Содержание

Красивый пример фишинга во «В Контакте» / Хабр

Не так давно в «Часкоре» была опубликована статья «

Воспоминания экс-спамера

». В ней один из интернет-предпринимателей, зарабатывавших на спаме во «В Контакте», объявил о том, что у такого бизнеса очень скоро почти не останется воздуха.

В какой-то мере с ним можно согласиться — сейчас спама действительно ощутимо меньше, чем было даже в прошлом году. Но оставшиеся спамеры прибегают ко всё более изощрённым методам. Сейчас я хочу рассказать об одном из таких методов, встретившихся мне сегодня.


Начинается всё довольно невинно, кто-то из друзей пишет вам банальное «привет. как дела?». Вы не менее банально отвечаете, что у вас всё отлично, и интересуетесь делами собеседника, он уточняет: «ты за компом сейчас?», спрашивает: «хочешь посмеяться?» и кидает ссылку вроде

http://tinyurl.com/home-video-10737644-html

На этом этапе впечатляет уже то, что бот с, очевидно, взломанной учётной записи пишет три вполне уместные реплики, прежде чем кинуть ссылку. Ссылка перенаправляет на страницу

http://46.98.28.65/home-video/10737644

с интерфейсом YouTube. Внимательный пользователь, разумеется, заметит несоответствие URL сайту, но расчёт, очевидно, делается на тех, кто на такое внимание не обращает.

Страница, на которую даётся ссылка, персонализирована. Цифры 10737644 в ссылке — это мой id. В название и описание якобы-видеоролика вставлено моё имя:

Видеоролик же нельзя посмотреть, потому что у меня, оказывается, устаревший Flash Player. Предлагается загрузить его «с сайта Adobe» по ссылке

http://46.98.28.65/Flash-Player.exe

Не менее чудесными являются «комментарии». В качестве авторов комментариев указаны мои реальные френды из «В Контакте» со своими аватарами:

Особо примечателен второй комментарий, который должен окончательно убедить меня, что этот «Flash Player» всё-таки нужно скачать.

Я обратился к Onthar — автору предыдущих топиков о вредоносном спаме во «В Контакте», вот его комментарий:

Этот файл — троян-загрузчик. То есть он загружает и запускает вредоносные файлы из сети. Дело в том, что там какая-то партнерка или еще что-то. Файлов грузится необычно много (2-3 только за 5 минут анализа), и они все продолжают активность в системе. Пока могу точно сказать одно — это ботнет из загрузчиков, обращаются все файлы на разные домены (n-78.ru, vn-66.ru …), но на один ip — 91.223.89.99.

Не секрет, что загружать в систему жертвы эти файлы способны самое разнообразное вредоносное ПО, вплоть до знаменитого TDSS-буткита.

Что такое фишинг или как взломать страницу в VK

Данный материал опубликован с целью обезопасить пользователя от возможных угроз из вне
В двух словах разберем что такое фишинг, это некая прослойка между клиентом и сервисом который хацкер хочет взломать, который получает данные клиента и отправляет его на настоящий сайт, либо куда угодно.

Ок, вроде понятно, как будем взламывать?
  • Создаем фейковую страничку авторизации VK
  • Любыми методами заставим ввести логин и пароль юзера
  • Запишем все данные и токен в базу данных

Да-да, это фейковая страница авторизации

Звучит просто, а на деле ещё легче. Потому что например в Kate Mobile нет специальной формы авторизации и не исключено что приложение может записывать все ваши пароли у себя в БД для дальнейшего использования хацкеров.

Создание фейк страницы

Здесь находятся все исходники фейковой страницы.

Скачать (Google Drive)

Что дальше? И как проходит авторизация?

После скачивания, это всё ставится к себе на сервер, вешается на какой-то домен (сайт) и заманиваются пользователи на это сайт, для авторизации. Тут конечно не хватает еще одного файла, db.sql. Делиться я им конечно же не буду. Тот кто шарит, тот сам его сможет создать и настроить. Это файл базы данных, куда всё будет записываться.

Но пользователь же не совсем долбаеб, верно? Верно, есть и более продвинутые юзеры, которые читают Рителлинг, поэтому вас наебать сложнее. Но пока всё еще можно, есть официальные приложения VK IPhone / VK IPad / VK Android и прочие. Им доверять такую авторизацию не через виджет можно (Чуть позже расскажу что это за штука). Но доверять можно только через само приложение которое было скачено в AppStore / GooglePlay. В ином случае, вас разводят. Сейчас покажу как.

https://api.vk.com/oauth/token?grant_type=password&client_id=[Наше значение]&scope=[Права доступа]&client_secret=[Наше значение]&username=[Логин который ввел пользователь]&password=[Пароль который ввёл пользователь]


И так, что всё это значит?

  • clenit_id — это id нашего приложения. Запишем в client_id значение 2274003.
  • scope — права доступа, необходимые приложению. Усложнять себе жизнь мы не будем, а просто запросим офлайн токен, записав в scope значение «offline». Этого будет достаточно, чтобы входить на страницу ВК по токену через apidog.ru. !Важно: такой токен «живет» до тех пор, пока пользователь не сменит пароль, либо завершит все сессии в настройках безопасности.
  • client_secret — секретный ключ Вашего приложения. Будет равен например hHbZxrka2uZ6jB1inYsH
  • username — логин пользователя ВКонтакте
  • password — пароль пользователя ВКонтакте

Секретные ключи приложений

Но у приложений есть же секретные ключи? Всё верно. Они есть.
Вот они:Android:

client_id: 2274003

client_secret: hHbZxrka2uZ6jB1inYsH

IPhone:

client_id: 3140623

client_secret: VeWdmVclDCtn6ihuP1nt

IPad:

client_id: 3682744

client_secret: mY6CDUswIVdJLCD3j15n

Windows desktop:

client_id: 3697615

client_secret: AlVXZFMUqyrnABp8ncuU

Windows phone:

client_id: 3502557

client_secret: PEObAuQi6KloPM4T30DV

Вы можете проверить их через CURL запрос. Но там уж сами разбирайтесь. А еще убедиться в том, что это оф. паблики вы можете по ссылке vk.com/appCLIENT_ID

Например: vk.com/app3140623

Как себя защитить?

1. Сделайте двойную аутентификацию.
2. Проверяйте ваши подключенные приложения и удаляйте не нужные.
3. Внимательно смотрите как вы проходите авторизацию, один из самых безопасных способов это виджет вконтакте (Кнопочка «Войти через вконтакте» и там перекидывает на оф. сайт вк).

Если вы сделали пункт номер 1, то ваша страница от такой хуйни безопасна и остальное вовсе не обязательно. Удачки!

Спасибо за то, что вы с нами.
С любовью, Рителлинг favorite

Как менялся дизайн «ВКонтакте» за 15 лет существования соцсети

Российский клон Facebook

«ВКонтакте» заработал в день рождения своего создателя Павла Дурова — 10 октября 2006 года.

Первоначально соцсеть работала по приглашениям и основными пользователями были студенты СПбГУ, которых Дуров набирал на форуме университета. Однако спустя месяц регистрация стала свободной.

close

100%

По словам одного из основателей компании «ВКонтакте», прообразом отечественной платформы стал Facebook, что, впрочем, заметно и невооруженным глазом.

«Facebook подсказал не как надо делать, а как не надо», — объяснял сам Дуров.

close

100%

Особенным функционалом соцсеть не отличалась. На сайте можно было создать профиль с информацией о себе, добавлять друзей, общаться, создавать группы и загружать фото.

С 2007 года соцсеть стала модернизироваться, и ее функционал постепенно расширялся, например, сформировалась первая лента новостей.

Появилась возможность оставлять анонимные мнения, рисовать «граффити» на стене пользователей. Кроме того, разработчики добавили приложения, видео- и аудиозаписи. Тогда же появился и счетчик пользователей, который просуществовал пять лет.

close

100%

Все это было сделано, чтобы создать удобную среду для пользователей.

«Люди — не идиоты. Они чувствуют — часто подсознательно — качество того, что вы предлагаете. Каждая приятная мелочь и продуманная деталь, сколь бы несущественной она ни казалась, приносит новых преданных пользователей», — считает Дуров.

В 2008 году «ВКонтакте» стал самым популярным интернет-ресурсом в России и его аудитория составляла уже 10 млн человек.

Тогда же на сайте появилась и реклама — до этого ее там не было. Кроме того, появился раздел «Подарки».

close

100%

Спустя пару лет сайт начал претерпевать сильные изменения. В 2010 году пользователи лишились легендарной стены и получили вместо нее микроблоги.

Решение администрации сервиса подверглось критике, которая в свою очередь породила мем «Дуров, верни стену!».

close

100%

Тогда же появилось поле быстрой регистрации, и кнопка «Мне нравится».

В 2011 году соцсеть получила мобильное приложение, включила поддержку хэштегов, групповых чатов и переехала на новый домен vk.com, сменивший vkontakte.ru.

close

100%

Начиная с 2012 года соцсеть стали пытаться законодательно регулировать. Тогда «ВК» считался одним из крупнейших сайтов с пиратским контентом — в соцсети можно было найти что угодно: книги, фильмы, сериалы и музыку.

Особенно правообладателей смущала музыка. Они были уверены в том, что «ВКонтакте» лишает артистов заработка, и некоторые даже обратились в суд. В конечном итоге на сайте была проведена чистка от пиратского контента и соцсеть начала удалять треки.

Однако пользователи были не согласны и начали пытаться обманывать администрацию платформы. Они стали шифровать названия исполнителей и песен, так, например, Лана Дель Рей стала «Ванной без дверей».

close

100%

Это помогло, но ненадолго. Соцсеть стала вычислять и удалять треки по звуковому оттиску.

До 2015 года дизайн социальной сети не менялся. В 2016 году лента новостей начинает подстраиваться под интересы пользователя. Также были запущены такие функции, как перевод безналичных денежных средств, ведение трансляций и голосовые сообщения. Изменения коснулись и дизайна.

close

100%

В 2019 году обновление получило мобильное приложение «ВК». Оно стало куда светлее, а разделы «Сообщества», «Музыка», «Видео», «Трансляции», «Подкасты», «События», VK Pay и мини-приложения объединили на одной вкладке «Обзор».

Кроме того, изменился и главный экран. Помимо новостей на нем появился раздел «Интересное», а уведомления стали доступны по кнопке в правом верхнем углу.

Профиль тоже изменился. Появилась панель быстрого создания историй, записей, фото и трансляций. Остальная информация доступна в отдельном блоке. Кроме того, в правом верхнем углу появилось меню, где можно было посмотреть документы, архив историй и статистику посещений.

close

100%

Сегодня «ВКонтакте»— это самая крупная российская соцсеть и число ее активных пользователей составляет 73 млн человек. По данным пресс-службы соцсети, за эти 15 лет пользователи платформы приняли 26 млрд запросов в друзья, создали 202 млн сообществ и провели 9 млн лет за прослушиванием музыки.

close

100%

«Стены все же не хватает»

Администрация сообщества «Лепрозорий» рассказала «Газете.Ru», что свою деятельность они начали еще в 2012 году. По их словам, тогда «ВКонтакте» была доминирующей соцсетью в России, поэтому выбора между площадками не стояло.

Самым значимым нововведением администрация «Лепрозория» считает появление «умной» ленты.

«До 2016 года пользователи видели в ленте посты из всех сообществ по мере их выхода. «Умная» лента сначала вызвала много негодований, так как не сразу работала идеально и многие посты не набирали привычные просмотры. В последующие годы алгоритмы десятки раз немного менялись и к настоящему времени все, кажется, привыкли и адаптировались», — отметили собеседники «Газеты.Ru».

Пожелавший остаться анонимным владелец сети сообществ «ВКонтакте» с десятилетним стажем работы рассказал «Газете.Ru», что перепробовал множество разных платформ, но остановился именно на «ВКонтакте» из-за удобства ведения пабликов.

«Соцсеть менялась динамично всегда, не помню периодов застоя. Со временем я открыл для себя, что меня устраивает все, что есть в «ВК». Теплые, приятные цвета интерфейса; удобство в использовании — будь то использование инструментов для администраторов, общение со своей аудиторией, поиск единомышленников; стабильность работы, а также многое другое в буквальном смысле стало мне вторым домом», — рассказал собеседник «Газеты.Ru».

По его словам, социальная сеть всегда стремилась к современным стандартам и пыталась удовлетворить запросы пользователей.

«Мне нравится «ВКонтакте» именно удобством пользования, Facebook очень сложный и нагроможденный, в нем интуитивно непонятно, что и где находится. Вдобавок я считаю «ВК» более свободной платформой для выражения мнений», — поделился администратор.

Исполнительный директор iMARS Digital Татьяна Виноградова отметила, что за 15 лет «ВКонтакте» превратился из площадки для общения студентов в полноценную экосистему.

«ВК» развивался вместе со своими пользователями, бывшие студенты сегодня обзавелись семьями, устроились на работу, у них изменились запросы. Вместе с ними и менялась социальная сеть.

Для студентов 2006-2007 годов тот «ВК» был идеальной площадкой. Современный пользователь просит большего.

Сегодня более 679 миллионов человек могут на одной площадке решить большое количество своих запросов: помимо стандартных мессенджеров и пабликов — это платежные сервисы, сервисы заказа еды и продуктов, приложения такси и работы, музыкальная и видеоплатформа, видеозвонки. Единственное, чего не хватает сети — стена, по которой до сих пор скучают пользователи», — отметила Виноградова.

Главное преимущество «ВК» — это большое число самых разнообразных сообществ, число которых постоянно растет, считает управляющий партнер коммуникационного агентства B&C Марк Шерман.

«ВК» стал одним из редких исключений, когда удалось создать конкурента Facebook, доминирующего практически во всех странах, где он используется. За счет появления огромных пабликов «ВКонтакте» удалось отстроиться от западного брата, и этот тренд уже не будет меняться», — заявил Шерман.

Фишинговый сайт не катастрофа, а повод стать внимательнее

Бизнес все активнее использует онлайн-каналы. Одновременно растет и интерес к ним многочисленных интернет-злоумышленников. Хакеры становятся все изобретательнее. Одна из разновидностей их атак — фишинг, то есть создание поддельных сайтов, с помощью которых деньги клиентов утекают к мошенникам. Отличить фишинговый сайт от прототипа бывает очень сложно. О том, как бизнесу противостоять хакерским атакам и защитить данные — свои и своих клиентов — рассказал генеральный директор финтех-компании RBK.money Денис Бурлаков на встрече с представителями СМИ, организованной агентством TrendFox.

Как понять, что ссылка, по которой вы собираетесь перейти, потенциально опасна? Эффективно победить мошенника поможет только внимательность. Распознать фальшивку можно, изучив адресную строку сайта. 

Основные способы обмана:

●     Длинная ссылка, содержащая поддомен, похожий на настоящий

Создатели фишинговых сайтов используют привычную для глаза пользователя и похожую на настоящую «длинную ссылку», содержащую поддомен. Например: outlook.office.com.rbkmoney.com.

●     Короткая ссылка с опечаткой

Короткая ссылка при этом может писаться с опечаткой или с использованием символов из различных алфавитов, но в целом напоминает что-то очень привычное. Например: rbkmaney.com.

●     Использование сервиса сокращения ссылок

Например: Bit.ly/af23wfeaFa2, Go.g/aw4fFaef2.

●     Использование IP-адреса вместо домена

Например: 34.19.0.47/owa/email

●     Использование пути в строке домена 

Например: F3f3af.tk/outlook.office.com.

●     Имитация оформления и функционирования сайта. Это так называемые омографические атаки с использованием интернационализированных доменных имен

C 2003 года можно регистрировать  доменные имена, используя различные  местные алфавиты, в том числе  кириллические. При этом нельзя использовать написание на двух языках одновременно. Но многие языки содержат буквы как кириллического, так и латинского происхождения. Этим часто пользуются мошенники, перемешивая алфавиты. Например, заменяют похожие или одинаковые буквы: «с» кириллицей пишут вместо «си» латиницей и т. д.

Используются и другие ухищрения с игрой букв. Необходимо помнить, что в начале адресной строки указывается протокол, по которому осуществляется соединение: http:// или https://. Отсутствие S показывает, что не используется защищенный протокол. Это не обязательно признак фишингового сайта, но перед вами домен, где нет защищенной информации. То есть это точно не сайт с интернет-банкингом или чем-то серьезным, когда требуется защищенное соединение.

