Semalt: Самыя складаныя хітрыкі, якія выкарыстоўваюцца кіберзлачынцамі, каб атрымаць доступ да вашай ўліковага запісу электроннай пошты

Наступіў 2017 год, і пагроза таго, хто-небудзь возьме ваш уліковы запіс электроннай пошты, рэальная. Вельмі рэальна. Кагосьці ў гэты момант падманваюць перадаваць незнаёмцу доступ да іх электроннай пошты. Іншымі словамі, зламыснікі ставяць пад пагрозу ўліковыя запісы Yahoo Mail, Gmail і Hotmail з невялікай колькасцю сацыяльнай інжынерыі і тэкставымі паведамленнямі.

Іван Канавалаў, менеджэр поспеху кліентаў Semalt , сцвярджае, што найбольш эфектыўныя аферы выкананы вельмі проста. Возьмем для прыкладу канфу, які апранаецца як паліцэйскі. Калі б ён спыніў вас і загадаў выйсці з машыны і здаць ключы, вы адмовіліся б? Канешне не. Звычайны чалавек зробіць гэта, не задаючы ніякага пытання. Не дзіўна, што выданне сябе паліцэйскім з'яўляецца адным з самых сур'ёзных злачынстваў ва ўсім свеце. Паліцэйская афёра мае на ўвазе дзве рэчы: яна простая, і людзі, як правіла, давяраюць аўтарытэтным лічбам. Гэта тыя якасці, якімі карыстаюцца кіберзлачынцы.

У апошні час з'явілася тэндэнцыя. Гэта фішынг з дзідамі, арыентаваны на мабільных карыстальнікаў. Мэтай гэтай афёры з'яўляецца атрыманне доступу да вашай ўліковага запісу электроннай пошты. Гэта простая сацыяльная інжынерная атака, на якую трапляюць мільёны людзей.

Хакер (дрэнны хлопец) павінен ведаць толькі свой адрас электроннай пошты і нумар тэлефона. Дзіўна, але іх лёгка атрымаць. Яны скарыстаюцца двух'яруснай сістэмай аўтэнтыфікацыі, якую прапануе большасць пастаўшчыкоў паслуг электроннай пошты. Гэтая сістэма дазваляе карыстальнікам скідаць свае паролі, даслаўшы код або спасылку на свой мабільны нумар.

Класічны прыклад аферы ў дзеянні: паглынанне ўліковага запісу Gmail

У гэтым выпадку ёсць дзве партыі: Эн (уладальнік уліковага запісу Gmail) і Дэн (дрэнны хлопец). Эн вырашыла зарэгістраваць свой нумар у Gmail, каб кожны раз, калі яе заблакавалі з уліковага запісу, на яе мабільны нумар быў адпраўлены код пацверджання. Дэн, наадварот, скраў Ганну і ведае яе нумар мабільнага тэлефона (магчыма, з яе ўліковага запісу ў сацыяльных медыях альбо з іншага месца ў Інтэрнэце).

Дрэнны хлопец (Дэн) хоча атрымаць доступ да ўліковага запісу Ганны Gmail. Ён ведае яе імя карыстальніка, але не пароль. Ён уводзіць імя карыстальніка, а пасля здабывання пароля націскае "патрэбная дапамога". Ён націскае "Я не памятаю свой пароль", уводзіць адрас электроннай пошты Эн з наступнай праверкай на мой тэлефон. Шасцізначны код пацверджання адпраўляецца на нумар Ганны. Дэн адпраўляе Эн тэкставае паведамленне, у якім сцвярджае, што ён тэхнік ад Google і што яны заўважылі незвычайную дзейнасць у гэтым акаўнце. Ён просіць яе пераслаць код пацверджання, каб яны вырашылі праблему. Эн лічыць, што гэта законна, перасылаючы код праверкі. Дэн выкарыстоўвае гэты код, каб атрымаць доступ да свайго ўліковага запісу.

Калі Дан атрымлівае доступ да ўліковага запісу, ён можа зрабіць усё, уключаючы скід пароля і змяненне параметраў аднаўлення. Гэта поўнае паглынанне. Далей - немагчыма. Каб быць у бяспецы ад гэтай схемы, ніколі не давайце каму-небудзь праверку. На самай справе, калі вы не прасілі таго самага, то звярніце ўвагу, што камусьці нічога добрага няма.