Комментарии 65
Как детей развели…
Настоящий хакер должен хорошо ориентироваться во времени, должны присутствовать часы аналоговые и цифровые с указанием текущего года, что бы не потеряться во времени =)
В свое время в mail.ru можно было позвонить, поплакаться, что пасс забыл, они тебе меняли ;)
Почитайте Митника, «Искусство вторжения», много интересных примеров и техник.
Почитайте Митника, «Искусство вторжения», много интересных примеров и техник.
Да хорошая книжка. Особенно интересно описаны способы непосредственно физического проникновения в защищенные помещения (не силой, но мозгом)
НЛО прилетело и опубликовало эту надпись здесь
Да, были времена, в «хакере» не раз писали )
Еще у Митника есть книга «Искусство обмана» — не менее интересное чтиво ) читал в бумаге, есть в электронном виде.
Так же советую к прочтению «Социальная инженерия и социальные хакеры» от Кузнецова М. — ужасно интересно, с примерами, читается без отрыва )
Еще у Митника есть книга «Искусство обмана» — не менее интересное чтиво ) читал в бумаге, есть в электронном виде.
Так же советую к прочтению «Социальная инженерия и социальные хакеры» от Кузнецова М. — ужасно интересно, с примерами, читается без отрыва )
Молодцы!
Это не СИ, а признак полной некомпетентности персонала.
И по хорошему надо бы меры принять.
И по хорошему надо бы меры принять.
Люлей персоналу, и занести как табу для всех сотрудников — вот и вся недолга. Вопрос только в том, сколько сайтов уже имеют «левые» контрольные ящики… Что теперь, всем хостящимся самопроверяться?
А проблемы довольно просто избежать — надо попросить прислать подтверждение со всей перепиской…
злоумышленник не узнает, что надо подтвердить…
злоумышленник не узнает, что надо подтвердить…
не знал, что такое прокатывает, я думал все уже умеют такое видеть
Они явно не ожидали такого подвоха, теперь будут подозрительней =)
Все такие изменения должны проводиться только после авторизованной заявке, например, из панели управления. Очень странно, что поддержка в mchost на таком уровне…
Я работаю в техподдержке.
Если я получаю запрос о смене пароля, я меняю его на случайный и отправляю по контактному адресу из cpanel.
Если же клиент посеял почту, связываемся через платежные системы, через которые был произведен платеж.
Если я получаю запрос о смене пароля, я меняю его на случайный и отправляю по контактному адресу из cpanel.
Если же клиент посеял почту, связываемся через платежные системы, через которые был произведен платеж.
Я тоже работаю в техподдержке. Если просят сменить пароль, то отправляю использовать систему восстановления пароля. Если у клиента есть доступ к контактному мылу, то сможет сменить пароль. Если нет, то на основании заявления с копией паспорта и тд меняет мыло, а далее п.1
По Вашей системе над клиентом могут глумиться хоть каждый день и ему каждый день будут приходить новые пароли. Имхо не очень удобно.
По Вашей системе над клиентом могут глумиться хоть каждый день и ему каждый день будут приходить новые пароли. Имхо не очень удобно.
да это наверно Hosting.UA рекламируется
В своё время несколько раз обращался с просьбой о смене пароля, когда хостился у spaceweb. Оба раза (с разницей в месяца 3) мне устанавали пароль «12345», выслав его на контрольный ящик.
Запрос делал по аське.
Запрос делал по аське.
какой у вас ник интересный ))))
вы наверное недопонимаете у них генерируется случайный пароль из 5 цифр. и вам попался уникальный 1/100000 случай получить пароль 12345. два раза.
Я лишь хотел обратить внимание именно на этот курьёз генератора случайных чисел! :)
вы три нолика пропустили
10^5 же, а два раза тогда (10^5)^2 = 10^10
вобще то 10^4 :)
вы ведь шутите, правда?
это называется размещения с повторениями
n^m
элементов у нас 10: {0, 1, 2, 3, 4, 5, 6, 7, 8, 9}. количество позиций 5 — число-то пятизначное «12345»
это называется размещения с повторениями
n^m
элементов у нас 10: {0, 1, 2, 3, 4, 5, 6, 7, 8, 9}. количество позиций 5 — число-то пятизначное «12345»
Добрый день всех читателям habrahabr.ru!
Человек, который написал о данной ситуации отзыв не знает всех нюансов ситуации. Я являюсь сотрудником компании McHost.Ru и лично занимался данным вопросом, для тех кому интересно объясню как всё это произошло.
От псевдоклиента пришел запрос на добавление дополнительного ящика, запрос был с нерегистрационного ящика, по этому попросили его сделать запрос с регистрационного. Псевдоклиент прислал запрос с регистрационного ящика аккаунта на добавление дополнительного ящика и восстановления пароля к аккаунту (замечу, что псевдоклиент указал все домены, которые должны были размещены на аккаунте). Мы согласно регламента добавили клиенту дополнительный ящик и отправили на регистрационный ящик пароль. Через минут 15-30 нам написал реальный владелец аккаунта и сообщил о том, что получил пароль, хоть и не просил об этом, и сообщил, что давно хотели увести у него аккаунт и уводили даже почтовый ящик.
Вся сложность ситуации была в том, что реальным клиентом не были указаны реальные регистрационные данные аккаунта и было очень тяжело увидеть что запрос липовый, если бы они были, то у псевдоклиента попросили бы указать их или прислать скан паспорта.
Данная ситуация была решена оперативно нами и мы можем гарантировать, что такое не может повторится больше.
В данной ситуации сайт клиента не был взломан, как написал автор данной статьи и клиент и дальше размещает у нас свои проекты.
Какие итоги и советы? Всегда указывать свои реальные данные в регистрационной информации аккаунтов, тогда никогда не возникнут такие проблемы. Хочу подчеркнуть, что данная ситуация не правило, а редкое исключение, такое случается практически у всех хостинг компаниях.
Компания McHost недавно ввела жесткие правила относительно смены регистрационных данных аккаунтов, как раз что бы не повторялись такого рода ситуации и минимизировать возможность кражи аккаунта.
Спасибо всем за внимание, будем рады видеть вас в числе наших клиентов.
С уважением,
Специалист технической поддержки компании McHost.Ru
Михаил Озорович
Человек, который написал о данной ситуации отзыв не знает всех нюансов ситуации. Я являюсь сотрудником компании McHost.Ru и лично занимался данным вопросом, для тех кому интересно объясню как всё это произошло.
От псевдоклиента пришел запрос на добавление дополнительного ящика, запрос был с нерегистрационного ящика, по этому попросили его сделать запрос с регистрационного. Псевдоклиент прислал запрос с регистрационного ящика аккаунта на добавление дополнительного ящика и восстановления пароля к аккаунту (замечу, что псевдоклиент указал все домены, которые должны были размещены на аккаунте). Мы согласно регламента добавили клиенту дополнительный ящик и отправили на регистрационный ящик пароль. Через минут 15-30 нам написал реальный владелец аккаунта и сообщил о том, что получил пароль, хоть и не просил об этом, и сообщил, что давно хотели увести у него аккаунт и уводили даже почтовый ящик.
Вся сложность ситуации была в том, что реальным клиентом не были указаны реальные регистрационные данные аккаунта и было очень тяжело увидеть что запрос липовый, если бы они были, то у псевдоклиента попросили бы указать их или прислать скан паспорта.
Данная ситуация была решена оперативно нами и мы можем гарантировать, что такое не может повторится больше.
В данной ситуации сайт клиента не был взломан, как написал автор данной статьи и клиент и дальше размещает у нас свои проекты.
Какие итоги и советы? Всегда указывать свои реальные данные в регистрационной информации аккаунтов, тогда никогда не возникнут такие проблемы. Хочу подчеркнуть, что данная ситуация не правило, а редкое исключение, такое случается практически у всех хостинг компаниях.
Компания McHost недавно ввела жесткие правила относительно смены регистрационных данных аккаунтов, как раз что бы не повторялись такого рода ситуации и минимизировать возможность кражи аккаунта.
Спасибо всем за внимание, будем рады видеть вас в числе наших клиентов.
С уважением,
Специалист технической поддержки компании McHost.Ru
Михаил Озорович
«Вся сложность ситуации была в том, что реальным клиентом не были указаны реальные регистрационные данные аккаунта и было очень тяжело увидеть что запрос липовый, если бы они были, то у псевдоклиента попросили бы указать их или прислать скан паспорта.»
какие именно данные были липовые?
ящик то у него был не липовый, верно?
какие именно данные были липовые?
ящик то у него был не липовый, верно?
а хидер письма вы никогда не смотрите?
для тех кто не понял объясняю — письмо с mail.ru с обратным ящиком на gmail.com как минимум подозрительно
Вообще, на хидеры можно и не смотреть. Они ничего однозначно не доказывают.
И что, даже гугловую DKIM-подпись проверить нельзя?
«Псевдоклиент прислал запрос с регистрационного ящика аккаунта на добавление дополнительного ящика и восстановления пароля к аккаунту»
Судя по тексту топика, пользуясь вашей терминологией, отправка была произведена с «нерегистрационного» ящика, т.к. у него было всего лишь подделано поле «From». Это и следовало проверить.
Судя по тексту топика, пользуясь вашей терминологией, отправка была произведена с «нерегистрационного» ящика, т.к. у него было всего лишь подделано поле «From». Это и следовало проверить.
НЛО прилетело и опубликовало эту надпись здесь
Мы говорим о безопасности?
1) Отсылайте письмо со своего личного домена.
2) Не пользуйтесь «большинством публичных почтовых серверов».
1) Отсылайте письмо со своего личного домена.
2) Не пользуйтесь «большинством публичных почтовых серверов».
> и ни в каком поле письма не будет видно, что письмо не от владельца этого почтового адреса
Если внимательно посмотреть, то видно.
В любом учреждении, озабоченном своей безопасностью, на письмо, пришедшее не с указанного в поле from адреса, автоматически вешается «красный флаг», например в поле from появляется что-то вроде «ssneg@fakeserver.com on behalf of ssneg@server.com».
Если внимательно посмотреть, то видно.
В любом учреждении, озабоченном своей безопасностью, на письмо, пришедшее не с указанного в поле from адреса, автоматически вешается «красный флаг», например в поле from появляется что-то вроде «ssneg@fakeserver.com on behalf of ssneg@server.com».
Спасибо за раскрытие нюансов, обновил пост.
> Данная ситуация была решена оперативно нами и мы можем гарантировать, что такое не может повторится больше.
а если бы это был крупный интернет-магазин с базой данных кучи кредитных карт и слили бы эту базу. то как бы вы тогда оперативно решили ситуацию, если хозяева узнали о произошедшем лишь через 15-30 минут?! за это время база была бы уже слита…
и что было бы тогда?!
а если бы это был крупный интернет-магазин с базой данных кучи кредитных карт и слили бы эту базу. то как бы вы тогда оперативно решили ситуацию, если хозяева узнали о произошедшем лишь через 15-30 минут?! за это время база была бы уже слита…
и что было бы тогда?!
>Псевдоклиент прислал запрос с регистрационного ящика аккаунта
это достоверно известно? выше уже описали варианты, потому интересно действительно ли письмо было отправлено с настоящего ящика или это была подделка
это достоверно известно? выше уже описали варианты, потому интересно действительно ли письмо было отправлено с настоящего ящика или это была подделка
Обычный такой скан паспорта
Если для увода проекта у владельца, атакующий имеет бюджет больше 500 рублей, то купить базу паспортов или посмотреть в онлайн базе и с минимальными навыками фотошопа можно сотворить вам скан любого качества.
Просить скан паспорта через интернет — это бредить наяву.
Пример: у меня зарегистрирован домен, на мой паспорт. Зная мои имя, фамилию и город, через радарикс(ныне покойный) можно найти паспортные данные. Я смотрел — они верные на 100%(по крайне мере в моем случае). Далее редактируем скан любого паспорта и все.
Просить скан паспорта через интернет — это бредить наяву.
Пример: у меня зарегистрирован домен, на мой паспорт. Зная мои имя, фамилию и город, через радарикс(ныне покойный) можно найти паспортные данные. Я смотрел — они верные на 100%(по крайне мере в моем случае). Далее редактируем скан любого паспорта и все.
Первое что надо всегда делать при получении важного письма, это смотреть в хедеры, %username%
Обычная классическая социальная инженерия. Ничего нового.
Очень банально развели Mchost, да и вообще хостинг у них не ахти какой
Первый матч
СИ vs McHost — 1: 0
СИ vs McHost — 1: 0
второй матч будит ?)
Отсюда только один вывод: не светить контрольный ящик, и не использовать ящики типа имя_домена@популярный_почтовый_сервер. Изначально там в информации о домене ящик закрыт регистратором r01, не знаю уж что «хакер» с ним пытался поймать :) А дальше ему повезло. Хотя, есть информация, что ящик был засвечен на самом сайте.
реальный совет не хостица у них, если такое случилось один раз можете быть уверены — повторица ещё
Внятные хостеры (тот же РТКомм) для доступа требуют указывать секретную фразу, которая вписывается в бумажку и отдается им под подпись. И все. Не знаешь фразы — свободен.
Авторизация только по e-mail — верх идиотизма.
Авторизация только по e-mail — верх идиотизма.
Афтар, пеши исчо! (про СИ)
И хорошо бы уже не про глупеньких хостеров всяких бесполезных веб-сайтов, а что-нибудь позабористей… :)
И хорошо бы уже не про глупеньких хостеров всяких бесполезных веб-сайтов, а что-нибудь позабористей… :)
Как насчёт применения цифровых подписей писем (PGP / GPG)?
Как я считаю, система тикетов на данный момент является очень серьезной преградой в получении доступа к какой либо секретной информации.
Скан паспорта можно и подделать, а вот если на контрольный ящик вышлют письмо вида:
Username: ***@gmail.com
Password: ***
Login URL: https://support.сайт.ru/support/login.jsp
То злоумышленнику куда сложнее будет ворваться к вам на сайт.
И не в коем случае нельзя выдавать контрольный ящик, если он не стоит в whois.
Но многие забивают на это дело.
Скан паспорта можно и подделать, а вот если на контрольный ящик вышлют письмо вида:
Username: ***@gmail.com
Password: ***
Login URL: https://support.сайт.ru/support/login.jsp
То злоумышленнику куда сложнее будет ворваться к вам на сайт.
И не в коем случае нельзя выдавать контрольный ящик, если он не стоит в whois.
Но многие забивают на это дело.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Социальная инженерия vs mchost.ru