Новостная лента

Фишинг, вишинг, смишинг, фарминг — в чем разница

Опубликовано 19:16 в Исследования, Технология | нет комментариев

Фишинг, вишинг, смишинг, фарминг — в чем  разница

Интернет стал неотъемлемой частью жизни каждого из нас. Сеть открывает множество невероятных возможностей – общение, покупки, оплаты счетов и различные развлечения. Но, к сожалению, не всегда и не все используют интернет во благо обществу. Из-за стремительного развития большого количества ресурсов появилось множество видов мошенничества, направленных на получение конфиденциальных данных и дальнейшее их использование в корыстных целях. Одни из самых популярных из них являются фишинг, вишинг, смишинг, фарминг. Однако, чтобы эффективно им противостоять, стоит всего лишь использовать элементарные правила безопасности и знать каким образом можно распознать популярные угрозы, о чем мы и поговорим ниже. Фишинг Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание) — это некий вид получения злоумышленником секретной информации, при котором правонарушитель, используя средства социальной инженерии, «разводит» клиента на открытие своих личных данных. Такими данными могут быть номер и код банковской карты, номер телефона, логин и пароль от какого-либо сервиса и т.д. В основном, такой вид «ловли» используют чтобы получить доступ к онлайн-банкингу или кошельку жертвы в той или иной платежной системе и вывести средства на посторонние счета. Так как же работает фишинг? На электронный адрес атакуемого приходит фишинг-письмо, которое, в первую очередь, влияет на эмоции получателя. Например, это может быть оповещение о большом выигрыше или же, наоборот, сообщение о взломе аккаунта с дальнейшим предложением перейти по фишинговой ссылке и ввести данные авторизации. Пользователь переходит на предоставленный ресурс и «отдает» свой логин и пароль в руки мошенника, который, со своей стороны, достаточно быстро оперирует полученной информацией.   Можно привести несколько конкретных примеров интернет-фишинга: Злоумышленники рассылают миллионы писем от имени известной компании на различные e-mail, с просьбой подтвердить логин и пароль. При переходе по предоставленному URL можно увидеть страницу авторизации абсолютно идентичную странице на настоящем ресурсе. Подвох, скорее всего, скрывается в самой ссылке на сайт – домен будет очень схож с реальным, но отличаться несколькими символами. Схожий вид сообщений можно встретить также и в различных социальных сетях. К примеру, несколько лет назад был популярен фишинг Вконтакте. Мошенники, используя недостатки в протоколе SMTP, отправляют письма с поддельной строкой «Mail From:». Посетитель, отвечая на подобное письмо, пересылает его в руки правонарушителя. Также стоит быть осторожными при участии в интернет-аукционах. Так как товары, выставленные на продажу даже через легальный ресурс, могут оплачиваться через сторонний веб-узел. Множество пользователей сталкиваются с фиктивными интернет-организациями, которые обращаются с просьбами о пожертвовании. Интернет-магазины с крайне «доступными» ценами, за брендовые товары также могут быть поддельными. В итоге есть вероятность заплатить за товар, который никогда не будет получен, так как его никогда не существовало. | Читайте также: Хитрый фишинг в Gmail. Будьте осторожны! Вишинг Не следует обходить стороной такую актуальную проблему, как вишинг (англ. vishing – voice+phishing). Вишинг — это одна из разновидностей фишинга, при котором также используются методы социальной инженерии, но уже с помощью телефонного звонка. Как обычно действуют злоумышленники “вишеры”? На телефон поступает звонок от сотрудника банка и оператор предупреждает, если прямо сейчас не будет предоставлена полная информация банковской карты ему по телефону, то карту заблокируют. Доверчивый пользователь, слыша подобную «угрозу» сразу же впадает в панику и может выдать все персональные данные вплоть до проверочного кода из SMS. Также при вишинге может быть предложена выгодная покупка с огромной скидкой или озвучена информация о выигрыше в какой-либо акции. Не нужно сразу же радоваться столь удачной покупке или выгодной акции, всегда стоит лишний раз перепроверить информацию, обратившись к официальным ресурсам. В любой непонятной ситуации главное не паниковать. Помните...

далее

«Постанова НБУ №95». 150 шагов к безопасности банка

Опубликовано 15:32 в Исследования | нет комментариев

«Постанова НБУ №95».  150 шагов к безопасности банка

В этой статье мы определим суть требований изложенных в постановлении №95 Национального Банка Украины от 28 сентября 2017 года. Данный документ регламентирует требования к организации мероприятий по обеспечению информационной безопасности в банковской среде Украины. Помимо этого, мы попытаемся понять предпосылки и своевременность появления данного положения, а также сравним его требования с другими подобными европейскими и мировыми нормами. Современные тенденции развития банковского сектора предполагают наличие широчайшего спектра услуг предоставляемых потребителям, которые они получают в реальном времени. Хорошо развитая конкуренция не позволяет получать большую маржинальность. Значит, успешно функционировать при таких условиях возможно только при эффективном и широком применении автоматизированных компьютерных систем и средств. Повсеместная компьютеризация, помимо удобств, имеет и недостатки, т.к. корпоративная инфраструктура подвержена удаленным анонимным атакам. Разнообразие видов и целей атак постоянно увеличивается. Все об этом наслышаны, но, к сожалению, вопросы кибербезопасности были подняты на качественно новый уровень только после масштабной хакерской атаки на предприятия и учреждения Украины в 2017 году. Вот мы и разобрались с глобальными предпосылками появления Положения №95 от НБУ и что конкретно послужило триггером этого процесса. Давайте пошагово разберем весь документ и определим несет он пользу или только головную боль для сотрудников банка. I. Общие положения Первые 7 пунктов описывают сам документ, его назначение, область действия и терминологию. Они носят информационный характер. Пункт 8: Банк обязан внедрить систему управления информационной безопасностью (Далее — СУИБ). Давайте разберемся, что это такое. Сразу в голову приходит некое универсальное программное средство, которое решит все проблемы информационной безопасности, но авторы постановления имеют в виду некий набор связанных между собой документов. Об этом говорит пункт 22. 22. Банк имеет право разрабатывать документы СУИБ в форме отдельных документов или объединенных по типу (тематике) в Общие документы, С указанием в них разделов, которые отвечают определенным направлениям (вопросам) информационной безопасности. СУИБ — часть общей системы управления, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности банков. Система менеджмента включает в себя организационную структуру, политику, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы. Стандарты СУИБ носят управленческий характер и направлены на внедрение процессов, позволяющих обеспечить надлежащий уровень информационной безопасности банка. Пункт 9: Должен быть внедрен процессный и риск-ориентированный подход. Процессный подход к организации и анализу деятельности компании, основан на выделении и рассмотрении ее бизнес-процессов, каждый из которых взаимосвязан с другими бизнес-процессами компании или внешним миром. Риск-ориентированный подход позволяет выбрать из огромного количества требований, предписаний и средств защиты информации те, которые действительно необходимы организации и наилучшим образом соответствуют ее потребностям. Принимать осознанные, своевременные и экономически-обоснованные решения относительно применения защитных мер, базируясь на систематическом анализе всех факторов, которые влияют на возможность осуществления угроз безопасности, и степени воздействия этих угроз на бизнес. Риск-ориентированный подход к решению задач управления информационной безопасностью лежит в основе всех международных и отраслевых стандартов. Пункт 11: Банк обязан сформировать коллективный руководящий орган по вопросам внедрения и функционирования СУИБ, разработать положение, в котором определить задачи, функции и обязанности данного органа. Пункт 13: Национальный банк имеет право осуществлять проверку состояния внедренияе СУИБ банка и полноту выполнения мер безопасности информации, установленныхе настоящим Положением. Данная формулировка не дает четкий ответ на вопросы о регулярности проверок и степени ответственности за полное или частичное несоблюдение данного Положения. | Читайте также: Что следует знать о безопасности корпоративных Wi-Fi сетей II. Требования по внедрению СУИБ Пункт 17: Банк обязан разработать и внедрить политику информационной безопасности. Пункт 20: Банк обязан разработать и утвердить стратегию развития...

далее

Хакерские атаки на Украину в 2017 году. Какие выводы были сделаны?

Опубликовано 19:17 в Исследования | нет комментариев

Хакерские атаки на Украину в 2017 году. Какие выводы были сделаны?

Данная статья не о политике. Она об информационной безопасности, но так случилось, что недавние события в Украине и связанные с ними трансформации, подняли вопросы, которые вряд ли бы поднимались на протяжении ближайших лет. Многие помнят 2014-2015 гг, когда стремительней банкротства банков падали только памятники Ленину. В это же время, банки, которым не угрожала ликвидация, больше думали о физических средствах защиты, чем о киберугрозах. Удар из тени. Petya or Not Petya Самые тяжелые времена миновали, многие предприятия стали демонстрировать позитивную динамику, жизнь налаживалась, и тут произошло то, чего никто не ждал. Конечно, может кто-то и ждал, но не знал откуда именно придет зло. Штатное обновление бухгалтерской программы M.E.doc, которая повсеместно используется в Украине и только в Украине, таило в себе огромные опасности, а именно целенаправленную масштабную хакерскую атаку на сети украинских государственных учреждений, банков, медиа и множество других предприятий. В Microsoft подтвердили, что источником атаки послужила система автоматического обновления программы M.E.doc, запущенная 27 июня 2017 года. Также известны случаи распространения вируса через фишинговые письма от имени адресатов, с которыми ранее велась переписка. В этих письмах присутствовали ссылки на загрузку вредоносных приложений. За первые сутки атаки в Департамент киберполиции Украины поступило более тысячи сообщений о вмешательстве в работу компьютерных сетей, что привело к сбоям в работе или полному выходу их из строя, только 43 компании из пострадавших делу дали официальный ход. Специалисты компании Protectimus имеют сведения о множестве подобных случаев, которые не были преданы огласке. Это связано с тем, что многие понимают, что виновные вряд ли будут найдены и в любом случае это не поможет спасти данные. Все силы бросались на спасение данных, которые на тот момент оставались еще нетронутыми. И если быть откровенным, то мало кто хочет получить репутационные последствия от взлома. | Читайте также: Вирус Petya.A — как это было Не стоит винить болезнь — развивай иммунитет или кто виноват Disclaimer: Автор не является судьей и выражает личное мнение о степени виновности тех или иных лиц. Пусть компетентные органы определят степень вины каждого участника. Поиск виновных неблагодарное дело, но все же… В первую очередь, виноват тот, кто написал и внедрил вредоносный код в обновление программного обеспечения. Не стоит также забывать о тех, кто позволил внести и распространить код. Также есть вопрос к органам, которые не определили вектор возможной атаки на всю корпоративную систему Украины. А теперь давайте посмотрим на авторов этого вируса с другой стороны. Восторгаться действиями преступников не будем, но отметить профессионально написанный код зловреда стоит. Удачно определенный вектор атаки, а именно дыру в Windows, бухгалтерский софт, который был выбран для осуществления атаки, требует отдельного упоминания. По состоянию на 14:00 по Киевскому времени 28 июня злоумышленник получил около $10 тыс. Понятно, что целью хакеров было не получение выкупов за расшифровку данных жертв, а что-то большее… вывод из строя сетей предприятий, уничтожение данных, блокировка объектов инфраструктуры, нарушение нормальной работы крупных государственных и частных учреждений. На следующий день Кабинет Министров Украины сообщил, что масштабная хакерская атака на корпоративные сети и сети органов власти была остановлена. Атака может быть и была остановлена, но ее последствия еще долго давали о себе знать. Так, например, международная отправка посылок Укрпочтой еще две недели осуществлялась в ручном режиме. | Читайте также: Вирус-шифровальщик – платить или нет Можно ли было предотвратить данную атаку? Да, если бы каждый на своем месте выполнял качественно свою работу. В данном случае, все, что необходимо было сделать системному администратору — выполнить...

далее

Как прошить OTP токен Protectimus Slim NFC

Опубликовано 19:30 в Инструкции | нет комментариев

Как прошить OTP токен Protectimus Slim NFC

Если у вас телефон с NFC на базе ОС Андроид, то скачайте и запустите приложение Protectimus TOTP Burner. Инициируйте выпуск программного токена в системе, где вам нужна усиленная защита. Тепрь можно прошить токен Protectimus Slim NFC: В приложении Protectimus TOTP Burner нажмите на кнопку “Прошивка токена”. Нажмите на кнопку “Сканировать” и отсканируйте QR код с секретным ключом, который вы видите в своем аккаунте в системе, где вам нужна усиленная защита. Секретный ключ также можно ввести вручную. Мы рекомендуем использовать автоматический режим. При вводе вручную задайте требуемое время жизни OTP пароля. Включите и поднесите токен к NFC антенне Вашего телефона. Удерживая его возле NFC антенны нажмите на кнопку «Прошить токен» и ожидайте сообщение об успешной прошивке токена....

далее

Как подключить Protectimus Slim NFC к AdvCash

Опубликовано 18:16 в Инструкции | нет комментариев

Как подключить Protectimus Slim NFC к AdvCash

Как подключить аппаратный OTP токен Protectimus Slim NFC к AdvCash: Скачайте приложение Protectimus TOTP Burner. Войдите в свой аккаунт в в платежной системе Advanced Cash и инициируйте выпуск токена: Перейдите на страницу “Настройки безопасности” ->   Внизу страницы выберите пункт “Токен” “Настроить” ->   Нажмите на кнопку “Программный токен” ->   Вы увидите QR-код с секретным ключом ->   Прошейте токен, отсканировав QR код. Инструкция по прошивке токена Protectimus Slim NFC доступна здесь. Введите одноразовый пароль с токена Protectimus Slim NFC в поле “Введите одноразовый пароль из мобильного токена» и нажмите на кнопку...

далее

Как подключить Protectimus Slim NFC к Facebook

Опубликовано 15:04 в Инструкции | нет комментариев

Как подключить Protectimus Slim NFC к Facebook

Как подключить аппаратный OTP токен Protectimus Slim NFC к Facebook: Скачайте приложение Protectimus TOTP Burner. Войдите в свой аккаунт в Facebook и инициируйте выпуск токена: Перейдите в Настройки Facebook ->   Выберите «Безопасность и вход» ->   Выберите пункт «Использовать двухфакторную аутентификацию» ->   В пункте “Генератор кодов” выберите “стороннее приложение” ->   Вы увидите QR код с секретным ключом.   Прошейте токен, отсканировав QR код. Инструкция по прошивке токена Protectimus Slim NFC доступна здесь. Введите код с токена в поле “Код...

далее

Вирус Petya.A — как это было

Опубликовано 14:34 в Новости Индустрии | один комментарий

Вирус Petya.A — как это было

27 июня 2017 года можно смело назвать “черным кибер-вторником” в истории Украины. В этот день началась атака вируса Petya.A, затронувшая практически все сферы жизнедеятельности страны: связь, энергетику, банки, СМИ, транспорт. Petya ransomware — далеко не первое испытание на прочность инфраструктуры Украины. Попытка нападения была предпринята, минимум, в третий раз. Первые две атаки были не столь масштабными, но очень неприятными: в конце 2015-го поражение вирусом Black Energy объектов “Укрэнерго” привело к отключению электричества в некоторых районах. А ровно через год, в декабре 2016-го — наряду с повторно пострадавшей “Укрэнерго” под ударом оказались некоторые коммерческие банки и Министерство финансов. Но такого, как в этот раз, еще не случалось. Что это было Первоначально “Петя” позиционировался как вирус, который шифрует файлы и впоследствии требует выкуп. Хакеры обещали ключ для разблокировки тем пострадавшим, которые пришлют эквивалент 300 долларов в биткоинах на их электронный кошелек. Однако, перечислившие деньги никакого кода не получили, а расшифровка данных так и осталась невозможной. Некоторые специалисты, анализировавшие стратегию действий хакеров, отмечают, что вирусы шифровальшики так не работают, а получение выкупа отнюдь не являлось целью организаторов атаки. Чем дальше, тем больше крепнет мнение, что вирус Petya.A лишь маскировался под вымогателя-шифровальщика. Основная же задача была иной: уничтожение информации на дисках пострадавших компьютеров. По этим признакам его уже можно характеризовать как вайпер, а не вирус вымогатель. История же с шифрованием-дешифрованием продвигалась только для отвлечения внимания. Есть и другая версия. Она утверждает, что целью нападавших было получение контроля над всеми зараженными компьютерами, который не исчезнет даже после удаления вируса и очистки дисков. На это можно возразить, что был выбран слишком уж громкий, привлекающий к себе внимание способ реализации. Настоящие шпионы постарались бы закрепиться на компьютерах жертв как можно менее заметно, не афишируя это. Так что, вероятно, вариант с внесением хаоса в работу крупнейших организаций и предприятий и нанесение им материальных и имиджевых убытков выглядит все же более реалистичным. Как вирус Petya.A проник и распространился Одним из основных каналов заражения стало бухгалтерское ПО “M.E.Doс”, которое используется для подачи отчетов и ведения электронного документооборота на множестве предприятий и организаций Украины. Расследование, проведенное киберполицией, доказало, что в одно из обновлений программы был внедрен вредоносный код. Как только на компьютеры пользователей скачивалось это обновление, тут же происходило заражение. А уж дальше вредонос “переползал” по корпоративным сетям даже на те “машины”, на которых не был установлен пресловутый M.E.Doc. Это стало возможным потому, что еще весной 2017 года злоумышленники завладели одной из учетных записей сотрудника компании-разработчика («Интеллект-Сервис») и получили доступ к исходному коду программы. Дополнительным фактором риска послужило использование на сервере компании устаревших версий программного обеспечения. Да и сам сервер, оказывается, не обновляли целых четыре года. Другой путь, которым вирус шифровальщик приходил на компьютеры — фишинговые письма с вредоносной ссылкой, запускающей скачивание малвари. Итог один: после заражения и самопроизвольной перезагрузки компьютеры оказывались заблокированы, а файлы на жестких дисках зашифрованы. Вирусом повреждалась загрузочная запись MBR, что приводило к полной невозможности запустить операционную систему. Чем и кому навредил вирус Petya.A По статистике, более 70% компаний, пострадавших от Petya.A, находятся в Украине. Но были отмечены также случаи заражения и в других странах: Германии, Польше, России, Италии. “Докатилось” и до США. Официальные данные утверждают, что вирус только в Украине заразил более 12 тысяч компьютеров. Но такая оценка выглядит слишком оптимистичной. Похоже, в реальности ущерб гораздо больше. Так, например, бывший директор Microsoft Ukraine, а ныне заместитель главы АП считает, что в той или иной мере...

далее

Безопасность детей в интернете

Опубликовано 14:46 в Новости Индустрии | нет комментариев

Безопасность детей в интернете

С какими угрозами могут столкнуться дети в сети интернет? Основные факторы, способные нарушить безопасность детей в интернете, можно условно поделить на три группы: Опасные и сомнительные знакомства Нередки случаи, когда ребенок в интернете становится жертвой сексуальных домогательств и растления, а также угроз, оскорблений или шантажа. Иногда от неопытного в человеческих отношениях ребенка преступникам гораздо легче узнать конфиденциальные сведения о его семье и родителях (адрес, телефоны, режим и место работы, график отпусков и т.д.). Не раз случалось, что мошенники, получив и проанализировав такую информацию, грабили квартиры, пока хозяева были в отпуске или на работе. Имеет место и практика кибербуллинга — психологического преследования. Обычно это запугивания, агрессия, социальное бойкотирование в различных интернет-сообществах, отправка оскорбительных, хулиганских сообщений. К категории “опасных связей” можно отнести также деструктивные группы и секты, которые подталкивают детей (особенно подростков) к употреблению наркотиков, оправдывают насилие, сексуальную распущенность. В последнее время особенно недобрую славу заслужили “группы самоубийц”, подводящие детей к лишению себя жизни или, как минимум, нанесению ущерба здоровью. Организаторы подобных групп хорошо разбираются в том, что привлекает детей и подростков. Поэтому все обычно происходит в виде некоего квеста, увлекательных поэтапных заданий, игры. Нежелательные материалы Информационная безопасность детей в сети интернет сильно зависит от того, какие сайты посещает юный пользователь. Ведь наряду с полезным познавательным и развлекательным контентом, в интернете имеются сцены насилия, порнография, пропаганда азартных игр, терроризма. Подобная информация часто с трудом воспринимается даже взрослыми. А уж душевному благополучию детей она несомненно наносит нешуточный урон. Опасность для компьютера Молодое поколение зачастую гораздо лучше родителей разбирается в обращении с компьютером, принципах работы глобальной сети, даже в программировании. Но свойственная детям и особенно подросткам преувеличенная уверенность в своих силах и знаниях даже с “продвинутыми” пользователями может сыграть злую шутку. Самоуверенность часто заставляет игнорировать правила безопасности. Прежде всего, это касается скачивания музыки, фильмов, программ с пиратских сайтов и торрентов. А ведь именно подобные ресурсы традиционно являются рассадниками троянов и других вирусов. Многие подростки, играя в онлайн-игры, отключают антивирус, якобы для ускорения работы компьютера, что также может привести к попаданию вредоносного ПО в систему. Каким образом можно оградить детей от нежелательного воздействия в интернете? В каждой семье должны существовать свои правила безопасности в интернете для детей. Стоит заранее обговорить режим пользования социальными сетями и чатами, время, проводимое за компьютером, разрешение или запрет на скачивание разных материалов (видео, музыки, игр). Следует понимать, что это не будет нечто незыблемое: как по мере взросления ребенка на смену мультикам приходит общение в соцсетях и форумах по интересам, так будут постепенно меняться и эти правила. Безопасность детей в интернете усилит создание для ребенка на общем компьютере отдельной учетной записи, обладающей некоторыми ограничениями. Например, запретом на загрузку и установку программ и приложений.К сожалению, возможности заражения не исчерпываются только установкой ПО. Инфицирование может происходить при просмотре вложений в электронных письмах, сообщениях чатов и мессенджеров, переходе по ссылкам, даже просто при открытии письма. Эти пути перекрыть труднее: запретить ребенку пользоваться почтой и программами для общения практически невозможно. Особенно, учитывая то, что у большинства детей и подростков сегодня есть смартфоны. Поэтому стоит проводить периодическую проверку гаджетов антивирусами, не забывать делать резервные копии важных данных, чаще менять пароли к наиболее привлекательным для сетевых мошенников сайтам и сервисам — электронной почте, аккаунтам соцсетей. Желательно подключить функцию родительского контроля. Многие антивирусные программы и браузеры включают в себя компоненты, облегчающие эту задачу. С их помощью можно составить список сайтов, запрещенных ребенку для посещения, подключить в настройках...

далее

Fappening 2.0 — будет ли продолжение?

Опубликовано 18:05 в Новости Индустрии | нет комментариев

Fappening 2.0 — будет ли продолжение?

Интерес широкой публики (не всегда здоровый) к личной жизни звезд уже не впервые вдохновляет хакеров на взлом топ-аккаунтов. В 2014 году в сеть попали интимные фото некоторых известных актрис, среди которых были Ким Кардашьян, Кейт Аптон, Рианна и другие. Этот скандал запомнился под именем The fappening. Разбирательство завершилось ровно год назад, в марте 2016-го. Согласно официальному заявлению, Министерство юстиции США признало виновным 36-летнего жителя Пенсильвании. И вот, точно в годовщину вынесенного решения, 15 марта 2017, в интернете появилась новая порция личных снимков звезд. Пока жертвами являются Эмма Уотсон и Аманда Сейфрид. Имена пострадавших актрис были заранее названы в посте на Reddit, где сообщалось, что в скором времени они попадут в заголовки новостей. В дальнейшем злоумышленники планируют разместить в общем доступе фотографии и других известных персон. Если упомянутые в «предсказании» имена достоверны, то Дженнифер Лоуренс, также анонсированная в качестве будущей жертвы, пострадает уже во второй раз. Во время первой волны фаппенинга она тоже была одной из главных героинь скандала. Эмма Уотсон, фото которой оказались в первой партии нового fappening icloud, не растерялась и довольно жестко отреагировала на случившийся с ее снимками инцидент: приступила к составлению судебного иска против тех, кто разместил личные фото актрисы. Знаменитую “Гермиону” возмутил тот факт, что фотографии были выложены в свободный доступ без ее согласия. Решимость и спокойствие Эммы вполне объяснимы: на украденных снимках нет эротики и они вряд ли нанесут ущерб репутации девушки. Большинство из них сделаны во время примерки одежды и купальников два года назад. Правда, наряду с “примерочными” фото, есть и кадры, на которых якобы изображена обнаженная Эмма Уотсон, снятая в ванной. Однако утверждать, что на скандальных фотографиях запечатлена именно голая Эмма Уотсон невозможно, так как лицо женщины в кадре не видно. Поэтому представители актрисы никак не комментируют эти снимки. Другая актриса — Аманда Сейфрид — пострадала сильнее: похищенные файлы содержат как изображения обнаженной актрисы, так и ее интимные сцены с женихом. Пока никаких юридических мер по защите своей приватности Сейфрид не предпринимала. Как технически осуществлялся fappening 2017 пока неясно. В прошлый раз взломщик рассылал потенциальным жертвам и их знакомым фишинговые послания от имени представителей Google или Apple с просьбой уточнить логин и пароль. “Урожай” хакера составил тогда полсотни учетных записей iCloud и 72 аккаунта Google, принадлежащих топ-персонам. Весьма вероятно, что и нынешняя утечка стала возможной благодаря социальной инженерии. Лучшая предохранительная мера против того, чтобы однажды увидеть свои интимные фото в сети — не размещать их там, а хранить на локальных носителях информации. Защита данных в облаке не может быть стопроцентно надежной — взломы облачных сервисов случались неоднократно. Однако, если это все же сделано, то стоит хотя бы соблюдать некоторые несложные правила безопасности — давно известные, но мало кем выполняемые. Не стоит думать, что проблема касается только звезд — она может затронуть каждого, кто хранит данные в интернете. Меры предосторожности от взлома аккаунтов Не нажимать на ссылки в письмах, пришедших от адресатов, чью личность невозможно подтвердить. То же касается и вложений в подобной корреспонденции. Иногда странно выглядящие e-mail могут поступать и от знакомых. В таком случае стоит предварительно обратиться к отправителю и попросить подтверждения, что письмо послано именно им. Никогда и никому не предоставлять свои личные и финансовые данные (пароли к аккаунтам, номера телефонов, PIN-коды или информацию о кредитных картах и счетах) по почте. Легальные организации типа Google, Microsoft или банка, в котором хранятся ваши средства, никогда не потребуют указать конфиденциальную информацию в...

далее

Обеспечивает ли реальную защиту сканер отпечатков пальцев на смартфоне

Опубликовано 17:06 в Исследования, Новости Индустрии | нет комментариев

Обеспечивает ли реальную защиту сканер отпечатков пальцев на смартфоне

В не таком уж далеком прошлом телефоны со сканером отпечатка пальца были экзотикой, доступной немногим. Первыми смартфонами, реально работающими с этой технологией, стали iPhone 5S. Чуть позже (с выходом 6-й модели ОС) появился сканер отпечатка пальца на Андроид — но только в некоторых флагманских моделях. Сегодня эта функция доступна на большинстве новых смартфонов и планшетов среднего класса, а значит, стала массовой. Производители гаджетов позиционируют ее как полноценную замену старым методам блокировки смартфона, которая избавит пользователей от проблем с запоминанием графических ключей и “километровых” паролей. Бизнесменов можно понять: новые модели со сканером отпечатков нужно продавать — чего не пообещаешь ради этого. Действительно ли новая функция обеспечивает защиту смартфона, способна ли она предупредить доступ к нему посторонних? Нельзя сказать, что все так безоблачно… Некоторые проблемы В смартфонах Android “эталонные” образцы отпечатков часто находятся прямо на самом устройстве в виде незашифрованного графического файла. Иногда — на сервере в интернете, который теоретически подвержен взлому, и тоже с отсутствием шифрования. С продукцией Apple, правда, все гораздо лучше: с самого начала использования технологии отпечатки хранятся в зашифрованном виде на особо выделенном, защищенном от доступа извне микроконтроллере и никоим образом не попадают ни в iCloud, ни на сервера компании. Расшифрованные отпечатки сохраняются в оперативной памяти устройства, откуда тоже время от времени удаляются, побуждая пользователя разблокировать смартфон введением цифрового кода. Отпечаток пальца можно подделать, изготовив слепок. Для получения “исходного материала” достаточно четкой фотографии ладони жертвы. А в некоторых случаях даже это не нужно: отпечатки можно найти на поверхности самого смартфона и использовать для изготовления муляжа. Сканер может просто давать сбои в работе (например, из-за повреждений или влаги на пальцах), что заблокирует доступ владельца к собственному телефону. В устройствах Apple другая “песня”: сломанный сканер невозможно заменить вне фирменных сервисных центров. То есть, конечно, можно… Только работать он не будет — и такое случалось неоднократно. По требованию правоохранительных органов смартфон, заблокированный отпечатком, может быть “распаролен”. В конце концов, палец приложить могут и насильно. И не стоит думать, что бояться этого должны только преступники: в определенный момент спецслужбы могут заинтересоваться любым гражданином. В то же время, в юридической практике многих стран от разглашения обычного текстового пароля подследственный может отказаться (это считается свидетельством против себя, от чего закон защищает). Неужели все так плохо и сканер отпечатка пальца на телефоне — только бесполезное “украшательство” во имя роста продаж? Считать так не совсем верно: смартфоны со сканером отпечатков пальцев умеют делать много полезных вещей, способных облегчить и упростить жизнь пользователя. Ниже — несколько примеров такого “нецелевого” применения. Что умеет сканер отпечатков пальцев на смартфоне, кроме разблокировки Ответить на входящий вызов, отключить будильник. Сделать снимок на камеру без нажатия кнопки спуска на экране. Выполнять функцию родительского контроля: не допустить попадания телефона в шаловливые детские руки сложно, а вот защитить важные приложения и настройки при помощи сканера отпечатков — вполне возможно. Оплатить покупки и пройти аутентификацию на разных сайтах. Кстати, для финансовых операций большинство специалистов по ИБ применять сканер отпечатков пальцев на смартфоне категорически не рекомендуют. Ведь телефон могут в любой момент украсть и, скопировав с него отпечатки хозяина, приобрести от его имени что-то дорогостоящее или взять крупный кредит. Мини-тачпад: разные виды жестов позволяют вернуться на домашний экран, получить доступ к уведомлениям, вызвать диспетчер приложений, не касаясь экрана смартфона. Следует признать: сканирование отпечатка пальца (как и другие виды биометрической аутентификации) в своем нынешнем виде не может на 100% защитить мобильное устройство от посторонних. Поэтому пользователям,...

далее
Share This