Archivieren

Archiv für die "Computersicherheit" Kategorie

Wie Sie Ihre Maybank2u Konto könnte gehackt

14. August 2009

Truth erste zu sagen, dies ist kein Hacking Führer, sondern ein enthüllen eines Phishing-Betrug zu Maybank2u Benutzern ab.

Für viele, Phishing oder den Akt des Betrugs Sie Gabe Ihre Login-Angaben zu einer anderen Person könnte den Namen bilden ein "Hack", obwohl es eigentlich nicht.

Ich will nicht ins Detail der Benennung dieser Taktik zu gehen, aber sehen Sie selbst.

* Sie beachten Sie, dass ich denke, diese Art der Phishing würde nicht mehr funktioniert, und in der Tat Ich denke, es ist überhaupt nicht funktionieren. Bitte hinterlassen Sie Ihren Kommentar, wenn Sie anders denken. :-)

1) Es würde beginnen mit einer E-Mail der Warnung, die Sie in Ihr Konto einloggen und in der Regel mit einem Link für Sie gekommen, um Sie brauchen. Dies ist zwar nicht neu, aber ich wette, Benutzer, die neu in das Internet oder neuen Online-Banking könnte darauf hereinfallen sind.
Warum es gefälschte: Achten Sie auf die Inhalte in der E-Mail, in der Regel ist es nicht stimmt überhaupt. Technisch gibt es keine solche IP-Adresse 767.998.xx und Bank nicht senden E-Mail mit "konforme Überprüfung 'ohne Korrekturlesen.

phishing_email

2) Der Link führt Sie auf eine Anmeldeseite zu senden, aber natürlich ist es nicht der wirkliche Maybank2u.com Website. Auch der Bildschirm ist alt, weshalb ich denke, das Betrug ist alt und könnte überhaupt nicht arbeiten.
Warum es gefälschte: Es ist nicht die echte Website und es gibt keine SSL (das Schlosssymbol in Ihrem Browser) sagen, es ist eine sichere Seite. Versuchen Sie, melden Sie sich mit einem gefälschten ID und einem beliebigen Passwort, wahrscheinlich sind Sie in der Lage, die nächste Seite anzuzeigen.

phishing

3) Nach der Einreichung von Login und Passwort dann haben Sie eine TAC-Bildschirm sehen?
Warum es gefälschte: Sie haben nicht einmal für TAC angefordert und es fordert Sie zur TAC.

phishing2

4) Mit einem Mal Sie heraus nach TAC Einreichung angemeldet sind. Nun, einige intelligenter Kerl fragt Sie nicht auf Ihr Konto für ein paar Stunden melden.
Warum es gefälschte: Selbst Weg vor hier Ich denke, es sieht verdächtig oder? Und jetzt der Prozess zeigt dieser Autor konnte nur sein Script-Kiddies .
phishing3

5) Wenn Sie auf die Hauptseite gehen, natürlich ist es nicht auf der Website der Bank sein.
Warum es gefälschte: Es ist eine persönliche Website! Höchstwahrscheinlich wird der Website wurde gehackt und die Script dort gepflanzt, als Mittelsmann fungieren über die Login-Informationen, damit der wirkliche Slim Shady hinter der Job kann nicht gefunden werden, um zu senden.

phishing4

6) Versuchen Sie, einige Rückverfolgung von der URL-Pfad zu tun und es werden die Dateien in den Webserver.
Warum es gefälschte: Sieht aus wie es ein schlafender Ort. Die meisten Dateien werden im Jahr 2007 aktualisiert und die Phishing-Dateien werden in letzter Zeit aktualisiert.

phishing5

7) Trace tiefer auf der Straße.
Warum es gefälschte: Dateien werden von woanders kopiert, da dies bankofamerica was zeigt, dass das gleiche Skript hätte für andere Banken auch benutzt haben.

phishing6

8) Sehen Sie sich die Quelldatei und sehen, wo die Daten geschrieben.
Warum es gefälschte: Es wird auf eine andere Website zu veröffentlichen, so dass diese persönlichen Website ist nur eine Schicht der Täuschung.

phishing7

9) Besuchen Sie jetzt die zweite Seite und führt zu einer Website der Herstellerfirma?
Warum es gefälschte: Sie brauchen nicht, diese Website zu erzählen nicht mit Geld, sondern nur mit Maschinen umzugehen. Es ist also eine andere Website mit gepflanzt Skripte.
phishing8

10) Folgen Sie dem Skript und dann das Spiel offenbart. Der Benutzername und das Passwort wird per E-Mail an den Hacker.
Warum es gefälschte: noch mehr sagen?

phishing9

Ich bin nicht gut in PHP, aber könnte jemand sehen, wenn die TAC auf die geschickt Empfänger Hacker?

Aus meiner Beobachtung der Hacker wohl möglicherweise nicht in der Lage, tatsächlich auf das Konto zu hacken und alles tun, ohne die schädlichen TAC aber er ist / sie hat Kennwörter auf zwei Webserver / Webseiten haben, so dass Skripte dort gepflanzt werden. Die Skripte wahrscheinlich hätte auch anderswo kopiert haben.

Dies ist zwar nicht neu, aber wenn das Skript funktioniert, könnte wirklichen Schaden getan werden, vielleicht nicht für Sie, sondern für andere.
Bitte Vorsicht und warnen andere, die Sie denken, dass sie für eine solche Fallen. (Wie dein Vater oder Mutter oder Großvater oder Großmutter?) :-)

Eine letzte Sache, wenn Sie der Eigentümer der beiden Websites, die gehackt wurde sind, entfernen Sie die Dateien und ändern Sie Ihr Passwort.

Computer-Sicherheit , Gut zu wissen , Klatsch , Hardware , Internet , Malaysia , , , ,

Wie abhängig sind Sie Internet?

16. Juli 2009

Ich war heute besonders daran interessiert, einige Schlagzeilen.

Twitter istEv Bestätigt Hacker gezielte Personal Accounts; Angriff war "sehr Quälende." - TechCrunch

Twitter gehackt wird, Badly - TechCrunch (Januar 2009)

In unserer Inbox: Hunderte von vertraulichen Twitter Dokumente - TechCrunch

Unsere Reaktion auf Ihre Reaktionen auf die Twitter vertraulicher Dokumente Post - TechCrunch

Schluss Tweet: Die Twitter Reality TV Show Pitch - TechCrunch

Twitter Financial Forecast Zeigt Erste Umsatz Im 3. Quartal eine Milliarde Benutzer im Jahre 2013 - TechCrunch

Hacker in Verlegenheit Twitter noch einmal - TheStar

Twitter, auch offener als wir wollten - Twitter Blog

Lange Rede kurzer Sinn, ein Hacker namens Hacker Croll konnte die Twitter-Konten von Gründer Evan Williams, seine Frau und mehrere Mitarbeiter gefährden. Der Hacker, der behauptet, Hunderte von vertraulichen Unternehmens und persönliche Dokumente von Twitter und Twitter Mitarbeitern zugegriffen haben, wird diese Dokumente frei öffentlich und schickte sie zu einem gewissen Französisch Forum und TechCrunch.

twitter-confidential

Für TechCrunch, wertvolles Material ist es, wie sie behauptete, dass "wir nicht herumsitzen und veröffentlichen Pressemeldungen, die wir große Geschichten zu brechen.". Das Niveau der Ethik hängt von der Annahme der einzelnen oder in der Industrie, wo im Fall von TechCrunch, sie ausgewählt und veröffentlicht Dokumente, die nicht an Einzelpersonen (das könnte Katastrophe ihrer Karriere bedeuten) beziehen, können, aber entschied sich, nur durchgesickert veröffentlichen Dokumenten, die Twitter als Organisation.

Twitter hatte schließlich einen Blog-Post, die das Ereignis als "Unterwäsche-Schublade" Analogie geschlossen. Offensichtlich sind diese Dokumente nicht poliert oder bereit für die Prime Zeit und sie sind sicherlich nicht enthüllt einige große, geheimen Plan zur Übernahme der Welt. Als Peter Kafka es ausdrückte, ist dieses "verwandt mit Ihrer Unterwäsche-Schublade gezogene: Peinlich, aber niemand wirklich los überrascht, was da drin zu sein." Das ist eine treffende Analogie.

Was ich versuche, in diesem Beitrag hervorzuheben ist, dass Twitter gehackt nebensächlich ist.
Deshalb ist dieser Titel nicht Twitter wurde gehackt, wieder! :-)
Jede beliebtesten Website würde hatte ich einmal eine Weile gehackt wurde, gibt es Hacker, die beweisen, dass sie groß sind, gibt es diejenigen, zu sensibilisieren und die Menschen engagieren, um die Sicherheit des Systems zu aktualisieren hacken hacken.

Der Punkt hier ist, wie abhängig wir sind mit dem Internet? Nicht wie im Menschen immer süchtig oder Internet für Spiele süchtig oder Chat.

Die Opfer der Hacker haben ihren Online-Account kompromittiert und Dokumente einschließlich Gehalt, Kreditkarteninformationen, Fotos, Pläne, vertrauliche Dokumente und vor allem Passwörter für andere Online-Dienste. (Denken Sie: Unterwäsche Typ der Elemente). Sie erhalten in Verlegenheit, wenn sie der Öffentlichkeit gezeigt.
Hinweis: Die meisten Menschen haben das gleiche Passwort für alle Online-Websites / Service.

Also, wenn der Hacker hat den Twitter-Account, er / sie habe ihre Google Apps-Konto und Kreditkarte, eBay, PayPal, etc. Also, was tun Sie in Ihrer E-Mails haben?

Ich wette, die E-Mails enthalten viele nützliche Informationen zu anderen neugierigen Blicken als gut, findest du nicht?

Allerdings haben wir die Zeit, in der wir zu abhängig zu Internet sind erreicht. Sie haben das Online-Banking, Online-Foto-Sharing, Online-Mail-Dienst, soziale Online-Service usw.
Was passiert, wenn eines Tages Sie haben Ihr Konto gesperrt und Sie haben keine Möglichkeit, Ihre Daten zu erholen?
Was ist, wenn Sie alle Ihre Fotos in Flickr, Picasa oder Facebook entfernt.
Was ist, wenn alle Ihre E-Mails nicht zugänglich sind?
Was ist, wenn Sie Probleme erinnern alle Ihre Konten (ID oder Passwörter) haben?

Haben Sie ein Backup der Online-Daten offline?
Die Welt hat sich von Papier auf papierlose Desktop-Computing verlagert Cloud Computing .

Ja, könnte man argumentieren, dass Sie sich für beträchtliche Unternehmen wie Google verwenden. Ich würde immer noch sagen, das Risiko ist da, und wir werden auf sie mehr und mehr ab.

Wie unabhängig sind wir oder wie abhängig sind Sie Marvellous Internet?

Computer-Sicherheit , Gut zu wissen , Klatsch , Internet , Technologie , , , ,

Grüne Anzeige für Extended Validation SSL-Zertifikate

4. März 2009

Wenn Sie Firefox 3 oder Internet Explorer 7, stehen die Chancen werden Sie vielleicht feststellen, dass das Symbol für Favoriten (Firefox) und URL-Bar (IE) manchmal grün.

Es ist eines der Sicherheitsmerkmale der neuen Browser, um anzuzeigen, dass die Kommunikation zwischen Ihnen und dieser Websites sind hoch gesichert.

Mozilla hat es in der erklärt Firefox 3 Release-Informationen :

Sichere

* Ein-Klick-Website Informationen: Klicken Sie auf das Favicon in der Adressleiste zu sehen, die die Website besitzt und zu überprüfen, ob Ihre Verbindung vor Lauschangriffen geschützt. Identitätsprüfung wird deutlich sichtbar und leichter zu verstehen. Wenn eine Website nutzt Extended Validation (EV) SSL-Zertifikate wird die Favicon-Taste leuchtet grün und zeigen den Namen des Unternehmens Sie verbunden sind.

Wenn Sie Firefox3, versuchen Sie diese Seiten und sehen Sie die Unterschiede:
https://www.godaddy.com/
https://www.paypal.com
https://www.maybank2u.com.my/mbb/m2u/common/M2ULogin.do?action=Login

GoDaddy

PayPal

Maybank2u

Solche mit EV certs hat Inhaber Identität durch die CA Behörden überprüft, während typische SSL-Zertifikate führt nur eine Validierung gegen den Domain-Namen. Bitte nicht verwechseln, dass typische Konzerte sind nicht besichert. Alle SSL-gesicherten Websites verschlüsselt Daten, aber die mit EV certs hat höheres Vertrauen als ihr zu identifizieren ist "überprüft".

Also, wenn Sie sich fragen, wie Sie Ihre fav Symbol zu ändern für Firefox, um so cool sind, müssten Sie ein Extended Validation SSL kaufen damit das geschehen kann.

Extended Validation Zertifikate (EV) sind eine spezielle Art von X.509-Zertifikat, die weitergehende Untersuchung der ersuchende Stelle von der Zertifizierungsstelle, bevor er ausgestellt erfordert. Quelle: Wikipedia

Für IE-Benutzer, Details hier:
http://blogs.msdn.com/ie/archive/2005/11/21/495507.aspx

Computersicherheit , Internet , Technologie , , , , , , , , , ,