19 myśli na temat “Kody sms nie takie bezpieczne… | FACEBOOK SHAKOWANY!

  1. Z rozpaczą przeczytałam ten artykuł, gdyż od jakiegoś czasu jestem prześladowana notorycznymi włamaniami na facebooka i gmaila. Sądziłam, że włączenie weryfikacji dwuetapowej pomoże, a tu czytam, że i to można obejść jak ktoś się zna. Dodam też, że w całej tej obsesji wszystko sprawdzam już po 5 razy, malwarebytes skanuje codziennie, dodatkowo zainstalowałam ESET NOD30 (choć biorąc pod uwagę, że antywirus sobie a włamania sobie, zaczynam się zastanawiać, czy to w ogóle coś daje). Czy istnieje jakaś metoda zabezpieczenia się całkowicie? Bo sprawdzanie co 10 minut miejsca logowania zaczyna być już uciążliwe, a zdaję sobie sprawę, że zapewne to, jak i powiadomienia o logowaniu można obejść, by się nie pojawiały.

    1. To co Pani robi wystarczy. Dalej niech Pani cyklicznie skanuje raz w tygodniu komputer Malwarebytes z aktualna baza danych. Niech Pani również ustawi inne od siebie hasło na Gmailu i Facebooku, sprawdzi pytania pomocnicze i podobne mechanizmy czy ktoś nie zmienił (do odzyskiwania hasła) no i w Facebook->Bezpieczeństwo niech pani usunie wszystkie miejsca logowania i urządzenia. Wtedy będzie potrzeba ponownego zalogowania się (wyloguje przestępce). Niech Pani włączy weryfikacje SMS również na GMAILU (konto Google). Niech Pani unika stron podejrzanych internetowych i plików nie otwiera równie podejrzanych. W razie podejrzenia wirusowego pliku wysłać go i sprawdzić w usłudze https://virustotal.com. Proszę zawsze sprawdzać czy adres pod którym Pani się loguje jest poprawny (https://facebook.com). Jest to ochrona przed phishingiem, przed którym raczej antywirusy nie bronią. Proszę również przeczytać nasz stary wpis: https://haker.edu.pl/2014/01/03/jak-chronic-konto-internetowe-przed-phishingiem/. Jeśli system operacyjny jest oryginalny niech Pani się upewni, że się aktualizuje (włączony mechanizm Windows Update). Ostatnio też firma Kaspersky wydała fajne narzędzie o nazwie Kaspersky Software Updater, które sprawdza czy Pani programy są w aktualnej wersji. Stare wersje np: przeglądarki internetowej mogą ułatwić ataki. Hasła cyklicznie zmieniać co 6-12 miesięcy (mogą się minimalnie różnić w miejscu tylko znanym Pani).

      Podsumowując uważać na fałszywe adresy www (phishing), skanować raz w tygodniu i używać dwuetapowej weryfikacji GMAIL/FACEBOOK.

  2. Dzieki za odpowiedz mam świadomość ze to przestepstwo dlatego chcialem przetestowac na swoim numerze:) ach te wakacje wlasnie pakuje torby i wyruszam jak znajdziesz chwile moze cos wiecej o sslstrip lub podobnym programie ktory przechwyci szyfrowane dane logowania https bo ostatnio sslstrip nie sprawdza sie czesto nie wlacza lub zapisuje moje testowe loginy i hasla w roznych znakach zamiast literek moze cos na ten temat jakis tutek :) ? pozdrawiam milego wypoczywania i egipskiej spiekoty:P

    1. Może będzie, tylko my w wpisach uciekamy często od takich tematów ponieważ chcemy utrudnić gimnazjalistom włamywanie się kolegom i dziewczynom. Sztuka nie na tym polega. Wiedza cenna jest sama w sobie. Ostatni raz jak testowałem sslstrip+ to działał, jednak bodajże trzeba było przekierować parametrem bodajże dane zbierane do pliku tekstowego. Wtedy sslstrip mimo, że wywalał jakiś błąd Pythona to zapisywał logi poprawnie.

  3. Witam , ponawiam prośbe o toutorial z podszywaniem sie pod dany nr w telefonie „ofiary” jezeli mozna to tak nazwac za pomocą programu SET dolaczonego do kali linux o ile znajdziesz chwilę , pasowalo by to do tego wątku nie uwazasz? Pozdrawiam ;)

    1. Próbowałem i kiedyś i po Twoim wielokrotnym pytaniu (TAK SĄ WAKACJE :-)) i nigdy spoofing sms to nie działało w SET… Być może jestem akurat w tej kwestii niedoinformowany i ciężko mi odpowiedzieć na to pytanie. Podobno niektóre płatne bramki spoofingowe działają, jednak rzadziej do Polski… Pamiętaj że podszywanie się pod inną osobę jest przestępstwem.

    1. Facebook popełnia w$zy$tkie błędy na które może $obie pozwolić.
      Ale tam gdzie interes facebooka rozbija $ię o pieniądze -nie ma miej$ca na żadne błędy!
      Zapewniam że $ystemy anty$pamowe na fb $ą niezawodne.

  4. Genialne w swej prostocie :) Banki podobno generują za każdym razem nowy kod, często ważny przez określony czas. Oby to było prawdą ;)

    1. Dlatego można by zmusić osobę do użycia opcji „wpisz kod sms później” za pomocą cURL. Wiele banków posiada taką opcje (np: mBank wydaje mi się). No chyba, że mówisz o dwustopniowej weryfikacji podczas logowania a nie wykonywania operacji podwyższonego ryzyka dla klienta. Potem możnaby edytować ten przelew (nr_konta?) i wpisać sms :-).

  5. Witam, Takie „pomysłowe e-maile z phishingiem” nazywają spear phishing, twoja metoda jest ciekawa, ale nie innowacyjna, im więcej szczegółów tym atak social techniczny lepszy wiadomo, użycie biblioteki cURL to w botach najbardziej podstawowych to podstawa, swoją drogą jak czytam komentarze od sk „czy jest jakaś strona gdzie można się nauczyć wszystkiego o hackingu za pomocą kali-linuxa?” to mnie zalewa krew przecież, kali-linux jest przydatną dystrybucją z wieloma szmelco-programami ale hacking to nie tylko kali-linux to przede wszystkim umiejętność kombinowania.

    1. Jeszcze masz błąd składniowy, „szczegółowiej” to jest przymiotnik stopniujący się opisowo (czyt. bardziej szczegółowo), Człowieku oczy bolą od tego, zadziwiająco dużo informatyków posługuje się poprawną polszczyzną z reguły

    2. Dziękuje za e-maila. My nie uczymy hackingu tylko poruszamy popularne tematy z grup dyskusyjnych/for. Nie zachęcamy nikogo do włamywania. Ataki spear phishing osobiście znam pod nazwą ataków spersonalizowanych/ataków ze nakierowanym wektorem działania. Wiele osób się śmieje, że jak one mogą być skuteczne, ludzie przecież nie są naiwni… szkoda tylko, że piszą to komputerowcy a nie zwykli użytkownicy Internetu a statystyki z poprzedniego roku pokazuja coś innego. Co do Kaliego się zgadzam i poleciłbym każdemu najpierw nauczyć się używać Linuksa.

  6. Pozdrawiam i gratuluję takiego wkładu w kod. Gdybym prowadził takiego bloga, to nie pisałbym tego specjalnie dla czytelników. Także… Wielkie propsy dla redakcji!

    1. Chcemy propagować bezpieczny internet. Warto wiedzieć, że SMS też jest podstępem do obejścia. Dziękujemy za komentarz!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *