Comments 85
Надо было сначала посмотреть на наличие уязвимостей и по возможности удалить им БД, было бы веселее.
open-case.win/phpmyadmin
Я не претендую на полный охват конечно, но все порталы, что видел (и принимал участие в разработке) — это «хорошо, если за пол-года работы управились»…
Возможно меня сейчас заминусят, либо не пропустят коммент, но надеюсь что нет. Сам кручусь в этой теме, могу немного расширенно объяснить принцип действия такого фиша:
1 вариант:
Самый тупой и непрофитный, школьник скачивает кривой фейк, настраивает тупенькую бд и заливает все на бесплатный/дешёвый хост обычно с доменом 3 уровня.
2: Человек скачивает красивый фиш / делает сам / заказывает. Покупает домен на левые данные, заливает на абузоустойчивый хост.
3: Создаётся большая партнёрская сеть, предоставляющая свои рабочие сайты по разным тематическим шаблонам. 100% абузоустойчивые хостинги, линки либо постоянно меняются, либо перманентный (что кстати не мешает одной ПП работать уже почти год).
Затраты и профиты:
1: ~0-200 => ~ до 10к месяц
2: ~500-10000 => максимум видел 3,6к в день
3: ~40-60к на запуск, профит админа — ~60-90к, участники — по разному (зависит от типа ПП)
Это только если продавать добытые аккаунты, а ведь существует ещё масса возможностей)
Пишите с вопросами, мб где-то неправильно сформулировал, либо недосказал. По поводу профита все индивидуально, но реально
Где-то была статистика, что 10-20% людей используют пароли вида 123456 или Qwerty12345. Тут и обманывать не нужно, достаточно загуглить «База распространенных паролей» и просто подобрать.
<img src="картинка с малышевой и надписью это не норма.джпг" alt="не норма" >
По-моему это всё же норма. Просто вы привыкли общаться с людьма вашего круга, где все люди более-менее компетентны. Но за пределами этого круга есть множество людей, которые называют системный блок "процессором" и считают, что файлы на рабочем столе потеряются, если поменять монитор. И это зависит не от возраста, а от того, нужно ли это человеку на самом деле или нет. Для того, чтобы зайти вконтактик и пообщаться с друзьями много знать не требуется. А по поводу молодёжи, сейчас наблюдается тенденция, когда у людей нет компьютера вообще (ни настольного, ни ноутбука), их потребности пообщаться, посмотреть фильмы и картинки полностью покрывает смартфон/планшет.
В это время где-нибудь на аналогичном ресурсе, но для врачей, пользователи сокрушаются: "как так, люди лечатся гомеопатией, а не идут к специалисту, я понимаю, вот компьютеры не всем нужны, но это же их здоровье и организм...", на ресурсе автофанатов тоже бывают такие разговоры, мол, я понимаю, что водить машину будут не все, но ПДД-то знать надо. Конечно надо, только большинству людей это безразлично.
25 лет, совсем не старшее поколение
и об этом написали в новостях только потому, что совершенно запредельная тупость (кстати, зачем ему нужен был кредит, если у него и так были деньги?)
десятки тысяч таких случаев проходят незамеченными
люди вообще en masse
Зачем создавать такие посты? Подкинуть идею молодым хуцкерам? Фишинг был и будет существовать, и лучшее средство от его распространении, не публиковать информацию о нем в публичном доступе .
Если её не видеть, то проблемы нет
Кулхацкеры будут всегда, ведь есть низкая грамотность населения в вопросах компьютерной безопасности. Да банально у каждого второго на странице вконтакте/инстаграмме личных данных больше чем у школьного психолога.
По поводу освещения, нужно показывать больше примеров, каким образом могут вас взломать, чтобы потом не было очередного
Классно придумано! Отличное решение проблемы. Если об этом не говорить, то это перестанет существовать. Ведь "молодые хуцкеры" нигде не смогут узнать о фишинге помимо хабра. И уж тем более никак не смогут догадаться до такой сверх-сложной схемы самостоятельно.
Депутат госдумы на хабре?
Я тоже не понимаю, зачем этот пост. Тут все как в словаре Даля по слову фишинг. В чем интерес?
Мне вот тоже непонятно, за что вас заминусовали?
Я интернет подключил в 2007 году и прекрасно помню фишинговые приемы того времени, которые ничем не отличались от вышеописанных.
Грубо говоря, суть статьи — "в контакте есть группа со ссылкой на фишинговый сайт".
В чем новость? Может какая-то ранее невиданная техника?
Или вариант двух учеток, какой-нибудь root и user, и чтоб смена пароля и собственных данных была только из root.
Оно понятно, что подросткам пофиг. И пенсионерам не понять. Но это только сейчас, когда-то же нужно приучать, и со временем многое наладилось бы. Это очень серьёзная проблема в современном мире и её нужно начинать решать.
Аутентификация для работы/банков у меня везде двухфакторная. Но заниматься этим, чтобы написать, например, этот комментарий??? Это того не стоит.
Так что надо или как-то соц. сетям отслеживать атаки, чтобы минимизировать ущерб (хотя бы). Ну, или придумать одновременно удобную и надежную систему аутентификации (что, как известно, нонсенс).
Странно только, почему она не установлена по стандарту, ведь для регистрации телефон обязателен.
На всех опасных к потере пароля сайтах у меня сложные разные пароли, а все остальные сайты — хоть огнём пусть горят, просто создам новый аккаунт, или восстановлю старый
А плюсов даст как минимум 3
Я и сейчас не парюсь по паролям (совсем), у меня есть автоввод паролей и сгенерировать пароль мне тоже несложно. А вот с keepass я бы поспорил:
не паришься по паролям (от слова совсем)
— В любых случаях, когда ты хочешь зайти в свой запароленный keepassом аккаунт не со своего устройства, ты вынужден страдать.
— Сама идея хранить все мои сервисы под одним паролем (мастер паролем хранилки) меня несколько пугает. Пролюбить сразу всё для меня гораздо хуже, чем пролюбить только один сервис
Я не спорю, keepass действительно кому-то подходит, но это далеко не панацея.
Там защита «как в пентагоне»… у меня она двухфакторная: пароль + мастер-файл.
Так что да, беря во внимание, что вы назвали сабж «онлайн-хранилкой», вы его и не знаете толком (а зря — самый-самый из всех).
пользуюсь кипасом на компьютере и телефоне, не страдаю — длинный пароль и мастер-файл под видом документа в google drive, база там же
Зачем запоминать, если можно записать?
У меня тоже сотни сайтов, на которых я зарегистрирован, но я от них не то что пароль, я от них ни логина ни мэйла не помню, и фиг бы с ними.
Пожалуйста не надо ни кого принуждать. Меня устраивает мой рандомный пароль из 20 символов.
не предлагать менять пароли каждые z месяцев?
И сильно ли это поможет против конкретного примера фишинга? Я сомневаюсь, что человек, активно использующий аккаунт, более z месяцев (если z натуральное число, конечно) будет не замечать, как хозяйничают его аккаунтом. А тот, кто забросил аккаунт, и давно потерял пароль от почты, на которую регался, не увидит и того, что теперь кто-то другой меняет за него пароль
Я таски заводил в их багтрекере раз за разом, требуя отменить этот бред. В конце концов со мной накинулась армия программистов и мы «проштурмовали» их руководство. Мудака того «ушли» судя по всему. А время жизни сессии ощутимо расширили обратно.
Как это бесило — аж не передать!
Странно что вы этого всё ещё не поняли.
habr.com/post/396733
1) Человек придумывает новые пароли и рано или поздно пароль забывает
2) Человек дополняет свой основной пароль цифрами месяца, например. Формально пароль другой, а фактически — нет.
Всё жду, когда авторизация по сертификатам станет мэйнстримом.
Не интересно. Вряд-ли кто-то будет вводить данные зная, что он был авторизован несколько секунд назад. Тем более, что многие используют сохраненные пароли в браузере.
Вы недооцениваете жадность. Стикеры вот они, рукой подать.
Например, при использовании бонусов в популярном магазине электроники(не будем называть имен) вас попросят подтвердить списание повторным вводом пароля.
В данном случае просьаб залогиниться повторно просто большинством воспринимается как «подтвердите доступ к аккаунту».
Люди могут переносить опыт с мобильных приложений. Обычно когда приложение поддерживает вход через VK, оно отображает WebView со страницей авторизации, даже если пользователь залогинен в приложении VK. Это справедливо и для других соцсетей (хотя вход через Google и Facebook часто делают с использованием соответствующих API, если они доступны).
Я сам избегаю приложений, где нет входа через API или регистрируюсь через email, ведь узнать, что за страница открыта в WebView невозможно, но многие не заморачиваются.
Пароль менять естественно не стал, так как его не засвечивал на левом сайте, но минут ещё через 20 вк заставил меня сменить пароль и подтвердить смену пароля по смс для продолжения пользования соцсетью.
В некоторых случаях такая забота о пользователях удобна, но для опытных юзеров — нет, ибо пароль пришлось-таки менять, а значит, заново вбивать этот самый пароль на всех остальных устройствах, где был авторизован.
Славный пост, мне было интересно узнать, как все может быть незатейливо устроено и при этом успешно работать. Только одно небольшое замечание все же выскажу — не касающееся сути описанной аферы и замечательного факта, что вы ее раскрыли, прикрыли и других этому научили.
Боюсь, что в обороте "люди, относящиеся к вопросу своей безопасности лояльно" неправильно употреблено слово "лояльно" (видимо, должно быть "беспечно" или "небрежно"). Уж не знаю, вы так перефразировали или покойник Мавроди (приятно это два слова рядом написать) так в свое время и сказал, но отметить неудачное словоупотребление я вынужден.
Текст был, кстати, 1 в 1 как у вас, только тематика «Подозрительная сова 2х2», в ссылках была на 2х2 оф. группу.
ВК халява или обмен пароля на стикеры