Перезагружайте свои девайсы периодически
Долго держать свои девайсы включенными (особенно компьютеры) не очень хорошо с точки зрения персональной безопасности. Ежедневно вы пользуетесь кучей программ, которые на полную катушку используют вашу оперативку, забывая подчищать за собой чувствительные данные после закрытия. Пароли, логины, данные из буфера обмена - все это хранится в оперативной памяти - кладези для хакера.
Проблема тут такая же, как и с жестким диском - после закрытия приложения данные в памяти не обнуляются, а продолжают существовать, пока другое приложение их не перезатрет. Это приводит к тому, что если в вашу систему все-таки проберется вирус и сможет просканировать оперативную память, то он сможет найти там много полезного для себя (правда определить что есть что в памяти далеко не всегда возможно).
Периодическая перезагрузка (хотя бы пару раз в неделю) зачищает всю память разом. Кстати говоря, все то время, пока у вас запущена программа, работающая с чувствительными данными в памяти, ваша безопасность снижена. Поэтому не стоит держать подолгу открытыми такие программы, как менеджер паролей - если в вашей системе живет зловред, все ваши пароли угонят, просканировав оперативную память - так что не забывайте про правило №8 😎
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Долго держать свои девайсы включенными (особенно компьютеры) не очень хорошо с точки зрения персональной безопасности. Ежедневно вы пользуетесь кучей программ, которые на полную катушку используют вашу оперативку, забывая подчищать за собой чувствительные данные после закрытия. Пароли, логины, данные из буфера обмена - все это хранится в оперативной памяти - кладези для хакера.
Проблема тут такая же, как и с жестким диском - после закрытия приложения данные в памяти не обнуляются, а продолжают существовать, пока другое приложение их не перезатрет. Это приводит к тому, что если в вашу систему все-таки проберется вирус и сможет просканировать оперативную память, то он сможет найти там много полезного для себя (правда определить что есть что в памяти далеко не всегда возможно).
Периодическая перезагрузка (хотя бы пару раз в неделю) зачищает всю память разом. Кстати говоря, все то время, пока у вас запущена программа, работающая с чувствительными данными в памяти, ваша безопасность снижена. Поэтому не стоит держать подолгу открытыми такие программы, как менеджер паролей - если в вашей системе живет зловред, все ваши пароли угонят, просканировав оперативную память - так что не забывайте про правило №8 😎
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍23❤1
Как за вами могут следить через социальные сети и мессенджеры
Каждый раз, когда вы совершаете действие в социальной сети, на сервер отправляются подробные данные о вашем действии, которые часто бывают доступны всем другим пользователям.
Самый явный тому пример - ваш статус "онлайн" или "оффлайн". Этот статус виден всем, если вы его явно не скрыли. Что это дает шпиону за вами? Самое очевидное - продолжительное наблюдение за вами и всеми вашими потенциальными собеседниками, чтобы в будущем сопоставить время вашего онлайна с онлайнами собеседников и понять, с кем вы, вероятнее всего, общаетесь и когда. Если вы стабильно общаетесь с некоторыми людьми перед сном или по утрам, то в течение 1-2 недельного периода с большой вероятностью это станет известно тому, кто наблюдает за вашим онлайном. Есть куча готовых приложений для этого, вот примеры для WhatsApp и Telegram.
Другой пример - лайки и комментарии. Получить список всех лайкнувших пост или список всех комментариев к посту - проще простого. Если мне нужно будет узнать, кому жертва симпатизирует из своих контактов в социальной сети, я просто получу список ее друзей, просканирую страницу каждого из них в поисках лайков и комментариев, а далее просто отсортирую по количеству - сразу выявятся лучшие друзья 😁
Самое интересное, что часто в UI не отображается и половина тех интересных данных, которые сервер присылает приложению мессенджера или социальной сети "под капотом", а значит научившись работать с API социальной сети, хакер может достать о жертве даже больше информации, чем вы видите на экране. Пример - в Telegram каналах админам видно только 200 последних подписчиков и не видно, когда они подписались, а на самом деле можно получить всех подписчиков с датой их подписки с точностью до секунды!
Пользуйтесь левыми аккаунтами в социальных сетях и мессенджерах, если не хотите палиться, а также скрывайте свой онлайн - благо, почти все это позволяют.
С любовью, ваш хакер 🦾
—————————————
@personal_security_consulting
Каждый раз, когда вы совершаете действие в социальной сети, на сервер отправляются подробные данные о вашем действии, которые часто бывают доступны всем другим пользователям.
Самый явный тому пример - ваш статус "онлайн" или "оффлайн". Этот статус виден всем, если вы его явно не скрыли. Что это дает шпиону за вами? Самое очевидное - продолжительное наблюдение за вами и всеми вашими потенциальными собеседниками, чтобы в будущем сопоставить время вашего онлайна с онлайнами собеседников и понять, с кем вы, вероятнее всего, общаетесь и когда. Если вы стабильно общаетесь с некоторыми людьми перед сном или по утрам, то в течение 1-2 недельного периода с большой вероятностью это станет известно тому, кто наблюдает за вашим онлайном. Есть куча готовых приложений для этого, вот примеры для WhatsApp и Telegram.
Другой пример - лайки и комментарии. Получить список всех лайкнувших пост или список всех комментариев к посту - проще простого. Если мне нужно будет узнать, кому жертва симпатизирует из своих контактов в социальной сети, я просто получу список ее друзей, просканирую страницу каждого из них в поисках лайков и комментариев, а далее просто отсортирую по количеству - сразу выявятся лучшие друзья 😁
Самое интересное, что часто в UI не отображается и половина тех интересных данных, которые сервер присылает приложению мессенджера или социальной сети "под капотом", а значит научившись работать с API социальной сети, хакер может достать о жертве даже больше информации, чем вы видите на экране. Пример - в Telegram каналах админам видно только 200 последних подписчиков и не видно, когда они подписались, а на самом деле можно получить всех подписчиков с датой их подписки с точностью до секунды!
Пользуйтесь левыми аккаунтами в социальных сетях и мессенджерах, если не хотите палиться, а также скрывайте свой онлайн - благо, почти все это позволяют.
С любовью, ваш хакер 🦾
—————————————
@personal_security_consulting
👍12🔥2
Как взломать тысячи камер по всему миру разом?
Когда чего-то становится в избытке, обычно снижается и качество этого "чего-то". Это универсальный закон, который работает и в сфере информационной безопасности: если у вас слишком много девайсов, проникнуть в вашу личную жизнь легче, чем если бы у вас был только 1 девайс. Причем чем больше девайсов у вас, тем ниже ваша безопасность, подумайте сами: где-то забыли пароль поставить, где-то софт обновить от уязвимостей, а где-то вирус прокрался к вам незаметно. Камеры наблюдения - отличный тому пример.
По всей планете куча народу устанавливает камеры наблюдения, чтобы приглядывать за своими домами, питомцами, растениями, соседями удалённо. Часто люди покупают камеры подешевле от какого-нибудь китайского производителя, что приводит к интересному комбо: продавцу все равно на безопасность, клиенту тоже. В конечном счете это приводит к тому, что куча камер из разных уголков планеты доступна каждому, кто ее сумел тупо "найти" в Интернете. А найти их не так-то и трудно: вот, например чья-то веб-камера в доме в Бразилии, вот камера в чьей-то мастерской на юге Германии, вот камера наблюдения за дорожным движением в Сербии...
Причем существуют целые сайты, сканирующие Интернет на предмет уязвимых устройств и существенно упрощающие жизнь хакерам - такие как Shodan - по запросу найдет вам любые незащищенные устройства по всему миру. Все, что подобные сайты делают, это просто регулярно сканируют Интернет и находят тысячи незащищенных устройств.
Поэтому каждый раз, когда в очередной сводке новостей вы будете видеть, что хакеры получили доступ к тысячам камер(или тысячам любых других устройств), знайте, что скорее всего, им даже не пришлось ничего взламывать 😁
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
Когда чего-то становится в избытке, обычно снижается и качество этого "чего-то". Это универсальный закон, который работает и в сфере информационной безопасности: если у вас слишком много девайсов, проникнуть в вашу личную жизнь легче, чем если бы у вас был только 1 девайс. Причем чем больше девайсов у вас, тем ниже ваша безопасность, подумайте сами: где-то забыли пароль поставить, где-то софт обновить от уязвимостей, а где-то вирус прокрался к вам незаметно. Камеры наблюдения - отличный тому пример.
По всей планете куча народу устанавливает камеры наблюдения, чтобы приглядывать за своими домами, питомцами, растениями, соседями удалённо. Часто люди покупают камеры подешевле от какого-нибудь китайского производителя, что приводит к интересному комбо: продавцу все равно на безопасность, клиенту тоже. В конечном счете это приводит к тому, что куча камер из разных уголков планеты доступна каждому, кто ее сумел тупо "найти" в Интернете. А найти их не так-то и трудно: вот, например чья-то веб-камера в доме в Бразилии, вот камера в чьей-то мастерской на юге Германии, вот камера наблюдения за дорожным движением в Сербии...
Причем существуют целые сайты, сканирующие Интернет на предмет уязвимых устройств и существенно упрощающие жизнь хакерам - такие как Shodan - по запросу найдет вам любые незащищенные устройства по всему миру. Все, что подобные сайты делают, это просто регулярно сканируют Интернет и находят тысячи незащищенных устройств.
Поэтому каждый раз, когда в очередной сводке новостей вы будете видеть, что хакеры получили доступ к тысячам камер(или тысячам любых других устройств), знайте, что скорее всего, им даже не пришлось ничего взламывать 😁
С любовью, ваш хакер 🦾
—————————————
P.S Пишите сюда, о чем вам интересно узнать в следующих публикациях или если нуждаетесь в консультациях - @personal_security_consulting
👍16🤔2❤1🤯1
Как наказать нерадивого гражданина?
Все мы так или иначе попадаем в конфликтные ситуации, выйти из которых не всегда получается элегантно. Конфликты подстерегают много где: хамы на дорогах, любители громкой музыки по соседству, докопавшийся товарищ-полицейский. Большинство таких людей полагает, что за свои поступки они останутся ненаказанными. Но только если они не перешли дорогу читателям Персональной Безопасности, которые как никто в курсе цифровой разведки 🦾
Как я уже писал ранее, на просторах Интернета существует тонна предложений по сливу персональных данных граждан любого характера. Об этом мало кто знает, потому и ведут себя плохо 😁. Единственное, что вам нужно для доступа в чужую частную жизнь - иметь хоть какие-то вводные данные: ФИО, номер автомобиля, адрес прописки и т.д.
За 300 рублей вам сольют досье на любого человека, включающего в себя паспортные данные, место проживания и список зарегистрированных номеров телефонов. Далее все зависит от вашей фантазии:
➖ имея паспортные данные, можно набрать микрозаймов;
➖ зная номер телефона, можно его заблокировать или забрать себе (а если выберите второе, то из поста про двухфакторную аутентификацию, вы знаете, что можно сделать дальше с цифровой жизнью жертвы);
➖ по номеру телефона пробить аккаунты в социальных сетях (о том, как это сделать - в будущих постах) и начать написывать обидчику от имени кого-угодно (фишинг)
➖ зная место обитания и место парковки авто, можно сделать так;
➖ а в крайнем случае и при наличии хорошего бюджета, завладев информацией о месте жительства обидчика, можно натравить на него своих обидчиков.
Все это не является руководством к действию, но знать про эти возможности должен каждый - возможно, тогда и люди станут подобрее друг к другу 😎
—————————————
С любовью, ваш хакер 🦾
Все мы так или иначе попадаем в конфликтные ситуации, выйти из которых не всегда получается элегантно. Конфликты подстерегают много где: хамы на дорогах, любители громкой музыки по соседству, докопавшийся товарищ-полицейский. Большинство таких людей полагает, что за свои поступки они останутся ненаказанными. Но только если они не перешли дорогу читателям Персональной Безопасности, которые как никто в курсе цифровой разведки 🦾
Как я уже писал ранее, на просторах Интернета существует тонна предложений по сливу персональных данных граждан любого характера. Об этом мало кто знает, потому и ведут себя плохо 😁. Единственное, что вам нужно для доступа в чужую частную жизнь - иметь хоть какие-то вводные данные: ФИО, номер автомобиля, адрес прописки и т.д.
За 300 рублей вам сольют досье на любого человека, включающего в себя паспортные данные, место проживания и список зарегистрированных номеров телефонов. Далее все зависит от вашей фантазии:
➖ имея паспортные данные, можно набрать микрозаймов;
➖ зная номер телефона, можно его заблокировать или забрать себе (а если выберите второе, то из поста про двухфакторную аутентификацию, вы знаете, что можно сделать дальше с цифровой жизнью жертвы);
➖ по номеру телефона пробить аккаунты в социальных сетях (о том, как это сделать - в будущих постах) и начать написывать обидчику от имени кого-угодно (фишинг)
➖ зная место обитания и место парковки авто, можно сделать так;
➖ а в крайнем случае и при наличии хорошего бюджета, завладев информацией о месте жительства обидчика, можно натравить на него своих обидчиков.
Все это не является руководством к действию, но знать про эти возможности должен каждый - возможно, тогда и люди станут подобрее друг к другу 😎
—————————————
С любовью, ваш хакер 🦾
🔥12👍9👏1
Как вам могут отрезать связь от внешнего мира
Эффективность хакера определяется тем, как быстро он может найти готовые решения и скомбинировать их в нужное ему решение. Однажды передо мной стояла задача заглушить всю связь в округе, чтобы отрезать жертву от внешнего мира по всем каналам связи (мобильный канал, интернет, радио и т.д). В те времена я убедился, что почти под все в наше время есть готовое решение и доступное всем.
Каждый может просто пойти в магазин и купить готовую глушилку нужной мощности - послабее, или посильнее (и подороже), чтобы заглушить связь всем окружающим.
Сосед громко разговаривает по телефону поздно ночью и мешает вам спать? "Радиолюбители" громкой музыки за стенкой? Родственники, не вылезающие из Интернета? Или может кто-то хочет позвонить в полицию и доложить на вас? Вы знаете, что делать 😁
Но не забывайте, что тот же метод атаки против вас может быть применен кем угодно, так что если вы замечаете регулярные необъяснимые проблемы со своими каналами связи (радиоканалами), то знайте - возможно, вас кто-то глушит.
—————————————
С любовью, ваш хакер 🦾
Эффективность хакера определяется тем, как быстро он может найти готовые решения и скомбинировать их в нужное ему решение. Однажды передо мной стояла задача заглушить всю связь в округе, чтобы отрезать жертву от внешнего мира по всем каналам связи (мобильный канал, интернет, радио и т.д). В те времена я убедился, что почти под все в наше время есть готовое решение и доступное всем.
Каждый может просто пойти в магазин и купить готовую глушилку нужной мощности - послабее, или посильнее (и подороже), чтобы заглушить связь всем окружающим.
Сосед громко разговаривает по телефону поздно ночью и мешает вам спать? "Радиолюбители" громкой музыки за стенкой? Родственники, не вылезающие из Интернета? Или может кто-то хочет позвонить в полицию и доложить на вас? Вы знаете, что делать 😁
Но не забывайте, что тот же метод атаки против вас может быть применен кем угодно, так что если вы замечаете регулярные необъяснимые проблемы со своими каналами связи (радиоканалами), то знайте - возможно, вас кто-то глушит.
—————————————
С любовью, ваш хакер 🦾
👍13
Подключайтесь к чужим Wi-Fi точкам с осторожностью
Одним лишь VPNом не отделаться при подключении к чужой точке. Да, ваш Интернет-трафик не смогут подслушать, если вы спрячетесь за VPN, но сам факт подключения зафиксируется в журнале WiFi-точки, и владелец сможет потом посмотреть, кто и когда подключался.
Каждый раз, когда вы подключаетесь к точке Wi-Fi, имя вашего устройства (см.фото), а также MAC-адрес устройства будут "слиты" владельцу, что в будущем позволит ему зайти в параметры своего роутера и узнать, что "iPhone-Светик" или "Samsung S23 Николая" подключались к его Wi-Fi.
Поэтому будьте на чеку, если не хотите лишний раз палиться, находясь у кого-то в гостях или у себя дома, когда кого-то приглашаете 😎. Проблема усугубляется еще тем, что многие современные мобильные устройства автоматически устанавливают имя по данным из вашего облачного аккаунта, не уведомляя об этом владельца. Знаете ли вы имя своих устройств? Скорее всего нет, а значит потенциально палитесь, в то время как могли бы оставаться анонимным.
Прямо сейчас зайдите в настройки своих устройств(ноутбуки, планшеты, мобильники) и дайте им имена, которые бы не выдавали вас при подключении к чужим Wi-Fi.
—————————————
С любовью, ваш хакер 🦾
Одним лишь VPNом не отделаться при подключении к чужой точке. Да, ваш Интернет-трафик не смогут подслушать, если вы спрячетесь за VPN, но сам факт подключения зафиксируется в журнале WiFi-точки, и владелец сможет потом посмотреть, кто и когда подключался.
Каждый раз, когда вы подключаетесь к точке Wi-Fi, имя вашего устройства (см.фото), а также MAC-адрес устройства будут "слиты" владельцу, что в будущем позволит ему зайти в параметры своего роутера и узнать, что "iPhone-Светик" или "Samsung S23 Николая" подключались к его Wi-Fi.
Поэтому будьте на чеку, если не хотите лишний раз палиться, находясь у кого-то в гостях или у себя дома, когда кого-то приглашаете 😎. Проблема усугубляется еще тем, что многие современные мобильные устройства автоматически устанавливают имя по данным из вашего облачного аккаунта, не уведомляя об этом владельца. Знаете ли вы имя своих устройств? Скорее всего нет, а значит потенциально палитесь, в то время как могли бы оставаться анонимным.
Прямо сейчас зайдите в настройки своих устройств(ноутбуки, планшеты, мобильники) и дайте им имена, которые бы не выдавали вас при подключении к чужим Wi-Fi.
—————————————
С любовью, ваш хакер 🦾
👍17🔥7❤1😢1
Как скачать нужный контент с любого сайта
Часто бывает, что вы находите какой-то полезный медиа-контент (аудиоклипы, картинки и т.д), но жадный сайт не дает вам его скачивать. Те, кто давно подписаны на канал уже в курсе, что большинство защит, которые вы встречаете в цифровом мире - профанация на уровне интерфейса (пост), как и защита от скачивания.
В сфере информационной безопасности есть простое правило: нельзя защитить ту информацию, которая и так публичная. И даже если программа(браузер), через которую вы получили контент запрещает вам делать какие-то манипуляции с контентом, это не значит, что такие манипуляции запрещены в принципе 😉. Вот отличный пример сайта, который не позволяет скачивать с него картинки и видео - сайт.
Как и в вышеупомянутом посте, этот сайт решил защититься от скачивания своих картинок (можете проверить сами), однако разработчики не учли, что браузеру все равно надо как-то показать картинки пользователю, а перед показом их, очевидно, нужно скачать. Что ж, давайте посмотрим картинки с сайта в браузере без участия сайта.
Чтобы посмотреть, откуда сайт загружает свой контент, достаточно просто открыть нашу любимую консоль (обычно, F12), перейти на вкладку сеть (Network) и отфильтровать запросы по типу интересующего вас контента. Voilà, ссылка на нужную картинку и даже на видео получена.
—————————————
С любовью, ваш хакер 🦾
Часто бывает, что вы находите какой-то полезный медиа-контент (аудиоклипы, картинки и т.д), но жадный сайт не дает вам его скачивать. Те, кто давно подписаны на канал уже в курсе, что большинство защит, которые вы встречаете в цифровом мире - профанация на уровне интерфейса (пост), как и защита от скачивания.
В сфере информационной безопасности есть простое правило: нельзя защитить ту информацию, которая и так публичная. И даже если программа(браузер), через которую вы получили контент запрещает вам делать какие-то манипуляции с контентом, это не значит, что такие манипуляции запрещены в принципе 😉. Вот отличный пример сайта, который не позволяет скачивать с него картинки и видео - сайт.
Как и в вышеупомянутом посте, этот сайт решил защититься от скачивания своих картинок (можете проверить сами), однако разработчики не учли, что браузеру все равно надо как-то показать картинки пользователю, а перед показом их, очевидно, нужно скачать. Что ж, давайте посмотрим картинки с сайта в браузере без участия сайта.
Чтобы посмотреть, откуда сайт загружает свой контент, достаточно просто открыть нашу любимую консоль (обычно, F12), перейти на вкладку сеть (Network) и отфильтровать запросы по типу интересующего вас контента. Voilà, ссылка на нужную картинку и даже на видео получена.
—————————————
С любовью, ваш хакер 🦾
👍10❤3👏2
Как с вероятностью 95% оценить, что ваше устройство взломано?
Когда хакер проникает на ваше устройство, первое, что он хочет сделать, это наладить обратную связь с вашим устройством, чтобы в будущем беспрепятственно отправлять ему команды и получать на них ответы (например, "отправь мне документы из такой-то папки"). Обратная связь невозможна без сетевого взаимодействия устройства с сервером в Интернете. И это то, что позволит выявить подавляющее большинство хакеров у вас на устройстве - анализ Интернет-трафика.
Существует много утилит для наблюдения за трафиком на самом устройстве. Но самым надежным вариантом будет поднять собственную Wi-Fi точку и воспользоваться бесплатной (и Opensource-ной) программой Wireshark, которая не пропустит ни одно сетевое взаимодействие. Вот алгоритм действий, который вам нужно выполнить, чтобы обнаружить хакеров у себя на устройстве:
▪️ Поднимите Wi-Fi на своем компьютере (mac или windows)
▪️ Подключитесь к точке устройством, которое вызывает у вас подозрение (другим компьютером, телефоном и т.д)
▪️ Закройте все доверенные сетевые приложения на компьютере и на подключенном устройстве (мессенджеры, браузеры, облачные хранилища и т.д)
▪️ Установите и запустите программу Wireshark на компьютер, где поднят Wi-Fi
▪️ Оставьте компьютер и устройство на ночь включенными, чтобы накопились данные по сетевому взаимодействию за адекватный срок
▪️ Утром в программе Wireshark посмотрите все соединения, которые произошли за ночь: "Статистика"->"Диалоги" (см. скриншот поста)
▪️ Пробейте IP адреса из списка на предмет принадлежности их безымянным компаниям. Сайт ipinfo вам в этом поможет.
▪️ Если не можете объяснить, откуда в списке некоторые IP адреса, то вы в зоне риска
Способ с поднятием собственной Wi-Fi точки позволит вам не упустить ни одного взаимодействия устройства с подозрительными серверами, однако вы можете обойтись только программой Wireshark, запустив ее на своем компьютере и проверить только его на предмет взлома.
———————————————————
С любовью и заботой, ваш хакер 🦾
Когда хакер проникает на ваше устройство, первое, что он хочет сделать, это наладить обратную связь с вашим устройством, чтобы в будущем беспрепятственно отправлять ему команды и получать на них ответы (например, "отправь мне документы из такой-то папки"). Обратная связь невозможна без сетевого взаимодействия устройства с сервером в Интернете. И это то, что позволит выявить подавляющее большинство хакеров у вас на устройстве - анализ Интернет-трафика.
Существует много утилит для наблюдения за трафиком на самом устройстве. Но самым надежным вариантом будет поднять собственную Wi-Fi точку и воспользоваться бесплатной (и Opensource-ной) программой Wireshark, которая не пропустит ни одно сетевое взаимодействие. Вот алгоритм действий, который вам нужно выполнить, чтобы обнаружить хакеров у себя на устройстве:
▪️ Поднимите Wi-Fi на своем компьютере (mac или windows)
▪️ Подключитесь к точке устройством, которое вызывает у вас подозрение (другим компьютером, телефоном и т.д)
▪️ Закройте все доверенные сетевые приложения на компьютере и на подключенном устройстве (мессенджеры, браузеры, облачные хранилища и т.д)
▪️ Установите и запустите программу Wireshark на компьютер, где поднят Wi-Fi
▪️ Оставьте компьютер и устройство на ночь включенными, чтобы накопились данные по сетевому взаимодействию за адекватный срок
▪️ Утром в программе Wireshark посмотрите все соединения, которые произошли за ночь: "Статистика"->"Диалоги" (см. скриншот поста)
▪️ Пробейте IP адреса из списка на предмет принадлежности их безымянным компаниям. Сайт ipinfo вам в этом поможет.
▪️ Если не можете объяснить, откуда в списке некоторые IP адреса, то вы в зоне риска
Способ с поднятием собственной Wi-Fi точки позволит вам не упустить ни одного взаимодействия устройства с подозрительными серверами, однако вы можете обойтись только программой Wireshark, запустив ее на своем компьютере и проверить только его на предмет взлома.
———————————————————
С любовью и заботой, ваш хакер 🦾
👍10🤔4❤3
Как безопасно передавать секретную информацию через Интернет?
Логины, пароли, ключи доступа - все это нельзя передавать по сети в открытом виде(в мессенждерах, социальных сетях и т.д), потому что второе, что будет делать хакер, проникнувший в вашу систему, после закрепления в ней (если не первое) - это высасывать максимум ценной информации из ваших файлов и переписок.
Как защищать файлы, я уже рассказывал ранее, с переписками все еще проще. Для этого существуют сервисы, которые "принимают" ваш секрет, генерируют на него одноразовую ссылку и предоставляют эту ссылку вам, чтобы вы могли ее отправить тому, кто так нуждается в вашем секрете. Открыв ссылку 1 раз, второй раз ее уже никто открыть не сможет, после открытия секрет будет уничтожен.
Вот некоторые из таких сервисов, которые я могу рекомендовать с точки зрения безопасности (все они, конечно же Opensource-ные):
▪️OneTimeSecret (один из первых в своем роде)
▪️SendSecure (автор - известная компания по безопасности)
▪️Scrt (а тут можно даже файл пошарить как секрет)
Возьмите себе установку - каждый раз, когда хотите передать какой-то секрет по сети(и другого выхода у вас нет), отправляйте собеседникам одноразовые ссылки с самоуничтожением секрета. В таком случае даже если взломают вашего собеседника, ваш секрет останется в безопасности. А как правильно хранить сами секреты, вы уже знаете.
———————————————————
С любовью и заботой, ваш хакер 🦾
Логины, пароли, ключи доступа - все это нельзя передавать по сети в открытом виде(в мессенждерах, социальных сетях и т.д), потому что второе, что будет делать хакер, проникнувший в вашу систему, после закрепления в ней (если не первое) - это высасывать максимум ценной информации из ваших файлов и переписок.
Как защищать файлы, я уже рассказывал ранее, с переписками все еще проще. Для этого существуют сервисы, которые "принимают" ваш секрет, генерируют на него одноразовую ссылку и предоставляют эту ссылку вам, чтобы вы могли ее отправить тому, кто так нуждается в вашем секрете. Открыв ссылку 1 раз, второй раз ее уже никто открыть не сможет, после открытия секрет будет уничтожен.
Вот некоторые из таких сервисов, которые я могу рекомендовать с точки зрения безопасности (все они, конечно же Opensource-ные):
▪️OneTimeSecret (один из первых в своем роде)
▪️SendSecure (автор - известная компания по безопасности)
▪️Scrt (а тут можно даже файл пошарить как секрет)
Возьмите себе установку - каждый раз, когда хотите передать какой-то секрет по сети(и другого выхода у вас нет), отправляйте собеседникам одноразовые ссылки с самоуничтожением секрета. В таком случае даже если взломают вашего собеседника, ваш секрет останется в безопасности. А как правильно хранить сами секреты, вы уже знаете.
———————————————————
С любовью и заботой, ваш хакер 🦾
❤5👍3🔥2
Как вытащить файл с компьютера, на котором вас ограничили в передаче файлов во внешний мир?
Если вы работаете внутри плюс-минус состоявшейся организации, то наверняка не раз сталкивались с блокировками ваших действий файрволлом. Любой файрволл существует по одной причине - вам не могут просто взять и отрезать весь Интернет полностью (потому что он нужен для полноценной работы), поэтому службе безопасности приходится "изворачиваться" и блокировать вам Интернет точечно.
К каким последствиям это приводит? Да к самым очевидным: блокируются только очевидные пути утечки данных, а "изощренные" из разряда "продвинутого пользователя" игнорируются (часто из-за того, что службы безопасности сами не в курсе таковых).
Вот, например, нужно вам вытащить во внешний мир какой-то файл с рабочего места, что вы будете делать? Большинство тех, кто с нами недавно, подумают залогиниться в какое-нибудь облачное хранилище(чего делать ни в коем случае нельзя не на своих девайсах), и пошарить файл. Служба безопасности думает точно также, потому в "черный список" корпоративного файрволла она уже давно занесла все мессенджеры, Dropbox, iCloud, Google/Yandex диски и т.д.
