Fake stranky, malware, spam - tvorba honeypotu

[Hexaris]

Mate niekde zoznam alebo poznate stranky kde sa aktualne vyzaduje prihlasenie mailom, registracie kde ide o phising, spam atd.? Aktualny bordel co mam moznost ide po tel. cislach a ja potrebujem bot-om pre harvesting podsunut svoje schranky. Pripadne kde ich vystavit? Mam uz html hidden s emailom po weboch (soc. sietach) a stale nejak mrtvo ... Pripadne ak mate separe schranku kde chodi iba bordel, nic realne (ziadna skutocna registracia), tak bcc ku mne kludne zoberiem. Co mam normalne schranky tam toho chodi mrte, ale nemozem to automatizovat na tvorbu corpusu, neural spam DB.

[Hexaris]

Skusim si s odstupom casu odpovedat sam. Zatial najlepsi sposob co sa ukazal je hidden element v html stranke. Bohuzial to trvalo nejaku dobu, ale uspesne. Samozrejme toho este nie je tak vela, je to beh na dlhe trate Ak by niekto chcel mozem to preposielat bcc na dalsie ucenie.

Trochu mi tu chyba nejaky security agregator, mozno nejake vlakno kde by sa davali primarne linky, napr: https://thehill.com/policy/cybersecurit ... -email-app

[Hexaris]

Snímka obrazovky 2021-03-25 121930.png

Bude to vyzerat ako, ze hovorim sam zo sebou, ale kvoli tomu nechcem zakladat nove vlakno. Moze mi tuto retardaciu niekto vysvetlit? To proste ludia na uradoch nemaju nejake poucenie o BCC? Napomahanie spamu, malwaru ...
Ja v logoch mam tolko emailov tohto typu, ze kalamita.

[Sugyi]

Myslim si, ze nemaju. Ak aj maju, nie ku kazdemu sa asi dostane. Dalsie ani nevedia co robia a ci je to podla usmernenia alebo nie. A dalsie kus to asi aj ignoruju ked uz maju lebo toho maju "vela". Realita vie byt kruta.
Plus toto je asi chain a ludia sa domnievaju, ze niekomu pomozu takto (sanca nie je 0).
Na taketo security veci asi nie je celkom toto forum. Aj ked urcite sa aj tu najdu ludia ktorych to zaujima.

[Hexaris]

Ak nebudu namietky od vedenia, mozno by som vlakno premenoval na sposob “hexov security kutik” a pisal by som sem vselijake veci co denne zazivam ohladom bezpecnosti a pruserov

[wingo]

Zažil som aj ja, paradoxne nie od úradu, ale napr. súkromná firma čo ponúkala školenia či bytové družstvo
Bohužiaľ ľudia vo všeobecnosti nemajú povedomie o internet security veciach pokiaľ to priamo nemajú v náplni práce alebo sa o to osobne nezaujímajú, sa čudujem že sa to nestáva omnoho častejšie. To že to zvyčajne robia správne je skôr tým že ich správnemu postupu naučil niekto kto ich do roboty zaúčal, ale netušia prečo to tak majú robiť.

[gammaray]

Ak nebudu namietky od vedenia, mozno by som vlakno premenoval na sposob “hexov security kutik” a pisal by som sem vselijake veci co denne zazivam ohladom bezpecnosti a pruserov

Môžeš začať. Premysli si ako to má vyzerať, nech to má hlavu a pätu. Môže byť napríklad popísaný problém a k nemu riešenie, odporúčania a pod.....

[Hexaris]

Nazov stale zvazujem ... pridam vsak jednu zaujimavost

Ukradnute, uhadnute heslo k mailu:

Nebezpecny stav: Odosielanie spamu, virusov, malwaru (90% sa jedna o tento stav)
Kriticky stav: Heslo sa pouziva na citanie schranky a kradnutie mailov + vydieranie (10%).

Ako vznikne:
Prvy a druhy stav je vacsinou hadanie hesla cez slovnik. Slusna uspesnost bola u outlooku kde sa sa heslo tahalo z neho. Obzvlast starsie verzie outlook express boli zneuzivane (ruka v ruke s OS).

Mozne riesenia:
Menit raz za cas heslo. Aplikovat geoip na pristup k schranke. Geoip sa da automatizovat na zaklade loginov, pripadne banovat napr. cez fail2ban. V pripade, ze sa pouziva server kde je moznost sieve, nastava komplikacia, ze bot, utocnik nahodi pravidlo pre presmerovanie emailov. Pripadne si da len preposlat kopiu a geoip uplne strati na ucinku v pripade pop3/imap. Ak casto nemenite sieve pravidla tak na toto pridete mozno po par mesiacoch, rokoch ... a verte je to hnusne prekvapenie.

Vacsinou vas hosting v pripade prveho stavu upozorni, blokne ucet alebo obmedzi pristup cez geoip. Druhy stav uz je o niecom inom

Bohuzial smtp a celkovo postovy protokol je tu tak dlho, ze jeho bezpecnost je fakt bieda.

[Sugyi]

Ako su natom s tahanim hesla novsie Outlook-y (2013+)?

[Hexaris]

Napisem to asi takto, nirsoftaci a ich passview vie:

• Outlook Express
  Microsoft Outlook 2000 (POP3 and SMTP Accounts only)
  Microsoft Outlook 2002/2003/2007/2010/2013/2016 (POP3, IMAP, HTTP and SMTP Accounts)
  Windows Mail
  Windows Live Mail
  IncrediMail
  Eudora
  Netscape 6.x/7.x (If the password is not encrypted with master password)
  Mozilla Thunderbird (If the password is not encrypted with master password)
  Group Mail Free
  Yahoo! Mail - If the password is saved in Yahoo! Messenger application.
  Hotmail/MSN mail - If the password is saved in MSN/Windows/Live Messenger application.
  Gmail - If the password is saved by Gmail Notifier application, Google Desktop, or by Google Talk.

Takze uplne easy, ale treba vziat v potaz, ze dnes ma skoro kazdy nejaky AV (defender) a tak tento sposob je skorej na ustupe. Castejsie narazis na mail kde je vyzva na prihlasenie lebo sa ti lockne ucet alebo mas plnu schranku. Vzdy treba pozerat kam smeruje URL. Ak tam nie je nejaky hash, ale len cisto domena, tak email davam dick@mail.com a heslo eatthisshit v opacnom pripade si vas podla hashu overi, ze ste to otvorili a berie vas ako easy obet.

[molnart]

to by si mohol na zaciatok vysvetlit co robis, lebo to znie zaujimavo. https://en.wikipedia.org/wiki/Honeypot_(computing) som prebehol ale nie som z toho mudrejsi

[Hexaris]

Ak to napisem ako laik tak je to v podstate "navnada"
Ucelom je skumat, logovat traffic, cinnost botov, ludi a podobne. Boti skenuju cele rozsahy vratane portov. Pripadne sa ide priamo na nejaku zaranitelnost. Nemusime chodit daleko, ked spomeniem nedavno MS exchange. A ze tych mailov bolo z real. firiem . Na wiki je spravne napisane, ze obsahuje hpot nejake data (nerealne), ale zaroven posobia doveryhodne. Celkom zaujimavy set hpotov ma nemecky t-mobile (https://github.com/telekom-security/tpotce). Obcas to pouzijem na test co je nove. Rozhodne to neskusajte doma na verejnej IP. Operator dost casto sam o sebe kontroluje openrelay, otvorene ftp/tftp (rozne zranitelnosti) a moze vas kontaktovat, pripadne offnut ak by to ohrozilo integritu siete.
Vyssie uz som pisal, ze aktualne chytam spam cez najviac pouzivane schranky. Webmaster, admin. user, tieto schranky realne neexistuju, ale su zbierane botom z webu (su proste lakave). Na webe zobrazene nie su, tak sa k nim relane clovek nema ako dostat ak teda neda zobrazit zdrojovy kod stranky. Celkom dobre sa schranky zbieraju cez twitter.
Mozno som uz nieco opakoval 2x, potom sry

A nezabudnite, to ze doma mozete mat aku chcete black hole aby o vas nic nevedeli, este neznamena, ze kopec dat nelieta po nete z inej organizacie ktora nemala stastie alebo nebola poucena. Zlyhal proste clovek a to su zdravotne data, socialne veci
To uz je potom vyuzivane na vydieranie, spam. Prave ukradnute dokumenty sluzia vacsinou ako template pre dalsiu potrebu. Brr ... zas vela pisem.

[HellAngel]

len pis, toto je zaujimave

[molnart]

takze v podstate vystavis na net nejaky fake insecure element, cakas aby sa na to niekto chytil a potom ho automaticky blokujes aby sa nedostal k real datam? aku ulohu v tom hraju

stranky kde sa aktualne vyzaduje prihlasenie mailom, registracie kde ide o phising, spam atd.?

?

[Hexaris]

Tu mi ide o to aby som nejak dostal do spammerskej DB nejaky moj email ktory monitorujem alebo nejake data. Ja chapem, ze zivotnost webu bude kratka. Bud to chrome zacne blokovat (da sa ignorovat) alebo to hosting zrusi. Hodne bordelu ide cez wordpress weby, ale ja nemam energiu ani cas rucne ich hladat. Preto bola otazka ci priamo nieco nepoznate co este zije ze by som to nakrmil.

edit: Hlavne ide o data co bezne bot nehlada alebo neexistuju v zoznamoch na darknete. A chcete si nejak vytvorit corpus pre bayes alebo si otestovat nieco konkretne. Je to beh na dlhe trate.