Специалист из компании ESET Джейк Мур (Jake Moore) рассказал , как с помощью простого метода «серфинга через плечо» (shoulder surfing) можно скомпрометировать учетную запись пользователя PayPal, сообщает SecurityLab.
Мур выбрал в качестве жертвы своего друга Дэйва, который согласился сыграть ключевую роль в небольшой хакерской операции. Находясь в ресторане, мужчина положил свой телефон на стол и болтал за столом. Мур взял с собой свой ноутбук, открыл web-сайт PayPal и перешел на страницу забытого пароля.
Эксперт знал персональный адрес электронной почты Дейва и предположил, что он также использует его для PayPal. PayPal как правило запрашивает отправку «быстрой проверки безопасности» различными способами. Это могло быть через текст, электронное письмо, телефонный звонок, приложение для проверки подлинности и даже WhatsApp. Пока Дейв разговаривал с коллегами, Мур выбрал текстовый вариант аутентификации и нажал «Далее», после чего на телефон сразу же был отправлен шестизначный код.
Дейв не отключил предварительный просмотр сообщений на экране блокировки своего телефона, и специалист легко просмотрел код и ввел его в поле подтверждения на web web-сайте. Мур перехватил контроль над учетной записью и выбрал новый пароль.
ИБ-эксперт мог просмотреть панель инструментов PayPal Дэйва и все банковские карты, связанные с его учетной записью, а также изменить адрес электронной почты.
С целью завершить свою кибератаку, Мур нажал «отправить деньги» и перечислил на свой счет 10 фунтов стерлингов. По словам эксперта, он мог отправить десятки тысяч долларов на любой счет PayPal в мире, просто увидев код на чьем-то телефоне.
«Серфинг через плечо» — метод социальной инженерии, используемый для получения информации, такой как личные идентификационные номера, пароли и другие конфиденциальные данные, путем просмотра через плечо жертвы.
1000 сотрудников Администрации города Иванова начали пользоваться российской почтовой системой RuPost.
С 5 марта в Москве фиксируются масштабные перебои в работе мобильного интернета и голосовой связи.
Министерство обороны США внесло компанию-разработчика ИИ Anthropic в список неблагонадёжных поставщиков и намерено в течение полугода полностью заменить её решения на альтернативные.
Опрос об использовании искусственного интеллекта в профессиональной деятельности россиян показал, что нейросети уже выходят за рамки экспериментов и становятся частью повседневной работы.
Исследователи зафиксировали инцидент, в ходе которого ИИ-агент крупной технологической компании без каких-либо инструкций от создателей развернул майнинг криптовалюты на выделенных серверных мощностях.
Редакторы Википедии обнаружили, что массовое использование нейросетей для перевода статей на другие языки приводит к появлению в энциклопедии фактических ошибок и ложных ссылок.
Минцифры предложило онлайн-кинотеатрам новую схему передачи данных о пользовательской активности исследовательской компании Mediascope.
Редакция Cyber Media собрала все ключевые события этой недели.
Исследователи обнаружили, что в Android-клиенте мессенджера Max есть встроенный модуль, который проверяет доступность серверов Telegram и WhatsApp*, определяя IP-адрес пользователя через сторонние сервисы и фиксируя использование VPN.
Компания RED Security провела анализ состояния DDoS-угроз в России за 2025 год.
