misc/class
lib/jquery_pnotify, lib/moment, lib/lodash, misc/notification, misc/social, site/engine
$._social.__cfg = {"init":[{"service":"basic"},{"fb_app_id":"556076531075995","service":"fb"},{"vk_app_id":"3235940","service":"vk"},{"service":"twi"}],"like":[{"service":"fb"},{"service":"vk"},{"via":"GonzoKZ","channel":"GonzoKZ","hash_tag":"","service":"twi"}],"twi":{"like_count":"vertical"},"fb":{"like_layout":"box_count"},"vk":{"like_type":"vertical","like_fixed":true}}; window._SiteEngine = new classes.SiteEngine( { user_id: 0, controller: 'Blog', action: 'page', content_css_version: '1432482607', social_enabled: 1, custom: []} ); (function($){ var GA_ID = "UA-36321844-1"; function gaTrackPageview() { var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www."); var src = gaJsHost + "google-analytics.com/ga.js"; $.getScript(src, function(data, textStatus) { var tracker = _gat._getTracker(GA_ID); tracker._trackPageview(); }); } $(document).ready(function() { gaTrackPageview(); }); })(jQuery);
Интернет-журнал «Культура и общество»
Войти через:
Лучшие посты
По комментариям
По просмотрам
С нами
Сейчас online
А также 37 гостей
Блоги
1376
Блоги
Спам через календарь с пуш-уведомлениями на смартфон
1376
с нами с 14 ноября 2012

Спам через календарь с пуш-уведомлениями на смартфон

Спам — вечная проблема интернета. Но одно дело письма, которые падают во входящий ящик и тревожат только тем, что умудряются пробиваться через фильтр и засорять его. Другое — спам, который приходит на смартфон пуш-уведомлением и даже занимает весь экран блокировки.

Так работает спам через календари: мошенники находят почтовые адреса в слитых базах, рассылают по ним письма с приглашениями в календари, и по умолчанию пользователь получает уведомление — а значит эффективность спама вырастает в разы. И хотя этот метод работает уже не первый год, его до сих пор не удалось победить — а с начала 2019 года он стал массово использоваться по отношению к пользователям почты и календаря Google. Проблему можно решить локально, хотя и не без ущерба для функциональности календаря.

Зачатки календарного спама: iCloud

В 2016 году календарный спам массово проявил себя среди пользователей iCloud. Работал он следующим образом: злоумышленники посылают специальным образом сформированное письмо, которое iCloud распознаёт как приглашение на мероприятие. Из входящих письмо удаляется, зато преобразуется в приглашение — и пользователь получает уведомление о новом событии, на которое можно отреагировать только тремя способами: «Да», «Нет», «Может быть».

Craig Grannell @CraigGrannell25 ноя 2016

Where is the Cancel/Spam/Delete/Just Piss Off option, Apple? https://t.co/P98hlLYXW3

CyHdjRTWQAAInWh.jpg

14

40

Проблема в том, что при выборе любой из этих опций спамеру отправлялось автоматическое сообщение о принятом решении, и фактически пользователь проявлял себя как живой. Для спамеров это ценная информация: они рассылают миллионы писем по базам, не имея точной информации об актуальности этих адресов, а за счёт метода с календарём они имеют возможность их актуализировать — и рассылать больше различного спама живым пользователям (или пытаться украсть их средства другими методами).

Проблема существовала не только в приглашениях в календари, но и в совместные фотопотоки. Когда Apple добавила возможность делиться фотографиями, отправляя приглашение в общую «папку» на адрес почты, её тоже оприходовали спамеры. Правда, не так эффективно: в отличие от писем и календарей, в фотографиях нет ссылок, которые можно нажать, и перевести пользователей на внешний сайт, через который крадутся деньги.

Тогда в качестве компромиссного решения предлагалось отключить отправку пуш-уведомлений о приглашениях и оставить их только в качестве писем — но от них нельзя было отказаться полностью. К 30 ноября 2016 года, когда количество жалоб на форумах зашкаливало, Apple извинилась и заявила, что работает над решением проблемы. Все крупные СМИ — The Verge, Wall Street Journal, New York Times — тогда пестрили инструкциями, которые фактически сводились к отключению уведомлений и удалению текущих приглашений.

Других заявлений от Apple так и не последовало, но по форуму Apple Communities можно наблюдать, что активности в темах про спам в календарях iCloud нет более двух лет. Вероятно, компании всё же удалось найти решение проблемы, которое остановило поток спама — при этом не заставляя пользователей искать и применять какие-либо инструкции.

Новая волна спама — через календари Google

Пользователи сервисов Google — лакомый объект для спамеров. Их гораздо больше, чем владельцев аккаунта на iCloud, и только активных устройств на базе Android — порядка 2,5 миллиардов, а ведь сервисами Google пользуются и на других платформах.

В случае с Android календарный спам работает особо эффективно: с почти 100% вероятностью пользователь такого смартфона залогинен в свой аккаунт Google и вряд ли менял настройки по умолчанию, а значит при получении письма он увидит его уведомление прямо на экране смартфона. Такой спам может проникнуть и на iOS/macOS, если пользователь ввёл аккаунт своей почты в систему и включил синхронизацию календарей.

Я испытал такой спам на себе — как на iOS, так и на Android. В случае с айфоном уведомления из календаря оказываются более назойливыми, чем обычные: они не исчезают с экрана автоматически, их приходится закрывать. Но в случае с Android (а конкретно с Samsung Galaxy Note) всё ещё плачевнее: приглашения попадают на экран блокировки и занимают всю его площадь, так что их невозможно не заметить.

Эпидемия спама действительно массовая: жалобы можно наблюдать с начала 2019 года, но они резко возобновились в августе. Технологические издания периодически выпускают инструкции по противодействию мошенникам, однако на уровне Google проблема так и не решается.

ʎɐsʇɐd ʎdɯnɹƃ @alexmak27 авг в 06:12

Добрались до меня таки, суки https://t.co/hUVSgLqCoK

EC7-ZMAXsAAsZky.jpg

Мы запросили комментарий представителей Google по ситуации — и вот что они ответили.

Условия предоставления услуг Google и политика в отношении продуктов запрещают распространение вредоносного контента, и мы усердно работаем над тем, чтобы предотвратить злоупотребления и предупредить их. Борьба со спамом — это бесконечная битва, и, хотя мы добились большого прогресса, иногда спам проходит.

Мы по-прежнему глубоко привержены защите всех наших пользователей от спама: мы сканируем контент на фотографиях на предмет спама и предоставляем пользователям возможность сообщать о спаме в календаре, Google Формах, на Google Диске, в Google Фото, и в Hangouts. Кроме того, мы предлагаем пользователям средства защиты, предупреждая их об известных вредоносных URL-адресах с помощью фильтров безопасного просмотра Google Chrome». Более подробную информацию о способах защиты своих аккаунтов можно узнать в Центре безопасности Google.

пресс-служба Google

Фактически в Google подтвердили, что знают о проблеме спама, но не могут ничего с ней сделать. Однако это не совсем так.

Пользователь форумов поддержки Google Антон Булычев подробно расписалтри составляющих современной проблемы календарного спама:

  • События в календаре Google могут создаваться через получение писем, в том числе тех, которые попали в папку «Спам»;
  • Их могут создавать вредоносные приложения для Android, у которых есть доступ к календарю;
  • Спамеры могут отправлять приглашения через интерфейс календаря, и их нельзя будет отличить от реальных.

По его мнению, две из трёх составляющих можно решить довольно просто: не позволять создавать события из писем, попавших в «Спам», а вредоносным или потенциально спамным приложениям отключать права на доступ к календарю. Но третью составляющую можно решить только новой функциональностью — возможностью ограничить список пользователей, которые могут отправлять приглашения на события, по списку контактов или домену организации. Однако Google таких изменений так и не ввела.

Что можно сделать со спамом прямо сейчас: инструкции для Google/Android, Apple/iOS и Microsoft/Windows

В данный момент особенно актуальна проблема со спамом через календарь Google, но может сохраняться и в случае с календарями iCloud: 13 августа Apple опубликовала у себя на сайте справку о требуемых от пользователя мерах.

Все описанные меры довольно сложны для рядового пользователя: нужных настроек нет в мобильных приложениях или их десктопных версиях. Сервисы нужно обязательно открывать через веб-версию с компьютера, что не всегда возможно и далеко не очевидно.

Как отключить спам в Google Календаре

  • Перейти в настройки в веб-версии Google Календаря;
  • В разделе «Общие» найти вкладку «Мероприятия», а справа — выпадающее меню «Автоматически добавлять новые приглашения» и выбрать в нём пункт «Нет, показывать только приглашения, на которые уже отправлен ответ»;

webp

  • В том же разделе «Общие» найти вкладку «Мероприятия из Gmail» и снять галочку напротив пункта «Автоматически добавлять мероприятия из Gmail в мой календарь».

webp

Важно: так отключится не только спам, но и автоматически добавляемые события на основе данных из писем во входящих — например, даты рейсов или бронирования гостиниц.

  • В разделе «Уведомления о мероприятиях» удалить настройку «Уведомление» или «Письмо на почту».

webp

  • Даже всех перечисленных мер может оказаться недостаточно, поэтому в итоге всё решит антиспам-алгоритм Google. Чтобы помочь ему тренироваться, приглашения можно помечать как спам — но сделать это можно только в веб-версии календаря.

webp

Как отключить спам в календаре iCloud

  • Вероятной причиной спама в календаре на iOS/macOS может оказаться синхронизация календаря (или нескольких) из аккаунта Google. Чтобы проверить это, нужно нажать на одно из подозрительных событий и посмотреть, какому календарю оно принадлежит, а затем разобраться с этим календарём по инструкции выше;
  • Возможно, спам вызван одним из установленных приложений. Чтобы проверить список тех, кто может оказаться под подозрением, нужно зайти в приложение «Настройки», выбрать «Конфиденциальность» и далее «Календарь», а затем отключить доступ для тех приложений, кто потенциально может создавать проблему;
  • Уведомления о приглашениях в календарь можно отключить целиком. Для этого нужно зайти в веб-версию iCloud (под логином Apple ID, который используется на айфоне или другом устройстве), открыть в ней приложение календаря, нажать на шестерёнку в левом нижнем углу и в «Настройках» выбрать вкладку «Дополнительные», внизу которой переключить «Встроенные уведомления» на «Сообщения email». Это значит, что приглашения по-прежнему будут приходить, но не в виде пуш-уведомлений, а лишь в виде писем;

webp

  • Чтобы удалить все спамные приглашения без отправки реакции спамерам (и подтверждения актуальности аккаунта), рекомендуется создать отдельный календарь (это можно сделать как на iOS, так и в десктопном приложении) и переместить весь спам туда, а затем удалить этот календарь. Если просто удалить отдельные события, спамер будет оповещён.
  • Сама Apple рекомендует удалять подобные нежелательные приглашения через веб-версию iCloud, помечая их как спам (однако последовать этому совету, имея лишь один айфон под рукой, невозможно). В этом случае они будут автоматически удалены со всех устройств и, кроме того, обучат алгоритмы компании лучше бороться с подобным в будущем.

Как отключить спам в Microsoft Outlook

  • Поскольку Outlook — почтовый клиент, совмещённый с календарём, в него тоже может попадать спам через приглашения. Отключить автоматические добавление событий можно в настройках веб-версии Outlook: нужно нажать шестерёнку в правом верхнем углу, внизу выбрать «Просмотреть все параметры Outlook», в появившемся окне выбрать вкладку «Календарь», «События из сообщений», а дальше выбрать «Не показывать» у каждого типа событий.

webp

Стоит превентивно проделать описанные действия на устройствах родственников и близких

В самом спаме, который массово рассылается по пользователям в России с начала 2019 года, ничего оригинального нет. Сообщения устроены шаблонным образом: заголовок события обычно выглядит как сообщение о полученном переводе крупной суммы денег, а ссылка внутри ведёт якобы на сайт, где его можно получить.

На таких внешних сайтах может использоваться две тактики: например, запугивание блокировкой счёта в случае неполучения перевода, или наоборот, задабривание возможностью крупного выигрыша при совершении несложных действий вроде прохождения опроса. Содержимое сайтов далеко не всегда напрямую связано с текстом уведомлений в календаре.

Чтобы получить «перевод» или «выигрыш», от пользователя просят «подтвердить свою надёжность» и, например, «заплатить небольшую комиссию» — так у него вымогают номер банковской карты и её CVV-код. Все сайты очевидно фейковые, вплоть до муляжей, однако используют разные приёмы вроде привязки суммы платежа к IP-адресу пользователя или искусственные паузы между этапами опроса, которые создают ощущение обсчёта данных на стороне «сервиса».

В целом мошенники используют приём посула лёгкой наживы — когда пользователю кажется, что вот-вот он получит полторы сотни тысяч рублей, для него платёж в 250 рублей выглядит как ничтожная трата, и даже если он ничего не получит, он не так уж много потеряет. Но это только на первый взгляд: естественно, получив данные карты, мошенники снимают с неё все доступные средства, а не только то, что написано на фейковом сайте.

webp

Для фишинговых сайтов мошенники используют домены в зоне .top — например, soc-viplata19.top или vozv-rat1.top. При проверке данных доменов по Whois видно, что они зарегистрированы недавно, летом 2019 года, а других данных о их владельце регистратор не выдаёт. Кроме того, такие домены очень дёшевы: некоторые регистраторы продают их за 1,7 доллара, так что при разделегировании за мошенничество или при попадании под спам-алгоритмы всегда можно закупить новые. В приглашениях в календари почти везде можно использовать richtext-вёрстку, которая позволяет поставить ссылку на слово, поэтому для пользователя смартфона она имеет вид чего-то знакомого — например, yandex.ru.

Иногда на подобных сайтах можно встретить «службу поддержки» — ссылку на аккаунт во «ВКонтакте», который решает проблемы с переводами. Возможно, он создан для выпуска пара тех, кто так и не получил «выигрыша» и чьи деньги с карты украли. Например, на нескольких таких сайтах TJ нашёл упоминание Елены Шевченко: её профиль во «ВКонтакте» ведётся как минимум с 2017 года, но все комментарии и личные сообщения для не-друзей закрыты. В друзьях у неё находится 1,5 тысячи человек, в подписчиках — ещё 2,4 тысячи, а в закреплённом посте на странице она обещает «помочь решить возникшие проблемы» с выплатами.

webp

Все эти приёмы направлены на излишне доверчивых пользователей — но и рассылка ведётся по огромным базам почтовых адресов, среди которых велик процент таких не самых искушённых в информационной безопасности людей. Вероятность, что пожилые люди (особенно с Android-устройствами) не смогут пройти мимо такого уведомления, доверятся неизвестному сайту и потеряют деньги, достаточно велика — поэтому имеет смысл потратить время и помочь им превентивно защититься от такого спама, если они ещё его не получили.

Источник

Блоги
3 eвpeйcкиx aнeкдoтa o тoм, кaк нaдo oтнocитьcя к дeньгaм
12 мая 2022
GONZO
просмотров: 13998
Англичане говорят: "Если ты такой умный, покажи мне свои деньги". Скрытый сарказм подразумевает, что не всегда интеллект приносит материальные плоды. Можно быть человеком умным и образованным, но жить от зарплаты до зарплаты.   А у евреев своя мудрость:   Если уронишь золото и книгу, подними сперва книгу.   Почему? Потому, что деньги могут быть украдены, могут обесцениться или вложены в пирамиду или долгострой. А знания и опыт всегда с тобой, с их помощью ты всегда сможешь заработать еще.   Но заработать - это половина дела. Нужно еще уметь контролировать свои траты, сберегать деньги и преумножать их.   Чем русский подход к деньгам отличается от еврейского? Наши люди могут потратить все, до копейки, любят пускать пыль в глаза, хотели бы получать больше, но презирают тех, кто живет на нетрудовые доходы. Считается, что в нашей стране копить деньги - это утопия. Либо их "сожрет" инфляция, либо отберет государство.   Евреи же наслаждаются своими накоплениями. И чем их больше, тем сильнее, могущественнее личность.   Три стадии бедности у евреев:   1. Нет денег.   2. Совсем нет денег.   3. Придется менять доллары.   Наш народ во многом живет и надеется "на авось". Что попадется хорошая жена, что на работе заметят и станут платить больше. Евреи не признают иллюзии и стараются многое спрогнозировать и запланировать. Они не позволяют детям валять дурака и лениться, выбирают им достойные профессии и программируют на будущий успех.   У евреев, действительно, есть чему поучиться.   Они легко генерируют идеи, стараются придумать варианты, как заработать деньги. Людей с таким мышлением в России называют нелицеприятными словами, самое меньше из которых "спекулянт" и "барыга".     Наши люди любят говорить: "Как нам платят, так мы и работаем". В этой фразе - усталая смиренность. Но специалисту, который не горит своим делом, которым сложно управлять, потому что он обижен на жизнь, никто платить хорошо не будет.   Евреи умеют видеть преимущества даже там, где их быть не может:   Еврейский мальчик говорит своему деду: - Дедушка, у меня только что на улице отобрали все деньги! - Ничего, внучек. Они вернут в семь раз больше! - Почему? - Сейчас они это отметят. Затем затеют пьяную драку. Набьют друг другу морды, повыбивают зубы... Ну а потом придут их вставлять ко мне.   Жен стараются выбирать таких, чтобы их имущество не разбазарили. А женщины, в свою очередь, весьма требовательны к мужчинам. За непризнанного гения или свободного художника никто не пойдет замуж. Зачем по своей воле обрекать себя на нищету?   Еврейки говорят: "Мужчина без денег - это подруга". Вы никогда не услышите из их уст фразу про рай в шалаше. Рай - это Мальдивы и Бали, но не конструкция из веток и палок.     Ну и еще немного юмора о том, что мыслить нужно уметь нестандартно:   - Изя, представляешь, я в выходные предложил директору парка отдыха идею одну. Естественно, не просто так, а за 10% от прибыли. Суть такая: посетитель парка должен сделать фото в комнате кривых зеркал и выложить его на сайт парка отдыха. Тот, кто наберёт наибольшее количество лайков, получит два билета на концерт Киркорова. - И каков, Абрам, результат? - Количество посетителей парка втрое превысило обычное! Денег срубил прилично! И никаких затрат! - Хм... Ну два билета на концерт Киркорова прилично стоят! - А кто тебе сказал, что я их покупал? Я их взял с Киркорова за рекламу концерта.       По материалам - Мадам Хельга Источник
Блоги
Жecткиe и беcкoмпpoмиccныe цитaты Фaзиля Иcкaндepa
12 мая 2022
GONZO
просмотров: 12829
Они нaучaт paзбиpaтьcя в людяx