Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини Технологии и концепции
бр. 7, 2018

Еднопосочната идентификация в опасна

Измамите подвеждат потребителите, че комуникират с доверен доставчик. Ето как доставчиците могат да се защитят от тях

от , 24 юли 2018 0 944 прочитания,

Роджър Гримс, CSO, САЩ 

Повечето хора са шокирани колко лесно може да се разбие двуфакторна (2FA) и многофакторна идентификация (MFA). Не е трудно, даже понякога е лесно като обикновен фишинг имейл.

Основният въпрос, който изниква, е как могат 2FA потребителите да се защитят по-добре. Това, разбира се, зависи от силните и слабите страни на 2FA метода, който се използва в конкретния случай. За защита срещу много от хакерските сценарии е достатъчно да се използва двупосочна, взаимна идентификация, при която клиентът и сървърът се удостоверяват взаимно, преди да сключат сделка.

За съжаление и в дигиталния, и в реалния свят има много случаи на еднопосочна идентификация, където или само сървърът се идентифицира пред потребителя, или само потребителите се идентифицират пред сървъра. В свое демо консултантът по киберсигурност и бивш хакер Кевин Митник показва много добър пример колко лесно е да се хакне еднопосочната идентификация. В него потребителят се идентифицира пред сървъра чрез 2FA логване, но сървърът не се идентифицира. Потребителят не забелязва, че линкът за логване не е HTTPS криптиран към законния сайт, и позволява на междинно прокси да прихване данните му от логина и бисквитките на валидната сесия. Двупосочно решение на взаимна идентификация като Universal Second Factor (U2F) на FIDO Alliance би предотвратило подобен тип атаки.

Липсата на задължителна, последователна, свързана, двустранна, взаимна идентификация е причината за много хакерски сценарии. Проблемът не е само дигитален. Това все повече се превръща в проблем и на реалния свят и всички доставчици трябва да му обърнат внимание. Ето няколко примера за проблеми при еднопосчната идентификация.



Измама с техническа поддръжка в социалните мрежи
Фалшивите предложения за техническа поддръжка в социалните мрежи са все по-сериозен проблем. Не става дума някой да ви се обади по телефона и да ви убеждава, че имате вирус и той ще ви помогне да го премахнете. Това е стар номер. Става дума за тактика от ново поколение, при която сте в неведение, че ви мамят.

Обикновено се започва с пост с отрицателно мнение за продукт или услуга във Facebook или друга социална мрежа. Често това става на официалната страница на доставчика в тази мрежа. След това някой, който се представя за служител на компанията, се свързва с вас, обикновено в социалната мрежа, и ви казва, че ще ви помогне. Само трябва да му дадете данните на сметката си и те с радост ще ви върнат парите или ще заменят продукта.

Естествено те просто ще ви ограбят. Хората в този случай приемат всичко на доверие, защото измамникът се свързва с тях за познат проблем, за който потребителят вече е информиран. И този вид измама става все по-популярен.

Банкови троянци
Ето още един подобен пример. Някои банкови троянци, след като се самоинсталират на компютъра ви, следят всичко, което пишете. Когато изпишете bank в браузъра, те се събуждат и започват да прихващат данните ви. Обикновено от това браузърът става супер бавен или спира.

След това троянецът изкарва попъп, като се представя за банков служител. Изказва съжаление, че сайтът има проблеми, предлага да ви помогне да приключите онлайн транзакцията и иска от вас само да му предоставите данните на сметката ви и друга свързана с това информация. Колко хубаво, нали?

Ало-измамите за поддръжка и други
Фалшивите телефонни обажания се появиха още преди десет години. И ако у нас организирани групи се обаждат на възрастни хора, за да им измъкнат пари за лечение на близък или под предлог, че участват в акция на силите на реда, хората в САЩ напоследък получават роботизирани обаждания от „полицията“, със съобщението, че срещу тях има четири сериозни обвинения и трябва незабавно да направят нещо по въпроса. Друга „тема“ са обаждания от данъчната служба за неплатени данъци.

Митник съветва да сме изключително скептични към всякакви транзакции с едностранна идентификация и да отказваме да правим бизнес или да купуваме стоки и услуги от онлайн или офлайн доставчик, ако не сме се уверили, че разговаряме с истинска фирма, с истински данни.

Ако ви се обадят например от кабелната телевизия и ви кажат, че ви предлагат нова оферта с по-бърз интернет и повече канали срещу по-малка сума като техен „специален клиент“, естествено, че ще искате да се възползвате от предложението. Но тогава те може да поискат вашата парола и ПИН, за да приключат сделката.

В този случай веднага трябва да се замислите, защото няма начин да знаете дали човекът отсреща е наистина представител на кабелната телевизия. Няма да разполагате с никаква идентификация от тяхна страна. Ако нямат информация за вашия акаунт и не знаят нищо за вас освен домашния ви адрес и телефон, значи има проблем. Предложете да затворите и да се обадите вие на свой ред директно в компанията, за да получите повече информация за офертата.

Не бива да давате личните си данни, без да сте абсолютно сигурни кой стои отсреща. Ако ви е неудобно от скептицизма ви, помнете, че може да загубите голяма сума пари, а това оправдава здравословната доза съмнение.

Измами с преводи
Ето един друг пример с продажба на имот. При финализирането на всяка подобна сделка, купувачът превежда на продавача или на брокера пари. Измамите с банкови преводи в тази сфера процъфтяват от десетилетия. 

Измамата обикновено започва така. Измамникът влиза с взлом най-често в системата на продавача или неговия брокер, която отговаря за нотариалните права и получава плащането, за да го разпредели на заинтересованите страни (например брокерите), които получават процент от сделката. Там той открива още информация за всички предстоящи сделки и изпраща на купувачите мейли „от името“ на компанията, като изисква преводът да се извърши към друга банка.

Купувачът няма как да разбере, че писмото е фалшиво. Та нали идва от компанията, с която работи, при това - често от името на служителя, с който си комуникира. Така той превежда парите по новата сметка. Компанията, която отговаря за нотариалните права, е в неведение, че това се случва, и когато всички се появят, за да финализират сделката, брокерите искат последната вноска от купувача и тогава разбират, че сделката е компрометирана. Това се случва буквално всеки ден.

Когато някой получи такъв мейл с инструкции за превода, трябва да се обади в компанията на официално обявения им номер (а не този, посочен в писмото) и да потърси мениджъра, който да потвърди, че споменатият в писмото служител наистина работи там, и след това да говори с този служител, за да потвърди, че инструкциите са валидни. 

Може да зададете и друг въпрос, отговора на който само вие и служителят отсреща би трябвало да знаете. Каквото и да е, което да потвърди самоличността и да ви даде повече сигурност. Подобен подход може да ви се струва параноичен, но ако говорите с хора, които са станали жертва на измамници, ще се убедите, че тази мнителност си заслужава.

Какво трябва да направят доставчиците
Проблемът е, че се нуждаем от взаимна, двупосочна, потвърдена идентификация както от клиента, така и от доставчика, преди потребителят да предостави личните си данни. Ако това не се прави, резултатът са скъпоструващи измами. Клиентите трябва да започнат да изискват от доставчиците да се идентифицират пред тях, а доставчиците трябва да внедрят процеси, които да гарантират пред клиента, че са тези, за които се представят.

Понякога фалшивите инструкции за банков превод са придружени от предупреждение, че съществуват измамници, и дори се предоставя номер, на който клиентът да потвърди истинността на инструкциите. Не бива да вярвате на подобна информация. Трябва да потърсите официалния номер на компанията и да се обадите на него. Правилото за двата независими източника е първатa мярка срещу измамниците.

Доставчиците трябва по-често да се идентифицират по сигурен начин пред клиентите си и в дигиталния, и в реалния свят, защото от споменатите примери се вижда, че транзакциите включват както реални, така и дигитални ресурси. Mного малко са транзакциите, които протичат единствено офлайн. Повечето вече включват имейл, онлайн плащания, събиране на информация или идентификация за нещо.

Доставчик, който не осигурява или не изисква взаимна идентификация на двете страни (клиента и сървъра) за всички транзакции, които ангажират лично клиентите, постъпва лекомислено и можа да причини щети на тези, които му се доверяват, а оттам - да загуби репутацията си и дори бизнеса си. Измамените клиенти, чийто брой се увеличава, едва ли ще искат да имат нещо общо с компании, които не предлагат надеждна взаимна идентификация. Те просто ще изтриват мейлите им.

Доставчиците трябва да изграждат процеси, които да водят до по-голямо клиентско доверие при ежедневните транзакции както онлайн, така и в реалния свят. Това може да се постигне, като се направи по-сигурна двуфакторната идентификация.

Превод и редакция Юлия Уршева. 

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия | Декларация за поверителност | Политика за бисквитки |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов