неизвестных устройств или из-за рубежа, завершите все свои сеансы, смените пароль и войдите снова! Это означает, что кто-то украл ваши учетные данные и использует вашу учетную запись параллельно! Также было бы отличным дополнением настроить 2FA-безопасность (об этом мы поговорим в следующих постах).
Подписывайтесь, чтобы повысить вашу личную безопасность!
👍6❤1
Используйте менеджер паролей
Если вы используете одинаковый пароль более чем на одном сайте, у меня для вас плохие новости: возможно, ваши пароли утекли на одном сайте и используются хакерами на другом сайте! Вы можете легко проверить утекшие данные о себе с помощью Telegram-бота "Глаз Бога" - https://eyeofgod.vision/. Если он знает о ваших паролях, то хакеры - подавно.
Вместо одного пароля на всех сайтах используйте один пароль для доступа к программе-менеджеру паролей, а на каждом отдельном сайте используйте уникальный пароль, который не придется даже запоминать. Наиболее безопасное приложение для управления своими паролями - Keepass (https://keepass.info/).
Подписывайтесь, чтобы повысить свою личную безопасность 🦾
Если вы используете одинаковый пароль более чем на одном сайте, у меня для вас плохие новости: возможно, ваши пароли утекли на одном сайте и используются хакерами на другом сайте! Вы можете легко проверить утекшие данные о себе с помощью Telegram-бота "Глаз Бога" - https://eyeofgod.vision/. Если он знает о ваших паролях, то хакеры - подавно.
Вместо одного пароля на всех сайтах используйте один пароль для доступа к программе-менеджеру паролей, а на каждом отдельном сайте используйте уникальный пароль, который не придется даже запоминать. Наиболее безопасное приложение для управления своими паролями - Keepass (https://keepass.info/).
Подписывайтесь, чтобы повысить свою личную безопасность 🦾
👍6🔥1
Заведите себе план восстановления на "черный" день
Представьте, что в один день вы лишились всех своих гаджетов по непредвиденной причине. Как вы теперь восстановите доступ к своим социальным сетям, фотографиям, документам и банковским счетам?
Чтобы такая ситуация не настигла вас однажды врасплох, рекомендую использовать подход, который уже не раз выручал меня:
1. На свои девайсы установите программу iDrive (https://www.idrive.com) для регулярного копирования файлов в облако (программа безопасная, так как хранит все данные в зашифрованном виде, никто не сможет их прочитать)
2. Перенесите все свои пароли (в том числе доступ к iDrive) в менеджер паролей (о нем в предыдущем посте)
3. Файл менеджера паролей храните в Dropbox (файл также зашифрован, это безопасно)
3. Для Dropbox заведите отдельный пароль и запомните его
Теперь, если в один день случится землетрясение/наводнение/пожар, вы сможете легко восстановить все свои данные:
1. Зайти в свой аккаунт Dropbox, скачать файл с паролями
2. Из файла с паролями восстановить доступы во все свои аккаунты
3. Из аккаунта iDrive восстановить резервные копии всех своих файлов и документов
Частные консультации по безопасности - @personal_security_consulting
Подписывайтесь, чтобы повысить свою личную безопасность 🦾
Представьте, что в один день вы лишились всех своих гаджетов по непредвиденной причине. Как вы теперь восстановите доступ к своим социальным сетям, фотографиям, документам и банковским счетам?
Чтобы такая ситуация не настигла вас однажды врасплох, рекомендую использовать подход, который уже не раз выручал меня:
1. На свои девайсы установите программу iDrive (https://www.idrive.com) для регулярного копирования файлов в облако (программа безопасная, так как хранит все данные в зашифрованном виде, никто не сможет их прочитать)
2. Перенесите все свои пароли (в том числе доступ к iDrive) в менеджер паролей (о нем в предыдущем посте)
3. Файл менеджера паролей храните в Dropbox (файл также зашифрован, это безопасно)
3. Для Dropbox заведите отдельный пароль и запомните его
Теперь, если в один день случится землетрясение/наводнение/пожар, вы сможете легко восстановить все свои данные:
1. Зайти в свой аккаунт Dropbox, скачать файл с паролями
2. Из файла с паролями восстановить доступы во все свои аккаунты
3. Из аккаунта iDrive восстановить резервные копии всех своих файлов и документов
Частные консультации по безопасности - @personal_security_consulting
Подписывайтесь, чтобы повысить свою личную безопасность 🦾
👍7❤1
Чем занимается ваш компьютер, когда он включен всю ночь?
Я проанализировал сетевую активность Windows-ноутбука, который всю ночь был во включённом состоянии (на этом ноутбуке никто не работал). Были установлены только основные популярные приложения, используемые большинством из нас для повседневной работы. Итак, что ноутбук делал всю ночь?
Получилась такая хронология:
1:02 : 140 КБ данных утекли на сервера Google
1:22 : 80 КБ данных утекли на сервера Microsoft
2:41 : 35 КБ данных просочились на сервера Microsoft (снова)
4:45 : 400 КБ данных просочились на сервера Google (снова)
5:48 : 800 КБ данных утекли на сервера Dropbox
Как видите, популярные приложения постоянно собирают данные о нас. Dropbox собирал данные о файлах в системе, а вот Google и Microsoft собирали телеметрию для своего рекламного движка. Проверка IP-адресов, на которые передавались данные за ночь показала, что все они принадлежат центрам обработки данных(ЦОДам) крупных технологических компаний.
Что мы можем сделать, чтобы помешать крупным компаниям собирать данные о нас? Вот простые шаги, чтобы значительно сократить сбор данных:
1. Отключить сбор телеметрии в операционной системе (инструкция для windows - https://club.dns-shop.ru/blog/t-328-prilojeniya/20001-windows-10-shpionit-za-polzovatelyami-otkluchaem-telemetriu-i-sbo/
2. Установить AdBlock (https://getadblock.com/ru), чтобы защититься от веб-сайтов, отправляющих телеметрию для таргетированной рекламы в Google и Facebook
3. Всегда выключать галочку "Отправлять статистику" в настройках каждой программы, которую используете.
Частные консультации по безопасности - @personal_security_consulting
Подписывайтесь, чтобы повысить свою личную безопасность 🦾
Я проанализировал сетевую активность Windows-ноутбука, который всю ночь был во включённом состоянии (на этом ноутбуке никто не работал). Были установлены только основные популярные приложения, используемые большинством из нас для повседневной работы. Итак, что ноутбук делал всю ночь?
Получилась такая хронология:
1:02 : 140 КБ данных утекли на сервера Google
1:22 : 80 КБ данных утекли на сервера Microsoft
2:41 : 35 КБ данных просочились на сервера Microsoft (снова)
4:45 : 400 КБ данных просочились на сервера Google (снова)
5:48 : 800 КБ данных утекли на сервера Dropbox
Как видите, популярные приложения постоянно собирают данные о нас. Dropbox собирал данные о файлах в системе, а вот Google и Microsoft собирали телеметрию для своего рекламного движка. Проверка IP-адресов, на которые передавались данные за ночь показала, что все они принадлежат центрам обработки данных(ЦОДам) крупных технологических компаний.
Что мы можем сделать, чтобы помешать крупным компаниям собирать данные о нас? Вот простые шаги, чтобы значительно сократить сбор данных:
1. Отключить сбор телеметрии в операционной системе (инструкция для windows - https://club.dns-shop.ru/blog/t-328-prilojeniya/20001-windows-10-shpionit-za-polzovatelyami-otkluchaem-telemetriu-i-sbo/
2. Установить AdBlock (https://getadblock.com/ru), чтобы защититься от веб-сайтов, отправляющих телеметрию для таргетированной рекламы в Google и Facebook
3. Всегда выключать галочку "Отправлять статистику" в настройках каждой программы, которую используете.
Частные консультации по безопасности - @personal_security_consulting
Подписывайтесь, чтобы повысить свою личную безопасность 🦾
👍8❤2👎2🤔2