С такой логикой спам-фильтры, детектирующие подмену отправителя, в почте не нужны, ведь можно же открыть исходник письма, и проверить самостоятельно все) А то что люди не смогут, так и проблемы? Тут вы предлагаете тоже самое, не защищать людей, а пусть сами! Ведь для защиты надо включить отображение целого окна, которое уже есть, слишком сложно)
oAuth это про аутентификацию и авторизацию, тут же механизм совершенно иной,данные передаются вместе с созданием диалога бот-клиент, для собственно того чтоб бот мог банально ответить. С oAuth ничего общего
Поэтому помогать им заметить, что что-то не так не надо? Снижать процент перехода по фишинговым ссылкам не стоит? Вся индустрия противодействия фишингу и Security Awareness должны вас послушать и сдаться?)
Ссылка ведет не туда, окно с уведомлением позволяет это легко увидеть и заметить. Речь не про параметры.
Не с параметрами, а с ссылкой по которой действительно переходит пользователь, а не отображаемой. Речь не про параметры, см п. 1.
Ну тогда в целом не стоит делать механизмы защиты пользователей в браузере/приложении, и сказать всем "добро пожаловать в интернет". Мне концепция "дикого запада" не нравится, увы.
В фишинговых ботах такого уведомления не будет, если это на стороне самих ботов. Погодите, неужели вы предлагаете информировать пользователей о получении ботом данных аккаунта? А как же ваша концепция "Добро пожаловать в Интернет"? Это же противоречит пункту 3.
Так наличие такого же уведомления на внутренние форматированные ссылки решает проблему!) Какую бы функцию в голове разработчиков оно не выполняло, по факту оно и поможет в борьбе с фишингом в ТГ.
Такое ощущение, что запоминается только концовка статьи) Речь про скрытые перенаправления пользователей внутри ТГ, да еще и с параметрами.
Деанонимизация в ТГ с помощью фишинга - это не плохо, ок. Вопросов больше не имею!)
С чего вы решили что это сделано не для безопасности? Ссылку внутреннюю же показывает, а мог просто написать "вы хотите перейти во вне". Как оспорите? (1-1)
Да отстаньте вы от TGStat это лишь пример удачный) И да, бОльшая часть проблем у них. Но это пример, они точно не одни и мессенджер не должен помогать эксплуатировать подобное!
Наличие скрытого параметра в запросе, позволяет сделать отличную деанонимизацию что я и описал в статье. Без него отделить случайные переходы или переходы из разных источников было бы невозможно.
TGstat - частный пример, объединяющий обе эти фичи. Их баги - их дело, там и сессии не отображаются, не возможности их завершить и проч.
Телеграм понимает риски ссылок в мессенжерах, т.к. это не браузер. И проверить "а куда я попал" посложнее, поэтому и есть окно предупреждение на внешние ссылки, с него я и начал.
Но видимо Телеграм недооценивает возможности фишинга внутри мессенжера. Про это и статья, а не про угон аккаунта TGstat.
Сравнение домена в теге <a> и в параметре href - одна из проверок спам фильтров почты, именно с такими целями.
Москва, Санкт-Петербург. Все эти проблемы из многолетнего опыта работы в ИБ и Исполнителем, и со стороны Заказчика. Какие-то Заказчики пытались их решать, и у некоторых даже получалось, но общая тенденция такова.
Если на долю посредников лишь придется малая часть рынка, то это гораздо лучше того, что существует сейчас. А о монополии речи даже и не шло, она недостижима и порочна.
Наличие гарантий - красной линией проходит через все повествование, так что выносить эти общие слова в таблицу посчитал уже излишним. Без реальных гарантий, а не на уровне лишь строчек договора - никак.
Не тот хэш смотрите.
Поле «uid» — md5(номер телефона).
Причем БЕЗ соли.
Соответственно загоняете в онлайн радужную таблицу, например — www.md5online.org
И вуаля телефон ваш, задача усложнилась на посещение одного сайта.
Проверил на нескольких юзерах и своем телефоне.
В этот момент писал уточнение, которое опубликовал ниже.
Это далеко не все точки отказа, поэтому судить о защищенности терминала и о критичности возможных с ним манипуляций через экран, точно нельзя на основе статьи.
В алгоритме представленном в выводах вижу тысячу и одну точку отказа от:
Доступ разрешен только к определенным сайтам.
Нет прав на запуск исполняемых файлов, кроме разрешенных в белом списке.
До:
IPD/IPS обнаружат подключение и заблокируют.
Антивирус настроен на блокировку ПО для удаленного доступа.
Даже не понятно с какими именно мы сейчас правами, домена судя по всему нет и какие сетевые доступы у этой машины тоже не ясно.
Из вашего исследования можно сделать только один вывод, они не позаботились о том, чтобы надежно заблокировать нелигитимные действия на терминале.
Остальное — лишь домыслы, пока не провели тестирование на проникновение терминала по модели «посетитель».
Ах и тут «пасхалка», надо же!
Для этого эта статья и была написана, пообщаться о названиях вирусов и поделиться мнениями, знаниями, спасибо за информацию!
https://rg.ru/2023/11/22/reg-urfo/razgovor-s-neizvestnymi.htm
https://rutube.ru/video/be0f7ccaf22616b857df053f54179ecb/ и далее ушло в СМИ
"Сделайте что-то для подтверждения своей личности или входа"
Оно самое
С такой логикой спам-фильтры, детектирующие подмену отправителя, в почте не нужны, ведь можно же открыть исходник письма, и проверить самостоятельно все)
А то что люди не смогут, так и проблемы? Тут вы предлагаете тоже самое, не защищать людей, а пусть сами!
Ведь для защиты надо включить отображение целого окна, которое уже есть, слишком сложно)
oAuth это про аутентификацию и авторизацию, тут же механизм совершенно иной,данные передаются вместе с созданием диалога бот-клиент, для собственно того чтоб бот мог банально ответить. С oAuth ничего общего
Поэтому помогать им заметить, что что-то не так не надо? Снижать процент перехода по фишинговым ссылкам не стоит?
Вся индустрия противодействия фишингу и Security Awareness должны вас послушать и сдаться?)
Ссылка ведет не туда, окно с уведомлением позволяет это легко увидеть и заметить. Речь не про параметры.
Не с параметрами, а с ссылкой по которой действительно переходит пользователь, а не отображаемой. Речь не про параметры, см п. 1.
Ну тогда в целом не стоит делать механизмы защиты пользователей в браузере/приложении, и сказать всем "добро пожаловать в интернет". Мне концепция "дикого запада" не нравится, увы.
В фишинговых ботах такого уведомления не будет, если это на стороне самих ботов. Погодите, неужели вы предлагаете информировать пользователей о получении ботом данных аккаунта? А как же ваша концепция "Добро пожаловать в Интернет"? Это же противоречит пункту 3.
Так наличие такого же уведомления на внутренние форматированные ссылки решает проблему!) Какую бы функцию в голове разработчиков оно не выполняло, по факту оно и поможет в борьбе с фишингом в ТГ.
Такое ощущение, что запоминается только концовка статьи) Речь про скрытые перенаправления пользователей внутри ТГ, да еще и с параметрами.
Деанонимизация в ТГ с помощью фишинга - это не плохо, ок. Вопросов больше не имею!)
С чего вы решили что это сделано не для безопасности? Ссылку внутреннюю же показывает, а мог просто написать "вы хотите перейти во вне". Как оспорите? (1-1)
Да отстаньте вы от TGStat это лишь пример удачный) И да, бОльшая часть проблем у них. Но это пример, они точно не одни и мессенджер не должен помогать эксплуатировать подобное!
Наличие скрытого параметра в запросе, позволяет сделать отличную деанонимизацию что я и описал в статье. Без него отделить случайные переходы или переходы из разных источников было бы невозможно.
А вы в ТГ работаете, да?)
TGstat - частный пример, объединяющий обе эти фичи. Их баги - их дело, там и сессии не отображаются, не возможности их завершить и проч.
Телеграм понимает риски ссылок в мессенжерах, т.к. это не браузер. И проверить "а куда я попал" посложнее, поэтому и есть окно предупреждение на внешние ссылки, с него я и начал.
Но видимо Телеграм недооценивает возможности фишинга внутри мессенжера. Про это и статья, а не про угон аккаунта TGstat.
Сравнение домена в теге
<a>и в параметреhref- одна из проверок спам фильтров почты, именно с такими целями.Москва, Санкт-Петербург.
Все эти проблемы из многолетнего опыта работы в ИБ и Исполнителем, и со стороны Заказчика.
Какие-то Заказчики пытались их решать, и у некоторых даже получалось, но общая тенденция такова.
Вполне возможно собрать команду под подобные проекты вне зависимости от внутренней экспертизы.
Если на долю посредников лишь придется малая часть рынка, то это гораздо лучше того, что существует сейчас.
А о монополии речи даже и не шло, она недостижима и порочна.
Наличие гарантий - красной линией проходит через все повествование, так что выносить эти общие слова в таблицу посчитал уже излишним.
Без реальных гарантий, а не на уровне лишь строчек договора - никак.
Поле «uid» — md5(номер телефона).
Причем БЕЗ соли.
Соответственно загоняете в онлайн радужную таблицу, например — www.md5online.org
И вуаля телефон ваш, задача усложнилась на посещение одного сайта.
Проверил на нескольких юзерах и своем телефоне.
papers.mathyvanhoef.com/ccs2017.pdf
Это далеко не все точки отказа, поэтому судить о защищенности терминала и о критичности возможных с ним манипуляций через экран, точно нельзя на основе статьи.
До:
Даже не понятно с какими именно мы сейчас правами, домена судя по всему нет и какие сетевые доступы у этой машины тоже не ясно.
Из вашего исследования можно сделать только один вывод, они не позаботились о том, чтобы надежно заблокировать нелигитимные действия на терминале.
Остальное — лишь домыслы, пока не провели тестирование на проникновение терминала по модели «посетитель».
Для этого эта статья и была написана, пообщаться о названиях вирусов и поделиться мнениями, знаниями, спасибо за информацию!