• Welcome to Български Националистически Форум. Please login or sign up.
 
Welcome to Български Националистически Форум. Please login or sign up.

26 May 2020, 19:39:15

Login with username, password and session length

Top Posters

Hatshepsut
10624 Posts

Шишман
1930 Posts

Panzerfaust
339 Posts

Лина
290 Posts

Theme Select





thumbnail
Members
Stats
  • Total Posts: 14078
  • Total Topics: 1248
  • Online Today: 71
  • Online Ever: 420
  • (13 January 2020, 09:02:13)
Users Online
Users: 0
Guests: 33
Total: 33

avatar_Hatshepsut

Фишинг - измами

Started by Hatshepsut, 27 November 2019, 08:47:49

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Hatshepsut

27 November 2019, 08:47:49 Last Edit: 27 November 2019, 09:00:31 by Hatshepsut
Фишинг - на лов, но не за риба, а за вашето потребителско име и парола


Получавали ли сте наскоро имейл от банката, че е нужно да обновите данните си за контакт, иначе ще блокират акаунта или сметката Ви?

До неотдавна явлението "фишинг" не беше особено популярно за българските потребители в уеб. В последните години обаче всички вече сме го виждали от първо лице.

Фишинг имейлите не са само за банкови и кредитни институции, но дори засягат различни типове бизнес компании.

Припомняме: Фишингът (phishing) представлява злонамерено действие с цел заблуда и прихващане на чувствителни данни като потребителско име и парола, данни за кредитна карта и други. За целта злонамерените лица първо правят копие на външния вид на целевата логин страница. Разполагат копието на страницата на свой сървър и домейн и след това разпращат имейли, в които има препратка към това копие. Когато потребителите кликнат на препратката и им се зареди позната логин форма от познат за тях сайт, въвеждат своите данни, без да обърнат внимание на URL адреса на страницата. Сайтът не е истинският и вместо да се логнат, данните им биват записвани в базата на злонамерените лица и използвани за злонамерени цели.

Наскоро и ние станахме свидетели на подобен тип фишинг на логин страницата за вход в клиентския профил на СуперХостинг.БГ. Наши клиенти с пощи в abv.bg ни сигнализираха, че са получили странен имейл "от нас", в който злонамерени лица ги подканят да кликнат на съмнителна препратка и да си въведат данните за достъп до клиентския им профил при нас.

Затова, обръщаме внимание: Винаги гледайте URL адреса на целевата страница. Възможно е само една буква в името на домейна да е различна и ако не обърнете внимание, е много вероятно да станете жертва на подобна фишинг атака.

Примерен фишинг сайт:


Фишинг сайт, на който е разположено копие на външния вид на формата за логин

Детайли в адресната лента на браузъра:


Погледнете адреса на сайта в адресната лента на браузъра!

8 съвета как да се предпазите от опити за фишинг:

Независимо дали става въпрос за Вашия клиентски профил при нас, или за профила Ви в друга система, припомняме няколко съвета как да се предпазите от опити за фишинг и да защитите акаунтите си!

1.    Не се доверявайте на полето "От:" в писмото, което показва имейл адреса на изпращача. Стойността в това поле може да се манипулира - вижте повече за мейл хедърите на писмото в статията: Какво са мейл хедърите и каква информация се съдържа в тях?
2.    Обърнете внимание на написаното и правописа. Когато писмото е на български език, но има проблемен изказ и правопис, това е сигнал, че има нещо нередно.
3.    Писмата, които съдържат важни линкове, които наистина трябва да се кликнат, са в отговор на Ваше действие. Например след регистрация в даден сайт, често е нужно потвърждение чрез кликване на линк в изпратено от сайта писмо. В тези случаи, Вие предварително знаете, че ще получите подобно писмо и знаете, че в него ще има линк. Вие направили ли сте подобно действие?
4.    Не кликайте на препратки в писмата, без да сте се уверили, че писмото е от достоверен изпращач. Дори да имате минимално съмнение, първо проверете и помислете за причината да получите подобно писмо.
5.    Има бърз начин да проверите къде води препратката, преди още да сте я кликнали. Поставете курсора на мишката върху текста на препратката, без да кликвате. Погледнете долу в левия ъгъл на мейл клиента или на друго място в интерфейса, където се показва допълнителната информация.
6.    Ако вече сте кликнали на препратка и се зареди сайт, винаги поглеждайте първо в адресната лента на браузъра - това ли е домейнът на изпращача, същото ли е разширението, липсват ли букви или пък са заменени с други?
7.    Дали се използва сигурна връзка със сайта, има ли катинарче или не. Никога не въвеждайте данните си за логин на страници, които се зареждат по несигурна връзка.
8.    Ако имате и най-малки съмнения дори и след тези проверки, свържете се с доставчика, за да сте сигурни, че той е изпращачът на този имейл, а не някое злонамерено лице.

https://blog.superhosting.bg/phishing-email-and-login-page.html

Hatshepsut

Атака чрез регистриране на фишингови домейни с приличащи си Unicode символи в имената


Експертите на компанията Soluble разкриха нов начин за регистриране на домейни с омоглифи. Тези домейни външно много приличат на оригиналните домейни, но се различават по наличието на специални символи. Тези интернационализирани домейни (IDN) на пръв поглед по нищо не се различават от домейните на най-известните компании и онлайн услуги. Те получават коректни TLS сертификати и са идеални за фишинг.

Класическата подмяна на оригинален с подобен IDN домейн отдавна се блокира чрез въведената забрана за смесване на символи от различни азбуки. Така например, фалшивият домейн аpple.com (,,xn--pple-43d.com") няма как да бъде създаден чрез подмяна на латинската буква ,,a" (U+0061) с ,,а" (U+0430) от кирилицата, понеже не се допуска смесването на букви от различни азбуки в един и същи домейн. През 2017 година бе намерен начин за заобикаляне на тази защита чрез използване в домейна само на Unicode символи, без използване на латиница.

А сега бе открит още един начин за заобикаляне на защитата. Използва се фактът, че регистраторите на домейни позволяват смесването на латински букви с Unicode Latin IPA разширението, което се счита за част от латинската азбука и включва омоглифи, които много приличат на другите символи от латинската азбука. Така например символът ,,ɑ" напомня на ,,a", ,,ɡ" – ,,g", ,,ɩ" – ,,l".



Възможността за регистриране на домейни, в които латиницата се смесва с допълнителните Unicode символи, бе засечена при регистратора Verisign, но другите регистратори не са проверявани. Създадени са сходни домейни на Amazon, Google, Wasabi и DigitalOcean. Проблемът бе разкрит през месец ноември миналата година и след три месеца е решен само за Amazon и Verisign.

По време на експеримента специалистите са изхарчили $400 и са регистрирали във Verisign следните домейни:

amɑzon.com
chɑse.com
sɑlesforce.com
ɡmɑil.com
ɑppɩe.com
ebɑy.com
ɡstatic.com
steɑmpowered.com
theɡuardian.com
theverɡe.com
washinɡtonpost.com
pɑypɑɩ.com
wɑlmɑrt.com
wɑsɑbisys.com
yɑhoo.com
cɩoudfɩare.com
deɩɩ.com
gmɑiɩ.com
gooɡleapis.com
huffinɡtonpost.com
instaɡram.com
microsoftonɩine.com
ɑmɑzonɑws.com
ɑndroid.com
netfɩix.com
nvidiɑ.com
ɡoogɩe.com
Експертите създадоха и онлайн услуга за проверка на домейни с възможни алтернативни варианти с омоглифи, включително и на своите новосъздадени домейни. Проверяват се и TLS сертификатите на тези имена. Що се отнася до HTTPS сертификатите, то чрез логовете на Certificate Transparency бяха проверени 300 домейна с омоглифи, за 15 от които е регистрирано генериране на HTTPS сертификати.

Актуалните към днешен ден браузъри Chrome и Firefox показват този вид домейни в адресния ред чрез префикса ,,xn--" за тези специални символи. Но в съдържанието на страниците линковете към подобни домейни не се преобразуват по никакъв начин и това може да се използва за препращане на потребителите към вредоносни уеб ресурси. Така например, в един от разглежданите домейни с омоглифи бе фиксирано разпространението на вредоносния вариант на програмната библиотека jQuery.

https://www.kaldata.com/