Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Airbnb — один из лучших сервисов для путешественников, который по достоинству оценили уже многие миллионы пользователей по всему миру. Но популярность не гарантирует отсутствие проблем. А иногда, наоборот, приводит к их появлению — например, из-за мошенников, которые всегда обращают внимание на массово используемые сервисы. В этом посте мы расскажем об угрозах, с которыми можно столкнуться при аренде жилья на Airbnb, и посоветуем, как оставаться в безопасности.

Безопасность аккаунта Airbnb: берегите телефонный номер

Первое, о чем нужно помнить пользователям Airbnb, — о том, что аккаунты в сервисе привязаны к телефонным номерам. При регистрации Airbnb просит также указать e-mail, но, по сути, электронная почта тут вторична, а первичен именно номер телефона. Проблема же в том, что телефонного номера, в отличие от адреса почты, довольно легко лишиться без возможности восстановления. Чаще всего это происходит, если вы привязали аккаунт к «одноразовой» сим-карте или eSIM, которую купили в стране пребывания для экономии расходов. Но может случиться и так, что после завершения путешествия вы просто положили туристическую симку в ящик стола и забыли, что за нее надо вовремя заплатить, или сменили телефонный номер и забыли отвязать аккаунт от старого.

Через некоторое время после завершения предоплаченного периода неактивный телефонный номер продадут новому пользователю. И, если тот попытается зарегистрироваться с этим номером в Airbnb, сервис просто пустит его в ваш аккаунт, прислав одноразовый код в текстовом сообщении.

Многие сервисы и мессенджеры, которые также привязывают аккаунты к номерам телефонов, позволяют дополнительно защитить паролем учетную запись от такого стечения обстоятельств. Но в Airbnb, к сожалению, такой возможности нет. Поэтому придется позаботиться о безопасности самостоятельно:

  • Внимательно следите за «сроком годности» телефонных номеров, к которым у вас привязаны какие-либо аккаунты, включая Airbnb, и вовремя их оплачивайте.
  • При смене номера составьте как можно более полный список аккаунтов, которые вы на него регистрировали, аккуратно по нему пройдитесь и перепривяжите все учетные записи к новому номеру.
  • Старайтесь не оставлять заброшенные аккаунты — если вы не собираетесь пользоваться какой-либо учетной записью в течение длительного времени, лучше ее удалить.
  • Не забывайте отвязывать платежную карту от Airbnb после того, как ваше бронирование завершилось (это невозможно сделать, пока бронирование актуально).
  • В идеале расплачивайтесь на Airbnb виртуальной картой, а не физической. И пользуйтесь кредитной картой, а не дебетовой, если законодательство вашей страны дает преимущества при обжаловании транзакций по кредиткам.

 

Посмотреть статью полностью

Опубликовано

Это так мило, что тут постят переводы, которые к нам не применимы :) Тем более о сервисе, который не просто заблокировал россиян и белорусов, но ещё и отменил уже оплаченные услуги, не вернув при этом деньги. Когда эти ребята вернутся, принципиально не буду ими пользоваться, потому что они - нехорошие люди.

  • Спасибо (+1) 1
Опубликовано
1 час назад, Umnik сказал:

отменил уже оплаченные услуги, не вернув при этом деньги.

1648282155_1-kartinkof-club-p-a-tak-mozhno-bilo-mem-1.jpg

Квалифицированные юристы весьма поражены, обескуражены и ошеломлены подобным поведением. Тремя словами заменил одно, более ёмкое, всем понятное, но противоречащее правилам форума :) 

 

1 час назад, Umnik сказал:

Когда эти ребята вернутся

Зачем нам те, кто готов нагло, тупо, мерзко обманывать своих клиентов?  

Опубликовано

Они эти деньги зачислили оставили внутри системы. Типа, ЕСЛИ ВЕРНУТСЯ, то ты сможешь ими воспользоваться. Наверное. А может и не сможешь, кто знает, ведь юрлица в России больше нет, а в случае возврата они вполне могут создать новое, не имеющее отношение к тому, прошлому.

  • Согласен 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      Умные спортивные часы продолжают привлекать пристальное внимание злоумышленников, позволяя получить множество интересной информации о потенциальной жертве. Мы уже писали о том, как трекинговые приложения собирают данные своих владельцев и делятся ими — большинство из них по умолчанию отображают логи ваших тренировок, включая точную геопозицию, всем желающим.
      Спортивные часы, как выяснилось, продолжают тенденцию расслабленного подхода к защите персональных данных своих владельцев. Так, в конце июня 2025 года появилась информация о серьезных уязвимостях во всех часах COROS, дающих доступ не только к самим часам, но и к аккаунту пользователя. Воспользовавшись этими уязвимостями, злоумышленники могут получить полный доступ к данным в аккаунте жертвы, перехватывать конфиденциальную информацию (например, уведомления), менять настройки устройства или сбрасывать их до заводских и даже прерывать запись трека тренировки с потерей всех данных.
      Что особенно неприятно — COROS была уведомлена об этих проблемах еще в марте 2025 года, но исправления планируются только к концу года.
      Похожие уязвимости в 2022 году были обнаружены (но вскоре закрыты) и у, пожалуй, самого популярного производителя спортивных часов и других спортивных гаджетов — Garmin.
      На фоне подобных угроз хочется по максимуму защитить свою приватность, правильно настроив безопасность в спортивных приложениях. Сегодня мы разберем, как защитить свои данные в Garmin Connect и Connect IQ Store — двух сервисах одной из наиболее популярных экосистем спортивных гаджетов.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      До недавнего времени злоумышленники в основном интересовались криптокошельками исключительно домашних пользователей. Однако, по всей видимости, бизнес все чаще стал использовать криптовалюту — теперь злоумышленники пытаются добраться и до кошельков организаций. За примерами далеко ходить не надо. Недавно исследованный коллегами зловред Efimer, рассылаемый организациям, умеет подменять адреса криптокошельков в буфере обмена. В России организации не имеют права рассчитываться криптовалютой, но, тем не менее, некоторые используют ее в качестве инвестиций. Поэтому функциональность, связанная с криптокошельками, появилась даже в зловредах, используемых в атаках исключительно на российские организации. Вредоносное ПО семейства Pure, например, не только подменяет адреса в буфере, но также охотится и за учетными данными программных криптокошельков. Поэтому мы не очень удивились, когда увидели и криптовалютный фишинг, направленный не только на домашних, но и на корпоративных пользователей. Чему мы удивились, так это легенде и, в целом, качеству этого фишинга.
      Фишинговая схема
      Сама по себе схема нацелена на пользователей аппаратных криптокошельков Ledger: Nano X и Nano S Plus. Злоумышленники рассылают фишинговое письмо, в котором многословно извиняются за допущенный промах — якобы из-за технического недочета сегменты приватного ключа от криптокошелька были переданы на сервер Ledger. И он в общем-то был очень хорошо защищен и зашифрован, но вот команда обнаружила очень сложную утечку, в ходе которой атакующие эксфильтрировали фрагменты ключей и при помощи крайне продвинутых методов расшифровали их и реконструировали часть ключей, что привело к краже криптоактивов. И чтобы через эту уязвимость не взломали еще и ваш криптокошелек, авторы письма рекомендуют немедленно обновить микропрошивку устройства.
      Фишинговое предупреждение о необходимости обновления микропрошивки
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Технологию ключей доступа (КД, passkeys) рекламируют все ИТ-гиганты как эффективную и удобную замену паролям, которая может покончить с фишингом и утечками учетных данных. Суть в следующем — человек входит в систему при помощи криптографического ключа, сохраненного в специальном аппаратном модуле на его устройстве, а разблокирует эти данные при помощи биометрии или ПИН-кода. Мы подробно разобрали текущее положение дел с passkeys для домашних пользователей в двух статьях (терминология и базовые сценарии использования, сложные случаи), но у компаний к ИБ-технологиям совершенно другие требования и подходы. Насколько хороши ключи доступа и FIDO2 WebAuthn в корпоративной среде?
      Мотивы перехода на passkeys в компании
      Как и любая крупная миграция, переход на ключи доступа требует бизнес-обоснования. В теории passkeys решают сразу несколько злободневных проблем:
      Снижают риски компрометации компании с использованием кражи легитимных учетных записей (устойчивость к фишингу — главное заявленное преимущество КД). Повышают устойчивость к другим видам атак на identity, таким как перебор паролей — brute forcing, credential stuffing. Помогают соответствовать регуляторным требованиям. Во многих индустриях регуляторы обязуют применять для аутентификации сотрудников устойчивые методы, и passkeys обычно признаются таковыми. Снижают затраты. Если компания выбрала passkeys, хранящиеся в ноутбуках и смартфонах, то высокого уровня безопасности можно достичь без дополнительных затрат на USB-устройства, смарт-карты, их администрирование и логистику. Повышают продуктивность сотрудников. Хорошо налаженный процесс аутентификации повседневно экономит время каждому сотруднику и снижает процент неудачных входов в ИТ-системы. Также переход на КД обычно увязывают с отменой всем привычных и ненавистных регулярных смен пароля. Снижают нагрузку на хелпдеск за счет уменьшения числа заявок, связанных с забытыми паролями и заблокированными учетными записями.  
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Исследователи Маттео Риццо и Энди Нгуен из компании Google опубликовали работу, в которой предложили усовершенствованную атаку Retbleed. Как мы объясняли в одном из предыдущих постов, атака Retbleed эксплуатирует уязвимости в процессорах AMD Zen и Zen 2, а также в процессорах Intel поколений Kaby Lake и Coffee Lake. Аппаратные уязвимости такого рода крайне сложно использовать на практике, из-за чего всевозможные варианты Spectre, а также производные атаки, типа Retbleed, остаются по большому счету теоретическими. Хотя методы борьбы с ними внедряют и создатели процессоров, и разработчики ПО. Суть работы исследователей Google заключается в повышении эффективности атаки Retbleed. Не меняя ничего кардинально в архитектуре атаки, они смоги использовать особенности процессоров AMD Zen 2, чтобы читать произвольные данные из оперативной памяти.
      Кратко о Retbleed
      Retbleed, как и Spectre, эксплуатирует особенности так называемой системы предсказания ветвлений центрального процессора. Предсказание ветвлений позволяет процессору выполнять инструкции заранее, не дожидаясь результатов предыдущих вычислений. Иногда предсказание оказывается неправильным, но в норме это должно приводить только к небольшому и незаметному для пользователя замедлению работы программы.
      Атака Spectre в 2018 году показала, что неправильные предсказания могут быть использованы для кражи секретов. Это возможно благодаря двум ключевым особенностям. Во-первых, систему предсказания ветвлений можно натренировать так, что произойдет обращение к области памяти с секретными данными, и они будут загружены в кэш-память процессора. Во-вторых, был найден способ вытащить эти секретные данные из кэш-памяти по стороннему каналу, измеряя время выполнения определенной инструкции.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Подключенную к компьютеру веб-камеру обычно подозревают в подглядывании, но теперь ей придумали роль в традиционных кибератаках. На конференции Black Hat описали атаку BadCam, которая позволяет перепрошить камеру, а затем выполнять на компьютере, к которому она подключена, вредоносные действия. По сути это вариант давно известной атаки типа BadUSB, однако главное отличие BadCam заключается в том, что атакующим необязательно заранее готовить вредоносное устройство — они могут использовать изначально «чистую» и уже подключенную к компьютеру камеру. Еще одно неприятное новшество — атака может быть произведена полностью дистанционно. Хотя исследование провели этичные хакеры и BadCam еще не используется в реальных атаках, злоумышленникам будет несложно разобраться в ней и воспроизвести нужные действия. Поэтому организациям стоит понять механику BadCam и принять защитные меры.
      Возвращение BadUSB
      Атаку BadUSВ тоже представили на Black Hat, правда в 2014 году. Ее суть в том, что безобидное на вид устройство, например USB-накопитель, перепрограммируют, дополняя его прошивку. При подключении к компьютеру этот вредоносный гаджет «представляется» составным USB-устройством, имеющим несколько компонентов, таких как USB-накопитель, клавиатура или сетевой адаптер. Функции накопителя продолжают исправно работать, пользователь работает с флешкой как обычно. Одновременно скрытая часть прошивки, имитирующая клавиатуру, отправляет на компьютер команды, например клавиатурную комбинацию для запуска PowerShell и последующего ввода команд для загрузки из Сети вредоносных файлов или запуска туннеля к серверу атакующих. Функции BadUSB часто используют в работе современных red team, для этого обычно применяются специализированные «хакерские мультитулы» вроде Hak5 Rubber Ducky или Flipper Zero.
       
      View the full article
×
×
  • Создать...