Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини ИТ сигурност

Откриха нов тип атаки. В опасност са Google, Facebook и много други

Уеб сайтовете, които разчитат на изпращане на код за смяна на паролата чрез SMS са особено уязвими

от Надя Кръстева, 27 юни 2017 0 1632 прочитания,

Експерти по информационна сигурност от Израел представиха изследване посветено на нов тип кибератаки – т.нар “атака на посредника” или “човек по средата” (Man-in-the-Middle, MitM). Това е разпространена разновидност на атака, при която злонамерено лице прихваща и подменя съобщенията, които си обменят кореспондентите, като никой от тях не се досеща за присъствието на престъпника. 

ИТ сигурност

Експертите от Израел са се съсредоточили върху случая, когато в качеството на единия от кореспондентите влиза легитимен сървър, на който потребителят се авторизира – сървър за електронна поща или социална мрежа, съобщава изданието SecurityIntelligence

За да проведе успешна атака злосторникът трябва да примами потребителя на вредоносен сайт, имитиращ легитимен ресурс. Също така е необходимо сървърно приложение, което да прихваща изпращаните от потребителите данни, да ги променя и пренасочва към регистрационни форми на системата за управление на пароли на друг сайт. 

Например, ако потенциалната жертва въвежда име на потребител или e-mail адрес в регистрационната форма на вредоносен сайт, тази информация се пренасочва към легитимен ресурс - Google, Yahoo и др. – за да се пусне процес за смяна на паролата. 

Ако сървърът вземе мерки за сигурност - зададе таен въпрос, активира Captcha тест или изпрати SMS с код за верификация, злосторникът пренасочва тези данни към потребителя (т.е. на вредоносния сайт могат да се появят допълнителни полета за попълване на Captcha и т.н.). Що се отнася до кодовете по SMS, достатъчно е злосторникът да си изясни какъв е телефонния номер на жертвата, а след това да прихване кода за верификация. Алгоритъмът е показан на схемата по-долу. 

ИТ сигурност

Схема на MitM атака (кликнете за да увеличите изображението)



Както се вижда от схемата, сайта на злосторника само малко променя данните, насочвани към жертвата и прихваща контрола над полето за въвеждане на нова парола. 
Изследователите отбелязват, че уеб сайтовете, които разчитат на изпращане на код за смяна на паролата чрез SMS са особено уязвими – т.е. колкото и да е странно, изключително уязвими се указват такива авторитетни сайтове като Google, Facebook, Yahoo и LinkedIn. 

Противодействие
Експертите от Израел отбелязват, че всякакви съобщения, съдържащи код или хипервръзка за смяна на парола, трябва да бъдат максимално информативни, просто за да може потребителят да се ориентира и у него да възникнат подозрения, когато попадне на фалшива кореспонденция. Също така, изследователите предлагат кодовете да се пращат не по SMS, а в хипервръзка, да не се разчита само на тайни въпроси, а да се искат допълнителни данни от потребителя, а също така да се посочва името на получателя в e-mail съобщенията с хипервръзки за смяна на паролата и в SMS-и за тази цел. 

“Във военното дело се прилага термина ‘дълбоко ешелонирана отбрана’, което означава многобройни защитни рубежи. Този термин е доста подходящ за приложение и при киберзащитата. Проблемът е в това, че комерсиалните услуги са принудени да търсят баланс между удобството на потребителите и надеждността на защитата и често предпочитат първото пред второто. По принцип е възможно всяка услуга да бъде обезопасена от атаки, подобни на описаната, но това ще изисква от потребителите усилия, които са на границата на неприемливото. Затова оптималният вариант е да се минимизира използването на уязвими методи – такива, като изпращане на SMS за авторизация. И разбира се, много е важно потребителите да бъдат внимателни”, коментира мениджър по ИТ сигурността в крупна организация. 

Докладът на експертите от Израел е достъпен тук.

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов