Как сломать конфу в вк: Способ атаковать любой чат в Telegram-мессенджере, или как на меня напали хакеры / Хабр

Способ атаковать любой чат в Telegram-мессенджере, или как на меня напали хакеры / Хабр

Помните, недавно вышла серия постов про прививки от коронавируса?

Я член команды админов из той системы чатов v1v2 по вакцинации и лично моя зона ответственности – «ЭпиВакКорона», вакцина ГНЦ «Вектор» Роспотребнадзора.

Если коротко, то в процессе независимой проверки вакцин мы выяснили, что Спутник-V отлично работает и побочные явления приемлемые, а их разработчик центр им. Гамалея говорит правду в СМИ про свою вакцину и её характеристики. Ковивак (им. Чумакова) работает существенно хуже – формирует антитела далеко не у всех и на низком уровне.  А вот «ЭпиВакКорона» скорее всего вовсе не получилась. Подробнее у нас на сайте. «ЭпиВакКорона» не даёт никакой известной защиты от коронавируса. Какие-то антитела  от неё в 70% появляются в организме человека, но они не способны связываться с коронавирусом.

В нашем чате около 8500 человек, интересующихся нашими исследованиями и данным препаратам. И вот вчера на нас напала неизвестная группа лиц весьма своеобразным способом. Проведя небольшое исследование и ряд экспериментов удалось вычислить схему действия. В нашем чате под видом обычного пользователя сидит бот, подключённый к чату через их API. Он следит за сообщениями и как кто-то пишет новое, смотрит id пользователя. Это внутренний номер, который не равен вашему нику или номеру телефона. Id не меняется, если вы меняете ник или номер телефона.

Далее по данному id пробивается по базам данных, собранных по публичным источникам. Доступ к ним есть через ботов в Telegram, например @Quick_OSINT или «Глаз бога».

Например, мой профиль там выглядит так:

Если напрямую в профиле указан номер сотового телефона или он «пробивается» по базе, то на данный телефонный номер начинается спам-атака. Иногда сразу, иногда спустя время. Когда я запустил в чат фейковый аккаунт с новым открытым номером, SMS-бомбинг начался через час. Но иногда начинается мгновенно.

На одного пользователя атака длится примерно час. Интересен сам механизм атаки.

Приходит сотни сообщений такого вида:

Смотрим, что же это за сайты и бренды и сразу находим источник SMS, например, сервис Sravni.ru

Общее для них всех – отсутствие капчи и таймаута между попытками. Можно в больших объёмах отправлять SMS одному и тому же человеку. При этом генератор случайных чисел каждый раз вставляет новый временный пароль и анти-спам фильтры не распознают это как спам.

При этом часть сервисов генерирует вместо SMS звонок. По задумке авторов пользователь должен ввести в поле авторизации 4-5 последних цифр номера, с которого звонили.

При этом цена каждой такой SMS около 1,5 рубля. На одного человека генерируется примерно 200 SMS. В чате у меня онлайн сидит обычно 1000 – 1500 человек. Из них постят сообщения ~500. Телефон доступен «на глаз» у 2/3 из них. Атака возобновляется примерно раз в 2-3 часа. Грубый подсчёт даёт расход на оплату SMS около 100 000р. — 300 000р. в день без учёта налогов. Это цена головотяпства разработчиков сайтов, на которых не стоит защита от такой эксплуатации сервиса.

Вот неполный список сайтов и организаций, которые «отличились»:

1. Банк «ПСБ» https://www.psbank.ru/

2. Газпром-банк https://www.gazprombank.ru/

3. ООО «Сравни.ру»  https://Sravni.ru/

4. ООО «Кари» https://kari.com/

5. ООО «БУКМЕКЕРСКАЯ КОНТОРА «ФАВОРИТ»  https://888.ru/

6. ПАО «МТС» https://kion.ru/home

7. https://moiprofi.ru/

8. Сеть магазинов «Верный» https://www.verno-info.ru/

9. https://apteka-ot-sklada.ru/

10. НТВ+

11. ООО «Винлаб-Центр» https://www.winelab.ru/        

И множество мелких сайтов микрокредитных организаций.

Работа по рассылке автоматизирована, скорее всего идёт через прокси.

Как исправить ситуацию?

На уровне сайтов:

1. Поставить таймаут, чтобы нельзя было одному и тому же абоненту отправить больше, чем одно SMS в минуту.

2. После трёх таких SMS увеличивать таймаут или заблокировать отправку на сутки

3. Добавить капчу

4. Добавить защиту – например, с одного айпиадреса не должно быть более 3 смс в минуту, даже на разные телефонные номера

На уровне оператора сотовой связи:

Расширить функционал чёрных списков, ограничить отправку подряд более 3 подобных SMS на один номер НЕ от абонентов .

На уровне пользователя:

1. Использовать двухфакторную авторизацию везде, где она есть

2. Использовать криптостойкие пароли и разные в разных сервисах

3. Использовать чёрные списки от операторов сотовой связи

4. Не использовать для телеграм-чатов свой основной телефонный номер и не публиковать его нигде

5. Скрывать номер телефона в профиле в настройках безопасности

На уровне админов – держать связь с техподдержкой телеграма, включить капчу на вход в открытых чатах. Предупреждать о необходимости прятать номер телефона в профиле.

Я надеюсь, что на Хабре есть айтишники вышеуказанных организаций и они в скорейшем времени закроют эту брешь. Так как экономический урон от рассылки таких SMS ощутим. Также такая атака заставляет пользователя добавлять в чёрные списки «белые» организации, что затруднит использование этих сервисов в будущем. Объём таких SMS вы можете увидеть в детализации – сколько SMS ушло на один и тот же сотовый телефон и с какой частотой.

Пост прежде всего актуален для владельцев открытых телеграм-чатов. Основная опасность такой атаки – дешевизна. Злоумышленнику почти ничего не стоит запустить и поддерживать такой скрипт, SMS-бомбинг идёт за чужой счёт.

UPDATE. Предприятия, которые оперативно отреагировали на уязвимость:
1. Газпромбанк
2. Винлаб (даже извинились за эту оплошность)
3. Промсвязьбанк

Хуже всего отреагировали МТС — пишут отписки.

Как я взломал популярную ютубершу “HoneyTits” – Telegraph

Обязательно подпишись https://t.me/dedsecpub

Всем привет! Сегодня я вам хочу рассказать историю: “Как сломать мозг ютуберу” или как я взломал популярную ютубершу под ником “HoneyTits”.

P.S. Схема немного не доработана в конце. Думаю при должном внимании можно доработать.

Начнем с самого главного. Какого ютубера я выбрал?

Выбрал я ютубершу “HoneyTits”

240.000 Подписчиков.

Задача была : Взломать ВК

Приступим к самому интересному

Перед тем как начать туманить мозг ютуберши, надо подготовится.

Что мне нужно было:

● Фейковый сайт (Я взял сайт с голосованиями) Главное чтобы он был беспалевный. Вот у меня при регистрации нужна авторизация ВК. Тем кто не шарит, спалить сложно.

● Красивый домен для сайта

● Опыт в социальной инженерии (Далее СИ) ( Умение пиздоболить 80 lvl’a:))) )

● Желательно красивый и солидный ВК (у меня его не было на тот момент)

● Смена IP. На том ВК, с которого будем сидеть.

● В некоторых случаях иметь фейковую почту для сайта

● Иметь хотя бы одного друга, который поможет убедить ютубера в честности ваших намерений:))

Когда мы подготовились, начинается самое интересное:))

С крупными ютуберами списаться на прямую не так просто.

Поэтому я начал писать ее менеджерам и отписал парню.

Начнем с парня:

С первых слов главное завоевать доверие человека. Время красивого текста:

Тем временем я общаюсь уже с менеджером. Отправлю в догонку последний скрин с парнем, и перейдем к следующему лицу.

Переходим к переписке с менеджером:

Время самого интересного. Мозги менеджеру и парню были прочищены. Менеджер создала конфу с самой ютубершой…

Сразу отмазываемся если у вас левый аккаунт. Отмазка популярная, но за пиздеж ее принять сложно. Такое часто происходит.

Начинаем промывать ЕЙ мозги 😉

Начинаем из далека.

Сейчас посмотрите часть переписки без моих комментариев.

Настало время подготовить ее ко взлому)

После того как мы ее подготовили, меняем тему. Сейчас продолжаем завоевывать доверие.

Время добавлять в конфу второе лицо)

Я представился менеджером, и нам нужен БОСС))

На этом со скринами все 😉

Дальше все понятно. Человек готов. Теперь осталось ее заставить авторизоваться (зарегистрироваться) на сайте.

У меня на сайте 2 вида регистрации. Обычная, где после надо зайти в личный кабинет, и привязать ВК.

Но при стандартной регистрации люди не боятся и указывают пароль) А пароли обычно одинаковые. 😉 А на крайняк заставляем привязать ВК.

Ну а скоро ждите её полный слив на канале)))

Вы можете делать так же как я, ну или как-то по другому. Тут уже чисто ваша фантазия.

Я вам показал историю как я путем СИ вышел на эту ютубершу и заставил ее поверить что мы с добрыми намерениями хотим просто пропиарить сайт.

Думаю некоторым людям такая идея СИ понравится =)

Подписывайтесь на мой канал https://t.me/dedsecpub и ждите новые посты 😉

java — Максимально возможное значение KeyEvent.VK_*

спросил 6 лет, 11 месяцев назад

Изменено 6 лет, 11 месяцев назад

Просмотрено 369 раз

Мне нужен массив всех значений VK, чтобы я мог спросить, нажата ли клавиша

 открытый класс Input реализует KeyListener{
    логическое значение [] keyPressed = новое логическое значение [1000];
    @Override
    public void keyPressed (KeyEvent arg0) {
        keyPressed[arg0. getKeyCode()] = истина;
    }
    @Override
    public void keyReleased (KeyEvent arg0) {
        keyPressed[arg0.getKeyCode()] = ложь;
    }
    @Override
    public void keyTyped (KeyEvent arg0) {}
}
 

Кто-нибудь может мне сказать — Каковы максимальные и минимальные значения ВК?

Я не хочу, чтобы Oracle однажды добавляла новые значения VK и ломала мой код.

Есть ли способ динамической установки в стиле «limits.h»?

1

Использование KeyEvent: http://grepcode.com/file/repository.grepcode.com/java/root/jdk/openjdk/6-b14/java/awt/event/KeyEvent.java

Максимально достижимое значение ( с использованием представления юникода):

 public static final char CHAR_UNDEFINED = 0xFFFF;
 

или 65535 в десятичном формате.

Это несопоставленное значение для неопределенного символа, отличного от Юникода.

Наибольшее определенное значение для действительного события:

 public static final int VK_BEGIN = 0xFF58;
 

или 65368 в десятичном формате.

Наибольшее отображаемое значение, если вы не против отключить несколько специальных функций:

 public static final int VK_CONTEXT_MENU = 0x020D;
 

или 525 в десятичном формате.

Наименьшее определенное значение:

 public static final int VK_UNDEFINED = 0x0;
 

или 0 в десятичном формате.

Очевидно, что истинный максимум и истинный минимум недостижимы с клавиатуры, но они служат разумными жестко запрограммированными пределами. VK_CANCEL приходит по адресу 0x03 для потенциально наименьшего фактического используемого отображаемого значения.

4

Зарегистрируйтесь или войдите в систему

Зарегистрируйтесь с помощью Google

Зарегистрироваться через Facebook

Зарегистрируйтесь, используя адрес электронной почты и пароль

Опубликовать как гость

Электронная почта

Требуется, но никогда не отображается

Опубликовать как гость

Электронная почта

Требуется, но не отображается

Нажимая «Опубликовать свой ответ», вы соглашаетесь с нашими условиями обслуживания и подтверждаете, что прочитали и поняли нашу политику конфиденциальности и кодекс поведения.

ВК Люксы | Высококлассные Офисы в аренду в Newport Beach

Свиток

Основные причины

 Сообщество единомышленников инвесторов,
предпринимателей и СПЕЦИАЛИСТОВ по финансовым услугам
.

Запланировать тур

См. планы этажей

Сообщество

Наше сообщество профессионалов-единомышленников создает среду, в которой вы будете вдохновлены и мотивированы на великие дела для развития вашего бизнеса.

Правильная экосистема

Центр для инвесторов, предпринимателей и специалистов в области финансовых услуг. VK Suites предлагает экосистему, в которой процветает бизнес, от стартапов до финансовых консультантов, финансовых менеджеров и юристов.

Удобство

Расположение в центре с быстрым доступом к банкам, гостиницам, ресторанам, автострадам, торговым центрам и аэропорту Джона Уэйна — это лишь одна из причин, по которым вы хотите быть здесь.

Гибкое пространство и условия

Гибкость, отвечающая потребностям растущего бизнеса. Предлагая гибкие условия с возможностью расширения или сокращения, сохраняя наши комплексные цены.

Все за один Цена

Бесплатный кофе

Бесплатные закуски и фрукты

Меблированные офисные апартаменты

Высокоскоростной Wi-Fi

Высокоскоростная сеть передачи данных

Месячные часы конференц-зала

Бесплатная гостевая парковка Подтверждение

Охраняемая парковка

Удобство и многое другое

ЧАСТНЫЕ КАБИНЕТЫ

ПРОСТОРНЫЕ ОТКРЫТЫЕ ПЛАНИРОВКИ

ОДИНОЧНОЕ И НЕСКОЛЬКО РАБОЧИХ ПОМЕЩЕНИЙ

900 02 БЕЗОПАСНЫЙ ДОСТУП БЕЗ КЛЮЧА 24/7

НЕСКОЛЬКО КОНФЕРЕНЦ-ЗАЛОВ

ВАРИАНТЫ ОБЕДА

Обработка почты и посылок

ГИБКИЕ УСЛОВИЯ

принтер и копировальный аппарат

СПА-центр для совещаний на открытом воздухе CES

СТЕКЛЯННЫЕ ОКНА ОТ ПОЛА ДО ПОТОЛКА

БЫСТРЫЙ ДОСТУП К 405, 55, AND 73

две КУХНИ И КОМНАТЫ ДЛЯ ОТДЫХА

LAKEVIEWS

 

Иди на обед!

Спортивный клуб Classic Q (4 мин. )

Ike’s Love & Sandwiches (4 минуты)

Jimmy John’s (6 минут)

La Salsa (6 минут)

Roll It Sushi & Teriyaki (4 минуты)

Saagar Indian Cuisine (5 минут)

Карлс младший (8 минут)

Current Coast Cuisine (5 минут)

Плюс многое другое…

Поездка на обед

Bistango (2 минуты)

Bosscat Kitchen & Libations (3 минуты) 9 0005

Бенихана (3 минут)

Vibe Organic Kitchen (3 минуты)

il Barone Ristorante (4 минуты)

Ten Asian Bistro (4 минуты)

Togo’s Sandwiches (5 минут)

Moulin (5 минут)

Bruegger’s Bagels (5 минут)

9 0122 Гостиницы

пешком (минуты )

Renaissance Newport Beach (5 минут)

Extended Stay OC (8 минут)

Hyatt Regency John Wayne (12 минут)

Hampton Inn/Suites Irvine (15 минут)

Hilton I Рвайн/Аэропорт OC (15 мин)

Отели

короткая поездка (минуты)

Newport Marriott Bayview (4 минуты)

Irvine Marriott (5 минут)

Fashion Island Hotel (10 минут)

Newport Beach Marriott т (11 минут)

Бальбоа Бэй Resort (15 минут)

Банки

пешком (минуты)

Bank of the West (1 минута)

UMPQUA BANK (5 минут)

U.