Автор
KL FC Bot
в Новости и события из мира информационной безопасности
-
Похожий контент
-
Автор KL FC Bot
Технологию ключей доступа (КД, passkeys) рекламируют все ИТ-гиганты как эффективную и удобную замену паролям, которая может покончить с фишингом и утечками учетных данных. Суть в следующем — человек входит в систему при помощи криптографического ключа, сохраненного в специальном аппаратном модуле на его устройстве, а разблокирует эти данные при помощи биометрии или ПИН-кода. Мы подробно разобрали текущее положение дел с passkeys для домашних пользователей в двух статьях (терминология и базовые сценарии использования, сложные случаи), но у компаний к ИБ-технологиям совершенно другие требования и подходы. Насколько хороши ключи доступа и FIDO2 WebAuthn в корпоративной среде?
Мотивы перехода на passkeys в компании
Как и любая крупная миграция, переход на ключи доступа требует бизнес-обоснования. В теории passkeys решают сразу несколько злободневных проблем:
Снижают риски компрометации компании с использованием кражи легитимных учетных записей (устойчивость к фишингу — главное заявленное преимущество КД). Повышают устойчивость к другим видам атак на identity, таким как перебор паролей — brute forcing, credential stuffing. Помогают соответствовать регуляторным требованиям. Во многих индустриях регуляторы обязуют применять для аутентификации сотрудников устойчивые методы, и passkeys обычно признаются таковыми. Снижают затраты. Если компания выбрала passkeys, хранящиеся в ноутбуках и смартфонах, то высокого уровня безопасности можно достичь без дополнительных затрат на USB-устройства, смарт-карты, их администрирование и логистику. Повышают продуктивность сотрудников. Хорошо налаженный процесс аутентификации повседневно экономит время каждому сотруднику и снижает процент неудачных входов в ИТ-системы. Также переход на КД обычно увязывают с отменой всем привычных и ненавистных регулярных смен пароля. Снижают нагрузку на хелпдеск за счет уменьшения числа заявок, связанных с забытыми паролями и заблокированными учетными записями.
View the full article
-
Автор KL FC Bot
Можно ли скачать или стереть со смартфона ваши фото и другие данные, пока он заряжается от общественной зарядки — в транспорте, в поликлинике, в аэропорту и так далее? Несмотря на предосторожности производителей, это порой возможно.
Впервые о таких атаках задумались в 2011 году — если невинно выглядящий порт USB-зарядки не просто поставляет электричество, а содержит скрытый компьютер, то он может подключиться к смартфону в режиме передачи данных (Media Transfer Protocol, MTP, или Picture Transfer Protocol, PTP) и скачать часть информации с устройства. Атака получила название Juice-Jacking, а Google с Apple быстро придумали защиту: при подключении к устройству, поддерживающему MTP/PTP, смартфон спрашивает, нужно ли передавать данные, или только заряжаться. На многие годы эта нехитрая предосторожность сняла вопрос с повестки дня, но в 2025 году исследователи из технологического университета Граца (Graz University of Technology) обнаружили, что этот способ защиты можно обойти.
Атака ChoiceJacking
В новых атаках вредоносное устройство, замаскированное под зарядную станцию, само подтверждает, что жертва «хочет» подключиться именно в режиме передачи данных. В зависимости от производителя и версии ОС у атаки есть три разновидности. Все они по-разному обходят одно ограничение протокола USB: устройство не может одновременно подключаться в режиме хоста (компьютера) и периферии (мыши или клавиатуры).
Первая разновидность атаки, эффективная и для iOS, и для Android, наиболее сложна в реализации. Под зарядную станцию нужно замаскировать микрокомпьютер, который умеет подключаться к смартфону под видом USB-клавиатуры, USB-хоста (компьютера) и Bluetooth-клавиатуры.
При подключении смартфона вредоносная зарядная станция притворяется USB-клавиатурой и отправляет с нее команды на включение Bluetooth и подключение к смартфону Bluetooth-устройства — все того же вредоносного комбайна, который теперь прикидывается еще и Bluetooth-клавиатурой. После этого атакующая система переподключается к смартфону по USB, но уже под видом компьютера. На экране возникает вопрос о включении режима передачи данных — и атакующее устройство передает подтверждение с помощью Bluetooth-клавиатуры.
View the full article
-
Автор KL FC Bot
Сейчас принято считать, что зумеры — несерьезные сотрудники: не хотят трудиться, ленятся, часто меняют одну работу на другую. А вот статистика говорит об обратном. Почти половина представителей поколения Z переключаются между фуллтаймом, фрилансом и прочими подработками. Злоумышленники это прознали — молодые люди с несколькими работами стали для них удобной мишенью.
Наши эксперты провели исследование и выяснили, какие неочевидные угрозы несет этот тренд. В этой статье разбираемся, как зумерам работать в нескольких местах без риска для собственной кибербезопасности.
Больше приложений – больше проблем
Основная проблема связана с корпоративными приложениями и доступами: звонок в Zoom на основной работе, мессенджер Slack — для другой, а задачки везде ставят в Notion. А между прочим, все эти приложения расширяют возможную поверхность атаки злоумышленников. Негодяи постоянно рассылают фишинговые письма, правдоподобно переписываются от лица работодателей и продвигают вредоносы под видом легитимного ПО для работы. Ставить фейковые поручения якобы от лица босса они тоже могут.
В период с последней половины 2024 до первой половины 2025 эксперты «Лаборатории Касперского» зафиксировали 6 млн атак с поддельными платформами. Чаще всего атакующие имитировали приложения из золотой троицы каждого корпоративного работника: Zoom, Microsoft Excel и Outlook.
Выглядеть это может так: злоумышленник отправляет письмо якобы от лица Zoom с просьбой обновить приложение. В письме — ссылка, которая ведет на фишинговый сайт, имитирующий оригинальную страницу Zoom и сразу же загружает на устройство фейковое приложение. Оно, в свою очередь, может красть данные контактов жертвы или вовсе получить доступ к рабочему окружению — возможных сценариев много.
Фишинговый сайт предлагает как можно скорее установить «новую версию Zoom»
View the full article
-
Автор KL FC Bot
Переход на ключи доступа (КД, passkeys) сулит организациям экономически эффективный способ надежной аутентификации сотрудников, увеличение продуктивности и достижение регуляторного соответствия. Все за и против этого решения для бизнеса мы подробно разобрали в отдельной статье. Но на успех проекта и саму его возможность влияют технические подробности и особенности реализации технологии в многочисленных корпоративных системах.
Поддержка passkeys в системах управления identity
Перед тем как решать организационные проблемы и писать политики, стоит разобраться, готовы ли к переходу на КД основные ИТ-системы в организации.
Microsoft Entra ID (Azure AD) полностью поддерживает КД и позволяет администраторам выбрать КД в качестве основного метода входа в систему.
Для гибридных внедрений, где есть on-prem-ресурсы, Entra ID может генерировать токены Kerberos (TGT), которые затем будет обрабатывать доменный сервер Active Directory.
А вот для входа через RDP и VDI и входа в AD, работающую только on-premises, нативной поддержки у Microsoft пока нет. Впрочем, с некоторыми ухищрениями организация может записывать passkey на аппаратный токен, например YubiKey, который будет одновременно поддерживать традиционную технологию PIVKey (смарт-карты) и FIDO2. Также для поддержки этих сценариев есть сторонние решения, но организации потребуется оценить, как их применение влияет на общую защищенность и регуляторное соответствие.
В Google Workspace и Google Cloud есть полная поддержка passkeys.
Популярные системы управления identity, такие как Okta, Ping, Cisco Duo, RSA ID Plus, поддерживают FIDO2 и все основные формы КД.
View the full article
-
Автор KL FC Bot
Чаще всего фишинговые письма застревают в папке «Спам», потому что сегодня большинство из них легко распознаются почтовыми защитными системами. Но иногда эти системы ошибаются и в корзину попадают настоящие, не мошеннические сообщения. Сегодня расскажем, как распознать фишинговые письма и что с ними делать.
Признаки фишинговых писем
Существуют несколько общепринятых признаков, которые могут явно указывать на то, что письмо прислано мошенниками. Вот некоторые из них:
Яркий заголовок. Фишинговое письмо, вероятнее всего, будет каплей в море вашего почтового ящика. Именно поэтому мошенники обычно стараются выделиться в наименовании словами-триггерами вроде «срочно», «приз», «деньги», «розыгрыш» и всем похожим, что должно побудить вас как можно скорее открыть письмо. Призыв к действию. Разумеется, в таком письме вас будут просить сделать хотя бы что-то из этого списка: перейти по ссылке, оплатить какую-нибудь ненужную вещь, посмотреть подробности во вложении. Главная цель злоумышленников — выманить жертву из почты в небезопасное пространство и заставить тратить деньги или терять доступы к аккаунтам. «Истекающий» таймер. В письме может быть таймер: «Перейдите по ссылке, она активна в течение 24 часов». Все подобные уловки — чушь, мошенникам выгодно торопить жертву, чтобы она начала паниковать и менее бережно относиться к своим деньгам. Ошибки в тексте письма. В последний год участились случаи, когда фишинговое письмо приходит сразу на нескольких языках, причем со странными ошибками. Странный адрес отправителя. Если вы живете, например, в России и вам пришло письмо с итальянского адреса — это повод насторожиться и полностью проигнорировать его содержимое. Раньше еще одним верным признаком фишингового письма было обезличенное обращение вроде «Уважаемый пользователь», но мошенники сделали шаг вперед. Теперь все чаще письма приходят адресные, с упоминанием имени жертвы. Их тоже нужно игнорировать.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти