Фишинг
Как не остаться без сайта: ФишингБезопасность Данный пост я посвящаю тем, кто хочет никогда не иметь повода писать в теме «Если ваш сайт ВЗЛОМАЛИ... или УКРАЛИ пароль...» на форуме.Допустим, у вас случилась маленькая катастрофа: вы логинитесь, а вас не логинит! Ваш сайт больше не хочет с вами знаться или пока еще признает в вас хозяина, но неожиданно стал завешан голыми тетками, а в шапке появилась надпись «Тут был Вася!». Таким образом, мы с вами оказываемся в классической ситуации им. Герцена-Чернышевского «кто виноват и что делать?». А виноваты в 99 процентах случаев наша лень, нежелание читать правила, невнимательность или доверчивость. Условно разделим все неприятности, которые могут с вами приключиться на три типа: Фишинг (phishing) – мошенничество, хакинг (hacking) – взлом системы путем недюжих познаний в программировании и склерозинг (sklerozing) – когда вы сами сделали все что могли: посеяли, забыли, спрятали бумажку с паролем в сейф с голодными мышами. Затронутая тема настолько обширна, что это будет цикл статей. А пока предлагаю вашему вниманию часть первую - фишинг. Технически взломать любой сайт непросто. Очень непросто. А сайт на uCoz, вообще практически невозможно. (Сразу предупрежу, что об этом подробнее будет во второй части.) Куда легче подобрать ключик к владельцу сайта, хитростью выманив у него логин-пароль. Это вам, господа, не хакинг «программист против программиста», это уже целый социальный инжиниринг :) Под фишингом понимают интернет-мошенничество, целью которого является получение доступа к конфиденциальным данным пользователей. На этот метод мы попадаемся как щучки на блесну. Им тоже казалось, что приманка настоящая и плавает сама по себе. Самый последний из виденных мною фишинговых сайтов имитировал вход на сайт через админ-панель типа «ваш-сайт.ru/admin». Выглядел он вот так: И помимо логина-пароля выманивал секретные вопрос-ответ. Человека бывалого 100% смутил бы адрес сайта – он располагался на стороннем хостинге и его название сразу не внушало доверия. Но много ли надо новичку, чтоб попасться в сети? Да даже если бы такой сайт располагался на uCoz и имел адрес admin.ucoz.ru верить ему ни в коем случае нельзя! Ссылка на поддельный сайт располагалась в поддельном письме, в котором от имени uCoz сообщалось о чистке в системе и необходимости вводить логин-пароль. А теперь скажите мне во скольких местах (админки, FAQ-а системы, главной страницы, правил и.т.д. до бесконечности…) написано, что мы никогда не будем просить вас, наших пользователей, сообщать нам логин, пароль и, боже упаси, девичью фамилию вашей матушки!? И что, помогает? Как думаете, сколько человек ввели-таки свои данные? И кто при этом виноват в том, что впоследствии их сайт был взломан? Этот пример с письмом может считаться классикой выманивания. Так же фишинг может содержать какое-то обещание. Например, "введите тут ваш логин и пароль и получите 500 Mb на свой аккаунт". Надеюсь, вы догадываетесь, что на самом деле получите в случае ввода? Пожалуйста, уведомляйте администрацию о подобных ресурсах, чтоб мы могли принимать меры. Бывают варианты и посложнее. Вы никаких подозрительных писем не получали, ни по каким стремным ссылкам не ходили, но при заходе на главную страницу сайта выскакивает предложение авторизоваться, как вот тут: То, что ничего туда ни в коем случае нельзя вводить, надеюсь, и так понятно! Но откуда эта красота? А давайте-ка отмотаем время назад и вспомним, ни с кем вы случайно баннерами не обменивались на днях? Никакие новые наборы смайликов на сайт не подгружали? Вспомнили? А вот то-то же! Если вы загрузили на сайт (через файловый менеджер) картинку, которая на самом деле картинкой не является, а таит в себе вредоносный код – то с нашего сервера он выполниться не сможет. Но если вы подгружаете что-то со стороны (то есть просто ссылкой), то на сайте как раз может выскочить вот такое окошко – результат работы скрипта. Подобная пакость может прятаться так же в импорте удаленного кода, который вы сами (никто вас при этом за Редактор шаблонов не держал! :) ) вставили на сайт! Удаляйте быстро! БУДЬТЕ ВНИМАТЕЛЬНЕЕ - САЙТ НЕ МОЖЕТ ЗАПРАШИВАТЬ У ВАС ПАРОЛЬ ОТ АДМИН ПАНЕЛИ!!! Еще один вариант, это если вам в аську вдруг постучалась темная личность, представилась Selen'ой, Kron’ом или Kurt'ом и в процессе разговора (пока вы ошалели от такого внимания) ненавязчиво так интересуется: «Да, кстати, мил человек, а какой у тебя логин-пароль?». Совет – удаляйте такой контакт сразу. Дамы и господа! Вот делать администрации больше нечего как по аське с вами общаться на подобные темы! БУДЬТЕ ВНИМАТЕЛЬНЕЕ - АДМИНИСТРАЦИЯ НЕ МОЖЕТ ЗАПРАШИВАТЬ У ВАС ПАРОЛЬ ОТ АДМИН ПАНЕЛИ!!! Источник: http://blog.ucoz.ru/blog/2009-01-28-42 | |
Категорія: Радіостанція та комп'ютер | Додав: us0kf (20.11.2009) | |
Переглядів: 596 |