Информационная безопасность → HTML/CSS-инъекция в почте Mail.Ru
Всё новое — это хорошо забытое старое: помнится, несколько лет назад в ЖЖ был баг, который позволял вставляемым в текст комментария элементам назначать абсолютное позиционирование. Фактически, всё описанное в данном посте базируется на этой идее.
Описанная уязвимость касается любых форм ввода, допускающих ввод пользовательского HTML-кода.
Описанная уязвимость касается любых форм ввода, допускающих ввод пользовательского HTML-кода.
Информационная безопасность → ВКонтакте и защита от фишинга
Думаю, каждый из вас не раз сталкивался с фишингом или его результатами. Ок, может, и не каждый :)
Если вы пользуетесь ВКонтактом, наверняка, вы не раз заполучили спам от своих друзей: просьбу положить денежку, проголосовать смской, предложение установить приложение или пройти по ссылке, левые фотографии в профайле друзей.
Понятно, что в подобных ситуациях с фишингом можно бороться на трех этапах: в головах, на сайтах и… в браузерах.
Далее небольшая проверка, как различные браузеры борятся с фишингом по засвеченным фишинговым ссылкам от друзей.
Если вы пользуетесь ВКонтактом, наверняка, вы не раз заполучили спам от своих друзей: просьбу положить денежку, проголосовать смской, предложение установить приложение или пройти по ссылке, левые фотографии в профайле друзей.
Понятно, что в подобных ситуациях с фишингом можно бороться на трех этапах: в головах, на сайтах и… в браузерах.
Далее небольшая проверка, как различные браузеры борятся с фишингом по засвеченным фишинговым ссылкам от друзей.
Персональные блоги → Ботнет: «был твой — стал мой» или как ботнеты работают
По требованию модераторов убрал топик совсем.
Оригинал остался на личном сайте.
Оригинал остался на личном сайте.
Персональные блоги → Определяем фишинговые сайты «на глаз»
Фишинговые сайты — дело обычное, особенно для таких сервисов, как «В Контакте», «Одноклассники» и веб-почта. Опаснее, когда попадаешь на такой сайт в результате фарминга — подмены в файле HOSTS или изменения DNS-информации. Тогда при наборе пользователем настоящего адреса, он попадет на фишинговый сайт. А позже узнает от друзей, что с его аккаунта приходят такие странные сообщения :) Правда, в некоторых случаях можно определить фишинговый сайт «на глаз», используя 2 нехитрых плагина к Firefox.
Персональные блоги → Три способа обнаружения фарминг-атаки в Windows
Фарминг-атаки, при которых пользователь скрытно перенаправляется на фишинговые сайты, стабильно популярны. Фарминг-атаки осуществляются вредоносными программами преимущественно семейств VKHost, QHost и DNSChanger. Основными целями являются социальные сети, системы онлайн-банкинга и всевозможные веб-службы. 3 следующих простых шага позволят вам оперативно выявить факт фарминг-атаки и нейтрализовать ее последствия.
Google → Google усиливает меры по борьбе с фишингом
В свете недавних событий, связанных с мошенничеством от лица известных компаний (Google тоже пострадала), в блоге разработчиков GMail появилась запись о подключении новой функции — антифишингового фильтра. Активировать данную настройки можно во вкладке Labs в своем почтовом аккаунте.
В настоящее время проверяться будут входящие письма от сервисов eBay и PayPal на предмет соответствия правильных адресов в строке «От».
Настоящие письма, поступившие именно от этих адресатов, будут помечаться специальной иконкой в виде ключа. Непрошедшие проверку сообщения будут отсеиваться и не попадут даже в папку «Спам» в Gmail. В будущем разработчики планируют подключить еще несколько адресов крупных сервисов (преимущество за финансовыми, поскольку большинство фишинговых сообщений приходится на этот сектор).
В настоящее время проверяться будут входящие письма от сервисов eBay и PayPal на предмет соответствия правильных адресов в строке «От».
Настоящие письма, поступившие именно от этих адресатов, будут помечаться специальной иконкой в виде ключа. Непрошедшие проверку сообщения будут отсеиваться и не попадут даже в папку «Спам» в Gmail. В будущем разработчики планируют подключить еще несколько адресов крупных сервисов (преимущество за финансовыми, поскольку большинство фишинговых сообщений приходится на этот сектор).
Информационная безопасность → О самоподписных сертификатах
В связи с моим участием в проекте fin-ack.com постоянно сталкиваюсь с подобными замечаниями:
Как по мне, это один из случаев недопонимания и предрассудков, которых так много в отношении безопасности в Интернете. (Вроде знаменитых «Хакеров, крекеров, спамов, куки» :). Хочу разобрать его с двух точек зрения: как человека, некоторое время проработавшего в сфере защиты информации в банке и имевшего дело с большинством аспектов информационной безопасности, и как человека, занимающегося разработкой и развитием интернет-сервиса.
Но сперва отвечу на вопрос, почему у нас нет «нормального» сертификата? (На самом деле, с недавнего времени есть :) Самая главная причина в том, что в нашем списке приоритетов этот пункт стоял на N-ном месте, и только сейчас все N-1 предыдущих пунктов были выполнены. Когда работаешь над новым проектом, всегда приходится от чего-то отказываться, потому что ресурсы, прежде всего временные, ограничены…
А почему же он стоял аж на N-ном месте?
Во-первых, зачем вообще нужен сертификат SSL? Для того, чтобы зашифровать HTTP-соединение между браузером и сайтом, по которому будет передаваться пароль и какие-то другие конфиденциальные данные. Что изменится, если сертификат не подписан доверенным центром сертификации? Ничего! Соединение все равно будет зашифрованно точно также. Единственная возможная проблема: атака человек-посредине, которая в Интернете обычно является phishing'ом или pharming'ом.
я не доверяю вашому самоподписному сертификату, почему вы не купите «нормальный» сертификат?
Как по мне, это один из случаев недопонимания и предрассудков, которых так много в отношении безопасности в Интернете. (Вроде знаменитых «Хакеров, крекеров, спамов, куки» :). Хочу разобрать его с двух точек зрения: как человека, некоторое время проработавшего в сфере защиты информации в банке и имевшего дело с большинством аспектов информационной безопасности, и как человека, занимающегося разработкой и развитием интернет-сервиса.
Но сперва отвечу на вопрос, почему у нас нет «нормального» сертификата? (На самом деле, с недавнего времени есть :) Самая главная причина в том, что в нашем списке приоритетов этот пункт стоял на N-ном месте, и только сейчас все N-1 предыдущих пунктов были выполнены. Когда работаешь над новым проектом, всегда приходится от чего-то отказываться, потому что ресурсы, прежде всего временные, ограничены…
А почему же он стоял аж на N-ном месте?
Во-первых, зачем вообще нужен сертификат SSL? Для того, чтобы зашифровать HTTP-соединение между браузером и сайтом, по которому будет передаваться пароль и какие-то другие конфиденциальные данные. Что изменится, если сертификат не подписан доверенным центром сертификации? Ничего! Соединение все равно будет зашифрованно точно также. Единственная возможная проблема: атака человек-посредине, которая в Интернете обычно является phishing'ом или pharming'ом.
- При фишинге пользователя перенаправляют на сайт с похожим URL. При этом в браузере обязательно появится предупреждение про сертификат (такое же предупреждение появляется и при первом заходе на реальный сайт с самоподписным сертификатом).
В общем-то, в этой ситуации достаточно просто посмотреть к какому домену относится сертификат, и если это именно тот домен, на который вы хотели попасть, добавить сертификат в доверенные. После этого любое сообщение о недоверенном сертификате для данного сайта можно воспринимать как тревожный звоночек. - Отличие фарминга в том, что в данном случае пользователь попадет как-бы на тот сайт, на который хотел (судя по URL). Впрочем, ему также как и при фишинге будет показано сообщение о недоверенном сертификате.
Персональные блоги → PhishTank посчитал VKontakte.ru фишингом
link
Как это не смешно, но, видимо, из-за того что vkontakte очень похож на facebook, первый был посчитан фишингом
Как это не смешно, но, видимо, из-за того что vkontakte очень похож на facebook, первый был посчитан фишингом