Социнженерия: кража личной информации
Эта статья приводится как пример кражи вашей личной информации без применения компьютерных методов.
Источник статьи – http://www.securitylab.ru/contest/348067.php, статья видоизменена.
“Предположим, что есть две персоны (X и Y), которые находятся друг у друга в друзьях и общаются. И есть Посредник бижутерия интернет магазин, заинтересованный в получении информации, передаваемою между X и Y, а в некоторых случаях и в ее изменении. Что нужно сделать для перехвата информации?
1. Создаются страницы-клоны персонажей X и Y с переносом публично доступной информации. В этой ситуации достаточно подобия – полное сходство не требуется.
2. Во время отсутствия в сети X и Y Посредник активизирует на своем компьютере клоны X1 и Y1 и ждет появления кого-нибудь из жертв в сети.
3. Предположим, что первым появился X. Шлем ему запрос на добавление в список друзей от Y1, сопроводив комментарием «Вчера компьютер глюканул, все слетело, восстанови пожалуйста». Скорей всего «дружба» будет восстановлена без дополнительных вопросов. Если же X окажется бдительным, он заглянет на страницу Y1 и увидит там похожую, но неполную страницу Y. Неполная идентичность работает на Посредника в данном случае – страница же слетела.
Итак, с X мы уже подружились, можно общаться на нейтральные темы, но делать нужно осторожно с учетом информированности о контексте общения между X и Y. Лучше всего деактивировать Y1, во избежание засветки.
4. При появлении в сети настоящего Y и повторяем с ним п. 3, от имени X1. В результате Посредник имеет в списке друзей как X, так и Y.
5. Далее можно начинать общение между X и Y, в котором вся информация проходит через Посредника. Для этого нужно активизировать на своем компьютере X1 и Y1.
6. Вариант атаки: в сети оба желанных персонажа. Пишем от Y1 долгожданному X: «Привет X,…». Х отвечает Y1, думая, что это Y: «Привет…». Ответ копируется и отсылается настоящему Y (который полагает, что Посредник – это X). Y получает это сообщение, отвечает на него. Ответ попадает к X1, который на самом деле Посредник. И так далее.
В описанном процессе есть несколько подводных камней, но опыт показывает, что обойти их не составляет труда. Самый большой «камень» это появление у X двух друзей Y и наоборот. Однако на это в большинстве случаев внимания не обратят – был же сбой.”
Избежать кражи вашей личной информации поможет бдительность и внимание. В друзья также часто просятся незнакомые люди, и они вполне могут быть взломщиками, желающими узнать вашу личную информацию и использовать ее против вас.
Метки: безопасность личных данных, кража личной информации, социнженерия
Основы Безопасности ВКонтакте
В последнее время, в связи с все большим расширением сайта, возникает огромное количество недобросовестных личностей, пытающихся различными способами создать угрозу вашей безопасной жизни ВКонтакте.
Нужно знать и помнить следующие правила, которые могут сохранить Вам самое ценное, что у Вас есть ВКонтакте – вашу страницу со всеми имеющимися на ней Вашими конфиденциальными данными.
СМС – сообщения.
Это одна из самых больших угроз… для баланса вашего лицевого счета.
Куда бы Вы ни посмотрели, со всех сторон на Вас сыпятся предложения:
- Поднять рейтинг на 20-50-100-300-500-1000% единовременно;
- Для новых пользователей – подтвердить свою регистрацию ВКонтакте;
- Помочь другу/подруге что-нибудь где-нибудь выиграть, т.к. осталось всего чуть-чуть
…
Все они являются чистейшей воды СПАМОМ и РАЗВОДОМ, призванным за ваш счет поднять рейтинг их мошеннических страниц, либо же просто отдать деньги непонятному сайту за непонятную услугу.
Запомните НЕ БЫВАЕТ БЕСПЛАТНЫХ СМС Только для Вас очистка воды для дачи на короткие номера. Стоимость таких смс колеблется от 50 до 500! рублей. Что вы реально делаете, отправляя их? Вы помогаете мошенникам наживать рейтинг нечестным путем. Как только под каким бы то ни было благовидным предлогом вас призывают отправить смс со словом id*******, где чаще всего идет id мошенника или его друга, на номера, чаще всего, 1046, 1045, 4444 или 4449, вам просто предлагают поднять рейтинг этого мошенника ЗА ВАШ СЧЕТ. Администрация сайта ВКонтакте НЕ ПРОВОДИТ акций по моментальному поднятию рейтинга.
Также Администрация сайта НЕ ДАРИТ ПОДАРКОВ, НЕ ПРОВОДИТ СПЕЦИАЛЬНЫХ АКЦИЙ по поводу праздников.
У нас НЕ БЫВАЕТ официальных конкурсов на лучшую аватарку недели, месяца, года и т.д.
У сайта НЕТ ДЫРОК И ЛАЗЕЕК на просмотр закрытых страниц пользователей, закрытых приватностью фотоальбомов, видео, заметок и т.д. Вы НЕ СМОЖЕТЕ просмотреть закрытые группы и информацию в них содержающуюся.
У вас НЕ БУДЕТ ВОЗМОЖНОСТИ читать чужие личные сообщения.
Мнения всегда будут АНОНИМНЫМИ и никто никогда вам не скажет, кто его оставил, кроме того человека, который это сделал.
У нас НЕ СУЩЕСТВУЕТ VIP-ПОЛЬЗОВАТЕЛЕЙ. По мере нахождения таких пользователей, им вешается табличка о НЕСООТВЕТСТВИИ ИНФОРМАЦИИ НА ДАННОЙ СТРАНИЦЕ ДЕЙСТВИТЕЛЬНОСТИ. Эту же табличку вы получаете за неверную информацию в поле ИМЯ И ФАМИЛИЯ, а также за загрузку постороннего изображения вместо вашего ФОТО.
Сайт ВКонтакте создан для общения РЕАЛЬНЫХ людей.
Еще одна опасность, которая подстерегает Вас на просторах Контакта – это просьба ввести где-либо ваши регистрационные данные.
Это может быть, например, просьба подтвердить данные, указанные Вами при регистрации, ссылаясь на то, что “база сильно перегружена”, например или “мы переносим базу куда-нибудь еще”, поэтому “срочно скажите нам свой логин и пароль”.
Смею Вас заверить, что в реальности такого произойти НЕ может. База данных – это, пожалуй, одна из ценнейших вещей Контакта, поэтому “потерять” или “заново собирать” ее никто не будет. Она защищена самым лучшим образом и администрация сайта никогда не будет требовать у вас ввода логина и пароля нигде, кроме главной страницы http://www.vkontakte.ru .
Чем Вам это грозит?
Как только вы введете свои регистрационные данные где-либо, кроме главной страницы www.vkontakte.ru , у вас моментально уводят вашу страницу и далее творят на ней, ОТ ВАШЕГО ИМЕНИ, все, что им угодно.
Ваша основная задача, как пользователей, быть внимательными и бдительными к окружающим. Задумайтесь, ведь вы никогда не отдали бы ключи от вашей квартиры или pin-код от вашей банковской карточки мошенникам?!
…Продолжение следует…
Метки: безопасность вконтакте, безопасность социальных сетей, безопасных личных данных
Методы взлома аккаунта (вконтакте и других социальных сетей) и защита от них
Чтобы взломать ваш аккаунт, некоему третьему лицу надо приложить усилия, чтобы узнать ваш пароль, то бишь взломать его. Сделать это можно несколькими способами:
1) Взломом посредством перебора пароля по словарю или ручного подбора самых часто используемых простых паролей. Защититься от такого метода поможет сложный пароль. Больше информации в теме http://vkontakte.ru/topic1015388
2) Путем социальной инженерии. Этот метод позволяет через прямое общение с человеком выяснить, что он может использовать в качестве пароля. Метод очень опасен, если применяется опытным человеком. Поэтому не заводите ни с кем разговоров на тему ваших паролей и, тем более, не сообщайте их, даже если говоривший будет представляться работником техподдержки или администрации.
Одни из немногих примеров: http://vkontakte.ru/topic3243998 и http://vkontakte.ru/topic1240133
3) В интернет-кафе Авиабилеты дешево (а также у ваших друзей, намеревающихся украсть ваш пароль) могут стоять программы, называемые KeyLogger’ами – это клавиатурные шпионы, перехватывающие нажатия на клавиатуру и записывающие их в файл. Следовательно, у злоумышленника будет ваш пароль в явном виде. Гарантированной защитой от этого метода может послужить только выход в интернет и ввод пароля со своего или надежного, проверенного компьютера.
4) Следующий метод относится к почтовым сайтам – нередко в интернете можно найти способы взлома почты путем отправки специально построенного сообщения, в котором вы указываете ваши логин, пароль и ответ на секретный вопрос. Либо, пользователи получают письма от якобы робота, отвечающего за восстановление пароля, с просьбой указать ваш адрес, пароль или секретное слово. Это полная чушь, ваше письмо улетит к злоумышленнику. В этом случае вы практически безвозвратно теряете свою почту и все свои аккаунты, зарегистрированные на нее. Защита – не отсылать своих данных никому – настоящая техподдержка или любые другие технические службы никогда не будут просить ваш пароль.
5) Программные методы. Этот метод взлома доступен знающим людям и состоит в поиске ошибок в коде сайтов, позволяющих получить доступ к базе данных с паролями. В таком случае данные могут восстановить только администраторы.
6) Метод обмана – очень распространенный метод доступа к вашим личным данным. Сюда входят предложения о загрузке фото вместо граффити, установке новых смайликов, просьбы указать cookies, логин и пароль от неких людей, которые могут представляться сотрудниками техподдержки или администрации. Помните: никто из настоящих сотрудников техподдержки или администрации никогда не будет просить вас об этом.
Чтобы защититься от этого метода взлома, вам нужно просто быть внимательнее. Все разрешённые программы приведены в техподдержке: http://vkontakte.ru/techsupp.php . Все прочее – вирусы, служащие для воровства ваших аккаунтов.
Существуют также и другие методы получения доступа к Вашим конфиденциальным данным, такие как например трояны. Для защиты от них помогут антивирусную программы с акутальными (обновленными) базами данных. Также существуют методы взлома, строящиеся на уязвимостях протоколов передачи данных. Данные проблемы решаются уже администрацией интернет-провайдеров.
И самое важное – всегда используйте для каждого форума, сайта, номера ICQ и почтового ящика РАЗНЫЕ пароли!!! Иначе при краже одного пароля шансы на то, что вы сразу лишитесь всех своих аккаунтов, увеличиваются. Помогает избежать этого введение отдельного ящика на одну-две регистрации.
Метки: взлом аккаунта вконтакте, способы взлома