-
Похожий контент
-
От KL FC Bot
Исследователи обнаружили в Telegram фишинговый маркетплейс под названием ONNX, открывающий киберпреступникам доступ к инструментарию для угона аккаунтов Microsoft 365, в том числе и к методам обхода двухфакторной аутентификации. Благодаря этому злоумышленники могут поставить на поток фишинговые атаки на почтовые учетные записи Microsoft 365 и Office 365. Сотрудникам ИБ-отделов компаний стоит учитывать эту угрозу и уделять особенно пристальное внимание антифишинговой защите. Рассказываем о данной угрозе подробнее.
Вредоносное вложение с QR-кодом и обход двухфакторной аутентификации
Исследователи описали пример атаки с использованием инструментов фишингового маркетплейса ONNX, которая проводилась на сотрудников нескольких финансовых учреждений. Для начала жертвы получали электронные письма, якобы отправленные отделом кадров, а в качестве наживки использовалась тема зарплаты получателя.
Письма содержали вложенные PDF-файлы, внутри которых содержится QR-код, который надо отсканировать, чтобы получить доступ к «защищенному документу» с заветной информацией о зарплате. Идея тут в том, чтобы заставить жертву открыть ссылку не на рабочем компьютере, на котором, скорее всего, работает антифишинговая защита, а на смартфоне, где такая защита вполне может и не быть.
По ссылке открывается фишинговый сайт, который притворяется страницей входа в аккаунт Microsoft 365. Здесь жертву просят ввести сначала логин и пароль, а потом и одноразовый код двухфакторной аутентификации.
View the full article
-
От KL FC Bot
Двухфакторная аутентификация с помощью одноразовых кодов (OTP — one-time password) сегодня воспринимается многими как «лекарство от всех болезней» — и от фишинга спасет, и от методов социальной инженерии защитит, и все аккаунты в безопасности сохранит. Одноразовый код запрашивается сервисом в момент логина пользователя как дополнительный метод проверки, что в учетную запись входит действительно ее владелец. Он может генерироваться в специальном приложении непосредственно на устройстве пользователя, но увы — немногие заморачиваются установкой и настройкой приложений-аутентификаторов. Поэтому чаще всего сервисы отправляют проверочный код в виде SMS, письма на электропочту, пуш-уведомления, сообщения в мессенджере или даже голосового звонка.
Этот код действует ограниченное время, и его использование значительно повышает уровень защиты, но… На OTP надейся, а сам не плошай: даже при наличии второго фактора аутентификации личные аккаунты остаются потенциально уязвимыми для OTP-ботов — автоматизированного ПО, способного выманивать у пользователей одноразовые пароли методом социальной инженерии.
Какую роль эти боты играют в фишинге и как они работают — в этом материале.
Как работают OTP-боты
Эти боты управляются либо через контрольную панель в веб-браузере, либо через Telegram и выманивают у жертвы одноразовый пароль, имитируя, например, звонок из банка с запросом присланного кода. Работает схема следующим образом.
Завладев учетными данными жертвы, мошенник заходит в ее аккаунт и получает запрос на ввод OTP-кода. Жертве на телефон приходит сообщение с одноразовым паролем. OTP-бот звонит жертве и с помощью заранее заготовленного скрипта требует от нее ввести полученный код. Жертва набирает код на клавиатуре телефона прямо во время звонка. Код поступает в Telegram-бот злоумышленника. Злоумышленник получает доступ к аккаунту жертвы. Ключевая функция OTP-бота — звонок жертве, и от убедительности бота зависит успех мошенников: время действия одноразовых кодов сильно ограничено, и шанс получить действующий код во время телефонного разговора гораздо выше. Поэтому OTP-боты предлагают множество функций, позволяющих тонко настраивать параметры звонка.
Посмотреть статью полностью
-
От KL FC Bot
Израильские исследователи из Offensive AI Lab (что можно примерно перевести как «Лаборатория наступательного ИИ») опубликовали работу, описывающую метод восстановления текста из перехваченных сообщений от чат-ботов с ИИ. Рассказываем о том, как работает эта атака и насколько она опасна в реальности.
Какую информацию можно извлечь из перехваченных сообщений чат-ботов на основе ИИ
Разумеется, чат-боты отправляют сообщения в зашифрованном виде. Однако в реализации как самих больших языковых моделей (LLM), так и основанных на них чат-ботов есть ряд особенностей, из-за которых эффективность шифрования серьезно снижается. В совокупности эти особенности позволяют провести так называемую атаку по сторонним каналам, когда содержимое сообщения удается восстановить по тем или иным сопутствующим данным.
Чтобы понять, что же происходит в ходе этой атаки, придется слегка погрузиться в детали механики LLM и чат-ботов. Первое, что надо знать: большие языковые модели оперируют не отдельными символами и не словами как таковыми, а так называемыми токенами — своего рода смысловыми единицами текста. На сайте OpenAI есть страница под названием «Токенизатор», которая позволяет понять, как это работает.
Этот пример демонстрирует, как работает токенизация сообщений моделями GPT-3.5 и GPT-4. Источник
Вторую особенность, важную для данной атаки, вы наверняка замечали, когда общались с чат-ботами: они присылают ответ не крупными кусками, а постепенно — примерно так же, как если бы его печатал человек. Но, в отличие от человека, LLM пишут не отдельными символами, а токенами. Соответственно, чат-бот отправляет сгенерированные токены в режиме реального времени, один за другим. Вернее, так делает большинство чат-ботов — исключение составляет Google Gemini, из-за чего он не подвержен данной атаке.
Третья особенность: на момент публикации исследования большинство существующих чат-ботов, перед тем как зашифровать сообщение, не использовали сжатие, кодирование или дополнение (это метод повышения криптостойкости, в котором к полезному сообщению добавляются мусорные данные, чтобы снизить предсказуемость).
Использование этих особенностей делает возможным атаку по сторонним каналам. Хотя перехваченные сообщения от чат-бота невозможно расшифровать, из них можно извлечь полезные данные — а именно длину каждого из отправленных чат-ботом токенов. В итоге у атакующего получается последовательность, напоминающая игру в «Поле чудес» на максималках, не для одного слова, а для целой фразы: что именно зашифровано, неизвестно, но известна длина отдельных слов токенов.
Посмотреть статью полностью
-
От KL FC Bot
Стриминг в Twitch приносит популярность, новые знакомства и заработки. Жанровое разнообразие на платформе давно шагнуло за пределы компьютерных игр: художники, спортсмены и даже курьеры на велосипеде нашли свою благодарную аудиторию. Всех — от профессиональных геймеров до гитаристов — объединяет желание общаться со своей аудиторией, зарабатывать, но не становиться жертвами травли, глупых розыгрышей или спама. Вот какие меры по безопасности нужно принять всем Twitch-стримерам.
Как защитить личную информацию на Twitch
Заведите специально для Twitch отдельные аккаунты, по которым вас нельзя будет найти в Google, соцсетях или на форумах. Имя канала в Twitch не должно напоминать ваше настоящее имя. Этот совет мы повторим в разных вариациях еще не раз — вашим поклонникам совсем не обязательно знать, как вас зовут и где вы живете. В качестве изображений в профиле установите фотографии, сильно отличающиеся от тех, что опубликованы у вас в личных соцсетях — похожие фото легко найти. Cвязанные с Twitch аккаунты (профили в Discord, соцсетях и так далее) должны быть зарегистрированы на псевдоним из Twitch и не указывать на ваше настоящее имя. Если у вас уже есть личные аккаунты в Twitter, YouTube и так далее, не используйте их в связке с Twitch, а заведите новые. Для активных стримеров мы рекомендуем использовать отдельные e-mail и номер телефона, не связанные с другими аккаунтами, кроме используемых для стриминга (Twitch, Discord, YouTube и так далее). Если вы принимаете офлайн-корреспонденцию (подарки от аудитории, открытки и прочее), заведите для этого отдельный абонентский ящик на почте. Не используйте этот ящик ни в каких других целях. В некоторых странах для абонентского ящика можно указывать любое имя — в этом случае используйте ваш псевдоним в Twitch. Если это невозможно и нужно указывать данные из документов, спросите на почте, как можно скрыть ваше имя от отправителей. Если вы постоянно зарабатываете на Twitch, обдумайте создание юридического лица и зарегистрируйте домены, почтовые ящики и другие активы на это юридическое лицо. Изучите наше подробное руководство по настройкам безопасности и приватности в Twitch. Используйте длинный уникальный пароль и двухфакторную аутентификацию, установите на свои компьютеры универсальную защиту для геймеров, не тормозящую стриминг и защищающую от фишинга.
View the full article
-
От KL FC Bot
Одна из любимых тактик мошенников — паразитировать на широко раскрученных медийных темах и не менее широко известных человеческих пороках. Вот и обнаруженная нами недавно новая схема мошенничества в Telegram вовсю эксплуатирует модную ныне тему ChatGPT вкупе с необразованностью, любопытством и тягой к «клубничке» у попадающихся на удочку.
Злоумышленники заманивают людей в чат-бот, который якобы использует нейросети для того, чтобы находить слитые в Сеть интимные фото и видео. Распространяются ссылки на бот обычно в комментариях под постами в различных каналах.
Разработчики бота оказались, по их собственному утверждению, настолько продвинуты, что умудрились кардинально доработать аж исходный код нейросети ChatGPT-4.0, обучив его искать интимные фото и видео любого человека только по ссылке на его профиль в социальных сетях или номеру телефона. Уже в этом месте стоило бы насторожиться — зачем, интересно, таким продвинутым профессионалам создавать бот для поиска нюдсов? И почему такие профи делают в русском языке ошибки на уровне школьника-троечника?
Но, отринув все сомнения, уже десять с лишним тысяч мужчин якобы обратились за помощью к боту, дабы «сбросить рога». Представляете себе этот склад рогов?
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти