NIS2/KSC2 starter pack. Czy Twoja firma podlega pod regulację i co z tego wynika? Bezpłatne szkolenie od sekuraka
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
Może słyszeliście o punycode? – czyli możliwości użycia w nazwie domeny liter z innego niż znany nam alfabet. Tutaj np. niewinny wariant litery a – i mamy sprytny scam:
Ale mamy też coś idącego nieco dalej:
Opera users can now access emoji-based web addresses and register their unique strings of emojis as their personal domains.
Jak to działa? Dość prosto. Istnieje serwis https://y.at/ który umożliwia obsługę adresu URL zawierającego emoji – np.:
Opera weszła w komitywę właśnie z y.at i potrafi wyświetlać jako adres domeny same emotikony (bez przedrostka https://y.at/).
Czyli powiedzmy sekurak mógłby mieć taką domenę:
Gdyby komuś było za mało szaleństwa/hype, to np. można jeszcze zrobić z tego NFT czy inne pierdoły ;-)
These unique emoji strings are called Yats and their owners can tokenize them as an NFT on the Ethereum blockchain and sell or hold a short animation of the string on OpenSea.
~Michał Sajdak
Przypomniała mi się historia gdzie koleś narejestrował domen emoji (z kazachskim rozszerzeniem) i postawił na nich konta pocztowe: https://tinyprojects.dev/projects/mailoji
Tak glupie, że aż geniale!
– i tyle.
Przeczytałem na stronie YAT wyjaśnienie: Yat Labs starannie wybrał nasz zestaw emotikonów, aby zapewnić kompatybilność wsteczną i uniknąć ataków homoglifów, techniki oszustwa, która wykorzystuje podobnie wyglądające znaki do tworzenia fałszywych nazw użytkowników, adresów płatności, domen i nie tylko.
https://yativerse.y.at/pages/yatalytics-101
Także wątpię czy kazachskie albo azerskie scamy tu mogą wejść w grę.
Witam
wiem że, nie w temacie ale szukam porady.
Ostatnio ktoś włamał się na konto instagram mojej partnerki zmieniając mail. Sprawa zgłoszona portalowi. Od tamtej pory są próby logowania na jej konto pocztowe na wp.pl z różnych ip. Sprawdziliśmy dane z listy logowania – na przestrzeni ostatnich 3 tygodni są ip z różnych krajów świata – co w takiej sytuacji zrobic gdzie to zgłosić i czy jest sens? z góry dziekuje za odp
1. Włączyć 2FA na WP. Jak odzyskacie dostęp do Insta to tam też.
2. Upewnić się że hasła są losowe, inne na każdym koncie i zawierają co najmniej 20 znaków.
3. Dojść w jaki sposób włamano się na konto na Insta – słabe hasło było (albo używane w innych miejscach)? Czy skądś wyciekło – może partnerka ma malware na komputerze/telefonie?
4. Włamanie na Insta możesz zgłosić żeby było do policyjnych statystyk, próby logowania do WP chyba jeszcze nie podpadają pod przestępstwo.