А,то есть без проверки dkim ты бы кликнул в ссылку gmail.com.one?

И что вообще плохого кликнуть на ссылку? Какая информация может утеч?

Мне очень интересно этот момент

Без проверки dkim это ничего не меняет

Если письмо не прошло проверку - его кинет в спам или пометит

В смысле? Ты не знаешь зачем фишинговые письма нужны?

Если письмо не прошло проверку - его кинет в спам или пометит

Нет, не обязательно.

В смысле? Ты не знаешь зачем фишинговые письма нужны?

Что бы я ввел на сайте пароль, но на том сайте нигде он не вводится. Вообще никакие данные не нужно вводить

Правила таких нет

Нет, не обязательно.

Если настроен DKIM

Большинство почтовиков делают именно так

Нет, не обязательно.

Отправь мне письмо что бы не кинуло от телеграм.орг ua.lyo.su@gmail.com

это официальная ссылка, еще раз говорю

Кто не делает - почему вы ими вообще пользуетесь?

он ее кидает только из-за блокировок ркна

Продвинутый фиш очень круто маскируется... .

из под впн приходит telegram.org

он ее кидает только из-за блокировок ркна

Да это сразу было понятно что домен для обхода

Да это сразу было понятно что домен для обхода

вот и я об этом

шо ж он так запаниковал

Что бы я ввел на сайте пароль, но на том сайте нигде он не вводится. Вообще никакие данные не нужно вводить

Не обязательно. Ты можешь отдать свои данные если фишинговый сайт подвержен атакам, csrf например

Не обязательно. Ты можешь отдать свои данные если фишинговый сайт подвержен атакам, csrf например

Не фишинговый, а фишингуемый

В скайпе есть такая хрень: входящие звонки переадресовуются на номер внутренней АТС. А можно такое запутить в Телеграмме?

Я думаю такое письмо попадет в спам

Не фишинговый, а фишингуемый

В таком случае ты и без писем их можешь отдать

Я думаю такое письмо попадет в спам

А вот и хуюшки. Иначе тогда письма с русских доменов РФ тоже попадали бы в спам.

Не обязательно. Ты можешь отдать свои данные если фишинговый сайт подвержен атакам, csrf например

В таком

У современных почтовиков очень продвинутая спам система

В таком случае ты и без писем их можешь отдать

Да. Но мы про фишинг щас?

CSRF - это, прежде всего, проблема сайта

А не его пользователей

На самый главный вопрос я так и не получил ответ. Что может быть плохого при переходе по ссылки?

Конечно. Но данные ты свои отдашь

На самый главный вопрос я так и не получил ответ. Что может быть плохого при переходе по ссылки?

На вопрос не получил вопрос?

На вопрос не получил вопрос?

Ответ*

Я не понимаю как можно что то украсть таким образом

Ты про конкретный случай или вообще?

Я не понимаю как можно что то украсть таким образом

вообще можно атаковать старые браузеры, но на новом ПО вряд ли это возможно

вообще можно атаковать старые браузеры, но на новом ПО вряд ли это возможно

Csrf работает везде

вообще можно атаковать старые браузеры, но на новом ПО вряд ли это возможно

С таким успехом можно проще воровать и не напрягаться

Я не понимаю как можно что то украсть таким образом

+ И как можно обойти это: При входе со второго устройства в аккаунт, приходит уведомление на 1 устройство.

Зачем создавать такие домены и слать письма от офф почты если старые браузеры и так можно хакнуть?

+ И как можно обойти это: При входе со второго устройства в аккаунт, приходит уведомление на 1 устройство.

Мы выяснили что это официальное письмо и домен. Мы говорим про определение фишингового письма и что можно сделать при переходе по левой ссылке

Csrf работает везде

а чем он тут поможет?

а чем он тут поможет?

А как он работает?

А как он работает?

из названия и так понятно, что посредством подделки запроса

Не совсем. Ты на чужом домене можешь выпрлнить урл другого сайта имея доступ к его кукам

а, ну, тогда да, применяемо

Не совсем. Ты на чужом домене можешь выпрлнить урл другого сайта имея доступ к его кукам

Можно проще заставить пользователя попасть на сайт тогда уж

Можно проще заставить пользователя попасть на сайт тогда уж

кинуть ссылку в письме достаточно просто. да и мы не о простоте говорим, а о способе выполнения атаки

кинуть ссылку в письме достаточно просто. да и мы не о простоте говорим, а о способе выполнения атаки

Я не слушал и не видел никогда сам такие случаи, значит возможно это довольно трудно провернуть?

ты никогда не читал про csrf? это просто проворачивается, если на той стороне не позаботились о защите

ты никогда не читал про csrf? это просто проворачивается, если на той стороне не позаботились о защите

Читал, но не более. На практике не видел применение ни разу

Какая библиотека на питоне позволяет читать содержимое публичных каналов?

Какая библиотека на питоне позволяет читать содержимое публичных каналов?

telethon

окей. допустим ты админ на сайте А, и чтобы удалить на сайте А всех пользователей ты жмешь на кнопку с урлом siteA.com/delete-all-users. Единственная проверка - проверка что ты залогинен и админ. теперь на siteB.com мы вставляем код <img src="http://siteA.com/delete-all-users"> и кидаем тебе ссылку.

telethon

Он разве ещё живой? Ещё может читать? Не подумайте только, что докапываюсь, просто казалось, что он помер.

Он разве ещё живой? Ещё может читать? Не подумайте только, что докапываюсь, просто казалось, что он помер.

Кек, живее живых по моему.

ERROR: S client not available

Кек, живее живых по моему.

Понял, спасибо. Что-то неправильно в голове отложилось значит. Прошу прощения.

окей. допустим ты админ на сайте А, и чтобы удалить на сайте А всех пользователей ты жмешь на кнопку с урлом siteA.com/delete-all-users. Единственная проверка - проверка что ты залогинен и админ. теперь на siteB.com мы вставляем код <img src="http://siteA.com/delete-all-users"> и кидаем тебе ссылку.

А как вообще это относится к домену telega.one? Как вообще можно даже в теории что то такое провернуть с телеграмом я не понимаю

Мы выяснили что это официальное письмо и домен. Мы говорим про определение фишингового письма и что можно сделать при переходе по левой ссылке

А как вообще это относится к домену telega.one? Как вообще можно даже в теории что то такое провернуть с телеграмом я не понимаю

ну например my,telegram.org/delete-my-apps

у тебя же есть там админка где ты app_id получаешь

И там есть, внезапно, csrf-токен?

это выдуманная ситуация. я объясняю как можно провернуть атаку перейдя по ссылке.

это выдуманная ситуация. я объясняю как можно провернуть атаку перейдя по ссылке.

Обычный пользователь это тем более не поймет. Тогда в чем вообще проблема? Продвинутый может просто проверить достоверность письма, а нуб даже ничего не поймёт

Обычный пользователь это тем более не поймет. Тогда в чем вообще проблема? Продвинутый может просто проверить достоверность письма, а нуб даже ничего не поймёт

О ТОМ И РЕЧЬ. базовая эвристика определения фишинговой ссылки - непохожий на официальный домен (telega.one)

Просто тут люди спорят про разные вещи

О ТОМ И РЕЧЬ. базовая эвристика определения фишинговой ссылки - непохожий на официальный домен (telega.one)

Я сразу определил почему-то что это нормальный домен

я говорю, что письмо выглядит как фишинговое для обычного обываателя. и с уровнем компетенции обывателя они ПРАВИЛЬНО определят что это фишинг. Хотя, как мы выяснили, это будет ложное срабатывание

неправильный ответ(

я 5 раз написал, что официальная, но речь о другом

я говорю, что письмо выглядит как фишинговое для обычного обываателя. и с уровнем компетенции обывателя они ПРАВИЛЬНО определят что это фишинг. Хотя, как мы выяснили, это будет ложное срабатывание

То есть вся проблема в том что Дуров сам не предупредил о новом домене?

Ну я думаю его тогда забанят ркн

То есть вся проблема в том что Дуров сам не предупредил о новом домене?

это поставит в тупик осторожного обывателя

это поставит в тупик осторожного обывателя

А к чему тогда вообще претензии? Как ещё нужно было сделать Дурову для обхода?

он не умеет, именно по тому, что он обыватель

это не проблема. это условие задачи.

Вообще, мне кажется в школах давно нужно на уроках информатики вместо вордов преподавать интернет безопасность, это самое полезное что можно сделать на этом уроке

В нем можно и самому разобраться при необходимости

В нем можно и самому разобраться при необходимости

Агась, особенно в 2013+ Там ля поиск есть

У нас информатика с 2 класса, не знаю как у вас

Ты сказал про XP, а потом про Украину. Вопрос, де ты у нас видел хп?

Значит ты плохо знаешь, потому что у нас тоже Украина, и в моём мухосране со 2 класса информатика