Совет недели: самая быстрая защита от спама и фишинга
-
Похожий контент
-
От KL FC Bot
С киберпреступниками рано или поздно сталкиваются практически все — от детей до пенсионеров. И если вы все время откладывали на потом свою кибербезопасность, потому что эта тема кажется вам слишком сложной, то держите пять очень простых советов, которые легко понять и просто выполнять. Но каждый из них сильно улучшит вашу защиту от самых распространенных киберугроз. Мы подготовили этот пост в рамках информационной кампании Интерпола #ThinkTwice, призванной улучшить осведомленность об основных методах кибермошенничества и простых, но надежных способах противодействовать им.
Автоматизируйте пароли
Пароли к каждому сайту и приложению должны быть длинными (минимум 12 символов) и никогда не должны повторяться. Придумывать и запоминать столько паролей не может никто, поэтому храните, создавайте и вводите их при помощи менеджера паролей. Вам придется придумать и запомнить только один (длинный!) мастер-пароль к нему, а все остальное — от создания до заполнения паролей — будет происходить автоматически.
Важные нюансы: менеджер паролей нужно установить на все свои устройства, чтобы вводить пароли с удобством повсюду. Данные будут синхронизироваться между всеми вашими устройствами, и, сохранив пароль в смартфоне, вы сможете автоматически подставить его в поле ввода на компьютере, и наоборот. Кстати, в менеджере паролей можно хранить в зашифрованном виде не только пароли, но и пин-коды, данные кредитных карт, адреса, заметки и даже сканы документов.
Уровень PRO: для максимальной безопасности отключите вход в парольный менеджер по биометрии — так вам придется каждый раз вводить мастер-пароль, зато никто не сможет получить доступ ко всем вашим данным, не зная мастер-пароля (на стикере его писать не надо).
View the full article
-
От KL FC Bot
Распространение многофакторной аутентификации и популяризация облачных сервисов в организациях вынудили киберпреступников обновить свои тактики и инструменты. С одной стороны, для кражи информации и проведения мошеннических схем им даже необязательно проникать во внутреннюю сеть компании или распространять вредоносное ПО. Достаточно через легитимные учетные записи получить доступ к облачным сервисам, например к почте Microsoft 365 или файловым хранилищам MOVEit. С другой стороны, для этого не хватит украденной или подобранной пары логин-пароль и надо как-то обойти MFA. Большая серия кибератак на крупные организации, зарегистрированных за последнее время, затронувшая более 40 000 жертв, показывает, что злоумышленники освоились в новых условиях — применяют адаптированные к компании-жертве фишинговые техники и инструментарий Adversary-in-the-Middle в промышленных масштабах.
Что такое Adversary-in-the-Middle
Атака adversary-in-the-middle (AitM) является разновидностью известного класса атак Man-in-the-Middle. В коммуникации между легитимными участниками обмена информацией (клиентом и сервером) посередине встраивается атакующий, перехватывая запросы клиента и далее направляя их на сервер, а потом перехватывает ответы сервера и направляет их клиенту. При этом злоумышленник не просто прослушивает чужие коммуникации, а активно в них вмешивается, модифицируя контент в своих интересах.
View the full article
-
От KL FC Bot
Один из самых старых советов по безопасности звучит так: «скачивайте программы только из официальных источников». Часто официальные источники — это основные магазины приложений на каждой платформе, но для миллионов полезных и бесплатных приложений с открытым исходным кодом самым что ни на есть официальным источником являются репозитории разработчиков на профильных сайтах, GitHub и GitLab. Прямо на них выкладываются исходники проектов, предлагаются исправления и дополнения в код, а зачастую есть возможность скачать и готовую сборку приложения. Эти сайты знакомы любому, кто хотя бы немного интересуется компьютерами, программами и программированием. Именно поэтому для многих (включая самих разработчиков и специалистов по ИБ) стало неприятным открытием то, что файл, доступный по ссылке вида github.com/ИмяРазработчика/НазваниеПроекта/files/номер/имя_файла, может быть опубликован совсем даже не разработчиком и содержать… что угодно.
Конечно, этим немедленно воспользовались киберпреступники.
