Krádeže účtů na WhatsApp se množí, vektor je přitom klasické sociální inženýrství.

Založené na tom, že registrace na WhatsApp nevyžaduje přihlašovací údaje a je vázána na mobilní telefon (číslo). Útočník provede novou registraci pro určité telefonní číslo a poté zavolá vlastníkovi, že se „spletl“ a potřebuje kód, který dostal – tím si zaregistruje WhatsApp na cizí telefonní číslo. Zamezit tomu jde dvoufaktorem, který WhatsApp umožňuje zapnout  – při nové registraci aplikace na (novém) telefonu totiž bude vyžadováno ještě zadání dvoufaktorového kódu. Viz Lebanese WhatsApp Users Report Their Accounts Have Been Compromised

Whatsapp-920x518

Spoléháte se na asistenty v telefonu? Nedělejte to

Spoléháte se na asistenty v telefonu? Nedělejte to, Siri je snadné zatáhnout do phishingu. Detaily viz It Is Mind-Bogglingly Easy to Rope Apple’s Siri into Phishing Scams kde zjistíte, že Apple to nepovažuje za problém bezpečnostní problém. Ale prý se tomu budou věnovat a označili to za chybu.

2018-06-11 15_49_55-Apple iPhone_ iOS Phishing Trick Dupes Siri into Helping Scammers _ Fortune.png

Královská svatba a sociální inženýrství?

Cesta jak útočník získá odpověď na vaše bezpečnostní otázky. Jako by nestačilo, že bezpečnostní otázky jsou zásadní bezpečností riziko. Viz Don’t Give Out Your Information in a Facebook Meme

Pokud snad tápete co je to s těmi bezpečnostními (kotrolními) otázkami, tak viz Jak správně zacházet s kontrolními otázkami u online služeb?

Dde3rCLUwAE7JRV.jpg

CEO Apple volá po regulacích v reakci na poslední skandál Facebooku

CEO Apple volá po regulacích v reakci na poslední skandál Facebooku. Takových, které by upravovaly, jak firmy mohou používat data zákazníků. Pokud ho neovlivnilo to, že zrovna hovořil v Číně, tak je to na jednu stranu logická myšlenka, na druhou stranu nejenom velmi obtížně řešitelné, ale také půjde o regulaci, kterou nikdo nedokáže udržet v chodu. A nezbývá než připomenout i to, že je to Apple, které čerstvě předalo kontrolu nad účty v iCloudu Číně. Právě na základě toho, jakým způsobem Čína „reguluje“ soukromí. Viz Apple’s Tim Cook Calls for More Regulations on Data Privacy

TIP: V Cambridge Analytica vs. Facebook: Skandál, který (4 roky po konání se) otřásá Facebookem i politikou najdete přehled dění okolo skandálu Facebooku

Krádeže identit míří na virtuální/krypto měny, útočníkům se daří krást telefonní účty

Krádeže identit míří na virtuální/krypto měny, útočníkům se daří krást telefonní účty. Ale pozor, tady nejde o telefonní čísla, ale o přesvědčení telefonního operátora, aby převedl telefonní číslo útočníkovi. Ten poté získané telefonní číslo použije k překonání dvoufaktorové ochrany a získání přístupu ke všemu, kde je telefon využit. E-mailu, účtům na sociálních sítích, ale také kyberpeněženkám. Viz Identity Thieves Hijack Cellphone Accounts to Go After Virtual Currency 142

1200-pexels-selfie-phone-iphone-taking-photo-selfie-36675-photo.jpg

Mia Ash, dnes už neexistující falešný profil vytvořený íránskými hackery pro cílené útoky

Mia Ash, dnes už neexistující falešný profil vytvořený íránskými hackery pro cílené útoky. Na příběhu v MEET MIA ASH, THE FAKE WOMAN IRANIAN HACKERS USED TO LURE VICTIMS jsou nejvíce zajímavé dvě věci. Jak velmi detailní a dlouhodobé práci si dali s vytvořením falešné identity (Facebook, Linkedin, WhatsApp, Blogger) a jak snadno může chlap naletět fake ženské. A vlastně ještě třetí věc. Jak nebezpečné je, když lidé na sociální sítě volně dávají záplavy fotografií. Mia Ash si totiž identitu vytvořila z cizích fotek.

mia-ash-facebook-2.png

 

Demokracie nikdy nečelila takové hrozbě jako je Facebook.

Demokracie nikdy nečelila takové hrozbě jako je Facebook. Připadá vám to tvrzení z Democracy Never Faced a Threat Like Facebook divné? Je velmi realistické a týká se voleb a toho, jakým způsobem Facebook uměle (a mnohdy záměrně) vytváří bubliny a ovlivňuje populaci. V předmětném článku je jde sice hlavně o netransparentní inzerci a selektivní předkládání inzerátů „pouze někomu“. A na rozdíl od starých metod „cílení“ dnes Facebook cílí podle uměle vytvářených profilů uživatelů (i neuživatelů). K čemu je nutné dodat ještě to, že tyhle profily jsou zásadně chybující a vše dělají ještě horší. Ale zpět k transparentnosti, kde další argument je, že politická agitace, zejména ta předvolební, je ve většině zemí předmětem regulace, což Facebook umožňuje obejít. A zajímavé je i whotargets.me

2017-06-11 19_04_30-Facebook ads in the General Election 2017 - Who Targets Me_.png

Fake WhatsApp.com vám do mobilu dostane adware

Fake WhatsApp.com vám do mobilu dostane adware, ale mohlo by být i hůře. Doména přitom opět používá unicode (kde se dá najít „w“ co vypadá skoro jako skutečné, jen je k nalezení v cyrilice, podobně jako pár dalších znaků). Viz Fake WhatsApp.com URL gets users to install adware a jako obvykle se zde objevuje to co už známe z roků podvodů na Facebooku. Nabízí se WhatsApp v různorodých barvách.  Falešná doména шһатѕарр.com/?colors nakonec přesměruje na blackwhats.site a ve hře je i to, že uživatel musí z mobilu odkaz sdílet aby „ověřil, že je „člověk“. Do počítače to instaluje rozšíření pro Chrome.

2017-05-15 23_01_02-blackwhats.site.png