Перейти к содержанию

Насколько безопасно пользоваться Telegram? | Блог Касперского


Рекомендуемые сообщения

5 часов назад, Umnik сказал:

часто используют SMS как второй фактор и это тоже огромная ошибка

 

5 часов назад, Umnik сказал:

Нельзя никогда использовать телефонный номер как второй фактор

 

что можно?

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 36
  • Created
  • Последний ответ

Top Posters In This Topic

  • Umnik

    13

  • Mrak

    9

  • sputnikk

    6

  • ska79

    4

13 часов назад, Umnik сказал:

2. Нельзя никогда использовать телефонный номер как второй фактор ни в одном сервисе

Все иные варианты создают тучу проблем при сбросе телефона/утрате телефона или переезде на новый телефон. Только смс как второй фактор позволяет без проблем переезжать с одного аппарата на другой. То есть речь именно об удобстве, а не о безопасности. 

Ссылка на комментарий
Поделиться на другие сайты

On 24.02.2023 at 07:52, Kerigan said:

Аутентификатор на подобии Google Authenticator можно же юзать?

Да. Это называется TOTP, их куча. Это отличный вариант. Есть ещё аппаратные ключи. У меня, к примеру, Solo Key первого и второго поколения. Но это уже ближе к экзотике.

On 24.02.2023 at 12:52, Mrak said:

То есть речь именно об удобстве, а не о безопасности.

Всё именно так. Удобство и безопасность очень часто друг друга взаимоисключают. И каждый решает, чем он готов жертвовать.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

24.02.2023 в 12:52, Mrak сказал:

Все иные варианты создают тучу проблем при сбросе телефона/утрате телефона или переезде на новый телефон. Только смс как второй фактор позволяет без проблем переезжать с одного аппарата на другой. То есть речь именно об удобстве, а не о безопасности. 

Мне кажется у многих валяются старые телефоны.Google Authenticator можно скопировать туда и пусть лежит как точка для восстановления

Ссылка на комментарий
Поделиться на другие сайты

Я использую KeePassDX и TOTP внутри него. Так что мне нужно потерять все копии БД разом (а их 5 штук), чтобы лишиться доступа к сайтам. Но это тоже не идеально. Ведь теперь у меня первый и второй фактор в одном месте и защищены лишь одним мастер-паролем. Но вот я поступился этим для себя, мне так удобнее. Благо у меня сам мастер-пароль двухфакторный тоже. Чего нет в KPM, например :)

Ссылка на комментарий
Поделиться на другие сайты

39 минут назад, Umnik сказал:

у меня первый и второй фактор в одном месте и защищены лишь одним мастер-паролем.

Насколько важна именно двухфакторная защита, если мастер-пароль действительно сложный и уникальный? 

Может быть не париться с двухфакторной аутентификацией вовсе?

Ссылка на комментарий
Поделиться на другие сайты

6 minutes ago, Mrak said:

Насколько важна именно двухфакторная защита, если мастер-пароль действительно сложный и уникальный? 

Важен. Пароль можно случайно засветить: попасть под камеру, отставить отпечатки на экране, просто наблюдатель стоит за плечом. Потому у меня на Keepass мастер-пароль и второй фактор одновременно

 

image.thumb.png.62e78217980d4dc446a6325e46bae77f.png

 

Было бы 3 фактора, если бы КиПасс поддерживал Соло Кей. К сожалению, он поддерживает ЮбиКей, которого у меня нет. Сейчас мне нужно ввести мастер-пароль и указать файл.

Ссылка на комментарий
Поделиться на другие сайты

6 минут назад, Umnik сказал:

Важен. Пароль можно случайно засветить: попасть под камеру, отставить отпечатки на экране, просто наблюдатель стоит за плечом.

Если у кого-то хватило ресурсов поставить в твоём рабочем кабинете камеру, то думаю смс-сообщение или код аутентификации со 2-го фактора они также перехватят. Просто подсмотрят код разблокировки твоего телефона через ту же камеру. 

Ссылка на комментарий
Поделиться на другие сайты

Ты пытаешься выразить своими словами фундаментальные правила ИБ:

- Стоимость защиты должна быть ниже стоимости данных. Не нужна защита, которая обходится дороже, чем данные, которые она защищает

- Стоимость атаки должна быть выше стоимости данных. В таком случае у атакующего не будет стимула работать

Стоимость данных может быть как вполне конкретной, так и определена владельцем самостоятельно. Дальше ты просто строишь свою защиту, исходя из этого.

 

Считать данные TOTP в общем случае сложнее, чем перехват через SMS. А стоимость, скажем, профиля на ГосУслугах ну очень высока. Потому ГУ только через TOTP. Лучше усложнить себе жизнь, потеряв пароль и сходив в МФЦ, чем упростить её атакующему. На мой взгляд.

Ссылка на комментарий
Поделиться на другие сайты

22 часа назад, Umnik сказал:

стоимость, скажем, профиля на ГосУслугах ну очень высока

Мотивируешь? Что там такого особо ценного? Или сейчас ТОЛЬКО через госуслуги (без иных подтверждений) можно распоряжаться транспортными средствами и недвижимостью? У нас всё по-старинке делают, через МФЦ, нотариуса, поэтому и уточняю, неужели взломав госуслуги уже можно распорядиться имуществом?

22 минуты назад, Umnik сказал:

https://keepassxc.org/ Вот эта под десктопы. На Линуксе у меня она

Платный менеджер паролей от Касперского не лучше? Возникает смутное подозрение, что если ты автору программы не заплатил, он может или косячить (ведь бесплатно работает) или продавать твои данные. 

Ссылка на комментарий
Поделиться на другие сайты

40 минут назад, Mrak сказал:

неужели взломав госуслуги уже можно распорядиться имуществом?

Не только имуществом, злоумышленник может оформить кредит 

Ссылка на комментарий
Поделиться на другие сайты

1 минуту назад, ska79 сказал:

Не только имуществом, злоумышленник может оформить кредит 

Речь о взломе госуслуг. Не о взломе банковского приложения. Или через госуслуги можно кредит взять? 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Угон аккаунтов в Telegram сегодня превратился в настоящий бизнес. Мошенники не только самыми изощренными методами крадут доступы к учетным записям, но и используют их для атаки на других пользователей с помощью дипфейков, социального инжиниринга и других методов. Обычно это работает так. Украв один аккаунт, злоумышленники начинают рассылать с него по всем контактам фишинговые сообщения с текстами вроде: «Привет, мне тут срочно деньги нужны, поможешь?», «Проголосуй за меня, пожалуйста, если не сложно» или «Вам отправили подарок – подписка Телеграм Премиум сроком на 1 год», чтобы угнать еще больше аккаунтов. Есть и более изощренные схемы, манипулирующие эмоциями людей – например, предложение о бесплатной фотосессии от якобы «начинающего фотографа, которому нужно наработать портфолио».
      В подобных сообщениях всегда есть фишинговые ссылки, зачастую выглядящие совершенно легитимно — например, как https://t.me/premium — но выводящие на сайты мошенников. Перейдя по ним и выполнив предложенные злоумышленниками действия, вы с большой долей вероятности лишитесь своего аккаунта в Telegram, а все ваши контакты окажутся под угрозой мошеннических рассылок уже от вашего имени.
      Помимо этого, угнанные или поддельные аккаунты могут использоваться не только для массовых фишинговых рассылок, но и для сложных таргетированных атак, порой с использованием дипфейков, направленных на сотрудников разнообразных компаний. Возможно, вы уже сталкивались с сообщениями от якобы «руководства компании» с обращением по имени-отчеству, рассказами о неких проверках компании со стороны государственных органов и требованиями в обстановке полнейшей секретности немедленно предоставить какие-либо данные или просьбой помочь компании деньгами с последующей компенсацией. Все это — фейки.
      При этом настоящий владелец аккаунта в Telegram может поначалу даже не подозревать, что он взломан, продолжать переписываться с друзьями, читать любимые каналы и думать, что по-прежнему не интересен мошенникам. Как такое вообще возможно? Telegram позволяет использовать один и тот же аккаунт с разных устройств, и, выманив у вас доступ к вашему аккаунту, мошенники открывают еще один сеанс на своем устройстве, не закрывая ваши активные сеансы. Затем они начинают переписку с вашими контактами, тут же удаляя отправленные от вашего лица сообщения в режиме «Удалить только у меня». При этом получатели эти сообщения видят, а вы — нет.
      Как показывает практика, мошенникам интересны все — даже самые обычные пользователи Telegram. Поэтому в этом материале мы ответим на два главных вопроса: как понять, что аккаунт в Telegram взломали, и что делать, если ваш аккаунт в Telegram взломан?
      Как понять, что ваш аккаунт в Telegram взломали
      Если хотя бы один пункт из списка ниже относится к вам – скорее всего, ваш аккаунт взломан.
      У вас внезапно поменялись никнейм или аватарка, а вы этого не делали. Вы участвовали в подозрительных конкурсах, розыгрышах или голосованиях. Вы переходили по ссылкам из сообщений в Telegram и вводили данные своей учетки – номер телефона, код подтверждения и пароль. Вы случайно заметили в любой переписке появившееся от вашего имени сообщение, которое тут же было удалено. Ваши друзья пишут, что с вашего аккаунта приходят странные сообщения, а вы их не видите. Вам пришел код подтверждения для входа на новом устройстве. Теперь обо всем по порядку.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Недавно мы в «Лаборатории Касперского» провели исследование и узнали, что в среднем в мире человек тратит в год $938 на 12 подписок. Это лишь очередное подтверждение того, что сегодня большое количество подписок — такой же атрибут жизни современного человека, как наличие смартфона под рукой.
      Подписки есть на все: на музыку, кино, фитнес, защитные решения и даже на мессенджеры. Вот о последних сегодня и поговорим, тем более что вы наверняка не раз слышали про Telegram Premium — подписку, увеличивающую все лимиты мессенджера практически в два раза. И самое крутое — ее можно дарить любому другу. При большой книге контактов приложение Telegram практически каждый день напоминает о такой возможности. Конечно же, подарочными подписками Telegram Premium манипулируют мошенники, рассылая их направо и налево.
      Что это за подарочные подписки от киберпреступников и как защитить свой аккаунт в Telegram — в этом материале.
      Как «дарят» подписку в Telegram
      Начинается все с невинного сообщения в Telegram от человека из вашего списка контактов (ну или того, кто им притворяется): «Вам отправили подарок — подписка Телеграм Премиум». Аккурат под ним — ссылка, которая на первый взгляд кажется легитимной. Она и в самом деле ведет на официальный канал Telegram Premium, но есть нюанс.
      Согласитесь, получить такое сообщение всегда приятно, и в приступе эйфории легко не заметить подвох
      Под текстом https://t.me/premium скрывается ссылка на совсем другую — фишинговую страницу. Работает это очень просто. Вот, казалось бы, ссылка на главную страницу блога Kaspersky Daily — https://kaspersky.ru/blog, которая на самом деле ведет на главную страницу другого нашего блога — Securelist. По такому же принципу действуют и мошенники: прикрывают свою фишинговую ссылку другим адресом.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Уже сегодня технологии на базе ИИ внедрены в каждой второй компании, а за ближайшие два года к ним присоединится еще 33% коммерческих организаций. ИИ в том или ином виде будет внедрен повсеместно. Экономический эффект, который получают компании от внедрения, варьируется от повышения удовлетворенности клиентов до прямого роста выручки. По мере того как понимание сильных и слабых сторон ИИ-систем бизнесом будет углубляться, эффективность только увеличится. Но уже сейчас очевидно, что о рисках, которые несет внедрение ИИ, нужно подумать заранее.
      Даже ранние примеры внедрения демонстрируют, что цена ошибки ИИ-системы может быть высока и может выражаться в том числе во влиянии на репутацию, отношения с клиентами, здоровье пациентов и многое другое. А если учесть еще и киберфизические системы вроде автономных автомобилей, то вопросы безопасности станут еще острее.
      Внедрять безопасность постфактум, как это было с предыдущими поколениями технологий, будет дорого и порой невозможно. Чтобы в этом убедиться, достаточно найти свежие оценки ущерба, который мировой экономике наносит киберпреступность: на 2023 год это $8 трлн. Неудивительно, что страны, претендующие на технологическое лидерство в XXI веке, торопятся внедрить регулирование ИИ (например, China’s AI Safety Governance Framework, EU AI Act, US Executive Order on AI). Но в законах редко указываются технические подробности и практические рекомендации — это не их задача. Поэтому для практического применения любых регуляторных требований формата «обеспечить надежность и этичность ИИ, а также контролируемость его решений» необходимы конкретные практические рекомендации, позволяющие достичь этого результата.
      Чтобы помочь практикам, внедряющим ИИ уже сегодня, а также сделать будущее нашего мира более безопасным, специалисты «Лаборатории Касперского» при участии Эллисон Вайлд, члена команды по функциональной совместимости Сети по вопросам политики в области искусственного интеллекта Форума ООН по управлению Интернетом; доктора Мелодены Стивенс, профессора управления инновациями и технологиями школы государственного управления имени Мохаммеда бин Рашида; и Серхио Майо Масиаса, менеджера инновационных программ из Технологического института Арагона, создали набор рекомендаций. Документ был представлен в ходе семинара «Кибербезопасность в сфере ИИ: баланс между инновациями и рисками» на 19-м ежегодном Форуме по управлению Интернетом (UN Internet Governance Forum, IGF) для обсуждения с международным сообществом формирующих политику работы с AI экспертов.
      Следование описанным в документе практикам поможет инженерам, специалистам DevOps и MLOps, которые разрабатывают и затем эксплуатируют ИИ-решения, достичь высокого уровня защищенности и безопасности ИИ-систем на всех этапах их жизненного цикла. Рекомендации документа нужно индивидуально оценивать для каждого внедрения ИИ, поскольку их применимость зависит от разновидности ИИ и модели внедрения.
      Какие риски нужно учесть
      Многообразие применений ИИ вынуждает организацию учитывать очень разнородные риски:
      Риск от неиспользования ИИ. Звучит на первый взгляд забавно, но только сравнив выигрыш и потери компании от внедрения ИИ, можно правильно оценивать все остальные риски. Риски несоответствия регулированию. Быстро развивающееся регулирование ИИ делает этот риск динамичным, его нужно часто оценивать заново. Кроме регулирования ИИ как такового, нужно учитывать сопутствующие риски, например нарушения законов по обработке персональных данных. ESG-риски, то есть социально-этические риски применения ИИ, риски раскрытия чувствительной информации и риски для экологии. Риск нецелевого использования ИИ-сервисов пользователями — от шуточных до злонамеренных сценариев. Угрозы ИИ-моделям и наборам данных, применявшимся в тренировке. Угрозы сервисам компании, возникающие при внедрении ИИ. Возникающие при этом угрозы данным, которые обрабатываются в рамках этих сервисов. При этом «под капотом» трех последних групп рисков находятся все угрозы и задачи, традиционные для ИБ в сложных облачных инфраструктурах: контроль доступа и сегментация, управление уязвимостями и обновлениями, создание систем мониторинга и реагирования, контроль цепочек поставок.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Мы уже рассказывали, что большинство приложений для фитнеса и трекинга при занятиях спортом (например, бегом) при настройках по умолчанию практически никак не защищают ваши персональные данные. Маршруты и время тренировок, фотографии с пробежек, данные о вашей физической форме в большинстве случаев выкладываются в открытый доступ в Интернет, если вы явно это не запретите. А результаты, как мы уже писали, могут быть катастрофическими — от утечек местоположения секретных объектов до сталкинга и покушений на убийство.
      Чтобы избежать этого, необходимо настроить как сами смартфоны, так и беговые приложения. По ссылкам вы найдете инструкции по настройке наиболее популярных трекеров бега: Strava, Nike Run Club, MapMyRun, adidas Running.
      Завершая обзор настроек приватности беговых приложений, сегодня мы расскажем, как правильно настроить ASICS Runkeeper (версии для Android и iOS).
      Как и другие крупные производители спортивной обуви и амуниции Nike и adidas, японская компания ASICS, хорошо известная своей беговой обувью, не стала изобретать велосипед, а просто приобрела популярное приложение для трекинга бега Runkeeper и даже не переименовала его, добавив лишь собственное имя — ASICS Runkeeper.
      Настройки приватности в ASICS Runkeeper, как, впрочем, и в других беговых приложениях, находятся в не вполне очевидном месте. Если на основном экране щелкнуть на шестеренку в левом верхнем углу, то там вы их не найдете — это настройки тренировки. Вместо этого нажмите на кнопку Я в левом нижнем углу, далее нажмите на шестеренку в правом верхнем углу и на открывшейся странице выберите Настройки приватности.
      Где найти настройки приватности в приложении ASICS Runkeeper: Я → Настройки → Настройки приватности
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Ранее мы рассказывали, почему перед началом использования беговых трекеров обязательно нужно настроить конфиденциальность и приватность как в целом на смартфоне, так и в самом трекинговом приложении, — для минимизации утечки ваших персональных данных, включая геопозицию, в открытый доступ. Вы же не хотите, чтобы любой желающий мог подписаться на информацию о ваших пробежках и точно знать, где и когда вас можно найти офлайн?
      Вы можете изучить уже опубликованные инструкции по настройке смартфонов и популярных беговых приложений Strava и Nike Run Club, а сегодня мы поговорим о настройках приватности в MapMyRun.
      У приложения MapMyRun (версии для Android и iOS) очень любопытная история. В сентябре 2024 года оно было приобретено в составе пакета приложений MapMyFitness медиакомпанией Outside под руководством генерального директора Робина Терстона у американского производителя спортивной обуви и одежды Under Armour. A Under Armour, в свою очередь, приобрела этот пакет аппов за $150 млн в 2013 году у некоего… Робина Терстона, основавшего MapMyFitness в 2007 году! Таким образом, через 11 лет Робин вернул себе компанию, основанную им 17 лет назад.
      Настраиваем приватность в MapMyRun
      Найти в этом приложении настройки приватности, нажав на кнопку с шестеренкой в правом верхнем углу основного экрана, как обычно, не получится — это снова настройки тренировки. Вместо этого надо нажать на кнопку с тремя точками в правом нижнем углу (для iOS) или на «бургер-меню» из трех линий в верхнем левом углу (для Android), далее выбрать пункт Настройки (не Центр конфиденциальности — это другое) и уже на открывшейся странице выбрать Конфиденциальность.
      Где найти настройки приватности в приложении MapMyRun: ••• → Настройки → Конфиденциальность
       
      View the full article
×
×
  • Создать...