Персональная безопасность pinned «15 базовых правил личной безопасности, которые защитят вас от 95% угроз хакеров: №1. Используйте менеджер паролей №2. Используйте двухфакторную аутентификацию №3. Не давайте другим свои девайсы №4. Установите PIN-код на SIM-карте №5. Не будьте жертвой фишинга.…»
Могут ли хакеры залезать в любые ваши аккаунты по щелчку пальцев?
Если бы это было действительно так, я бы регулярно ломал аккаунты каких-нибудь крупных бизнесменов/политиков, писал бы в социальных сетях пару постов от их имени, которые бы обрушали фондовый рынок, регулярно бы закупался ценными бумагами подешевле, ну и попивал бы коктейли где-нибудь на Бали 😎
Каждый раз, когда я встречаю на просторах Интернета объявления о том, что некто гарантированно взломает аккаунты в любых социальных сетях и мессенджерах с полным доступом к перепискам, я улыбаюсь. Особенно забавно это слышать в адрес WhatsApp, который вообще хранит все переписки только локально на устройстве и не отправляет их никуда за пределы, если только вы не пользуетесь функциями резервного копирования и переноса чатов (проверено лично в ходе изучения WhatsApp).
Как я уже неоднократно говорил, хакеры - не волшебники, которые могут с помощью некоторой неведомой магии залезать на сервера любых организаций. Нет никаких "специальных программ" для взлома. Если такие программы и появляются, основаны они как правило на найденной хакерами уязвимости, которую IT-штат уязвимой компании быстро устраняет. Если вы пользуетесь надежными паролями, двухфакторной аутентификацией, не устанавливаете к себе в систему что попало и не подвластны фишингу, то вероятность взлома ваших аккаунтов почти нулевая.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Если бы это было действительно так, я бы регулярно ломал аккаунты каких-нибудь крупных бизнесменов/политиков, писал бы в социальных сетях пару постов от их имени, которые бы обрушали фондовый рынок, регулярно бы закупался ценными бумагами подешевле, ну и попивал бы коктейли где-нибудь на Бали 😎
Каждый раз, когда я встречаю на просторах Интернета объявления о том, что некто гарантированно взломает аккаунты в любых социальных сетях и мессенджерах с полным доступом к перепискам, я улыбаюсь. Особенно забавно это слышать в адрес WhatsApp, который вообще хранит все переписки только локально на устройстве и не отправляет их никуда за пределы, если только вы не пользуетесь функциями резервного копирования и переноса чатов (проверено лично в ходе изучения WhatsApp).
Как я уже неоднократно говорил, хакеры - не волшебники, которые могут с помощью некоторой неведомой магии залезать на сервера любых организаций. Нет никаких "специальных программ" для взлома. Если такие программы и появляются, основаны они как правило на найденной хакерами уязвимости, которую IT-штат уязвимой компании быстро устраняет. Если вы пользуетесь надежными паролями, двухфакторной аутентификацией, не устанавливаете к себе в систему что попало и не подвластны фишингу, то вероятность взлома ваших аккаунтов почти нулевая.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍17❤1🤔1
Удаляйте неиспользуемые приложения
Как только вы станете адептом 15 правил личной безопасности, останется еще 5% угроз, в результате которых вас могут взломать.
Дело в том, что каждое приложение, установленное в вашей системе - это потенциально открытая дверь для хакера. Каждое приложение содержит кучу ненайденных уязвимостей, через которые хакеры способны проникнуть в вашу личную и рабочую жизнь. Любая уязвимость - это логическая ошибка, которую в своем коде допустил разработчик приложения.
Современный софт стал настолько сложным, что писать код без уязвимостей, ксчастьюсожалению стало невозможно. Подумайте сами: в одном только мобильном приложении какого-то жалкого мессенджера WhatsApp/Telegram скомпилированного исходного кода на 10 мегабайт - это сотни тысяч строк читаемого кода, позволяющие синхронно работать подсистеме шифрования, сетевого обмена, пользовательского интерфейса, логирования, обновления профиля и т.д. Представляете, сколько там еще ненайденных ошибок, которые ждут своего хакера? 😁
Когда мне надо что-то взломать, одним из первых шагов для меня является сбор информации о том, какие приложения и каких версий установлены у жертвы - чтобы подобрать найденные ранее другими хакерами уязвимости, которые они почти всегда публикуют в открытом доступе. Но если никто до меня нужную уязвимость не находил, я приступаю к поиску самостоятельно - процесс это очень интересный и не всегда сложный (а иногда уязвимости сами находят хорошего хакера 😎)
Что делать? Ничего лучше, чем регулярно обновлять весь свой софт и удалять все ненужное барахло из системы, не существует. Если вы пользуетесь программой, вы потенциально уязвимы. Другой вопрос, что сможет сделать хакер в вашей системе, если проникнет через уязвимость - об этом в будущих статьях ;)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Как только вы станете адептом 15 правил личной безопасности, останется еще 5% угроз, в результате которых вас могут взломать.
Дело в том, что каждое приложение, установленное в вашей системе - это потенциально открытая дверь для хакера. Каждое приложение содержит кучу ненайденных уязвимостей, через которые хакеры способны проникнуть в вашу личную и рабочую жизнь. Любая уязвимость - это логическая ошибка, которую в своем коде допустил разработчик приложения.
Современный софт стал настолько сложным, что писать код без уязвимостей, к
Когда мне надо что-то взломать, одним из первых шагов для меня является сбор информации о том, какие приложения и каких версий установлены у жертвы - чтобы подобрать найденные ранее другими хакерами уязвимости, которые они почти всегда публикуют в открытом доступе. Но если никто до меня нужную уязвимость не находил, я приступаю к поиску самостоятельно - процесс это очень интересный и не всегда сложный (а иногда уязвимости сами находят хорошего хакера 😎)
Что делать? Ничего лучше, чем регулярно обновлять весь свой софт и удалять все ненужное барахло из системы, не существует. Если вы пользуетесь программой, вы потенциально уязвимы. Другой вопрос, что сможет сделать хакер в вашей системе, если проникнет через уязвимость - об этом в будущих статьях ;)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍13🔥3❤1
Трюки в Telegram
Каждое приложение содержит функции, которые можно использовать нестандартно. На примере Telegram хотел показать самые интересные из таких, которые накопились у меня в ходе плотной работы с Telegram и его API:
1. Читать сообщения без уведомления собеседника. Каждый раз, когда вы читаете входящее сообщение, на сервер отправляется уведомление о прочтении. Соответственно, можно либо отключить интернет на время прочтения, либо воспользоваться кастомизированной версией Telegram-клиента, которая не будет отправлять это сообщение
2. Отслеживать все редактирования и удаления сообщений собеседником. Для этого нужно запустить десктоп версию Telegram в режиме отладки. Telegram перейдет в режим журналирования в файл. Если перейти в этот файл, можно будет найти все вхождения updateEditMessage(обновление сообщения) и updateDeleteMessages(удаление сообщения).
3. Посмотреть, насколько вы "популярны" - у какого числа людей вы находитесь в телефонной книге. Для этого нужен отдельный Telegram-аккаунт, на нем нужно включить режим отладки и добавить новый контакт (интересующий номер). В файле-журнале вы найдете ответ от сервера popularContact с числом людей, у которых вы в телефонной книге. Или воспользоваться Telegram X.
4. Узнать, находитесь ли вы у собеседника в телефонной книге, или он вас удалил и позабыл давным-давно. Для этого откройте любой чат в WhatsApp, далее в настройках чата: "Еще...->Экспортировать чат->Telegram". Выберите чат в Telegram, собеседника которого вы хотите проверить. Если вы у собеседника в телефонной книге, Telegram отобразит окно "Точно ли хотите импортировать?", а если нет - не отобразит.
Это только то, что удалось обнаружить случайно. Возможно, в будущем пристально изучу Telegram API на предмет скрытых возможностей и сделаю отдельный пост.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Каждое приложение содержит функции, которые можно использовать нестандартно. На примере Telegram хотел показать самые интересные из таких, которые накопились у меня в ходе плотной работы с Telegram и его API:
1. Читать сообщения без уведомления собеседника. Каждый раз, когда вы читаете входящее сообщение, на сервер отправляется уведомление о прочтении. Соответственно, можно либо отключить интернет на время прочтения, либо воспользоваться кастомизированной версией Telegram-клиента, которая не будет отправлять это сообщение
2. Отслеживать все редактирования и удаления сообщений собеседником. Для этого нужно запустить десктоп версию Telegram в режиме отладки. Telegram перейдет в режим журналирования в файл. Если перейти в этот файл, можно будет найти все вхождения updateEditMessage(обновление сообщения) и updateDeleteMessages(удаление сообщения).
3. Посмотреть, насколько вы "популярны" - у какого числа людей вы находитесь в телефонной книге. Для этого нужен отдельный Telegram-аккаунт, на нем нужно включить режим отладки и добавить новый контакт (интересующий номер). В файле-журнале вы найдете ответ от сервера popularContact с числом людей, у которых вы в телефонной книге. Или воспользоваться Telegram X.
4. Узнать, находитесь ли вы у собеседника в телефонной книге, или он вас удалил и позабыл давным-давно. Для этого откройте любой чат в WhatsApp, далее в настройках чата: "Еще...->Экспортировать чат->Telegram". Выберите чат в Telegram, собеседника которого вы хотите проверить. Если вы у собеседника в телефонной книге, Telegram отобразит окно "Точно ли хотите импортировать?", а если нет - не отобразит.
Это только то, что удалось обнаружить случайно. Возможно, в будущем пристально изучу Telegram API на предмет скрытых возможностей и сделаю отдельный пост.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍18👏2
Ставьте блокировку на свой смартфон
Еще 10 лет назад возможности среднестатистического хакера по взлому ворованного смартфона были существенно выше, чем сегодня. Экран блокировки обходился на раз-два, не было полнодискового шифрования по умолчанию, которое позволяло доставать файлы с ворованного устройства, да и сервисы для удаленной блокировки и очистки девайса были не на слуху. Все-таки, 10+ лет развития мобильных операционных систем Android и iOS сделали свое дело, и ломать их все тяжелее.
Если сегодня в руки хакера попадет ваш телефон с паролем/пинкодом/графическим ключом на последней официальной версии мобильной ОС, лучшее, что сможет сделать хакер - прочитать данные с вашей SD-карты и завладеть вашей SIM(если, на ней не стоит PIN-код). Не существует никаких волшебных программ для обхода блокировки смартфона без затирания его данных. Получить доступ к вашим личным файлам/приложениям хакер сможет только если у него получится узнать ваш пароль или если ему известна какая-то уязвимость, о которой не знает производитель ОС. А производители часто поощряют хакеров быть "белыми" и продавать уязвимости им за хорошие деньги(десятки тысяч $), организуя bug bounty программы(пример Apple).
Простыми словами, производители мобильных систем уже позаботились за вас о вашей безопасности(и позаботились куда лучше, чем работники банков) - во многом, благодаря использованию opensource кода, за безопасностью которого может наблюдать любой желающий. Все, что остается вам для поддержания заданного разработчиком уровня безопасности - всего лишь установить блокировку своего девайса: графический ключ, пин-код, пароль - не важно. Ну и для надежности протирайте экран каждый раз после ввода пароля, чтобы вору к хакеру вообще пришлось обращаться 😁.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Еще 10 лет назад возможности среднестатистического хакера по взлому ворованного смартфона были существенно выше, чем сегодня. Экран блокировки обходился на раз-два, не было полнодискового шифрования по умолчанию, которое позволяло доставать файлы с ворованного устройства, да и сервисы для удаленной блокировки и очистки девайса были не на слуху. Все-таки, 10+ лет развития мобильных операционных систем Android и iOS сделали свое дело, и ломать их все тяжелее.
Если сегодня в руки хакера попадет ваш телефон с паролем/пинкодом/графическим ключом на последней официальной версии мобильной ОС, лучшее, что сможет сделать хакер - прочитать данные с вашей SD-карты и завладеть вашей SIM(если, на ней не стоит PIN-код). Не существует никаких волшебных программ для обхода блокировки смартфона без затирания его данных. Получить доступ к вашим личным файлам/приложениям хакер сможет только если у него получится узнать ваш пароль или если ему известна какая-то уязвимость, о которой не знает производитель ОС. А производители часто поощряют хакеров быть "белыми" и продавать уязвимости им за хорошие деньги(десятки тысяч $), организуя bug bounty программы(пример Apple).
Простыми словами, производители мобильных систем уже позаботились за вас о вашей безопасности(и позаботились куда лучше, чем работники банков) - во многом, благодаря использованию opensource кода, за безопасностью которого может наблюдать любой желающий. Все, что остается вам для поддержания заданного разработчиком уровня безопасности - всего лишь установить блокировку своего девайса: графический ключ, пин-код, пароль - не важно. Ну и для надежности протирайте экран каждый раз после ввода пароля, чтобы вору к хакеру вообще пришлось обращаться 😁.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍11
Как можно угнать аккаунт Instagram
Ранее я уже писал, что хакеры не могут залезать в любые ваши аккаунты по щелчку пальцев, но только если вы придерживаетесь 15 базовых правил безопасности.
Вот, как однажды я взломал аккаунт жертвы Instagram, которая этих правил не придерживалась:
1. В профиле жертвы Instagram была ссылка на её личный сайт
2. На сайте я обнаружил Gmail адрес
3. Я начал процесс восстановления пароля к Gmail
4. Gmail сообщил мне Apple-овский email, привязанный к ящику, куда отправит ссылку для восстановления
5. Мне нужно было взломать Apple-овский ящик, для этого я позвонил в тех.поддержку AppleCare, где они попросили у меня имя, адрес и 4 цифры кредитки.
6. Адрес жертвы я смог узнать, пробив владельца сайта через публично доступную информацию о доменах whois
7. Для определения цифр кредитки, я позвонил в поддержку сайта, который точно знал кредитку жертвы - Amazon. Там я попросил добавить новую кредитку(свою фейковую), представившись владельцем, у меня спросили адрес, имя и email - все это уже было мне известно
8. Далее я снова позвонил в Amazon, попросил восстановить доступ к аккаунту, у меня попросили имя, адрес и номер кредитной карты - я сообщил номер фейковой кредитки, и мне предоставили доступ 👏
9. А аккаунте Amazon я нашел настоящую кредитку жертвы, после чего опять позвонил в AppleCare, сообщив им то, что они так хотели - имя, адрес и 4 цифры кредитки.
10. Получив доступ к почте Apple, я восстановил пароль от Gmail, а получив доступ к Gmail, я восстановил доступ к Instagram.
Какие правила нарушила жертва? Не использовала двухфакторную аутентификацию, разгласила о себе слишком много информации в публичном доступе, не пользовалась виртуальными картами(одна на каждый сайт!). О тех.поддержке сайтов вообще молчу - фишинг будет работать всегда. В будущем покажу еще интересные атаки на человеческий фактор 😉
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Ранее я уже писал, что хакеры не могут залезать в любые ваши аккаунты по щелчку пальцев, но только если вы придерживаетесь 15 базовых правил безопасности.
Вот, как однажды я взломал аккаунт жертвы Instagram, которая этих правил не придерживалась:
1. В профиле жертвы Instagram была ссылка на её личный сайт
2. На сайте я обнаружил Gmail адрес
3. Я начал процесс восстановления пароля к Gmail
4. Gmail сообщил мне Apple-овский email, привязанный к ящику, куда отправит ссылку для восстановления
5. Мне нужно было взломать Apple-овский ящик, для этого я позвонил в тех.поддержку AppleCare, где они попросили у меня имя, адрес и 4 цифры кредитки.
6. Адрес жертвы я смог узнать, пробив владельца сайта через публично доступную информацию о доменах whois
7. Для определения цифр кредитки, я позвонил в поддержку сайта, который точно знал кредитку жертвы - Amazon. Там я попросил добавить новую кредитку(свою фейковую), представившись владельцем, у меня спросили адрес, имя и email - все это уже было мне известно
8. Далее я снова позвонил в Amazon, попросил восстановить доступ к аккаунту, у меня попросили имя, адрес и номер кредитной карты - я сообщил номер фейковой кредитки, и мне предоставили доступ 👏
9. А аккаунте Amazon я нашел настоящую кредитку жертвы, после чего опять позвонил в AppleCare, сообщив им то, что они так хотели - имя, адрес и 4 цифры кредитки.
10. Получив доступ к почте Apple, я восстановил пароль от Gmail, а получив доступ к Gmail, я восстановил доступ к Instagram.
Какие правила нарушила жертва? Не использовала двухфакторную аутентификацию, разгласила о себе слишком много информации в публичном доступе, не пользовалась виртуальными картами(одна на каждый сайт!). О тех.поддержке сайтов вообще молчу - фишинг будет работать всегда. В будущем покажу еще интересные атаки на человеческий фактор 😉
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍32❤6🔥3
Как узнать больше о сайте
Сейчас всем нам ежедневно приходится взаимодействовать с десятками веб-сайтов, некоторые из них могут выглядеть достоверно, но на деле - владельцами этих сайтов могут оказаться обычные мошенники.
Вот простые техники, с которых я всегда начинаю анализ сайта:
▪️Посмотреть в webarchive - историческом хранилище Интернета, - как выглядел сомнительный сайт в прошлом.
▪️Посмотреть в whois (тот самый, что помог мне в предыдущем посте совершить взлом) - реестр сведений о владельцах и дат регистраций доменов. Если домен был зарегистрирован недавно и адрес его владельца - Виргинские острова, повод задуматься.
▪️Посмотреть, что знает о сайте Google с помощью Google Dorks: например, если интересует сайт "blog,com", вбейте в поисковую строку Google "site:blog,com" - Google выдаст все страницы сайта, о которых ему известно. Изучите сохраненные копии страниц.
▪️Собрать все контакты с сайта (email, соц.сети и номера телефонов) и погуглить их. А номера пробить через GetContact - он бесплатно расскажет о владельце.
▪️Скачать картинки/видео с сайта и посмотреть их мета-данные. На этом шаге часто лажают даже политики.
Более продвинутые техники:
🔸Заглянуть в исходный код страницы (нажмите в своем браузере правой кнопкой по странице и выберите "Просмотр кода страницы") - обратите внимание на оставленные комментарии и интересные слова в коде
🔸Посмотреть, какая компания и когда выдала SSL-сертификат сайту. Если компания, которая выдает сертификаты всем подряд (вроде LetsEncrypt), повод призадуматься
За все время у меня накопилось 50+ техник для анализа сайта, буду постепенно о них рассказывать ;)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Сейчас всем нам ежедневно приходится взаимодействовать с десятками веб-сайтов, некоторые из них могут выглядеть достоверно, но на деле - владельцами этих сайтов могут оказаться обычные мошенники.
Вот простые техники, с которых я всегда начинаю анализ сайта:
▪️Посмотреть в webarchive - историческом хранилище Интернета, - как выглядел сомнительный сайт в прошлом.
▪️Посмотреть в whois (тот самый, что помог мне в предыдущем посте совершить взлом) - реестр сведений о владельцах и дат регистраций доменов. Если домен был зарегистрирован недавно и адрес его владельца - Виргинские острова, повод задуматься.
▪️Посмотреть, что знает о сайте Google с помощью Google Dorks: например, если интересует сайт "blog,com", вбейте в поисковую строку Google "site:blog,com" - Google выдаст все страницы сайта, о которых ему известно. Изучите сохраненные копии страниц.
▪️Собрать все контакты с сайта (email, соц.сети и номера телефонов) и погуглить их. А номера пробить через GetContact - он бесплатно расскажет о владельце.
▪️Скачать картинки/видео с сайта и посмотреть их мета-данные. На этом шаге часто лажают даже политики.
Более продвинутые техники:
🔸Заглянуть в исходный код страницы (нажмите в своем браузере правой кнопкой по странице и выберите "Просмотр кода страницы") - обратите внимание на оставленные комментарии и интересные слова в коде
🔸Посмотреть, какая компания и когда выдала SSL-сертификат сайту. Если компания, которая выдает сертификаты всем подряд (вроде LetsEncrypt), повод призадуматься
За все время у меня накопилось 50+ техник для анализа сайта, буду постепенно о них рассказывать ;)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍15❤2
Пример разоблачения мошеннического сайта. В дополнение к предыдущему посту
Одному моему знакомому бизнесмену (далее - М) в чате после долгой беседы на отвлеченные темы собеседник рассказал, как он легко открыл собственный магазин в TikTok без головной боли (видимо, в публичный доступ где-то просочилось то, что М занимается бизнесом). Собеседник отправил ссылку М, где якобы можно зарегистрировать TikTok-магазин - seller.tiktokt.shop, но М не обратил на нее внимания, на автомате пошел в Google и загуглил сам (что максимально правильно в такой ситуации, подробнее в этом посте). Загуглил М что-то вроде: "open shop tiktok", попал на официальный сайт из поисковой выдачи - seller.tiktok.com, где процесс регистрации представлял на самом деле море головной боли.
Тут в голову М закрались сомнения в надежности собеседника, и он обратился ко мне. От одного только названия сайта уже веяло скамерским мотивом, но для надежности я воспользовался "продвинутой" техникой из предыдущей статьи - посмотрел SSL-сертификат сайта. Сертификат был выдан как раз компанией LetsEncrypt, выдающей сертификаты всем подряд без верификации бренда и личности - вряд ли компания TikTok получила свой сертификат таким образом. На прикрепленном фото вы можете увидеть отличия скамерского сертификата от оригинального. Whois, кстати, у сайта был скрыт - что обычно тоже свидетельствует о недобрых мотивах владельца.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Одному моему знакомому бизнесмену (далее - М) в чате после долгой беседы на отвлеченные темы собеседник рассказал, как он легко открыл собственный магазин в TikTok без головной боли (видимо, в публичный доступ где-то просочилось то, что М занимается бизнесом). Собеседник отправил ссылку М, где якобы можно зарегистрировать TikTok-магазин - seller.tiktokt.shop, но М не обратил на нее внимания, на автомате пошел в Google и загуглил сам (что максимально правильно в такой ситуации, подробнее в этом посте). Загуглил М что-то вроде: "open shop tiktok", попал на официальный сайт из поисковой выдачи - seller.tiktok.com, где процесс регистрации представлял на самом деле море головной боли.
Тут в голову М закрались сомнения в надежности собеседника, и он обратился ко мне. От одного только названия сайта уже веяло скамерским мотивом, но для надежности я воспользовался "продвинутой" техникой из предыдущей статьи - посмотрел SSL-сертификат сайта. Сертификат был выдан как раз компанией LetsEncrypt, выдающей сертификаты всем подряд без верификации бренда и личности - вряд ли компания TikTok получила свой сертификат таким образом. На прикрепленном фото вы можете увидеть отличия скамерского сертификата от оригинального. Whois, кстати, у сайта был скрыт - что обычно тоже свидетельствует о недобрых мотивах владельца.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍11🔥3👏1
Как сходить на киносеанс в пустой зал?
Захотел я как-то сходить в кино. Для этого зашел на сайт кинотеатра (а на самом деле целой сети кинотеатров), чтобы забронировать места и купить билеты онлайн - вот он.
Перед покупкой билетов мне предложили выбрать места в кинотеатре, на которых я бы хотел расположиться. Выбрал пару мест, далее меня любезно предупредили, что у меня есть 5 минут, чтобы выбранные места оплатить - все это время они будут в резерве и недоступны остальным. "Ничего себе" - подумал я - так ведь и целый кинотеатр можно зарезервировать 😎
До киносеанса оставалось ещё пару часов, поэтому у меня было достаточно времени покопаться в устройстве веб-сайта кинотеатра, чтобы понять, как происходит резервация мест. Я обнаружил, что каждый раз при резервации веб-страница отправляет запрос на сервер с номерами выбранных мест, запрос этот выглядит так (кому интересно, можете сами его найти в консоли своего браузера): https://reelcinemas.com/WebApi/api/SeatLayourAPI/BlockSeats.
Далее я, не долго думая, быстро написал свою хакерскую программу, которая автоматически отправляла много таких запросов на резервацию всех мест каждые 5 минут. Результат видите сами 😁
Как я уже писал ранее, в Интернете можно накрутить все, что угодно, и даже резервацию в кинозале. Самое забавное, что большинство сайтов кинотеатров (и этот в том числе) даже не требуют от пользователя регистрации для резервации мест, т.е вы можете просто открыть 10-20-30 окон браузера в режиме инкогнито и зарезервировать все места вручную. Так ведь и многомилионную кинопремьеру по всему миру можно сорвать 😬
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Захотел я как-то сходить в кино. Для этого зашел на сайт кинотеатра (а на самом деле целой сети кинотеатров), чтобы забронировать места и купить билеты онлайн - вот он.
Перед покупкой билетов мне предложили выбрать места в кинотеатре, на которых я бы хотел расположиться. Выбрал пару мест, далее меня любезно предупредили, что у меня есть 5 минут, чтобы выбранные места оплатить - все это время они будут в резерве и недоступны остальным. "Ничего себе" - подумал я - так ведь и целый кинотеатр можно зарезервировать 😎
До киносеанса оставалось ещё пару часов, поэтому у меня было достаточно времени покопаться в устройстве веб-сайта кинотеатра, чтобы понять, как происходит резервация мест. Я обнаружил, что каждый раз при резервации веб-страница отправляет запрос на сервер с номерами выбранных мест, запрос этот выглядит так (кому интересно, можете сами его найти в консоли своего браузера): https://reelcinemas.com/WebApi/api/SeatLayourAPI/BlockSeats.
Далее я, не долго думая, быстро написал свою хакерскую программу, которая автоматически отправляла много таких запросов на резервацию всех мест каждые 5 минут. Результат видите сами 😁
Как я уже писал ранее, в Интернете можно накрутить все, что угодно, и даже резервацию в кинозале. Самое забавное, что большинство сайтов кинотеатров (и этот в том числе) даже не требуют от пользователя регистрации для резервации мест, т.е вы можете просто открыть 10-20-30 окон браузера в режиме инкогнито и зарезервировать все места вручную. Так ведь и многомилионную кинопремьеру по всему миру можно сорвать 😬
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍23🔥7🤔3❤1👏1
Как можно запретить любому человеку пользоваться любым мессенджером?
Есть у всех мессенджеров одна уязвимость из разряда "В Интернете можно накрутить все, что угодно", полноценную защиту от которой создать невозможно - это накрутка сообщений любому пользователю. И не просто накрутка, а настоящий шквал спам-сообщений, среди которых невозможно разобрать настоящие. Все настоящие диалоги собеседника уйдут глубоко вниз списка диалогов, а телефон начнет разрываться от уведомлений. При таком раскладе заходить в свой мессенджер и проверять новые сообщения у жертвы не возникнет ни малейшего желания - она их даже не найдет. Некоторые жертвы не выдерживают и просто удаляют мессенджер 😎
Эта техника уже не раз позволяла лично мне "вырубить" жертве доступ в определенный мессенджер: WhatsApp, Telegram, Instagram, VK на любой срок. Раньше это было сделать сложнее, но в век "услуг на любой вкус" это может сделать кто угодно в том числе и в ваш адрес за 500-3000 рублей. Работает даже с SMS - могут атаковать вас, если не хотят, чтобы вы прочитали определенное сообщение (например, с кодом двухфакторной аутентификации для входа в аккаунт).
Некоторые мессенджеры предлагают защиту от этого с помощью настройки "Запретить сообщения от неизвестных" - в Telegram такая настройка есть (называется "Новые чаты с незнакомцами"), но о ней мало кто знает, все же остальные мессенджеры такой функцией не обладают, поэтому там вы беззащитны против такой атаки.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Есть у всех мессенджеров одна уязвимость из разряда "В Интернете можно накрутить все, что угодно", полноценную защиту от которой создать невозможно - это накрутка сообщений любому пользователю. И не просто накрутка, а настоящий шквал спам-сообщений, среди которых невозможно разобрать настоящие. Все настоящие диалоги собеседника уйдут глубоко вниз списка диалогов, а телефон начнет разрываться от уведомлений. При таком раскладе заходить в свой мессенджер и проверять новые сообщения у жертвы не возникнет ни малейшего желания - она их даже не найдет. Некоторые жертвы не выдерживают и просто удаляют мессенджер 😎
Эта техника уже не раз позволяла лично мне "вырубить" жертве доступ в определенный мессенджер: WhatsApp, Telegram, Instagram, VK на любой срок. Раньше это было сделать сложнее, но в век "услуг на любой вкус" это может сделать кто угодно в том числе и в ваш адрес за 500-3000 рублей. Работает даже с SMS - могут атаковать вас, если не хотят, чтобы вы прочитали определенное сообщение (например, с кодом двухфакторной аутентификации для входа в аккаунт).
Некоторые мессенджеры предлагают защиту от этого с помощью настройки "Запретить сообщения от неизвестных" - в Telegram такая настройка есть (называется "Новые чаты с незнакомцами"), но о ней мало кто знает, все же остальные мессенджеры такой функцией не обладают, поэтому там вы беззащитны против такой атаки.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍39🔥4👏4🤔3
Удаляйте метаданные из своих файлов
Метаданные в файлах - это настоящее зло современности. Они пишутся во все ваши файлы скрытно, сливая тем самым информацию о вас всем, кто этот файл когда-либо получит.
Так, например, в документы Microsoft Office скрытно пишется информация о том, кто и когда документ создал и редактировал в последний раз. Фотографии и видеозаписи по умолчанию содержат в себе дату съемки, название и марку устройства, с которого была произведена съемка, а также гео-метку, где была произведена съемка и даже программу, в которой фото/видео редактировались. Так что, если хотите однажды что-то скрытно подменить в Excel-табличке, Word-документе, обмануть кого-то временем съемки или убедить кого-то, что отфотошопленное фото является подлинным, знайте - большой брат вас вычислит (да и малый тоже) 😁
Любые файлы, которые вы создаете или редактируете, могут сохранять метаданные о вас: PDF, DOC, JPEG, MPEG, MP3 и даже исполняемые (EXE) файлы, если вы их создаете в среде разработки. Будьте осторожны, распространяя свои файлы в Интернете - метаданные уже не раз позволяли ловить политиков на лжи, хакеров за преступления, а простых людей - деанимизировать в два счета.
Каждый раз, когда загружаете в Интернет какой-либо файл, который вы создали или отредактировали, очищайте его метаданные - благо, программ и сайтов для чистки метаданных сейчас навалом. Оставайтесь анонимными 😉
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Метаданные в файлах - это настоящее зло современности. Они пишутся во все ваши файлы скрытно, сливая тем самым информацию о вас всем, кто этот файл когда-либо получит.
Так, например, в документы Microsoft Office скрытно пишется информация о том, кто и когда документ создал и редактировал в последний раз. Фотографии и видеозаписи по умолчанию содержат в себе дату съемки, название и марку устройства, с которого была произведена съемка, а также гео-метку, где была произведена съемка и даже программу, в которой фото/видео редактировались. Так что, если хотите однажды что-то скрытно подменить в Excel-табличке, Word-документе, обмануть кого-то временем съемки или убедить кого-то, что отфотошопленное фото является подлинным, знайте - большой брат вас вычислит (да и малый тоже) 😁
Любые файлы, которые вы создаете или редактируете, могут сохранять метаданные о вас: PDF, DOC, JPEG, MPEG, MP3 и даже исполняемые (EXE) файлы, если вы их создаете в среде разработки. Будьте осторожны, распространяя свои файлы в Интернете - метаданные уже не раз позволяли ловить политиков на лжи, хакеров за преступления, а простых людей - деанимизировать в два счета.
Каждый раз, когда загружаете в Интернет какой-либо файл, который вы создали или отредактировали, очищайте его метаданные - благо, программ и сайтов для чистки метаданных сейчас навалом. Оставайтесь анонимными 😉
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍30🔥6👏2
Как прятать приложения от любопытных глаз?
Бывают случаи, когда вам приходится разрешать кому-то копаться в вашем телефоне/компьютере против собственной воли, иначе же вас могут заподозрить в чем-то. Это могут быть ваши родственники, парни/девушки...пограничники 😳
В этом случае вам нужно заранее позаботиться о собственной безопасности, скрыв нежелательные приложения от любопытных глаз. Да и вообще, в мире информационной безопасности есть такой принцип - "security through obscurity", означающий "безопасность путем сокрытия", который часто работает даже лучше любой системы защиты и который лично меня не раз ставил в тупик: если не понятно, что у вас есть, то и не понятно, что искать.
Скрыть приложения можно практически в любой операционной системе. Вот примеры для наиболее распространенных:
▪️Для Android самым универсальным вариантом будет установить кастомный домашний экран (Home Screen), поддерживающий сокрытие приложений. Например, Apex Launcher (скрывает с домашнего экрана и из поиска).
▪️Для iOS (Apple, iPad) - удалить приложение с домашнего экрана и скрыть его из поиска (подробнее тут).
▪️Для Windows/macOS/Linux надежнее всего использовать программы для запуска приложений в изолированной оболочке (лучшая в своем роде - Sandboxie, о ней еще поговорим в будущий постах). Такие программы позволяют запускать приложения в "песочнице" - изолированном месте. Если вдобавок вы спрячете файлы песочницы, как это было рассказано в посте "Прячьте ценные файлы", то никто и никогда не заподозрит вас в использовании приложения 😎
Ну и не забывайте отключать уведомления из скрываемых программ, чтобы в самый неподходящий момент они вас не разоблачили.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Бывают случаи, когда вам приходится разрешать кому-то копаться в вашем телефоне/компьютере против собственной воли, иначе же вас могут заподозрить в чем-то. Это могут быть ваши родственники, парни/девушки...пограничники 😳
В этом случае вам нужно заранее позаботиться о собственной безопасности, скрыв нежелательные приложения от любопытных глаз. Да и вообще, в мире информационной безопасности есть такой принцип - "security through obscurity", означающий "безопасность путем сокрытия", который часто работает даже лучше любой системы защиты и который лично меня не раз ставил в тупик: если не понятно, что у вас есть, то и не понятно, что искать.
Скрыть приложения можно практически в любой операционной системе. Вот примеры для наиболее распространенных:
▪️Для Android самым универсальным вариантом будет установить кастомный домашний экран (Home Screen), поддерживающий сокрытие приложений. Например, Apex Launcher (скрывает с домашнего экрана и из поиска).
▪️Для iOS (Apple, iPad) - удалить приложение с домашнего экрана и скрыть его из поиска (подробнее тут).
▪️Для Windows/macOS/Linux надежнее всего использовать программы для запуска приложений в изолированной оболочке (лучшая в своем роде - Sandboxie, о ней еще поговорим в будущий постах). Такие программы позволяют запускать приложения в "песочнице" - изолированном месте. Если вдобавок вы спрячете файлы песочницы, как это было рассказано в посте "Прячьте ценные файлы", то никто и никогда не заподозрит вас в использовании приложения 😎
Ну и не забывайте отключать уведомления из скрываемых программ, чтобы в самый неподходящий момент они вас не разоблачили.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍25❤4🔥3
Ставьте пароль на браузер
Любой современный браузер - это кладезь ценной информации для хакера. Браузер запоминает "для вашего удобства" все ваши пароли и держит открытыми сессии на сайтах, в которых вы залогинились. В большинстве случаев, если я получу доступ к вашему браузеру, я смогу стащить доступ в ваши аккаунты, даже не зная пароля (стащив куки). А если вы дадите мне пару минут, я установлю в ваш браузер расширение GreaseMonkey, которое будет на каждой странице исполнять мой вредоносный Javascript-код, перехватывающий все, что вы вводите в поля ввода и отправлять ко мне на сервер (и пароли в первую очередь).
Если вы не контролируете доступ к своему устройству на 100% (если иногда им пользуется кто-то еще), самое простое, что вы можете сделать прямо сейчас для собственной безопасности - поставить пароль на свой браузер. К огромному удивлению, ни один разработчик современного браузера не позаботился о защите браузера паролем, поэтому придется использовать сторонние расширения, которые не пропустят в ваш браузер никого, кто не знает пароль:
1. Расширение для Google Chrome
2. Расширение для Firefox (стандартный мастер-пароль в Firefox не работает, как надо)
3. Для Safari существует более надежный метод - блокировка запуска браузера с помощью приложений вроде AppCrypt (рабочих расширений не нашел)
Все это довольно топорные варианты, которые можно обойти при должном желании за 5-10 минут, но это лучшее и наиболее простое, что можно выбрать в условиях, когда разработчики забили на такую очевидную защиту, как установка пароля на браузер. Более продвинутым методом защиты является использование раздельных учеток на вашем устройстве, об этом в следующем посте.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Любой современный браузер - это кладезь ценной информации для хакера. Браузер запоминает "для вашего удобства" все ваши пароли и держит открытыми сессии на сайтах, в которых вы залогинились. В большинстве случаев, если я получу доступ к вашему браузеру, я смогу стащить доступ в ваши аккаунты, даже не зная пароля (стащив куки). А если вы дадите мне пару минут, я установлю в ваш браузер расширение GreaseMonkey, которое будет на каждой странице исполнять мой вредоносный Javascript-код, перехватывающий все, что вы вводите в поля ввода и отправлять ко мне на сервер (и пароли в первую очередь).
Если вы не контролируете доступ к своему устройству на 100% (если иногда им пользуется кто-то еще), самое простое, что вы можете сделать прямо сейчас для собственной безопасности - поставить пароль на свой браузер. К огромному удивлению, ни один разработчик современного браузера не позаботился о защите браузера паролем, поэтому придется использовать сторонние расширения, которые не пропустят в ваш браузер никого, кто не знает пароль:
1. Расширение для Google Chrome
2. Расширение для Firefox (стандартный мастер-пароль в Firefox не работает, как надо)
3. Для Safari существует более надежный метод - блокировка запуска браузера с помощью приложений вроде AppCrypt (рабочих расширений не нашел)
Все это довольно топорные варианты, которые можно обойти при должном желании за 5-10 минут, но это лучшее и наиболее простое, что можно выбрать в условиях, когда разработчики забили на такую очевидную защиту, как установка пароля на браузер. Более продвинутым методом защиты является использование раздельных учеток на вашем устройстве, об этом в следующем посте.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍25👏2
Пользуйтесь раздельными учетками
В предыдущем посте речь шла о защите своего браузера от посторонних с помощью пароля. Но на самом деле есть более правильный способ защиты своего "личного" цифрового пространства, который не ограничивается одним лишь браузером - использование раздельных учетных записей.
Все популярные операционные системы предлагают этот механизм в том или ином виде. Поэтому, если вам приходится кому-то давать пользоваться своим устройством, создайте на устройстве несколько учеток, и, каждый раз, когда вам понадобится кому-то дать свой компьютер/телефон, выходите из своей учетной записи и логиньте человека в гостевой. В идеале на каждого человека - своя учетка.
При использовании учеток происходит изоляция вашего личного(домашнего) пространства от чужих домашних пространств, что позволяет пользоваться одной и той же программой (браузер, офисный пакет, игры) в "параллельных" пространствах - ваши сессии в браузере будут изолированы от сессий из чужих учеток, а прогресс в компьютерной игре будет недоступен младшему брату 😁 Не все программы, правда, по-честному сохраняют все приватные данные в домашнем пространстве, поэтому каждую программу проверяйте индивидуально на "вшивость" из-под тестовых учеток.
Разные учетки также позволят вам защищаться от вирусов, если вы будете всегда запускать любые программы из-под учетных записей с ограниченными правами (а не из-под админа, как многие любят) - в таком случае вирусы будут сильно ограничены в своих возможностях, да и данных особо похитить не смогут, т.к в домашнем пространстве учетки будет пусто. Если же вирус как-то и навредит системе, можно будет просто удалить учетку.
Но все же, ничего не сравнится по уровню изоляции и безопасности с запуском программ внутри виртуальной машины. Но если у вас нет такой возможности, пользуйтесь раздельными учетками.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
В предыдущем посте речь шла о защите своего браузера от посторонних с помощью пароля. Но на самом деле есть более правильный способ защиты своего "личного" цифрового пространства, который не ограничивается одним лишь браузером - использование раздельных учетных записей.
Все популярные операционные системы предлагают этот механизм в том или ином виде. Поэтому, если вам приходится кому-то давать пользоваться своим устройством, создайте на устройстве несколько учеток, и, каждый раз, когда вам понадобится кому-то дать свой компьютер/телефон, выходите из своей учетной записи и логиньте человека в гостевой. В идеале на каждого человека - своя учетка.
При использовании учеток происходит изоляция вашего личного(домашнего) пространства от чужих домашних пространств, что позволяет пользоваться одной и той же программой (браузер, офисный пакет, игры) в "параллельных" пространствах - ваши сессии в браузере будут изолированы от сессий из чужих учеток, а прогресс в компьютерной игре будет недоступен младшему брату 😁 Не все программы, правда, по-честному сохраняют все приватные данные в домашнем пространстве, поэтому каждую программу проверяйте индивидуально на "вшивость" из-под тестовых учеток.
Разные учетки также позволят вам защищаться от вирусов, если вы будете всегда запускать любые программы из-под учетных записей с ограниченными правами (а не из-под админа, как многие любят) - в таком случае вирусы будут сильно ограничены в своих возможностях, да и данных особо похитить не смогут, т.к в домашнем пространстве учетки будет пусто. Если же вирус как-то и навредит системе, можно будет просто удалить учетку.
Но все же, ничего не сравнится по уровню изоляции и безопасности с запуском программ внутри виртуальной машины. Но если у вас нет такой возможности, пользуйтесь раздельными учетками.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍16🔥2
Как узнать пароль, сохраненный в браузере?
Пост-дополнение к посту о необходимости защиты своего браузера от посторонних. Во все современные браузеры встроена функция сохранения паролей, которая, делает вашу жизнь удобнее за счет снижения вашей безопасности. Если вы сохраняете все свои пароли внутри браузера, то практический смысл от совета использовать менеджер паролей пропадает.
Чтобы узнать ваш пароль, достаточно разлогиниться на сайте, далее перейти на страницу авторизации, браузер любезно подставит сохраненный логин и пароль, ну а далее немного "хакерской магии": открываем консоль браузера(F12 обычно), вбиваем в консоль код, который прочитает все пароли на странице и отобразит их в консоли:
сворованномувосстановленному паролю, который когда-то давно забыли сохранить в менеджер паролей 😁
Как видите, в современном браузере вся ваша личная информация по умолчанию, как на ладони, поэтому не сохраняйте в браузере пароли хотя бы от сайтов с наиболее чувствительными данными: онлайн-банки, почтовые сервисы, облачные хранилища, бэкап-сервисы. Запрещайте браузеру сохранять ваши пароли на таких сайтах, и каждый раз, когда нужно залогиниться на таком сайте - доставайте пароль из менеджера паролей. В идеале каждый раз после использования сайта с чувствительными данными разлогиниваться на нем - на многие такие сайты вы заходите пару раз в неделю, поэтому долго держать сессию активной на таких сайтах нет нужды. Ну и пользуйтесь двухфакторной аутентификацией - она в таком случае предстает последним надежным рубежом защиты.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Пост-дополнение к посту о необходимости защиты своего браузера от посторонних. Во все современные браузеры встроена функция сохранения паролей, которая, делает вашу жизнь удобнее за счет снижения вашей безопасности. Если вы сохраняете все свои пароли внутри браузера, то практический смысл от совета использовать менеджер паролей пропадает.
Чтобы узнать ваш пароль, достаточно разлогиниться на сайте, далее перейти на страницу авторизации, браузер любезно подставит сохраненный логин и пароль, ну а далее немного "хакерской магии": открываем консоль браузера(F12 обычно), вбиваем в консоль код, который прочитает все пароли на странице и отобразит их в консоли:
[...document.querySelectorAll("input[type='password']")].map(password =>console.log(password.value));
И далее радуемся успешно Как видите, в современном браузере вся ваша личная информация по умолчанию, как на ладони, поэтому не сохраняйте в браузере пароли хотя бы от сайтов с наиболее чувствительными данными: онлайн-банки, почтовые сервисы, облачные хранилища, бэкап-сервисы. Запрещайте браузеру сохранять ваши пароли на таких сайтах, и каждый раз, когда нужно залогиниться на таком сайте - доставайте пароль из менеджера паролей. В идеале каждый раз после использования сайта с чувствительными данными разлогиниваться на нем - на многие такие сайты вы заходите пару раз в неделю, поэтому долго держать сессию активной на таких сайтах нет нужды. Ну и пользуйтесь двухфакторной аутентификацией - она в таком случае предстает последним надежным рубежом защиты.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👏10🔥5❤2
Как получать доступ к функциям сайта, которые он пытается ограничить для вас?
Каждый в Интернете натыкался на сайты, которые ограничивали в возможностях использования своих функций тем или иным путем: кто-то просит подтвердить номер телефона, перегораживая весь интерфейс, кто-то купить триал, кто-то не хочет пускать к себе из-под "плохого" IP-адреса...Благо, жадность личится ;)
Т.к браузер и код, исполняющийся в нем, полностью под вашим контролем, вам ничего не мешает "подредактировать" сайт под себя. Разберем на реальных примерах, как обходить ограничения сайтов.
#1. Сайт, на котором можно смотреть интересную аналитику по акциям фондового рынка (он же на прилагаемом скриншоте) - блокирует интерфейс, разрешая смотреть только по 5 акций в день 😢. Находим в исходном коде страницы всплывающее окно и просто удаляем его клавишей DEL. Для дополнительной "сложности" сайт заблюррил страницу, разблюрриваем обратно и пользуемся сайтом в неограниченном режиме.
#2. Социальная сеть VK со своим постоянным требованием привязать почту/телефон. Тут все еще проще - тыкаем правой кнопкой мыши на назойливое окно, далее "Посмотреть код" и сносим назойливый элемент.
#3. Еще один инвестиционный сайт, предлагающий аналитику за нехилые деньги. Если посмотреть в консоли браузера, какие запросы он отправляет после регистрации, то окажется, что эти же запросы можно воспроизводить в соседней вкладке бесплатно - смотрите сами
#4. Криптообменник, не пускающий вас к себе по расовому признаку 👎🏿. Проверяет из вашего же браузера, из "правильной" ли вы страны запросом(с API ключом) на сервер IpAPI. Тут немного сложнее - нужно подделать ответ на запрос для сайта. Сделать это можно с помощью любого прокси сервера (вот урок для BurpSuite, например), после чего проходим, как ни в чем не бывало 😎
Если вас хотят ограничить, значит, вы на верном пути (с)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Каждый в Интернете натыкался на сайты, которые ограничивали в возможностях использования своих функций тем или иным путем: кто-то просит подтвердить номер телефона, перегораживая весь интерфейс, кто-то купить триал, кто-то не хочет пускать к себе из-под "плохого" IP-адреса...Благо, жадность личится ;)
Т.к браузер и код, исполняющийся в нем, полностью под вашим контролем, вам ничего не мешает "подредактировать" сайт под себя. Разберем на реальных примерах, как обходить ограничения сайтов.
#1. Сайт, на котором можно смотреть интересную аналитику по акциям фондового рынка (он же на прилагаемом скриншоте) - блокирует интерфейс, разрешая смотреть только по 5 акций в день 😢. Находим в исходном коде страницы всплывающее окно и просто удаляем его клавишей DEL. Для дополнительной "сложности" сайт заблюррил страницу, разблюрриваем обратно и пользуемся сайтом в неограниченном режиме.
#2. Социальная сеть VK со своим постоянным требованием привязать почту/телефон. Тут все еще проще - тыкаем правой кнопкой мыши на назойливое окно, далее "Посмотреть код" и сносим назойливый элемент.
#3. Еще один инвестиционный сайт, предлагающий аналитику за нехилые деньги. Если посмотреть в консоли браузера, какие запросы он отправляет после регистрации, то окажется, что эти же запросы можно воспроизводить в соседней вкладке бесплатно - смотрите сами
#4. Криптообменник, не пускающий вас к себе по расовому признаку 👎🏿. Проверяет из вашего же браузера, из "правильной" ли вы страны запросом(с API ключом) на сервер IpAPI. Тут немного сложнее - нужно подделать ответ на запрос для сайта. Сделать это можно с помощью любого прокси сервера (вот урок для BurpSuite, например), после чего проходим, как ни в чем не бывало 😎
Если вас хотят ограничить, значит, вы на верном пути (с)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍15❤3🔥2
Что могут узнать о вас при переходе по ссылке?
Ежедневно каждый переходит по сотням Интернет-ссылок, не задумываясь о том, что может быть субъектом чьего-то наблюдения. Вот минимальный список того, что о вас можно узнать, когда вы переходите по ссылке:
▪️ Ваш IP адрес (фейковый, если вы пользуетесь VPN)
▪️ Вашу страну и город (по IP адресу)
▪️ Программу, из которой вы пришли (название и версию)
▪️ Часовой пояс
▪️ Язык
▪️ Название и версию операционной системы
Объем того, что о вас могут узнать, сильно зависит от приложения, из которого вы открываете ссылку. Так, например, Telegram умеет открывать ссылки без перехода в браузер, и это сделано не просто так - открывая ссылку вместо браузера, Telegram пытается максимально вас анонимизировать. Когда же вы открываете ссылку внутри браузера, объем получаемой о вас информации увеличивается кратно(спасибо, JavaScript):
▪️ Параметры железа (ОЗУ, CPU и т.д)
▪️ Ваши реальные GPS-координаты
▪️ Размер вашего экрана
▪️ Список расширений и плагинов, установленных в браузере
▪️ И много чего еще, можете посмотреть сами
Справедливости ради стоит сказать, что все это не какая-то критическая информация о вас, но это та информация, которая может послужить звеном в сложной цепочке и использоваться в будущем против вас - например, в ходе фишинговой атаки.
Однажды я вылавливал Интернет-мошенника, и информация, полученная простым переходом мошенника по моей ссылке(сгенерированной тут), помогла мне подготовиться ко второму этапу атаки: узнав версию браузера, стало понятно, что мошенник использует устаревшую версию, уязвимую для известных атак, что позволило далее с помощью публичного эксплоита(о чем уже писал здесь) пробраться внутрь компьютера мошенника, опять убедив его перейти по ссылке 😁. Поэтому открывайте сомнительные ссылки из анонимных браузеров, об этом в следующем посте ;)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Ежедневно каждый переходит по сотням Интернет-ссылок, не задумываясь о том, что может быть субъектом чьего-то наблюдения. Вот минимальный список того, что о вас можно узнать, когда вы переходите по ссылке:
▪️ Ваш IP адрес (фейковый, если вы пользуетесь VPN)
▪️ Вашу страну и город (по IP адресу)
▪️ Программу, из которой вы пришли (название и версию)
▪️ Часовой пояс
▪️ Язык
▪️ Название и версию операционной системы
Объем того, что о вас могут узнать, сильно зависит от приложения, из которого вы открываете ссылку. Так, например, Telegram умеет открывать ссылки без перехода в браузер, и это сделано не просто так - открывая ссылку вместо браузера, Telegram пытается максимально вас анонимизировать. Когда же вы открываете ссылку внутри браузера, объем получаемой о вас информации увеличивается кратно(спасибо, JavaScript):
▪️ Параметры железа (ОЗУ, CPU и т.д)
▪️ Ваши реальные GPS-координаты
▪️ Размер вашего экрана
▪️ Список расширений и плагинов, установленных в браузере
▪️ И много чего еще, можете посмотреть сами
Справедливости ради стоит сказать, что все это не какая-то критическая информация о вас, но это та информация, которая может послужить звеном в сложной цепочке и использоваться в будущем против вас - например, в ходе фишинговой атаки.
Однажды я вылавливал Интернет-мошенника, и информация, полученная простым переходом мошенника по моей ссылке(сгенерированной тут), помогла мне подготовиться ко второму этапу атаки: узнав версию браузера, стало понятно, что мошенник использует устаревшую версию, уязвимую для известных атак, что позволило далее с помощью публичного эксплоита(о чем уже писал здесь) пробраться внутрь компьютера мошенника, опять убедив его перейти по ссылке 😁. Поэтому открывайте сомнительные ссылки из анонимных браузеров, об этом в следующем посте ;)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍18🔥8❤2
Как ваш браузер помогает другим идентифицировать вас?
В предыдущем посте было показано, как любой браузер предоставляет просматриваемому сайту много ненужной технической информации о вас, без которой сайт вполне мог бы обойтись. Причем однажды может оказаться так, что сумма всей такой информации, будет указывать ни на кого иного, кроме как на вас любимого.
Популярные браузеры (Chrome, Firefox, Safari) не сильно парятся о вашей анонимности (особенно о паролях, см.пост), а потому сливают всем сайтам без разбора кучу данных, чтобы они просто "нарисовали" сайт максимально красиво в ущерб вашей анонимности. В результате в цифровом мире у вас образуется "цифровой отпечаток" (fingerprint), который вас сильно выделяет из миллиардов пользователей по всему миру...
Посмотрите прямо сейчас, насколько вы "уникальны" в Интернете - тык, тык. Для идентификации вас потенциально могут использоваться тысячи признаков: начиная от вашего User-Agent (информация о программе и версии, из которой вы пришли) и заканчивая скоростью рендеринга сложной браузерной 3D-сцены (у хакеров компьютеры быстрые 😎).
Так, например, если я буду пользоваться своим привычным браузером для взломов, то детективу нужно будет поговорить всего лишь с ~1700000 подозреваемых, чтобы найти меня 😁. Но если серьезно, мой браузерный fingerprint таки может оказаться весомым аргументом на будущих звеньях цепочки расследования. Детективы и хакеры тут похожи :)
В 99% случаев, нет ничего страшного, что кто-то в Интернете получит ваш fingerprint — ну покажет вам рекламная сеть чуть более таргетированную рекламу, однако знать о такой "особенности" современных браузеров необходимо. А если у вас случай из числа 1%, пользуйтесь анонимным браузером TorBrowser, который передает сайтам минимально данных о вас, блокирует JavaScript и шифрует весь трафик так же надежно(и бесплатно), как хороший VPN.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
В предыдущем посте было показано, как любой браузер предоставляет просматриваемому сайту много ненужной технической информации о вас, без которой сайт вполне мог бы обойтись. Причем однажды может оказаться так, что сумма всей такой информации, будет указывать ни на кого иного, кроме как на вас любимого.
Популярные браузеры (Chrome, Firefox, Safari) не сильно парятся о вашей анонимности (особенно о паролях, см.пост), а потому сливают всем сайтам без разбора кучу данных, чтобы они просто "нарисовали" сайт максимально красиво в ущерб вашей анонимности. В результате в цифровом мире у вас образуется "цифровой отпечаток" (fingerprint), который вас сильно выделяет из миллиардов пользователей по всему миру...
Посмотрите прямо сейчас, насколько вы "уникальны" в Интернете - тык, тык. Для идентификации вас потенциально могут использоваться тысячи признаков: начиная от вашего User-Agent (информация о программе и версии, из которой вы пришли) и заканчивая скоростью рендеринга сложной браузерной 3D-сцены (у хакеров компьютеры быстрые 😎).
Так, например, если я буду пользоваться своим привычным браузером для взломов, то детективу нужно будет поговорить всего лишь с ~1700000 подозреваемых, чтобы найти меня 😁. Но если серьезно, мой браузерный fingerprint таки может оказаться весомым аргументом на будущих звеньях цепочки расследования. Детективы и хакеры тут похожи :)
В 99% случаев, нет ничего страшного, что кто-то в Интернете получит ваш fingerprint — ну покажет вам рекламная сеть чуть более таргетированную рекламу, однако знать о такой "особенности" современных браузеров необходимо. А если у вас случай из числа 1%, пользуйтесь анонимным браузером TorBrowser, который передает сайтам минимально данных о вас, блокирует JavaScript и шифрует весь трафик так же надежно(и бесплатно), как хороший VPN.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍17🔥2
Пользуйтесь временными почтовыми ящиками
Сайты в настоящее время стали совсем жадными до ваших данных, а потому каждый первый просит от вас регистрацию, дабы потом заработать на вас хотя бы в ходе рекламных email-рассылок, если вы не будете платить им за подписку в будущем. Нам дела нет до проблем с финансами у таких сайтов, а потому загрязнять свой основной почтовый ящик спамом от них тоже смысла никакого нет.
Чтобы "попробовать" сайт, не обязательно указывать при регистрации свой настоящий email - указывайте временный. Если сайт вам не понравится, в будущем вы не будете видеть спама от него в своем основном инбоксе. Сервисов для получения временного почтового ящика сейчас навалом (и они не требуют регистрации 😁), вот самые популярные: temp-mail, dropmail, fakemail - выбирайте любой, в целом разницы между ними нет.
Ну и в качестве бонуса сервисы временного почтового ящика позволят вам повысить анонимность, если произойдет утечка, а также создать несколько аккаунтов на любом сайте, где для регистрации нужен только email - что будет полезно, если вам нужно что-то накрутить.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Сайты в настоящее время стали совсем жадными до ваших данных, а потому каждый первый просит от вас регистрацию, дабы потом заработать на вас хотя бы в ходе рекламных email-рассылок, если вы не будете платить им за подписку в будущем. Нам дела нет до проблем с финансами у таких сайтов, а потому загрязнять свой основной почтовый ящик спамом от них тоже смысла никакого нет.
Чтобы "попробовать" сайт, не обязательно указывать при регистрации свой настоящий email - указывайте временный. Если сайт вам не понравится, в будущем вы не будете видеть спама от него в своем основном инбоксе. Сервисов для получения временного почтового ящика сейчас навалом (и они не требуют регистрации 😁), вот самые популярные: temp-mail, dropmail, fakemail - выбирайте любой, в целом разницы между ними нет.
Ну и в качестве бонуса сервисы временного почтового ящика позволят вам повысить анонимность, если произойдет утечка, а также создать несколько аккаунтов на любом сайте, где для регистрации нужен только email - что будет полезно, если вам нужно что-то накрутить.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍15❤4🔥2
Пользуйтесь программами, у которых открыт исходный код
Многие производители современного ПО (и даже многие серьезные из них) пытаются скрыть исходный код своих творений, чтобы общественность не лицезрелазакладки недокументированные возможности и конкуренты не утащили лакомый кусок кода в свои продукты. Такой подход защищает производителя, но наплевательски относится к пользователям.
Если же у программы открыт исходный код, то это явная декларация разработчика о том, что ему нечего скрывать и он готов это доказать публично - кто хочет, может проанализировать код программы на подозрительные участки и, если что обнаружится, написать разоблачающую статью во все СМИ. Иногда, правда, разработчики считают себя слишком умными - делают исходный код открытый, а закладки - замысловатыми, но их в итоге все равно рано или поздно находят независимые исследователи. На заре своего существования, кстати, на такой закладке поймали Telegram - пришлось исправляться.
Как проверить, открыт ли у программы исходный код? Достаточно просто загуглить (по запросу "исходный код [имя программы]") или поискать репозиторий по названию программы на сайте GitHub. Если поисковые запросы приводят вас к искомой программе, то программа с большей долей вероятности безопасная и ее можно запускать у себя в системе даже без изоляции.
Почти у каждой программы есть альтернатива с открытым исходным кодом(OpenSource), ее нужно просто поискать. Каждый раз, когда у вас есть возможность пользоваться OpenSource-программой вместо программы с закрытым исходным кодом(проприетарной), пользуйтесь OpenSource, оставайтесь в безопасности 😎
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Многие производители современного ПО (и даже многие серьезные из них) пытаются скрыть исходный код своих творений, чтобы общественность не лицезрела
Если же у программы открыт исходный код, то это явная декларация разработчика о том, что ему нечего скрывать и он готов это доказать публично - кто хочет, может проанализировать код программы на подозрительные участки и, если что обнаружится, написать разоблачающую статью во все СМИ. Иногда, правда, разработчики считают себя слишком умными - делают исходный код открытый, а закладки - замысловатыми, но их в итоге все равно рано или поздно находят независимые исследователи. На заре своего существования, кстати, на такой закладке поймали Telegram - пришлось исправляться.
Как проверить, открыт ли у программы исходный код? Достаточно просто загуглить (по запросу "исходный код [имя программы]") или поискать репозиторий по названию программы на сайте GitHub. Если поисковые запросы приводят вас к искомой программе, то программа с большей долей вероятности безопасная и ее можно запускать у себя в системе даже без изоляции.
Почти у каждой программы есть альтернатива с открытым исходным кодом(OpenSource), ее нужно просто поискать. Каждый раз, когда у вас есть возможность пользоваться OpenSource-программой вместо программы с закрытым исходным кодом(проприетарной), пользуйтесь OpenSource, оставайтесь в безопасности 😎
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍22👏2❤1
Проверяйте свои пароли на присутствие в утечках
Если вы только начали пользоваться менеджером паролей или по какой-то причине только планируете начать им пользоваться, не спешите сохранять туда используемые пароли - проверьте, присутствуют ли ваши пароли в базах с утечками. Если присутствуют, то прятать то, что и так известно любому желающему, смысла нет.
Ранее я уже писал, что ежедневно взламываются десятки сайтов, и хакеры после взлома вываливают в Интернет данные, которыми им удалось завладеть - нередко среди этих данных присутствуют пароли пользователей, которые не были защищены должным образом. Чтобы проверить, утек ли ваши пароль при очередном таком взломе, просто вбейте его здесь - сервис покажет вам, в каком числе утечек присутствует ваш пароль. Можно также поискать утечки своих данных по email - если по email утечки нашлись, а по паролю нет, то значит взломанный сайт защитил ваши пароли.
Если же ваш пароль присутствует в утечках, это означает, что его могут использовать в будущих атаках методом перебора, поэтому использовать такой пароль больше небезопасно, и его необходимо сменить. Также рекомендую периодически проверять на утечку свои пароли от наиболее критических сайтов и сервисов. А для пущей надежности заведите привычку менять пароли раз в 3-6 месяцев.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Если вы только начали пользоваться менеджером паролей или по какой-то причине только планируете начать им пользоваться, не спешите сохранять туда используемые пароли - проверьте, присутствуют ли ваши пароли в базах с утечками. Если присутствуют, то прятать то, что и так известно любому желающему, смысла нет.
Ранее я уже писал, что ежедневно взламываются десятки сайтов, и хакеры после взлома вываливают в Интернет данные, которыми им удалось завладеть - нередко среди этих данных присутствуют пароли пользователей, которые не были защищены должным образом. Чтобы проверить, утек ли ваши пароль при очередном таком взломе, просто вбейте его здесь - сервис покажет вам, в каком числе утечек присутствует ваш пароль. Можно также поискать утечки своих данных по email - если по email утечки нашлись, а по паролю нет, то значит взломанный сайт защитил ваши пароли.
Если же ваш пароль присутствует в утечках, это означает, что его могут использовать в будущих атаках методом перебора, поэтому использовать такой пароль больше небезопасно, и его необходимо сменить. Также рекомендую периодически проверять на утечку свои пароли от наиболее критических сайтов и сервисов. А для пущей надежности заведите привычку менять пароли раз в 3-6 месяцев.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍13❤2🔥1