15 базовых правил личной безопасности, которые защитят вас от 95% угроз хакеров:
№1. Используйте менеджер паролей
№2. Используйте двухфакторную аутентификацию
№3. Не давайте другим свои девайсы
№4. Установите PIN-код на SIM-карте
№5. Не будьте жертвой фишинга. Перепроверяйте всё в Интернете
№6. Используйте виртуальные карты при оплате в Интернете
№7. Не используйте девайсы от левых производителей и продавцов
№8. Не устанавливайте пиратское ПО в той же системе, где храните ценные данные
№9. Регулярно проверяйте активные сеансы в своих аккаунтах социальных сетей
№10. Делайте резервные копии и храните их отдельно
№11. Заведите себе план восстановления на "черный" день
№12. Оставляйте о себе как можно меньше цифровых следов в Интернете
№13. Пользуйтесь VPN при подключении к чужому Wi-FI
№14. Не подключайте к своим девайсам чужие девайсы
№15. Прячьте ценные файлы
Прокачивайте свою личную безопасность, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
#дайджест
№1. Используйте менеджер паролей
№2. Используйте двухфакторную аутентификацию
№3. Не давайте другим свои девайсы
№4. Установите PIN-код на SIM-карте
№5. Не будьте жертвой фишинга. Перепроверяйте всё в Интернете
№6. Используйте виртуальные карты при оплате в Интернете
№7. Не используйте девайсы от левых производителей и продавцов
№8. Не устанавливайте пиратское ПО в той же системе, где храните ценные данные
№9. Регулярно проверяйте активные сеансы в своих аккаунтах социальных сетей
№10. Делайте резервные копии и храните их отдельно
№11. Заведите себе план восстановления на "черный" день
№12. Оставляйте о себе как можно меньше цифровых следов в Интернете
№13. Пользуйтесь VPN при подключении к чужому Wi-FI
№14. Не подключайте к своим девайсам чужие девайсы
№15. Прячьте ценные файлы
Прокачивайте свою личную безопасность, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
#дайджест
2.08K👍31❤8🤔4🔥1
Персональная безопасность pinned «Всем привет, на связи ваш хакер 🦾 В сфере информационной безопасности я кручусь уже больше 10 лет, а в IT сфере в целом - больше 15 лет. За это время я наломал кучу всего: взломал Яндекс-пробки, Госуслуги, шлагбаумы Москвы, создал устройства для взлома радио…»
Пользуйтесь криптовалютой. Пользуйтесь холодными кошельками.
Звучит, как скам, но безопасность криптовалюты действительно на порядок выше, чем безопасность банка. А все потому, что безопасность вашего крипто-кошелька - только в ваших руках, а безопасность счета в банке находится в руках банковских лодырей.
Сейчас большинство доверяет банкам больше, потому что передать свою безопасность в их руки - проще, чем заниматься своей безопасностью самостоятельно, но на самом деле обеспечить защиту своих средств в криптовалюте проще простого.
В это сложно поверить на фоне кучи новостей о воровстве чужой криптовалюты за последние годы. Но я вам открою правду о том, почему хакеры угоняют чужую криптовалюту поголовно: банковские лодыри пробрались в криптовалютный мир и хотят, чтобы вы им передавали свою безопасность, как в обычном банке! Делают это они так: доступы к вашим крипто-кошелькам на самом деле находятся не у вас, а у криптовалютных бирж вроде Binance\Coinbase\FTX\Mt.Gox. "Защищают" ваши кошельки они своими силами, храня ключи от кошельков на своих серверах. А проникнуть на сервер - задача для хакера решаемая.
Вы же помните, что нельзя доверять свою безопасность дилетантам? А теперь представьте, что произойдет, если банковский лодырь объединится с дилетантом-защитником сервера биржи? Безопасность не вырастет вдвое, а упадет вчетверо!
Именно поэтому, если вы никогда не будете вверять свою безопасность другим и сами не будете косячить, вы почти в 100% безопасности. А чтобы не косячить, пользуйтесь только холодными крипто-кошельками, ключи от которого только у вас. Самый безопасный вариант холодного кошелька - кошелек-"флешка", который вообще не передает ключ от вашего кошелька в потенциально зараженную систему, а хранит ключ у себя внутри. Такое не проломить даже если вы однажды забудете, что свои девайсы никому нельзя давать 😳
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Звучит, как скам, но безопасность криптовалюты действительно на порядок выше, чем безопасность банка. А все потому, что безопасность вашего крипто-кошелька - только в ваших руках, а безопасность счета в банке находится в руках банковских лодырей.
Сейчас большинство доверяет банкам больше, потому что передать свою безопасность в их руки - проще, чем заниматься своей безопасностью самостоятельно, но на самом деле обеспечить защиту своих средств в криптовалюте проще простого.
В это сложно поверить на фоне кучи новостей о воровстве чужой криптовалюты за последние годы. Но я вам открою правду о том, почему хакеры угоняют чужую криптовалюту поголовно: банковские лодыри пробрались в криптовалютный мир и хотят, чтобы вы им передавали свою безопасность, как в обычном банке! Делают это они так: доступы к вашим крипто-кошелькам на самом деле находятся не у вас, а у криптовалютных бирж вроде Binance\Coinbase\FTX\Mt.Gox. "Защищают" ваши кошельки они своими силами, храня ключи от кошельков на своих серверах. А проникнуть на сервер - задача для хакера решаемая.
Вы же помните, что нельзя доверять свою безопасность дилетантам? А теперь представьте, что произойдет, если банковский лодырь объединится с дилетантом-защитником сервера биржи? Безопасность не вырастет вдвое, а упадет вчетверо!
Именно поэтому, если вы никогда не будете вверять свою безопасность другим и сами не будете косячить, вы почти в 100% безопасности. А чтобы не косячить, пользуйтесь только холодными крипто-кошельками, ключи от которого только у вас. Самый безопасный вариант холодного кошелька - кошелек-"флешка", который вообще не передает ключ от вашего кошелька в потенциально зараженную систему, а хранит ключ у себя внутри. Такое не проломить даже если вы однажды забудете, что свои девайсы никому нельзя давать 😳
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍11🔥1
Социальные сети и мессенджеры сливают ваш аккаунт всем вашим контактам из телефонной книги
Если хотите завести Instagram-аккаунт для публикации откровенных фото или установить неполиткорректный статус в Whatsapp, помните, что ваша семья и ваши друзья их тоже увидят, как только начнут пользоваться той же социальной сетью или мессенджером.
Это один из тех случаев, когда между удобством и безопасностью разработчики делают выбор в пользу первого. Дело в том, что все социальные сети и мессенджеры периодическиворуютзагружают список всех ваших контактов из телефонной книги к себе на сервера, далее они по каждому контакту ищут аккаунт у себя в базе и отдают список найденных аккаунтов вам в качестве рекомендаций "на кого подписаться"/"с кем начать переписываться". Telegram, например, вообще отправит уведомление всем, у кого вы есть в телефонной книге как только вы зарегистрируете свой номер.
Этим недочетом пользуются многие Интернет-разведчики - имея на руках ваш номер телефона, они могут найти связанные с номером аккаунты в социальных сетях и мессенджерах. Существует целая куча приложений, позволяющих "имитировать" загрузку контактов из телефонной книги для разных социальных сетей и мессенджеров, чтобы находить аккаунт по номеру. Я сам участвовал в разработке таких - для слежки за пользователями Whatsapp и Instagram. Вы не поверите, как много людей готовы платить за сервис автоматизированной слежки за своими вторыми половинками, несмотря на то, что они могут делать это прямиком из своего аккаунта в приложении!
Если вы хотите совершать от имени аккаунта в социальной сети или мессенджере какие-то дела, за которые потом будет стыдно перед семьей/бизнес-партнером/мамой, не давайте приложению доступ к своей телефонной книге, а еще лучше - пользуйтесь раздельными номерами для личной жизни и работы (об этом в будущих постах) 😎
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Если хотите завести Instagram-аккаунт для публикации откровенных фото или установить неполиткорректный статус в Whatsapp, помните, что ваша семья и ваши друзья их тоже увидят, как только начнут пользоваться той же социальной сетью или мессенджером.
Это один из тех случаев, когда между удобством и безопасностью разработчики делают выбор в пользу первого. Дело в том, что все социальные сети и мессенджеры периодически
Этим недочетом пользуются многие Интернет-разведчики - имея на руках ваш номер телефона, они могут найти связанные с номером аккаунты в социальных сетях и мессенджерах. Существует целая куча приложений, позволяющих "имитировать" загрузку контактов из телефонной книги для разных социальных сетей и мессенджеров, чтобы находить аккаунт по номеру. Я сам участвовал в разработке таких - для слежки за пользователями Whatsapp и Instagram. Вы не поверите, как много людей готовы платить за сервис автоматизированной слежки за своими вторыми половинками, несмотря на то, что они могут делать это прямиком из своего аккаунта в приложении!
Если вы хотите совершать от имени аккаунта в социальной сети или мессенджере какие-то дела, за которые потом будет стыдно перед семьей/бизнес-партнером/мамой, не давайте приложению доступ к своей телефонной книге, а еще лучше - пользуйтесь раздельными номерами для личной жизни и работы (об этом в будущих постах) 😎
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍13
Персональная безопасность pinned «15 базовых правил личной безопасности, которые защитят вас от 95% угроз хакеров: №1. Используйте менеджер паролей №2. Используйте двухфакторную аутентификацию №3. Не давайте другим свои девайсы №4. Установите PIN-код на SIM-карте №5. Не будьте жертвой фишинга.…»
Могут ли хакеры залезать в любые ваши аккаунты по щелчку пальцев?
Если бы это было действительно так, я бы регулярно ломал аккаунты каких-нибудь крупных бизнесменов/политиков, писал бы в социальных сетях пару постов от их имени, которые бы обрушали фондовый рынок, регулярно бы закупался ценными бумагами подешевле, ну и попивал бы коктейли где-нибудь на Бали 😎
Каждый раз, когда я встречаю на просторах Интернета объявления о том, что некто гарантированно взломает аккаунты в любых социальных сетях и мессенджерах с полным доступом к перепискам, я улыбаюсь. Особенно забавно это слышать в адрес WhatsApp, который вообще хранит все переписки только локально на устройстве и не отправляет их никуда за пределы, если только вы не пользуетесь функциями резервного копирования и переноса чатов (проверено лично в ходе изучения WhatsApp).
Как я уже неоднократно говорил, хакеры - не волшебники, которые могут с помощью некоторой неведомой магии залезать на сервера любых организаций. Нет никаких "специальных программ" для взлома. Если такие программы и появляются, основаны они как правило на найденной хакерами уязвимости, которую IT-штат уязвимой компании быстро устраняет. Если вы пользуетесь надежными паролями, двухфакторной аутентификацией, не устанавливаете к себе в систему что попало и не подвластны фишингу, то вероятность взлома ваших аккаунтов почти нулевая.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Если бы это было действительно так, я бы регулярно ломал аккаунты каких-нибудь крупных бизнесменов/политиков, писал бы в социальных сетях пару постов от их имени, которые бы обрушали фондовый рынок, регулярно бы закупался ценными бумагами подешевле, ну и попивал бы коктейли где-нибудь на Бали 😎
Каждый раз, когда я встречаю на просторах Интернета объявления о том, что некто гарантированно взломает аккаунты в любых социальных сетях и мессенджерах с полным доступом к перепискам, я улыбаюсь. Особенно забавно это слышать в адрес WhatsApp, который вообще хранит все переписки только локально на устройстве и не отправляет их никуда за пределы, если только вы не пользуетесь функциями резервного копирования и переноса чатов (проверено лично в ходе изучения WhatsApp).
Как я уже неоднократно говорил, хакеры - не волшебники, которые могут с помощью некоторой неведомой магии залезать на сервера любых организаций. Нет никаких "специальных программ" для взлома. Если такие программы и появляются, основаны они как правило на найденной хакерами уязвимости, которую IT-штат уязвимой компании быстро устраняет. Если вы пользуетесь надежными паролями, двухфакторной аутентификацией, не устанавливаете к себе в систему что попало и не подвластны фишингу, то вероятность взлома ваших аккаунтов почти нулевая.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍17❤1🤔1
Удаляйте неиспользуемые приложения
Как только вы станете адептом 15 правил личной безопасности, останется еще 5% угроз, в результате которых вас могут взломать.
Дело в том, что каждое приложение, установленное в вашей системе - это потенциально открытая дверь для хакера. Каждое приложение содержит кучу ненайденных уязвимостей, через которые хакеры способны проникнуть в вашу личную и рабочую жизнь. Любая уязвимость - это логическая ошибка, которую в своем коде допустил разработчик приложения.
Современный софт стал настолько сложным, что писать код без уязвимостей, ксчастьюсожалению стало невозможно. Подумайте сами: в одном только мобильном приложении какого-то жалкого мессенджера WhatsApp/Telegram скомпилированного исходного кода на 10 мегабайт - это сотни тысяч строк читаемого кода, позволяющие синхронно работать подсистеме шифрования, сетевого обмена, пользовательского интерфейса, логирования, обновления профиля и т.д. Представляете, сколько там еще ненайденных ошибок, которые ждут своего хакера? 😁
Когда мне надо что-то взломать, одним из первых шагов для меня является сбор информации о том, какие приложения и каких версий установлены у жертвы - чтобы подобрать найденные ранее другими хакерами уязвимости, которые они почти всегда публикуют в открытом доступе. Но если никто до меня нужную уязвимость не находил, я приступаю к поиску самостоятельно - процесс это очень интересный и не всегда сложный (а иногда уязвимости сами находят хорошего хакера 😎)
Что делать? Ничего лучше, чем регулярно обновлять весь свой софт и удалять все ненужное барахло из системы, не существует. Если вы пользуетесь программой, вы потенциально уязвимы. Другой вопрос, что сможет сделать хакер в вашей системе, если проникнет через уязвимость - об этом в будущих статьях ;)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Как только вы станете адептом 15 правил личной безопасности, останется еще 5% угроз, в результате которых вас могут взломать.
Дело в том, что каждое приложение, установленное в вашей системе - это потенциально открытая дверь для хакера. Каждое приложение содержит кучу ненайденных уязвимостей, через которые хакеры способны проникнуть в вашу личную и рабочую жизнь. Любая уязвимость - это логическая ошибка, которую в своем коде допустил разработчик приложения.
Современный софт стал настолько сложным, что писать код без уязвимостей, к
Когда мне надо что-то взломать, одним из первых шагов для меня является сбор информации о том, какие приложения и каких версий установлены у жертвы - чтобы подобрать найденные ранее другими хакерами уязвимости, которые они почти всегда публикуют в открытом доступе. Но если никто до меня нужную уязвимость не находил, я приступаю к поиску самостоятельно - процесс это очень интересный и не всегда сложный (а иногда уязвимости сами находят хорошего хакера 😎)
Что делать? Ничего лучше, чем регулярно обновлять весь свой софт и удалять все ненужное барахло из системы, не существует. Если вы пользуетесь программой, вы потенциально уязвимы. Другой вопрос, что сможет сделать хакер в вашей системе, если проникнет через уязвимость - об этом в будущих статьях ;)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍13🔥3❤1
Трюки в Telegram
Каждое приложение содержит функции, которые можно использовать нестандартно. На примере Telegram хотел показать самые интересные из таких, которые накопились у меня в ходе плотной работы с Telegram и его API:
1. Читать сообщения без уведомления собеседника. Каждый раз, когда вы читаете входящее сообщение, на сервер отправляется уведомление о прочтении. Соответственно, можно либо отключить интернет на время прочтения, либо воспользоваться кастомизированной версией Telegram-клиента, которая не будет отправлять это сообщение
2. Отслеживать все редактирования и удаления сообщений собеседником. Для этого нужно запустить десктоп версию Telegram в режиме отладки. Telegram перейдет в режим журналирования в файл. Если перейти в этот файл, можно будет найти все вхождения updateEditMessage(обновление сообщения) и updateDeleteMessages(удаление сообщения).
3. Посмотреть, насколько вы "популярны" - у какого числа людей вы находитесь в телефонной книге. Для этого нужен отдельный Telegram-аккаунт, на нем нужно включить режим отладки и добавить новый контакт (интересующий номер). В файле-журнале вы найдете ответ от сервера popularContact с числом людей, у которых вы в телефонной книге. Или воспользоваться Telegram X.
4. Узнать, находитесь ли вы у собеседника в телефонной книге, или он вас удалил и позабыл давным-давно. Для этого откройте любой чат в WhatsApp, далее в настройках чата: "Еще...->Экспортировать чат->Telegram". Выберите чат в Telegram, собеседника которого вы хотите проверить. Если вы у собеседника в телефонной книге, Telegram отобразит окно "Точно ли хотите импортировать?", а если нет - не отобразит.
Это только то, что удалось обнаружить случайно. Возможно, в будущем пристально изучу Telegram API на предмет скрытых возможностей и сделаю отдельный пост.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Каждое приложение содержит функции, которые можно использовать нестандартно. На примере Telegram хотел показать самые интересные из таких, которые накопились у меня в ходе плотной работы с Telegram и его API:
1. Читать сообщения без уведомления собеседника. Каждый раз, когда вы читаете входящее сообщение, на сервер отправляется уведомление о прочтении. Соответственно, можно либо отключить интернет на время прочтения, либо воспользоваться кастомизированной версией Telegram-клиента, которая не будет отправлять это сообщение
2. Отслеживать все редактирования и удаления сообщений собеседником. Для этого нужно запустить десктоп версию Telegram в режиме отладки. Telegram перейдет в режим журналирования в файл. Если перейти в этот файл, можно будет найти все вхождения updateEditMessage(обновление сообщения) и updateDeleteMessages(удаление сообщения).
3. Посмотреть, насколько вы "популярны" - у какого числа людей вы находитесь в телефонной книге. Для этого нужен отдельный Telegram-аккаунт, на нем нужно включить режим отладки и добавить новый контакт (интересующий номер). В файле-журнале вы найдете ответ от сервера popularContact с числом людей, у которых вы в телефонной книге. Или воспользоваться Telegram X.
4. Узнать, находитесь ли вы у собеседника в телефонной книге, или он вас удалил и позабыл давным-давно. Для этого откройте любой чат в WhatsApp, далее в настройках чата: "Еще...->Экспортировать чат->Telegram". Выберите чат в Telegram, собеседника которого вы хотите проверить. Если вы у собеседника в телефонной книге, Telegram отобразит окно "Точно ли хотите импортировать?", а если нет - не отобразит.
Это только то, что удалось обнаружить случайно. Возможно, в будущем пристально изучу Telegram API на предмет скрытых возможностей и сделаю отдельный пост.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍18👏2
Ставьте блокировку на свой смартфон
Еще 10 лет назад возможности среднестатистического хакера по взлому ворованного смартфона были существенно выше, чем сегодня. Экран блокировки обходился на раз-два, не было полнодискового шифрования по умолчанию, которое позволяло доставать файлы с ворованного устройства, да и сервисы для удаленной блокировки и очистки девайса были не на слуху. Все-таки, 10+ лет развития мобильных операционных систем Android и iOS сделали свое дело, и ломать их все тяжелее.
Если сегодня в руки хакера попадет ваш телефон с паролем/пинкодом/графическим ключом на последней официальной версии мобильной ОС, лучшее, что сможет сделать хакер - прочитать данные с вашей SD-карты и завладеть вашей SIM(если, на ней не стоит PIN-код). Не существует никаких волшебных программ для обхода блокировки смартфона без затирания его данных. Получить доступ к вашим личным файлам/приложениям хакер сможет только если у него получится узнать ваш пароль или если ему известна какая-то уязвимость, о которой не знает производитель ОС. А производители часто поощряют хакеров быть "белыми" и продавать уязвимости им за хорошие деньги(десятки тысяч $), организуя bug bounty программы(пример Apple).
Простыми словами, производители мобильных систем уже позаботились за вас о вашей безопасности(и позаботились куда лучше, чем работники банков) - во многом, благодаря использованию opensource кода, за безопасностью которого может наблюдать любой желающий. Все, что остается вам для поддержания заданного разработчиком уровня безопасности - всего лишь установить блокировку своего девайса: графический ключ, пин-код, пароль - не важно. Ну и для надежности протирайте экран каждый раз после ввода пароля, чтобы вору к хакеру вообще пришлось обращаться 😁.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Еще 10 лет назад возможности среднестатистического хакера по взлому ворованного смартфона были существенно выше, чем сегодня. Экран блокировки обходился на раз-два, не было полнодискового шифрования по умолчанию, которое позволяло доставать файлы с ворованного устройства, да и сервисы для удаленной блокировки и очистки девайса были не на слуху. Все-таки, 10+ лет развития мобильных операционных систем Android и iOS сделали свое дело, и ломать их все тяжелее.
Если сегодня в руки хакера попадет ваш телефон с паролем/пинкодом/графическим ключом на последней официальной версии мобильной ОС, лучшее, что сможет сделать хакер - прочитать данные с вашей SD-карты и завладеть вашей SIM(если, на ней не стоит PIN-код). Не существует никаких волшебных программ для обхода блокировки смартфона без затирания его данных. Получить доступ к вашим личным файлам/приложениям хакер сможет только если у него получится узнать ваш пароль или если ему известна какая-то уязвимость, о которой не знает производитель ОС. А производители часто поощряют хакеров быть "белыми" и продавать уязвимости им за хорошие деньги(десятки тысяч $), организуя bug bounty программы(пример Apple).
Простыми словами, производители мобильных систем уже позаботились за вас о вашей безопасности(и позаботились куда лучше, чем работники банков) - во многом, благодаря использованию opensource кода, за безопасностью которого может наблюдать любой желающий. Все, что остается вам для поддержания заданного разработчиком уровня безопасности - всего лишь установить блокировку своего девайса: графический ключ, пин-код, пароль - не важно. Ну и для надежности протирайте экран каждый раз после ввода пароля, чтобы вору к хакеру вообще пришлось обращаться 😁.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍11
Как можно угнать аккаунт Instagram
Ранее я уже писал, что хакеры не могут залезать в любые ваши аккаунты по щелчку пальцев, но только если вы придерживаетесь 15 базовых правил безопасности.
Вот, как однажды я взломал аккаунт жертвы Instagram, которая этих правил не придерживалась:
1. В профиле жертвы Instagram была ссылка на её личный сайт
2. На сайте я обнаружил Gmail адрес
3. Я начал процесс восстановления пароля к Gmail
4. Gmail сообщил мне Apple-овский email, привязанный к ящику, куда отправит ссылку для восстановления
5. Мне нужно было взломать Apple-овский ящик, для этого я позвонил в тех.поддержку AppleCare, где они попросили у меня имя, адрес и 4 цифры кредитки.
6. Адрес жертвы я смог узнать, пробив владельца сайта через публично доступную информацию о доменах whois
7. Для определения цифр кредитки, я позвонил в поддержку сайта, который точно знал кредитку жертвы - Amazon. Там я попросил добавить новую кредитку(свою фейковую), представившись владельцем, у меня спросили адрес, имя и email - все это уже было мне известно
8. Далее я снова позвонил в Amazon, попросил восстановить доступ к аккаунту, у меня попросили имя, адрес и номер кредитной карты - я сообщил номер фейковой кредитки, и мне предоставили доступ 👏
9. А аккаунте Amazon я нашел настоящую кредитку жертвы, после чего опять позвонил в AppleCare, сообщив им то, что они так хотели - имя, адрес и 4 цифры кредитки.
10. Получив доступ к почте Apple, я восстановил пароль от Gmail, а получив доступ к Gmail, я восстановил доступ к Instagram.
Какие правила нарушила жертва? Не использовала двухфакторную аутентификацию, разгласила о себе слишком много информации в публичном доступе, не пользовалась виртуальными картами(одна на каждый сайт!). О тех.поддержке сайтов вообще молчу - фишинг будет работать всегда. В будущем покажу еще интересные атаки на человеческий фактор 😉
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Ранее я уже писал, что хакеры не могут залезать в любые ваши аккаунты по щелчку пальцев, но только если вы придерживаетесь 15 базовых правил безопасности.
Вот, как однажды я взломал аккаунт жертвы Instagram, которая этих правил не придерживалась:
1. В профиле жертвы Instagram была ссылка на её личный сайт
2. На сайте я обнаружил Gmail адрес
3. Я начал процесс восстановления пароля к Gmail
4. Gmail сообщил мне Apple-овский email, привязанный к ящику, куда отправит ссылку для восстановления
5. Мне нужно было взломать Apple-овский ящик, для этого я позвонил в тех.поддержку AppleCare, где они попросили у меня имя, адрес и 4 цифры кредитки.
6. Адрес жертвы я смог узнать, пробив владельца сайта через публично доступную информацию о доменах whois
7. Для определения цифр кредитки, я позвонил в поддержку сайта, который точно знал кредитку жертвы - Amazon. Там я попросил добавить новую кредитку(свою фейковую), представившись владельцем, у меня спросили адрес, имя и email - все это уже было мне известно
8. Далее я снова позвонил в Amazon, попросил восстановить доступ к аккаунту, у меня попросили имя, адрес и номер кредитной карты - я сообщил номер фейковой кредитки, и мне предоставили доступ 👏
9. А аккаунте Amazon я нашел настоящую кредитку жертвы, после чего опять позвонил в AppleCare, сообщив им то, что они так хотели - имя, адрес и 4 цифры кредитки.
10. Получив доступ к почте Apple, я восстановил пароль от Gmail, а получив доступ к Gmail, я восстановил доступ к Instagram.
Какие правила нарушила жертва? Не использовала двухфакторную аутентификацию, разгласила о себе слишком много информации в публичном доступе, не пользовалась виртуальными картами(одна на каждый сайт!). О тех.поддержке сайтов вообще молчу - фишинг будет работать всегда. В будущем покажу еще интересные атаки на человеческий фактор 😉
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍32❤6🔥3
Как узнать больше о сайте
Сейчас всем нам ежедневно приходится взаимодействовать с десятками веб-сайтов, некоторые из них могут выглядеть достоверно, но на деле - владельцами этих сайтов могут оказаться обычные мошенники.
Вот простые техники, с которых я всегда начинаю анализ сайта:
▪️Посмотреть в webarchive - историческом хранилище Интернета, - как выглядел сомнительный сайт в прошлом.
▪️Посмотреть в whois (тот самый, что помог мне в предыдущем посте совершить взлом) - реестр сведений о владельцах и дат регистраций доменов. Если домен был зарегистрирован недавно и адрес его владельца - Виргинские острова, повод задуматься.
▪️Посмотреть, что знает о сайте Google с помощью Google Dorks: например, если интересует сайт "blog,com", вбейте в поисковую строку Google "site:blog,com" - Google выдаст все страницы сайта, о которых ему известно. Изучите сохраненные копии страниц.
▪️Собрать все контакты с сайта (email, соц.сети и номера телефонов) и погуглить их. А номера пробить через GetContact - он бесплатно расскажет о владельце.
▪️Скачать картинки/видео с сайта и посмотреть их мета-данные. На этом шаге часто лажают даже политики.
Более продвинутые техники:
🔸Заглянуть в исходный код страницы (нажмите в своем браузере правой кнопкой по странице и выберите "Просмотр кода страницы") - обратите внимание на оставленные комментарии и интересные слова в коде
🔸Посмотреть, какая компания и когда выдала SSL-сертификат сайту. Если компания, которая выдает сертификаты всем подряд (вроде LetsEncrypt), повод призадуматься
За все время у меня накопилось 50+ техник для анализа сайта, буду постепенно о них рассказывать ;)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Сейчас всем нам ежедневно приходится взаимодействовать с десятками веб-сайтов, некоторые из них могут выглядеть достоверно, но на деле - владельцами этих сайтов могут оказаться обычные мошенники.
Вот простые техники, с которых я всегда начинаю анализ сайта:
▪️Посмотреть в webarchive - историческом хранилище Интернета, - как выглядел сомнительный сайт в прошлом.
▪️Посмотреть в whois (тот самый, что помог мне в предыдущем посте совершить взлом) - реестр сведений о владельцах и дат регистраций доменов. Если домен был зарегистрирован недавно и адрес его владельца - Виргинские острова, повод задуматься.
▪️Посмотреть, что знает о сайте Google с помощью Google Dorks: например, если интересует сайт "blog,com", вбейте в поисковую строку Google "site:blog,com" - Google выдаст все страницы сайта, о которых ему известно. Изучите сохраненные копии страниц.
▪️Собрать все контакты с сайта (email, соц.сети и номера телефонов) и погуглить их. А номера пробить через GetContact - он бесплатно расскажет о владельце.
▪️Скачать картинки/видео с сайта и посмотреть их мета-данные. На этом шаге часто лажают даже политики.
Более продвинутые техники:
🔸Заглянуть в исходный код страницы (нажмите в своем браузере правой кнопкой по странице и выберите "Просмотр кода страницы") - обратите внимание на оставленные комментарии и интересные слова в коде
🔸Посмотреть, какая компания и когда выдала SSL-сертификат сайту. Если компания, которая выдает сертификаты всем подряд (вроде LetsEncrypt), повод призадуматься
За все время у меня накопилось 50+ техник для анализа сайта, буду постепенно о них рассказывать ;)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍15❤2
Пример разоблачения мошеннического сайта. В дополнение к предыдущему посту
Одному моему знакомому бизнесмену (далее - М) в чате после долгой беседы на отвлеченные темы собеседник рассказал, как он легко открыл собственный магазин в TikTok без головной боли (видимо, в публичный доступ где-то просочилось то, что М занимается бизнесом). Собеседник отправил ссылку М, где якобы можно зарегистрировать TikTok-магазин - seller.tiktokt.shop, но М не обратил на нее внимания, на автомате пошел в Google и загуглил сам (что максимально правильно в такой ситуации, подробнее в этом посте). Загуглил М что-то вроде: "open shop tiktok", попал на официальный сайт из поисковой выдачи - seller.tiktok.com, где процесс регистрации представлял на самом деле море головной боли.
Тут в голову М закрались сомнения в надежности собеседника, и он обратился ко мне. От одного только названия сайта уже веяло скамерским мотивом, но для надежности я воспользовался "продвинутой" техникой из предыдущей статьи - посмотрел SSL-сертификат сайта. Сертификат был выдан как раз компанией LetsEncrypt, выдающей сертификаты всем подряд без верификации бренда и личности - вряд ли компания TikTok получила свой сертификат таким образом. На прикрепленном фото вы можете увидеть отличия скамерского сертификата от оригинального. Whois, кстати, у сайта был скрыт - что обычно тоже свидетельствует о недобрых мотивах владельца.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Одному моему знакомому бизнесмену (далее - М) в чате после долгой беседы на отвлеченные темы собеседник рассказал, как он легко открыл собственный магазин в TikTok без головной боли (видимо, в публичный доступ где-то просочилось то, что М занимается бизнесом). Собеседник отправил ссылку М, где якобы можно зарегистрировать TikTok-магазин - seller.tiktokt.shop, но М не обратил на нее внимания, на автомате пошел в Google и загуглил сам (что максимально правильно в такой ситуации, подробнее в этом посте). Загуглил М что-то вроде: "open shop tiktok", попал на официальный сайт из поисковой выдачи - seller.tiktok.com, где процесс регистрации представлял на самом деле море головной боли.
Тут в голову М закрались сомнения в надежности собеседника, и он обратился ко мне. От одного только названия сайта уже веяло скамерским мотивом, но для надежности я воспользовался "продвинутой" техникой из предыдущей статьи - посмотрел SSL-сертификат сайта. Сертификат был выдан как раз компанией LetsEncrypt, выдающей сертификаты всем подряд без верификации бренда и личности - вряд ли компания TikTok получила свой сертификат таким образом. На прикрепленном фото вы можете увидеть отличия скамерского сертификата от оригинального. Whois, кстати, у сайта был скрыт - что обычно тоже свидетельствует о недобрых мотивах владельца.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍11🔥3👏1
Как сходить на киносеанс в пустой зал?
Захотел я как-то сходить в кино. Для этого зашел на сайт кинотеатра (а на самом деле целой сети кинотеатров), чтобы забронировать места и купить билеты онлайн - вот он.
Перед покупкой билетов мне предложили выбрать места в кинотеатре, на которых я бы хотел расположиться. Выбрал пару мест, далее меня любезно предупредили, что у меня есть 5 минут, чтобы выбранные места оплатить - все это время они будут в резерве и недоступны остальным. "Ничего себе" - подумал я - так ведь и целый кинотеатр можно зарезервировать 😎
До киносеанса оставалось ещё пару часов, поэтому у меня было достаточно времени покопаться в устройстве веб-сайта кинотеатра, чтобы понять, как происходит резервация мест. Я обнаружил, что каждый раз при резервации веб-страница отправляет запрос на сервер с номерами выбранных мест, запрос этот выглядит так (кому интересно, можете сами его найти в консоли своего браузера): https://reelcinemas.com/WebApi/api/SeatLayourAPI/BlockSeats.
Далее я, не долго думая, быстро написал свою хакерскую программу, которая автоматически отправляла много таких запросов на резервацию всех мест каждые 5 минут. Результат видите сами 😁
Как я уже писал ранее, в Интернете можно накрутить все, что угодно, и даже резервацию в кинозале. Самое забавное, что большинство сайтов кинотеатров (и этот в том числе) даже не требуют от пользователя регистрации для резервации мест, т.е вы можете просто открыть 10-20-30 окон браузера в режиме инкогнито и зарезервировать все места вручную. Так ведь и многомилионную кинопремьеру по всему миру можно сорвать 😬
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Захотел я как-то сходить в кино. Для этого зашел на сайт кинотеатра (а на самом деле целой сети кинотеатров), чтобы забронировать места и купить билеты онлайн - вот он.
Перед покупкой билетов мне предложили выбрать места в кинотеатре, на которых я бы хотел расположиться. Выбрал пару мест, далее меня любезно предупредили, что у меня есть 5 минут, чтобы выбранные места оплатить - все это время они будут в резерве и недоступны остальным. "Ничего себе" - подумал я - так ведь и целый кинотеатр можно зарезервировать 😎
До киносеанса оставалось ещё пару часов, поэтому у меня было достаточно времени покопаться в устройстве веб-сайта кинотеатра, чтобы понять, как происходит резервация мест. Я обнаружил, что каждый раз при резервации веб-страница отправляет запрос на сервер с номерами выбранных мест, запрос этот выглядит так (кому интересно, можете сами его найти в консоли своего браузера): https://reelcinemas.com/WebApi/api/SeatLayourAPI/BlockSeats.
Далее я, не долго думая, быстро написал свою хакерскую программу, которая автоматически отправляла много таких запросов на резервацию всех мест каждые 5 минут. Результат видите сами 😁
Как я уже писал ранее, в Интернете можно накрутить все, что угодно, и даже резервацию в кинозале. Самое забавное, что большинство сайтов кинотеатров (и этот в том числе) даже не требуют от пользователя регистрации для резервации мест, т.е вы можете просто открыть 10-20-30 окон браузера в режиме инкогнито и зарезервировать все места вручную. Так ведь и многомилионную кинопремьеру по всему миру можно сорвать 😬
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍23🔥7🤔3❤1👏1
Как можно запретить любому человеку пользоваться любым мессенджером?
Есть у всех мессенджеров одна уязвимость из разряда "В Интернете можно накрутить все, что угодно", полноценную защиту от которой создать невозможно - это накрутка сообщений любому пользователю. И не просто накрутка, а настоящий шквал спам-сообщений, среди которых невозможно разобрать настоящие. Все настоящие диалоги собеседника уйдут глубоко вниз списка диалогов, а телефон начнет разрываться от уведомлений. При таком раскладе заходить в свой мессенджер и проверять новые сообщения у жертвы не возникнет ни малейшего желания - она их даже не найдет. Некоторые жертвы не выдерживают и просто удаляют мессенджер 😎
Эта техника уже не раз позволяла лично мне "вырубить" жертве доступ в определенный мессенджер: WhatsApp, Telegram, Instagram, VK на любой срок. Раньше это было сделать сложнее, но в век "услуг на любой вкус" это может сделать кто угодно в том числе и в ваш адрес за 500-3000 рублей. Работает даже с SMS - могут атаковать вас, если не хотят, чтобы вы прочитали определенное сообщение (например, с кодом двухфакторной аутентификации для входа в аккаунт).
Некоторые мессенджеры предлагают защиту от этого с помощью настройки "Запретить сообщения от неизвестных" - в Telegram такая настройка есть (называется "Новые чаты с незнакомцами"), но о ней мало кто знает, все же остальные мессенджеры такой функцией не обладают, поэтому там вы беззащитны против такой атаки.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Есть у всех мессенджеров одна уязвимость из разряда "В Интернете можно накрутить все, что угодно", полноценную защиту от которой создать невозможно - это накрутка сообщений любому пользователю. И не просто накрутка, а настоящий шквал спам-сообщений, среди которых невозможно разобрать настоящие. Все настоящие диалоги собеседника уйдут глубоко вниз списка диалогов, а телефон начнет разрываться от уведомлений. При таком раскладе заходить в свой мессенджер и проверять новые сообщения у жертвы не возникнет ни малейшего желания - она их даже не найдет. Некоторые жертвы не выдерживают и просто удаляют мессенджер 😎
Эта техника уже не раз позволяла лично мне "вырубить" жертве доступ в определенный мессенджер: WhatsApp, Telegram, Instagram, VK на любой срок. Раньше это было сделать сложнее, но в век "услуг на любой вкус" это может сделать кто угодно в том числе и в ваш адрес за 500-3000 рублей. Работает даже с SMS - могут атаковать вас, если не хотят, чтобы вы прочитали определенное сообщение (например, с кодом двухфакторной аутентификации для входа в аккаунт).
Некоторые мессенджеры предлагают защиту от этого с помощью настройки "Запретить сообщения от неизвестных" - в Telegram такая настройка есть (называется "Новые чаты с незнакомцами"), но о ней мало кто знает, все же остальные мессенджеры такой функцией не обладают, поэтому там вы беззащитны против такой атаки.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍39🔥4👏4🤔3
Удаляйте метаданные из своих файлов
Метаданные в файлах - это настоящее зло современности. Они пишутся во все ваши файлы скрытно, сливая тем самым информацию о вас всем, кто этот файл когда-либо получит.
Так, например, в документы Microsoft Office скрытно пишется информация о том, кто и когда документ создал и редактировал в последний раз. Фотографии и видеозаписи по умолчанию содержат в себе дату съемки, название и марку устройства, с которого была произведена съемка, а также гео-метку, где была произведена съемка и даже программу, в которой фото/видео редактировались. Так что, если хотите однажды что-то скрытно подменить в Excel-табличке, Word-документе, обмануть кого-то временем съемки или убедить кого-то, что отфотошопленное фото является подлинным, знайте - большой брат вас вычислит (да и малый тоже) 😁
Любые файлы, которые вы создаете или редактируете, могут сохранять метаданные о вас: PDF, DOC, JPEG, MPEG, MP3 и даже исполняемые (EXE) файлы, если вы их создаете в среде разработки. Будьте осторожны, распространяя свои файлы в Интернете - метаданные уже не раз позволяли ловить политиков на лжи, хакеров за преступления, а простых людей - деанимизировать в два счета.
Каждый раз, когда загружаете в Интернет какой-либо файл, который вы создали или отредактировали, очищайте его метаданные - благо, программ и сайтов для чистки метаданных сейчас навалом. Оставайтесь анонимными 😉
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Метаданные в файлах - это настоящее зло современности. Они пишутся во все ваши файлы скрытно, сливая тем самым информацию о вас всем, кто этот файл когда-либо получит.
Так, например, в документы Microsoft Office скрытно пишется информация о том, кто и когда документ создал и редактировал в последний раз. Фотографии и видеозаписи по умолчанию содержат в себе дату съемки, название и марку устройства, с которого была произведена съемка, а также гео-метку, где была произведена съемка и даже программу, в которой фото/видео редактировались. Так что, если хотите однажды что-то скрытно подменить в Excel-табличке, Word-документе, обмануть кого-то временем съемки или убедить кого-то, что отфотошопленное фото является подлинным, знайте - большой брат вас вычислит (да и малый тоже) 😁
Любые файлы, которые вы создаете или редактируете, могут сохранять метаданные о вас: PDF, DOC, JPEG, MPEG, MP3 и даже исполняемые (EXE) файлы, если вы их создаете в среде разработки. Будьте осторожны, распространяя свои файлы в Интернете - метаданные уже не раз позволяли ловить политиков на лжи, хакеров за преступления, а простых людей - деанимизировать в два счета.
Каждый раз, когда загружаете в Интернет какой-либо файл, который вы создали или отредактировали, очищайте его метаданные - благо, программ и сайтов для чистки метаданных сейчас навалом. Оставайтесь анонимными 😉
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍30🔥6👏2
Как прятать приложения от любопытных глаз?
Бывают случаи, когда вам приходится разрешать кому-то копаться в вашем телефоне/компьютере против собственной воли, иначе же вас могут заподозрить в чем-то. Это могут быть ваши родственники, парни/девушки...пограничники 😳
В этом случае вам нужно заранее позаботиться о собственной безопасности, скрыв нежелательные приложения от любопытных глаз. Да и вообще, в мире информационной безопасности есть такой принцип - "security through obscurity", означающий "безопасность путем сокрытия", который часто работает даже лучше любой системы защиты и который лично меня не раз ставил в тупик: если не понятно, что у вас есть, то и не понятно, что искать.
Скрыть приложения можно практически в любой операционной системе. Вот примеры для наиболее распространенных:
▪️Для Android самым универсальным вариантом будет установить кастомный домашний экран (Home Screen), поддерживающий сокрытие приложений. Например, Apex Launcher (скрывает с домашнего экрана и из поиска).
▪️Для iOS (Apple, iPad) - удалить приложение с домашнего экрана и скрыть его из поиска (подробнее тут).
▪️Для Windows/macOS/Linux надежнее всего использовать программы для запуска приложений в изолированной оболочке (лучшая в своем роде - Sandboxie, о ней еще поговорим в будущий постах). Такие программы позволяют запускать приложения в "песочнице" - изолированном месте. Если вдобавок вы спрячете файлы песочницы, как это было рассказано в посте "Прячьте ценные файлы", то никто и никогда не заподозрит вас в использовании приложения 😎
Ну и не забывайте отключать уведомления из скрываемых программ, чтобы в самый неподходящий момент они вас не разоблачили.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Бывают случаи, когда вам приходится разрешать кому-то копаться в вашем телефоне/компьютере против собственной воли, иначе же вас могут заподозрить в чем-то. Это могут быть ваши родственники, парни/девушки...пограничники 😳
В этом случае вам нужно заранее позаботиться о собственной безопасности, скрыв нежелательные приложения от любопытных глаз. Да и вообще, в мире информационной безопасности есть такой принцип - "security through obscurity", означающий "безопасность путем сокрытия", который часто работает даже лучше любой системы защиты и который лично меня не раз ставил в тупик: если не понятно, что у вас есть, то и не понятно, что искать.
Скрыть приложения можно практически в любой операционной системе. Вот примеры для наиболее распространенных:
▪️Для Android самым универсальным вариантом будет установить кастомный домашний экран (Home Screen), поддерживающий сокрытие приложений. Например, Apex Launcher (скрывает с домашнего экрана и из поиска).
▪️Для iOS (Apple, iPad) - удалить приложение с домашнего экрана и скрыть его из поиска (подробнее тут).
▪️Для Windows/macOS/Linux надежнее всего использовать программы для запуска приложений в изолированной оболочке (лучшая в своем роде - Sandboxie, о ней еще поговорим в будущий постах). Такие программы позволяют запускать приложения в "песочнице" - изолированном месте. Если вдобавок вы спрячете файлы песочницы, как это было рассказано в посте "Прячьте ценные файлы", то никто и никогда не заподозрит вас в использовании приложения 😎
Ну и не забывайте отключать уведомления из скрываемых программ, чтобы в самый неподходящий момент они вас не разоблачили.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍25❤4🔥3
Ставьте пароль на браузер
Любой современный браузер - это кладезь ценной информации для хакера. Браузер запоминает "для вашего удобства" все ваши пароли и держит открытыми сессии на сайтах, в которых вы залогинились. В большинстве случаев, если я получу доступ к вашему браузеру, я смогу стащить доступ в ваши аккаунты, даже не зная пароля (стащив куки). А если вы дадите мне пару минут, я установлю в ваш браузер расширение GreaseMonkey, которое будет на каждой странице исполнять мой вредоносный Javascript-код, перехватывающий все, что вы вводите в поля ввода и отправлять ко мне на сервер (и пароли в первую очередь).
Если вы не контролируете доступ к своему устройству на 100% (если иногда им пользуется кто-то еще), самое простое, что вы можете сделать прямо сейчас для собственной безопасности - поставить пароль на свой браузер. К огромному удивлению, ни один разработчик современного браузера не позаботился о защите браузера паролем, поэтому придется использовать сторонние расширения, которые не пропустят в ваш браузер никого, кто не знает пароль:
1. Расширение для Google Chrome
2. Расширение для Firefox (стандартный мастер-пароль в Firefox не работает, как надо)
3. Для Safari существует более надежный метод - блокировка запуска браузера с помощью приложений вроде AppCrypt (рабочих расширений не нашел)
Все это довольно топорные варианты, которые можно обойти при должном желании за 5-10 минут, но это лучшее и наиболее простое, что можно выбрать в условиях, когда разработчики забили на такую очевидную защиту, как установка пароля на браузер. Более продвинутым методом защиты является использование раздельных учеток на вашем устройстве, об этом в следующем посте.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Любой современный браузер - это кладезь ценной информации для хакера. Браузер запоминает "для вашего удобства" все ваши пароли и держит открытыми сессии на сайтах, в которых вы залогинились. В большинстве случаев, если я получу доступ к вашему браузеру, я смогу стащить доступ в ваши аккаунты, даже не зная пароля (стащив куки). А если вы дадите мне пару минут, я установлю в ваш браузер расширение GreaseMonkey, которое будет на каждой странице исполнять мой вредоносный Javascript-код, перехватывающий все, что вы вводите в поля ввода и отправлять ко мне на сервер (и пароли в первую очередь).
Если вы не контролируете доступ к своему устройству на 100% (если иногда им пользуется кто-то еще), самое простое, что вы можете сделать прямо сейчас для собственной безопасности - поставить пароль на свой браузер. К огромному удивлению, ни один разработчик современного браузера не позаботился о защите браузера паролем, поэтому придется использовать сторонние расширения, которые не пропустят в ваш браузер никого, кто не знает пароль:
1. Расширение для Google Chrome
2. Расширение для Firefox (стандартный мастер-пароль в Firefox не работает, как надо)
3. Для Safari существует более надежный метод - блокировка запуска браузера с помощью приложений вроде AppCrypt (рабочих расширений не нашел)
Все это довольно топорные варианты, которые можно обойти при должном желании за 5-10 минут, но это лучшее и наиболее простое, что можно выбрать в условиях, когда разработчики забили на такую очевидную защиту, как установка пароля на браузер. Более продвинутым методом защиты является использование раздельных учеток на вашем устройстве, об этом в следующем посте.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍25👏2
Пользуйтесь раздельными учетками
В предыдущем посте речь шла о защите своего браузера от посторонних с помощью пароля. Но на самом деле есть более правильный способ защиты своего "личного" цифрового пространства, который не ограничивается одним лишь браузером - использование раздельных учетных записей.
Все популярные операционные системы предлагают этот механизм в том или ином виде. Поэтому, если вам приходится кому-то давать пользоваться своим устройством, создайте на устройстве несколько учеток, и, каждый раз, когда вам понадобится кому-то дать свой компьютер/телефон, выходите из своей учетной записи и логиньте человека в гостевой. В идеале на каждого человека - своя учетка.
При использовании учеток происходит изоляция вашего личного(домашнего) пространства от чужих домашних пространств, что позволяет пользоваться одной и той же программой (браузер, офисный пакет, игры) в "параллельных" пространствах - ваши сессии в браузере будут изолированы от сессий из чужих учеток, а прогресс в компьютерной игре будет недоступен младшему брату 😁 Не все программы, правда, по-честному сохраняют все приватные данные в домашнем пространстве, поэтому каждую программу проверяйте индивидуально на "вшивость" из-под тестовых учеток.
Разные учетки также позволят вам защищаться от вирусов, если вы будете всегда запускать любые программы из-под учетных записей с ограниченными правами (а не из-под админа, как многие любят) - в таком случае вирусы будут сильно ограничены в своих возможностях, да и данных особо похитить не смогут, т.к в домашнем пространстве учетки будет пусто. Если же вирус как-то и навредит системе, можно будет просто удалить учетку.
Но все же, ничего не сравнится по уровню изоляции и безопасности с запуском программ внутри виртуальной машины. Но если у вас нет такой возможности, пользуйтесь раздельными учетками.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
В предыдущем посте речь шла о защите своего браузера от посторонних с помощью пароля. Но на самом деле есть более правильный способ защиты своего "личного" цифрового пространства, который не ограничивается одним лишь браузером - использование раздельных учетных записей.
Все популярные операционные системы предлагают этот механизм в том или ином виде. Поэтому, если вам приходится кому-то давать пользоваться своим устройством, создайте на устройстве несколько учеток, и, каждый раз, когда вам понадобится кому-то дать свой компьютер/телефон, выходите из своей учетной записи и логиньте человека в гостевой. В идеале на каждого человека - своя учетка.
При использовании учеток происходит изоляция вашего личного(домашнего) пространства от чужих домашних пространств, что позволяет пользоваться одной и той же программой (браузер, офисный пакет, игры) в "параллельных" пространствах - ваши сессии в браузере будут изолированы от сессий из чужих учеток, а прогресс в компьютерной игре будет недоступен младшему брату 😁 Не все программы, правда, по-честному сохраняют все приватные данные в домашнем пространстве, поэтому каждую программу проверяйте индивидуально на "вшивость" из-под тестовых учеток.
Разные учетки также позволят вам защищаться от вирусов, если вы будете всегда запускать любые программы из-под учетных записей с ограниченными правами (а не из-под админа, как многие любят) - в таком случае вирусы будут сильно ограничены в своих возможностях, да и данных особо похитить не смогут, т.к в домашнем пространстве учетки будет пусто. Если же вирус как-то и навредит системе, можно будет просто удалить учетку.
Но все же, ничего не сравнится по уровню изоляции и безопасности с запуском программ внутри виртуальной машины. Но если у вас нет такой возможности, пользуйтесь раздельными учетками.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍16🔥2
Как узнать пароль, сохраненный в браузере?
Пост-дополнение к посту о необходимости защиты своего браузера от посторонних. Во все современные браузеры встроена функция сохранения паролей, которая, делает вашу жизнь удобнее за счет снижения вашей безопасности. Если вы сохраняете все свои пароли внутри браузера, то практический смысл от совета использовать менеджер паролей пропадает.
Чтобы узнать ваш пароль, достаточно разлогиниться на сайте, далее перейти на страницу авторизации, браузер любезно подставит сохраненный логин и пароль, ну а далее немного "хакерской магии": открываем консоль браузера(F12 обычно), вбиваем в консоль код, который прочитает все пароли на странице и отобразит их в консоли:
сворованномувосстановленному паролю, который когда-то давно забыли сохранить в менеджер паролей 😁
Как видите, в современном браузере вся ваша личная информация по умолчанию, как на ладони, поэтому не сохраняйте в браузере пароли хотя бы от сайтов с наиболее чувствительными данными: онлайн-банки, почтовые сервисы, облачные хранилища, бэкап-сервисы. Запрещайте браузеру сохранять ваши пароли на таких сайтах, и каждый раз, когда нужно залогиниться на таком сайте - доставайте пароль из менеджера паролей. В идеале каждый раз после использования сайта с чувствительными данными разлогиниваться на нем - на многие такие сайты вы заходите пару раз в неделю, поэтому долго держать сессию активной на таких сайтах нет нужды. Ну и пользуйтесь двухфакторной аутентификацией - она в таком случае предстает последним надежным рубежом защиты.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Пост-дополнение к посту о необходимости защиты своего браузера от посторонних. Во все современные браузеры встроена функция сохранения паролей, которая, делает вашу жизнь удобнее за счет снижения вашей безопасности. Если вы сохраняете все свои пароли внутри браузера, то практический смысл от совета использовать менеджер паролей пропадает.
Чтобы узнать ваш пароль, достаточно разлогиниться на сайте, далее перейти на страницу авторизации, браузер любезно подставит сохраненный логин и пароль, ну а далее немного "хакерской магии": открываем консоль браузера(F12 обычно), вбиваем в консоль код, который прочитает все пароли на странице и отобразит их в консоли:
[...document.querySelectorAll("input[type='password']")].map(password =>console.log(password.value));
И далее радуемся успешно Как видите, в современном браузере вся ваша личная информация по умолчанию, как на ладони, поэтому не сохраняйте в браузере пароли хотя бы от сайтов с наиболее чувствительными данными: онлайн-банки, почтовые сервисы, облачные хранилища, бэкап-сервисы. Запрещайте браузеру сохранять ваши пароли на таких сайтах, и каждый раз, когда нужно залогиниться на таком сайте - доставайте пароль из менеджера паролей. В идеале каждый раз после использования сайта с чувствительными данными разлогиниваться на нем - на многие такие сайты вы заходите пару раз в неделю, поэтому долго держать сессию активной на таких сайтах нет нужды. Ну и пользуйтесь двухфакторной аутентификацией - она в таком случае предстает последним надежным рубежом защиты.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👏10🔥5❤2
Как получать доступ к функциям сайта, которые он пытается ограничить для вас?
Каждый в Интернете натыкался на сайты, которые ограничивали в возможностях использования своих функций тем или иным путем: кто-то просит подтвердить номер телефона, перегораживая весь интерфейс, кто-то купить триал, кто-то не хочет пускать к себе из-под "плохого" IP-адреса...Благо, жадность личится ;)
Т.к браузер и код, исполняющийся в нем, полностью под вашим контролем, вам ничего не мешает "подредактировать" сайт под себя. Разберем на реальных примерах, как обходить ограничения сайтов.
#1. Сайт, на котором можно смотреть интересную аналитику по акциям фондового рынка (он же на прилагаемом скриншоте) - блокирует интерфейс, разрешая смотреть только по 5 акций в день 😢. Находим в исходном коде страницы всплывающее окно и просто удаляем его клавишей DEL. Для дополнительной "сложности" сайт заблюррил страницу, разблюрриваем обратно и пользуемся сайтом в неограниченном режиме.
#2. Социальная сеть VK со своим постоянным требованием привязать почту/телефон. Тут все еще проще - тыкаем правой кнопкой мыши на назойливое окно, далее "Посмотреть код" и сносим назойливый элемент.
#3. Еще один инвестиционный сайт, предлагающий аналитику за нехилые деньги. Если посмотреть в консоли браузера, какие запросы он отправляет после регистрации, то окажется, что эти же запросы можно воспроизводить в соседней вкладке бесплатно - смотрите сами
#4. Криптообменник, не пускающий вас к себе по расовому признаку 👎🏿. Проверяет из вашего же браузера, из "правильной" ли вы страны запросом(с API ключом) на сервер IpAPI. Тут немного сложнее - нужно подделать ответ на запрос для сайта. Сделать это можно с помощью любого прокси сервера (вот урок для BurpSuite, например), после чего проходим, как ни в чем не бывало 😎
Если вас хотят ограничить, значит, вы на верном пути (с)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Каждый в Интернете натыкался на сайты, которые ограничивали в возможностях использования своих функций тем или иным путем: кто-то просит подтвердить номер телефона, перегораживая весь интерфейс, кто-то купить триал, кто-то не хочет пускать к себе из-под "плохого" IP-адреса...Благо, жадность личится ;)
Т.к браузер и код, исполняющийся в нем, полностью под вашим контролем, вам ничего не мешает "подредактировать" сайт под себя. Разберем на реальных примерах, как обходить ограничения сайтов.
#1. Сайт, на котором можно смотреть интересную аналитику по акциям фондового рынка (он же на прилагаемом скриншоте) - блокирует интерфейс, разрешая смотреть только по 5 акций в день 😢. Находим в исходном коде страницы всплывающее окно и просто удаляем его клавишей DEL. Для дополнительной "сложности" сайт заблюррил страницу, разблюрриваем обратно и пользуемся сайтом в неограниченном режиме.
#2. Социальная сеть VK со своим постоянным требованием привязать почту/телефон. Тут все еще проще - тыкаем правой кнопкой мыши на назойливое окно, далее "Посмотреть код" и сносим назойливый элемент.
#3. Еще один инвестиционный сайт, предлагающий аналитику за нехилые деньги. Если посмотреть в консоли браузера, какие запросы он отправляет после регистрации, то окажется, что эти же запросы можно воспроизводить в соседней вкладке бесплатно - смотрите сами
#4. Криптообменник, не пускающий вас к себе по расовому признаку 👎🏿. Проверяет из вашего же браузера, из "правильной" ли вы страны запросом(с API ключом) на сервер IpAPI. Тут немного сложнее - нужно подделать ответ на запрос для сайта. Сделать это можно с помощью любого прокси сервера (вот урок для BurpSuite, например), после чего проходим, как ни в чем не бывало 😎
Если вас хотят ограничить, значит, вы на верном пути (с)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍15❤3🔥2
Что могут узнать о вас при переходе по ссылке?
Ежедневно каждый переходит по сотням Интернет-ссылок, не задумываясь о том, что может быть субъектом чьего-то наблюдения. Вот минимальный список того, что о вас можно узнать, когда вы переходите по ссылке:
▪️ Ваш IP адрес (фейковый, если вы пользуетесь VPN)
▪️ Вашу страну и город (по IP адресу)
▪️ Программу, из которой вы пришли (название и версию)
▪️ Часовой пояс
▪️ Язык
▪️ Название и версию операционной системы
Объем того, что о вас могут узнать, сильно зависит от приложения, из которого вы открываете ссылку. Так, например, Telegram умеет открывать ссылки без перехода в браузер, и это сделано не просто так - открывая ссылку вместо браузера, Telegram пытается максимально вас анонимизировать. Когда же вы открываете ссылку внутри браузера, объем получаемой о вас информации увеличивается кратно(спасибо, JavaScript):
▪️ Параметры железа (ОЗУ, CPU и т.д)
▪️ Ваши реальные GPS-координаты
▪️ Размер вашего экрана
▪️ Список расширений и плагинов, установленных в браузере
▪️ И много чего еще, можете посмотреть сами
Справедливости ради стоит сказать, что все это не какая-то критическая информация о вас, но это та информация, которая может послужить звеном в сложной цепочке и использоваться в будущем против вас - например, в ходе фишинговой атаки.
Однажды я вылавливал Интернет-мошенника, и информация, полученная простым переходом мошенника по моей ссылке(сгенерированной тут), помогла мне подготовиться ко второму этапу атаки: узнав версию браузера, стало понятно, что мошенник использует устаревшую версию, уязвимую для известных атак, что позволило далее с помощью публичного эксплоита(о чем уже писал здесь) пробраться внутрь компьютера мошенника, опять убедив его перейти по ссылке 😁. Поэтому открывайте сомнительные ссылки из анонимных браузеров, об этом в следующем посте ;)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Ежедневно каждый переходит по сотням Интернет-ссылок, не задумываясь о том, что может быть субъектом чьего-то наблюдения. Вот минимальный список того, что о вас можно узнать, когда вы переходите по ссылке:
▪️ Ваш IP адрес (фейковый, если вы пользуетесь VPN)
▪️ Вашу страну и город (по IP адресу)
▪️ Программу, из которой вы пришли (название и версию)
▪️ Часовой пояс
▪️ Язык
▪️ Название и версию операционной системы
Объем того, что о вас могут узнать, сильно зависит от приложения, из которого вы открываете ссылку. Так, например, Telegram умеет открывать ссылки без перехода в браузер, и это сделано не просто так - открывая ссылку вместо браузера, Telegram пытается максимально вас анонимизировать. Когда же вы открываете ссылку внутри браузера, объем получаемой о вас информации увеличивается кратно(спасибо, JavaScript):
▪️ Параметры железа (ОЗУ, CPU и т.д)
▪️ Ваши реальные GPS-координаты
▪️ Размер вашего экрана
▪️ Список расширений и плагинов, установленных в браузере
▪️ И много чего еще, можете посмотреть сами
Справедливости ради стоит сказать, что все это не какая-то критическая информация о вас, но это та информация, которая может послужить звеном в сложной цепочке и использоваться в будущем против вас - например, в ходе фишинговой атаки.
Однажды я вылавливал Интернет-мошенника, и информация, полученная простым переходом мошенника по моей ссылке(сгенерированной тут), помогла мне подготовиться ко второму этапу атаки: узнав версию браузера, стало понятно, что мошенник использует устаревшую версию, уязвимую для известных атак, что позволило далее с помощью публичного эксплоита(о чем уже писал здесь) пробраться внутрь компьютера мошенника, опять убедив его перейти по ссылке 😁. Поэтому открывайте сомнительные ссылки из анонимных браузеров, об этом в следующем посте ;)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍18🔥8❤2