Как можно угнать аккаунт Instagram
Ранее я уже писал, что хакеры не могут залезать в любые ваши аккаунты по щелчку пальцев, но только если вы придерживаетесь 15 базовых правил безопасности.
Вот, как однажды я взломал аккаунт жертвы Instagram, которая этих правил не придерживалась:
1. В профиле жертвы Instagram была ссылка на её личный сайт
2. На сайте я обнаружил Gmail адрес
3. Я начал процесс восстановления пароля к Gmail
4. Gmail сообщил мне Apple-овский email, привязанный к ящику, куда отправит ссылку для восстановления
5. Мне нужно было взломать Apple-овский ящик, для этого я позвонил в тех.поддержку AppleCare, где они попросили у меня имя, адрес и 4 цифры кредитки.
6. Адрес жертвы я смог узнать, пробив владельца сайта через публично доступную информацию о доменах whois
7. Для определения цифр кредитки, я позвонил в поддержку сайта, который точно знал кредитку жертвы - Amazon. Там я попросил добавить новую кредитку(свою фейковую), представившись владельцем, у меня спросили адрес, имя и email - все это уже было мне известно
8. Далее я снова позвонил в Amazon, попросил восстановить доступ к аккаунту, у меня попросили имя, адрес и номер кредитной карты - я сообщил номер фейковой кредитки, и мне предоставили доступ 👏
9. А аккаунте Amazon я нашел настоящую кредитку жертвы, после чего опять позвонил в AppleCare, сообщив им то, что они так хотели - имя, адрес и 4 цифры кредитки.
10. Получив доступ к почте Apple, я восстановил пароль от Gmail, а получив доступ к Gmail, я восстановил доступ к Instagram.
Какие правила нарушила жертва? Не использовала двухфакторную аутентификацию, разгласила о себе слишком много информации в публичном доступе, не пользовалась виртуальными картами(одна на каждый сайт!). О тех.поддержке сайтов вообще молчу - фишинг будет работать всегда. В будущем покажу еще интересные атаки на человеческий фактор 😉
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Ранее я уже писал, что хакеры не могут залезать в любые ваши аккаунты по щелчку пальцев, но только если вы придерживаетесь 15 базовых правил безопасности.
Вот, как однажды я взломал аккаунт жертвы Instagram, которая этих правил не придерживалась:
1. В профиле жертвы Instagram была ссылка на её личный сайт
2. На сайте я обнаружил Gmail адрес
3. Я начал процесс восстановления пароля к Gmail
4. Gmail сообщил мне Apple-овский email, привязанный к ящику, куда отправит ссылку для восстановления
5. Мне нужно было взломать Apple-овский ящик, для этого я позвонил в тех.поддержку AppleCare, где они попросили у меня имя, адрес и 4 цифры кредитки.
6. Адрес жертвы я смог узнать, пробив владельца сайта через публично доступную информацию о доменах whois
7. Для определения цифр кредитки, я позвонил в поддержку сайта, который точно знал кредитку жертвы - Amazon. Там я попросил добавить новую кредитку(свою фейковую), представившись владельцем, у меня спросили адрес, имя и email - все это уже было мне известно
8. Далее я снова позвонил в Amazon, попросил восстановить доступ к аккаунту, у меня попросили имя, адрес и номер кредитной карты - я сообщил номер фейковой кредитки, и мне предоставили доступ 👏
9. А аккаунте Amazon я нашел настоящую кредитку жертвы, после чего опять позвонил в AppleCare, сообщив им то, что они так хотели - имя, адрес и 4 цифры кредитки.
10. Получив доступ к почте Apple, я восстановил пароль от Gmail, а получив доступ к Gmail, я восстановил доступ к Instagram.
Какие правила нарушила жертва? Не использовала двухфакторную аутентификацию, разгласила о себе слишком много информации в публичном доступе, не пользовалась виртуальными картами(одна на каждый сайт!). О тех.поддержке сайтов вообще молчу - фишинг будет работать всегда. В будущем покажу еще интересные атаки на человеческий фактор 😉
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍32❤6🔥3
Как узнать больше о сайте
Сейчас всем нам ежедневно приходится взаимодействовать с десятками веб-сайтов, некоторые из них могут выглядеть достоверно, но на деле - владельцами этих сайтов могут оказаться обычные мошенники.
Вот простые техники, с которых я всегда начинаю анализ сайта:
▪️Посмотреть в webarchive - историческом хранилище Интернета, - как выглядел сомнительный сайт в прошлом.
▪️Посмотреть в whois (тот самый, что помог мне в предыдущем посте совершить взлом) - реестр сведений о владельцах и дат регистраций доменов. Если домен был зарегистрирован недавно и адрес его владельца - Виргинские острова, повод задуматься.
▪️Посмотреть, что знает о сайте Google с помощью Google Dorks: например, если интересует сайт "blog,com", вбейте в поисковую строку Google "site:blog,com" - Google выдаст все страницы сайта, о которых ему известно. Изучите сохраненные копии страниц.
▪️Собрать все контакты с сайта (email, соц.сети и номера телефонов) и погуглить их. А номера пробить через GetContact - он бесплатно расскажет о владельце.
▪️Скачать картинки/видео с сайта и посмотреть их мета-данные. На этом шаге часто лажают даже политики.
Более продвинутые техники:
🔸Заглянуть в исходный код страницы (нажмите в своем браузере правой кнопкой по странице и выберите "Просмотр кода страницы") - обратите внимание на оставленные комментарии и интересные слова в коде
🔸Посмотреть, какая компания и когда выдала SSL-сертификат сайту. Если компания, которая выдает сертификаты всем подряд (вроде LetsEncrypt), повод призадуматься
За все время у меня накопилось 50+ техник для анализа сайта, буду постепенно о них рассказывать ;)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Сейчас всем нам ежедневно приходится взаимодействовать с десятками веб-сайтов, некоторые из них могут выглядеть достоверно, но на деле - владельцами этих сайтов могут оказаться обычные мошенники.
Вот простые техники, с которых я всегда начинаю анализ сайта:
▪️Посмотреть в webarchive - историческом хранилище Интернета, - как выглядел сомнительный сайт в прошлом.
▪️Посмотреть в whois (тот самый, что помог мне в предыдущем посте совершить взлом) - реестр сведений о владельцах и дат регистраций доменов. Если домен был зарегистрирован недавно и адрес его владельца - Виргинские острова, повод задуматься.
▪️Посмотреть, что знает о сайте Google с помощью Google Dorks: например, если интересует сайт "blog,com", вбейте в поисковую строку Google "site:blog,com" - Google выдаст все страницы сайта, о которых ему известно. Изучите сохраненные копии страниц.
▪️Собрать все контакты с сайта (email, соц.сети и номера телефонов) и погуглить их. А номера пробить через GetContact - он бесплатно расскажет о владельце.
▪️Скачать картинки/видео с сайта и посмотреть их мета-данные. На этом шаге часто лажают даже политики.
Более продвинутые техники:
🔸Заглянуть в исходный код страницы (нажмите в своем браузере правой кнопкой по странице и выберите "Просмотр кода страницы") - обратите внимание на оставленные комментарии и интересные слова в коде
🔸Посмотреть, какая компания и когда выдала SSL-сертификат сайту. Если компания, которая выдает сертификаты всем подряд (вроде LetsEncrypt), повод призадуматься
За все время у меня накопилось 50+ техник для анализа сайта, буду постепенно о них рассказывать ;)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍15❤2
Пример разоблачения мошеннического сайта. В дополнение к предыдущему посту
Одному моему знакомому бизнесмену (далее - М) в чате после долгой беседы на отвлеченные темы собеседник рассказал, как он легко открыл собственный магазин в TikTok без головной боли (видимо, в публичный доступ где-то просочилось то, что М занимается бизнесом). Собеседник отправил ссылку М, где якобы можно зарегистрировать TikTok-магазин - seller.tiktokt.shop, но М не обратил на нее внимания, на автомате пошел в Google и загуглил сам (что максимально правильно в такой ситуации, подробнее в этом посте). Загуглил М что-то вроде: "open shop tiktok", попал на официальный сайт из поисковой выдачи - seller.tiktok.com, где процесс регистрации представлял на самом деле море головной боли.
Тут в голову М закрались сомнения в надежности собеседника, и он обратился ко мне. От одного только названия сайта уже веяло скамерским мотивом, но для надежности я воспользовался "продвинутой" техникой из предыдущей статьи - посмотрел SSL-сертификат сайта. Сертификат был выдан как раз компанией LetsEncrypt, выдающей сертификаты всем подряд без верификации бренда и личности - вряд ли компания TikTok получила свой сертификат таким образом. На прикрепленном фото вы можете увидеть отличия скамерского сертификата от оригинального. Whois, кстати, у сайта был скрыт - что обычно тоже свидетельствует о недобрых мотивах владельца.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Одному моему знакомому бизнесмену (далее - М) в чате после долгой беседы на отвлеченные темы собеседник рассказал, как он легко открыл собственный магазин в TikTok без головной боли (видимо, в публичный доступ где-то просочилось то, что М занимается бизнесом). Собеседник отправил ссылку М, где якобы можно зарегистрировать TikTok-магазин - seller.tiktokt.shop, но М не обратил на нее внимания, на автомате пошел в Google и загуглил сам (что максимально правильно в такой ситуации, подробнее в этом посте). Загуглил М что-то вроде: "open shop tiktok", попал на официальный сайт из поисковой выдачи - seller.tiktok.com, где процесс регистрации представлял на самом деле море головной боли.
Тут в голову М закрались сомнения в надежности собеседника, и он обратился ко мне. От одного только названия сайта уже веяло скамерским мотивом, но для надежности я воспользовался "продвинутой" техникой из предыдущей статьи - посмотрел SSL-сертификат сайта. Сертификат был выдан как раз компанией LetsEncrypt, выдающей сертификаты всем подряд без верификации бренда и личности - вряд ли компания TikTok получила свой сертификат таким образом. На прикрепленном фото вы можете увидеть отличия скамерского сертификата от оригинального. Whois, кстати, у сайта был скрыт - что обычно тоже свидетельствует о недобрых мотивах владельца.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍11🔥3👏1
Как сходить на киносеанс в пустой зал?
Захотел я как-то сходить в кино. Для этого зашел на сайт кинотеатра (а на самом деле целой сети кинотеатров), чтобы забронировать места и купить билеты онлайн - вот он.
Перед покупкой билетов мне предложили выбрать места в кинотеатре, на которых я бы хотел расположиться. Выбрал пару мест, далее меня любезно предупредили, что у меня есть 5 минут, чтобы выбранные места оплатить - все это время они будут в резерве и недоступны остальным. "Ничего себе" - подумал я - так ведь и целый кинотеатр можно зарезервировать 😎
До киносеанса оставалось ещё пару часов, поэтому у меня было достаточно времени покопаться в устройстве веб-сайта кинотеатра, чтобы понять, как происходит резервация мест. Я обнаружил, что каждый раз при резервации веб-страница отправляет запрос на сервер с номерами выбранных мест, запрос этот выглядит так (кому интересно, можете сами его найти в консоли своего браузера): https://reelcinemas.com/WebApi/api/SeatLayourAPI/BlockSeats.
Далее я, не долго думая, быстро написал свою хакерскую программу, которая автоматически отправляла много таких запросов на резервацию всех мест каждые 5 минут. Результат видите сами 😁
Как я уже писал ранее, в Интернете можно накрутить все, что угодно, и даже резервацию в кинозале. Самое забавное, что большинство сайтов кинотеатров (и этот в том числе) даже не требуют от пользователя регистрации для резервации мест, т.е вы можете просто открыть 10-20-30 окон браузера в режиме инкогнито и зарезервировать все места вручную. Так ведь и многомилионную кинопремьеру по всему миру можно сорвать 😬
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Захотел я как-то сходить в кино. Для этого зашел на сайт кинотеатра (а на самом деле целой сети кинотеатров), чтобы забронировать места и купить билеты онлайн - вот он.
Перед покупкой билетов мне предложили выбрать места в кинотеатре, на которых я бы хотел расположиться. Выбрал пару мест, далее меня любезно предупредили, что у меня есть 5 минут, чтобы выбранные места оплатить - все это время они будут в резерве и недоступны остальным. "Ничего себе" - подумал я - так ведь и целый кинотеатр можно зарезервировать 😎
До киносеанса оставалось ещё пару часов, поэтому у меня было достаточно времени покопаться в устройстве веб-сайта кинотеатра, чтобы понять, как происходит резервация мест. Я обнаружил, что каждый раз при резервации веб-страница отправляет запрос на сервер с номерами выбранных мест, запрос этот выглядит так (кому интересно, можете сами его найти в консоли своего браузера): https://reelcinemas.com/WebApi/api/SeatLayourAPI/BlockSeats.
Далее я, не долго думая, быстро написал свою хакерскую программу, которая автоматически отправляла много таких запросов на резервацию всех мест каждые 5 минут. Результат видите сами 😁
Как я уже писал ранее, в Интернете можно накрутить все, что угодно, и даже резервацию в кинозале. Самое забавное, что большинство сайтов кинотеатров (и этот в том числе) даже не требуют от пользователя регистрации для резервации мест, т.е вы можете просто открыть 10-20-30 окон браузера в режиме инкогнито и зарезервировать все места вручную. Так ведь и многомилионную кинопремьеру по всему миру можно сорвать 😬
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍23🔥7🤔3❤1👏1
Как можно запретить любому человеку пользоваться любым мессенджером?
Есть у всех мессенджеров одна уязвимость из разряда "В Интернете можно накрутить все, что угодно", полноценную защиту от которой создать невозможно - это накрутка сообщений любому пользователю. И не просто накрутка, а настоящий шквал спам-сообщений, среди которых невозможно разобрать настоящие. Все настоящие диалоги собеседника уйдут глубоко вниз списка диалогов, а телефон начнет разрываться от уведомлений. При таком раскладе заходить в свой мессенджер и проверять новые сообщения у жертвы не возникнет ни малейшего желания - она их даже не найдет. Некоторые жертвы не выдерживают и просто удаляют мессенджер 😎
Эта техника уже не раз позволяла лично мне "вырубить" жертве доступ в определенный мессенджер: WhatsApp, Telegram, Instagram, VK на любой срок. Раньше это было сделать сложнее, но в век "услуг на любой вкус" это может сделать кто угодно в том числе и в ваш адрес за 500-3000 рублей. Работает даже с SMS - могут атаковать вас, если не хотят, чтобы вы прочитали определенное сообщение (например, с кодом двухфакторной аутентификации для входа в аккаунт).
Некоторые мессенджеры предлагают защиту от этого с помощью настройки "Запретить сообщения от неизвестных" - в Telegram такая настройка есть (называется "Новые чаты с незнакомцами"), но о ней мало кто знает, все же остальные мессенджеры такой функцией не обладают, поэтому там вы беззащитны против такой атаки.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Есть у всех мессенджеров одна уязвимость из разряда "В Интернете можно накрутить все, что угодно", полноценную защиту от которой создать невозможно - это накрутка сообщений любому пользователю. И не просто накрутка, а настоящий шквал спам-сообщений, среди которых невозможно разобрать настоящие. Все настоящие диалоги собеседника уйдут глубоко вниз списка диалогов, а телефон начнет разрываться от уведомлений. При таком раскладе заходить в свой мессенджер и проверять новые сообщения у жертвы не возникнет ни малейшего желания - она их даже не найдет. Некоторые жертвы не выдерживают и просто удаляют мессенджер 😎
Эта техника уже не раз позволяла лично мне "вырубить" жертве доступ в определенный мессенджер: WhatsApp, Telegram, Instagram, VK на любой срок. Раньше это было сделать сложнее, но в век "услуг на любой вкус" это может сделать кто угодно в том числе и в ваш адрес за 500-3000 рублей. Работает даже с SMS - могут атаковать вас, если не хотят, чтобы вы прочитали определенное сообщение (например, с кодом двухфакторной аутентификации для входа в аккаунт).
Некоторые мессенджеры предлагают защиту от этого с помощью настройки "Запретить сообщения от неизвестных" - в Telegram такая настройка есть (называется "Новые чаты с незнакомцами"), но о ней мало кто знает, все же остальные мессенджеры такой функцией не обладают, поэтому там вы беззащитны против такой атаки.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍39🔥4👏4🤔3
Удаляйте метаданные из своих файлов
Метаданные в файлах - это настоящее зло современности. Они пишутся во все ваши файлы скрытно, сливая тем самым информацию о вас всем, кто этот файл когда-либо получит.
Так, например, в документы Microsoft Office скрытно пишется информация о том, кто и когда документ создал и редактировал в последний раз. Фотографии и видеозаписи по умолчанию содержат в себе дату съемки, название и марку устройства, с которого была произведена съемка, а также гео-метку, где была произведена съемка и даже программу, в которой фото/видео редактировались. Так что, если хотите однажды что-то скрытно подменить в Excel-табличке, Word-документе, обмануть кого-то временем съемки или убедить кого-то, что отфотошопленное фото является подлинным, знайте - большой брат вас вычислит (да и малый тоже) 😁
Любые файлы, которые вы создаете или редактируете, могут сохранять метаданные о вас: PDF, DOC, JPEG, MPEG, MP3 и даже исполняемые (EXE) файлы, если вы их создаете в среде разработки. Будьте осторожны, распространяя свои файлы в Интернете - метаданные уже не раз позволяли ловить политиков на лжи, хакеров за преступления, а простых людей - деанимизировать в два счета.
Каждый раз, когда загружаете в Интернет какой-либо файл, который вы создали или отредактировали, очищайте его метаданные - благо, программ и сайтов для чистки метаданных сейчас навалом. Оставайтесь анонимными 😉
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Метаданные в файлах - это настоящее зло современности. Они пишутся во все ваши файлы скрытно, сливая тем самым информацию о вас всем, кто этот файл когда-либо получит.
Так, например, в документы Microsoft Office скрытно пишется информация о том, кто и когда документ создал и редактировал в последний раз. Фотографии и видеозаписи по умолчанию содержат в себе дату съемки, название и марку устройства, с которого была произведена съемка, а также гео-метку, где была произведена съемка и даже программу, в которой фото/видео редактировались. Так что, если хотите однажды что-то скрытно подменить в Excel-табличке, Word-документе, обмануть кого-то временем съемки или убедить кого-то, что отфотошопленное фото является подлинным, знайте - большой брат вас вычислит (да и малый тоже) 😁
Любые файлы, которые вы создаете или редактируете, могут сохранять метаданные о вас: PDF, DOC, JPEG, MPEG, MP3 и даже исполняемые (EXE) файлы, если вы их создаете в среде разработки. Будьте осторожны, распространяя свои файлы в Интернете - метаданные уже не раз позволяли ловить политиков на лжи, хакеров за преступления, а простых людей - деанимизировать в два счета.
Каждый раз, когда загружаете в Интернет какой-либо файл, который вы создали или отредактировали, очищайте его метаданные - благо, программ и сайтов для чистки метаданных сейчас навалом. Оставайтесь анонимными 😉
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍30🔥6👏2
Как прятать приложения от любопытных глаз?
Бывают случаи, когда вам приходится разрешать кому-то копаться в вашем телефоне/компьютере против собственной воли, иначе же вас могут заподозрить в чем-то. Это могут быть ваши родственники, парни/девушки...пограничники 😳
В этом случае вам нужно заранее позаботиться о собственной безопасности, скрыв нежелательные приложения от любопытных глаз. Да и вообще, в мире информационной безопасности есть такой принцип - "security through obscurity", означающий "безопасность путем сокрытия", который часто работает даже лучше любой системы защиты и который лично меня не раз ставил в тупик: если не понятно, что у вас есть, то и не понятно, что искать.
Скрыть приложения можно практически в любой операционной системе. Вот примеры для наиболее распространенных:
▪️Для Android самым универсальным вариантом будет установить кастомный домашний экран (Home Screen), поддерживающий сокрытие приложений. Например, Apex Launcher (скрывает с домашнего экрана и из поиска).
▪️Для iOS (Apple, iPad) - удалить приложение с домашнего экрана и скрыть его из поиска (подробнее тут).
▪️Для Windows/macOS/Linux надежнее всего использовать программы для запуска приложений в изолированной оболочке (лучшая в своем роде - Sandboxie, о ней еще поговорим в будущий постах). Такие программы позволяют запускать приложения в "песочнице" - изолированном месте. Если вдобавок вы спрячете файлы песочницы, как это было рассказано в посте "Прячьте ценные файлы", то никто и никогда не заподозрит вас в использовании приложения 😎
Ну и не забывайте отключать уведомления из скрываемых программ, чтобы в самый неподходящий момент они вас не разоблачили.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Бывают случаи, когда вам приходится разрешать кому-то копаться в вашем телефоне/компьютере против собственной воли, иначе же вас могут заподозрить в чем-то. Это могут быть ваши родственники, парни/девушки...пограничники 😳
В этом случае вам нужно заранее позаботиться о собственной безопасности, скрыв нежелательные приложения от любопытных глаз. Да и вообще, в мире информационной безопасности есть такой принцип - "security through obscurity", означающий "безопасность путем сокрытия", который часто работает даже лучше любой системы защиты и который лично меня не раз ставил в тупик: если не понятно, что у вас есть, то и не понятно, что искать.
Скрыть приложения можно практически в любой операционной системе. Вот примеры для наиболее распространенных:
▪️Для Android самым универсальным вариантом будет установить кастомный домашний экран (Home Screen), поддерживающий сокрытие приложений. Например, Apex Launcher (скрывает с домашнего экрана и из поиска).
▪️Для iOS (Apple, iPad) - удалить приложение с домашнего экрана и скрыть его из поиска (подробнее тут).
▪️Для Windows/macOS/Linux надежнее всего использовать программы для запуска приложений в изолированной оболочке (лучшая в своем роде - Sandboxie, о ней еще поговорим в будущий постах). Такие программы позволяют запускать приложения в "песочнице" - изолированном месте. Если вдобавок вы спрячете файлы песочницы, как это было рассказано в посте "Прячьте ценные файлы", то никто и никогда не заподозрит вас в использовании приложения 😎
Ну и не забывайте отключать уведомления из скрываемых программ, чтобы в самый неподходящий момент они вас не разоблачили.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍25❤4🔥3
Ставьте пароль на браузер
Любой современный браузер - это кладезь ценной информации для хакера. Браузер запоминает "для вашего удобства" все ваши пароли и держит открытыми сессии на сайтах, в которых вы залогинились. В большинстве случаев, если я получу доступ к вашему браузеру, я смогу стащить доступ в ваши аккаунты, даже не зная пароля (стащив куки). А если вы дадите мне пару минут, я установлю в ваш браузер расширение GreaseMonkey, которое будет на каждой странице исполнять мой вредоносный Javascript-код, перехватывающий все, что вы вводите в поля ввода и отправлять ко мне на сервер (и пароли в первую очередь).
Если вы не контролируете доступ к своему устройству на 100% (если иногда им пользуется кто-то еще), самое простое, что вы можете сделать прямо сейчас для собственной безопасности - поставить пароль на свой браузер. К огромному удивлению, ни один разработчик современного браузера не позаботился о защите браузера паролем, поэтому придется использовать сторонние расширения, которые не пропустят в ваш браузер никого, кто не знает пароль:
1. Расширение для Google Chrome
2. Расширение для Firefox (стандартный мастер-пароль в Firefox не работает, как надо)
3. Для Safari существует более надежный метод - блокировка запуска браузера с помощью приложений вроде AppCrypt (рабочих расширений не нашел)
Все это довольно топорные варианты, которые можно обойти при должном желании за 5-10 минут, но это лучшее и наиболее простое, что можно выбрать в условиях, когда разработчики забили на такую очевидную защиту, как установка пароля на браузер. Более продвинутым методом защиты является использование раздельных учеток на вашем устройстве, об этом в следующем посте.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Любой современный браузер - это кладезь ценной информации для хакера. Браузер запоминает "для вашего удобства" все ваши пароли и держит открытыми сессии на сайтах, в которых вы залогинились. В большинстве случаев, если я получу доступ к вашему браузеру, я смогу стащить доступ в ваши аккаунты, даже не зная пароля (стащив куки). А если вы дадите мне пару минут, я установлю в ваш браузер расширение GreaseMonkey, которое будет на каждой странице исполнять мой вредоносный Javascript-код, перехватывающий все, что вы вводите в поля ввода и отправлять ко мне на сервер (и пароли в первую очередь).
Если вы не контролируете доступ к своему устройству на 100% (если иногда им пользуется кто-то еще), самое простое, что вы можете сделать прямо сейчас для собственной безопасности - поставить пароль на свой браузер. К огромному удивлению, ни один разработчик современного браузера не позаботился о защите браузера паролем, поэтому придется использовать сторонние расширения, которые не пропустят в ваш браузер никого, кто не знает пароль:
1. Расширение для Google Chrome
2. Расширение для Firefox (стандартный мастер-пароль в Firefox не работает, как надо)
3. Для Safari существует более надежный метод - блокировка запуска браузера с помощью приложений вроде AppCrypt (рабочих расширений не нашел)
Все это довольно топорные варианты, которые можно обойти при должном желании за 5-10 минут, но это лучшее и наиболее простое, что можно выбрать в условиях, когда разработчики забили на такую очевидную защиту, как установка пароля на браузер. Более продвинутым методом защиты является использование раздельных учеток на вашем устройстве, об этом в следующем посте.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍25👏2
Пользуйтесь раздельными учетками
В предыдущем посте речь шла о защите своего браузера от посторонних с помощью пароля. Но на самом деле есть более правильный способ защиты своего "личного" цифрового пространства, который не ограничивается одним лишь браузером - использование раздельных учетных записей.
Все популярные операционные системы предлагают этот механизм в том или ином виде. Поэтому, если вам приходится кому-то давать пользоваться своим устройством, создайте на устройстве несколько учеток, и, каждый раз, когда вам понадобится кому-то дать свой компьютер/телефон, выходите из своей учетной записи и логиньте человека в гостевой. В идеале на каждого человека - своя учетка.
При использовании учеток происходит изоляция вашего личного(домашнего) пространства от чужих домашних пространств, что позволяет пользоваться одной и той же программой (браузер, офисный пакет, игры) в "параллельных" пространствах - ваши сессии в браузере будут изолированы от сессий из чужих учеток, а прогресс в компьютерной игре будет недоступен младшему брату 😁 Не все программы, правда, по-честному сохраняют все приватные данные в домашнем пространстве, поэтому каждую программу проверяйте индивидуально на "вшивость" из-под тестовых учеток.
Разные учетки также позволят вам защищаться от вирусов, если вы будете всегда запускать любые программы из-под учетных записей с ограниченными правами (а не из-под админа, как многие любят) - в таком случае вирусы будут сильно ограничены в своих возможностях, да и данных особо похитить не смогут, т.к в домашнем пространстве учетки будет пусто. Если же вирус как-то и навредит системе, можно будет просто удалить учетку.
Но все же, ничего не сравнится по уровню изоляции и безопасности с запуском программ внутри виртуальной машины. Но если у вас нет такой возможности, пользуйтесь раздельными учетками.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
В предыдущем посте речь шла о защите своего браузера от посторонних с помощью пароля. Но на самом деле есть более правильный способ защиты своего "личного" цифрового пространства, который не ограничивается одним лишь браузером - использование раздельных учетных записей.
Все популярные операционные системы предлагают этот механизм в том или ином виде. Поэтому, если вам приходится кому-то давать пользоваться своим устройством, создайте на устройстве несколько учеток, и, каждый раз, когда вам понадобится кому-то дать свой компьютер/телефон, выходите из своей учетной записи и логиньте человека в гостевой. В идеале на каждого человека - своя учетка.
При использовании учеток происходит изоляция вашего личного(домашнего) пространства от чужих домашних пространств, что позволяет пользоваться одной и той же программой (браузер, офисный пакет, игры) в "параллельных" пространствах - ваши сессии в браузере будут изолированы от сессий из чужих учеток, а прогресс в компьютерной игре будет недоступен младшему брату 😁 Не все программы, правда, по-честному сохраняют все приватные данные в домашнем пространстве, поэтому каждую программу проверяйте индивидуально на "вшивость" из-под тестовых учеток.
Разные учетки также позволят вам защищаться от вирусов, если вы будете всегда запускать любые программы из-под учетных записей с ограниченными правами (а не из-под админа, как многие любят) - в таком случае вирусы будут сильно ограничены в своих возможностях, да и данных особо похитить не смогут, т.к в домашнем пространстве учетки будет пусто. Если же вирус как-то и навредит системе, можно будет просто удалить учетку.
Но все же, ничего не сравнится по уровню изоляции и безопасности с запуском программ внутри виртуальной машины. Но если у вас нет такой возможности, пользуйтесь раздельными учетками.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍16🔥2
Как узнать пароль, сохраненный в браузере?
Пост-дополнение к посту о необходимости защиты своего браузера от посторонних. Во все современные браузеры встроена функция сохранения паролей, которая, делает вашу жизнь удобнее за счет снижения вашей безопасности. Если вы сохраняете все свои пароли внутри браузера, то практический смысл от совета использовать менеджер паролей пропадает.
Чтобы узнать ваш пароль, достаточно разлогиниться на сайте, далее перейти на страницу авторизации, браузер любезно подставит сохраненный логин и пароль, ну а далее немного "хакерской магии": открываем консоль браузера(F12 обычно), вбиваем в консоль код, который прочитает все пароли на странице и отобразит их в консоли:
сворованномувосстановленному паролю, который когда-то давно забыли сохранить в менеджер паролей 😁
Как видите, в современном браузере вся ваша личная информация по умолчанию, как на ладони, поэтому не сохраняйте в браузере пароли хотя бы от сайтов с наиболее чувствительными данными: онлайн-банки, почтовые сервисы, облачные хранилища, бэкап-сервисы. Запрещайте браузеру сохранять ваши пароли на таких сайтах, и каждый раз, когда нужно залогиниться на таком сайте - доставайте пароль из менеджера паролей. В идеале каждый раз после использования сайта с чувствительными данными разлогиниваться на нем - на многие такие сайты вы заходите пару раз в неделю, поэтому долго держать сессию активной на таких сайтах нет нужды. Ну и пользуйтесь двухфакторной аутентификацией - она в таком случае предстает последним надежным рубежом защиты.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Пост-дополнение к посту о необходимости защиты своего браузера от посторонних. Во все современные браузеры встроена функция сохранения паролей, которая, делает вашу жизнь удобнее за счет снижения вашей безопасности. Если вы сохраняете все свои пароли внутри браузера, то практический смысл от совета использовать менеджер паролей пропадает.
Чтобы узнать ваш пароль, достаточно разлогиниться на сайте, далее перейти на страницу авторизации, браузер любезно подставит сохраненный логин и пароль, ну а далее немного "хакерской магии": открываем консоль браузера(F12 обычно), вбиваем в консоль код, который прочитает все пароли на странице и отобразит их в консоли:
[...document.querySelectorAll("input[type='password']")].map(password =>console.log(password.value));
И далее радуемся успешно Как видите, в современном браузере вся ваша личная информация по умолчанию, как на ладони, поэтому не сохраняйте в браузере пароли хотя бы от сайтов с наиболее чувствительными данными: онлайн-банки, почтовые сервисы, облачные хранилища, бэкап-сервисы. Запрещайте браузеру сохранять ваши пароли на таких сайтах, и каждый раз, когда нужно залогиниться на таком сайте - доставайте пароль из менеджера паролей. В идеале каждый раз после использования сайта с чувствительными данными разлогиниваться на нем - на многие такие сайты вы заходите пару раз в неделю, поэтому долго держать сессию активной на таких сайтах нет нужды. Ну и пользуйтесь двухфакторной аутентификацией - она в таком случае предстает последним надежным рубежом защиты.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👏10🔥5❤2
Как получать доступ к функциям сайта, которые он пытается ограничить для вас?
Каждый в Интернете натыкался на сайты, которые ограничивали в возможностях использования своих функций тем или иным путем: кто-то просит подтвердить номер телефона, перегораживая весь интерфейс, кто-то купить триал, кто-то не хочет пускать к себе из-под "плохого" IP-адреса...Благо, жадность личится ;)
Т.к браузер и код, исполняющийся в нем, полностью под вашим контролем, вам ничего не мешает "подредактировать" сайт под себя. Разберем на реальных примерах, как обходить ограничения сайтов.
#1. Сайт, на котором можно смотреть интересную аналитику по акциям фондового рынка (он же на прилагаемом скриншоте) - блокирует интерфейс, разрешая смотреть только по 5 акций в день 😢. Находим в исходном коде страницы всплывающее окно и просто удаляем его клавишей DEL. Для дополнительной "сложности" сайт заблюррил страницу, разблюрриваем обратно и пользуемся сайтом в неограниченном режиме.
#2. Социальная сеть VK со своим постоянным требованием привязать почту/телефон. Тут все еще проще - тыкаем правой кнопкой мыши на назойливое окно, далее "Посмотреть код" и сносим назойливый элемент.
#3. Еще один инвестиционный сайт, предлагающий аналитику за нехилые деньги. Если посмотреть в консоли браузера, какие запросы он отправляет после регистрации, то окажется, что эти же запросы можно воспроизводить в соседней вкладке бесплатно - смотрите сами
#4. Криптообменник, не пускающий вас к себе по расовому признаку 👎🏿. Проверяет из вашего же браузера, из "правильной" ли вы страны запросом(с API ключом) на сервер IpAPI. Тут немного сложнее - нужно подделать ответ на запрос для сайта. Сделать это можно с помощью любого прокси сервера (вот урок для BurpSuite, например), после чего проходим, как ни в чем не бывало 😎
Если вас хотят ограничить, значит, вы на верном пути (с)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Каждый в Интернете натыкался на сайты, которые ограничивали в возможностях использования своих функций тем или иным путем: кто-то просит подтвердить номер телефона, перегораживая весь интерфейс, кто-то купить триал, кто-то не хочет пускать к себе из-под "плохого" IP-адреса...Благо, жадность личится ;)
Т.к браузер и код, исполняющийся в нем, полностью под вашим контролем, вам ничего не мешает "подредактировать" сайт под себя. Разберем на реальных примерах, как обходить ограничения сайтов.
#1. Сайт, на котором можно смотреть интересную аналитику по акциям фондового рынка (он же на прилагаемом скриншоте) - блокирует интерфейс, разрешая смотреть только по 5 акций в день 😢. Находим в исходном коде страницы всплывающее окно и просто удаляем его клавишей DEL. Для дополнительной "сложности" сайт заблюррил страницу, разблюрриваем обратно и пользуемся сайтом в неограниченном режиме.
#2. Социальная сеть VK со своим постоянным требованием привязать почту/телефон. Тут все еще проще - тыкаем правой кнопкой мыши на назойливое окно, далее "Посмотреть код" и сносим назойливый элемент.
#3. Еще один инвестиционный сайт, предлагающий аналитику за нехилые деньги. Если посмотреть в консоли браузера, какие запросы он отправляет после регистрации, то окажется, что эти же запросы можно воспроизводить в соседней вкладке бесплатно - смотрите сами
#4. Криптообменник, не пускающий вас к себе по расовому признаку 👎🏿. Проверяет из вашего же браузера, из "правильной" ли вы страны запросом(с API ключом) на сервер IpAPI. Тут немного сложнее - нужно подделать ответ на запрос для сайта. Сделать это можно с помощью любого прокси сервера (вот урок для BurpSuite, например), после чего проходим, как ни в чем не бывало 😎
Если вас хотят ограничить, значит, вы на верном пути (с)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍15❤3🔥2
Что могут узнать о вас при переходе по ссылке?
Ежедневно каждый переходит по сотням Интернет-ссылок, не задумываясь о том, что может быть субъектом чьего-то наблюдения. Вот минимальный список того, что о вас можно узнать, когда вы переходите по ссылке:
▪️ Ваш IP адрес (фейковый, если вы пользуетесь VPN)
▪️ Вашу страну и город (по IP адресу)
▪️ Программу, из которой вы пришли (название и версию)
▪️ Часовой пояс
▪️ Язык
▪️ Название и версию операционной системы
Объем того, что о вас могут узнать, сильно зависит от приложения, из которого вы открываете ссылку. Так, например, Telegram умеет открывать ссылки без перехода в браузер, и это сделано не просто так - открывая ссылку вместо браузера, Telegram пытается максимально вас анонимизировать. Когда же вы открываете ссылку внутри браузера, объем получаемой о вас информации увеличивается кратно(спасибо, JavaScript):
▪️ Параметры железа (ОЗУ, CPU и т.д)
▪️ Ваши реальные GPS-координаты
▪️ Размер вашего экрана
▪️ Список расширений и плагинов, установленных в браузере
▪️ И много чего еще, можете посмотреть сами
Справедливости ради стоит сказать, что все это не какая-то критическая информация о вас, но это та информация, которая может послужить звеном в сложной цепочке и использоваться в будущем против вас - например, в ходе фишинговой атаки.
Однажды я вылавливал Интернет-мошенника, и информация, полученная простым переходом мошенника по моей ссылке(сгенерированной тут), помогла мне подготовиться ко второму этапу атаки: узнав версию браузера, стало понятно, что мошенник использует устаревшую версию, уязвимую для известных атак, что позволило далее с помощью публичного эксплоита(о чем уже писал здесь) пробраться внутрь компьютера мошенника, опять убедив его перейти по ссылке 😁. Поэтому открывайте сомнительные ссылки из анонимных браузеров, об этом в следующем посте ;)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Ежедневно каждый переходит по сотням Интернет-ссылок, не задумываясь о том, что может быть субъектом чьего-то наблюдения. Вот минимальный список того, что о вас можно узнать, когда вы переходите по ссылке:
▪️ Ваш IP адрес (фейковый, если вы пользуетесь VPN)
▪️ Вашу страну и город (по IP адресу)
▪️ Программу, из которой вы пришли (название и версию)
▪️ Часовой пояс
▪️ Язык
▪️ Название и версию операционной системы
Объем того, что о вас могут узнать, сильно зависит от приложения, из которого вы открываете ссылку. Так, например, Telegram умеет открывать ссылки без перехода в браузер, и это сделано не просто так - открывая ссылку вместо браузера, Telegram пытается максимально вас анонимизировать. Когда же вы открываете ссылку внутри браузера, объем получаемой о вас информации увеличивается кратно(спасибо, JavaScript):
▪️ Параметры железа (ОЗУ, CPU и т.д)
▪️ Ваши реальные GPS-координаты
▪️ Размер вашего экрана
▪️ Список расширений и плагинов, установленных в браузере
▪️ И много чего еще, можете посмотреть сами
Справедливости ради стоит сказать, что все это не какая-то критическая информация о вас, но это та информация, которая может послужить звеном в сложной цепочке и использоваться в будущем против вас - например, в ходе фишинговой атаки.
Однажды я вылавливал Интернет-мошенника, и информация, полученная простым переходом мошенника по моей ссылке(сгенерированной тут), помогла мне подготовиться ко второму этапу атаки: узнав версию браузера, стало понятно, что мошенник использует устаревшую версию, уязвимую для известных атак, что позволило далее с помощью публичного эксплоита(о чем уже писал здесь) пробраться внутрь компьютера мошенника, опять убедив его перейти по ссылке 😁. Поэтому открывайте сомнительные ссылки из анонимных браузеров, об этом в следующем посте ;)
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍18🔥8❤2
Как ваш браузер помогает другим идентифицировать вас?
В предыдущем посте было показано, как любой браузер предоставляет просматриваемому сайту много ненужной технической информации о вас, без которой сайт вполне мог бы обойтись. Причем однажды может оказаться так, что сумма всей такой информации, будет указывать ни на кого иного, кроме как на вас любимого.
Популярные браузеры (Chrome, Firefox, Safari) не сильно парятся о вашей анонимности (особенно о паролях, см.пост), а потому сливают всем сайтам без разбора кучу данных, чтобы они просто "нарисовали" сайт максимально красиво в ущерб вашей анонимности. В результате в цифровом мире у вас образуется "цифровой отпечаток" (fingerprint), который вас сильно выделяет из миллиардов пользователей по всему миру...
Посмотрите прямо сейчас, насколько вы "уникальны" в Интернете - тык, тык. Для идентификации вас потенциально могут использоваться тысячи признаков: начиная от вашего User-Agent (информация о программе и версии, из которой вы пришли) и заканчивая скоростью рендеринга сложной браузерной 3D-сцены (у хакеров компьютеры быстрые 😎).
Так, например, если я буду пользоваться своим привычным браузером для взломов, то детективу нужно будет поговорить всего лишь с ~1700000 подозреваемых, чтобы найти меня 😁. Но если серьезно, мой браузерный fingerprint таки может оказаться весомым аргументом на будущих звеньях цепочки расследования. Детективы и хакеры тут похожи :)
В 99% случаев, нет ничего страшного, что кто-то в Интернете получит ваш fingerprint — ну покажет вам рекламная сеть чуть более таргетированную рекламу, однако знать о такой "особенности" современных браузеров необходимо. А если у вас случай из числа 1%, пользуйтесь анонимным браузером TorBrowser, который передает сайтам минимально данных о вас, блокирует JavaScript и шифрует весь трафик так же надежно(и бесплатно), как хороший VPN.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
В предыдущем посте было показано, как любой браузер предоставляет просматриваемому сайту много ненужной технической информации о вас, без которой сайт вполне мог бы обойтись. Причем однажды может оказаться так, что сумма всей такой информации, будет указывать ни на кого иного, кроме как на вас любимого.
Популярные браузеры (Chrome, Firefox, Safari) не сильно парятся о вашей анонимности (особенно о паролях, см.пост), а потому сливают всем сайтам без разбора кучу данных, чтобы они просто "нарисовали" сайт максимально красиво в ущерб вашей анонимности. В результате в цифровом мире у вас образуется "цифровой отпечаток" (fingerprint), который вас сильно выделяет из миллиардов пользователей по всему миру...
Посмотрите прямо сейчас, насколько вы "уникальны" в Интернете - тык, тык. Для идентификации вас потенциально могут использоваться тысячи признаков: начиная от вашего User-Agent (информация о программе и версии, из которой вы пришли) и заканчивая скоростью рендеринга сложной браузерной 3D-сцены (у хакеров компьютеры быстрые 😎).
Так, например, если я буду пользоваться своим привычным браузером для взломов, то детективу нужно будет поговорить всего лишь с ~1700000 подозреваемых, чтобы найти меня 😁. Но если серьезно, мой браузерный fingerprint таки может оказаться весомым аргументом на будущих звеньях цепочки расследования. Детективы и хакеры тут похожи :)
В 99% случаев, нет ничего страшного, что кто-то в Интернете получит ваш fingerprint — ну покажет вам рекламная сеть чуть более таргетированную рекламу, однако знать о такой "особенности" современных браузеров необходимо. А если у вас случай из числа 1%, пользуйтесь анонимным браузером TorBrowser, который передает сайтам минимально данных о вас, блокирует JavaScript и шифрует весь трафик так же надежно(и бесплатно), как хороший VPN.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍17🔥2
Пользуйтесь временными почтовыми ящиками
Сайты в настоящее время стали совсем жадными до ваших данных, а потому каждый первый просит от вас регистрацию, дабы потом заработать на вас хотя бы в ходе рекламных email-рассылок, если вы не будете платить им за подписку в будущем. Нам дела нет до проблем с финансами у таких сайтов, а потому загрязнять свой основной почтовый ящик спамом от них тоже смысла никакого нет.
Чтобы "попробовать" сайт, не обязательно указывать при регистрации свой настоящий email - указывайте временный. Если сайт вам не понравится, в будущем вы не будете видеть спама от него в своем основном инбоксе. Сервисов для получения временного почтового ящика сейчас навалом (и они не требуют регистрации 😁), вот самые популярные: temp-mail, dropmail, fakemail - выбирайте любой, в целом разницы между ними нет.
Ну и в качестве бонуса сервисы временного почтового ящика позволят вам повысить анонимность, если произойдет утечка, а также создать несколько аккаунтов на любом сайте, где для регистрации нужен только email - что будет полезно, если вам нужно что-то накрутить.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Сайты в настоящее время стали совсем жадными до ваших данных, а потому каждый первый просит от вас регистрацию, дабы потом заработать на вас хотя бы в ходе рекламных email-рассылок, если вы не будете платить им за подписку в будущем. Нам дела нет до проблем с финансами у таких сайтов, а потому загрязнять свой основной почтовый ящик спамом от них тоже смысла никакого нет.
Чтобы "попробовать" сайт, не обязательно указывать при регистрации свой настоящий email - указывайте временный. Если сайт вам не понравится, в будущем вы не будете видеть спама от него в своем основном инбоксе. Сервисов для получения временного почтового ящика сейчас навалом (и они не требуют регистрации 😁), вот самые популярные: temp-mail, dropmail, fakemail - выбирайте любой, в целом разницы между ними нет.
Ну и в качестве бонуса сервисы временного почтового ящика позволят вам повысить анонимность, если произойдет утечка, а также создать несколько аккаунтов на любом сайте, где для регистрации нужен только email - что будет полезно, если вам нужно что-то накрутить.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍15❤4🔥2
Пользуйтесь программами, у которых открыт исходный код
Многие производители современного ПО (и даже многие серьезные из них) пытаются скрыть исходный код своих творений, чтобы общественность не лицезрелазакладки недокументированные возможности и конкуренты не утащили лакомый кусок кода в свои продукты. Такой подход защищает производителя, но наплевательски относится к пользователям.
Если же у программы открыт исходный код, то это явная декларация разработчика о том, что ему нечего скрывать и он готов это доказать публично - кто хочет, может проанализировать код программы на подозрительные участки и, если что обнаружится, написать разоблачающую статью во все СМИ. Иногда, правда, разработчики считают себя слишком умными - делают исходный код открытый, а закладки - замысловатыми, но их в итоге все равно рано или поздно находят независимые исследователи. На заре своего существования, кстати, на такой закладке поймали Telegram - пришлось исправляться.
Как проверить, открыт ли у программы исходный код? Достаточно просто загуглить (по запросу "исходный код [имя программы]") или поискать репозиторий по названию программы на сайте GitHub. Если поисковые запросы приводят вас к искомой программе, то программа с большей долей вероятности безопасная и ее можно запускать у себя в системе даже без изоляции.
Почти у каждой программы есть альтернатива с открытым исходным кодом(OpenSource), ее нужно просто поискать. Каждый раз, когда у вас есть возможность пользоваться OpenSource-программой вместо программы с закрытым исходным кодом(проприетарной), пользуйтесь OpenSource, оставайтесь в безопасности 😎
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Многие производители современного ПО (и даже многие серьезные из них) пытаются скрыть исходный код своих творений, чтобы общественность не лицезрела
Если же у программы открыт исходный код, то это явная декларация разработчика о том, что ему нечего скрывать и он готов это доказать публично - кто хочет, может проанализировать код программы на подозрительные участки и, если что обнаружится, написать разоблачающую статью во все СМИ. Иногда, правда, разработчики считают себя слишком умными - делают исходный код открытый, а закладки - замысловатыми, но их в итоге все равно рано или поздно находят независимые исследователи. На заре своего существования, кстати, на такой закладке поймали Telegram - пришлось исправляться.
Как проверить, открыт ли у программы исходный код? Достаточно просто загуглить (по запросу "исходный код [имя программы]") или поискать репозиторий по названию программы на сайте GitHub. Если поисковые запросы приводят вас к искомой программе, то программа с большей долей вероятности безопасная и ее можно запускать у себя в системе даже без изоляции.
Почти у каждой программы есть альтернатива с открытым исходным кодом(OpenSource), ее нужно просто поискать. Каждый раз, когда у вас есть возможность пользоваться OpenSource-программой вместо программы с закрытым исходным кодом(проприетарной), пользуйтесь OpenSource, оставайтесь в безопасности 😎
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍22👏2❤1
Проверяйте свои пароли на присутствие в утечках
Если вы только начали пользоваться менеджером паролей или по какой-то причине только планируете начать им пользоваться, не спешите сохранять туда используемые пароли - проверьте, присутствуют ли ваши пароли в базах с утечками. Если присутствуют, то прятать то, что и так известно любому желающему, смысла нет.
Ранее я уже писал, что ежедневно взламываются десятки сайтов, и хакеры после взлома вываливают в Интернет данные, которыми им удалось завладеть - нередко среди этих данных присутствуют пароли пользователей, которые не были защищены должным образом. Чтобы проверить, утек ли ваши пароль при очередном таком взломе, просто вбейте его здесь - сервис покажет вам, в каком числе утечек присутствует ваш пароль. Можно также поискать утечки своих данных по email - если по email утечки нашлись, а по паролю нет, то значит взломанный сайт защитил ваши пароли.
Если же ваш пароль присутствует в утечках, это означает, что его могут использовать в будущих атаках методом перебора, поэтому использовать такой пароль больше небезопасно, и его необходимо сменить. Также рекомендую периодически проверять на утечку свои пароли от наиболее критических сайтов и сервисов. А для пущей надежности заведите привычку менять пароли раз в 3-6 месяцев.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Если вы только начали пользоваться менеджером паролей или по какой-то причине только планируете начать им пользоваться, не спешите сохранять туда используемые пароли - проверьте, присутствуют ли ваши пароли в базах с утечками. Если присутствуют, то прятать то, что и так известно любому желающему, смысла нет.
Ранее я уже писал, что ежедневно взламываются десятки сайтов, и хакеры после взлома вываливают в Интернет данные, которыми им удалось завладеть - нередко среди этих данных присутствуют пароли пользователей, которые не были защищены должным образом. Чтобы проверить, утек ли ваши пароль при очередном таком взломе, просто вбейте его здесь - сервис покажет вам, в каком числе утечек присутствует ваш пароль. Можно также поискать утечки своих данных по email - если по email утечки нашлись, а по паролю нет, то значит взломанный сайт защитил ваши пароли.
Если же ваш пароль присутствует в утечках, это означает, что его могут использовать в будущих атаках методом перебора, поэтому использовать такой пароль больше небезопасно, и его необходимо сменить. Также рекомендую периодически проверять на утечку свои пароли от наиболее критических сайтов и сервисов. А для пущей надежности заведите привычку менять пароли раз в 3-6 месяцев.
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍13❤2🔥1
Как я сделал фейковые пробки по всей Москве
Однажды я стоял в московской пробке в такси, и от скуки в меня закралась мысль - а можно ли создать искусственные пробки там, где их на самом деле нет, чтобы без пробок доехать от точки А до точки Б. Я обратил внимание на то, как таксисты определяют, каким образом им ехать до точки назначения: перед ними был самый привычный Яндекс.Навигатор, проложивший путь от точки моей посадки до места назначения, которому доверяют сотни тысяч автомобилистов Москвы...
На следующий день я провел эксперимент - взял 10 смартфонов с установленным Яндекс.Навигатором, включил режим движения на автомобиле и прошелся пешком по безлюдной улице метров 800. Удивлению не было предела, когда вся улица следом за мной оказалась закрашенной красным (даже бордовым - 10-бальная пробка). В этот же день я начал копаться во внутреннем устройстве мобильного приложения Яндекс.Навигатор (техника реверс-инжиниринга, о ней в будущих постах), чтобы понять, как приложение отправляет данные о пробках на сервера Яндекса.
Спустя пару суток анализа работы приложения у меня был готов "хакерский" скрипт на Python, который с помощью тысяч прокси-серверов имитировал отправку данных о пробках с миллионов фейковых устройств. На удивление, Яндекс доверял данным от каждого мобильного приложения навигатора, которое присылало ему свои гео-координаты, скорость и направление движения каждые 10 секунд. Результат можно увидеть на скриншоте и даже прочитать о нем в некоторых СМИ, заметивших неладное.
В Интернете можно накрутить все, что угодно - начиная от безобидных просмотров в Telegram и заканчивая информацией о пробках, влияющей на жизни миллионов людей (на скриншоте также видна цена за такси в блудную ночь), но важнее всего осознавать, что накрутку может сделать любой при небольшом уровне мотивации и интереса 😎
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Однажды я стоял в московской пробке в такси, и от скуки в меня закралась мысль - а можно ли создать искусственные пробки там, где их на самом деле нет, чтобы без пробок доехать от точки А до точки Б. Я обратил внимание на то, как таксисты определяют, каким образом им ехать до точки назначения: перед ними был самый привычный Яндекс.Навигатор, проложивший путь от точки моей посадки до места назначения, которому доверяют сотни тысяч автомобилистов Москвы...
На следующий день я провел эксперимент - взял 10 смартфонов с установленным Яндекс.Навигатором, включил режим движения на автомобиле и прошелся пешком по безлюдной улице метров 800. Удивлению не было предела, когда вся улица следом за мной оказалась закрашенной красным (даже бордовым - 10-бальная пробка). В этот же день я начал копаться во внутреннем устройстве мобильного приложения Яндекс.Навигатор (техника реверс-инжиниринга, о ней в будущих постах), чтобы понять, как приложение отправляет данные о пробках на сервера Яндекса.
Спустя пару суток анализа работы приложения у меня был готов "хакерский" скрипт на Python, который с помощью тысяч прокси-серверов имитировал отправку данных о пробках с миллионов фейковых устройств. На удивление, Яндекс доверял данным от каждого мобильного приложения навигатора, которое присылало ему свои гео-координаты, скорость и направление движения каждые 10 секунд. Результат можно увидеть на скриншоте и даже прочитать о нем в некоторых СМИ, заметивших неладное.
В Интернете можно накрутить все, что угодно - начиная от безобидных просмотров в Telegram и заканчивая информацией о пробках, влияющей на жизни миллионов людей (на скриншоте также видна цена за такси в блудную ночь), но важнее всего осознавать, что накрутку может сделать любой при небольшом уровне мотивации и интереса 😎
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍15🔥4🤯2
Перезагружайте свои девайсы периодически
Долго держать свои девайсы включенными (особенно компьютеры) не очень хорошо с точки зрения персональной безопасности. Ежедневно вы пользуетесь кучей программ, которые на полную катушку используют вашу оперативку, забывая подчищать за собой чувствительные данные после закрытия. Пароли, логины, данные из буфера обмена - все это хранится в оперативной памяти - кладези для хакера.
Проблема тут такая же, как и с жестким диском - после закрытия приложения данные в памяти не обнуляются, а продолжают существовать, пока другое приложение их не перезатрет. Это приводит к тому, что если в вашу систему все-таки проберется вирус и сможет просканировать оперативную память, то он сможет найти там много полезного для себя (правда определить что есть что в памяти далеко не всегда возможно).
Периодическая перезагрузка (хотя бы пару раз в неделю) зачищает всю память разом. Кстати говоря, все то время, пока у вас запущена программа, работающая с чувствительными данными в памяти, ваша безопасность снижена. Поэтому не стоит держать подолгу открытыми такие программы, как менеджер паролей - если в вашей системе живет зловред, все ваши пароли угонят, просканировав оперативную память - так что не забывайте про правило №8 😎
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Долго держать свои девайсы включенными (особенно компьютеры) не очень хорошо с точки зрения персональной безопасности. Ежедневно вы пользуетесь кучей программ, которые на полную катушку используют вашу оперативку, забывая подчищать за собой чувствительные данные после закрытия. Пароли, логины, данные из буфера обмена - все это хранится в оперативной памяти - кладези для хакера.
Проблема тут такая же, как и с жестким диском - после закрытия приложения данные в памяти не обнуляются, а продолжают существовать, пока другое приложение их не перезатрет. Это приводит к тому, что если в вашу систему все-таки проберется вирус и сможет просканировать оперативную память, то он сможет найти там много полезного для себя (правда определить что есть что в памяти далеко не всегда возможно).
Периодическая перезагрузка (хотя бы пару раз в неделю) зачищает всю память разом. Кстати говоря, все то время, пока у вас запущена программа, работающая с чувствительными данными в памяти, ваша безопасность снижена. Поэтому не стоит держать подолгу открытыми такие программы, как менеджер паролей - если в вашей системе живет зловред, все ваши пароли угонят, просканировав оперативную память - так что не забывайте про правило №8 😎
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍23❤1
Как за вами могут следить через социальные сети и мессенджеры
Каждый раз, когда вы совершаете действие в социальной сети, на сервер отправляются подробные данные о вашем действии, которые часто бывают доступны всем другим пользователям.
Самый явный тому пример - ваш статус "онлайн" или "оффлайн". Этот статус виден всем, если вы его явно не скрыли. Что это дает шпиону за вами? Самое очевидное - продолжительное наблюдение за вами и всеми вашими потенциальными собеседниками, чтобы в будущем сопоставить время вашего онлайна с онлайнами собеседников и понять, с кем вы, вероятнее всего, общаетесь и когда. Если вы стабильно общаетесь с некоторыми людьми перед сном или по утрам, то в течение 1-2 недельного периода с большой вероятностью это станет известно тому, кто наблюдает за вашим онлайном. Есть куча готовых приложений для этого, вот примеры для WhatsApp и Telegram.
Другой пример - лайки и комментарии. Получить список всех лайкнувших пост или список всех комментариев к посту - проще простого. Если мне нужно будет узнать, кому жертва симпатизирует из своих контактов в социальной сети, я просто получу список ее друзей, просканирую страницу каждого из них в поисках лайков и комментариев, а далее просто отсортирую по количеству - сразу выявятся лучшие друзья 😁
Самое интересное, что часто в UI не отображается и половина тех интересных данных, которые сервер присылает приложению мессенджера или социальной сети "под капотом", а значит научившись работать с API социальной сети, хакер может достать о жертве даже больше информации, чем вы видите на экране. Пример - в Telegram каналах админам видно только 200 последних подписчиков и не видно, когда они подписались, а на самом деле можно получить всех подписчиков с датой их подписки с точностью до секунды!
Пользуйтесь левыми аккаунтами в социальных сетях и мессенджерах, если не хотите палиться, а также скрывайте свой онлайн - благо, почти все это позволяют.
С любовью, ваш хакер 🦾
—————————————
@personal_security_consulting
Каждый раз, когда вы совершаете действие в социальной сети, на сервер отправляются подробные данные о вашем действии, которые часто бывают доступны всем другим пользователям.
Самый явный тому пример - ваш статус "онлайн" или "оффлайн". Этот статус виден всем, если вы его явно не скрыли. Что это дает шпиону за вами? Самое очевидное - продолжительное наблюдение за вами и всеми вашими потенциальными собеседниками, чтобы в будущем сопоставить время вашего онлайна с онлайнами собеседников и понять, с кем вы, вероятнее всего, общаетесь и когда. Если вы стабильно общаетесь с некоторыми людьми перед сном или по утрам, то в течение 1-2 недельного периода с большой вероятностью это станет известно тому, кто наблюдает за вашим онлайном. Есть куча готовых приложений для этого, вот примеры для WhatsApp и Telegram.
Другой пример - лайки и комментарии. Получить список всех лайкнувших пост или список всех комментариев к посту - проще простого. Если мне нужно будет узнать, кому жертва симпатизирует из своих контактов в социальной сети, я просто получу список ее друзей, просканирую страницу каждого из них в поисках лайков и комментариев, а далее просто отсортирую по количеству - сразу выявятся лучшие друзья 😁
Самое интересное, что часто в UI не отображается и половина тех интересных данных, которые сервер присылает приложению мессенджера или социальной сети "под капотом", а значит научившись работать с API социальной сети, хакер может достать о жертве даже больше информации, чем вы видите на экране. Пример - в Telegram каналах админам видно только 200 последних подписчиков и не видно, когда они подписались, а на самом деле можно получить всех подписчиков с датой их подписки с точностью до секунды!
Пользуйтесь левыми аккаунтами в социальных сетях и мессенджерах, если не хотите палиться, а также скрывайте свой онлайн - благо, почти все это позволяют.
С любовью, ваш хакер 🦾
—————————————
@personal_security_consulting
👍12🔥2
Как взломать тысячи камер по всему миру разом?
Когда чего-то становится в избытке, обычно снижается и качество этого "чего-то". Это универсальный закон, который работает и в сфере информационной безопасности: если у вас слишком много девайсов, проникнуть в вашу личную жизнь легче, чем если бы у вас был только 1 девайс. Причем чем больше девайсов у вас, тем ниже ваша безопасность, подумайте сами: где-то забыли пароль поставить, где-то софт обновить от уязвимостей, а где-то вирус прокрался к вам незаметно. Камеры наблюдения - отличный тому пример.
По всей планете куча народу устанавливает камеры наблюдения, чтобы приглядывать за своими домами, питомцами, растениями, соседями удалённо. Часто люди покупают камеры подешевле от какого-нибудь китайского производителя, что приводит к интересному комбо: продавцу все равно на безопасность, клиенту тоже. В конечном счете это приводит к тому, что куча камер из разных уголков планеты доступна каждому, кто ее сумел тупо "найти" в Интернете. А найти их не так-то и трудно: вот, например чья-то веб-камера в доме в Бразилии, вот камера в чьей-то мастерской на юге Германии, вот камера наблюдения за дорожным движением в Сербии...
Причем существуют целые сайты, сканирующие Интернет на предмет уязвимых устройств и существенно упрощающие жизнь хакерам - такие как Shodan - по запросу найдет вам любые незащищенные устройства по всему миру. Все, что подобные сайты делают, это просто регулярно сканируют Интернет и находят тысячи незащищенных устройств.
Поэтому каждый раз, когда в очередной сводке новостей вы будете видеть, что хакеры получили доступ к тысячам камер(или тысячам любых других устройств), знайте, что скорее всего, им даже не пришлось ничего взламывать 😁
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Когда чего-то становится в избытке, обычно снижается и качество этого "чего-то". Это универсальный закон, который работает и в сфере информационной безопасности: если у вас слишком много девайсов, проникнуть в вашу личную жизнь легче, чем если бы у вас был только 1 девайс. Причем чем больше девайсов у вас, тем ниже ваша безопасность, подумайте сами: где-то забыли пароль поставить, где-то софт обновить от уязвимостей, а где-то вирус прокрался к вам незаметно. Камеры наблюдения - отличный тому пример.
По всей планете куча народу устанавливает камеры наблюдения, чтобы приглядывать за своими домами, питомцами, растениями, соседями удалённо. Часто люди покупают камеры подешевле от какого-нибудь китайского производителя, что приводит к интересному комбо: продавцу все равно на безопасность, клиенту тоже. В конечном счете это приводит к тому, что куча камер из разных уголков планеты доступна каждому, кто ее сумел тупо "найти" в Интернете. А найти их не так-то и трудно: вот, например чья-то веб-камера в доме в Бразилии, вот камера в чьей-то мастерской на юге Германии, вот камера наблюдения за дорожным движением в Сербии...
Причем существуют целые сайты, сканирующие Интернет на предмет уязвимых устройств и существенно упрощающие жизнь хакерам - такие как Shodan - по запросу найдет вам любые незащищенные устройства по всему миру. Все, что подобные сайты делают, это просто регулярно сканируют Интернет и находят тысячи незащищенных устройств.
Поэтому каждый раз, когда в очередной сводке новостей вы будете видеть, что хакеры получили доступ к тысячам камер(или тысячам любых других устройств), знайте, что скорее всего, им даже не пришлось ничего взламывать 😁
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍16🤔2❤1🤯1
Как наказать нерадивого гражданина?
Все мы так или иначе попадаем в конфликтные ситуации, выйти из которых не всегда получается элегантно. Конфликты подстерегают много где: хамы на дорогах, любители громкой музыки по соседству, докопавшийся товарищ-полицейский. Большинство таких людей полагает, что за свои поступки они останутся ненаказанными. Но только если они не перешли дорогу читателям Персональной Безопасности, которые как никто в курсе цифровой разведки 🦾
Как я уже писал ранее, на просторах Интернета существует тонна предложений по сливу персональных данных граждан любого характера. Об этом мало кто знает, потому и ведут себя плохо 😁. Единственное, что вам нужно для доступа в чужую частную жизнь - иметь хоть какие-то вводные данные: ФИО, номер автомобиля, адрес прописки и т.д.
За 300 рублей вам сольют досье на любого человека, включающего в себя паспортные данные, место проживания и список зарегистрированных номеров телефонов. Далее все зависит от вашей фантазии:
➖ имея паспортные данные, можно набрать микрозаймов;
➖ зная номер телефона, можно его заблокировать или забрать себе (а если выберите второе, то из поста про двухфакторную аутентификацию, вы знаете, что можно сделать дальше с цифровой жизнью жертвы);
➖ по номеру телефона пробить аккаунты в социальных сетях (о том, как это сделать - в будущих постах) и начать написывать обидчику от имени кого-угодно (фишинг)
➖ зная место обитания и место парковки авто, можно сделать так;
➖ а в крайнем случае и при наличии хорошего бюджета, завладев информацией о месте жительства обидчика, можно натравить на него своих обидчиков.
Все это не является руководством к действию, но знать про эти возможности должен каждый - возможно, тогда и люди станут подобрее друг к другу 😎
—————————————
С любовью, ваш хакер 🦾
Все мы так или иначе попадаем в конфликтные ситуации, выйти из которых не всегда получается элегантно. Конфликты подстерегают много где: хамы на дорогах, любители громкой музыки по соседству, докопавшийся товарищ-полицейский. Большинство таких людей полагает, что за свои поступки они останутся ненаказанными. Но только если они не перешли дорогу читателям Персональной Безопасности, которые как никто в курсе цифровой разведки 🦾
Как я уже писал ранее, на просторах Интернета существует тонна предложений по сливу персональных данных граждан любого характера. Об этом мало кто знает, потому и ведут себя плохо 😁. Единственное, что вам нужно для доступа в чужую частную жизнь - иметь хоть какие-то вводные данные: ФИО, номер автомобиля, адрес прописки и т.д.
За 300 рублей вам сольют досье на любого человека, включающего в себя паспортные данные, место проживания и список зарегистрированных номеров телефонов. Далее все зависит от вашей фантазии:
➖ имея паспортные данные, можно набрать микрозаймов;
➖ зная номер телефона, можно его заблокировать или забрать себе (а если выберите второе, то из поста про двухфакторную аутентификацию, вы знаете, что можно сделать дальше с цифровой жизнью жертвы);
➖ по номеру телефона пробить аккаунты в социальных сетях (о том, как это сделать - в будущих постах) и начать написывать обидчику от имени кого-угодно (фишинг)
➖ зная место обитания и место парковки авто, можно сделать так;
➖ а в крайнем случае и при наличии хорошего бюджета, завладев информацией о месте жительства обидчика, можно натравить на него своих обидчиков.
Все это не является руководством к действию, но знать про эти возможности должен каждый - возможно, тогда и люди станут подобрее друг к другу 😎
—————————————
С любовью, ваш хакер 🦾
🔥12👍9👏1