Серия «Персональная безопасность»

Ежедневно каждый переходит по сотням Интернет-ссылок, не задумываясь о том, что может быть субъектом чьего-то наблюдения. Вот минимальный список того, что о вас можно узнать, когда вы переходите по ссылке:

• Ваш IP адрес (фейковый, если вы пользуетесь VPN)

• Вашу страну и город (по IP адресу)

• Программу, из которой вы пришли (название и версию)

• Часовой пояс

• Язык

• Название и версию операционной системы

Объем того, что о вас могут узнать, сильно зависит от приложения, из которого вы открываете ссылку. Так, например, Telegram умеет открывать ссылки без перехода в браузер, и это сделано не просто так - открывая ссылку вместо браузера, Telegram пытается максимально вас анонимизировать. Когда же вы открываете ссылку внутри браузера, объем получаемой о вас информации увеличивается кратно(спасибо, JavaScript):

• Параметры железа (ОЗУ, CPU и т.д)

• Ваши реальные GPS-координаты

• Размер вашего экрана

• Список расширений и плагинов, установленных в браузере

• И много чего еще, можете посмотреть сами

Справедливости ради стоит сказать, что все это не какая-то критическая информация о вас, но это та информация, которая может послужить звеном в сложной цепочке и использоваться в будущем против вас - например, в ходе фишинговой атаки.

Однажды я вылавливал Интернет-мошенника, и информация, полученная простым переходом мошенника по моей ссылке(сгенерированной тут), помогла мне подготовиться ко второму этапу атаки: узнав версию браузера, стало понятно, что мошенник использует устаревшую версию, уязвимую для известных атак, что позволило далее с помощью публичного эксплоита(о чем уже писал здесь) пробраться внутрь компьютера мошенника, опять убедив его перейти по ссылке 😁. Поэтому открывайте сомнительные ссылки из анонимных браузеров ;)

Пост-дополнение к посту (https://t.me/sectipsru/49) о необходимости защиты своего браузера от посторонних. Во все современные браузеры встроена функция сохранения паролей, которая, делает вашу жизнь удобнее за счет снижения вашей безопасности. Если вы сохраняете все свои пароли внутри браузера, то практический смысл от совета использовать менеджер паролей пропадает.

Чтобы узнать ваш пароль, достаточно разлогиниться на сайте, далее перейти на страницу авторизации, браузер любезно подставит сохраненный логин и пароль, ну а далее немного "хакерской магии": открываем консоль браузера(F12 обычно), вбиваем в консоль код, который прочитает все пароли на странице и отобразит их в консоли:

[...document.querySelectorAll("input[type='password']")].map(password =>console.log(password.value));

И далее радуемся успешно сворованномувосстановленному паролю, который когда-то давно забыли сохранить в менеджер паролей 😁

Как видите, в современном браузере вся ваша личная информация по умолчанию, как на ладони, поэтому не сохраняйте в браузере пароли хотя бы от сайтов с наиболее чувствительными данными: онлайн-банки, почтовые сервисы, облачные хранилища, бэкап-сервисы. Запрещайте браузеру сохранять ваши пароли на таких сайтах, и каждый раз, когда нужно залогиниться на таком сайте - доставайте пароль из менеджера паролей. В идеале каждый раз после использования сайта с чувствительными данными разлогиниваться на нем - на многие такие сайты вы заходите пару раз в неделю, поэтому долго держать сессию активной на таких сайтах нет нужды. Ну и пользуйтесь двухфакторной аутентификацией - она в таком случае предстает последним надежным рубежом защиты.

Есть у всех мессенджеров одна уязвимость из разряда "В Интернете можно накрутить все, что угодно", полноценную защиту от которой создать невозможно - это накрутка сообщений любому пользователю. И не просто накрутка, а настоящий шквал спам-сообщений, среди которых невозможно разобрать настоящие. Все настоящие диалоги собеседника уйдут глубоко вниз списка диалогов, а телефон начнет разрываться от уведомлений. При таком раскладе заходить в свой мессенджер и проверять новые сообщения у жертвы не возникнет ни малейшего желания - она их даже не найдет. Некоторые жертвы не выдерживают и просто удаляют мессенджер 😎

Эта техника уже не раз позволяла лично мне "вырубить" жертве доступ в определенный мессенджер: WhatsApp, Telegram, Instagram, VK на любой срок. Раньше это было сделать сложнее, но в век "услуг на любой вкус" это может сделать кто угодно в том числе и в ваш адрес за 500-3000 рублей. Работает даже с SMS - могут атаковать вас, если не хотят, чтобы вы прочитали определенное сообщение (например, с кодом двухфакторной аутентификации для входа в аккаунт).

Некоторые мессенджеры предлагают защиту от этого с помощью настройки "Запретить сообщения от неизвестных" - в Telegram такая настройка есть (называется "Новые чаты с незнакомцами"), но о ней мало кто знает, все же остальные мессенджеры такой функцией не обладают, поэтому там вы беззащитны против такой атаки.

Захотел я как-то сходить в кино. Для этого зашел на сайт кинотеатра (а на самом деле целой сети кинотеатров), чтобы забронировать места и купить билеты онлайн - вот он.

Перед покупкой билетов мне предложили выбрать места в кинотеатре, на которых я бы хотел расположиться. Выбрал пару мест, далее меня любезно предупредили, что у меня есть 5 минут, чтобы выбранные места оплатить - все это время они будут в резерве и недоступны остальным. "Ничего себе" - подумал я - так ведь и целый кинотеатр можно зарезервировать 😎

До киносеанса оставалось ещё пару часов, поэтому у меня было достаточно времени покопаться в устройстве веб-сайта кинотеатра, чтобы понять, как происходит резервация мест. Я обнаружил, что каждый раз при резервации веб-страница отправляет запрос на сервер с номерами выбранных мест, запрос этот выглядит так (кому интересно, можете сами его найти в консоли своего браузера): https://reelcinemas.com/WebApi/api/SeatLayourAPI/BlockSeats.

Далее я, не долго думая, быстро написал свою хакерскую программу, которая автоматически отправляла много таких запросов на резервацию всех мест каждые 5 минут. Результат видите сами 😁

Как я уже писал ранее, в Интернете можно накрутить все, что угодно, и даже резервацию в кинозале. Самое забавное, что большинство сайтов кинотеатров (и этот в том числе) даже не требуют от пользователя регистрации для резервации мест, т.е вы можете просто открыть 10-20-30 окон браузера в режиме инкогнито и зарезервировать все места вручную. Так ведь и многомилионную кинопремьеру по всему миру можно сорвать 😬