Анатомия проблемы
GitHub и его близкий родственник GitLab построены вокруг совместной работы над проектами по разработке ПО. Одни разработчики могут выкладывать свой код, а другие — предлагать к нему дополнения, исправления или даже делать форки — свою альтернативную версию приложения или библиотеки. Когда в приложении обнаруживается ошибка, любой пользователь может сообщить об этом разработчику, заведя отчет о проблеме, issue. Другие пользователи способны подтвердить проблему в комментариях. Комментировать можно и выпуск новых версий приложения. По необходимости к комментариям добавляют файлы, например скриншоты с ошибкой или документы, на которых сбоит приложение. Эти файлы хранятся на серверах GitHub как раз по ссылкам вышеописанного вида.
Но у GitHub есть одна особенность: если пользователь подготовил комментарий, загрузил сопроводительные файлы, но не нажал кнопку «опубликовать», информация как бы «зависает» в черновике — она не видна ни владельцу приложения, ни другим пользователям GitHub. Но прямая ссылка на загруженный в комментарий файл при этом уже создана и вполне работоспособна — файл исправно выдается из CDN GitHub любому желающему, перешедшему по этой ссылке.
Посмотреть статью полностью
-
От KL FC Bot
На фоне драматических событий 2022 года можно было не заметить, что он поставил многочисленные антирекорды по числу утечек информации, серьезных инцидентов компьютерной безопасности и других проблем цифрового мира. Мы все очень надеемся, что 2023 год будет спокойнее и лучше, и хотим внести в это свой вклад. Вы тоже это можете! Дайте себе шесть простых обещаний, каждое из которых резко повысит лично вашу защищенность в Интернете и сделает Сеть чуточку безопасней в целом.
1. Попрощаться с паролями
Ушедший год принес одно серьезное улучшение сетевой безопасности — гиганты Apple, Google и Microsoft синхронно запустили возможность заходить на веб-сайты, не вводя пароль. Вместо пароля для каждого сайта на вашем устройстве хранится уникальный криптографический ключ входа. Его не нужно вводить и крайне сложно украсть. Подробности об этой интересной технологии вы узнаете из нашей статьи, а здесь ограничимся недавно опубликованной гифкой, иллюстрирующей процесс входа:
Пока «беспарольную» аутентификацию поддерживают немногие сайты, но пообещайте себе переходить на нее везде, где ее только предлагают. Ведь это радикально снизит риски угона ваших аккаунтов! А еще это удобно, потому что ничего не нужно придумывать, а потом вспоминать и вводить.
Технологию уже поддерживают Chrome, Edge и Safari на десктопных и мобильных платформах.
View the full article
-
От KL FC Bot
Преимущества криптовалюты — слабое регулирование и неподконтрольность правительству — оборачиваются весьма серьезными недостатками, когда эту самую валюту крадут у законного владельца. Угрозы криптоактивам весьма разнообразны, и мы рекомендуем изучить общий обзор методов защиты крипты, а также советы владельцам аппаратных криптокошельков. Но в этих наших постах не до конца раскрыты все многообразие и масштаб схем обмана, связанных с криптой. Чтобы вы лучше понимали, насколько привлекательна сфера криптофинансов для мошенников, мы решили собрать самые яркие примеры атак последних лет воедино. В нашей преступной олимпиаде — победители самых ярких атак в разных номинациях. Мы не пытались делать рейтинг по причиненному ущербу, потому что его сложно определить для многих видов атак, и исключили из рейтинга финансовые пирамиды вроде BitConnect.
1. Самая сложная
Ущерб: $ 30 000
Способ: троянизированный аппаратный кошелек
Об этой атаке у нас есть детальный пост, поскольку ее расследовали наши специалисты. Инвестор приобрел популярный аппаратный кошелек, который выглядел и работал точь-в-точь как настоящий — до какого-то момента. Впоследствии оказалось, что это — умелая подделка, в которую злоумышленники прошили заранее известные им приватные ключи и систему ослабления паролей. Когда в кошельке оказались деньги, хакеры свободно их вывели. Кошелек при этом вообще не подключался к компьютеру.
Посмотреть полную статью
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти