Найден новый тип кибератак. В опасности Google, Facebook и «Яндекс»

Человек с паролемпосередине Эксперты по безопасности из Израиля представилиисследование, посвященное новому типу кибератак — «Сброс пароля человекомпосередине». «Человек посередине» (Man-in-the-Middle, MitM) — распространеннаяразновидность атак, когда злоумышленник перехватывает и подменяет сообщения,которыми обмениваются корреспонденты, причем ни один из последних недогадывается о его присутствии в канале. В данном случае в качестве одного изкорреспондентов выступает легитимный сервер, на котором авторизуетсяпользователь — сервер электронной почты или социальной сети. Злоумышленнику для успешной атаки потребуется заманитьпользователя на вредоносный сайт, внешне имитирующий легитимный ресурс. Такжепонадобится серверное приложение, которое будет перехватывать отправляемыепользователем данные, менять их и перенаправлять на регистрационные формысистемы управления паролем на другом сайте. Например, если потенциальная жертва вводит имя пользователяили почтовый адрес в регистрационной форме на вредоносном сайте, эта информацияперенаправляется на легитимный ресурс — Google, Yandex, Yahoo и т. д. — длязапуска процесса смены пароля. Если сервер присылает секретный вопрос безопасности,активирует тест Captcha или пересылает SMS с кодом верификации, тозлоумышленник эти данные перенаправляет пользователю (то есть, на вредоносномсайте могут появляться дополнительные поля с запросами на заполнение Captcha ит. п.). Что касается SMS, то здесь злоумышленнику достаточно выяснитьтелефонный номер жертвы, а затем перехватить код верификации. Визуально алгоритм обмана показан на рисунке. http://filearchive.cnews.ru/img/news/2017/06/26/ataka.png">[/url] Схема MitM-атаки Как видно из схемы, сайт злоумышленника лишь немногоизменяет данные, направляемые жертвой на легитимный сервис, и перехватываетконтроль над полем ввода нового пароля. Исследователи указывают, что веб-сайты, полагающиеся наотправку кода на смену пароля через SMS, особенно уязвимы. Как ни странно,перед атакой PRMitM чрезвычайно уязвимы Google, Facebook, Yahoo, «Яндекс» иLinkedIn. Проблемы могут возникнуть и с Whatsapp и Snapchat. [b]Противодействие атаке[/b] Исследователи указывают, что любые сообщения, содержащие кодили ссылки для смены пароля, должны быть максимально информативными, просто длятого, чтобы у пользователя появились причины заподозрить неладное.Исследователи предлагают также высылать не коды в SMS, а именно ссылки; неполагаться на одни только секретные вопросы, а запрашивать дополнительныесведения от пользователя, а также указывать имя получателя в почтовыхсообщениях с ссылками на смену пароля и SMS. «В военном деле применяется термин "глубокоэшелонированная оборона", обозначающая многочисленные защитные рубежи.Этот термин весьма неплохо применим и для киберзащиты, — считает [b]Дмитрий Гвоздев[/b], заместительгенерального директора компании ИТБ. — Проблема в том, что коммерческие сервисывынуждены искать баланс между удобством пользователей и надежностью защиты ичасто предпочитают первое второму. В принципе, возможно обезопасить любойсервис от атак, подобных описанным, но это потребует от пользователей усилий награни неприемлемости. Поэтому оптимальный вариант — минимизироватьиспользование уязвимых методов, таких как отправка текстовых кодов через SMSдля авторизации. И конечно же, от внимательности пользователей тоже оченьмногое зависит».[img]http://filearchive.cnews.ru/img/news/2017/06/26/ataka.png"> Схема MitM-атаки Как видно из схемы, сайт злоумышленника лишь немногоизменяет данные, направляемые жертвой на легитимный сервис, и перехватываетконтроль над полем ввода нового пароля. Исследователи указывают, что веб-сайты, полагающиеся наотправку кода на смену пароля через SMS, особенно уязвимы. Как ни странно,перед атакой PRMitM чрезвычайно уязвимы Google, Facebook, Yahoo, «Яндекс» иLinkedIn. Проблемы могут возникнуть и с Whatsapp и Snapchat. Противодействие атаке Исследователи указывают, что любые сообщения, содержащие кодили ссылки для смены пароля, должны быть максимально информативными, просто длятого, чтобы у пользователя появились причины заподозрить неладное.Исследователи предлагают также высылать не коды в SMS, а именно ссылки; неполагаться на одни только секретные вопросы, а запрашивать дополнительныесведения от пользователя, а также указывать имя получателя в почтовыхсообщениях с ссылками на смену пароля и SMS. «В военном деле применяется термин "глубокоэшелонированная оборона", обозначающая многочисленные защитные рубежи.Этот термин весьма неплохо применим и для киберзащиты, — считает Дмитрий Гвоздев, заместительгенерального директора компании ИТБ. — Проблема в том, что коммерческие сервисывынуждены искать баланс между удобством пользователей и надежностью защиты ичасто предпочитают первое второму. В принципе, возможно обезопасить любойсервис от атак, подобных описанным, но это потребует от пользователей усилий награни неприемлемости. Поэтому оптимальный вариант — минимизироватьиспользование уязвимых методов, таких как отправка текстовых кодов через SMSдля авторизации. И конечно же, от внимательности пользователей тоже оченьмногое зависит».