Помните такую вещь, как "кибербезопасность"?
Загадочные парни в капюшонах делают загадочные вещи в киберпространстве. Кто знает, какого рода вред они в состоянии нанести цифровой среде?
К сожалению, теперь мы живем в мире, где такого рода цифровой вред буквально переписывает историю мира. Для того чтобы получить доказательство этому, вам нужно взглянуть всего лишь на одно электронное письмо, отправленное 19 марта 2016 года.
Если вы все еще не поняли, что перед вами находится, то я спешу вам сообщить, что это
На данный момент это уже очень, очень известное фишинговое письмо, возможно, самое известное из всех за все время. Но давайте рассмотрим,
В этом конкретном примере письмо вовсе не было нацелено на конкретного человека. Это необычайно простая, абсолютно общая и рутинная фишинг-атака. Здесь отображается нулевое сосредоточенное усилие атаки. Но обратите внимание, что цель не сразу же нажала на ссылку в письме!
Вместо этого он сделал именно то, что вы хотите, чтобы этот человек сделал в этом сценарии: он отправил письмо по электронной почте в поддержку ИТ и спросил, действительно ли они высылали ему это письмо. Но ИТ отдел сделал роковую ошибку в своем ответе.
Вы это видите? Вот в чем заключалась суть:
Господин Делаван в интервью сказал, что некорректные его советы были результатом опечатки: он знал, что это была фишинг-атака, поскольку кампания получала десятки подобного рода писем. Он сказал, что он намеревался указать, что данное электронное письмо было «незаконным/нелегальным» (“illegitimate”), ошибка, о которой он говорил, продолжала преследовать его с тех самых пор.
Всего одно слово. Он всего лишь ошибся в написании одного слова. Но какое именно было это слово ошибиться, и, к тому же, еще и в первом предложении! В электронном письме был указан правильный адрес Google для сброса пароля. Но все остальное уже было не важным, поскольку первое предложение говорило, что письмо было «законным/легальным» ("legitimate"); затем был осуществлен переход по фишинговой ссылке в этом письме. А остальное - это уже история.
Что является еще более смешным (ну, по-моему, уж очень сатирическим), так это то, что публичная статистика осталась включенной для ссылки bit.ly для отслеживания, поэтому вы можете точно определить, на какой безумный домен ссылалась «страница входа в Google», и что она был нажат ровно дважды, в тот же день, когда он был отправлен по почте.
Как я уже сказал, это были не совсем изощренные атакующие. Итак, теоретически внимательный пользователь может обратить внимание на адресную строку браузера и заметить, что после нажатия ссылки они попадают на
вместо
Обратите внимание, что URL-адрес фишинга тщательно сконструирован, поэтому самая «правильная» часть находится спереди, а та, которая может вызвать у потенциальной жертвы подозрение, зажата посередине. До тех пор, пока вы не уделяете достаточно пристальное внимание, и ваша адресная строка не является достаточно длинной, чтобы отображать полный URL-адрес, этот способ будет срабатывать.
Я изначально написал этот пост в качестве презентации для Berkeley Computer Science Club еще в марте, и в то время я собрал список публичных фишинговых страниц, которые я нашел в Интернете.
Из этих пяти примеров, собранных 6 месяцев назад, один более не является действительным, один загружается просто отлично, а три из них представляют собой страшную красную страницу промежуточного предупреждения, которая настоятельно рекомендует вам не посещать страницу, которую вы пытаетесь посетить, любезно предоставив
Абсолютно не обязательно являться доктором наук в сфере работы с компьютером для того, чтобы успешно провести фишинг атаку:
Кампания ... не была легкой целью; несколько бывших сотрудников сказали, что организация уделяет особое внимание цифровой безопасности.
Рабочие адреса электронной почты были защищены двухфакторной аутентификацией, метод, который использует второй код доступа для обеспечения безопасности учетных записей. Большинство сообщений удалялись через 30 дней, а сотрудники были ознакомлены с угрозой фишинга. Памятование о безопасности сопровождало сотрудников кампании даже в ванной, где кто-то поместил изображение зубной щетки под словами: «Точно также вы не должны делиться своими паролями».
Сама кампания широко использовала двухфакторную аутентификацию, и именно поэтому целью были выбраны персональные учетные записи gmail, поскольку они были менее защищены.
Ключевым выводом здесь является то, что в принципе невозможно, говоря статистически, предотвратить вашу организацию от фишинг-атак.
Или возможно?
В настоящее время никто не работает лучше в своей сфере, чем Maciej Ceglowski и Tech Solidarity.
Каждый?
Компьютеры, в основном благодаря смартфонам, теперь
Каждый!
Это честно, потому что я знаю, что вы так же ленивы, как я, а я являюсь эпически ленивым, поэтому позвольте мне обобщить то, что я называю тремя самыми важными выводами из
1) Включите двухфакторную аутентификацию через приложение, а не SMS, везде, где только сможете.
Вход в систему с использованием только лишь пароля, не имеет значения, как долго и насколько уникальным вы пытаетесь сделать этот пароль, никогда не будет достаточно. Пароль - это то, что вы знаете; вам нужно добавить второй фактор, который заключается в том, что у вас есть только у вас, чтобы получить дополнительный уровень безопасности. СМС можно легко
Упомянул ли я, что Discourse
(Это также является политикой компании в Discourse, если вы работаете здесь, вы все равно будете использовать двухфакторную аутентификацию все время. Никакой другой вариант входа невозможен.)
2) Убедитесь, что все ваши пароли, как минимум, состоят из 11 или более символов.
Это
3) Используйте менеджер/диспетчер паролей.
Если вы используете диспетчер паролей, вы можете одновременно избежать очевидной опасности повторного использования пароля и
Дополнительное правило! Для особо рисковых случаев получите и используйте ключU2F key.
В долгосрочной перспективе два фактора через приложение недостаточно надежны из-за очень реального (и растущего) спектра фишинга в реальном времени. Приложения аутентификации предлагают временные ключи, срок действия которых истекает через минуту или две, но если злоумышленник может заставить вас ввести ключ аутентификации и быстро перенаправить его на целевой сайт, они могут войти в систему как вы. Если вам нужна максимальная защита,
Я считаю, что поддержка U2F в наши дни еще довольно незрелая, особенно для мобильных телефонов. Но если вы попадете в те группы, которые будут атакованы, вы точно захотите настроить и использовать ключи U2F там, где вы только сможете. Они дешевые, и хорошая новость заключается в том, что они буквально делают фишинг невозможным в корне. Учитывая, что Google имел
В сегодняшнем мире компьютеры настолько вездесущи, что больше нет такой вещи, как кибербезопасность, безопасность в Интернете или компьютерная безопасность – есть не что иное, как безопасность сама по себе. У вас она либо есть, либо нет. Если вы будете следовать этим правилам и делиться ими, надеюсь, вы сможете обеспечить свой собственный уровень безопасности.
Источник:
Загадочные парни в капюшонах делают загадочные вещи в киберпространстве. Кто знает, какого рода вред они в состоянии нанести цифровой среде?
К сожалению, теперь мы живем в мире, где такого рода цифровой вред буквально переписывает историю мира. Для того чтобы получить доказательство этому, вам нужно взглянуть всего лишь на одно электронное письмо, отправленное 19 марта 2016 года.
Если вы все еще не поняли, что перед вами находится, то я спешу вам сообщить, что это
Ссылка скрыта от гостей
.
На данный момент это уже очень, очень известное фишинговое письмо, возможно, самое известное из всех за все время. Но давайте рассмотрим,
Ссылка скрыта от гостей
- Злоумышленник заполучил списки всех общедоступных электронных адресов сотрудников политической кампании 2008 года
- Один из этих сотрудников 2008 года также был нанят для проведения политической кампании в 2016 году.
- Этот конкретный сотрудник имел не доступный общественности электронный адрес, в то время как один из сотрудников был активным ключевым участником кампании с обширной историей электронной почты
В этом конкретном примере письмо вовсе не было нацелено на конкретного человека. Это необычайно простая, абсолютно общая и рутинная фишинг-атака. Здесь отображается нулевое сосредоточенное усилие атаки. Но обратите внимание, что цель не сразу же нажала на ссылку в письме!
Вместо этого он сделал именно то, что вы хотите, чтобы этот человек сделал в этом сценарии: он отправил письмо по электронной почте в поддержку ИТ и спросил, действительно ли они высылали ему это письмо. Но ИТ отдел сделал роковую ошибку в своем ответе.
Вы это видите? Вот в чем заключалась суть:
Господин Делаван в интервью сказал, что некорректные его советы были результатом опечатки: он знал, что это была фишинг-атака, поскольку кампания получала десятки подобного рода писем. Он сказал, что он намеревался указать, что данное электронное письмо было «незаконным/нелегальным» (“illegitimate”), ошибка, о которой он говорил, продолжала преследовать его с тех самых пор.
Всего одно слово. Он всего лишь ошибся в написании одного слова. Но какое именно было это слово ошибиться, и, к тому же, еще и в первом предложении! В электронном письме был указан правильный адрес Google для сброса пароля. Но все остальное уже было не важным, поскольку первое предложение говорило, что письмо было «законным/легальным» ("legitimate"); затем был осуществлен переход по фишинговой ссылке в этом письме. А остальное - это уже история.
Что является еще более смешным (ну, по-моему, уж очень сатирическим), так это то, что публичная статистика осталась включенной для ссылки bit.ly для отслеживания, поэтому вы можете точно определить, на какой безумный домен ссылалась «страница входа в Google», и что она был нажат ровно дважды, в тот же день, когда он был отправлен по почте.
Как я уже сказал, это были не совсем изощренные атакующие. Итак, теоретически внимательный пользователь может обратить внимание на адресную строку браузера и заметить, что после нажатия ссылки они попадают на
Код:
http://myaccount.google.com-securitysettingpage.tk/security/signinoptions/passwordвместо
Код:
https://myaccount.google.com/security
Код:
Обратите внимание, что URL-адрес фишинга тщательно сконструирован, поэтому самая «правильная» часть находится спереди, а та, которая может вызвать у потенциальной жертвы подозрение, зажата посередине. До тех пор, пока вы не уделяете достаточно пристальное внимание, и ваша адресная строка не является достаточно длинной, чтобы отображать полный URL-адрес, этот способ будет срабатывать.
Я изначально написал этот пост в качестве презентации для Berkeley Computer Science Club еще в марте, и в то время я собрал список публичных фишинговых страниц, которые я нашел в Интернете.
Код:
nightlifesofl.com
ehizaza-limited.com
tcgoogle.com
appsgoogie.com
security-facabook.comИз этих пяти примеров, собранных 6 месяцев назад, один более не является действительным, один загружается просто отлично, а три из них представляют собой страшную красную страницу промежуточного предупреждения, которая настоятельно рекомендует вам не посещать страницу, которую вы пытаетесь посетить, любезно предоставив
Ссылка скрыта от гостей
. Но, конечно, этот черный список доменных имен будет абсолютно бесполезен на любом новом фишинговом сайте. (Даже не заставляйте меня начинать с того, как черные списки никогда не работали.)
Абсолютно не обязательно являться доктором наук в сфере работы с компьютером для того, чтобы успешно провести фишинг атаку:
- Купите безумно длинное, реалистично выглядящее доменное имя.
- Разместите его, где-нибудь на облаке.
- Получите бесплатный сертификат HTTPS от наших друзей в
Ссылка скрыта от гостей.
- Создайте реалистичную копию страницы входа, которая незаметно передает все, что вводится в эти поля для входа, возможно, даже в режиме реального времени, в то время, когда ваша цель вводит необходимые данные.
- Соберите адреса электронной почты и выполните массовую рассылку правдоподобного фишингового письма с необходимым URL-адресом.
Ссылка скрыта от гостей
.Кампания ... не была легкой целью; несколько бывших сотрудников сказали, что организация уделяет особое внимание цифровой безопасности.
Рабочие адреса электронной почты были защищены двухфакторной аутентификацией, метод, который использует второй код доступа для обеспечения безопасности учетных записей. Большинство сообщений удалялись через 30 дней, а сотрудники были ознакомлены с угрозой фишинга. Памятование о безопасности сопровождало сотрудников кампании даже в ванной, где кто-то поместил изображение зубной щетки под словами: «Точно также вы не должны делиться своими паролями».
Сама кампания широко использовала двухфакторную аутентификацию, и именно поэтому целью были выбраны персональные учетные записи gmail, поскольку они были менее защищены.
Ключевым выводом здесь является то, что в принципе невозможно, говоря статистически, предотвратить вашу организацию от фишинг-атак.
Или возможно?
В настоящее время никто не работает лучше в своей сфере, чем Maciej Ceglowski и Tech Solidarity.
Ссылка скрыта от гостей
- это чистое золото, и он был тщательно исследован и изучен многими профессионалами отрасли с помощью учетных данных безопасности, которые на самом деле впечатляют, в отличие от моих. По сути, каждый должен внимательно прочитать этот список.Каждый?