Но думает ли служба безопасности, что файл можно превратить в обычную строку, а строку разместить, например, в блоге на Яндекс.Дзене/Хабре/Google или на сервисе обмена секретами? Как показывает практика, в 95% случае - нет.
Есть такой стандарт кодирования любой цифровой информации - Base64 - он преобразует любые данные в последовательность букв и цифр, которую можно также легко раскодировать обратно. Поэтому если вдруг вам однажды понадобится "вытащить файл", зайдите с корпоративного ПК в Google, найдите там любой сервис по преобразованию файлов в Base64-строку и сохраните ее где-нибудь в Интернете (желательно только не публично). Ну а после рабочего дня уже со своего личного компьютера зайдите в то место Интернета, где вы сохранили строку и проверните над ней обратную операцию по преобразованию уже в файл.
———————————————————
С любовью и заботой, ваш хакер 🦾
Если вы работаете внутри плюс-минус состоявшейся организации, то наверняка не раз сталкивались с блокировками ваших действий файрволлом. Любой файрволл существует по одной причине - вам не могут просто взять и отрезать весь Интернет полностью (потому что он нужен для полноценной работы), поэтому службе безопасности приходится "изворачиваться" и блокировать вам Интернет точечно.
К каким последствиям это приводит? Да к самым очевидным: блокируются только очевидные пути утечки данных, а "изощренные" из разряда "продвинутого пользователя" игнорируются (часто из-за того, что службы безопасности сами не в курсе таковых).
Вот, например, нужно вам вытащить во внешний мир какой-то файл с рабочего места, что вы будете делать? Большинство тех, кто с нами недавно, подумают залогиниться в какое-нибудь облачное хранилище(чего делать ни в коем случае нельзя не на своих девайсах), и пошарить файл. Служба безопасности думает точно также, потому в "черный список" корпоративного файрволла она уже давно занесла все мессенджеры, Dropbox, iCloud, Google/Yandex диски и т.д.
Но думает ли служба безопасности, что файл можно превратить в обычную строку, а строку разместить, например, в блоге на Яндекс.Дзене/Хабре/Google или на сервисе обмена секретами? Как показывает практика, в 95% случае - нет.
Есть такой стандарт кодирования любой цифровой информации - Base64 - он преобразует любые данные в последовательность букв и цифр, которую можно также легко раскодировать обратно. Поэтому если вдруг вам однажды понадобится "вытащить файл", зайдите с корпоративного ПК в Google, найдите там любой сервис по преобразованию файлов в Base64-строку и сохраните ее где-нибудь в Интернете (желательно только не публично). Ну а после рабочего дня уже со своего личного компьютера зайдите в то место Интернета, где вы сохранили строку и проверните над ней обратную операцию по преобразованию уже в файл.
———————————————————
С любовью и заботой, ваш хакер 🦾
👍12🔥2❤1
Не входите в свои аккаунты на чужих устройствах
В школьно-университетские годы у меня было специфическое развлечение: я наблюдал за тем, в каких аудиториях был наиболее плотный человеческий "трафик", ставил на компьютерах в этих аудиториях программу-бэкдор собственной разработки, и в течение всего учебного года пожинал плоды в виде логинов и паролей к всевозможным учёткам 😎
Каждый раз когда вы пользуетесь чьим-то устройством, вы находитесь в точно такой же зоне риска, как и в ситуации, когда вашим устройством кто-то пользуется - вы "под колпаком". Даже при наличии двухфакторной аутентификации, ваши аккаунты в зоне риска - как минимум злоумышленник может их использовать параллельно с вами до тех пор, пока вы не выйдите из них.
Избегайте авторизации в своих личных аккаунтах на устройствах, которые вам не принадлежат. Если у вас возникает такая потребность, скорее всего она связана с тем, что вам нужно просто передать какой-то файл. Эта проблема решается куда более безопасным способом: либо передайте на ненадежный компьютер файл как секрет, либо через первый попавшийся сервис хостинга файлов в Интернете.
———————————————————
С любовью и заботой, ваш хакер 🦾
В школьно-университетские годы у меня было специфическое развлечение: я наблюдал за тем, в каких аудиториях был наиболее плотный человеческий "трафик", ставил на компьютерах в этих аудиториях программу-бэкдор собственной разработки, и в течение всего учебного года пожинал плоды в виде логинов и паролей к всевозможным учёткам 😎
Каждый раз когда вы пользуетесь чьим-то устройством, вы находитесь в точно такой же зоне риска, как и в ситуации, когда вашим устройством кто-то пользуется - вы "под колпаком". Даже при наличии двухфакторной аутентификации, ваши аккаунты в зоне риска - как минимум злоумышленник может их использовать параллельно с вами до тех пор, пока вы не выйдите из них.
Избегайте авторизации в своих личных аккаунтах на устройствах, которые вам не принадлежат. Если у вас возникает такая потребность, скорее всего она связана с тем, что вам нужно просто передать какой-то файл. Эта проблема решается куда более безопасным способом: либо передайте на ненадежный компьютер файл как секрет, либо через первый попавшийся сервис хостинга файлов в Интернете.
———————————————————
С любовью и заботой, ваш хакер 🦾
👍11❤3
Сканируйте файлы на вирусы перед запуском на компьютере
Всем приходится время от времени устанавливать какие-то новые программы. Хорошо, если вы пользуйтесь программами, у которых открыт исходный код или вообще приучили себя запускать все программы из ненадежных источников на виртуальной машине. Однако если по какой-то причине ни первое, ни второй невозможно в вашем случае, есть последний рубеж защиты - сканирование скачанного файла сразу всеми антивирусами.
Этот рубеж защиты самый слабый, особенно учитывая то, что все антивирусы по умолчанию на шаг позади создателей вирусов, но здесь вы хотя бы сможете защититься от большинства известных вредоносов с вероятностью 60-70%.
Самый известный сервис, который позволит вам быстро просканировать сомнительный файл всеми популярными антивирусами, не скачивая их к себе - сервис VirusTotal. Работает он предельно просто - закидываете в него файл, в течение 1 минуты получаете по нему отчет: какие антивирусы считают его опасным. В идеале, чтобы таких антивирусов было 0, но на практике менее популярные антивирусы нередко ошибаются, принимая безопасный файл за вирус - в таком случае смотрите на названия - парочкой малоизвестных антивирусов можно и пренебречь 😉
———————————————————
С любовью и заботой, ваш хакер 🦾
Всем приходится время от времени устанавливать какие-то новые программы. Хорошо, если вы пользуйтесь программами, у которых открыт исходный код или вообще приучили себя запускать все программы из ненадежных источников на виртуальной машине. Однако если по какой-то причине ни первое, ни второй невозможно в вашем случае, есть последний рубеж защиты - сканирование скачанного файла сразу всеми антивирусами.
Этот рубеж защиты самый слабый, особенно учитывая то, что все антивирусы по умолчанию на шаг позади создателей вирусов, но здесь вы хотя бы сможете защититься от большинства известных вредоносов с вероятностью 60-70%.
Самый известный сервис, который позволит вам быстро просканировать сомнительный файл всеми популярными антивирусами, не скачивая их к себе - сервис VirusTotal. Работает он предельно просто - закидываете в него файл, в течение 1 минуты получаете по нему отчет: какие антивирусы считают его опасным. В идеале, чтобы таких антивирусов было 0, но на практике менее популярные антивирусы нередко ошибаются, принимая безопасный файл за вирус - в таком случае смотрите на названия - парочкой малоизвестных антивирусов можно и пренебречь 😉
———————————————————
С любовью и заботой, ваш хакер 🦾
👍11❤4
Как можно лишить владельца Telegram-канала его дохода?
Ни для кого не секрет, что большинство пабликов в Telegram ведутся только для извлечения прибыли - в основном, через продажу рекламы. И большинство рекламодателей перед покупкой рекламы в понравившемся канале производят анализ его статистики на накрутки (через сервисы вроде tgstat и telemetr) - никто не хочет платить за рекламу в каналах, которые наполнены ботами (фейковыми аккаунтами). Следовательно, если совместить этот факт с тем, что в Интернете можно накрутить все, что угодно, выходит, кто угодно может лишить владельца любого Telegram-канала серьезной части дохода, накрутив ему подписчиков.
Для накрутки подписчиков в Telegram существует куча способов (как этот - @FastFameBot или этот), которые за бесценок приведут в канал за короткое время много ботов (32 рубля за 100 подписчиков), что испортит статистику канала и отобьет желание у рекламодателей покупать в нем рекламу.
Чтобы защититься от такой нечестной конкурентной борьбы или борьбы с недоброжелателям можно сделать канал приватным, но это сильно снизит приток живых подписчиков, да и не все сервисы статистики будут корректно отображать статистику по закрытому каналу.
Для того, чтобы можно было оставить канал публичным и при этом обеспечить его защиту от накруток, я рекомендую использовать Telegram-бота, с помощью которого можно ставить ограничение на число подписок во времени по публичным и пригласительным ссылкам, а также вычищать наплывы подписчиков-ботов (если таковые уже случились) - @channel_guardian_bot.
А в качестве проверки боем предлагаю особо продвинутым провести атаку на мой канал - он уже под защитой бота 😎
———————————————————
С любовью и заботой, ваш хакер 🦾
Ни для кого не секрет, что большинство пабликов в Telegram ведутся только для извлечения прибыли - в основном, через продажу рекламы. И большинство рекламодателей перед покупкой рекламы в понравившемся канале производят анализ его статистики на накрутки (через сервисы вроде tgstat и telemetr) - никто не хочет платить за рекламу в каналах, которые наполнены ботами (фейковыми аккаунтами). Следовательно, если совместить этот факт с тем, что в Интернете можно накрутить все, что угодно, выходит, кто угодно может лишить владельца любого Telegram-канала серьезной части дохода, накрутив ему подписчиков.
Для накрутки подписчиков в Telegram существует куча способов (как этот - @FastFameBot или этот), которые за бесценок приведут в канал за короткое время много ботов (32 рубля за 100 подписчиков), что испортит статистику канала и отобьет желание у рекламодателей покупать в нем рекламу.
Чтобы защититься от такой нечестной конкурентной борьбы или борьбы с недоброжелателям можно сделать канал приватным, но это сильно снизит приток живых подписчиков, да и не все сервисы статистики будут корректно отображать статистику по закрытому каналу.
Для того, чтобы можно было оставить канал публичным и при этом обеспечить его защиту от накруток, я рекомендую использовать Telegram-бота, с помощью которого можно ставить ограничение на число подписок во времени по публичным и пригласительным ссылкам, а также вычищать наплывы подписчиков-ботов (если таковые уже случились) - @channel_guardian_bot.
А в качестве проверки боем предлагаю особо продвинутым провести атаку на мой канал - он уже под защитой бота 😎
———————————————————
С любовью и заботой, ваш хакер 🦾
👍15
Как "взломать" QR-код?
Последнее время мир стал помешан на QR-кодах: их пихают во все места, где нужно как-то уникально вас идентифицировать. Но по сути, всё, чем является QR-код - это комбинацией белых и черных пикселей, складывающихся в биты, а биты - в читаемые символы.
Если вы начнете обращать внимание на то, что кодируется тем или иным QR-кодом, вы начнете замечать и сопутствующие уязвимости систем, которые их считывают и принимают на основе этого решение.
Вот пример такого QR-кода, который генерируется при въезде на парковку в аэропорту (см.фото) - на въезде генерируется QR-код с цифрами "1692365002", которые на первый взгляд выглядят как какой-то уникальный номер, но если присмотреться, это метка времени unix, которая фиксирует дату вашего въезда на парковку. При выезде с парковки этот QR-код, сканируется и рассчитывается сумма, которую надо заплатить исходя из разницы между датой выезда и датой въезда на парковку. Соответственно, идем на сайт, который поможет сгенерировать любую метку времени, далее генерируем с этой меткой собственный QR-код, который уже сканируем на выезде и платим минимальный тариф или вообще ничего. 😎
Еще один пример - QR-билет в парк развлечений или кино (см.фото). В нем кодируется порядковый номер заказа. Следовательно, купив один билет, можно вычесть из номера из QR-кода единицу, создать новый QR-код и позвать с собой в парк друга бесплатно. Единственное, нужно будет прийти в парк первее, чем настоящий владелец билета 😉
Так что не стесняйтесь посматривать, что кодируется в ваших QR-кодах - очень вероятно, что там прячется халява.
———————————————————
С любовью и заботой, ваш хакер 🦾
Последнее время мир стал помешан на QR-кодах: их пихают во все места, где нужно как-то уникально вас идентифицировать. Но по сути, всё, чем является QR-код - это комбинацией белых и черных пикселей, складывающихся в биты, а биты - в читаемые символы.
Если вы начнете обращать внимание на то, что кодируется тем или иным QR-кодом, вы начнете замечать и сопутствующие уязвимости систем, которые их считывают и принимают на основе этого решение.
Вот пример такого QR-кода, который генерируется при въезде на парковку в аэропорту (см.фото) - на въезде генерируется QR-код с цифрами "1692365002", которые на первый взгляд выглядят как какой-то уникальный номер, но если присмотреться, это метка времени unix, которая фиксирует дату вашего въезда на парковку. При выезде с парковки этот QR-код, сканируется и рассчитывается сумма, которую надо заплатить исходя из разницы между датой выезда и датой въезда на парковку. Соответственно, идем на сайт, который поможет сгенерировать любую метку времени, далее генерируем с этой меткой собственный QR-код, который уже сканируем на выезде и платим минимальный тариф или вообще ничего. 😎
Еще один пример - QR-билет в парк развлечений или кино (см.фото). В нем кодируется порядковый номер заказа. Следовательно, купив один билет, можно вычесть из номера из QR-кода единицу, создать новый QR-код и позвать с собой в парк друга бесплатно. Единственное, нужно будет прийти в парк первее, чем настоящий владелец билета 😉
Так что не стесняйтесь посматривать, что кодируется в ваших QR-кодах - очень вероятно, что там прячется халява.
———————————————————
С любовью и заботой, ваш хакер 🦾
❤8👍7🔥5
Как добиться анонимности в Интернете?
Вопреки всем длиннопостам, доступным на текущий момент в сети, вам нужно соблюдать всего 3 правила, чтобы даже агент ЦРУ не смог выйти на вашу настоящую личность:
1️⃣ Прячьте то, откуда вы выходите в Интернет (свой IP)
2️⃣ Не используйте какие-либо данные или ресурсы в Интернете, прямо или косвенно указывающие на вас
3️⃣ Не устанавливайте к себе в систему что попало и своевременно обновляйте свой софт (браузер, мессенджер, операционную систему и т.д)
Все. Следуя этим простым правилам уже почти с десяток лет, никто до сих пор не постучал мне в дверь 😎 Теперь чуть более подробно о каждом правиле:
1️⃣ Каждый сайт видит ваш IP адрес, выданный вам провайдером, следовательно, спалившись на одном сайте, спецслужбы постучат в дверь к ним, потом к вашему провайдеру, а потом и к вам. Пользуйтесь VPN, или еще надежнее - Tor, который "размажет" ваш IP по 3 случайным серверам по всему миру (а TorBrowser можно рассматривать вообще как "бесплатный VPN")
2️⃣ Вы можете прятаться за 3, 5, 10 узлами в Tor, но какой в этом смысл, если вы заказываете кибероружие на своё имя или входите в свой аккаунт в социальной сети? Не нужно будет гоняться за вами по серверам - вы и так рассказали, кто вы, используя личные ресурсы и персональные данные
3️⃣ Нет смысла прятаться от внешнего врага, когда враг внутри. Если за вами следят из вашей же системы, вы никогда не сможете что-то делать анонимно не только в сети, но даже у себя на устройстве оффлайн.
Обычно все лажают на п.2, так как персональные данные имеют свойство утекать самым неожиданным образом (например, так), но затем и существует данный канал 😉
———————————————————
С любовью и заботой, ваш хакер 🦾
Вопреки всем длиннопостам, доступным на текущий момент в сети, вам нужно соблюдать всего 3 правила, чтобы даже агент ЦРУ не смог выйти на вашу настоящую личность:
Все. Следуя этим простым правилам уже почти с десяток лет, никто до сих пор не постучал мне в дверь 😎 Теперь чуть более подробно о каждом правиле:
Обычно все лажают на п.2, так как персональные данные имеют свойство утекать самым неожиданным образом (например, так), но затем и существует данный канал 😉
———————————————————
С любовью и заботой, ваш хакер 🦾
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤8
Все ваши действия журналируются.
Наверняка все знают про функцию "История" в браузере, которая по умолчанию сохраняет все посещенные вами сайты. Но на самом деле всё в цифровом мире, на любых сайтах и в любых программах пронизано журналированием ваших действий.
Делается это отчасти для того, чтобы разработчики софта могли понять, что вы делали, если вдруг случится какой-то баг, а отчасти - для вашего "удобства". А как известно, там где удобство - там и угроза безопасности.
Чтобы понять масштабы журналирования, посетите, к примеру, страницу "Мои действия в Google" - там Google вам любезно сообщит, что по умолчанию он сохраняет на своих серверах всю вашу активность из всех своих сервисов (поиск, YouTube, Drive и т.д). Ачужойваш iPhone или Android сообщит владельцу о том, какие приложения на нем запускались последними. Ну и не стоит даже говорить, что Whatsapp/Instagram/Tiktok/т.д сохраняют каждый ваш шаг внутри их приложений в файл (посещенные страницы, оставленные лайки и комментарии), который загружается на сервер при достижении определенного размера, а до этого хранится в открытом виде.
Ужасного в этом ничего нет, но знать про такую особенность современных "информационных систем" нужно каждому - особенно, если вы до сих пор не пользуетесь раздельными учетками и все ваши члены семьи или сотрудники, пользуясь тем же девайсом, имеют возможность лицезреть всю вашу активность внутри одного аккаунта.
———————————————————
С любовью и заботой, ваш хакер 🦾
Наверняка все знают про функцию "История" в браузере, которая по умолчанию сохраняет все посещенные вами сайты. Но на самом деле всё в цифровом мире, на любых сайтах и в любых программах пронизано журналированием ваших действий.
Делается это отчасти для того, чтобы разработчики софта могли понять, что вы делали, если вдруг случится какой-то баг, а отчасти - для вашего "удобства". А как известно, там где удобство - там и угроза безопасности.
Чтобы понять масштабы журналирования, посетите, к примеру, страницу "Мои действия в Google" - там Google вам любезно сообщит, что по умолчанию он сохраняет на своих серверах всю вашу активность из всех своих сервисов (поиск, YouTube, Drive и т.д). А
Ужасного в этом ничего нет, но знать про такую особенность современных "информационных систем" нужно каждому - особенно, если вы до сих пор не пользуетесь раздельными учетками и все ваши члены семьи или сотрудники, пользуясь тем же девайсом, имеют возможность лицезреть всю вашу активность внутри одного аккаунта.
———————————————————
С любовью и заботой, ваш хакер 🦾
👍11❤4
Как украсть список контактов у человека из телефонной книги смартфона?
Для этого заведите аккаунт в любом популярном мессенджере и попросите человека авторизоваться в этом же аккаунте. По умолчанию все мессенджеры при обнаружении новых контактов в телефонной книге смартфона синхронизируют их с сервером и отображают на всех девайсах в интерфейсе ("Контакты") для возможности коммуникации с ними из мессенджера.
Этот механизм проверен в Telegram - особенно, если жертва добавляет новый аккаунт рядом с уже существующим: приложение уже будет обладать правами доступа к телефонной книге и "кража" произойдет абсолютно незаметно 😎
Соответственно, работает это и в другую сторону - если не хотите спалить свои контакты, не авторизуйтесь в чужих аккаунтах в мессенджерах.
———————————————————
С любовью и заботой, ваш хакер 🦾
Для этого заведите аккаунт в любом популярном мессенджере и попросите человека авторизоваться в этом же аккаунте. По умолчанию все мессенджеры при обнаружении новых контактов в телефонной книге смартфона синхронизируют их с сервером и отображают на всех девайсах в интерфейсе ("Контакты") для возможности коммуникации с ними из мессенджера.
Этот механизм проверен в Telegram - особенно, если жертва добавляет новый аккаунт рядом с уже существующим: приложение уже будет обладать правами доступа к телефонной книге и "кража" произойдет абсолютно незаметно 😎
Соответственно, работает это и в другую сторону - если не хотите спалить свои контакты, не авторизуйтесь в чужих аккаунтах в мессенджерах.
———————————————————
С любовью и заботой, ваш хакер 🦾
❤9👍3🔥1
Как прорваться сквозь модерацию?
Отложим популярные сервисы вроде YouTube/Tiktok/Instagram, где модерацией занимается искусственный интеллект, и сосредоточим внимание на 95% остальных сервисов, где присутствует модерация в ручном или полуавтоматическом виде.
Недавно мне нужно было было создать оплачиваемое задание на сервисе TaskPay, которое не проходило модерацию - нельзя было создавать задания с накруткой негативных отзывов. Путем экспериментирования стало ясно, что задания проверяет человек. Как вы уже знаете, под капотом браузер выполняет запросы к серверу, когда вы нажимаете на кнопки. А что будет, если совместить человека-модератора и кучу запросов на создание заданий? - ничего хорошего...для модератора 😎
Было решено быстренько наплодить кучу разрешенных заданий(инструментом Burp Repeater, например), скрыв среди них нужное мне задание. Спустя несколько минут модератор по своей человеческой лени переместил все мои задания (1000 штук) одним махом в остановленные, не заметив среди них "подвоха". Ну а остановленное задание можно запустить :)
Не стесняйтесь перегружать модераторов сервисов своей настойчивостью, ведь часто их правила - полная ерунда.
———————————————————
С любовью и заботой, ваш хакер 🦾
Отложим популярные сервисы вроде YouTube/Tiktok/Instagram, где модерацией занимается искусственный интеллект, и сосредоточим внимание на 95% остальных сервисов, где присутствует модерация в ручном или полуавтоматическом виде.
Недавно мне нужно было было создать оплачиваемое задание на сервисе TaskPay, которое не проходило модерацию - нельзя было создавать задания с накруткой негативных отзывов. Путем экспериментирования стало ясно, что задания проверяет человек. Как вы уже знаете, под капотом браузер выполняет запросы к серверу, когда вы нажимаете на кнопки. А что будет, если совместить человека-модератора и кучу запросов на создание заданий? - ничего хорошего...для модератора 😎
Было решено быстренько наплодить кучу разрешенных заданий(инструментом Burp Repeater, например), скрыв среди них нужное мне задание. Спустя несколько минут модератор по своей человеческой лени переместил все мои задания (1000 штук) одним махом в остановленные, не заметив среди них "подвоха". Ну а остановленное задание можно запустить :)
Не стесняйтесь перегружать модераторов сервисов своей настойчивостью, ведь часто их правила - полная ерунда.
———————————————————
С любовью и заботой, ваш хакер 🦾
👍8❤7👏2
Разница защиты трафика с помощью VPN и HTTPS
VPN - это защита от провайдера
HTTPS - это защита от владельца VPN
VPN - это защита от провайдера
HTTPS - это защита от владельца VPN
❤15
Как "взламывают" Whatsapp?
На днях ко мне обратился один знакомый (далее - П), который утверждал, что с его Whatsapp-аккаунта каким-то образом идет рассылка скама его контактам. Начали разбираться, и оказалось, что недавно П получил сообщение от босса следующего вида:
"Пpивeт! Извини, чтo oтвлeкаю. Мoжeшь тyт зa Coню пpoгoлocовать, пoжaлyйcтa? Этo моя плeмянницa. У ниx в балeтнoй школe кoнкуpc пpoxoдит, пyтeвкa в дeтский лaгeрь нa кoну. Нeмнoгo гoлoсoв нe хвaтaeт дo пoбeды
Отдать cвoй гoлoc пo cсылке нижe:
https://cutt.ly/SwbCqYwi"
По ссылке можно перейти (это безопасно) и увидеть там сайт "балетной школы" (на Evernote 😃), на котором красуется ссылка на фейковый WhatsApp Web (как и обычно - с сертификатом Lets Encrypt). Изучив активные сессии WhatsApp в аккаунте П, были обнаружены неизвестные сессии. П не дурак, но отказать своему боссу в голосовании за его племянницу не смог, за что и поплатился - злоумышленники получили доступ к его аккаунту WhatsApp и продолжили по нарастающей рассылать скам уже его контактам 🤦♂️.
Как видите, даже хакером не надо быть, чтобы "взламывать" WhatsApp. Большинство "взломов" не требуют навыков программирования и информационной безопасности - достаточно просто владеть навыком социальной инженерии и разбираться в возможностях приложения (в данном случае - линковка аккаунтов).
———————————————————
С любовью и заботой, ваш хакер 🦾
На днях ко мне обратился один знакомый (далее - П), который утверждал, что с его Whatsapp-аккаунта каким-то образом идет рассылка скама его контактам. Начали разбираться, и оказалось, что недавно П получил сообщение от босса следующего вида:
"Пpивeт! Извини, чтo oтвлeкаю. Мoжeшь тyт зa Coню пpoгoлocовать, пoжaлyйcтa? Этo моя плeмянницa. У ниx в балeтнoй школe кoнкуpc пpoxoдит, пyтeвкa в дeтский лaгeрь нa кoну. Нeмнoгo гoлoсoв нe хвaтaeт дo пoбeды
Отдать cвoй гoлoc пo cсылке нижe:
https://cutt.ly/SwbCqYwi"
По ссылке можно перейти (это безопасно) и увидеть там сайт "балетной школы" (на Evernote 😃), на котором красуется ссылка на фейковый WhatsApp Web (как и обычно - с сертификатом Lets Encrypt). Изучив активные сессии WhatsApp в аккаунте П, были обнаружены неизвестные сессии. П не дурак, но отказать своему боссу в голосовании за его племянницу не смог, за что и поплатился - злоумышленники получили доступ к его аккаунту WhatsApp и продолжили по нарастающей рассылать скам уже его контактам 🤦♂️.
Как видите, даже хакером не надо быть, чтобы "взламывать" WhatsApp. Большинство "взломов" не требуют навыков программирования и информационной безопасности - достаточно просто владеть навыком социальной инженерии и разбираться в возможностях приложения (в данном случае - линковка аккаунтов).
———————————————————
С любовью и заботой, ваш хакер 🦾
❤17👍2
Проверяйте название сервиса перед вводом кода из SMS от банка.
Совсем недавно мне предложили заняться довольно прибыльным скам-проектом: создавать множество интернет-магазинов разных тематик под разные возрастные аудитории, чтобы с их помощью в режиме реального времени перенаправлять данные вводимых карт на другие сервисы по покупке криптовалюты.
Схема работает следующим образом: пользователь вводит данные своей карты в поддельном интернет-магазине, данные отправляются на сервер, а далее на сервере данные введенной карты подставляются, например, в сервис buy.moonpay.com, который позволяет покупать криптовалюту с помощью карты. Нюанс в том, что сейчас почти все банки при покупке в интернете требуют 3DS код из SMS, а уловка заключается в том, чтобы окно от криптовалютного сервиса показать на сайте интернет-магазина, чтобы жертва ввела его и произвела таким образов авторизацию транзакции.
Если в этом случае жертва обратит внимание, на каком сервисе был запрошен 3DS-код, то обнаружит несоответствие.
Чтобы защитится от этого, во-первых, всегда используйте виртуальные карты при покупках в интернете, а во-вторых, всегда проверяйте, кто инициатор SMS-сообщения от банка.
P.S От скам-проекта я в итоге отказался, хотя идея показалась мне достаточно перспективной - мало кого заботит Персональная Безопасность 😎
———————————————————
С любовью и заботой, ваш хакер 🦾
Совсем недавно мне предложили заняться довольно прибыльным скам-проектом: создавать множество интернет-магазинов разных тематик под разные возрастные аудитории, чтобы с их помощью в режиме реального времени перенаправлять данные вводимых карт на другие сервисы по покупке криптовалюты.
Схема работает следующим образом: пользователь вводит данные своей карты в поддельном интернет-магазине, данные отправляются на сервер, а далее на сервере данные введенной карты подставляются, например, в сервис buy.moonpay.com, который позволяет покупать криптовалюту с помощью карты. Нюанс в том, что сейчас почти все банки при покупке в интернете требуют 3DS код из SMS, а уловка заключается в том, чтобы окно от криптовалютного сервиса показать на сайте интернет-магазина, чтобы жертва ввела его и произвела таким образов авторизацию транзакции.
Если в этом случае жертва обратит внимание, на каком сервисе был запрошен 3DS-код, то обнаружит несоответствие.
Чтобы защитится от этого, во-первых, всегда используйте виртуальные карты при покупках в интернете, а во-вторых, всегда проверяйте, кто инициатор SMS-сообщения от банка.
P.S От скам-проекта я в итоге отказался, хотя идея показалась мне достаточно перспективной - мало кого заботит Персональная Безопасность 😎
———————————————————
С любовью и заботой, ваш хакер 🦾
👍12👏1