Как може да бъде хакнат Facebook профил

Компютърната сигурност все повече ни занимава. Престъпнатите умове отдавна нападнаха и дигиталното пространство, въоръжени със съответните инструменти. Когато включиш компютъра, те заливат с предпазни мерки за защита на твоята сигурност. Но те в много случаи не само са досадни, но и слаби. Искам сега да ти изброя как може да бъде хакнат Facebook профил.

Внимание: Препоръчвам да използваш тази информация единствено за целите на тестване на профила си Facebook. Не искам да насърчавам извършването на каквато и да е незаконна дейност. Достъпът без разрешение в профилите на други хора е тежко престъпление. Това е така, защото не само крадеш поверителна информация, но и се преструваш на друг човек, като изпращаш съобщения или публикуваш съдържание от негово име. На практика това е истинска кражба на самоличност. Всеки си поема отговорността.

За да извършат своята мръсна дейност, в по-голямата част от случаите киберпрестъпниците вземат необходимата информация за профила, който ги интересува, като „копаят“ между данните, съхранявани в браузъра. Резултатът зависи до голяма степен от мерките за сигурност на акаунта, предприети от засегнатият човек.

Други ефективни системи се състоят на базата на шпионски приложения, използване на техники за социално инженерство и прилагане на фишинг атаки.

Скамери

Съдържание

• Скамери
• Възползване от базите данни на уеб браузъра
  • Атака с Facebook Password Decryptor
  • Защита от атака с password decryptor
• Атаки със шпионски софтуер
  • Атака с keyloggers
  • Защита от keyloggers
  • Шпионски приложения
  • Защита от шпионски приложения
• Социално инженерство
• Фишинг
  • DNS Spoofing
  • Botnets
• Инфографика
• Заключение

Тук няма да стане въпрос за така наречените скамери, които не влизат с взлом в профила на жертвата, а стават приятели с нея и я повличат с психологически похвати, така че в един момент, тя вече е готова да направи всичко за „приятеля си“. Скамерите са страшно обучени, изобретателни и търпеливи. Обикновено са нигерийци. Във Facebook съществуват групи с обяснения за явлението, споделяне и информация как действат.

За скамерите писах подробно в тази публикация: Какво са скамери и как да се предпазим от тях

Но темата на публикацията сега е как може да бъде хакнат Facebook профил.

Възползване от базите данни на уеб браузъра

За да можеш да хакнеш профил във Facebook, трябва да получиш паролата на жертвата. Един от най-лесните начини е, да я получиш от базите данни на уеб браузъра. Браузърите обикновено изискват регистрация и запазват нашите данни за достъп до интернет сайтове, дори ги синхронизират между повече устройства – компютри, таблет, телефон. Удобството е, че не трябва да въвеждаш паролата всеки път, когато посещаваш съответния сайт.

Как се възстановява паролата на Facebook от паметта на браузъра?

Първият начин е разкриване на паролата зад звездичките, както го бях описала в една моя публикация.

Атака с Facebook Password Decryptor

Друг начин е, да се възползваш от специален софтуер, като Facebook Password Decryptor. Това е безплатна програма за Windows. В състояние е да извлече потребителско име и парола за достъп до социалната мрежа от всички браузъри, инсталирани на компютъра, за няколко секунди.

Защита от атака с password decryptor

За да се защитиш от тази атака, трябва да деактивираш опцията, която запазва данните за достъп в браузъра.

В Mozilla Firefox иди на Options–>Privacy & Security–>Logins and Passwords и премахни отметката от квадратчето Ask to save logins and passwords for websites.

В Google Chrome отвори Settings–>Auto-fil–>Passwords и изключи Offer to save passwords.

В Microsoft Edge иди в Settings–>Passwords and autofil–>и изключи Save passwords.

В Opera отвори Settings–>Advanced–>Autofil–>Passwords–> и изключи Offer to save passwords.

Докато предишният софтуер е нужно да бъде инсталиран на компютъра, на който разбиваш паролите, то има друг начин да бъде хакнат Facebook профила чрез софтуери, наречени keyloggers.

Атаки със шпионски софтуер

Атака с keyloggers

Keyloggers са лесни за намиране програми. Чрез достъп до компютъра на жертвата могат да получат достъп до разговори, текстове по имейл, идентификационни данни във Facebook, данни по кредитни карти и др. Програмата тайно записва всички думи и фрази, въведени на компютърната клавиатура.
Инсталирането на keylogger може да се осъществи дори без физически достъп до компютъра. В този случай хакерът чрез имейли или фалшиви съобщения въвежда злонамерен софтуер. Revealer Keylogger Free е един от най-често срещаните кейлогери, използвани за шпиониране на Windows компютри. Позволява достъп до онлайн профили в социални мрежи като Facebook.

Друг често срещан е Family Keylogger. Той запаметява всички думи и фрази, въведени на клавиатурата на компютъра и дава възможност да се показват като нормален файл на Notepad. Безплатна програма, която работи в Windows.

Друг keylogger е Spyrix Free Keylogger. Това е безплатна програма, която може да записва фразите, въведени на компютърната клавиатура, да прави скрийншоти на екрана и да съхранява записаното.

Защита от keyloggers

За да бъдеш защитен от тази атака, трябва да използваш добър актуализиран антивирус. Освен това да извършваш антивирусни сканирания на съмнителни документи и да имаш под ръка добър анти-кейлогери като SpyShelter и Zemana AntiLogger.

Шпионски приложения

Шпионските приложения са в състояние да шпионират всичко, което потребителят прави на мобилното си устройство: да заснемат въведените текстове, снимки на екрана и т.н. включително да имат достъп до данните ти във Facebook. В тези случай шпионинът трябва да има физически достъп до устройството, в което пък да включен Facebook.

Инсталирането на такова опасно приложение става за пет минути. Това е времето, необходимо за поставянето му, активиране и маскиране, за да стане невидимо. Приложенията, които наистина работят, са разработени от професионални компании като Mspy .

Предлагат се за мобилни устройства и компютри.  Имат различни функции:

• показване на имейл,
• GPS позиция,
• SMS,
• обаждания,
• адресна книга,
• достъп до Facebook.

Защита от шпионски приложения

За да се защитиш от подобна атака, трябва да избягваш съхраняването на идентификационни данни за достъп на мобилното устройство, да активираш опцията за геолокация и да използваш услугите за откриване на устройството в случай на кражба или случайна загуба.

Социално инженерство

Говорим за система, чрез която престъпници с определени користни цели използват добросъвестността на жертвите, за да откраднат данните им. Обикновено действат така – доближават се до потенциалната си жертва и с извинение молят да вземат назаем смартфона, таблета или компютъра. След като получи физически достъп до устройството, престъпникът започва да работи върху информация, свързана с потребителя, данни на акаунт във Facebook и др.

Фишинг

Това е друга, широко разпространена и експлоатирана техника за кражба на данни за вход от Facebook. Осъществява се чрез изпращане на имейл, в който потребителят е поканен да кликне върху връзка на страница, където да въведе своите идентификационни данни. Това е уеб страница, която само външно прилича на страницата на Facebook. Всъщност потребителят е изпратен на друга страница чрез техниката hijack. Тези данни после се прихващат от заинтересуваните престъпници.

DNS Spoofing

Ако жертвата и нападателят са в една и съща мрежа, хакерът може да използва DNS атака за измама и да отвлече връзката на жертвата, променяйки оригиналната страница във Facebook с фалшива такава.

За предпазване можеш да прегледаш съветите в тази моя публикация: DNS сървърът не отговаря: Какво да правя?

Пример за този тип техника може да се получи и с помощта на смартфон с Android и да се пренасочи интернет връзката.

Botnets

Компютърни мрежи на Botnets, се използват от много опитни и добре оборудвани хакери, които имат за цел да заразят възможно най-много компютри и след това да откраднат информация и пароли.

В този случай шпионският софтуер се вмъква елегантно чрез имейли и не се изявява, докато спомага за вмъкването на още шпионски софтуер и така може да върши работата си с години. Обикновено тази техника се използва за достигане на големи цели. Пример за това е доста нашумелият случай в Италия преди години за двама хакери, брат и сестра, които по поръчка на масонска ложа са шпионирали с години видни партийни и правителствени дейци, министерства, банки, общини. Изпращали са на всички, които са ги интересували, делови имейли, докато накрая някой се усъмнил и Пощенската полиция успя да разплете историята и да ги залови.

Как да се защитим срещу шпионирането на NSA

Агенцията за национална сигурност (АНС) има огромни възможности и ако иска да влезе във вашия компютър, тя е в него. Като имаме предвид това, ето пет начина да бъдете в безопасност.

Вече имаме достатъчно информация за това как Националната агенция за сигурност на САЩ, АНС, подслушва в интернет.

Основният начин по който АНС подслушва интернет комуникации е в мрежата. Това е мястото, където са най-добрите им възможности. Инвестирали са в огромни програми, които автоматично събират и анализират мрежовия трафик. Всичко, което изисква атака на отделни компютри е значително по-скъпо и рисковано за тях, затова те правят подобни неща внимателно и пестеливо.

Като си подсигурява тайни споразумения с телекомуникационни компании – всички такива в САЩ и Великобритания, както и много други „партньори“ по целия свят, АНС получава достъп до комуникационните стволове (trunks), които движат интернет трафика. В случаите, когато не разполага с този вид „приятелски“ достъп, агенцията прави всичко възможно да наблюдава тайно комуникационните канали: подслушване на подводни кабели, прихващане на сателитни комуникации, и т.н.

Това е огромно количество данни, а пък АНС има и еквивалентно огромни възможности бързо да ги пресее, търсейки интересен трафик. „Интересното“ може да се определи по много начини: източник, местоназначение, съдържание, физически лица, които участват и т.н. Тези данни са преливат в по-голямата система на АНС за бъдещи анализи.

АНС събира много повече метаданни за интернет трафика: кой с кого говори, кога, колко и с какво комуникационно средство. Метаданните се съхраняват и анализират много по-лесно от съдържанието. Те могат да бъде изключително лични за отделния човек, и са невероятно ценна разузнавателна информация.

Отдел „Разузнавателни системи“ отговаря за събирането на данни, и средствата, които отделя за това са зашеметяващи. Прочел съм доклад след доклад за състоянието на тези програми, обсъждащи възможностите им, оперативните им детайли, планираните актуализации, и т.н. Всеки отделен проблем – възстановяване на електронни сигнали от оптически влакна, следене на преминаващи терабайт потоци, филтриране на интересни неща, си има собствена група, посветена на решаването му. АНС може да стигне навсякъде по света.

АНС атакува директно и мрежови устройства, рутери, комутатори (switches), защитни стени и т.н. Повечето от тези устройства имат вградена възможност за наблюдение, но трикът е да бъдат задействани тайно. Това е особено плодотворно поле за атака; рутери се обновяват по-рядко, рядко имат вграден софтуер за сигурност, и обикновено не им се обръща внимание като на нещо уязвимо.

АНС също отделя значителни ресурси за да атакува крайни компютри. Това се прави от нейния TAO – Група за операции за адаптиран достъп (Tailored Access Operations). TAO има цяло меню с „подвизи“ (exploits), които може да „сервира“ на компютъра ви, независимо дали сте с Windows, Mac OS, Linux, IOS, или нещо друго и различни трикове за да стигне до него. Антивирусният ви софтуер няма да ги открие и ще имате проблеми с намирането им дори и да знаете къде да ги търсите. Това са хакерски инструменти, проектирани от хакери, които се ползват с неограничен бюджет. Това което разбрах четейки документите на Сноудън е, че ако АНС иска да влезе в нечий компютър, тя е в него. Точка по въпроса.

АНС се справя с всички криптирани данни на които се натъква главно като подкопава основната криптография, отколкото чрез тайни математически открития. Първо, пълно е с много лоша криптография. Например, ако установи интернет връзка, която е защитена от MS-CHAP, може много лесно да проникне и да възстанови ключа. Използва слаби потребителски пароли и същите „речник атаки“, които хакерите използване в незасекретения свят.

Както стана ясно днес, АНС работи и с доставчици на продукти за сигурност за да си гарантира тайно проникване в търговските продукти за криптиране, за което знае само тя. Известно ни е, че това се е случвало и преди – CryptoAG и Lotus Notes са най-явните примери, а има и доказателства за задна вратичка в Windows. Няколко души ми разказаха скорошни истории за своите преживявания, и смятам да пиша за тях в близко бъдеще. Като цяло, АНС изисква от компаниите да променят едва доловимо продуктите си, така че да не може да се усети от потребителя: избирането на случайни числа става по-малко случайно, изтичане на информация за ключа по някакъв начин, добавяне на общ показател към публичния ключ на обменния протокол т.н. Ако задната вратичка се открие, това се обяснява като грешка. И сега вече знаем, че АНС се радва на огромен успех от тази програма.

TAO също хаква компютри за да намери дългосрочни ключове. Така че, ако работите с VPN, който използва сложен за споделяне таен механизъм за защита на данните ви, и АНС реши, че й е интересно, тя ще опита да открадне тази тайна. Подобно нещо се прави само срещу „високи топки“.

Как дадете здрав отпор на такъв противник? Сноуден го каза в онлайн сесия за въпроси и отговори, скоро след като направи публични първите документи: „.. Закодирането (Encryption) работи. Правилно прилаганите и силни криптографски (закодиращи) системи са едно от малкото неща на които можете да разчитате“.

Вярвам, че това е така, въпреки днешните разкрития и затормозяващите намеци за „революционни криптоаналитични възможности“, направени от Джеймс Клапър, директор на националното разузнаване в друг свръхсекретен документ. Тези възможности включват умишлено отслабване на криптографията.

Следващото изречение на Сноудън е еднакво важно: „За съжаление, крайната точка на сигурността е толкова ужасно слаба, че АНС често може да намери начини да я заобиколи“.

Крайна точка означава софтуера, който използвате, компютъра, в който го използвате, и локалната мрежа в която е включен. Ако АНС може да промени алгоритъма за криптиране или да пусне Троянски кон във вашия компютър, цялата криптография на света вече няма никакво значение. Ако искате да останете защитени срещу АНС, трябва да направите всичко възможно да си гарантирате, че криптирането работи безпрепятствено.

Като вземе предвид всичко казано дотук, ето и моите пет съвета:

1) Скрийте мрежата. Прилагайте скрити услуги. Използвайте Tor за да бъдете анонимни. Да, АНС атакува и Tor потребители, но това им създава повече работа. Колкото по-малко се набивате на очи, толкова е по-безопасно.

2) Криптирайте вашите комуникации. Използвайте TLS. Използвайте IPsec. Отново, макар и да е вярно, че АНС атакува криптирани връзки и, че може да има изрични методи срещу тези протоколи, вие си оставате много по-добре защитени, отколкото ако общувате в отвореното пространство.

3) Приемайте, че компютърът ви може да бъде компрометиран, но това ще отнеме време и носи рискове на АНС – така че вероятно не е компрометиран. Ако имате нещо наистина важно, използвайте въздушна празнина. Тъй като започнах да работя с документите на Сноудън, купих си нов компютър, който никога не е бил свързан с интернет. Ако искам да прехвърля файл, криптирам файла в защитения компютър и го прехвърлям на моя компютър, който е свързан с интернет, с помощта на флашка. За да разшифровам нещо ползвам обратния процес. Това може да не е „непробиваемо от куршуми“, но работи доста добре.

4) Отнасяйте се с подозрение към търговски софтуери за кодиране, особено от големи доставчици. Моето предположение е, че повечето продукти за криптиране на големи американски компании имат задни вратички, настроени „приятелски“ към АНС, както вероятно и много чуждестранни. Разумно е да се предположи, че чуждестранни продукти имат и чуждестранни инсталирани задни вратички. На АНС й е по-лесно да влезе от задната врата чрез софтуер със затворен код (Closed-source) отколкото софтуер с отворен код (open-source). Системи, разчитащи само на master secrets (сигурни секретни данни, използвани за генериране на криптиращи ключове) са уязвими спрямо АНС по законови или нелегални пътища.

5) Опитайте се да използвате публично домейн криптиране, което трябва да бъде съвместимо с другите дейности. Например, за АНС е по-трудно да влезе през задната вратичка ако има TLS а не BitLocker, защото TLS трябва да бъде съвместимо с TLS на всеки друг търговец, докато BitLocker трябва да бъде съвместим само със себе си, давайки на АНС много по-голяма свобода да прави промени. И тъй като BitLocker е собственост е далеч по-малко вероятно тези промени да бъдат разкрити. Предпочитам симетрична криптография пред криптография с публичен ключ. Предпочитам конвенционални системи базирани на дискретен регистър пред системи с елиптична крива, понеже последните имат константи, на които АНС влияе, когато може.

Откакто започнах да работя с документите „Сноудън“ използвам GPG, Silent Circle, Tails, OTR, TrueCrypt, BleachBit, и няколко други неща, за които няма да пиша. Има недокументирана функция за криптиране в моята програма Password Safe (сигурна парола) от командния ред, използвам и това.

Давам си сметка, че повечето от тези неща за невъзможни за обикновения потребител в интернет. Дори и аз не използвам всички тези инструменти за всичко по което работя. Повечето хора са предимно на Windows, за съжаление. Linux ще е по-безопасен.

АНС превърна тъканта на интернет в обширна платформа за шпиониране, но те не са магьосници. Те са ограничени от същите икономически реалности като останалата част от нас и най-добрата ни защита е да направим шпионирането им толкова скъпо колкото е възможно.

Доверете се на математиката. Криптирането е ваш приятел. Използвайте го добре, и направете всичко възможно да си гарантирате, че нищо не може да го компрометира. Ето как можете да останете защитен дори когато АНС е насреща ви.

Anonymous – The Über-Secret HandbookИзтегляне

Още информация тук

Виртуалната реалност може да бъде опасна

Истинските опасности на виртуалната реалност

Тъмна пресечка. Прозвучава глас: „Той е!“. Следва звук от удар с бухалка по глава. Настава мрак, в следващия миг заменен от болнична стая. Специална машина прехвърля кръв от вас в друг човек. Лекар ви подава формуляр за подпис.

„Можете да изберете да останете тук девет месеца и с Вашата кръв да спасите живота на този виртуозен цигулар. Или можете да се разкачите от машината, да си тръгнете и да го оставите да умре“, обяснява лекарят.

Какво бихте направили?

Това изживяване във виртуалната реалност е създадено с целта да помогне на хората да разберат как се чувства една бременна жена след изнасилване, обяснява Ерик Рамирез – преподавател по философия в Университета в Санта Клара, в самото сърце на Силициевата долина.

Рамирез специализира в етиката на виртуалната реалност. Други представители на академичните среди по света – заедно с агенции за защита на потребителите и служителите, както и разработчици на очила за виртуална реалност, вече мислят не само за възможностите, но и за етичните дилеми, които виртуалната реалност носи.

Технологията, разбира се, може да бъде използвана, за да се играят видеоигри или да се „изживяват“ филми за възрастни. Но това не е всичко. Какво ще кажете например за програма, която да ви демонстрира какво е да си бездомник? Виртуалната реалност също така може да се използва за преодоляване на фобии или за симулация на това как мениджър казва на работници, че фабриката, в която работят, скоро ще бъде затворена.

Така виртуалната реалност не е просто нещо, което хората да имат в дома си за забавление. Тя също така се използва в изследователски лаборатории, неправителствени организации, компании, болници. И така стигаме и до армията.

Паскал Гитон, професор по компютърни науки в Университета в Бордо, обяснява, че макар да няма конкретна информация, е убеден, че армии по света експериментират с виртуална реалност за подготовка на войниците преди битка или за провеждане на разпити.

Това, което подпомага по-широкото разпространение на технологията, е спадът в цените. Сега е възможно да се сдобиете с автономни очила за виртуална реалност за по-малко от 450 евро. Това обаче не означава, че всеки трябва да се засили към купуването на такъв. Технологията безспорно е примамлива. Но също така е могъща – и потенциално опасна, както от няколко години предупреждават изследователите Михаел Мадари и Томас Мецингер.

Според Мецингер виртуалната реалност може да манипулира човешкото съзнание и има риск, че в следващите между 5 и 10 години много хора ще се пристрастят към нея.

Много други академици имат подобно усещане. Както посочва Ерик Рамирез: „Няма друга технология, която да има силата да ни промени, както тази“.

Гилем Моро е преподавател по компютърни науки и има сходно мнение. Според него фактът, че виртуалната реалност (VR) може да се използва за успокоение на болката или преодоляване на фобии е доказателство, че тя може да промени нашето поведение.

Преди две години Френската агенция за безопасност на храните, околната среда и работната среда (ANSES) започва работа по темата. Събрана е група от 12 експерти, чиито изводи се очакват през 2020 г. От ANSES са мотивирани да започнат изследването заради „потенциала за психосоциални и физиологични последствия“. Това е и причината академици като Михаел Мадари, Томас Мецингер и Ерик Рамирез да започват да настояват за правила за поведение при разработката на VR.

Според Рамирез всеки експеримент, за който се прецени, че би бил неетичен в истинския живот – като симулацията на изнасилване или мъчение, трябва да бъде забранен във виртуалната реалност.

Фани Леви е психиатър в Париж и основател на компанията MyReVe, която се специализира в използването на виртуална реалност, за да помага на хората да преодолеят страховете си. Леви обаче предупреждава, че „виртуалната реалност не е магическа пръчка, която да бъде използвана по всякакъв начин за решаване на всякакви проблеми“.

Мениджърите, занимаващи се с подготовка на персонала, също подхождат внимателно към новите технологии. Съществуват опасения, че ако служители бъдат накарани да преживеят определена ситуация във виртуалната реалност, това може да им нанесе истинска психологическа травма.

Тези опасения напомнят за случай, в който един телекомуникационен оператор използва виртуална реалност, за да подготви своите агенти. Като част от преживяването, служителите трябва да се покатерят до върха на 15-метрови пилони. Ако обаче не са подготвили добре екипировката си, пропадат в бездна. Падането е било само виртуално, разбира се, но някои потребители разказват, че обучението е било травматизиращо.

Допълнително притеснение е защитата на данни.

Обученията във виртуална реалност могат да са по-рискови от традиционните, защото по време на тези сесии информацията за потребителя се събира и съхранява. Така се появява необходимостта от строги правила за конфиденциалност, които да посочат как ще се използва събраната информация.

Друг въпрос е как създателите на съдържание ще регулират самите себе си занапред. Европейските създатели на игри имат система за категоризиране, наречена PEGI – съкратено от „паневропейска информация за игрите“. Тя определя за каква възраст е подходяща дадена игра.

Според някои индустрията за виртуална реалност трябва да възприеме сходен подход, а във Франция асоциация на продуценти, наречена GIE VR Connection, направи точно това, като публикува нещо, което нарича Харта с препоръки.

Проучване на фирмата Ipsos и Националният център за кино и анимационни изображения (CNC) във Франция показва, че до момента само 6,5% от французите притежават хедсет за виртуална реалност. Падащите цени обаче могат да променят това. Но докато Oculus Quest, HTC Vive и PlayStation VR може да изглеждат като изкушаващи идеи за подарък, експертите призовават да се внимава.

Рисковете са особено големи за деца под 12 години, които чисто и просто не би трябвало да използват технологията. Като за начало, зрителната система на децата е по-чувствителна към сини екрани. Но също така, според психиатъра Фани Леви, децата „не обработват виртуалната информация като възрастните, защото мозъците им още не са зрели“.

Психологът и един от авторите на споменатата Харта на препоръките Бахман Аянг казва, че виртуалната реалност се отразява на мозъка по начин, подобен на хипнозата. Технологията ни поставя в транс, където мозъкът бива завладян от виртуалното изживяване, че изтласква истинският свят назад, при което дори губим представата си за време.

С други думи, предаваме се на илюзията.