Фейки, Фишинг и защита от него

Информация Фейки, Фишинг и защита от него (2 Viewers)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 2)


X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 823
Репутация
15 073
Jabber
Telegram
Пользователь X-Shar разместил новый ресурс:

Фейки, Фишинг и защита от него - Скачать беспалевный фейк бесплатно

Посмотреть вложение 55379

Рассмотрим ОЧЕНЬ актуальную тему в хак. мире, как фейки и фишинг...

Вообще при помощи этих приёмов можно сделать многое, начиная от угона страничек вконтакте и заканчивая взломом маил и секретного объекта Пентагона...

Итак, что-же такое фейк:

Фейк - Это если по простому подделка, т.е. можно создать "Антивирус Касперского", с интерфейсом ничем от него неотличающимся, далее начать спамить группы Вконтакте, типо-там "Скачать бесплатную...
Узнать больше об этом ресурсе...
 

Rufus

Уважаемый пользователь
Форумчанин
Регистрация
14.12.2014
Сообщения
265
Репутация
254
Jabber
Для защиты от подобных редиректов,специальных ловушек созданных при помощи xss уязвимостей можно добавить в арсенал браузера подобные расширения:NoScript и https://addons.mozilla.org/ru/firefox/addon/requestpolicy/
Поначалу может быть неудобно юзать сайты из-за блокировки скриптов и запросах о редиректе,но постепенно привыкаешь к ним.
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 999
Репутация
10 016
Интересная статья с Хабра.Показаны классические способы нынешнего фишинга


Я не случайно поставил в заглавие поста картинку с котиком. Это один из примеров манипулирования человеческим сознанием, апеллирование к жалости. Методы воздействия злоумышленников, использующих такие приемы, находятся в области практической психологии и относятся к социальной инженерии. Играя на эмоциях, чувствах, страхах и рефлексах людей злоумышленники получают доступ к интересующей их информации. Все эти методы используются злоумышленниками при создании фишинговых почтовых сообщений.
К сожалению, уровень осведомленности пользователей о современных угрозах довольно низок, поэтому, как и обещал в комментарии, постараюсь описать основные приемы.

При атаке на пользователей электронной почты у злоумышленников сейчас две основных цели: узнать пароль пользователя или попытаться заставить скачать некий файл. Для того чтобы собрать основные векторы по первому случаю — я создал ящик и «заказал» его взлом на нескольких площадках, которые довольно легко обнаружил с помощью поисковых систем.

Я не буду рассматривать представленные фишинговые домены и адреса почт: рядовой пользователь не запомнит чем отличается google.com/index.php от google.com.indexphp.cc. Основное, что я хочу донести — не надо слепо следовать каким-то указаниям в почте, особенно тем, которые побуждают выполнять некие действия здесь и сейчас, иначе случится что-то плохое.

Gmail — документы

Письмо отправлено с gmail адреса и сообщает о неких документах. В деловой переписке, особенно при большом потоке писем легко кликнуть на документ, попав на фишинговую страницу:



Хотя адрес «документов» ведет на neo4-yandex.ru, тем не менее с этого домена происходит редирект на:
(в коде страницы установлен сниффер, который логгирует все заходы на страницу — <img height=0 width=0 src="http://xvxvxvxvxvx.ru/image.php?img="> )
s-mail-google.com/myaccount/ru/index.php?id=&/id=20154748705121097



Обратите внимание на старый логотип Google на фишинговой странице — многие ли из вас отметили, что он старый? А много ли пользователей помнят или знают о том, что у Google уже новый лого? Скорее всего, форма была сделана с помощью инструмента Social-Engineer Toolkit , в нем этот логотип не обновлен. А может злоумышленники просто не обращают на это никакого внимания и не обновляют свои поделки.

Gmail — недоставленное сообщение

Приходит письмо, о том, что некоторые письма не были доставлены. А если что-то важное потерялось?



Многие люди по природе мнительны, поэтому клик по ссылке, а там уже известный редирект на: s-mail-google.com/myaccount/ru/index.php?id=&/id=20154748705121097

Gmail — срочно сменить пароль

Пользователь, какие-то нехорошие личности взломали твой пароль!



Обычные пользователи, скорее всего, пойдут менять пароль, только вот адрес для смены совершенно неподходящий: google.mail.com.ru-id322322.ru/548589203339099000020039939/o/p/l/?id376=YWtzZWthdHlhQGdtYWlsLmNvbXxha3Nla2F0eWE=

Gmail — ваша почта будет заблокирована

Вы сделали что-то неправильно (ведь рядовые пользователи «не разбираются в компьютерах»), теперь надо все исправить, иначе удалят ящик:



Что тут у нас? Опять старый логотип, но есть и кое-что новое — в URL передается адрес атакуемого ящика, для большей достоверности. Пользователь переходит по ссылке вида: w-google.com/account_c/mailer/0/u/16281666201206/?email=privethabr@gmail.com&fail=1&cGRmJmhsPV3N0BJmhsPXJnbWFpbC5j1VyJmFjdb20mbGV0EVyucGRmJmhsPVyPXZ5cGlza2EucGRdVyGmJmhsPXJ1JmFjdD1%27 и попадает на «персональную страничку»:



Gmail — спам

Вы рассылали спам, теперь Вы не можете отправлять письма. Необходимо подтвердить аккаунт:



Опять старый логотип. Вектор вроде новый, но ведет, опять же на уже известную нам страничку: s-mail-google.com/u/0/accounts/index.php?id=&/id=d7115e86e7423e7aea202cebf544de21

Gmail — черный список

Вы добавлены в черный список, шутки кончились. Срочно подтвердите что вы не бот-программа:



По ссылке уже известный адрес: google.mail.com.ru-id322322.ru/?login=YWtzZWthdHlhfGFrc2VrYXR5YUBnbWFpbC5jb20=

Gmail — пора увеличить объем

Почтовый ящик почти заполнен, необходимо увеличить его объем. Надо, так надо:



Вот это письмо мне понравилось. Я ожидал стандартную форму логина, но нет, злоумышленники пошли другим путем. Такое внимание к деталям: указан логин жертвы, ссылка «изменить» неактивна, но самое интересное дальше: account-google.ru.com/ServicesLogin/settings/?account=privethabr&?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/



Указан логин жертвы, интерфейс явно гугловый, даже видно что место и правда кончилось. Да и домен подобран очень в тему. Но вот логотип опять старый. В общем, это пока явный фаворит фишингостроения.

Gmail — рабочие моменты

Способ сомнительный для рядовых пользователей, письмо с какой-то заявкой или реквизитами:





Ссылка редиректит на домен account-google.ru.com/ServicesLogin/files/?account=privethabr&?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/&ss=1&scc=1<mpl=default<mplcache=2&emr=1



Первая форма, на которой стоит новый логотип.
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 999
Репутация
10 016
Вторая часть статьи.Из-за большого количества изображений не уместилось в один пост.
Mail.ru — рабочие моменты

Похож на способ указанный выше, прислали какие-то документы, вариаций может быть довольно много:







Клик по ссылке и пользователю предлагают ввести пароль. Т.к. логин уже подставлен — большинство рядовых пользователей введет свой пароль «на автомате»:



Mail.ru — сообщение не доставлено

Вам не пришло важное письмо, но наш сервис уведомил Вас об этом, включая какие-то непонятные заголовки сообщения для пущей достоверности:



А там уже знакомая нам форма:



Mail.ru — увеличить объем ящика

Еще один лидер моего хит-парада правдоподобности:



При переходе попадаем на форму увеличения объема ящика:



Еще один тип такого письма:



По ссылке видим форму:



Похож на способ указанный выше, но фишинговый домен уже не работает:



Ссылка не работает: cew-mail.ru/mailcapacity/index.php?email=privethabr@mail.ru&fail=0&GPXZJmV5cWVzEuccGRmyPXZWVzc2FnZScPXZJmV5cEyMTQ0MDAwuccWVzGRmyWVzPXZGRmyPXZWVzc2FnZS8xMzY0MTEMDAwMWVzDU4NS8

Mail.ru — уведомление о безопасности

Вашу почту кто-то взломал, срочно бегите менять пароль:



Фишинговая ссылка редиректит на pechatay-prosto.ru/js/?Login=privethabr@mail.ru (уже не работает).

Yandex — уведомление о безопасности

Не подтвердите аккаунт — заблокируем почту:



По ссылке форма, с уже подставленным именем учетной записи:



Yandex — реактивация почтового ящика

Опять необходимо выполнить какие-то действия:



Добавлено много «правдоподобных» деталей:



Рассылка вредоносных файлов/криптолокеров

Пользуясь текущей экономической обстановкой и страхами людей злоумышленники рассылают письма, имитирующие уведомления от платежных систем и органов судебной или исполнительной власти:

Письмо, содержащее инструкции для «подтверждения» доменного имени от Роскомнадзора (на самом деле пользователь установит на свой сайт шелл):



Письмо из арбитражного суда, содержащее ссылку на криптолокер:



Письмо из Сбербанка о выданном кредите (со ссылкой на криптолокер):


Правила безопасности

  1. Письмо, побуждающее Вас к каким-то немедленным действиям должно Вас насторожить: проверьте от кого оно пришло, домен и ссылку. Если сомневаетесь — спросите специалистов.
  2. Если Вам что-то навязывают или присылают то, к чему Вы не имеете отношения — лучше удалить это письмо.
  3. Не переходите по подозрительным ссылкам в письме, даже если они пришли в сообщениях от ваших знакомых или с каких-то официальных адресов.
  4. Письма от судебных инстанций или органов: не поленитесь, найдите телефон этого ведомства и позвоните. Просто так никто судебные решения или уведомления о просроченных кредитах не высылает. Да и в 99% случаев Вы получите уведомление по обычной почте.
  5. Используйте двухфакторную авторизацию: большинство почтовых сервисов в настоящее время поддерживает эту технологию.

Эта статья посвящена атаке на рядовых пользователей, в следующей статье я расскажу о фишинговых и социотехнических атаках на корпоративный сектор.
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 999
Репутация
10 016
Вчера пересматривал Хакер и наткнулся на интересную статью о концептуальном эксплойте HTML5 Fullscreen API.Для ротозеев покатит..

Студент из Стэнфордского университета, независимый исследователь в области информационной безопасности и веб-дизайнер Феросс Абухадижи (Feross Aboukhadijeh) создал великолепную демонстрацию, как можно осуществить фишинговую атаку за счёт эксплойта HTML5 Fullscreen API. Демо-страница, скриншоты с отрисованным интерфейсом разных браузеров можно посмотреть здесь, код демки на github.

Суть в том, что HTML5 Fullscreen API позволяет инициировать принудительный переход браузера в полноэкранный режим. Таким образом, вредоносный фишинговый сайт может переключить браузер в полноэкранный режим и отрисовать в верхней части сайта интерфейс браузера пользователя с произвольным URL, со значком защищённого соединения. Средства HTML5 позволяют даже использовать эту картинку как настоящую адресную строку, реагировать на наведение курсора мыши, вводить адрес, нажимать кнопки и т.д.

По консервативной оценке автора, 10% пользователей не обратят внимание на сообщение о том, что браузер перешёл в полноэкранный режим и на изменения в интерфейсе, такие как пропавшие закладки, пользовательские меню и другие нестандартные настраиваемые элементы UI. Однако, у многих пользователей отсутствуют какие-либо уникальные элементы UI. Они пользуются стандартным интерфейсом.

Для многих пользователей переход браузера в полноэкранный режим не является признаком опасности: они привыкли к такому поведению браузера на Facebook и Youtube, поэтому могут не обратить внимание на соответствующее предупреждение. Оценку в 10% можно назвать весьма консервативной, и количество невнимательных пользователей гораздо больше 10%, так что эффективность подобной атаки может оказаться весьма высокой.

Кстати, в 2004 году похожая уязвимость с возможностью создания полноэкранных всплывающих окон через window.createPopup() была исправлена в браузере IE.
Видео, демонстрирующее слепоту пользователей к небольшим изменениям визуального фона (психологический эффект change blindness).
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 999
Репутация
10 016
Одна из новых разновиднотей фишинг-атак на пользователей gmail. Жертве на почту приходит письмо с вложением от одного из его контактов. Вложение с виду представляет из себя pdf-документ при попытке просмотра которого открывается новая вкладка со страницей авторизации. В адресной строке браузера отображается:
“data:text/html,https://accounts/google.com,”
и многие даже продвинутые юзеры повелись на это

Gmail_phishing.png


На самом деле это не пдфка, а картинка с ссылкой на скрипт, который и является основой атаки. Если внимательно присмотреться, то можно понять, что это обман. Картинка имеет низкое разрешение (в то время как реальный значок вложения использует html), а при наведении курсора на "вложение" становится видна ссылка.


phished-email-01.png
Источник и подробности:www.securityweek.com/phished-gmail-accounts-immediately-accessed-hackers
p.s.ну и на закуску списочек фейков на различные американческие сайты
#phishing , scan 15.01.2017 - 16.01.2017 - Pastebin.com
 
Верх