↑ ↓

Информация Фейки, Фишинг и защита от него

Скачать беспалевный фейк бесплатно

  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.811
    Симпатии:
    432
    Пол:
    Мужской
    Репа:
    +966 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Пользователь X-Shar разместил новый ресурс:

    Фейки, Фишинг и защита от него - Скачать беспалевный фейк бесплатно

    Узнать больше об этом ресурсе...
     
    • Мне нравится Мне нравится x 3
  2. Khorne Уважаемый пользователь
    Khorne
    Ответить в чате

    Форумчанин

    Регистрация:
    14.12.2014
    Сообщения:
    266
    Симпатии:
    267
    Пол:
    Мужской
    Репа:
    +293 / 6 / -7
    Для защиты от подобных редиректов,специальных ловушек созданных при помощи xss уязвимостей можно добавить в арсенал браузера подобные расширения:NoScript и https://addons.mozilla.org/ru/firefox/addon/requestpolicy/
    Поначалу может быть неудобно юзать сайты из-за блокировки скриптов и запросах о редиректе,но постепенно привыкаешь к ним.
     
    • Мне нравится Мне нравится x 2
  3. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.183
    Симпатии:
    11.096
    Пол:
    Мужской
    Репа:
    +11.244 / 47 / -6
    Jabber:
    Skype:
    Интересная статья с Хабра.Показаны классические способы нынешнего фишинга
    [​IMG]

    Я не случайно поставил в заглавие поста картинку с котиком. Это один из примеров манипулирования человеческим сознанием, апеллирование к жалости. Методы воздействия злоумышленников, использующих такие приемы, находятся в области практической психологии и относятся к социальной инженерии. Играя на эмоциях, чувствах, страхах и рефлексах людей злоумышленники получают доступ к интересующей их информации. Все эти методы используются злоумышленниками при создании фишинговых почтовых сообщений.
    К сожалению, уровень осведомленности пользователей о современных угрозах довольно низок, поэтому, как и обещал в комментарии, постараюсь описать основные приемы.

    При атаке на пользователей электронной почты у злоумышленников сейчас две основных цели: узнать пароль пользователя или попытаться заставить скачать некий файл. Для того чтобы собрать основные векторы по первому случаю — я создал ящик и «заказал» его взлом на нескольких площадках, которые довольно легко обнаружил с помощью поисковых систем.

    Я не буду рассматривать представленные фишинговые домены и адреса почт: рядовой пользователь не запомнит чем отличается google.com/index.php от google.com.indexphp.cc. Основное, что я хочу донести — не надо слепо следовать каким-то указаниям в почте, особенно тем, которые побуждают выполнять некие действия здесь и сейчас, иначе случится что-то плохое.

    Gmail — документы

    Письмо отправлено с gmail адреса и сообщает о неких документах. В деловой переписке, особенно при большом потоке писем легко кликнуть на документ, попав на фишинговую страницу:

    [​IMG]

    Хотя адрес «документов» ведет на neo4-yandex.ru, тем не менее с этого домена происходит редирект на:
    (в коде страницы установлен сниффер, который логгирует все заходы на страницу — <img height=0 width=0 src="http://xvxvxvxvxvx.ru/image.php?img="> )
    s-mail-google.com/myaccount/ru/index.php?id=&/id=20154748705121097

    [​IMG]

    Обратите внимание на старый логотип Google на фишинговой странице — многие ли из вас отметили, что он старый? А много ли пользователей помнят или знают о том, что у Google уже новый лого? Скорее всего, форма была сделана с помощью инструмента Social-Engineer Toolkit , в нем этот логотип не обновлен. А может злоумышленники просто не обращают на это никакого внимания и не обновляют свои поделки.

    Gmail — недоставленное сообщение

    Приходит письмо, о том, что некоторые письма не были доставлены. А если что-то важное потерялось?

    [​IMG]

    Многие люди по природе мнительны, поэтому клик по ссылке, а там уже известный редирект на: s-mail-google.com/myaccount/ru/index.php?id=&/id=20154748705121097

    Gmail — срочно сменить пароль

    Пользователь, какие-то нехорошие личности взломали твой пароль!

    [​IMG]

    Обычные пользователи, скорее всего, пойдут менять пароль, только вот адрес для смены совершенно неподходящий: google.mail.com.ru-id322322.ru/548589203339099000020039939/o/p/l/?id376=YWtzZWthdHlhQGdtYWlsLmNvbXxha3Nla2F0eWE=

    Gmail — ваша почта будет заблокирована

    Вы сделали что-то неправильно (ведь рядовые пользователи «не разбираются в компьютерах»), теперь надо все исправить, иначе удалят ящик:

    [​IMG]

    Что тут у нас? Опять старый логотип, но есть и кое-что новое — в URL передается адрес атакуемого ящика, для большей достоверности. Пользователь переходит по ссылке вида: w-google.com/account_c/mailer/0/u/16281666201206/?email=privethabr@gmail.com&fail=1&cGRmJmhsPV3N0BJmhsPXJnbWFpbC5j1VyJmFjdb20mbGV0EVyucGRmJmhsPVyPXZ5cGlza2EucGRdVyGmJmhsPXJ1JmFjdD1%27 и попадает на «персональную страничку»:

    [​IMG]

    Gmail — спам

    Вы рассылали спам, теперь Вы не можете отправлять письма. Необходимо подтвердить аккаунт:

    [​IMG]

    Опять старый логотип. Вектор вроде новый, но ведет, опять же на уже известную нам страничку: s-mail-google.com/u/0/accounts/index.php?id=&/id=d7115e86e7423e7aea202cebf544de21

    Gmail — черный список

    Вы добавлены в черный список, шутки кончились. Срочно подтвердите что вы не бот-программа:

    [​IMG]

    По ссылке уже известный адрес: google.mail.com.ru-id322322.ru/?login=YWtzZWthdHlhfGFrc2VrYXR5YUBnbWFpbC5jb20=

    Gmail — пора увеличить объем

    Почтовый ящик почти заполнен, необходимо увеличить его объем. Надо, так надо:

    [​IMG]

    Вот это письмо мне понравилось. Я ожидал стандартную форму логина, но нет, злоумышленники пошли другим путем. Такое внимание к деталям: указан логин жертвы, ссылка «изменить» неактивна, но самое интересное дальше: account-google.ru.com/ServicesLogin/settings/?account=privethabr&?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/

    [​IMG]

    Указан логин жертвы, интерфейс явно гугловый, даже видно что место и правда кончилось. Да и домен подобран очень в тему. Но вот логотип опять старый. В общем, это пока явный фаворит фишингостроения.

    Gmail — рабочие моменты

    Способ сомнительный для рядовых пользователей, письмо с какой-то заявкой или реквизитами:

    [​IMG]

    [​IMG]

    Ссылка редиректит на домен account-google.ru.com/ServicesLogin/files/?account=privethabr&?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/&ss=1&scc=1<mpl=default<mplcache=2&emr=1

    [​IMG]

    Первая форма, на которой стоит новый логотип.
     
    • Мне нравится Мне нравится x 5
  4. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.183
    Симпатии:
    11.096
    Пол:
    Мужской
    Репа:
    +11.244 / 47 / -6
    Jabber:
    Skype:
    Вторая часть статьи.Из-за большого количества изображений не уместилось в один пост.
    Mail.ru — рабочие моменты

    Похож на способ указанный выше, прислали какие-то документы, вариаций может быть довольно много:

    [​IMG]

    [​IMG]

    [​IMG]

    Клик по ссылке и пользователю предлагают ввести пароль. Т.к. логин уже подставлен — большинство рядовых пользователей введет свой пароль «на автомате»:

    [​IMG]

    Mail.ru — сообщение не доставлено

    Вам не пришло важное письмо, но наш сервис уведомил Вас об этом, включая какие-то непонятные заголовки сообщения для пущей достоверности:

    [​IMG]

    А там уже знакомая нам форма:

    [​IMG]

    Mail.ru — увеличить объем ящика

    Еще один лидер моего хит-парада правдоподобности:

    [​IMG]

    При переходе попадаем на форму увеличения объема ящика:

    [​IMG]

    Еще один тип такого письма:

    [​IMG]

    По ссылке видим форму:

    [​IMG]

    Похож на способ указанный выше, но фишинговый домен уже не работает:

    [​IMG]

    Ссылка не работает: cew-mail.ru/mailcapacity/index.php?email=privethabr@mail.ru&fail=0&GPXZJmV5cWVzEuccGRmyPXZWVzc2FnZScPXZJmV5cEyMTQ0MDAwuccWVzGRmyWVzPXZGRmyPXZWVzc2FnZS8xMzY0MTEMDAwMWVzDU4NS8

    Mail.ru — уведомление о безопасности

    Вашу почту кто-то взломал, срочно бегите менять пароль:

    [​IMG]

    Фишинговая ссылка редиректит на pechatay-prosto.ru/js/?Login=privethabr@mail.ru (уже не работает).

    Yandex — уведомление о безопасности

    Не подтвердите аккаунт — заблокируем почту:

    [​IMG]

    По ссылке форма, с уже подставленным именем учетной записи:

    [​IMG]

    Yandex — реактивация почтового ящика

    Опять необходимо выполнить какие-то действия:

    [​IMG]

    Добавлено много «правдоподобных» деталей:

    [​IMG]

    Рассылка вредоносных файлов/криптолокеров

    Пользуясь текущей экономической обстановкой и страхами людей злоумышленники рассылают письма, имитирующие уведомления от платежных систем и органов судебной или исполнительной власти:

    Письмо, содержащее инструкции для «подтверждения» доменного имени от Роскомнадзора (на самом деле пользователь установит на свой сайт шелл):

    [​IMG]

    Письмо из арбитражного суда, содержащее ссылку на криптолокер:

    [​IMG]

    Письмо из Сбербанка о выданном кредите (со ссылкой на криптолокер):
    [​IMG]

    Правила безопасности

    1. Письмо, побуждающее Вас к каким-то немедленным действиям должно Вас насторожить: проверьте от кого оно пришло, домен и ссылку. Если сомневаетесь — спросите специалистов.
    2. Если Вам что-то навязывают или присылают то, к чему Вы не имеете отношения — лучше удалить это письмо.
    3. Не переходите по подозрительным ссылкам в письме, даже если они пришли в сообщениях от ваших знакомых или с каких-то официальных адресов.
    4. Письма от судебных инстанций или органов: не поленитесь, найдите телефон этого ведомства и позвоните. Просто так никто судебные решения или уведомления о просроченных кредитах не высылает. Да и в 99% случаев Вы получите уведомление по обычной почте.
    5. Используйте двухфакторную авторизацию: большинство почтовых сервисов в настоящее время поддерживает эту технологию.

    Эта статья посвящена атаке на рядовых пользователей, в следующей статье я расскажу о фишинговых и социотехнических атаках на корпоративный сектор.
     
    • Мне нравится Мне нравится x 5
  5. Антоха Администратор
    Антоха
    Ответить в чате

    Администрация

    Регистрация:
    26.12.2012
    Сообщения:
    3.183
    Симпатии:
    11.096
    Пол:
    Мужской
    Репа:
    +11.244 / 47 / -6
    Jabber:
    Skype:
    Вчера пересматривал Хакер и наткнулся на интересную статью о концептуальном эксплойте HTML5 Fullscreen API.Для ротозеев покатит..

    Студент из Стэнфордского университета, независимый исследователь в области информационной безопасности и веб-дизайнер Феросс Абухадижи (Feross Aboukhadijeh) создал великолепную демонстрацию, как можно осуществить фишинговую атаку за счёт эксплойта HTML5 Fullscreen API. Демо-страница, скриншоты с отрисованным интерфейсом разных браузеров можно посмотреть здесь, код демки на github.

    Суть в том, что HTML5 Fullscreen API позволяет инициировать принудительный переход браузера в полноэкранный режим. Таким образом, вредоносный фишинговый сайт может переключить браузер в полноэкранный режим и отрисовать в верхней части сайта интерфейс браузера пользователя с произвольным URL, со значком защищённого соединения. Средства HTML5 позволяют даже использовать эту картинку как настоящую адресную строку, реагировать на наведение курсора мыши, вводить адрес, нажимать кнопки и т.д.

    По консервативной оценке автора, 10% пользователей не обратят внимание на сообщение о том, что браузер перешёл в полноэкранный режим и на изменения в интерфейсе, такие как пропавшие закладки, пользовательские меню и другие нестандартные настраиваемые элементы UI. Однако, у многих пользователей отсутствуют какие-либо уникальные элементы UI. Они пользуются стандартным интерфейсом.

    Для многих пользователей переход браузера в полноэкранный режим не является признаком опасности: они привыкли к такому поведению браузера на Facebook и Youtube, поэтому могут не обратить внимание на соответствующее предупреждение. Оценку в 10% можно назвать весьма консервативной, и количество невнимательных пользователей гораздо больше 10%, так что эффективность подобной атаки может оказаться весьма высокой.

    Кстати, в 2004 году похожая уязвимость с возможностью создания полноэкранных всплывающих окон через window.createPopup() была исправлена в браузере IE.
    Видео, демонстрирующее слепоту пользователей к небольшим изменениям визуального фона (психологический эффект change blindness).
     
    • Мне нравится Мне нравится x 1

Поделиться этой страницей