Распространение атак направленного фишинга связанно с их эффективностью и слабой возможности традиционных решений по безопасности противостоять им. В то время как обычная фишинговая атака рассылается массово, атаки направленного фишинга (spear phishing) проводятся против конкретных субъектов. Читать полностью »
Наверняка многие используют или слышали про про интернационализованные доменные имена (IDN) — доменные имена, состоящие из символов национального алфавита, например тест.рф. Так же многие знают что латиница и кириллица имеют визуальные схожие символы, например латинская “a” и кириллистическая “а” выглядят одинаково, однако имеют разные коды, т.e. !“a”.equals(“а”). В этой статье речь пойдет о доменных именах которые выглядят очень схоже благодаря одной букве К. В будущем этой схожестью могут воспользоваться злоумышленники, поэтому чтобы избежать этого я хочу рассказать об одном своем наблюдении из области интернационализованных доменных имен.
Читать полностью »
Один из наиболее популярных менеджеров паролей, LastPass, несколько раз испытывал проблемы с безопасностью. К примеру, сервис взломали летом 2015 года, после чего пользователям пришлось менять свои данные для доступа к LastPass. В ноябре прошлого же года специалисты по информационной безопасности обнаружили у сервиса ряд багов, позволявших злоумышленникам получить доступ к учетным данным пользователей.
Теперь же обнаружилось, что и двухфакторная защита сервиса не спасает, если злоумышленник будет использовать простейшую фишинговую атаку. Специалист по информационной безопаности Шон Кессиди, обнаруживший уязвимость, придумал и название для нее — «LostPass». Для того, чтобы продемонстрировать уязвимость, специалист создал специальный инструмент.
Читать полностью »
В нашей компании мы постоянно проводим различные исследования (список), выбирая интересную для нас тему и как итог — представляя общественности pdf с результатами.
Данная статья статья как раз из разряда таких исследований. Проводя работы по анализу защищенности мы приводим обычно очень схожие (общие для всех) советы, которым мало следует, некоторые best practices, которые или просто повышают общий уровень защищенности системы (например — применение CSP), или действительно позволяют предотвратить атаку.
Как известно, уровень безопасности системы определяется надежностью её самого слабого узла. На практике, после проведения анализа защищенности, основываясь на перечне найденных уязвимостей, выбирается одна брешь или целая цепочка и определяется наиболее проблемное звено. Сразу можно сказать, что зачастую правильно настроенная система может нивелировать риски существующей уязвимости. В ходе исследования мы выяснили, какие потенциальные векторы атак могут быть доступны злоумышленникам. Например, легко ли похитить сессионные данные пользователя при наличии уязвимости межсайтового скриптинга. Также нам было интересно посмотреть, насколько просто реализовать фишинговую атаку на пользователей банка. Пройдясь по этим пунктам и условно проставив “галочки”, злоумышленник может выстроить векторы дальнейших атак на банк и его пользователей.
Читать полностью »
Небольшое отступление, домены зарегистрированы на почту на mail.ru, но ящиком этим давно не пользуюсь и стоит пересылка на gmail. Регистратор — R01.
Приходит письмо "Жалоба на домен мой-домен.ru" такого вот общего содержания:
Здравствуйте, уважаемый клиент.
В адрес Регистратора Р01 с IP-адреса 46.18.200.45 поступила жалоба на домен мой-домен.ru. Данному обращению был присвоен номер AM35930.
Сообщаем Вам, что жалоба признана необоснованной, поскольку обстоятельства, на которые указывает автор жалобы, не нашли подтверждения.
Исходя из вышеизложенного, санкции к домену мой-домен.ru применены не будут.
Файл с текстом жалобы приложен к настоящему письму.
И на телефоне видно что есть какие-то вложения, но кривенькие. Решил посмотреть повнимательнее на компьютере. Тут и началось самое интересное.
Читать полностью »
«Даже если вы нажмете на какую-то ссылку и введете логин и пароль то ничего такого не случится» — реклама браузера Яндекс. Как это работает и так ли это? Посмотрев эту рекламу мне конечно стало интересно, как Яндекс смог «победить» такую сложно решаемую проблему как кража паролей. Хочу отметить, что рассматривал я только одну из функций Яндекс Protect, а именно "Защита от кражи паролей".
Читать полностью »
В последнее время стали популярны множество сервисов и модулей для интернет магазинов, это и обратные звонки, и чаты, и кнопки лайк и различные счетчики и аналитики.
Владельцы сайтов с радостью устанавливают их к себе на сайт и не подозревают на что дают доступ “таким” сервисам и с какими последствиями в итоге они будут вынуждены справляться.
История разоблачения одного из callback сервисов под катом.
Читать полностью »
Прошли времена, когда можно было заниматься чем угодно в интернете совершенно свободно. Теперь сюда пришло государство и регулирует каждый аспект интернет-активности. Дошла очередь и до фишинговых сайтов.
Российских кибермошенников, которых уличат в создании фишинговых сайтов, будут сажать в тюрьму на срок до четырёх лет, если Госдума примет законопроект, который начинают разрабатывать по инициативе члена комитета по безопасности и противодействию коррупции Ильи Костунова. Он предложил ввести уголовную ответственность за создание фишинговых сайтов и владение ими.
Читать полностью »
Сегодня стало известно, что финансовый директор платёжной системы BitPay стал жертвой e-mail фишинга, в результате чего система лишилась активов на сумму в 5000 BTC (порядка $1,8 млн по курсу на дату взлома). Судебный иск по этому делу был подан в декабре 2014 года. Ответчиком выступает страховая компания, обслуживающая систему, отказавшаяся выплачивать страховку в размере $950000, которые система потребовала с неё для покрытия убытков.
Процедура взлома прошла просто и элегантно, как в одном из эпизодов сериала Mr.Robot. Брайан Крон получил письмо якобы от Дэвида Бэйли, представителя онлайн-издания yBitcoin, посвящённого криптовалютам. По-видимому, почтовый аккаунт Бэйли оказался взломан до этого, или же мошенники просто подделали адрес отправителя.
Читать полностью »
Несколько месяцев назад, я писал историю о взломе моего Amazon AWS аккаунта. С тех пор утекло много воды, я так и не определил, каким образом злоумышленники смогли получить доступ к моему аккаунту. Но это было для меня большим уроком, и я нашел время сделать много шагов по повышению безопасности своих аккаунтов, почт, клиент-банков, сайтов и всех других электронных систем. Даже антивирус на свой MacBook поставил, от чего каждый день немного страдаю =)
Я руковожу компанией, которая занимается разработкой различных решений для интеграции 1С и телефонии, но больше всего я люблю программировать. Поэтому, каждое лето в августе, я уезжаю из шумной Москвы, в тихий город на окраине России под названием Донецк. А дом мой находится в 500 метрах от границы с Луганской областью. В отличие от прошлого года, когда работать ночью мне мешали звуки рвущихся снарядов, в этом году все тихо и спокойно, и лишь изредка можно услышать разрыв снаряда или увидеть БТР с российскими пограничниками. Казалось бы, работай себе в удовольствие :) Так я и делал, каждую ночь. Продуктивность ночами у меня зашкаливает, да и с утра можно спокойно выспаться.
Но вчерашнее утро было особенным. Проснулся я от звонящего в 8 утра телефона, с которым я спал с 4-х утра.
Читать полностью »
