Статья В наше время больше не существует такого понятия, как кибербезопасность

Помните такую вещь, как "кибербезопасность"?

Загадочные парни в капюшонах делают загадочные вещи в киберпространстве. Кто знает, какого рода вред они в состоянии нанести цифровой среде?

К сожалению, теперь мы живем в мире, где такого рода цифровой вред буквально переписывает историю мира. Для того чтобы получить доказательство этому, вам нужно взглянуть всего лишь на одно электронное письмо, отправленное 19 марта 2016 года.

1539707620542.png


Если вы все еще не поняли, что перед вами находится, то я спешу вам сообщить, что это .

1539707945322.png


На данный момент это уже очень, очень известное фишинговое письмо, возможно, самое известное из всех за все время. Но давайте рассмотрим,

  • Злоумышленник заполучил списки всех общедоступных электронных адресов сотрудников политической кампании 2008 года
  • Один из этих сотрудников 2008 года также был нанят для проведения политической кампании в 2016 году.
  • Этот конкретный сотрудник имел не доступный общественности электронный адрес, в то время как один из сотрудников был активным ключевым участником кампании с обширной историей электронной почты
Успешный фишинг приводит к еще более широкой атаке по адресной книжке. Как только они получают доступ к входящим письмам почтового ящика человека, они используют его для подготовки к следующей атаке. Они собирают существующие адреса электронной почты, темы, контент и вложения для создания правдоподобных писем и отправки их всем своим контактам. Насколько тщательно и четко данные усилия были направлены на конкретного человека, определяет, является ли это так называемым «копьем» фишинга или нет.

1539707981728.png


В этом конкретном примере письмо вовсе не было нацелено на конкретного человека. Это необычайно простая, абсолютно общая и рутинная фишинг-атака. Здесь отображается нулевое сосредоточенное усилие атаки. Но обратите внимание, что цель не сразу же нажала на ссылку в письме!


1539708013080.png



Вместо этого он сделал именно то, что вы хотите, чтобы этот человек сделал в этом сценарии: он отправил письмо по электронной почте в поддержку ИТ и спросил, действительно ли они высылали ему это письмо. Но ИТ отдел сделал роковую ошибку в своем ответе.

1539708032571.png


Вы это видите? Вот в чем заключалась суть:

Господин Делаван в интервью сказал, что некорректные его советы были результатом опечатки: он знал, что это была фишинг-атака, поскольку кампания получала десятки подобного рода писем. Он сказал, что он намеревался указать, что данное электронное письмо было «незаконным/нелегальным» (“illegitimate”), ошибка, о которой он говорил, продолжала преследовать его с тех самых пор.

Всего одно слово. Он всего лишь ошибся в написании одного слова. Но какое именно было это слово ошибиться, и, к тому же, еще и в первом предложении! В электронном письме был указан правильный адрес Google для сброса пароля. Но все остальное уже было не важным, поскольку первое предложение говорило, что письмо было «законным/легальным» ("legitimate"); затем был осуществлен переход по фишинговой ссылке в этом письме. А остальное - это уже история.

Что является еще более смешным (ну, по-моему, уж очень сатирическим), так это то, что публичная статистика осталась включенной для ссылки bit.ly для отслеживания, поэтому вы можете точно определить, на какой безумный домен ссылалась «страница входа в Google», и что она был нажат ровно дважды, в тот же день, когда он был отправлен по почте.

1539708152257.png



Как я уже сказал, это были не совсем изощренные атакующие. Итак, теоретически внимательный пользователь может обратить внимание на адресную строку браузера и заметить, что после нажатия ссылки они попадают на

Код:
http://myaccount.google.com-securitysettingpage.tk/security/signinoptions/password

вместо

Код:
https://myaccount.google.com/security
Код:

Обратите внимание, что URL-адрес фишинга тщательно сконструирован, поэтому самая «правильная» часть находится спереди, а та, которая может вызвать у потенциальной жертвы подозрение, зажата посередине. До тех пор, пока вы не уделяете достаточно пристальное внимание, и ваша адресная строка не является достаточно длинной, чтобы отображать полный URL-адрес, этот способ будет срабатывать.

Я изначально написал этот пост в качестве презентации для Berkeley Computer Science Club еще в марте, и в то время я собрал список публичных фишинговых страниц, которые я нашел в Интернете.

Код:
nightlifesofl.com
ehizaza-limited.com
tcgoogle.com
appsgoogie.com
security-facabook.com


Из этих пяти примеров, собранных 6 месяцев назад, один более не является действительным, один загружается просто отлично, а три из них представляют собой страшную красную страницу промежуточного предупреждения, которая настоятельно рекомендует вам не посещать страницу, которую вы пытаетесь посетить, любезно предоставив . Но, конечно, этот черный список доменных имен будет абсолютно бесполезен на любом новом фишинговом сайте. (Даже не заставляйте меня начинать с того, как черные списки никогда не работали.)

1539708329859.png


Абсолютно не обязательно являться доктором наук в сфере работы с компьютером для того, чтобы успешно провести фишинг атаку:

  • Купите безумно длинное, реалистично выглядящее доменное имя.
  • Разместите его, где-нибудь на облаке.
  • Получите бесплатный сертификат HTTPS от наших друзей в .
  • Создайте реалистичную копию страницы входа, которая незаметно передает все, что вводится в эти поля для входа, возможно, даже в режиме реального времени, в то время, когда ваша цель вводит необходимые данные.
  • Соберите адреса электронной почты и выполните массовую рассылку правдоподобного фишингового письма с необходимым URL-адресом.
Я хочу подчеркнуть, что, не смотря на тот факт, что в этой конкретной ситуации были допущены определенного рода ошибки, ни один из задействованных в ней людей не был любителем. У них была подготовка и опыт. Они работали с ИТ-специалистами и специалистами в сфере безопасности. Кроме того, они знали о том .

Кампания ... не была легкой целью; несколько бывших сотрудников сказали, что организация уделяет особое внимание цифровой безопасности.

Рабочие адреса электронной почты были защищены двухфакторной аутентификацией, метод, который использует второй код доступа для обеспечения безопасности учетных записей. Большинство сообщений удалялись через 30 дней, а сотрудники были ознакомлены с угрозой фишинга. Памятование о безопасности сопровождало сотрудников кампании даже в ванной, где кто-то поместил изображение зубной щетки под словами: «Точно также вы не должны делиться своими паролями».

Сама кампания широко использовала двухфакторную аутентификацию, и именно поэтому целью были выбраны персональные учетные записи gmail, поскольку они были менее защищены.

Ключевым выводом здесь является то, что в принципе невозможно, говоря статистически, предотвратить вашу организацию от фишинг-атак.

Или возможно?

1539708430785.png


В настоящее время никто не работает лучше в своей сфере, чем Maciej Ceglowski и Tech Solidarity. - это чистое золото, и он был тщательно исследован и изучен многими профессионалами отрасли с помощью учетных данных безопасности, которые на самом деле впечатляют, в отличие от моих. По сути, каждый должен внимательно прочитать этот список.

Каждый?

Компьютеры, в основном благодаря смартфонам, теперь , что больше не существует такой вещи, как «компьютерная безопасность». Есть только безопасность. Другими словами, это обычные методы обеспечения безопасности, с которыми все должны быть знакомы. Не только компьютерные гики. Не только политические активисты и политики. Не только журналисты и некоммерческие организации.

Каждый!

Это честно, потому что я знаю, что вы так же ленивы, как я, а я являюсь эпически ленивым, поэтому позвольте мне обобщить то, что я называю тремя самыми важными выводами из . Эти три коротких предложения - это 60-секундное резюме того, что вы захотите сделать, и то, чем вы захотите поделиться с другими, чтобы они тоже это сделали.

1) Включите двухфакторную аутентификацию через приложение, а не SMS, везде, где только сможете.

1539708534631.png



Вход в систему с использованием только лишь пароля, не имеет значения, как долго и насколько уникальным вы пытаетесь сделать этот пароль, никогда не будет достаточно. Пароль - это то, что вы знаете; вам нужно добавить второй фактор, который заключается в том, что у вас есть только у вас, чтобы получить дополнительный уровень безопасности. СМС можно легко . Запомните одно, что если вы используете SMS, то это всегда небезопасно. Поэтому установите приложение-аутентификатор и используйте его, по крайней мере, для обеспечения безопасности наиболее важных учетных данных, таких как данные от учетной записи электронной почты и вашего банка.

Упомянул ли я, что Discourse , а наша только что выпущенная версия 2.1 добавляет печатные коды резервного копирования тоже? Есть два пути вперед: вы можете говорить о решении, или вы можете создать решение. Я стараюсь сделать все возможное. Найдите вариант авторизации 2FA (двухфакторная аутентификация) в пользовательских настройках в своего любимого экземпляра Discourse. Он обязательно там будет.

(Это также является политикой компании в Discourse, если вы работаете здесь, вы все равно будете использовать двухфакторную аутентификацию все время. Никакой другой вариант входа невозможен.)

2) Убедитесь, что все ваши пароли, как минимум, состоят из 11 или более символов.

Это , но любой паролем с менее чем 11тью символами, Я лично рекомендую не менее 14 символов, может быть, даже 16. Но это не будет проблемой для вас, потому что ...

3) Используйте менеджер/диспетчер паролей.

Если вы используете диспетчер паролей, вы можете одновременно избежать очевидной опасности повторного использования пароля и Надеюсь, в не очень далеком будущем менеджер паролей на облачной основе глубоко внедрится в Android, iOS, OSX и Windows, и людям более не нужно будет скачивать, и запускать какие-либо сторонние приложения для выполнения этой важной задачи. Управление паролями и их создание является фундаментальным и основополагающим принципом безопасности, поэтому оно не должно быть компетенцией третьих сторон в принципе.

Дополнительное правило! Для особо рисковых случаев получите и используйте ключU2F key.

В долгосрочной перспективе два фактора через приложение недостаточно надежны из-за очень реального (и растущего) спектра фишинга в реальном времени. Приложения аутентификации предлагают временные ключи, срок действия которых истекает через минуту или две, но если злоумышленник может заставить вас ввести ключ аутентификации и быстро перенаправить его на целевой сайт, они могут войти в систему как вы. Если вам нужна максимальная защита, .

1539708694150.png



Я считаю, что поддержка U2F в наши дни еще довольно незрелая, особенно для мобильных телефонов. Но если вы попадете в те группы, которые будут атакованы, вы точно захотите настроить и использовать ключи U2F там, где вы только сможете. Они дешевые, и хорошая новость заключается в том, что они буквально делают фишинг невозможным в корне. Учитывая, что Google имел мы с уверенностью можем заявить, что это действительно работает.

В сегодняшнем мире компьютеры настолько вездесущи, что больше нет такой вещи, как кибербезопасность, безопасность в Интернете или компьютерная безопасность – есть не что иное, как безопасность сама по себе. У вас она либо есть, либо нет. Если вы будете следовать этим правилам и делиться ими, надеюсь, вы сможете обеспечить свой собственный уровень безопасности.


Источник:
 

Вложения

  • 1539708886069.png
    1539708886069.png
    275,4 КБ · Просмотры: 481

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 318
3 999
BIT
3
Аня,Респект Вам.Спасибо за труды. Выходите иногда на связь с народом.Это будет здорово.
Никто с Вас не станет требовать ответов согласно тематике,все поймут ,будут вопросы-Ребята ответят по мере возможностей.
Будьте ближе к нам.У Вас хорошая поддержка и много лукасов.Общайтесь,не стесняйтесь.
 
  • Нравится
Реакции: Литиум и Mitistofel
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!