Системы слежения в интернете разрушают браки, заражают технику «спамом» и банкротят пользователей

...

В Интернете появляется все больше сайтов, предлагающих «отследить» через спутник местонахождение человека по номеру мобильного телефона, прочитать все его входящие и исходящие SMS и узнать, с кем он общался в течение дня

Как сообщает news.ru со ссылкой на специализирующиеся по данной теме СМИ, специалисты предупреждают, что такие услуги являются не более чем очередным видом мошенничества, последствиями которого могут стать потеря денег на телефонном счёте и заражение компьютера вирусами, превращающими его в источник рассылки спама.

Спам представляет собой рекламу этих же самых сайтов, которая автоматически рассылается по разнообразным электронным адресам. При этом владелец заражённого устройства даже не подозревает, что его техника «фонтанирует» спамом.

Как правило, пользователям любезно предлагают ввести в ячейку интересующий номер телефона и нажать кнопку «ПОИСК» либо «ПРОВЕРИТЬ». При этом человек автоматически «соглашается» на первый взгляд неприметное «соглашение», где прописано, что доступ к услугам предоставляется на платной основе, которая составляет от 300 рублей и выше, владельцы сайта не несут никакой ответственности за возможные убытки, потери и риски пользователя, а самое главное, что предлагаемая услуга является шуточной и игровой.

Но убытки могут быть и пострашнее материальных. Так ревнивцам, желающим «отследить» сообщения своей «второй половинки», может придти, якобы, перехваченное СМС с примерным текстом: «Мой придурок сваливает в командировку, приезжай в пятницу!» или «Милый, это был прекрасный вечер, а теперь я еду к своему козлу». Однако строчка, способная разрушить самые близкие отношения на самом деле просто результат незамысловатой программы.

Пользователям Интернет стоит понимать, что настоящие шпионские услуги и оборудование стоят далеко десятки тысяч долларов и если желающий проследить за владельцем мобильного телефона не является сотрудником спецслужб, то доступ к такому оборудованию можно получить только в обход закона - на «чёрном» рынке.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Угон учетной записи Microsoft принес исследователю $50 000

Независимый исследователь Лаксман Мутхиях (Laxman Muthiyah) обнаружил в онлайн-сервисах Microsoft уязвимость, позволяющую сбросить пароль пользователя в обход аутентификации и захватить контроль над аккаунтом. Разработчик высоко оценил эту находку, выдав баг-хантеру премию в $50 тысяч в рамках своей программы bug bounty.

Найденная проблема затрагивает процедуру восстановления учетной записи, включающую отправку семизначного одноразового кода на email или номер мобильного телефона пользователя, который тот должен ввести на сервисе для подтверждения своих полномочий на смену пароля. Мутхияху удалось угадать нужную комбинацию посредством брутфорса, преодолев используемое Microsoft шифрование и лимиты на количество подаваемых запросов.

 

Суммарно исследователю предстояло перебрать 10 млн возможных вариантов одноразового кода, то есть подать на сервер Microsoft огромное количество запросов. С этой целью Мутхиях написал скрипт, способный автоматизировать этот процесс.

Его тестирование показало наличие на сервисе защитных ограничений: из 1000 отправленных кодов сервер принял только 122, остальные вернули ошибку 1211 (ошибка очистки буфера). Поняв, что при последовательной передаче множества запросов включаются черные списки (блокировка IP-адреса), экспериментатор попробовал подавать запросы одновременно с тысячи разных IP. Как оказалось, сервер должен их получать без малейшей задержки — разница в пару миллисекунд уже вызывала блокировку атаки.

Скорректировав свой код, Мутхиях смог добиться успеха и благополучно сменить пароль. Этот способ, по его словам, очень ресурсоемкий и пригоден только для взлома аккаунтов с отключенной двухфакторной аутентификацией (2FA). Если жертва ее использует, то придется дополнительно ломать шестизначный код, генерируемый специальным приложением-аутентификатором.

Специалисты Microsoft классифицировали проблему как возможность повышения привилегий с обходом многофакторной аутентификации. Поскольку провести брутфорс в данном случае сложно, степень опасности уязвимости была оценена как существенная. Соответствующий патч вышел в ноябре прошлого года.

Похожую уязвимость Мутхиях обнаружил в прошлом году в Instagram, заработав $30 тыс. в качестве вознаграждения от Facebook.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru