05-25-2023, 09:13 AM
(This post was last modified: 05-31-2023, 08:46 AM by maxxa.
Edit Reason: Dodavanje korisnog linka
)
Na temu "nisam ništa prosledio a račun zadužen", značilo bi da napadač vidi sadržaj SMS poruka pa sam izdvojio tri slučaja kako je to moguće.
1. Napad na SS7 protokol
Ovo bi bilo presretanje poruke i napad na transportni nivo, složićemo se složiti da je skupo kao usluga, po darkwebu a i clear webu košta po $20k, lov na sitno se ne isplati odnosno mnogo je posla i cimanja sa ljudima, a ako neko ima opreme i skila za ovako nešto opet su male šanse da bi se bavio ovako nekim budalaštinama.
2. Kompromitovan telefon žrtve
Ovo bi bio napad na strani hosta odnosno uređaja, mogućosti su praktično beskrajne, evo samo jednog linka od juče: https://thehackernews.com/2023/05/data-s...ed-in.html
Edit: sjajan link od juče koji govori o količini Spyware-a ,a google play store-u: https://www.darkreading.com/application-...oogle-play
Dakle preko 50k Android korisnika nekog screenrecorder-a je imalo datastealer-a. Ovo je samo jedan od mnogih primera, kako na google store, hua store, pa i apple, a osim toga da ne pričamo šta su sve ljudi u stanju da kliknu po webu što u brzini što iz neznanja.
3. Propust na platformi na kojoj se kupuje
Imali smo napad u transportu, na hostu i ovo je na serveru odnosno servisu za kupovinu. Na gaming platformi kupac ili u ovom slučaju napdač unosi broj telefona, šalje se SMS sa PIN-om za potvrdu, nakon unešenog PIN-a zadužuje se račin. Akko bi napdač saznao algoritam po kom se generiše PIN code koji služi za potvrdu kupovine, ili ako bi uspeo da presretne text SMS poruke pre slanja na samoj platformi koju koristi za kupovinu, mogao bi da unese PIN za potvrdu bez da dalje komunicira sa žrtvom.
E sada zašto je sve ovo gore što sam napisao potpuno besmisleno.
Ako bih imao mogućnost da bez akcije žrtve dohvatim PIN i zadužim nečiji račun bez njegove akcije, zašto bih se uopšte cimao sa hakovanjem IG profila ili pravljenjem lažnih profila, dodavanjem ljudi, slanjem poruka i uopšte komunikacijom i traženjem broja telefona, pa čak i da je veći deo toga automatizovan opet je besmisleno jer - imali smo Facebook leak sa ~150000 leakovaih brojeva telefona uz Srbije, to je bilo dostupno za dž, po raznim forumima su bili na prodaju validni brojevi telefona, sećam se pre mesec dva da sam video spisak 10000 brojeva telefona iz Srbije za $20, osim toga imamo i app Osintgram kojim je koliko se sećam moguće dohvatiti i broj telefona IG korisnika ako je ostavio, a većina jeste.
1. Napad na SS7 protokol
Ovo bi bilo presretanje poruke i napad na transportni nivo, složićemo se složiti da je skupo kao usluga, po darkwebu a i clear webu košta po $20k, lov na sitno se ne isplati odnosno mnogo je posla i cimanja sa ljudima, a ako neko ima opreme i skila za ovako nešto opet su male šanse da bi se bavio ovako nekim budalaštinama.
2. Kompromitovan telefon žrtve
Ovo bi bio napad na strani hosta odnosno uređaja, mogućosti su praktično beskrajne, evo samo jednog linka od juče: https://thehackernews.com/2023/05/data-s...ed-in.html
Edit: sjajan link od juče koji govori o količini Spyware-a ,a google play store-u: https://www.darkreading.com/application-...oogle-play
Dakle preko 50k Android korisnika nekog screenrecorder-a je imalo datastealer-a. Ovo je samo jedan od mnogih primera, kako na google store, hua store, pa i apple, a osim toga da ne pričamo šta su sve ljudi u stanju da kliknu po webu što u brzini što iz neznanja.
3. Propust na platformi na kojoj se kupuje
Imali smo napad u transportu, na hostu i ovo je na serveru odnosno servisu za kupovinu. Na gaming platformi kupac ili u ovom slučaju napdač unosi broj telefona, šalje se SMS sa PIN-om za potvrdu, nakon unešenog PIN-a zadužuje se račin. Akko bi napdač saznao algoritam po kom se generiše PIN code koji služi za potvrdu kupovine, ili ako bi uspeo da presretne text SMS poruke pre slanja na samoj platformi koju koristi za kupovinu, mogao bi da unese PIN za potvrdu bez da dalje komunicira sa žrtvom.
E sada zašto je sve ovo gore što sam napisao potpuno besmisleno.
Ako bih imao mogućnost da bez akcije žrtve dohvatim PIN i zadužim nečiji račun bez njegove akcije, zašto bih se uopšte cimao sa hakovanjem IG profila ili pravljenjem lažnih profila, dodavanjem ljudi, slanjem poruka i uopšte komunikacijom i traženjem broja telefona, pa čak i da je veći deo toga automatizovan opet je besmisleno jer - imali smo Facebook leak sa ~150000 leakovaih brojeva telefona uz Srbije, to je bilo dostupno za dž, po raznim forumima su bili na prodaju validni brojevi telefona, sećam se pre mesec dva da sam video spisak 10000 brojeva telefona iz Srbije za $20, osim toga imamo i app Osintgram kojim je koliko se sećam moguće dohvatiti i broj telefona IG korisnika ako je ostavio, a većina jeste.
#BudimoSajberSvesni