Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Злоумышленники получили контроль за Chrome-дополнением с мил..." | +/– | |
Сообщение от opennews on 04-Авг-17, 12:14 | ||
Продолжаются фишинг-атаки на разработчиков браузерных дополнений, проводимые с целью захвата контроля над дополнением и подстановки в него вредоносного кода, отображающего навязчивые рекламные блоки. Если первой жертвой атаки стало (https://www.opennet.dev/opennews/art.shtml?num=46945) дополнение Copyfish с аудиторией 40 тысяч установок, то новая жертва оказалась значительно крупнее - злоумышленникам удалось (http://chrispederick.com/blog/web-developer-for-chrome-compr.../) получить контроль за дополнением Web Developer (https://chrome.google.com/webstore/detail/web-developer/bfba...) у которого более миллиона активных пользователей. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
4. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | –1 +/– | |
Сообщение от Аноним (??) on 04-Авг-17, 12:28 | ||
Если код вставлял свою рекламу, то, по идее, не сложно должно быть выяснить (для гугла, например), кто за эту рекламу деньги получает. А тут уже и до уголовного дела не далеко. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
8. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +/– | |
Сообщение от Аноним (??) on 04-Авг-17, 12:46 | ||
Осталось доказать, а разумные люди вставляли бы не только свою рекламу. | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
62. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +/– | |
Сообщение от feudor (ok) on 08-Авг-17, 14:48 | ||
тех кто занимается разбоем и грабежами можно как угодно назвать но только они от этого разумными не становятся. | ||
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору |
5. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +5 +/– | |
Сообщение от Аноним (??) on 04-Авг-17, 12:28 | ||
Кстати, фишинг может быть правдоподобной оплаченной попыткой под дурачка закосить. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
24. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +7 +/– | |
Сообщение от рептилоид on 04-Авг-17, 14:32 | ||
> Кстати, фишинг может быть правдоподобной оплаченной попыткой под дурачка закосить. | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
36. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | –1 +/– | |
Сообщение от paulus (ok) on 04-Авг-17, 17:56 | ||
>фишинг может быть правдоподобной оплаченной попыткой под дурачка закосить. | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
7. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +5 +/– | |
Сообщение от Аноним (??) on 04-Авг-17, 12:42 | ||
Я думаю google надо запретить публиковать дополнения тем у кого нет второго фактора. Это будет правильное решение. Что это за разраб который не способен защитить свое приложение? В лес такого разраба | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
9. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +3 +/– | |
Сообщение от Аноним (??) on 04-Авг-17, 12:51 | ||
И чем тут поможет второй фактор? На фишинг-страничке ещё одно поле для ввода сделать не осилят? Это средство эффективно только при краже отдельно взятого пароля, а когда юзер сам всё вводит — толку никакого. | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
12. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +/– | |
Сообщение от Аноним (??) on 04-Авг-17, 13:15 | ||
Второй фактор - подтверждение СМС, не? | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
15. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +/– | |
Сообщение от Аноним (??) on 04-Авг-17, 13:17 | ||
> Второй фактор - подтверждение СМС, не? | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
18. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +1 +/– | |
Сообщение от Аноним (??) on 04-Авг-17, 13:31 | ||
Ты этот код просто не получишь | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
19. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +3 +/– | |
Сообщение от анон on 04-Авг-17, 13:46 | ||
Почему? Фишинговая форма прикручена через условный селениум к настоящей странице аутентификации. Как только в фишинговоую форму вводятся нужные данные они тут же через селениум уходят на настоящую форму. С точки зрения google тут все ок, поэтому смс будет отправлен. | ||
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору |
29. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +6 +/– | |
Сообщение от анонимно on 04-Авг-17, 16:04 | ||
Ну во первых фишинговая страничка ворующая логин с паролем это намного проще чем страничка с перенаправлением на сервер google. | ||
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору |
33. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +/– | |
Сообщение от Аноним (??) on 04-Авг-17, 17:17 | ||
Злоумышленнику никто не мешает сменить привязанный телефон. Выдоить из пользователя несколько кодов подтверждения подряд вообще проще простого — сконструировать страницу так чтобы старый код вводился неправильно или пропадал при отсылке и можно легко убедить жертву, что она сама опечаталась. | ||
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору |
40. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +/– | |
Сообщение от Sasha (??) on 04-Авг-17, 19:35 | ||
Для смены телефона разве не надо отправить смс на старый телефон? | ||
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору |
58. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +1 +/– | |
Сообщение от Аноним (??) on 07-Авг-17, 14:13 | ||
При вводе кода подтверждения авторизации просто сообщаем пользователю, что код введён неправильно, а сами авторизуемся и уже запрашиваем у гугла смену телефона. Гугл отправляет код подтверждения на смену телефона, а мы сообщаем пользователю, что выслан новый код подтверждения авторизации и просим его ввести. | ||
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору |
43. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +/– | |
Сообщение от Аноним (??) on 04-Авг-17, 20:40 | ||
1. От клинического случая ничего не поможет, но не думаю что это случай который вы описываете. Конструкторы, 100 вводов смс. Это далеко от реальности и не выходит за границы вашей фантазии об идеальном взломе. | ||
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору |
55. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +/– | |
Сообщение от борис эйк on 05-Авг-17, 10:45 | ||
> От клинического случая ничего не поможет, но не думаю что это случай который вы описываете. Установка дополнения пользователем, загрузка дополнения злоумышленником в Google. Это далеко от реальности и не выходит за границы вашей фантазии об идеальном взломе. | ||
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору |
20. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +3 +/– | |
Сообщение от Ergil (ok) on 04-Авг-17, 13:59 | ||
Не обязательно.TOTP(RFC 6238) у того же гугла, да вроде и железный второй фактор у них был, если правильно помню. | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
23. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +/– | |
Сообщение от Аноним (??) on 04-Авг-17, 14:29 | ||
> Не обязательно.TOTP(RFC 6238) у того же гугла, да вроде и железный второй | ||
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору |
30. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +2 +/– | |
Сообщение от анонимно on 04-Авг-17, 16:08 | ||
>> Не обязательно.TOTP(RFC 6238) у того же гугла, да вроде и железный второй | ||
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору |
53. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +/– | |
Сообщение от Kuromi on 05-Авг-17, 00:12 | ||
Джакарта дорогая и ненужно. Проще посмотреть на амазоне (там бывают недорогие варианты), а потом через Shipito переслать в РФ, почта выходит копеечная, благ весь мизерный. Например ePass FIDO от Feitian | ||
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору |
56. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +1 +/– | |
Сообщение от Аноним (??) on 05-Авг-17, 15:18 | ||
> Проще посмотреть на амазоне (там бывают недорогие варианты), а потом через Shipito | ||
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору |
13. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +/– | |
Сообщение от Аноним (??) on 04-Авг-17, 13:15 | ||
> Я думаю google надо запретить публиковать дополнения тем у кого нет второго фактора. | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
21. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +/– | |
Сообщение от Ergil (ok) on 04-Авг-17, 14:03 | ||
> и да, при мало-мальской грамотности фишера никакая двухфакторка не поможет, ты второй | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
22. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +/– | |
Сообщение от Аноним (??) on 04-Авг-17, 14:28 | ||
> Хорошо. Введешь. Авторизуется. И тебе придет письмо «Вы только что залогинились с | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
31. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +/– | |
Сообщение от анонимно on 04-Авг-17, 16:10 | ||
Ну т.е. вы описываете уж совсем клинический случай. Таких надо банить и по делом. | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
41. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +/– | |
Сообщение от Аноним (??) on 04-Авг-17, 19:39 | ||
> Ну т.е. вы описываете уж совсем клинический случай. | ||
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору |
44. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | –1 +/– | |
Сообщение от Аноним (??) on 04-Авг-17, 20:42 | ||
>[оверквотинг удален] | ||
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору |
49. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +/– | |
Сообщение от Аноним (??) on 04-Авг-17, 21:30 | ||
> у меня есть yubico токен яжепраграммист | ||
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору |
34. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +/– | |
Сообщение от Аноним (??) on 04-Авг-17, 17:43 | ||
> И это хорошо если тебе гугл вообще даст сходу войти с незнакомого адреса, если у них не сработает защита. | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
42. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +1 +/– | |
Сообщение от Злоумышленник on 04-Авг-17, 19:41 | ||
> Какая защита? Если злоумышленник арендует хост в твоём регионе и часовом поясе, | ||
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору |
26. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | –1 +/– | |
Сообщение от Kodir (ok) on 04-Авг-17, 15:05 | ||
Вот что значит неконтролируемый выход в сеть - СУДИТЬ надо любую компанию, ПО которой вылезает в Интернет без разрешения автора. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
27. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +1 +/– | |
Сообщение от Anonplus on 04-Авг-17, 15:24 | ||
Чего мелочиться - сразу расстреливать. | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
28. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +2 +/– | |
Сообщение от Аноним84701 (ok) on 04-Авг-17, 15:40 | ||
> Если бы плагины обновлялись по желанию юзера, инфицированная база была бы стократ меньше. | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
47. "Злоумышленники получили контроль за Chrome-дополнением с мил..." | +/– | |
Сообщение от AlexYeCu_not_logged on 04-Авг-17, 21:25 | ||
ssh? Не, не слышали. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
54. "Злоумышленники получили контроль над Chrome-дополнением с ми..." | +1 +/– | |
Сообщение от НяшМяш (ok) on 05-Авг-17, 00:48 | ||
Если уж разработчики умудряются свои данные слить добровольно, то простых юзеров даже бить за это не хочется теперь. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
59. "Злоумышленники получили контроль над Chrome-дополнением с ми..." | +/– | |
Сообщение от Аноним (??) on 07-Авг-17, 17:29 | ||
Да лаадна. Быть того не могёт. Дыряв только флеш. Остальные нашлепки на браузеры прочнее брони. Сами браузеры вообще не могут быть дырявыми. Никогда. Ни за что. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
60. "Злоумышленники получили контроль над Chrome-дополнением с ми..." | +/– | |
Сообщение от Аноним (??) on 08-Авг-17, 11:25 | ||
Сарказм это низшая форма юмора. | ||
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору |
61. "Злоумышленники получили контроль над Chrome-дополнением с ми..." | +/– | |
Сообщение от Аноним (??) on 08-Авг-17, 13:20 | ||
Сарказм - это приём сатиры, высшая степень иронии, он вообще не свойственен юмору. | ||
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |