Привет, Аноним.
Сегодня я хочу рассказать тебе об интересном кейсе, который будет актуальным еще долгое время. А спонсор сегодняшней статьи — тренд выкладывать фото с авиабилетами. Особенно их количество увеличится вслед за открытием границ. Как раз успеешь заранее подготовиться, эта тема не любит спешки + в следующих статьях ты узнаешь о социальной инженерии. База которая не может быть лишней.
Я думаю, ты часто встречал такие фото в сети, особенно во время активного туристического сезона. В сегодняшней статье мы разберем, какие функции предоставляет форма управления бронированием и почему лучше несколько раз подумать перед тем, как публиковать фото в сеть.
Если пользователь не скрыл номер бронирования, то вся информация потенциально доступна через сайт бронирования. Как правило, в порыве страстей и предвкушении событий у людей отключается рациональная часть и все фотографии попадают в сеть, как "чистый" лист.
Наш кейс начинается с авиакомпании S7 Airlanes, которая предоставляет сервис по управлению онлайн-бронирования. Информацию по другим компаниям можно легко найти в интернете. Для получения деталей достаточно знать фамилию или email и номер бронирования. С фамилией вообще нет никаких проблем, так как пользователи чаще всего не скрывают ее в сети, используют как часть никнейма и т.д.
Рассмотрим более детально на конкретном примере.
Итак, один пользователь в Instagram опубликовал фото с билетом в сториз, где было видно номер бронирования. На скрине ниже это место увеличено лупой.
Найти фамилию в Instagram не составит большого труда, чаще всего она указана в описании профиля. Этого достаточно, чтобы получить доступ к управлению бронирования.
После ввода номера бронирования и фамилии получаем достаточно много информации: email, номер телефона, дату рождения и направление полета. Но помимо этого управление бронирование позволяет выполнять и другие функции:
• Изменение данных пассажиров.
• Оплата заказа.
• Покупка дополнительных продуктов.
• Обмен билета.
• Возврат билета.
Естественно, мы замазали персональные данные, так как нет цели насолить человеку.
На сайте авиакомпании указано, что перейдя по ссылке управления бронирования можно оформить заявку на возврат билетов, обменять билет, указав другие дни и время, а также указать другие документы. Все это можно сделать за несколько минут. По факту, можно подать заявку на возврат и на этом очень сильно "подпортить" планы человека. Помимо самих потенциальных рисков с билетами, могут быть и другие векторы для атак.
Во-первых, пользователь психологически настроен на полет. Поэтому любые ссылки в письме на почту, уведомления об задержке рейса, дополнительные детали и т.д. будут иметь крайне высокую эффективность. Фишинг в таком случае будет работать на ура. Во-вторых, мы получаем номер телефона и почту. С помощью OSINT можно быстро собрать информацию и проверить наличие паролей в базах утечек. Помимо этого, можно также восстановить SIM карту.
Я думаю ты понимаешь, сколько одна фотография потенциально может нанести рисков. Вывод простой — лучше не публиковать фото документов, которые имеют конфиденциальные данные. Ведь одна глупая фотография по факту могла бы привести к отмене билета, получения доступа к конфиденциальной информации, а также к другим возможным последствиям. Не всегда правильно транслировать на широкую аудиторию то, что давно считается общепринятым. Нужно всегда иметь голову на плечах и не вестись на пафосные тренды. Передай свой жёнушке, бро)
Да тема рабочая, это факт лично проверял ни один раз. Но, к сожалению в наше время и понтоваться глупо и возможностей у народа куда меньше... о авиа вообще можно не думать ближайшие пол года минимум. Сказать честно, если бы было актуально, то хрен бы я делился этим бесплатно) без обид, анон.
О том как заработать в карже сегодня, завтра, через неделю и дай бог через месяц узнаешь в прошлых и будущих статьях. Для нетерпеливых есть мой контакт и обучение за процент с прибыли. Пишем, трудимся, живём красиво. Пока существует такая возможность. Связь
(c) Carding of Eden | Петр РР
Сегодня я хочу рассказать тебе об интересном кейсе, который будет актуальным еще долгое время. А спонсор сегодняшней статьи — тренд выкладывать фото с авиабилетами. Особенно их количество увеличится вслед за открытием границ. Как раз успеешь заранее подготовиться, эта тема не любит спешки + в следующих статьях ты узнаешь о социальной инженерии. База которая не может быть лишней.
Я думаю, ты часто встречал такие фото в сети, особенно во время активного туристического сезона. В сегодняшней статье мы разберем, какие функции предоставляет форма управления бронированием и почему лучше несколько раз подумать перед тем, как публиковать фото в сеть.
Как не "запороть" отдых?
В социальных сетях можно найти тысячи разных фото с аэропортов, вокзалов, концертов и т.д. Многие компании имеют форму, которая позволяет по номеру бронирования и/или фамилии проверить детали покупки. Такой функционал есть для многих концертов, парков развлечений, фестивалей и т.д.Если пользователь не скрыл номер бронирования, то вся информация потенциально доступна через сайт бронирования. Как правило, в порыве страстей и предвкушении событий у людей отключается рациональная часть и все фотографии попадают в сеть, как "чистый" лист.
Наш кейс начинается с авиакомпании S7 Airlanes, которая предоставляет сервис по управлению онлайн-бронирования. Информацию по другим компаниям можно легко найти в интернете. Для получения деталей достаточно знать фамилию или email и номер бронирования. С фамилией вообще нет никаких проблем, так как пользователи чаще всего не скрывают ее в сети, используют как часть никнейма и т.д.
Рассмотрим более детально на конкретном примере.
Итак, один пользователь в Instagram опубликовал фото с билетом в сториз, где было видно номер бронирования. На скрине ниже это место увеличено лупой.
Найти фамилию в Instagram не составит большого труда, чаще всего она указана в описании профиля. Этого достаточно, чтобы получить доступ к управлению бронирования.
После ввода номера бронирования и фамилии получаем достаточно много информации: email, номер телефона, дату рождения и направление полета. Но помимо этого управление бронирование позволяет выполнять и другие функции:
• Изменение данных пассажиров.
• Оплата заказа.
• Покупка дополнительных продуктов.
• Обмен билета.
• Возврат билета.
Естественно, мы замазали персональные данные, так как нет цели насолить человеку.
На сайте авиакомпании указано, что перейдя по ссылке управления бронирования можно оформить заявку на возврат билетов, обменять билет, указав другие дни и время, а также указать другие документы. Все это можно сделать за несколько минут. По факту, можно подать заявку на возврат и на этом очень сильно "подпортить" планы человека. Помимо самих потенциальных рисков с билетами, могут быть и другие векторы для атак.
Во-первых, пользователь психологически настроен на полет. Поэтому любые ссылки в письме на почту, уведомления об задержке рейса, дополнительные детали и т.д. будут иметь крайне высокую эффективность. Фишинг в таком случае будет работать на ура. Во-вторых, мы получаем номер телефона и почту. С помощью OSINT можно быстро собрать информацию и проверить наличие паролей в базах утечек. Помимо этого, можно также восстановить SIM карту.
Заключение
Это далеко не все возможности и векторы, которые можно реализовать имея такую информацию под рукой. Некоторые компании предоставляют значительно больший функционал, вплоть до возможности купить что-то с карты клиента, если она подвязана к его профилю (сложно реализовать, но возможно). Также, иногда бонусные карты интегрированы в форму управления бронирования и можно потратить все мили, купив дополнительные услуги или привилегии.Я думаю ты понимаешь, сколько одна фотография потенциально может нанести рисков. Вывод простой — лучше не публиковать фото документов, которые имеют конфиденциальные данные. Ведь одна глупая фотография по факту могла бы привести к отмене билета, получения доступа к конфиденциальной информации, а также к другим возможным последствиям. Не всегда правильно транслировать на широкую аудиторию то, что давно считается общепринятым. Нужно всегда иметь голову на плечах и не вестись на пафосные тренды. Передай свой жёнушке, бро)
Да тема рабочая, это факт лично проверял ни один раз. Но, к сожалению в наше время и понтоваться глупо и возможностей у народа куда меньше... о авиа вообще можно не думать ближайшие пол года минимум. Сказать честно, если бы было актуально, то хрен бы я делился этим бесплатно) без обид, анон.
О том как заработать в карже сегодня, завтра, через неделю и дай бог через месяц узнаешь в прошлых и будущих статьях. Для нетерпеливых есть мой контакт и обучение за процент с прибыли. Пишем, трудимся, живём красиво. Пока существует такая возможность. Связь
(c) Carding of Eden | Петр РР
Last edited:
