Pull to refresh

Comments 19

Да уж, сменить IP адрес нужного сервера — самый простой способ перехватить пароли…
И не обязательно снифить весь трафик…

А еще можно эмулировать ответы DNS сервера… :-)
UFO just landed and posted this here
Это-то как раз элементарно, обычный HTTP прокси на 80-м порту :-)
На «сменненом» IP достаточно поднять прокси, который бы выборочно логировал введённые жертвой данные, например логины с паролями, номера кредиток и т.п…
Можно и так. Но выгоднее продавать услугу перенаправления пользователей такого своеобразного «ботнета» на заданные фишинговые сервера. Сегодня оплатили одни — перенаправление на одних, завтра другие — значит на них будет осуществлять перенаправление. Бизнес, так сказать.
Если не работать от админского аккаунта — то по идее эти действия трояны не смогут совершать (под обычным юзером)
Если в сети есть ложный DHCP-сервер, то не имеет никакого значения под какой учетной записью работать. В общем-то, не требуется даже наличие вредоносной программы на этом компьютере. Действующий в сети DNSChanger может подбросить ложные данные о DNS-серверах и все:) Подробнее про это описано в разделе «Регистрация ложного DHCP-сервера» полной версии статьи: av-school.ru/article/a-107.html
Ложные DHCP-сервера детектятся

en.wikipedia.org/wiki/Rogue_DHCP

Rogue DHCP servers can be detected using:

* dhcp_probe (UNIX)
* dhcploc.exe (Win32) in ResourceKit
* Roadkil's DHCP Find (Win32)
* DHCP Sentry (Win32) – DHCP Sentry tool
* Scapy (Python)
* Rogue detect (Perl)
HKLM\System\ControlSet001\Services\tcpip\parameters
Лучше не ControlSet001, а CurrentControlSet, потому что ещё неизвестно, первый ли профиль используется системой на данный момент.
Хотя нет, лучше проверить сразу уж все профили ControlSetN.
Точно! Обновил текст. Спасибо!
UFO just landed and posted this here
UFO just landed and posted this here
Ха-ха-ха. Соглашусь на 100%. Меня буквально на днях спрашивали, неужели есть такие пользователи. Не просто есть, а много :) Впрочем, фарминг — атака скрытная, а поддельные странички настолько точно имитируют настоящие, что без спецсредств увидеть подмену имхо и не получится…
вот пару часов назад заметил в хроме:



конечно попасть на такую удочку сложно, т.к. хром отправляет на страницу поиска а не на свой «я счастливчик», да и хром пока не браузер «по умолчанию».
Самое прикольное, что в нашей полной статье есть головоломка, которая очень близко связана с вашим скриншотом, он мог бы быть отправной точкой для решения :)
В некоторых антивирусах уже добавлена проверка на изменение файла HOSTS. Думаю, что и вышеописанные проверки добавят. По крайней мере, стоит им задуматься о добавлении данной возможности, так как это их прерогатива. Спасибо за обзор.
ну незнаю… незнаюю…

пойду-ка обновлю свою кубунту :)
Sign up to leave a comment.

Articles