Далее следует доменное имя. Доменное имя первого уровня — это .ru. Домен второго уровня, скажем yandex.ru, домен третьего уровня — bb.yandex.ru и т. д. Основная масса фишинговых сайтов прячется на втором и третьем уровнях.

Например, после регистрации домена hacker.ru может появляться бесконечное количество поддоменов различного уровня, в том числе и фрагменты популярных интернет-ресурсов. В этом главная задача мошенников — ввести пользователя в заблуждение. Например, может появиться поддомен hacker.ru.yandex.ru. Возможно, некоторые пользователи не обратят внимания на особенности написания сайта и зайдут туда.

Возможны и другие комбинации. Например, вероятно появление ресурса с названием файла yandex.ru.html. Это будет означать, что пользователь попал в домен hacker.ru/yandex.ru.html. Совершенно точно ничего хорошего он там не найдет.

Пользователь всегда сам может проявить бдительность, нажав гиперссылку на PC правой кнопкой мыши и выбрав пункт «проверить». В этом случае название домена состоящее, скажем, из букв кириллического алфавита, имитирующих латиницу, будет отражаться в кодировке Unicode. Например, не авс.сом, а xn-… Главное правило тут следующее: если вы переходите по хорошо известному вам URL на латинице, а он неожиданно меняет написание в браузере на xn-****, это, возможно, фишинг.

Можно еще кликнуть на иконку с изображением замка слева от адресной строки, чтобы проверить информацию о сертификате сайта. Но бывают фишинговые сайты, у которых на первый взгляд «все правильно» — сертификат, зеленый замок. Как их распознать? Изучить дополнительную информацию. Может оказаться, что в данных о сертификате она противоречивая. Например,  перед нами вроде бы всем известный сайт «Яндекса», а в информации о сертификате написано, что он выпущен компанией, которая специализируется на бесплатных сертификатах. Маловероятно, что крупная известная компания не будет пользоваться бесплатными сертификатами.

Кроме всего прочего, стоит обратить внимание и на самые очевидные признаки: кривая верстка сайта, кричащие заголовки и баннеры, которые призывают немедленно ввести номер телефона или карты, чтобы выиграть призы, которых раньше никогда не было. Если во внешнем виде сайта что-то смущает, не спешите вводить реквизиты карты или другие личные данные.

Бизнес, который страдает от фишинговых сайтов не меньше своих клиентов, тоже может (и должен) принимать меры по борьбе с мошенниками. В распоряжении корпоративных пользователей есть различные сервисы, которые предоставляют бизнесу услуги по предотвращению фишинга. Например, такие, которые ищут в сети сайты-двойники.

Есть компании, которые предоставляют клиентам информацию о выданных сертификатах. Эти сервисы работают со всеми регистраторами. Когда они выявляют предполагаемую атаку или обнаруживают существующую, то связываются с регистраторами и добиваются того, чтобы фишинговый сайт был разделегирован.

Эта работа достаточно кропотливая. В России есть национальный регистратор, аналогичный имеется в Китае, и еще десятки других в разных странах. Поэтому, как правило, компании, предоставляющие услуги мониторинга новых доменов, для повышения эффективности своей деятельности группируются по сферам бизнеса.

Для борьбы с фишингом используют и превентивные меры. Например, можно заранее сгенерировать всевозможные комбинации названия сайта с различными опечатками и зарегистрировать, чтобы потенциальные злоумышленники не могли их взять себе. В этом случае риск фишинга снижается, но не исключается полностью, потому что абсолютно все сочетания, конечно, закрыть не удастся. Еще один хороший способ — обучать своих пользователей, рассказывать им о видах мошенничества с помощью email-рассылок, в соцсетях и так далее.

Интернет-мошенники по новой схеме используют архивы «ВКонтакте»

Эксперты Центра цифровой
экспертизы Роскачества
зафиксировали фишинговую кибератаку на аккаунты
пользователей социальной сети
«ВКонтакте».


Атака нацелена на похищение пароля пользователя с целью дальнейшего взлома профиля в соцсети и использования его для мошенничества и рассылки спама. Совместно с соцсетью «ВКонтакте» разбираем данную схему и рассказываем, как избежать этой ловушки и продолжать безопасно использовать любимую соцсеть.


Социальная сеть «ВКонтакте» позволяет пользователям выгружать все данные, которые она собрала от них. В архиве, который выдает сеть, содержится большой объем информации, включая все диалоги пользователя. Заказать выдачу архива может только сам пользователь, залогиненный в свой аккаунт, и сделать это извне нельзя. Тем не менее именно такую атаку имитирует злоумышленник для получения доступа к странице пользователя, играя на страхе жертвы, что ее переписки утекут в чужие руки, если не принять меры.


Как работает новая схема мошенников?


Атака происходит следующим образом: пользователю, у которого есть аккаунт в сети «ВКонтакте», приходит (на почту, через пуш или личным сообщением) сообщение вида «Архив на все ваши переписки будет создан через 24 часа и отправлен на почту XXX». В качестве почты указывается очевидно не принадлежащий пользователю ящик по типу artem*****@mail.ru. Далее происходит классическая фишинговая схема: пользователю предлагают войти в аккаунт, чтобы отменить создание и передачу архива, а также сменить пароль по ссылке. Только вот ссылка эта (ведущая каждый раз на разные сайты, имеющие «vk» в названии) – фишинговая, хотя форма выглядит настоящей – дизайн сайта максимально похож на сайт соцсети.


К примеру, мы заметили сайт vkarchives.com, который к моменту написания данного материала был удален, а переход по данной ссылке был заблокирован Агентами безопасности сети «ВКонтакте», чтобы защитить своих пользователей.


Важно: Если пользователь введет свой пароль в форме фейкового сайта, он отдаст свой аккаунт прямо в руки хакеру. Смена пароля – дело, конечно, полезное, но не на мошенническом сайте, а только на оригинальном сайте соцсети!


Илья Лоевский


заместитель руководителя Роскачества


Злоумышленник, похитив ваш профиль в соцсети, действительно сможет заказать выгрузку архива, и это потенциально опасно. В архиве содержится не только открытая информация профиля, но и, к примеру, загружавшиеся пользователем документы, привязки телефонных номеров, история платежей и список использованных банковских карт. Все это может быть использовано злоумышленником в своих интересах и, конечно, может дорого обойтись пользователю. Допускать такой взлом точно нельзя!


Как не стать жертвой мошенников: советы экспертов


Для того чтобы не стать жертвой развода мошенников по данной схеме, необходимо соблюдать следующие правила:


  • Не переходите по ссылкам из сообщений, особенно играющим на эмоциях (как негативных «вас взломали», так и позитивных «вы выиграли»).


  • Вбивайте адрес соцсети только вручную в браузере, а лучше пользуйтесь приложением соцсети. Никогда не вводите свои пароли и логины на посторонних сайтах. Даже если сайт похож на вашу любимую социальную сеть, всегда проверяйте в адресной строке, где вы находитесь.


  • В случае возникновения неясной ситуации с безопасностью аккаунта в соцсети, меняйте пароль, читайте официальный FAQ и обращайтесь в техническую поддержку – не совершайте преждевременных действий, в которых не уверены.


  • Пользуйтесь двухфакторной аутентификацией (2ФА).


  • Рекомендация от Агента поддержки сети «ВКонтакте»: если вы переходили по ссылкам, то смените пароль, чтобы обезопасить профиль. А лучше сделайте это прямо сейчас в качестве превентивной меры, не дожидаясь взломов, потому что о каких-то случаях сомнительных переходов вы могли забыть.


Данный вид мошенничества и методы борьбы с ним прокомментировал Александр Швец, директор по защите приватности пользователей «ВКонтакте»: «Злоумышленники могут создавать фишинговые сайты и присылать спам-письма, маскируясь под популярные ресурсы. При этом, конечно, никто не взламывает наши серверы, не получает доступ к базам данных. Люди сами неумышленно отдают свои профили мошенникам, доверчиво переходя по непроверенным ссылкам. В среднем отправляем около 10 тысяч предупреждений о смене пароля в сутки. Мы оперативно блокируем переходы из “ВКонтакте” на вредоносные сайты. Кроме того, рекомендуем не пользоваться вредоносными программами, которые просят указать личные данные для получения возможностей, которых нет “ВКонтакте”: просмотра чужих скрытых фото или “гостей страницы”, безлимитных подарков или бесплатных голосов».


Соцсеть «ВКонтакте» отдельно подчеркивает, что скачать персональный архив с данными профиля без подтверждения с привязанного к аккаунту устройства нельзя, а уникальную ссылку для скачивания невозможно открыть из другого профиля. Вдобавок можно зашифровать сам архив с помощью персонального ключа OpenPGP.


Берегите свои страницы в соцсетях, ведь они – ваше онлайн-лицо. Его потеря для многих может стать огромной проблемой.

новый уровень фишинга в Интернете

SocialFish Script for everyone | Взлом с помощью ngrok

SocialFish – скрипт, который написан для создания фишинговых страниц. Очень легкий способ взлома страниц в социальных сетях. Скрипт написан на языке программирования Python и очень легко кастомизируется под любые нужды создания фишинговых страниц. Всё, что следует добавить, это пункт выбора в самом коде, а также страницу, которую вы хотите использовать. Сделать это можно очень легко, просто зайти на нужную страницу и скопировать её код, вставить его в предварительно созданный файл index.html.

Фишинг – техника компьютерного взлома, которая используется в Интернете. Для этого создается идентичная страница входа официального сайта и сохраняются логи полей входа, такие как логин и пароль.

Ngrok – защищенные интроспективные туннели с помощью инструмента разработки веб-хоста localhost и средства отладки. Он используется в скрипте SocialFish для того, чтобы вам не пришлось покупать хостинг и закидывать туда свой сайт. Следует понимать, что URL страницы будет выглядеть не лучшим образом, по этому придется подумать и использовать социальную инженерию. С учетом того, что очень малое количество людей слышали про ngrok – это будет не сложно.

Запуск SocialFish | Зависимости и возможности

Для корректной работы скрипта, вам потребуется установить следующие компоненты:

  • Python 3.x
  • pip3
  • wget from Python 3.x
  • huepy from Python 3.x
  • PHP
  • sudo

Следует заметить, что если вы используете Kali Linux, то достаточно будет запустить обновление и все зависимости будут автоматически установлены. SocialFish тестировался на следующих операционных системах:

  • Kali Linux – Rolling Edition
  • Linux Mint – 18.3 Sylvia
  • Ubuntu – 16.04.3 LTS
  • MacOS High Sierra

Хочется заметить, что если вы используете Windows 10, то вам не нужно устанавливать Kali Linux отдельно, так как вы можете установить Kali Linux на Windows 10 в пару кликов. Это не занимает много времени, а с учетом того, что графическая оболочка для работы скрипта не нужна, всё будет удобно и легко.

Для того, чтобы установить скрипт для фишинга, просто скопируйте следующую команду в терминал:

git clone https://github.com/UndeadSec/SocialFish.git

После того, как всё склонируется, выполните следующие команды для запуска:

cd SocialFish
sudo apt-get install python3-pip -y
sudo pip3 install -r requirements.txt
python3 SocialFish.py

Список доступных страниц перед вами, однако не забывайте, что это не все возможные варианты и вы можете легко добавить нужную вам страницу с помощью редактирования кода.

+ Facebook:

  • Traditional Facebook login page.

+ Google:

  • Traditional Google login page.

+ LinkedIn:

  • Traditional LinkedIn login page.

+ GitHub:

  • Traditional GitHub login page.

+ Stackoverflow:

  • Traditional Stackoverflow login page.

+ WordPress:

  • Similar WordPress login page.

+ Twitter:

  • Traditional Twitter login page.

+ Instagram:

  • Traditional Twitter login page.

+ Snapchat:

  • Traditional Snapchat login page.

+ VK:

  • Traditional VK login page.

+ Steam:

  • Traditional Steam login page.

Подписывайтесь на обновления сайта, а также наш Telegram.

Что такое фишинг и фишинговые сайты, как создать фишинговый сайт

Что такое фишинг в интернете

Фишингом, что в переводе с английского означает «ловля», называют незаконную деятельности в сети, направленную на выявление личных данных. Это может приводить к потере контроля над банковскими счетами, аккаунтами в социальных сетях и прочее.

Киберпреступник создает интерфейс, визуально схожий с ресурсом, который запрашивает идентификационные данные (например, логин и пароль) для входа в систему.

Чтобы стимулировать потенциальную жертву, мошенник использует привлекательный текст рекламного характера, прилагаемый к ссылке. Он может обещать денежное вознаграждение первым посетителям или сообщать им, что они уже что-то выиграли, а для получения приза необходимо перейти по ссылке и подтвердить свою личность. Такой подход направлен на то, что окрыленный радостью человек поспешно выполнит все требования и эта стратегия, к сожалению, нередко оправдывает ожидания преступников. Одной из причин такого хода развития событий называют низкую осведомленность пользователей интернета о подобных махинациях.

Что такое фишинговый сайт

Отличительным признаком недоброжелательного ресурса послужит его путь в адресной строке, несоответствующий тому сайту, который был запрошен пользователем. Например, так выглядит главная страница Vk:

Если данная страница отображается по другому адресу, скорее всего, это фишинговый сайт, владелец которого надеется на ввод персональных данных, которые впоследствии будут отправлены ему.

В такой ситуации стоит покинуть страницу или ввести ложные данные – получив неверные логин и пароль, мошенник не сможет зайти на страницу пользователя и получить доступ к личным сообщениям и другим конфиденциальным данным.

Фишинговый сайт выдают некоторые особенности:

  • субдомены URL-адреса сайта интерпретируются справа (где находится корневой домен) налево. К примеру, для vk.com главным доменом служит com, внутри которого находится vk. Адрес vk.com.forum.me скорее всего окажется ссылкой на фишинговый сайт;
  • веб-страница, которая отправляет персональные данные на сервер, должна иметь протокол https, вместо http. Данная технология шифрует передаваемые данные, поэтому даже в случае их перехвата злоумышленником, он получит набор ни о чем не говорящих ему символов. В базу данных сайта также заносится закодированная информация, чтобы никто не мог получить к ним доступ кроме владельца, которому предоставляется ключ для дешифровки;
  • современные браузеры также снабжены технологиями обнаружения мошеннических сайтов. В таких случаях они предупреждают пользователя о потенциальной угрозе.

После получения подобного уведомления стоит как можно скорее покинуть небезопасный ресурс.

Внимательность, а также вышеописанные факторы помогут избежать посещения нежелательных сайтов и предотвратят хищение личных данных.

Для создания поддельного ресурса необходимо максимально точно скопировать его интерфейс, для чего могут понадобиться такие инструменты как HTML/CSS и в большинстве случаев JavaScript. Использование данных языков поможет воссоздать внешний вид, например, главной страницы Вконтакте.

После этого нужно создать серверную часть, которая будет перенаправлять введенные пользователем логин и пароль в базу данных, находящуюся под контролем мошенника. После этого он сможет войти в аккаунт Вконтакте своей жертвы и получить доступ к личной информации.

Важным фактором является регистрация доменного имени, которое будет максимально похоже на адрес подлинного ресурса. Тогда гораздо более вероятно, что пользователь передаст конфиденциальные данные до того, как обнаружит попытку их хищения.

Читайте также:

Для сервисов Mail.ru Group и «Вконтакте» можно создать единую учетную запись

Для сервисов Mail.ru Group и «Вконтакте» можно разумно создать единую учетную запись Соловьев | 23.06.2020

IT-компания Mail.ru Group и социальная сеть «ВКонтакте» запустили новую функцию идентификации пользователей. Единая учетная запись должна избавить
от такой досадной проблемы, как необходимость вводить логин и пароль, а затем изменять настройки при входе на разные сайты и приложения, в том числе с разными гаджетами — сотовый телефон, планшет или компьютер.

Используя новую единую учетную запись VK Connect, вы можете «в один клик» войти в социальные сети, а также все остальные
сервисов и приложений, которые принадлежат «ВКонтакте» и Mail.ru Group.

Более того, каждому пользователю дается разрешение управлять настройками всех подключенных сервисов, сайтов и приложений общей личной учетной записи. будет проще управлять данными в приложениях
и на веб-сайтах.

Как сообщает пресс-служба «Вконтакте», с помощью единой учетной записи VK Connect для всех сервисов, где она доступна, пользователь может легко указать и обновить информацию о
самостоятельно (имя, город, адрес и другие личные данные), производить оплату за товары и услуги (например, с использованием «привязанных» кредитных карт) и ведение истории транзакций, управление
платными подписками (например, на Музыка Вконтакте или на единую подписку на спецпредложения Combo и предложения популярных сервисов от Mail .ru Group),

Как и обещало руководство социальной сети, данные пользователей будут защищены — однократная запись позволит вам включить подтверждение ввода секретного кода, воспользоваться расширенными настройками безопасности
, чтобы отказаться от использования нескольких учетных записей и паролей, а также управлять своими данными на сайтах сервисов. В личном кабинете вы можете просматривать сеансы в любом
проекте, при этом устаревшие сеансы вы можете завершить, а при подозрении на мошенничество — сразу же сменить пароль.Сообщается, что «Вконтакте» намерен защитить аккаунт
с помощью нейронных сетей, которые отреагируют на попытки взлома и минимизируют таким образом убытки.

Сегодня VK Connect работает с двумя сервисами — единой системой заказа еды Delivery Club и голосовой почтой. В дальнейшем этот список будет расширен — в него войдут адрес электронной почты Mail.ru
, услуги такси Ситимобил, интернет-аукцион Юлы и многие другие. Также ожидается присоединение к проекту и сторонних разработчиков со своими сервисами.

Как утверждают авторы проекта, для того, чтобы создать учетную запись ВКонтакте, зарегистрироваться и сделать профиль в социальной сети не обязательно: это можно сделать, используя номер телефона на сайте
или сервис, подключенный к ВК Коннект. . Список приложений, к которым текущий авторизованный пользователь с одной учетной записью, пользователь может изменить по своему желанию в любой момент
.

Первый вход на внешние сайты с помощью «ВКонтакте» был добавлен 10 лет назад, в 2010 году, и с тех пор, 35 миллионов пользователей, это стало одним из ключевых способов авторизации на большинстве
веб-сайтов в российском сегменте Интернета.Благодаря VK Connect технология вышла на новый уровень. Мы выходим за пределы платформы «Вконтакте» и объединяем ее с другими сервисами Mail.ru Group, чтобы сделать авторизацию
максимально комфортной и безопасной, — говорит генеральный директор «ВКонтакте» Андрей Рогозов.

Идентификационный номер

Журнал: Журнал IT-Новости, Подписка на журналы

Mail.ru

Красивый пример фишинга во «ВКонтакте»

Не так давно в «Часкор» была опубликована статья «Воспоминания бывшего спамера».В нем один из интернет-предпринимателей, заработавших спам во «Вконтакте», объявил, что у такого бизнеса очень скоро не останется эфира.

В какой-то степени с ним можно согласиться — сейчас спама действительно значительно меньше, чем было даже в прошлом году. Но остальные спамеры прибегают к более изощренным методам. Теперь я хочу поговорить об одном из этих методов, с которыми я сегодня познакомился.

Все начинается довольно невинно, один из друзей пишет вам банальное «привет. как дела? ». Вы не менее банально говорите, что у вас все хорошо, и вас интересуют дела собеседника, он уточняет:« ты сейчас за компьютером? », спрашивает:« хочешь посмеяться? » И кидает ссылку типа

 http: // tinyurl.com / home-video-10737644-html 

‘)

На этом этапе уже впечатляет, что бот с явно взломанной учетной записью пишет три вполне релевантных реплики перед тем, как бросить ссылку. Ссылка перенаправляет на страницу

 http://46.98.28.65/home-video/10737644 

с интерфейсом YouTube. Внимательный пользователь, конечно, заметит несоответствие URL сайта, но расчет явно делается на тех, кто не обращает такого внимания.

Страница, на которую дается ссылка, является персонализированной.Цифры 10737644 в ссылке — это мой id. В название и описание якобы-ролика вставлено мое имя:

Видео нельзя смотреть, так как оказывается, что у меня устаревший Flash Player. Скачать его предлагается «с сайта Adobe» по ссылке

 http://46.98.28.65/Flash-Player.exe 

Не менее замечательны «комментарии». Как отмечают авторы комментариев, указаны мои настоящие друзья из Вконтакте со своими аватарками:

Особо следует отметить второй комментарий, который должен окончательно убедить меня в том, что этот «Flash Player» еще нужно скачать.

Обратился к Онтару — автору предыдущих тем о вредоносном спаме в «В контакте», вот его комментарий:

Этот файл является троянским загрузчиком. То есть скачивает и запускает вредоносные файлы из сети. Дело в том, что есть какая-то партнерка или еще что-то. Файлы загружаются необычно (2-3 всего за 5 минут анализа), и все они продолжают оставаться активными в системе. Хотя одно могу сказать точно — это ботнет из загрузчиков, все файлы адресуются в разные домены (n-78.ru, vn-66.ru …), но для одного ip — 91.223.89.99.

Не секрет, что в систему жертвы могут быть загружены самые разные вредоносные программы, в том числе и знаменитый буткит TDSS.

пользователей ВКонтакте. Роскачество раскрыло новую схему мошенничества

Forbes опубликовал обновленный рейтинг благотворительности, в котором 400 самых богатых людей мира ранжируются по сумме, потраченной на благотворительность. Текущий рейтинг оказался особенно показательным: дело в том, что в условиях пандемии активы миллиардеров достигли новых рекордных уровней, но при этом богатые не увеличили пропорционально свои пожертвования на благотворительность.

Forbes подсчитывает сумму пожертвований, а затем соотносит их с размером состояния человека. Рейтинг состоит из пяти уровней: пожертвования менее 1% состояния, от 1 до 5%, от 5 до 10%, от 10 до 20%, от 20% и выше. Взносы в частные фонды и фонды под патронажем миллиардеров не учитываются, поскольку они фактически контролируются миллиардерами и активно используются для налоговых отчислений.

Как оказалось, из 400 миллиардеров только 19 пожертвовали 10 и более процентов своего личного состояния.При этом 156 человек пожертвовали менее 1%. Среди них основатель Amazon Джефф Безос (второе место в списке богатых Фобс) и глава Tesla Илон Маск (первое место в списке богатых Forbes). Безос заработал 1 балл за благотворительность, несмотря на то, что объявил о пожертвовании Смитсоновскому институту на сумму 200 миллионов долларов и пообещал еще 200 миллионов долларов политическому обозревателю Ван Джонсу и шеф-повару Хосе Андресу на благотворительность. по их выбору. Ранее Безос обещал выделить к 2030 году 10 миллиардов долларов на борьбу с изменением климата, но пока на эти цели потрачено всего около 865 миллионов долларов.Маск недавно пожертвовал 50 миллионов долларов больнице Святого Иуды, которая занимается лечением детей, больных раком.

Интересно, что по средним оценкам средняя американская семья жертвует на благотворительность около 1200 долларов, а доход составляет около 120 000 долларов. Исходя из этого, обычные американцы в совокупности жертвуют больше, чем Безос и Маск. Эти миллиардеры находятся в нижней части рейтинга благотворительности Forbes, а его возглавляют такие известные личности, как Уоррен Баффет, Джордж Сорос и Гордон Мур.

Бесплатный инструмент распознавания лиц для отслеживания людей в социальных сетях

Новый инструмент распознавания лиц разработан исследователями из компании Trustwave, занимающейся информационной безопасностью. Это инструмент распознавания лиц с открытым исходным кодом, который поможет агентствам быстрее собирать информацию.

Предполагается, что программное обеспечение представляет собой социальный картограф, который поможет агентству найти профили хакеров, которые взламывают защищенную сеть только с намерением украсть и изменить данные.Инструмент предназначен для тестеров на проникновение, а красные команды доступны всем бесплатно на GitHub. Хотя тест можно выполнить вручную, автоматизированный процесс с помощью Social Mapper может выполняться намного быстрее в больших масштабах. Тем не менее, на поиск информации у 1000 человек уходит не менее 15 часов.

Как это работает

Social Mapper сначала подготавливает список целевых людей для обработки на основе требований. В настоящее время инструмент выполняет поиск на веб-сайтах социальных сетей, которые соответствуют правильному профилю, который требует огромной пропускной способности.Система автоматически выполняет сканирование в различных социальных сетях, таких как Facebook, Instagram, Google+, Twitter, LinkedIn, российском SM-сайте, таком как VKontakte, и китайской платформе Weibo и Douban.

Инструмент создает отчет на основе потока данных и возвращает его в виде электронной таблицы, которая содержит полную информацию о человеке, такую ​​как фотографии, идентификатор электронной почты и другие малоизвестные сведения. Эта основная информация оказывается критически важной для организации при устранении угроз безопасности и уязвимостей, а также атак социальной инженерии.

Поскольку сканирование профиля в Интернете отнимает много времени, Trustwave выпустила программное обеспечение, которое мгновенно получает мельчайшие подробности. Более того, это программное обеспечение с открытым исходным кодом, разработанное для исследователей безопасности, или, может быть, несколько хакеров в белой шляпе смогут его заполучить.

Social Mapper работает в три этапа:

1 — Инструмент создает список целей, состоящий из имени и изображения на основе информации. Список может быть предоставлен с помощью ссылок в файле CSV, изображения могут быть переданы вручную или могут быть получены из социальных сетей LinkedIn.

2 — после того, как цели подготовлены, запускается вторая фаза Social Mapper, которая, следовательно, начинает сканирование жизненных пространств на основе Интернета для целей в Интернете. Ученые рекомендуют использовать устройство с приличным подключением к Интернету.

3 — После поиска на третьем этапе Social Mapper начинает создавать отчеты, например электронную таблицу со ссылками на страницы профиля списка целей, более наглядный отчет в формате HTML, который также включает фотографии для быстрой проверки и подтверждения результатов.

В любом случае, поскольку устройство в настоящее время доступно в открытом доступе, любой киберпреступник может повторно использовать технологию распознавания лиц для создания своей собственной программы для поиска данных на основе списка.

Компания далее продолжила обрисовывать некоторые гнусно звучащие применения Social Mapper, которые ограничены «только вашим воображением», когда конечный результат у вас в руках, предполагая, что его можно использовать для:

Организация дополнительно сказал, что продолжающееся гнусное звучание использует Social Mapper, который ограничен только вашим воображением », когда у вас есть конечный продукт в руках, сказав, что его можно использовать для:

Создание поддельных профилей в социальных сетях для целей« Друга » а затем отправьте им ссылки на загружаемые вредоносные программы или целевые веб-страницы для сбора учетных данных.
Trick нацелен на раскрытие их электронных адресов и номеров телефонов с помощью ваучеров и предлагает перейти на «фишинг, вишинг или смишинг».

Создавайте настраиваемые фишинговые кампании для каждой платформы социальных сетей, убедившись, что у цели есть учетная запись, и сделайте это более реалистичным, включив изображение профиля в электронное письмо. Затем запишите пароли для повторного использования паролей.

Просмотрите фотографии цели в поисках пропусков сотрудников и ознакомьтесь с интерьером здания.Что ж, это звучит ужасно, но исследователи Trustwave подчеркнули важность использования Social Mapper для этического взлома.

Джейкоб Уилкин из Trustwave представит Social Mapper на конференции Black Hat USA на этой неделе, где IBM Research подробно расскажет о своем крайне ускользающем и узконаправленном вредоносном ПО на базе искусственного интеллекта под названием DeepLocker. Social Mapper доступен на GitHub и делает его доступным для всех бесплатно.

Что такое фишинг и как не попасть в его сети

Автор: Морган, 3 декабря 2015 г. |

Фишинг — это особый вид онлайн-мошенничества, который предполагает вылов логина и пароля пользователя или другой конфиденциальной информации с целью войти в учетную запись наивного пользователя и нанести ущерб как пользователю, так и системе, которую хакеру удалось получить. доступ к.

Что такое фишинговая атака и каковы ее цели?

Одним из основных методов фишинга является массовая рассылка, часто из банка или другой службы. Например, это может быть уведомление о получении денежного перевода. В почте предлагается узнать более подробную информацию об этом денежном переводе, перейдя по ссылке в нем. ссылка обычно ведет на поддельный сайт, который только выглядит как настоящий. Любой адрес электронной почты, доступный в общедоступных доменах, на форумах и в различных группах в социальных сетях, может стать жертвой фишинг-атаки.Специальные боты постоянно ищут в Интернете активные адреса электронной почты, чтобы внести их в список спама.

Часто хакеры атакуют определенный сайт и его клиентов. Чаще всего среди таких компаний оказываются банки и другие финансовые компании, ведущие свой бизнес в Интернете. Хакер создает поддельную версию легального ресурса. Как правило, достаточно создать только страницу входа в систему — большего хакерам не нужно. После входа пользователя в систему он получает сообщение с уведомлением о том, что данные аутентификации неверны.В большинстве случаев это достоверный сигнал о том, что он только что зашел на поддельную веб-страницу. Между тем, хакеры вручную или автоматически снимают деньги со счета жертвы.

Фишинговые атаки опасны. Такие угрозы сложно распознать и остановить. Это происходит потому, что хакеру не нужен прямой физический доступ к компьютеру жертвы. А значит, система защиты данных не бьет тревогу. Хакеры получают от пользователей всю необходимую информацию. В первую очередь их интересуют пароли и логины для входа в социальные сети и сайты, а также номера кредитных карт и PIN-коды.

Как минимизировать ущерб от фишинговых атак?

При работе в Интернете необходимо соблюдать следующие простые правила:

  • Внимательно проверяйте отправителя письма и не переходите по подозрительным ссылкам. Если есть возможность, свяжитесь с компанией по телефону и проверьте, пришло ли письмо вам или нет.
  • Храните все свои пароли в секрете и не передавайте их никому ни под каким предлогом. Крупные компании не требуют отправки конфиденциальной информации (номеров кредитных карт, паролей) по электронной почте и другим незашифрованным каналам.Для них чрезвычайно важна защита данных клиентов.
  • Введите адреса веб-сайтов, на которых хранится ваша конфиденциальная информация, вручную. Или используйте свои собственные закладки. Но не нажимайте на ссылки электронной почты. При наборе текста от руки важно обращать внимание на то, что написано в адресной строке сайта, где требуются логин и пароль. Часто доменное имя поддельного сайта мало отличается от оригинального — иногда разница только в одной букве.
  • Регулярно обновляйте браузер и антивирусные программы.Большинство современных веб-браузеров могут определять фишинговые веб-сайты и делать это лучше с каждым обновлением.
  • Сайты банков и платежных систем должны иметь защищенное соединение по протоколу HTTPS. Если этот протокол отсутствует — пользователь ошибся адресом.
  • Если вы подозреваете, что фишинговая атака уже произошла, вам следует немедленно сменить пароль и предупредить администрацию сайта о возможной опасности. Хакеры могли украсть данные для входа.

Многие ресурсы сейчас внедряют свои собственные системы безопасности и разрабатывают приложения для безопасного входа в систему. Но не всегда новые методы аутентификации могут защитить от фишинговых атак.

Например, недавно вошел в моду новый метод входа в учетную запись: вам просто нужно отсканировать QR-код, и вы вошли.

А теперь представьте, жертва заходит на поддельный веб-сайт компании, который выглядит как настоящий. Жертва нажимает значок QR-кода на фишинговом сайте с помощью приложения, установленного на его смартфоне.Робот поддельного веб-сайта нажимает на значок настоящего веб-сайта. Настоящий сайт показывает хакеру код входа. Теперь хакер отправляет этот код жертве через свой поддельный веб-сайт. Обманутый пользователь сканирует QR-код своим смартфоном. Смартфон отправляет данные на настоящий веб-сайт, который авторизует хакера.

Но если пользователь использовал двухфакторную аутентификацию с одноразовыми паролями, вышеупомянутой ситуации не было. Особенно, если у пользователя был OTP-токен с функцией подписи данных CWYS.Например, смарт-токен Protectimus. В этом случае, даже если хакеру удастся украсть логин, пароль и даже одноразовый пароль, он не сможет войти в учетную запись пользователя. Пароль OTP генерируется на основе индивидуальных настроек пользователя, таких как IP-адрес, разрешение экрана устройства, которое он использует, сумма денег, которую он переводит, и т. Д.

Так стоит ли изобретать новые решения, если они уже были опробованы а проверенные? Двухфакторная аутентификация с использованием одноразовых паролей с функцией CWYS (Подтвердите то, что вы видите) — одна из них.Он может защитить учетные записи пользователей от взлома и лишить хакеров их «уловки».

