IT ExpertКак это сделатьСам себе админ

Как защититься от мошенников: пароля уже мало

Игорь Новиков | 19.07.2019

Как защититься от мошенников: пароля уже мало

Еще недавно система «логин-пароль» считалась достаточно надежной: она препятствовала получению злоумышленниками доступа к важной персональной информации, а ее реализация на компьютерах и смартфонах обеспечивала удобство и простоту применения. Такой способ защиты можно было встретить даже в системах дистанционного банковского обслуживания, и многие пользователи до сих пор ограничиваются ею, главное – никому не сообщать этих секретных данных.

Но время идет, и пора переходить на дополнительные меры защиты. Взять, к примеру, такое новое направление, как использование криптовалют. У многих его участников доступ к криптокошельку или аккаунту на криптобирже до сих пор защищен лишь посредством открытого ключа и SEED-фразы (или их аналогов). И, хотя эти средства стали значительно более сложными для взлома с помощью атаки Brute Force, тем не менее остались беззащитными против банального воровства – физического или с привлечением программных средств.

Разработчики давно осознали изъяны простой парольной системы. Например, появилось такое явление, как кража данных с помощью фишинговых атак: сначала это рассматривали как глупость со стороны пользователей, против которой, как известно, нет защиты, но подобные факты стали настолько массовыми, что от них уже невозможно было отмахнуться.

Мошенники тоже не тратили время даром, научившись скрытно устанавливать вредоносные программы – кейлогеры, умеющие считывать нажатия кнопок на клавиатуре атакуемого компьютера, отыскивая последовательности, связанные с вводом пароля и другой защищенной информации. Следующим их «изобретением» стали фальшивые скринсейверы, способные вести постоянную «фотозапись» экрана и передавать в «центр» картинки для изучения.

Разработчики ответили на вызов не только проведением внешнего аудита создаваемых онлайн-систем, но и введением дополнительных данных для усиления системы контроля (тип и версия используемого браузера, MAC-адрес и тип применяемого устройства и пр.). Эти данные трудно фальсифицировать, особенно когда нет полной информации обо всех параметрах контроля. Тем не менее, считают ИБ-специалисты, сами пользователи должны активнее участвовать в процессе собственной защиты.

Что же нужно делать, чтобы распознать приход непрошенных гостей и не дать им реализовать свои коварные планы?

Прежде всего – быть настороже

Поскольку разработчик онлайн-ресурса и пользователь дистанционно разделены, необходим определенный набор каналов связи, по которым будет передаваться вся служебная информация, в том числе оповещения в случае подозрений в мошеннических действиях со стороны пользователя. Обычно для этого выбирают номер мобильного телефона, на который будут приходить SMS-уведомления, и адрес электронной почты для оповещений. Мониторинг и контроль этих каналов – заветная цель мошенников.

Но, оказывается, и в такой схеме есть уязвимости. Так, пользователям зачастую неудобно использовать множество паролей и адресов E-mail, которые они выделили для защиты онлайн-ресурсов. Можно применять специальные программы для хранения паролей, но многие идут более простым путем: выделяют конкретный аккаунт и привязывают к нему все виды защиты (для устройств, доступа к программам и сайтам и т. д.). При этом задействуются одни и те же пароли, а свою задачу пользователь видит только в том, чтобы «не светить» эти данные посторонним.

Пришло время действовать

Отсюда правило первое: выделив для канала связи специальный аккаунт E-mail, не забывайте его периодически просматривать. Если среди полученных сообщений или SMS-оповещений обнаружится нечто подобное (рис. 1), надо срочно принимать меры.

 img

Сообщение службы безопасности Google Gmail о попытке проникновения в аккаунт со стороны неизвестного устройства

Первым делом следует проверить, доступен ли почтовый аккаунт под прежним паролем. Это самый неприятный момент в возникшей ситуации, ведь большинство современных систем аутентификации пока не используют специальных механизмов для проверки, например, по токенам или биометрическим данным. Если же контроль над каналом связи утерян, то впереди вас ждут серьезные трудности по его восстановлению (аналогичное происходит и при краже или потере смартфона, к которому был привязан аккаунт). Тут либо самое страшное уже произошло (например, потеря финансовых средств), либо вы имеете дело с маргиналами. Как быть в этой непростой ситуации – тема для отдельной статьи.

Но в большинстве случаев мошенники не блокируют доступ к аккаунту: в первую очередь их интересует информация, которая поступает по этому каналу, и они стараются оставаться незаметными. Причем, как рассказывают аудиторы безопасности корпоративных систем, подобное латентное состояние может длиться годами: мошенники проводят взлом, оставляют «жучок» и начинают искать «заказчиков», готовых оплатить будущую атаку. Все это время почтовая система пользователя работает как обычно. Выявить и своевременно предпринять меры для пресечения будущей атаки – вполне реально.

Но прямая кража интересна лишь для начинающих мошенников – это уголовная статья, и никто не хочет рисковать столь серьезно. Чаще просто просматривают содержимое канала связи с целью выявить важные детали и использовать их для шантажа владельца.

Сегодня разработчики почтовой системы уже научились распознавать характерные признаки мошенничества. Например, Google Gmail сразу подсказывает очевидное действие – сменить пароль (это делается непосредственно после обнаружения попытки входа в аккаунт с достоверным паролем, но с неподтвержденного ранее устройства), а также информирует о местах, где было зарегистрировано несанкционированное проникновение.

img

Google предлагает подтвержденному владельцу аккаунта сменить пароль.

 

img

Google сообщает о местах несанкционированного проникновения

Не забывает Google сообщать и о типичной ошибке пользователей,   применяющих один и тот же пароль для доступа к разным сетевым ресурсам. Если текущий почтовый аккаунт взломан, то очевидно, что мошенники уже знают пароль, используемый владельцем, и направились на другие популярные сетевые ресурсы, зарегистрированные пользователем, чтобы взломать и их. А значит, необходимо срочно сменить пароль, советует Google.

img

Google напоминает о смене однотипных паролей

Здесь стоит также напомнить, что современные почтовые службы – облачные, поэтому реализуют у себя механизм периодического резервирования. Google сверяет текущие настройки с ранее сохраненной архивной копией и сообщает, были ли они внесены «незнакомцами». Если изменений нет, значит, они просто интересовались содержимым почтового ящика.

img

Google сообщает о внесенных изменениях в настройках

Впрочем, следует сделать оговорку: необходимо убедиться, что «незнакомец» действительно существовал. Не исключено, что это сам пользователь вошел в свой аккаунт с другого устройства, но забыл об этом.

Что же интересовало «незнакомцев»?

Итак, вы предотвратили развитие атаки на свой почтовый аккаунт. Но успокаиваться рано – важно понять цели злоумышленников: был ли это желторотый юнец, действовавший ради любопытства, или опытный мастер, преследующий вполне конкретную задачу.

Ответ может быть связан с сетевыми ресурсами, которые были привязаны ранее к этому почтовому аккаунту. В нашем случае он служил каналом связи для Bitfinex: поиск соответствующих оповещений в почтовом ящике позволил проверить попытки входа в личный аккаунт на криптобиржу – к счастью, там оказались только регистрации входа самого владельца.

 img

Служебные сообщения Bitfinex о попытках входа в аккаунт

Двойная аутентификация – теперь обязательный атрибут для работы с криптобиржами

Двухфакторная аутентификация (2FA), несмотря на относительное неудобство ее прохождения для пользователя, сегодня принята как необходимый элемент защиты аккаунтов. Ею не только не следует пренебрегать – зачастую без нее уже нельзя обойтись: это дает уверенность, что никто не войдет в аккаунт владельца без его ведома, даже если будет воспроизведен самый сложный пароль.

Подключить 2FA для защиты входа на Bitfinex от мошенников просто, все необходимые инструкции криптобиржа предоставляет. Потребуется установить на свой «контактный» смартфон приложение Google Authenticator, а затем перейти по предложенной ссылке – и система защиты будет активирована.

img

Двухфакторная аутентификация – способ защиты входа на Bitfinex от мошенников

 

img

Bitfinex сделал проверку через двойную аутентификацию обязательной для всех клиентов биржи

img

Завершающая активация механизма двухфакторной аутентификации на Bitfinex

При входе на криптобиржу будет выдан запрос на ввод шестизначного цифрового кода, который потребуется сгенерировать на своем смартфоне и ввести в соответствующее поле. При желании проверку можно отключить, тогда ввод кода будет запрашиваться, только если для входа используется «незнакомое» устройство.

 img

Проверка двухфакторной аутентификации при входе на Bitfinex

 

Безопасность на 100%?!

Казалось бы, все проблемы решены, обойти такую защиту мошенникам не удастся. Но, как выяснили с полгода назад исследователи антивирусной компании ESET, далеко не всегда двухфакторная аутентификация гарантирует защиту учетной записи – некоторые приложения научились ее обходить. Речь идет о фальшивых приложениях для работы с турецкими криптобиржами BTCTurk, BTCTurk Beta и BTCTurk Pro Beta, которые распространялись через официальный магазин Google Play. После их установки пользователям предлагалось ввести логин и пароль для входа на биржу, при этом легитимная страница авторизации подменялась фишинговой и учетные данные отправлялись в адрес злоумышленников.

img

Фишинговая программа BTCTurk в официальном магазине Google Play (источник: ESET)

Поскольку с недавних пор Google запрещает приложениям сторонних разработчиков получать доступ к звонкам и SMS, а значит, фишинговые программы не в силах просто прочесть входящее сообщение с кодом авторизации, мошенники придумали еще более хитрый маневр. Они научили приложение запрашивать доступ к системе уведомлений, из которых оно копировало уникальный код двухфакторной аутентификации и передавало им.

Казалось бы, какое нам дело до турецких мошенников? Но если одни смогли обойти механизм двухфакторной аутентификации – то смогут и другие!

Как же защищаться дальше?

Буквально на днях пришло сообщение немецкого от агентства деловых новостей Handelsblatt, что ряд местных банков, в частности Postbank, Berliner Sparkasse, Consorsbank и др., планируют до конца года отказаться от использования опции аутентификации на основе SMS и проверки транзакций по методам mTAN или SMS-TAN, считая их небезопасными. Как оказалось, злоумышленники научились осуществлять подмену SIM-карты с целью выдать свой телефон за телефон жертвы и тем самым осуществлять проверку запущенной ими мошеннической транзакции. Кроме того, уже зафиксированы случаи использования давно известной уязвимости в протоколе SS7, позволяющей обойти двухфакторную аутентификацию.

В связи с этим Федеральное ведомство по информационной безопасности Германии (BSI) обязало банки и других поставщиков платежных услуг соответствовать директиве PSD2, предписывающей необходимость авторизации с использованием «строгой аутентификации клиентов» (SCA). В арсенал средств защиты теперь входят новые инструменты: ChipTAN (генераторы номеров аутентификации TAN), Photo-TAN (устройства, генерирующие и автономно фотографирующие штрихкод), Push-TAN и цифровые подписи на базе смарт-карт. Но об этом мы расскажем в следующий раз.

Журнал: Журнал IT-Expert [№ 07/2019], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Другие материалы рубрики

Компании сообщают

Мероприятия

28.11.2019
Второй Северо-Западный Форум CISCO

Санкт-Петербург, Гранд Отель Европа

28.11.2019
Dell Technologies Forum

Санкт-Петербург, Отель "Введенский", П.С., Большой пр.,37

28.11.2019
ITIL 4: итоги 2019 года

он-лайн

02.12.2019
Seed Forum Global Moscow 2019

Москва, РИИ «Московская Биржа»