Информационная безопасность → Уязвимость в ISPSystem Billmanager
Всем привет!
Уязвимость основана на недоработках API и социальной инженерии.
Клиент формирует активный запрос в службу поддержки с ссылкой (чаще укротитель ссылок).
В котором содержится ссылка:
После чего сотрудник, имеющий права суперпользователя, наделяет учётную запись admin12345 правами суперпользователя, следующим SQL запросом:
Как временное решение, наделить только одну учётную запись правами суперпользователя, у остальных данную возможность отключить.
Уязвимость основана на недоработках API и социальной инженерии.
Клиент формирует активный запрос в службу поддержки с ссылкой (чаще укротитель ссылок).
В котором содержится ссылка:
По просьбе потёр
После чего сотрудник, имеющий права суперпользователя, наделяет учётную запись admin12345 правами суперпользователя, следующим SQL запросом:
insert into user (id,name,account,password,realname,email,lang,superuser,disabled,support,remotesupport,changepasswd,sendsms)
values (23351,'admin12345',1,'$1$FALDvy2D$fqFzhtlSZrq1pDQ3fkrpr/','test
test','test@test.test','ru','1','0','0','0','2012-01-29','0');
Как временное решение, наделить только одну учётную запись правами суперпользователя, у остальных данную возможность отключить.
Персональные блоги → Про минусовые температуры воздуха и Альфа-банк
Под катом — короткая история о том, как морозная погода чуть было не испортила мне кредитную историю, и бонусом — небольшой лайфхак, который, возможно, придется по душе адептам социальной инженерии.
Информационная безопасность → Как получают доступ к чужим ящикам на mail.ru
На днях знакомый попросил посмотреть, что за странные письма сыпятся на его почтовый ящик.
Открываем его почту, вижу письмо:
детали письма скрыты для того, чтобы злоумышленник не стал преследовать знакомого
Открываем его почту, вижу письмо:
детали письма скрыты для того, чтобы злоумышленник не стал преследовать знакомого
Блог компании Positive Technologies → Восстановление пароля – хакеры, welcome!
Каждый из нас хотя бы раз в жизни сталкивался с ситуацией, когда пароль от почты забыт, а посмотреть письма нужно. Тут нам на помощь приходит процедура восстановления пароля, которую заботливые сервисы разработали специально для подобных случаев. Именно эта процедура вызывает больше всего вопросов с точки зрения безопасности. Как выяснилось, не зря.
Наш исследовательский центр Positive Research посмотрел, насколько легко можно получить несанкционированный доступ к аккаунтам пользователей «ВКонтакте», Facebook, Google, Mail.Ru и Яндекс. Причем не путем технических атак, а только с помощью социальной инженерии.
Википедия описывает социальную инженерию как метод управления людьми без использования технических средств. В нашем случае это способ получения несанкционированного доступа к личной информации человека, опять же, без использования каких-либо специальных знаний или инструментов.
Безусловно, всегда можно отправить фишинговое письмо и заставить пользователя перейти на сайт, где он засветит свои логин и пароль, или подкинуть трояна и ждать. Способов существует много. Но нам было интересно другое. Мы хотели проверить, насколько реально получить доступ к аккаунту пользователя, используя только общедоступную информацию, которую можно найти в интернете. Без взаимодействия с пользователем. Без технических изысков. Без уязвимостей «нулевого дня».
Информационная безопасность → В анкетах с полями типа "девичья фамилия матери" или "любимое блюдо" Вы пишете
Информационная безопасность → Рассылка малвари почтой
Получили по почте из банка предупреждение об очередной схеме мошенничества. Найти оповещение об этом случае в сети мне не удалось, поэтому публикую ниже текст письма.
Уважаемый клиент,
Официальные источники сообщают, что в октябре с.г. выявлены новые попытки совершения мошеннических операций в отношении клиентов — пользователей системы «Клиент-Банк» одного из Российских банков. От имени Банка через службу доставки были направлены почтовые конверты FIiр Роst worldwaide ехргеss с авианакладной, в которой в качестве отправителя указан адрес Банка.
Я пиарюсь → SocialWare — как это было на самом деле
Хочу написать цикл статей, посвящённых истории российских групп и проектов, тем или иным образом затрагивающих информационную безопасность и российского андеграунда в целом. Если пользователям это будет интересно – продолжу, если нет – то и суда нет.
Речь идёт о проекте (о нём уже упоминали пару раз на хабре), который посвящен социальной инженерии. И это вовсе не значит, что Сова (так называют себя участники проекта, Social Ware) воспитывает кидал и мошенников, отнюдь, всеми силами с ними борется, и порой — наказывает.
В далеком 2008 году, товарищем под ником m0Hze был зарегистрирован домен soc-engineer.ru. За несколько месяцев до этого, авторы проекта Вася aka GoodGod активно с ним работали в направлении «расколдовывания» почтовый ящиков и неплохо набили руку. Решив, что данная тема будет интересна не только им, то собственно не долго думаю создался форум. Самого сайта не было. Обсуждали там психологические фишки, обман, НЛП и прочее.
Немного истории
Речь идёт о проекте (о нём уже упоминали пару раз на хабре), который посвящен социальной инженерии. И это вовсе не значит, что Сова (так называют себя участники проекта, Social Ware) воспитывает кидал и мошенников, отнюдь, всеми силами с ними борется, и порой — наказывает.
В далеком 2008 году, товарищем под ником m0Hze был зарегистрирован домен soc-engineer.ru. За несколько месяцев до этого, авторы проекта Вася aka GoodGod активно с ним работали в направлении «расколдовывания» почтовый ящиков и неплохо набили руку. Решив, что данная тема будет интересна не только им, то собственно не долго думаю создался форум. Самого сайта не было. Обсуждали там психологические фишки, обман, НЛП и прочее.
Фриланс → Развод под видом Сделки без риска на free-lance.ru. Как не стать обманутым
Не так давно, сайт free-lance.ru весьма значительно поменял условия накопления рейтинга исполнителями. Основное новшество, которое вызвало бурю недовольства фрилансеров – это уменьшение влияния отзывов заказчиков на рейтинг исполнителя. Если ранее, можно было без денег наработать себе хороший рейтинг, собирая позитивные отзывы работодателей, то теперь самый верный способ быть в верху списка – проводить заказы через Сделку без риска.
Задумка Сделки без риска весьма хороша. Заказчик договаривается с исполнителем о работе, они оговаривают задание, сумму вознаграждения и сроки. После этого, вместо предоплаты 50% исполнителю, заказчик перечисляет 100% суммы на счет сайта. Исполнитель видит, что сумма зарезервирована, выполняет работу, показывает заказчику результат. Если все хорошо, заказчик п говорит «оккей» и Фриланс переводит всю сумму исполнителю. Если же возникли споры, то free-lance выступает судьей, выслушивает стороны, проверяет результаты работы и по своему усмотрению выносит вердикт:
— или вернуть деньги заказчику
— или оплатить работу в оговоренном объеме исполнителю.
Всего 5% с каждого Фрилансу и все счастливы.
Однако на практике Сделка без риска стала отличным поводом для заказчика потерять 100% суммы. Ниже моя история про то, как я чуть не потерял $200 на этой услуге. Сразу оговорюсь, сам free-lance.ru никакого отношения к мошеннику не имеет!
Информационная безопасность → Эпидемия «белых котов» в жж (lj embedded и социальная инженерия)
Прямо сейчас в Живом журнале бушует эпидемия. Во френдленте появляются коты разной степени противности, с сопутствующим текстом типа «крутая штука» или «смотри, что я нашёл» и ссылкой.
Если вы нажмёте на ссылку и при этом авторизованы в жж, то ничего не произойдёт. На самом деле,
Если вы нажмёте на ссылку и при этом авторизованы в жж, то ничего не произойдёт. На самом деле,
Социальные сети → Социальные механизмы в facebook
Наверное многие видели презентацию Пола Адамса The Real Life Social Network, в которой рассказывается о том, что социальные связи в жизни намного сложнее, чем в социальных сетях. У Адамся есть пример: некий пользователь Дебби дружит с несколькими геями и комментирует им в фотографиях. Но при этом Дебби учит 10-ти летних детей и они у нее тоже в друзьях. Конечно Дебби не хочет что бы дети видели, что она комментирует своим друзьям геям.
Вчера я наткнулся на пост в котором автор предполагает, что в facebook уже работает подобная система. Что она автоматически определяет социальные группы людей, выстраивает их по социальному статусу внутри группы. Фактически для того, что бы информация легко не проникала из одной социальной группы в другую. Но при этом для пользователей это прозрачно.
Если мы посмотрим на то, что facebook выдает нам в Top News, то действительно можно заметить, что часть топиков проходит мимо тебя. А по реакции твоих дрезей или отсутствии реакции на твои топики можно понять, что некоторые топики проходят мимо твоих друзей. Если у вас много друзей и действительно существуют абсолютно разные не связанные друг с другом социальные группы, то это становится очень заметно.
Вчера я наткнулся на пост в котором автор предполагает, что в facebook уже работает подобная система. Что она автоматически определяет социальные группы людей, выстраивает их по социальному статусу внутри группы. Фактически для того, что бы информация легко не проникала из одной социальной группы в другую. Но при этом для пользователей это прозрачно.
Если мы посмотрим на то, что facebook выдает нам в Top News, то действительно можно заметить, что часть топиков проходит мимо тебя. А по реакции твоих дрезей или отсутствии реакции на твои топики можно понять, что некоторые топики проходят мимо твоих друзей. Если у вас много друзей и действительно существуют абсолютно разные не связанные друг с другом социальные группы, то это становится очень заметно.