Phishing - jak kradną konta na Facebooku

Рет қаралды 29,587

Күн бұрын

Phishing to zazwyczaj fałszywe strony, przy pomocy których przestępcy próbują ukraść nasze hasła. Ale istnieją bardziej zaawansowane techniki. Otwarte przekierowania, ataki homograficzne, wykorzystywanie Google Sites czy też problemy z OAuth. Właśnie o tych mniej znanych metodach postaram się opowiedzieć w tym odcinku.
0:00 Wstęp
0:27 Fałszywe gazety i kradzież kont Facebooka
2:11 Otwarte przekierowania w emailach
4:45 Zbyt długie odnośniki w pasku adresu
6:07 Podszywanie się pod komunikaty systemowe
7:23 Atak picture-in-picture
9:00 Jak działa OAuth
10:25 Phishing na użytkowników Gmaila
11:45 Kreator stron od Google
14:39 Symulowane ataki phishingowe
15:31 Kody QR
16:16 Fałszywe kody QR na parkometrach
16:52 Fałszywa pomoc techniczna
17:39 Ataki homograficzne
18:46 Domeny IDN
20:45 Spoofing w pasku adresu
21:21 Zakończenie
📩Newsletter: szurek.tv/n
📬Darmowy kurs mailingowy: szurek.tv/kurs
💬Facebook: / od0dopentestera
📷Instagram: / kacper.szurek
🐦Twitter: / kacperszurek
💬Discord: od0dopentestera.pl/discord
Źródła: security.szurek.pl/linki/23/

Пікірлер: 60

@SCpl3 2 жыл бұрын

Uważam się za osobę, która zna się na technologii, ale niektóre metody przedstawione w tym filmie rzeczywiście były mi nie znane. Super materiał :D

@RK-ly5qj 2 жыл бұрын

tru

@hydr0zagadka 2 жыл бұрын

najlepszym sposobem aby uniknac kradziezy konta na fejsbuku jest ... nie posiadac konta na fejsbuku. uwierzcie mi, da sie tak zyc :D

@qutodiamum 2 жыл бұрын

I to prawda jest 😁 też nie mam usunąłem ❤️

@mjfryc Жыл бұрын

Ja też, widzę nie jestem jedyny. Do póki ludzie będą kurczowo się lękać "odcięcia od świata" lub śmierci, tak długo będą skazani na łaski gigantów IT, medycznych i innych technologii.

@Xsynek Жыл бұрын

Miałem to, ale po tym jak wyciekły moje wszystkie dane zrezygnowałem. Teraz używam bitwardena i jest wszystko w porządwczku 😀

@enignoxis 2 жыл бұрын

Jak zwykle najwyższa jakość treści. Szacun Kacper i dzięki wielkie za to co robisz.

@mieczysaw2257 2 жыл бұрын

Nareszcie film, krótko, zwięźle, ciekawie, oby tak dalej.

@kubzel6153 2 жыл бұрын

Bardzo dobry materiał oby tak dalej.

@0gon 2 жыл бұрын

"relacje o potencjalnej wojnie..." heh szybko się to zestarzało :/ ale materaił świetny jak zwykle

@atlx 2 жыл бұрын

Dziekuje :) Milego dnia

@miedzaj 2 жыл бұрын

Pomocne jak zawsze

@sexualfantasies1149 2 жыл бұрын

Pozdrawiam mojego ulubionego youtubera :)

@KacperSzurek 2 жыл бұрын

Pozdrawiam również i miłego dnia życzę ;)

@Ad3Q 2 жыл бұрын

Świetny materiał! Miłej niedzieli ;)

@MrSpeedfoxpl 2 жыл бұрын

Dziękuje.

@Heliimat 2 жыл бұрын

Dzięki

@szafirmeru 2 жыл бұрын

Liczyłem, że wspomnisz o jakimś zabezpieczeniu przed tym jak klucze sprzętowe i jako odnośnik do innego materiału :)

@KacperSzurek 2 жыл бұрын

O kluczach mówiłem w kilku innych filmach ;) kzfaq.info/get/bejne/q9GlYKqQqLWlZ4k.html kzfaq.info/get/bejne/Y6ygjbqa0q-Zj5c.html

@pawepiascik6053 2 жыл бұрын

Warto aby w takim materiale pojawiły się informacje jak się uchronić przed takimi atakami. Wiem, że kluczem U2F ale czy jeszcze jakoś?

@michellebihan7716 Жыл бұрын

Bardzo dobry filmik. Przypomniało mi się kilka ataków, o których dawno zapomniałem. Jest on chyba jednak bardziej skierowany do osób technicznych niż przeciętnego użytkownika. Mam kilka drobnych uwag: - kzfaq.info/get/bejne/oM5zd7CdxtrdhZs.html wiele źródeł mówiących o phishingu wskazuje w pierwszej kolejności na różnice w wyglądzie fałszywych paneli logowanie lub błędy językowe. Strony phishingowe mogą jednak wyglądać zupełnie tak samo jak oficjalne strony i często tak wyglądają. Jeśli użytkownicy zaczną się przyglądać stronom, to oszuści będą po prostu częściej aktualizowali swoje kity phishingowe i zwracali większą uwagę na to co piszą. Wiele się więc nie zmieni. Dodatkowo prawdziwe strony od czasu do czasu też zmieniają wygląd lub zawierają drobne literówki (chociaż oczywiście nie w takiej ilości jak zdarza się na fałszywych stronach). Uważam więc, że w ogóle nie należy pokazywać zwykłym użytkownikom różnic w wyglądzie stron. - kzfaq.info/get/bejne/oM5zd7CdxtrdhZs.html link może prowadzić przez wiele przekierowań do finalnej strony. Niestety, firmy często korzystają ze skracaczy linków w wiadomościach, które wysyłają. Dodatkowo trudno jest znaleźć domenę w tym podglądzie URL. Przeglądarki nam w tym pomagają oznaczając domenę nieco innym kolorem. Poza tym, jest bardzo wiele miejsc z których można trafić na stronę phishingową (linki w e-mail, linki w SMS, kody QR, posty w mediach społecznościowych. reklamy, etc.). Często w źródłach mówiących o phishingu pojawia się rekomendacja aby "uważać w co się klika" albo "nie klikać w podejrzane linki". Uważam, że jest ona bardzo zła. Linki są po to aby w nie klikać. Użytkownik nie wie co jest podejrzane (i ja w sumie też czasami bym nie wiedział). Znacznie lepiej jest rekomendować aby "gdy zobaczysz jakiś formularz, który prosi Cię o dane, w w szczególności dane logowania, wtedy zanim zaczniesz wpisywać, spojrzyj nieco wyżej na pasek adresu (zdjęcie paska adresu), a konkretniej na domenę, która jest oznaczona nieco innym kolorem" - kzfaq.info/get/bejne/oM5zd7CdxtrdhZs.html jest to spory problem. Kiedyś zaproponowałem, aby robić right align do końca domeny w pasku URL. Wtedy pokazywałby się koniec domeny (jeśli cała domena się nie zmieści), który jest znacznie ważniejszy od początku. Niestety, issue spotkało się z zerowym zainteresowaniem. - kzfaq.info/get/bejne/oM5zd7CdxtrdhZs.html chyba popularna jest teraz nazwa "browser in the browser" - kzfaq.info/get/bejne/oM5zd7CdxtrdhZs.html jest to problemem tylko jeśli sprawdzamy domenę w linku przed kliknięciem. Przeglądarki zawsze pokazują domeny w lowercase.

@tonyzuco9634 2 жыл бұрын

Taktyczny :)

@Leoneq Жыл бұрын

Super film! Niestety prawdopodobnie trafi on jedynie do osób które interesują się technologią i w większości wyczulone są na takie typu taktyki.

@przypadkowynick0752 Жыл бұрын

16:13 - Myślę (tak pół żartem, pół serio), że najwięcej dla świadomości cyberbezpieczeństwa zrobił Rick Astley :P

@PiotrKalisz Жыл бұрын

dobrze ze teraz wszystko uczą w szkole i już wiem ze z Janka Muzykanta lektury łatwo to ograne, ale jakby ktoś chciał się więcej dowiedzieć to w podstawówce od 4 klasy dowie się jak to zrobić na podstawie "holocaustu" wpojonego od urodzenia na sile w pamięć.

@Waldo_Ilowiecki 2 жыл бұрын

Podziwiam wiedzę.

@paulllaaa1234 2 жыл бұрын

Bardzo dobry film, sporo ciekawych informacji - dzięki! Zastanawiam się jak Twoim zdaniem należałoby podejść do budowania świadomości pracowników? Przy okazji symulacj wspomniałeś, że może to być wątpliwe etycznie, ale czy takie praktyczne podejście nie jest najskuteczniejszym sposobem? Przestępcy nie przebierają w środkach... Oczywiście nie chodzi mi o same testy pozostawiające pracowników bez odpowiedniej edukacji, ale o praktyczny trening wykorzystujący symulacje phishingowe jako motywator do chęci podnoszenia kompetencji. W przypadku wpadki pracownik dostaje odpowiednią porcję wiedzy na temat tego na co miał zwrócić uwage żeby nie dać się złapać. Klasyczne szkolenia i elearningi wydają się być mało skuteczne (nudna teoria bez odpowiedniego, praktycznego kontekstu a jak przychodzi co do czego to wiemy jak to się kończy). Jestem ciekawa Twojego zdania.

@KacperSzurek 2 жыл бұрын

Moja odpowiedź będzie nietypowa. Zamiast próbować uczyć pracowników jak rozpoznawać zagrożenia - może warto zacząć stosować U2F i klucze w stylu YubiKey? Wtedy większość phishingów przestaje być problemem - nawet jeśli użytkownik się na nie złapie ;)

@paulllaaa1234 2 жыл бұрын

@@KacperSzurek Pełna zgoda, ale... nie jestem bardzo techniczna, ale 2FA chyba też nie uchroni w przypadku ataku z wykorzystaniem np. evilginx. Tutaj bardziej się sprawdzi wykorzystanie odpowiedniego managera haseł, który (nie) autouzupełni hasła na podstawionej stronie. Ale to co dla mnie kluczowe - phishing/socjotechnika wycelowana w pracownika to nie tylko fałszywa strona logowania: załączniki/pliki, wyłudzanie danych przez odpowiedzi czy po prostu zwykłe kliknięcie w zainfekowaną stronę (wiem, że prawdopodobieństwo infekcji z wykorzystaniem podatności w przeglądarce w czasach wyłączonej javy i flasha jest małe, ale jest). Także wracam do pierwotnego pytania - jeśli nie symulacje i praktyka, to co? :)

@michellebihan7716 Жыл бұрын

@@paulllaaa1234 > ale 2FA chyba też nie uchroni w przypadku ataku z wykorzystaniem np. evilginx. Zależy jakie MFA. Jeśli polega ono na przepisaniu kodu (TOTP czyli jednorazowe kody w aplikacji, kody SMSem), to wtedy jest ono podatne na phishing. FIDO2 jest odporne na phishing, ponieważ też wiąże jakby poświadczenia z daną stroną.

@WeedTV666 2 жыл бұрын

niektóre techniki z materiału są mocne myślę że nie ma osoby która przy ich optymalnym i dobrym wykorzystaniu się nie nabrała

@qutodiamum 2 жыл бұрын

Nie mam konta na FB 😁 więc tu mi nikt nie okradnie pozdrawiam.Ale dobry materiał .Usunąłem jakis czas temu .

@Creative_404 Жыл бұрын

kiedyś ktos mi się włamał od teraz mam wszedzie werfikacje 2 etapową i w razie czego wszytki mozliwe sposoby odzyskania konta (jakie są dostepne na stronie) -e mail, telefon, klucze zapasowe, werfikacja aplikacja, itd

@marcelbednar8139 Жыл бұрын

Witaj Kacper, słyszałem może o instalacji aplikacji obserwującej Observant balls którą ktoś instaluje na FB. Mnie coś takiego spotkało. Była uruchomiona w ikonce Powiadomienia. Po kliknięciu zniknęły wszystkie grupy zapisane posty... Czy kogoś spotkało coś podobnego?

@Hitomi8669 2 жыл бұрын

18:40 w sumie można używać innych czcionek gdzie widać różnicę między L a I

@mjfryc Жыл бұрын

Mojego konta na FB nie ukradną, bo skasowałem konto, bo FB kasował moje komentarze, które były niezgodne z wytycznymi oficera prowadzącego.

@Drajwin Жыл бұрын

Rejestrując się akceptujesz regulamin więc nie dziw się że twoje treści, niezgodne z regulaminem, będą usuwane xD

@Mandingoz 2 жыл бұрын

Drugi

@FunnK88 2 жыл бұрын

😁

@UCMF4SIJqf75d5wWKVzbTtDg 2 жыл бұрын

16:17 kody QR są dobre, tylko wsparcie dla kodów jest słabe, wiele telefonów ma gdzieś poukrywane czytniki, a ludzie nawet o tym nie wiedzą, później instalują jakieś fejkowe czytniki, które mają wirusy itp. Ja sam używam w domu kodu QR do wifi - i tu kolejny problem, bo nie każdy telefon do końca działa, o dziwo rozpoznaje, że jest to kod QR do WiFi otwiera aplikacje WiFi i nagle... nic się nie dzieje. Najlepsze wsparcie zauważyłem, że mają iPhony.

@lee99bay 2 жыл бұрын

Każdy może trafić na minę. Nawet jeżeli jest technofrienly.

@misiu475 Жыл бұрын

jako student informatyki jestem uodporniony na takie ataki, bo sam wiem jak to działa... i śmieje się czasami jak mi na messengera przychodzą wiadomości że moje nagie foty są w necie i żebym kliknął w link i sprawdził 🤣🤣🤣

@ivuldivul 2 жыл бұрын

Kiedyś złapałem się na adres IDN - moja przeglądarka w ogóle nie wyświetlała nietypowego akcentu nad literą!

@janepko 6 ай бұрын

W ustawieniach Firefoksa można włączyć puny code i będzie widać ten dziwny pełny adres.

@paweu1660 2 жыл бұрын

Będzie jakiś film o atakach hakerskich na Ukrainę ?

@KacperSzurek 2 жыл бұрын

Ciężko powiedzieć - bo trudno o rzetelne materiały.

@PiotrKalisz Жыл бұрын

blac była jego Mac :)

@Mandingoz 2 жыл бұрын

Pierwszy

@Waldo_Ilowiecki 2 жыл бұрын

Ja byłem pierwszy, tylko w kiblu byłem.

@ivuldivul 2 жыл бұрын

Pierwszy był Mieszko Pierwszy. A kto był drugi?

@tonyzuco9634 2 жыл бұрын

@@Waldo_Ilowiecki Nie ma dowodów na to że @Mandingoz wiedział o tym, że byłeś w kiblu xD

@tonyzuco9634 2 жыл бұрын

@@ivuldivul Mieszko II Lambert, choć tak na prawdę to Bolesław Chrobry

@Steve78392 3 ай бұрын

15:35 - ten kod QR kieruje na ten kanał

@anarchy_kitty 2 жыл бұрын

Dobrze, że moje konto jest bezwartościowe bo nie mam znajomych. XD

@xkfotomedia Жыл бұрын

Używajcie kluczy U2F NFC bo wtedy macie 100 % pewności, że żaden pakistański haker w sandałach nie przejmie waszego konta na Facebooku, Google, Gmailu itd. Ja używam i śpię spokojnie a w planach mam zakup kolejnych dwóch kluczy U2F NFC , czarne USB A. Bo wiecie... Licho nie śpi 👀