Компьютеры, в основном благодаря смартфонам, теперь
Ссылка скрыта от гостей
, что больше не существует такой вещи, как «компьютерная безопасность». Есть только безопасность. Другими словами, это обычные методы обеспечения безопасности, с которыми все должны быть знакомы. Не только компьютерные гики. Не только политические активисты и политики. Не только журналисты и некоммерческие организации.Каждый!
Это честно, потому что я знаю, что вы так же ленивы, как я, а я являюсь эпически ленивым, поэтому позвольте мне обобщить то, что я называю тремя самыми важными выводами из
Ссылка скрыта от гостей
. Эти три коротких предложения - это 60-секундное резюме того, что вы захотите сделать, и то, чем вы захотите поделиться с другими, чтобы они тоже это сделали.1) Включите двухфакторную аутентификацию через приложение, а не SMS, везде, где только сможете.
Вход в систему с использованием только лишь пароля, не имеет значения, как долго и насколько уникальным вы пытаетесь сделать этот пароль, никогда не будет достаточно. Пароль - это то, что вы знаете; вам нужно добавить второй фактор, который заключается в том, что у вас есть только у вас, чтобы получить дополнительный уровень безопасности. СМС можно легко
Ссылка скрыта от гостей
. Запомните одно, что если вы используете SMS, то это всегда небезопасно. Поэтому установите приложение-аутентификатор и используйте его, по крайней мере, для обеспечения безопасности наиболее важных учетных данных, таких как данные от учетной записи электронной почты и вашего банка.Упомянул ли я, что Discourse
Ссылка скрыта от гостей
, а наша только что выпущенная версия 2.1 добавляет печатные коды резервного копирования тоже? Есть два пути вперед: вы можете говорить о решении, или вы можете создать решение. Я стараюсь сделать все возможное. Найдите вариант авторизации 2FA (двухфакторная аутентификация) в пользовательских настройках в своего любимого экземпляра Discourse. Он обязательно там будет.(Это также является политикой компании в Discourse, если вы работаете здесь, вы все равно будете использовать двухфакторную аутентификацию все время. Никакой другой вариант входа невозможен.)
2) Убедитесь, что все ваши пароли, как минимум, состоят из 11 или более символов.
Это
Ссылка скрыта от гостей
, но любой паролем с менее чем 11тью символами,
Ссылка скрыта от гостей
Я лично рекомендую не менее 14 символов, может быть, даже 16. Но это не будет проблемой для вас, потому что ...3) Используйте менеджер/диспетчер паролей.
Если вы используете диспетчер паролей, вы можете одновременно избежать очевидной опасности повторного использования пароля и
Ссылка скрыта от гостей
Надеюсь, в не очень далеком будущем менеджер паролей на облачной основе глубоко внедрится в Android, iOS, OSX и Windows, и людям более не нужно будет скачивать, и запускать какие-либо сторонние приложения для выполнения этой важной задачи. Управление паролями и их создание является фундаментальным и основополагающим принципом безопасности, поэтому оно не должно быть компетенцией третьих сторон в принципе.Дополнительное правило! Для особо рисковых случаев получите и используйте ключU2F key.
В долгосрочной перспективе два фактора через приложение недостаточно надежны из-за очень реального (и растущего) спектра фишинга в реальном времени. Приложения аутентификации предлагают временные ключи, срок действия которых истекает через минуту или две, но если злоумышленник может заставить вас ввести ключ аутентификации и быстро перенаправить его на целевой сайт, они могут войти в систему как вы. Если вам нужна максимальная защита,
Ссылка скрыта от гостей
.
Я считаю, что поддержка U2F в наши дни еще довольно незрелая, особенно для мобильных телефонов. Но если вы попадете в те группы, которые будут атакованы, вы точно захотите настроить и использовать ключи U2F там, где вы только сможете. Они дешевые, и хорошая новость заключается в том, что они буквально делают фишинг невозможным в корне. Учитывая, что Google имел
Ссылка скрыта от гостей
мы с уверенностью можем заявить, что это действительно работает.В сегодняшнем мире компьютеры настолько вездесущи, что больше нет такой вещи, как кибербезопасность, безопасность в Интернете или компьютерная безопасность – есть не что иное, как безопасность сама по себе. У вас она либо есть, либо нет. Если вы будете следовать этим правилам и делиться ими, надеюсь, вы сможете обеспечить свой собственный уровень безопасности.
Источник:
Ссылка скрыта от гостей
