Национальный мессенджер Max (читают 14)

[Anton.K]

Вопрос стоит в том, что проще украсть - пароль или код из СМС.

Этот вопрос, хотя и представляет теоретический интерес, но в случае с ГУ смысла не имеет - здесь применяется двухфакторная авторизация, т.е. сначала пароль, а потом SMS/TOTP/MAX/биометрия (нужное подчеркнуть).

Нажмите на входе в ГУ Забыл пароль и поймёте, что скрипач пароль будет не нужен для входа.

В целом, верно, но есть нюанс - для входа всё равно нужен будет новый пароль.
Если "забыть пароль", то для восстановления пароля (фактически для его смены) достаточно SMS-кода (4 цифры, а не 6, как раньше при входе) и серии+номера паспорта.
После этого появляется напоминание, что доступ может быть ограничен на 72 часа после смены пароля.

Спойлер: Ограничение доступа на 72 часа после смены пароля

И новый пароль потом приходит в SMS - требуется явное подтверждение:

Спойлер: Подтверждение смены пароля

Проверено в веб-версии.
Примечательно, что до этого этапа ГУ не присылают на почту никаких предупреждений о попытке восстановления пароля.
Т.е. "перехват" SMS (вирус-стилер или соц.инжиниринг) и украденные номер-серия паспорта позволяют (мошенникам) сменить пароль (с последующим ограничением возможностей на 72 часа), НО войти в ГУ всё равно не получится, т.к. второй фактор (MAX/TOTP/биометрия) остаётся в силе (не проверял, но, полагаю, это так и есть)
С учётом этого запрет использования SMS (в двухфакторной авторизации), который пока активировали только для некоторых пользователей, действительно затрудняет мошенникам получение доступа к ГУ жертвы в случае "перехвата" SMS.

 

[Alex133]

А у пользователя он хранится в открытом виде.

С чего бы это? В менеджерах паролей неплохая шифрация. И надо еще добраться до файла базы паролей.
Да и лет 20 назад, когда я еще не использовал менеджеры паролей, я пароли хранил в текстовом файле, сжатом в раре с паролем. Когда паролей стало больше двух, запомнить их стало трудно, но и мысли не было хранить их открыто.

 

[Struzhkin]

С чего бы это? В менеджерах паролей неплохая шифрация. И надо еще добраться до файла базы паролей.

Очевидно же. Речь о том чтобы вытянуть пароль из самого пользователя точно также как и код смс. Методами социальной инженерии (т.е. взлома мозгов слабых на логику людей) а не какими-то там супер хакерскими приблудами.

 

[Вкладчег]

Очевидно же. Речь о том чтобы вытянуть пароль из самого пользователя точно также как и код смс. Методами социальной инженерии

На прошлой неделе как раз этим занимался - вытягивал пароль из соседки, чтобы зайти на её ГУ. Она назвала код из смс курьеру из поликлиники и страшно переживала по этому поводу. Пароль от ГУ при этом она наглухо забыла. В общем никакие приёмы ни социальной инженерии, ни инженерной социалии не помогли! Пришлось топать в МФЦ.

 

[askv]

@Вкладчег, что вам помешало запросить смену пароля на сайте ГУ?

 

[Вкладчег]

что вам помешало запросить смену пароля на сайте ГУ?

Это был не мой ГУ, а соседкин. После нескольких неудачных попыток подобрать пароль она была послана... в МФЦ. Там ей всё проверили и восстановили.
Это я к тому, что код из смс вот он, а пароль надо ещё вспомнить, особенно если заходишь в ГУ раз в году. И потом, когда курьер спрашивает код из смс, то неважно от чего он. А когда курьер спрашивает пароль, то возникает вопрос от чего именно пароль?

 

[vicreal]

Очевидно же. Речь о том чтобы вытянуть пароль из самого пользователя точно также как и код смс. Методами социальной инженерии (т.е. взлома мозгов слабых на логику людей) а не какими-то там супер хакерскими приблудами.

Фишинг и шпионское ПО тоже сюда.

 

[askv]

@Вкладчег, то есть, у Вас не получилось подсказать соседке, что пароль можно сбросить через сайт?

 

[vicreal]

> Whatsapp... Мета... Руководство которой публично призывает убивать русских.

Источник информации? Насколько я помню, Мета попала в переплёт из-за отказа модерирования контента пользователей по тутошним методичкам. Конспект по этой блокировке есть, например, в Википедии.

Правильнее сказать не "из-за отказа удалять/модерировать", а из-за "публичного разрешения публиковать" и "распространения". А это уже серьёзнее:

"В Главном следственном управлении СК России возбуждено уголовное дело в связи с незаконными призывами к насилию в отношении граждан Российской Федерации со стороны сотрудников американской компании Meta, владеющей социальными сетями Facebook и Instagram", - говорится в сообщении пресс-службы СК, поступившем в пятницу в "Интерфакс".

В ведомстве отметили, что "пресс-секретарь компании Энди Стоун в социальной сети сообщил о временном снятии компанией Meta на своих платформах запрета на призывы к насилию в отношении российских военных, назвав это формой политического самовыражения".

"Указанные действия содержат признаки преступлений, предусмотренных ст.ст.280, 205.1 УК РФ - (публичные призывы к осуществлению экстремистской деятельности; содействие террористической деятельности)", - говорится в сообщении.

Военный суд заочно приговорил к шести годам колонии пресс-секретаря Meta (компания признана экстремистской и запрещена в России), американца Энди Стоуна за оправдание терроризма.

Ранее о том, что прокурор попросил назначить Стоуну семь лет колонии строгого режима, РБК сообщили в пресс-службе второго Западного окружного военного суда.

Пресс-секретаря Meta обвиняют по ч. 2 ст. 205.2 УК (публичные призывы к терроризму, его оправдание или пропаганда, совершенные с использованием средств массовой информации, в том числе интернета), согласно карточке дела на сайте суда. Максимальное наказание по ней — лишение свободы сроком до семи лет.

21 марта 2022 года Тверской суд Москвы по иску Генпрокуратуры РФ признал Meta экстремистской организацией и постановил запретить её деятельность на территории России.

Суд установил, что компания под видом коммерческой деятельности распространяет на территории России материалы, содержащие призывы к осуществлению насильственных действий экстремистского характера в отношении граждан РФ, нарушает их права и несёт в себе угрозу конституционному строю РФ.

 

[vicreal]

...в Википедии

Вопросы, касающиеся СВО (и не только), лучше изучать в Рувики. В американской Википедии информацию переворачивают вверх ногами. Чуть ли не до "Сталин напал на Гитлера" и "СССР нанёс ядреные удары по Хиросиме и Нагасаки". Порой отвращение вызывает эта Википедия. И подправить ничего невозможно - сразу подчищают.

 

[Struzhkin]

Фишинг и шпионское ПО тоже сюда.

Фишинг это по сути тоже взлом слабого мозга.
Шпионское ПО.. Вы про кейлоггеры?
Ну в теории да.. Но на практике это довольно сложный путь от внедрения и так далее.. С получением сопутствующих данных. Проще по телефону звонить как "майор ФСБ"))

 

[Ярослав]

Фишинг это по сути тоже взлом слабого мозга.

Часто ещё невнимательность и/или спешка, а также доверие к поисковым системам когда в поисковой выдаче путем СЕО-продвижения фишинговые сайты появляются в первых строчках - но сейчас вроде этого уже нету хотя чем чёрт не шутит.