Вы успешно подписались!

ВКонтакте

ВКонтакте
URL vk.com, [vkontakte.ru]
Коммерческий? Есть
Тип сайта Социальные сети
Регистрация Открыт для всех, у кого есть мобильный телефон
Доступные языки Первоначально Русский , теперь доступен на 67 языках
Владелец Doraview Limited
Создано Павел Дуров
Спущен на воду Сентябрь 2006 г.
Alexa рейтинг

42 (октябрь 2011 г. [обновление] ) [1] как вконтакте.ru
526 (октябрь 2011 г. [обновление] ) [1]

455 (сентябрь 2011 г. [обновление] ) [1] как vk.com

ВКонтакте (русский: ВКонтакте, международный бренд VK [2] ) — российская социальная сеть, популярная в России, Украине, Казахстане и Беларуси. ВКонтакте предлагает поразительное сходство по дизайну и функциональности со своим американским конкурентом Facebook, и поэтому был описан как «клон Facebook».» [3] Как и Facebook, ВКонтакте позволяет пользователям обмениваться сообщениями с контактами публично или приватно, создавать группы и события, публиковать и отмечать изображения и видео, а также играть в браузерные игры. Одним из отличий ВКонтакте является его интеграция с технологией обмена торрент-файлами, которая позволяет пользователям обмениваться файлами большего размера.

По состоянию на февраль 2011 г. [обновление] , ВК имеет около 135 миллионов учетных записей, но признал, что имеет серьезную проблему со спамом, [4] , и больше не рекламирует номера пользователей на своей домашней странице.ВКонтакте занимает 43-е место в списке 500 лучших сайтов Alexa и является пятым по посещаемости сайтом в России. [5] В мае 2011 года vkontakte.ru и vk.com посетили 23,6 миллиона и 4,9 миллиона человек из России в возрасте от 12 до 54 лет. [6]

На английском языке: В Контакте или V Kontákte переводится как «В контакте» или «В контакте».

История

Основатель

Павел Дуров запустил ВКонтакте для бета-тестирования в сентябре 2007 года, только что окончивший Санкт-Петербургский государственный университет.1 октября 2006 года было зарегистрировано доменное имя vkontakte.ru . Изначально регистрация пользователей была ограничена университетскими кругами исключительно по приглашению, но сайт все равно быстро рос. В феврале 2007 года сайт охватил более 100 000 пользователей и был признан вторым по величине игроком на зарождающемся российском рынке социальных сетей. В том же месяце сайт подвергся серьезной DDoS-атаке, которая ненадолго отключила его. База пользователей достигла 1 миллиона в июле 2007 года и 10 миллионов в апреле 2008 года.В декабре 2008 г. ВКонтакте обогнал своего конкурента «Одноклассники» как самую популярную социальную сеть в России.

6 октября 2009 года сайт был запущен на 20 языках мира. В декабре 2009 года у сайта было 50 миллионов пользователей, а к ноябрю 2010 года она выросла до 100 миллионов. 11 февраля 2011 года ВКонтакте вернулся к регистрации пользователей только по приглашениям.

Компания

ООО «В Контакт» было зарегистрировано 19 января 2007 г. акционерами Вячеславом Мирилашвили (60%), Павлом Дуровым (20%), Михаилом Мирилашвили (10%) и Львом Левиевым (10%). [7]

В настоящее время компания на 100% принадлежит офшорной фирме Doraview Limited, базирующейся на Британских Виргинских островах. [7] Полное текущее владение не является общественным достоянием, хотя Mail.Ru Group (ранее Digital Sky Technologies) публично признала свою долю в 39,99%. [8]

Сайт

Функциональность

Павел Дуров — основатель ВКонтакте.

Функциональность сайта включает персонализированные страницы, легкий доступ к страницам друзей и новостям, фото- и видеохостинг, простую систему обмена сообщениями, группы, в которых пользователи могут участвовать, и заметки.Поскольку почти вся информация, предоставляемая пользователями, легко поддается поиску, люди могут искать людей из той же школы или со схожими интересами, местом рождения и т. Д. Время от времени на сайт добавляются новые функции, такие как как возможность размещать аудиофайлы внутри групп и личных страниц; функция «Мнения», которая позволяет пользователям анонимно выражать личные мысли о друге в сети; «Предлагает» спросить у людей, не хочется ли делать что-то вместе с пользователем; «Вопросы», чтобы ответить на вопрос, который задает пользователь; и «Приложения», которые содержат игры, инструменты, чаты и т. д. на основе Flash API.

«ВКонтакте», как и многие другие крупные социальные сети, использует протокол XMPP в качестве основы для своего чата и службы присутствия.

Конфиденциальность

Страница входа на iPad

Пользователи могут контролировать доступность своего контента. Пользователи могут скрывать или открывать изображения, видео и целые страницы. Пользователи также могут выбирать, кто может приглашать их в группы, писать личные сообщения, писать на своей стене и т. Д.

языков

В сентябре 2009 года ВК запустил vk.com и перевел сайт на двенадцать международных языков, стремясь расширить базу пользователей сайта за пределы России и бывшего Советского Союза. [9] Сайт теперь доступен на 67 языках, в том числе на одном новом языке, получившем название «В Союзе», который использует язык советских времен и красный интерфейс с советскими серпом и молотом.

Фишинг

30 июля 2009 года СМИ сообщили, что текстовый файл, содержащий данные 135 000 пользователей, распространился по Интернету.Эксперты отметили, что файл содержал пароли, украденные у жертв, которые вводили свои данные на сайте фишера. Позже «Лаборатория Касперского» сообщила, что список пользователей собирал троян Trojan.Win32.VkHost.an. [10] [11]

Популярность

По данным Alexa.com Вконтакте — один из самых посещаемых сайтов в России и Украине. Он занимает 4-е место в России [12] и 3-е место в Украине [13] . Alexa сообщает, что просмотры страниц и «время на сайте» снижаются уже более года. [14] .

См. Также

Список литературы

Внешние ссылки

Анатомия корпоративной социальной кибератаки Инфографика

К настоящему времени социальные сети явно зарекомендовали себя как доминирующая сила в нашей жизни: почти три четверти взрослых, выходящих в Интернет, используют какие-либо социальные сети. Более двух из пяти используют несколько сайтов социальных сетей. В результате киберпреступники стекаются на эти сайты, чтобы инициировать атаки, нацеленные на пользователей и организации.Фактически, одна треть утечек данных происходит через социальные сети, и компании страдают в среднем на 5,4 миллиона долларов от каждой атаки. [1] По-прежнему только 36% ввели минимальный уровень обучения сотрудников социальным сетям, и еще меньше из них имеют активные программы управления социальными рисками. [2] Сотрудники находятся прямо под прицелом, и «Анатомия корпоративной социальной кибератаки» служит введением в методологии атак злоумышленников. Следуя следующей тактике, семь из десяти человек становятся жертвами кибератаки, подвергая риску свои организации-работодатели.Вот что нужно защитить от…

Когда новые технологии станут мейнстримом, они обязательно быстро привлекут киберпреступников. Социальные сети стали частью нашей повседневной жизни, как в личной, так и в профессиональной сфере. Это изменило способ общения с нашими друзьями, семьей, коллегами и клиентами… а также стало одним из наиболее быстрорастущих векторов кибератак. Киберпреступники используют социальные сети, в том числе такие сайты, как LinkedIn, Facebook, Twitter, Skype и ВКонтакте, в качестве среды для запуска целевых вредоносных программ и фишинговых схем.

Киберпреступники создают и готовят армии ботов для социальных сетей

армии ботов * являются ключом к корпоративным социальным кибератакам. Киберпреступники стремятся выдать своих ботов за надежные профили в социальных сетях. Для достижения этой цели они заполняют своих ботов релевантным популярным контентом. Публикуя вирусные видео и популярные статьи и даже покупая лайки, киберпреступники создают профили в социальных сетях, которые потенциально могут охватить миллионы пользователей.

* Существует два основных типа ботов.Один из них — это учетная запись бота, которая создается и управляется удаленно с помощью программного обеспечения. Другой — «марионетка в носке» — фальшивая учетная запись, управляемая человеком, который притворяется кем-то или чем-то, чем он не является. По оценкам Facebook, от 5 до 6% всех учетных записей являются поддельными. Когда группа этих фиктивных учетных записей создается вместе для достижения общей цели, на выходе получается армия ботов.

  • Ленивые преступники могут купить целую армию программно-управляемых ботов всего за 6 центов за бота
  • Проверенные людьми социальные боты могут продаваться по цене до 1 доллара.25

Выбор цели

После создания ботов следующим шагом на этапе подготовки является выбор цели. Чтобы повысить эффективность, киберпреступник сосредоточит атаки либо против конкретных организаций, клиентов организации, либо против широкой публики с помощью перехвата популярных тем (трендджекинга) *.

* Трендджекинг — это распространенная тактика PR, которая подрывает актуальные темы и дискуссии, чтобы внести в беседу другое сообщение.Подобно команде по связям с общественностью, киберпреступник внедряет вредоносные программы и фишинговые атаки, маскируясь под другую заинтересованную сторону (например, #MileyCyrus в тренде, и злоумышленник пишет: «#MileyCyrus OMG, вы видели это видео Майли ?! http: // bit. ly / @ & [email protected] ”)

Выполнение подключений

Чтобы инициировать атаку, киберпреступнику необходимо связать своих ботов с целевыми жертвами. Чем больше соединений с ботами, тем больше потенциальных жертв. Чтобы соединение было более успешным, менеджер армий ботов будет заполнять профили ботов привлекательными фотографиями, забавными изображениями или чем-то еще, чтобы привлечь внимание целей в зависимости от их интересов.

Даже самый смекалистый может стать жертвой, подумайте о торговом представителе или отделе развития, которого соблазняет бот, притворяющийся, что хочет заняться бизнесом.

Фишинг

Киберпреступник создает фишинговый сайт, замаскированный под надежный сайт.

Например, фишинговый сайт может выглядеть так же, как сайт банка, и предлагать клиентам ввести свои учетные данные.

Фишинг — это попытка получить конфиденциальную информацию, такую ​​как имена пользователей, пароли и данные кредитной карты (а иногда, косвенно, деньги), выдавая себя за надежную организацию в электронном сообщении.

Вредоносное ПО

Киберпреступники скрывают вредоносные скрипты или вредоносные программы на веб-сайтах, которые впоследствии могут запускаться или загружаться без ведома цели! Достаточно одного ошибочного посещения или щелчка по вредоносному URL-адресу, и злоумышленник подключил другую жертву.

Malscript — это тип кода, подобный javascript, который может управлять функциями интернет-браузера пользователя и изменять файлы пользователя.

Вредоносное ПО — это файл, который заражает устройства, сети и системы и обычно переупаковывается и скрывается от традиционных технологий защиты от вирусов и вредоносных программ.

Создан мошеннический веб-сайт → веб-сайт доступен для цели → веб-сайт предлагает целевой цели ввести конфиденциальную информацию.

Вредоносное ПО куплено или создано → Укороченная ссылка на замаскированную вредоносную программу передается цели → Цель нажимает ссылку, которая выполняет скрипт / загружает вредоносное ПО.

Киберпреступник либо использует «чистые» домены (без данных о плохой репутации) для размещения этих вредоносных страниц, либо быстро меняет конечное местоположение, чтобы избежать обнаружения традиционными веб-фильтрами или расширенными брандмауэрами.

Киберпреступник теперь имеет доступ к учетной записи и личной информации *

* Люди обычно используют одни и те же пароли для рабочих и личных учетных записей. Даже личная фишинговая атака вызывает беспокойство у организаций, поскольку это может привести к утечке учетных данных привилегированного доступа.

Киберпреступник теперь имеет доступ к вашему устройству *

Вредоносное ПО может быть написано для любой платформы и может воздействовать на все, начиная с мобильных телефонов, планшетов, ноутбуков и настольных компьютеров, а также с серверов и запоминающих устройств.

The Result → Компания взломана через соц.

К сожалению, правда состоит в том, что 7 из каждых 10 человек попадут на схему, аналогичную показанной выше.

Будь то рабочий ноутбук или личное устройство, которое заражается, вредоносные программы теперь имеют доступ к данным, паролям и всему, что стоит украсть! Фактически, когда вредоносное ПО попадает в среду, оно обычно пытается воспроизвести и заразить любые другие системы в сети, даже домашние сети.

После того, как зараженные цели подключаются к сети компании, вредоносное ПО может собирать данные из любой точки предприятия.

Это означает, что важные данные компании могут быть легко переданы киберпреступникам.

Следовательно, в 2013 году одна треть утечек данных произошла через социальные сети →, что привело к средней потере 5,4 миллиона долларов на атаку.

Защититесь → получите платформу ZeroFox для защиты от социальных угроз.

  • Фишинг
  • Социальная инженерия
  • Вредоносное ПО и вирусы
  • Мошенничество и выдача себя за другое лицо

Настройка: армии ботов

Мошенники легко замаскируют запланированную атаку армии ботов.Они публикуют вирусные видео и статьи и создают профиль, который может охватить миллионы пользователей. Кроме того, они обычно «взламывают тренды», присоединяясь к популярным социальным беседам и выдавая себя за кого-то, у кого есть что-то, что можно вынести на обсуждение. Поскольку эти сообщения и профили на самом деле «принадлежат» ботам, преступники нацелены на компании, клиентов и представителей общественности, заставляя их нажимать на кажущиеся безобидными ссылки, например, на видео с забавным животным. Эти «боты» используют два основных метода атаки: фишинг и вредоносное ПО.

Распространение: фишинг

Злоумышленники могут создавать сайты, которые выглядят так же, как и любая совершенно законная корпоративная собственность. Они могут взять логотип и обеспечить присутствие банка, который выглядит так же «реально», как и финансовое учреждение, а затем обманом заставить клиентов ввести свои учетные данные. В конечном итоге злоумышленник стремится получить все виды конфиденциальной информации — имена пользователей, пароли, номера кредитных карт и т. Д. — с помощью этих убедительных актов обмана.Поскольку пользователи, как правило, используют одинаковые или очень похожие пароли для своих рабочих и личных учетных записей, сетевая безопасность их организации немедленно оказывается под угрозой.

Распространение: вредоносное ПО

Вредоносное ПО представляет собой код, похожий на JavaScript, и он может управлять функциями интернет-браузера пользователя и изменять файлы. Он заражает устройства, сети и системы, и его создатели умеют скрывать его от традиционных инструментов ИТ-безопасности. Код тайно размещается на веб-сайтах, которые запускаются или загружаются, а жертвы даже не подозревают об этом.Жертвам не нужно нажимать на вредоносное ПО, чтобы активировать его; компьютеры и устройства могут пострадать, просто посетив проблемный хост-сайт. После успешной атаки вредоносное ПО может получить доступ ко всем данным, паролям и другим ценным информационным ресурсам на машине жертвы. Во многих случаях он попытается затем скопировать и скомпрометировать любую другую систему в сети, включая систему компании. Принимая во внимание широкое распространение технологии «принесите свое собственное устройство» (BYOD), руководители организаций должны проявлять особую бдительность, когда речь идет о социальных сетях, их сотрудниках и киберугрозах.На карту поставлено слишком многое — конфиденциальная информация, данные о клиентах, финансовая отчетность и т. Д., А также операционная безопасность систем — чтобы отпустить опасения. В ZeroFox мы предоставляем пакет управления корпоративными социальными рисками, который позволяет организациям выявлять, управлять и снижать риски информационной безопасности в социальных сетях. Если вы хотите узнать больше, свяжитесь с нами.

[1] Источник: Дагган М. и Смит А. (2013 г., 30 декабря). Новости социальных сетей за 2013 год. Интернет-проект Pew Research.Получено 11 июня 2014 г. с веб-сайта http://www.pewinternet.org/2013/12/30/social-media-update-2013/#fn-6228-1

.

[2] Источник: Gesenhues, A. (27 сентября 2013 г.). Опрос: 71% компаний обеспокоены рисками в социальных сетях, но только 36% проводят обучение сотрудников. Маркетинговая земля. Получено 11 июня 2014 г. с веб-сайта http://marketingland.com/survey-71-of-companies-concerned-about-social-media-risks-only-36-do-social-media-training-60212

.
.