⚠️ Важно ⏳Срочно Сбрасываете скрины ? А зря !

Очень часто так бывает, что люди делятся скриншотами с компьютера/мобильного телефона с другими людьми в сети. Но что если эти скриншоты попадут в «плохие» руки ? Давайте с Вами, легалайзеры, рассмотрим очень популярный для этого форума пример, когда отсылаем оператору-хакеру скрины оплат :
Как извлечь конфиденциальные данные (имя пользователя, access token или кредитную карту) из изображения?



Есть много случаев, когда вы хотите извлечь что-то из скриншотов или изображений. Хакеры используют некоторые из этих методов для извлечения данных из изображений. Теперь мы возьмём конфиденциальные данные внутри изображения или скриншота, используя инструмент под названием Shotlooter. Это инструмент разведки, и мы будем использовать этот инструмент для обнаружения конфиденциальных данных на изображениях с помощью оптического распознавания текста с помощью тессеракта.

Tesseract - это механизм распознавания текста для различных операционных систем. Shootlooter использует этот тессеракт для обнаружения конфиденциальных данных, которые могут быть паролями, номерами кредитных карт, ключами API и т.д.

Используя этот инструмент, будет легко найти конфиденциальные данные из большой базы данных изображений.
Используйте эту команду для установки системных зависимостей.

• sudo apt install libsm6 libxext6 libxrender-dev tesseract-ocr -y

Введите эту команду для клонирования проекта.

• git clone

  Нужно, войти или зарегистрироваться для просмотра скрытого текста.

Используйте команду cd для входа в каталог shotlooter.
root@kali:/home/iicybersecurity# cd shotlooter/
root@kali:/home/iicybersecurity/shotlooter#

Вводим команду для установки требований

• pip3 install -r needs.txt

Используйте эту команду, чтобы найти справку

• python3 shotlooter.py -h

Теперь вводим эту команду, чтобы найти конфиденциальную информацию:

• python3 shotlooter.py –code sjgmm1

После использования этой команды он начинает сканирование всех данных, которые хранятся в базе данных, как (API keys, private_key, smtp_pass, access key, mongodb+srv и т.д) и мы также можем указать, добавив эту опцию как –no-cc, –no-keyword and, –no-entropy
root@kali:/home/iicybersecurity/shotlooter# python3 shotlooter.py --code sjgmm1

После сканирования в нем хранятся два разных файла findings.csv и output.
Используйте команду cat для просмотра данных в findings.csv

• cat findings.csv

За тем введите команду cd для входа в выходной каталог для просмотра чувствительных изображений.
root@kali:/home/iicybersecurity/shotlooter# cd output/
root@kali:/home/iicybersecurity/shotlooter/output# ls

Теперь откройте файл, чтобы проверить конфиденциальные данные.

• sjgngw.png

На картинке выше мы видим токен доступа сервера авторизации
Откройте другую картинку.

• sjgnok.png

На картинке выше мы видим адреса электронной почты.
Заключение

Мы увидели, как легко получить конфиденциальную информацию из большой базы данных. Вы также можете проверить свои собственные изображения для извлечения конфиденциальных данных из скриншотов, установив Termux (Android).

P.S. Я не призываю Вас к каким-либо действиям, статья написана исключительно в ознакомительных целях ! Ваша безопасность - самое главное Спасибо.

 

та ну бред какой-то
имхо)

 

Может пригодится, и знать тоже полезно такую инфу, тема стоит того времени на прочтения

 

Адресс электронной почты? )
Мы видим адреса более чем 100тыс электронных ящиков.
Учитывая как дохера анонимных ящиков, ровным счетом это ничего не даёт.

Ну и конечно же никто мне не токин не дал не карту ничего другого. Какая-то странная статья ...

 

Если не ошибаюсь, тот же телеграмм сам чистить лишние данные изображений.

 

Чую дзвін, да не знаю де він.

Инструмент необходим не для "вытягивания" данных из конкретного скриншота. Он служит для анализа большого обьема изображений на наличие определеных паттернов персональных даннных, таких как кредитная карта, пасспорт и все что угодно)
т.е. если у вас 100 000 000 фотографий на которых может быть, припустим, банковская карта - скрипт поможет найти эти изображения и вытащить номер.

 

girane, приветы!)
У тебя интересные, информативные..., Но оооочень длинные статейки
Без обид ))

 

Хакеры они такие)

 

Не поняла, с какого скриншота и что можно извлечь...

 

Ого сколько символов. А я всё понять не могу
Зачем извлекать, если можно не вставлять?!

 

Это так называемое своеобразное усложнение жизни?
Смахивает на головной фетиш виртуального мазохизма

 

girane, как то сложновато для рядового юзера... было бы понятней простыми словами от себя )

 

girane, я знаю шо де лежит)
Кто мутит тот зашифрован, а так хз шо это()

 

girane, я знаю шо де лежит)
Кто мутит тот зашифрован, а так хз шо это()

 

Без обид бро, но якась фигня, как из скрина можно извлечь личные данные, их шо туда кто-то закладывает))

 

Очень информативно , да согласитесь когда живёшь в 21 веке нужно быть готовым ко всему.
Я думаю многие из нас смотрели фильм "Сноуден" основанный на реальных событиях , собственно про самого "Эдварда Сноудена" в котором были публично предоставленные факты о незаконном тотальном слежении за людьми , в век развивающихся технологий для обычных пользователей ПК, смартфонов и тому подобных гаджетов , анонимность все больше и больше сводится к нулю.
Спасибо автору за интересную тему , как говорится в поговорке : << Предупрежден - значит вооружен >>

 

мне кажется люди которые на этом специализированные знают пути по проще а так тс хорош, кому-то пригодится данная инфа

 

А там покороче не объяснить...

 

Простыми словами - можно украсть приватную информацию, когда делишься личными скринами/фото

 

В статье описано - «как извлечь» почитай внимательно.

Спасибо !

Этот путь не сложный проще канеш через рат по логам и кукисам, но жертва может не поддаться на СИ и не открыть файл... а вот скрин - непалевная тема !