Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Турист на удочке

Прочитали: 1026 Комментариев: 65 Рейтинг: 76

…А кто-то собирался просто спокойно отдохнуть:

Компания Marriott International сообщила, что хакеры получили доступ к базе данных бронирования сети Starwood Hotels (принадлежит Marriott), содержащей персональные данные клиентов начиная с 2014 года и по сегодняшний день.

Starwood Hotels and Resorts Worldwide — американская компания, владеющая 11 сетями отелей и курортных комплексов. Включает 1300 отелей в 100 странах мира, общая вместимость — около 370 тысяч комнат.

https://habr.com/company/devicelockdlp/blog/431682

Думаете, сейчас речь пойдет о сканах наших паспортов, что делаются в гостиницах? Нет: утечки – это не только возможности взять кредит на наши деньги и написать, что «мы взломали ваш e-mail и обнаружили, что вы интересуетесь порнографией». Утечки дают злоумышленникам гораздо больше возможностей.

Вспомним еще раз о фишинге: в сознании многих методы социальной инженерии, используемые фишерами, сводятся к совсем небольшому набору приемов.

  • Мама, срочно переведи денег, потом позвоню
  • Вам письмо из налоговой
  • Штраф ГИБДД

Немного, правда? Причем в большинстве случаев подлинность такого запроса легко проверить – скажем, связавшись с налоговой или банком.

К сожалению, на крючок нас могут поймать не только так:

Если ты тестируешь личный email сотрудника или его аккаунт в соцсетях, то посмотри, где человек отдыхал в последнее время.

Видишь название отеля? Смело пиши от имени администрации отеля и требуй доплаты за сервис. В письмо добавь надпись, что данное сообщение сгенерировано автоматически, а для ответа нужно воспользоваться формой на официальном сайте в разделе поддержки клиентов.

Журнал «Хакер», №10, 2018

А можно и наоборот – от имени отеля предложить зарегистрироваться в программе лояльности или для получения результатов розыгрыша:

Дав фейковую ссылку, предложи ему зарегистрироваться. Кто знает, быть может, этот логин/email и пароль он использует и на других ресурсах.

А имея логин и пароль, можно поискать доступ к данным пользователя в файловых хранилищах.

Или предложить отдохнуть еще – всем известно, что их данными делятся, и потому никто не удивится письму от еще одного отеля (в цитате ниже идет речь о конференции – но это может быть и предложение об отдыхе на Мальдивах):

Создается фейковый одностраничник конференции (бизнес-мероприятия, бизнес-форума и подобного). Теперь жертву нужно заманить на ресурс.

Почему бы не отправить бумажное письмо ей на работу? Тут ты точно обойдешь всю цифровую и железную защиту в организации и даже нейросетевой файервол в виде секретарши, так как, по ее мнению, если она выкинет такое письмо в корзину, ее начальник не обрадуется.

Вы написали в соцсети и упомянули рейс авиакомпании?

Жертва летает самолетами «Аэрофлота»? Напиши, что срочно надо активировать бонусные мили, и тогда их количество удвоится! Сделать это нужно по твоей фейковой ссылке с лендингом акции.

Хотите фотки с отдыха? Цитата опять про конференции, но идея одна:

Жертва недавно посетила какое-то мероприятие? Попроси ее зарегистрироваться по твоей ссылке, чтобы получить все записи с конференции + бонусный контент и скидку на участие в следующей!

И пара приемов фишеров:

Если писать жертве, представляясь таким же именем, как у нее, то отклика будет больше.

Услышав сообщение автоответчика о том, что сотрудник в отпуске, от его имени можно писать письма другим сотрудникам (якобы с личного, не корпоративного e-mail), а также делать посты в соцсетях с его «другого аккаунта».

Многие пользователи считают, что если они попали на ресурс с «замочком» в адресной строке, то ресурсу можно доверять. Let’s Encrypt поможет социальному инженеру, раз уж это увеличивает конверсию.

Тренд будущего — Find trap, способ, когда человеку дается информационная наживка, и он сам ищет подробности в поисковиках.

Находит твой ресурс (поскольку наживка составлена именно так, чтобы выводить на него), а дальше — только полет фантазии ограничивает твои возможности. Нет ничего лучше заинтересованного пользователя.

#персональные_данные #фишинг #социальная_инженерия #пароль

Dr.Web рекомендует

Паранойя – наше все. С помощью Антиспама и Родительского контроля Dr.Web ограничивает возможности мошенников. Но даже он не может пресечь все их попытки добраться до вас. Эффективность антиспама велика – порядка 98%, но это не 100%, и письмо мошенника может достигнуть цели.

Будьте наготове! Читайте сообщения компаний об утечках. И не забудьте сменить пароль, если вы зарегистрировались с ним в Marriott.

Пока верстался выпуск:

Сеть гостиниц Marriott заявила о готовности оплатить расходы по смене паспортов для клиентов, чьи персональные данные были получены хакерами.

https://rb.ru/news/marriot-rashod-pasport

Уважаем!

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: