Перейти к содержанию

Рекомендуемые сообщения

Как мы не устаем повторять, сказки — на самом деле завуалированные статьи по информационной безопасности. Причем не только европейские сказочники пытались предостеречь потомков от киберугроз — на Востоке этому уделяли не меньше внимания. Например, всем известная Шахерезада по сути вела ежедневный ИБ-блог с видеоподкастами. Там, правда, была какая-то некрасивая история с мотивацией…

Но сегодня мы хотели разобрать кейсы, которые в блог Шахерезады добавили значительно позднее, в 18 веке. Иными словами, речь идет о сказке «Али-Баба и сорок разбойников». Даже те, кто абсолютно не помнит, что именно происходило в этой истории, после имени «Али-Баба» говорят: «А-а-а, сим-сим, откройся»!

И действительно, весь сюжет этой сказки построен вокруг идеи защиты от несанкционированного доступа при помощи пароля. Но это далеко не единственный пример из сферы информационной безопасности, описанный в сказке, а просто самый очевидный!

Передача пароля по незащищенному каналу

Итак, давайте пройдемся по сюжету. Разбойники прячут награбленное в пещере, доступ в которую предоставляется исключительно по паролю «Сим-сим». Однако в этом механизме защиты имеется несколько серьезных изъянов.

В самом начале сказки атаман разбойников перед дверью громко кричит: «Сим-сим, откройся!» Тут показан сразу целый ряд ошибок. Во-первых, используемый пароль слишком прост. Во-вторых, не предусмотрен второй фактор аутентификации. Строго говоря, там даже логина не спрашивают!

Но самое страшное не это — пароль передается по открытому каналу! Али-Баба, который собирает неподалеку хворост, прекрасно слышит атамана. Даже не имея изначально злого умысла, он из чистого любопытства вводит пароль, заходит в пещеру и экспроприирует часть обнаруженного внутри имущества.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Мошенники — самые главные фанаты трендов. Toncoin на волне популярности? Они предлагают всем «заработать» на криптовалюте. Искусственный интеллект перешел на новую ступень развития? Держите голосовые дипфейки. Начался чемпионат Европы по футболу? Ожидаем месяц футбольных мошеннических кампаний.
      Евро-2024 объединит более 2,7 млн людей на стадионах и еще 12 млн в фанатских зонах, а сколько человек будет следить за главным футбольным турниром года — даже представить сложно. Многие из этих людей могут стать целями мошенников, поэтому нужно заранее позаботиться о защите и разобраться, какие бывают футбольные киберугрозы и как смотреть матчи любимой команды безопасно.
      Фальшивые билеты
      Традиционная угроза накануне любого крупного офлайн-мероприятия — мошенничество с билетами. Если коротко: покупайте билеты либо на официальном сайте УЕФА, либо в кассе стадиона, а не с рук или на подозрительных сайтах.
      Но что может пойти не так? Вот несколько наиболее популярных сценариев.
      Утечка платежных данных. Такое возможно, если вы проведете оплату картой на поддельном — фишинговом — сайте. Поэтому, прежде чем купить билет онлайн, убедитесь, что в адресе сайта нет опечаток, а его домен зарегистрирован не две недели назад. Утечка персональных данных. Этот сценарий возможен также при покупке на фишинговом сайте — мошенники могут «попросить» вас ввести не только банковские данные, но и фамилию, имя, место жительства, номер телефона и адрес почты. Насторожитесь, если для покупки билетов требуется больше личных данных, чем обычно. Загрузка вредоносного ПО. Мошенники могут предлагать купить билеты на Евро-2024 с помощью «специального приложения». Это безобидное на первый взгляд приложение может оказаться стилером, майнером или чем-нибудь еще более неприятным. Обнаружив предложение «скачать ПО для покупки билетов», игнорируйте его — вас пытаются обмануть. Все эти сценарии объединяет один итог — вы можете остаться без билетов, денег и с плохим настроением. Если вы хотите убедиться, что ваши данные уже не утекли, то установите себе Kaspersky Premium — он не только защитит ваши устройства от вирусов, а сетевой серфинг от фишинговых и вредоносных ссылок, но и автоматически проверит утечки данных ваших аккаунтов, привязанных к e-mail и номеру телефона.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Когда речь заходит про атаки на бизнес, обычно внимание фокусируется на четырех аспектах: финансах, интеллектуальной собственности, персональных данных и IT-инфраструктуре. Однако не стоит забывать, что целью киберпреступников могут стать и активы компании, которыми управляют пиар и маркетинг: рассылки клиентам, реклама, блоги и промосайты. На первый взгляд может показаться, что от них сплошные расходы и никаких прямых доходов, но на практике все перечисленное очень даже может послужить киберпреступникам в их собственной «маркетинговой активности».
      Вредоносная реклама
      К большому удивлению многих (даже специалистов в ИБ), киберпреступники уже несколько лет активно используют легитимную платную рекламу. Они так или иначе платят за показ баннеров, платные позиции в поисковой выдаче и вообще активно применяют корпоративные инструменты продвижения. Примеров этого явления, названного malvertising (malicious advertising, вредоносная реклама), существует множество. Обычно таким образом продвигают поддельные сайты популярных приложений, фальшивые промоакции известных брендов, в общем, мошеннические схемы, рассчитанные на широкую аудиторию. Иногда преступники самостоятельно создают рекламный кабинет и оплачивают рекламу, но этот способ оставляет слишком явный след (платежные реквизиты и так далее). Поэтому более привлекателен для них другой способ — украсть реквизиты входа в рекламный кабинет у добропорядочной компании и дальше продвигать свои сайты от ее имени. В результате киберпреступники получают двойную выгоду: тратят чужие деньги, не оставляя лишних следов. Ну а компании-жертве, кроме денежного ущерба от выпотрошенного счета в рекламном кабинете, достаются проблемы и возможная блокировка платформой за распространение вредоносного контента.
       
      Посмотреть статью полностью
×
×
  • Создать...