Новостная лента
Информационная безопасность в FinTech: 10 инструментов для защиты платежной системы
Любой онлайн проект потенциально интересен злоумышленникам, но для FinTech информационная безопасность особенно важна, аккаунты в платежных системах, обменниках, онлайн-банкингах взламывают в первую очередь. Независимо от того, на какой стадии находится ваш FinTech проект, никогда не лишним будет проверить все ли было сделано для обеспечения надлежащего уровня безопасности клиентов и бизнеса в целом. В этой статье мы рассмотрим ключевые угрозы информационной безопасности, с которыми приходится бороться компаниям из финансового сектора. Также мы приведем список из 10 шагов, выполнив которые вы обеспечите безопасность в интернете для ваших пользователей и самой компании. Note: В начале 2018 года вступила в силу обновленная Директива об оказании платежных услуг в странах Европейского союза PSD2. Ниже мы рассмотрим основные требования этой директивы к информационной безопасности. Если Ваша компания работает или планирует работать в Европе, рекомендуем ознакомиться и скачать чек-лист. Главные угрозы для финтех проекта Рассмотрим основные риски, которым может подвергаться защита персональных данных в информационных системах компаний FinTech сектора. SQL инъекции Техника внедрения измененных SQL-запросов, которая использует уязвимости в программной реализации системы и позволяет выполнить произвольный запрос к базе данных. БрутфорсПодбор пароля методом автоматизированного перебора. При подключении базы (словаря) паролей этот процесс становится значительно эффективнее.Уязвимости 0-го дняЛюбая ранее неизвестная уязвимость, которую хакеры используют до того, как производитель ПО исправит ошибку. Также не всегда админы своевременно обновляют софт.Атаки типа “человек посередине”Перехват и подмена сообщений, которыми обмениваются участники канала связи, путем несанкционированного подключения к нему.ФишингФишинг — это кража пользовательской информации с помощью поддельных сайтов и веб-приложений, имитирующих легальные ресурсы. Жертва завлекается на них обманным путем (чаще всего через ссылки в письмах и сообщениях), где собственноручно вводит аутентификационные данные в фишинговую форму, внешне идентичную настоящей.АвтозаливАвтозалив — это любая вредоносная программа, которая собирает данные аккаунта, смотрит какие счета есть в аккаунте и отправляет данные в административную панель. Панель на основании автоматических правил или посредством ручной координации выбирает жертву и выдаёт пользователю поддельную страницу. Вирусы вымогателиВ большинстве случаев вирусы-шифровальщики распространяются через фишинговые сообщения, блокируют работу системы, требуя выкуп. В 2019 году в список наиболее критических рисков для веб-приложений по версии OWASP (Открытый проект обеспечения безопасности веб-приложений) вошли: Инъекции (SQL, LDAP, CRLF и т.п.)Некорректная аутентификация и управление сессиейУтечка чувствительных данныхВнешние объекты XML (XEE)Нарушение контроля доступаНеправильная настройка безопасностиМежсайтовый скриптингНебезопасная десериализацияИспользование компонентов с известными уязвимостямиНедостаточное ведение журнала и мониторинг | Читайте также: Кража денег с банковских карт – самые распространенные способы 10 основных компонентов защиты FinTech проектов 1. Web Application Firewall (WAF) Большинство финтех проектов предоставляют свои услуги посредством веб-приложений, которые подвержены ряду рисков. Для защиты от множества угроз, включая брутфорс, подделки идентификаторов сессий и т.д. используется Web Application Firewall — межсетевой экран, специально предназначенный для обеспечения безопасности ВЕБ-ПРИЛОЖЕНИЙ. WAF контролирует взаимодействие сервера с клиентом во время обработки HTTP-пакетов. При этом он опирается на определенные правила, позволяющие выявить факт несанкционированного проникновения, а в случае необходимости блокирует подозрительную активность. 2. Hardware Security Module (HSM) Основные функция HSM — выполнение разнообразных криптографических операций и хранения цифровых ключей. Использование данного устройства позволит свести риск несанкционированной модификации данных к нулю. Это позволит защитить данные от злоумышленников, пробившихся периметр безопасности и недобросовестных сотрудников. Без HSM информационная безопасность и защита информации пользователей может оказаться под угрозой. 3. HTTPS для защищенного соединения Данный протокол является расширенным вариантом протокола HTTP, а не отдельным протоколом, как некоторые думают. Отличается от “прародителя” тем, что поддерживает зашифрованную передачу данных через транспортные механизмы TLS и SSL. Такой способ соединения обеспечивает защиту от угроз типа “человек посередине”,...
далееКак настроить двухфакторную аутентификацию в PayPal
Двухфакторная аутентификация в PayPal появилась еще в 2007 году. Пользователь, который хотел защитить вход в PayPal, мог заказать аппаратный токен за 5 долларов прямо из личного кабинета. И хотя со временем компания отказалась от собственных аппаратных токенов в пользу SMS аутентификации, что порядочно снизило уровень защиты PayPal, сегодня ситуация опять меняется к лучшему: С 2018 года кроме SMS аутентификации для входа в PayPal можно использовать MFA приложения (Google Authenticator, Protectimus Smart и тп). К PayPal опять можно подключать аппаратные токены. Единственный нюанс — подойдут только токены с возможностью прошивки. Купить аппаратный токен для PayPal Как включить двухфакторную аутентификацию в PayPal? Шаг 1 Для активации двухфакторной аутентификации в PayPal войдите в меню настроек. Шаг 2 Выберите вкладку “БЕЗОПАСНОСТЬ” (SECURITY). Шаг 3 Найдите пункт “Двухэтапная проверка” (2-step verification) и нажмите на кнопку “Настройка” (Set Up) Шаг 4 На данном этапе необходимо выбрать один из доступных способов двухфакторной аутентификации: SMS или 2FA приложение. Перепрошиваемые аппаратные токены подключаются к PayPal как MFA приложение. SMS. При выборе SMS аутентификации необходимо ввести реальный номер телефона, на который вам сразу придет сообщение с одноразовым кодом для подтверждения номера. Мы не рекомендуем использовать SMS аутентификацию, если у вас есть возможность установить 2FA приложение или заказать аппаратный токен для PayPal.2FA приложение. Выберите этот пункт, если хотите подключить приложение для генерации одноразовых паролей или прошиваемый аппаратный токен Protectimus Slim NFC. Шаг 5 Если у Вас еще не установлено приложение для генерации одноразовых паролей, установите бесплатное приложение Protectimus Smart OTP или любое другое приложение для двухфакторной аутентификации.Если вы хотите использовать аппаратный токен Protectimus Slim NFC, его нужно приобрести заранее. Это должен быть только прошиваемый TOTP токен. Процедура подключения прошиваемого аппаратного токена к PayPal ничем не отличается от подключения приложения для двухфакторной аутентификации. Для настройки токена понадобится Android смартфон с поддержкой NFC. На этом этапе вы увидите QR код с секретным ключом. Просканируйте секретный ключ приложением для двухфакторной аутентификации или приложением Protectimus TOTP Burner, если Вы подключаете аппаратный токен. Секретный ключ также можно ввести в приложение вручную. Детальная инструкция по прошивке секретного ключа в аппаратный токен для PayPal Protectimus Slim NFC доступна здесь. Шаг 6 Чтобы завершить процесс настройки двухфакторной аутентификации в PayPal, сгенерируйте одноразовый пароль на своем токене и введите его в соответствующее поле. Шаг 7 Создайте резервный токен. Если вы потеряете доступ к текущему токену, то сможете возобновить доступ к PayPal, используя резервный токен. Помните, что если на данном этапе вы выберите SMS аутентификацию, то общий уровень защиты PayPal аккаунта снизится, даже если на предыдущем этапе вы подключили аппаратный токен. Лучший вариант — использовать аппаратный токен как основной способ аутентификации, а приложение как резервный, или наоборот. Какой способ двухфакторной аутентификации в PayPal лучше? Чтобы ответить на этот вопрос, мы расставили способы двухфакторной аутентификации, доступные в PayPal, от самого сильного к самому слабому. Вот что получилось: I место — Аппаратный токен II место — 2FA приложение III место — SMS аутентификация Аппаратный токен Аппаратные токены — это автономные изолированные устройства.Токен никогда не подключается к интернету, поэтому его невозможно заразить вирусом.Одноразовые пароли генерируются на самом устройстве, а не передаются по GSM каналам как SMS, поэтому одноразовый пароль невозможно перехватить.Даже если вы потеряли токен, человек, который его найдет, не сможет получить доступ к вашей учетной записи. Во-первых, кроме токена ему нужен пароль, во-вторых, скорее всего, он даже не поймет кто владелец токена и с каким сервисом его использовали. Главный недостаток аппаратного токена —...
далееDuo Security vs Protectimus
Недавно компания Cisco объявила о намерении приобрести Duo Security за $2,35 миллиарда долларов США. Безусловно, это событие значимо не только для Duo Security, но и для всей индустрии мультифакторной аутентификации в целом. Сделка такого масштаба подтверждает — двухфакторная аутентификация востребована как никогда. При этом есть запрос на упрощение и удешевление средств доставки одноразовых паролей, ведь Duo активно пропагандирует отказ от аппаратных токенов в пользу приложений для генерации OTP, Push-нотификаций и SMS сообщений (небезопасных и дорогих). Компания Protectimus всецело поддерживает начинания Duo Security в борьбе за упрощение и удешевление средств доставки OTP, но убеждены, что это должно быть сделано не в ущерб безопасности. Например, чтобы ускорить переход от SMS аутентификации к более современным и надежным средствам MFA, мы научились доставлять одноразовые пароли с помощью чат-ботов в мессенджерах. Это намного эффективнее, безопаснее и выгоднее, чем SMS. Также среди наших продуктов есть инновационные аппаратные токены, которые можно подключить практически к любому сайту: от Google, Facebook, Dropbox, Slack до бирж криптовалют типа Bitfinex, Coinbase, Poloniex и т.д. В таком случае, правильный ли выбор сделали в Cisco? Может следовало вложить $2,35 миллиарда в приобретение Protectimus? Мы решили сравнить решения Duo и Protectimus, чтобы объективно разобраться в этом вопросе. НЕ ЛЮБИТЕ ЛОНГРИДЫ? ВСЕ О DUO И PROTECTIMUS В СРАВНИТЕЛЬНОЙ ТАБЛИЦЕ В КОНЦЕ СТАТЬИ. 1. Серверная часть решения Duo Security Duo — это облачное решение 2FA. Выбор SAAS модели вполне логичен, она позволяет ускорить интеграцию и сократить расходы на развертывание, защиту и поддержку сервера аутентификации. Такая форма взаимодействия выгодна и удобна как клиенту, так и самой компании. К тому же, это довольно современный подход к строгой аутентификации, который находится в рамках концепции Duo Security как современного инновационного провайдера, революционера в MFA. Protectimus Решение двухфакторной аутентификации Protectimus доступно не только в облаке, но и в виде on-premise платформы. Зачастую мы советуем клиентам выбирать облачный сервис, ведь это действительно удобно, быстро и современно. Клиенту, который подключает SAAS сервис Protectimus, не нужно тратить время и деньги на дополнительное оборудование, средства защиты, оплату работы администратора, не нужно заботится о распределении нагрузки и других инфраструктурных задачах. Как результат — быстрая интеграция и минимум затрат. Но некоторые компании не могут воспользоваться облачным сервисом ввиду строгих правил информационной безопасности в корпорации или на уровне государства. Для таких случаев мы оставили возможность приобретения on-premise платформы, которая устанавливается в окружении клиента и позволяет организовать полный контроль над сервером аутентификации. On-premise платформа, как и облачный сервис, доступна по подписке. Возможно также приобретение пожизненной лицензии на платформу. Подробней о разнице между облачным сервисом и платформой читайте тут. 2. Функционал Duo Security Note: Практически все функции, рассматриваемые в этом пункте, активируются только в самых дорогих тарифных пакетах Duo — Access и Beyond. Селф-сервис доступен уже в минимальном тарифном пакете Duo MFA. Duo предлагает ряд дополнительных функций для удобства администратора и повышения уровня защиты доступа к ресурсам: Пользовательский селф-сервис. Географические фильтры. Запрет доступа из анонимных сетей. Блокировка или предоставление доступа по IP. Возможность задавать отдельные (более строгие) требования к аутентификации для пользователей с самым высоким уровнем доступа. Контроль уровня защиты мобильных устройств, на которых установлено приложение Duo Mobile, от вирусов, возможности взлома или разблокировки любопытными посторонними. Эта функция была разработана поскольку Duo Security делает акцент на мобильной аутентификации, а мобильные девайсы довольно уязвимы. Подробно о каждой из упомянутых функций читайте в статье “Duo Security vs Protectimus: Функционал.” Protectimus Note: Все функции, рассматриваемые в этом пункте, доступны во всех тарифных...
далееDuo Security vs Protectimus: Функционал
В статье “Duo Security vs. Protectimus” мы коснулись всех сторон и возможностей решений двухфакторной аутентификации Duo и Protectimus. Были рассмотрены технологии, которые используют компании, средства доставки одноразовых паролей, наличие API и готовых плагинов для интеграции, цены, доступность решений on-premises или в облаке, а также косвенно упомянуты основные функции решений. В этой статье мы подробно описали каждую функцию, доступную администраторам и пользователям сервисов мультифакторной аутентификации Duo и Protectimus. Для удобства навигации, воспользуйтесь этой таблицей. Пользовательский селф-сервис Пользовательский селф-сервис Географические фильтры Географические фильтры Контроль доступа по IP или сети Адаптивная аутентификация Разные правила доступа в зависимости от должности Разграничение и делегирование полномочий в системе Мониторинг и идентификация опасных устройств Возможность назначать разным пользователям разные типы токенов Временные фильтры Функция подписи данных CWYS Duo Security Note: Практически все функции, рассматриваемые в этом пункте, активируются только в самых дорогих тарифных пакетах Duo — Access и Beyond. Селф-сервис доступен уже в минимальном тарифном пакете Duo MFA. Пользовательский селф-сервис Пользователи могут сами выпускать токены и управлять ими. Это экономит время администратора, а экономия времени администратора — это экономия бюджета компании, что хорошо. Географические фильтры Позволяет администратору открыть доступ к своему ресурсу только из определенной геолокации. Или, наоборот, запретить доступ из отдельных стран (например, из Северной Кореи). Контроль доступа по IP или сети Эту функцию в Duo еще называют адаптивной аутентификацией. У администратора есть возможность заблокировать доступ к ресурсу из анонимных сетей (например, Tor). Также можно запретить или разрешить доступ определенному диапазону IP-адресов. Разные правила доступа в зависимости от должности Возможность ужесточить правила аутентификации для отдельного пользователя или группы пользователей в зависимости от их должности и уровня доступа к данным. Например, бухгалтер для входа в систему сможет выбрать любой из способов аутентификации — SMS, Push или ввести одноразовый пароль с приложения, а администратор сети должен обязательно пользоваться только аппаратным токеном. Мониторинг и идентификация опасных устройств Это уникальная технология, которая позволяет следить за “гигиеной” смартфонов пользователей, на которых установлено приложение Duo Mobile. С помощью этой системы можно контролировать насколько хорошо защищено устройство: активирована ли биометрическая аутентификация и скринлокеры; установлен ли антивирус; какая используется операционная система, браузеры, плагины, обновляются ли они; личное ли это устройство или корпоративное; рутировано ли устройство и т.п. Администратор может запретить доступ к системе с устройства, которое не соответствует определенным требованиям (например, если не установлен антивирус). Protectimus Note: Все функции, рассматриваемые в этом пункте, доступны во всех тарифных планах и даже в бесплатном тарифном плане Protectimus Free. Пользовательский селф-сервиc Функция, которая снимает нагрузку с системного администратора, позволяя экономить его время и, соответственно, деньги компании. Пользователи сами выпускают себе токены и управляют ими. Географические фильтры Возможность открыть доступ только из определенных стран. Также можно запретить доступ из избранных стран. Временные фильтры Эта функция позволяет открывать доступ к ресурсу только в определенные часы, например, только в рабочее время. Такой подход значительно повышает уровень защиты аккаунтов от несанкционированного доступа. Отлично подходит для корпоративного сектора, даже если сотрудник забыл токен на рабочем месте, никто не сможет войти в его аккаунт в нерабочие часы. Адаптивная аутентификация Эту функцию можно еще назвать интеллектуальной идентификацией или анализом окружения пользователя. Мы создали ее для удобства конечных пользователей в системах, где подобная лояльность допустима. Никто не любит вводить одноразовые пароли, поэтому мы научились анализировать окружение пользователя (название и версию браузера, операционную систему и язык системы, размер окна и разрешение экрана, глубину цвета, наличие или отсутствие Java, плагины и т.п.) и запрашивать одноразовый пароль...
далееDuo Security vs Protectimus: Доставка одноразовых паролей
Общее сравнение решений двухфакторной аутентификации Duo Security и Protectimus вы найдете в статье “Duo Security vs Protectimus”. В ней мы рассматриваем функции и технологии, используемые в Duo и Protectimus, доступность решений в облаке и on-premise, возможности по интеграции и цены, а также касаемся средств доставки одноразовых паролей, которые предлагают обе компании. Здесь же мы опишем все способы аутентификации, доступные клиентам Duo и Protectimus, более подробно и разберемся со слабыми и сильными сторонами каждого варианта. Для удобства навигации по статье, воспользуйтесь этой таблицей. 2FA приложение 2FA приложение Push нотификации Push нотификации HOTP токены HOTP токены TOTP токены TOTP токены U2F токены OCRA токены SMS аутентификация Перепрошиваемые TOTP токены Голосовые вызовы SMS аутентификация Бэкап коды Email аутентификация Чат-боты в мессенджерах Duo Security 2FA приложение Duo Mobile Duo Push Гордость Duo Security. Push нотификации появились в стремлении сделать процедуру двухфакторной аутентификации максимально простой. Вместо того, чтобы открывать приложение для генерации одноразовых паролей, искать временный пароль к нужному сервису, а потом вводить 6 цифр в окно ввода одноразового пароля, пользователю нужно только разблокировать смартфон и нажать на кнопку “Approve”. Еще один плюс — если злоумышленник попытается войти в аккаунт пользователя, тот увидит Push уведомление и сможет заблокировать доступ, нажав на кнопку “Deny”. Приложение Duo Mobile синхронизируется со смарт-часами и пользователи могут получать Push-нотификации прямо на часы. Очень удобно. Основные минусы — вы не сможете аутентифицироваться без доступа к интернету и придется использовать личный телефон для корпоративных целей. HOTP & TOTP Приложение Duo Mobile умеет генерировать одноразовые пароли только по алгоритмам HOTP и TOTP (обратите внимание, TOTP токены могут рассинхронизироваться по времени с сервером, возможности синхронизации в Duo Mobile нет). HOTP пароли используются для входа в аккаунт под защитой сервиса двухфакторной аутентификации Duo, если пользователь не может получить Push. Поддержка алгоритма TOTP реализована для того чтобы приложение можно было использовать также для аутентификации в сторонних сервисах никак не связанных с Duo Security — Google, Dropbox, GitHub и т.д. Аппаратные токены HOTP токены Сервис двухфакторной аутентификации Duo Security поддерживает аппаратные HOTP (HMAC-based One-time Password algorithm) токены любых производителей, а также продает свои HOTP токены. Следует отметить, что хоть использование HOTP алгоритма и соответствует стандартам OATH (Initiative for Open Authentication), все же этот алгоритм устарел и не может считаться достаточно безопасным, особенно если мы говорим об аппаратных токенах. Переменной в алгоритме генерации одноразовых паролей HOTP служит счетчик, и если у злоумышленника появляется возможность даже на несколько минут получить токен в свои руки, он сможет записать несколько значений одноразовых паролей наперед и использовать их в любое удобное время. Реальный пользователь при этом может на время потерять доступ к аккаунту, так как токен рассинхронизируется с сервером аутентификации. TOTP токены К сервису двухфакторной аутентификации Duo Security можно подключать аппаратные TOTP токены сторонних производителей. Но Duo не рекомендует использовать TOTP токены, так как в этом сервисе не реализована возможность синхронизации токенов и сервера по времени. U2F токены Сервис двухфакторной аутентификации Duo Security поддерживает U2F (Universal 2nd Factor) стандарт, разработанный FIDO (Fast IDentity Online) альянсом в 2013 году. Аппаратные токены U2F подключаются к компьютеру через USB разъем и активируются при нажатии кнопки, расположенной на токене. Самый известный пример таких токенов — Yubikey. Это довольно удобный способ аутентификации, но у таких аппаратных токенов есть 3 недостатка: U2F токены часто забывают в компьютерах; Для использования такого токена нужен USB разъем, а, например, на планшете его может не быть; Если токен подключается к устройству,...
далееReddit взломали: как это было и кто пострадал
Reddit взломали. Злоумышленникам удалось вытянуть логины, электронные адреса, пароли (к счастью, соленые и хешированные), а также всю переписку вплоть до личных сообщений пользователей, зарегистрированных в социальной сети до 2007 года. Также в руки хакерам попали емейлы и логины всех пользователей, которые получали новостную рассылку в июне 2018. Подвела SMS-аутентификация. Атакующие смогли перехватить SMS сообщения с одноразовыми паролями и получили доступ к аккаунтам нескольких сотрудников Reddit. Давайте разберемся: Что именно произошло и что делает Реддит, чтобы минимизировать последствия взлома? Кто пострадал и как понять стали ли вы жертвой взлома Реддит? Почему двухфакторная аутентификация с помощью SMS подвела и чем можно заменить SMS сообщения, если вы еще этого не сделали. Reddit just disclosed a breach, says it’s still investigating severity. Of particular note was that the intruders managed to bypass SMS-based two-factor authentication in the compromise. https://t.co/LCu6XAVn34 This is why physical 2-factor or at least app-based 2FA is superior. — briankrebs (@briankrebs) August 1, 2018 Как взломали Reddit 19 июня 2018 года команда Реддита поняла, что произошла утечка данных. Сам взлом случился где-то между 14 и 18 июня. Злоумышленникам удалось скомпрометировать несколько учетных записей сотрудников Reddit с доступом к облаку и исходному коду. Вход в аккаунты сотрудников был защищен двухфакторной аутентификацией, но по старой традиции одноразовые пароли доставлялись через SMS сообщения. Атакующие перехватили SMS с одноразовыми паролями и смогли обойти строгую аутентификацию. Если бы весь штат сотрудников Реддит использовал аппаратные токены, у хакеров не было бы шансов на успех. Несмотря на серьезность атаки, злоумышленники не смогли внести какие-либо изменения в систему. У них был только доступ для чтения. Тем не менее, они могли видеть исходный код, конфигурационные файлы, внутренние логи и скачивать бэкапы. Таким образом, в руки хакерам попали все данные о пользователях и работе форума со дня основания Реддит и до 2007 года. Также злоумышленники скачали базу электронных адресов пользователей, которые получали email рассылку в июне 2018. Что предпринял Reddit Прежде всего, администраторы Reddit усили защиту систем логирования, шифрования, мониторинга, и отказались от SMS-аутентификации в пользу программных и аппаратных OTP токенов. Об инциденте заявили в правоохранительные органы, было начато расследование. Пользователям Реддит, которые могли пострадать, отправили сообщения с информацией о произошедшем и просьбой позаботиться о безопасности собственных аккаунтов — изменить пароли, подключить двухфакторную аутентификацию. Подробная инструкция о том как активировать двухфакторную аутентификацию в Reddit доступна здесь. So is Reddit actually emailing people who had their addresses and usernames exposed? The way this reads, it doesn’t sound like it and they’re relying on people to check if they’ve been receiving email digests and draw a conclusion from that, right? https://t.co/s2pFDAD9NN — Troy Hunt (@troyhunt) August 1, 2018 Кто пострадал от взлома Реддит Команда Реддит не раскрывает количество пострадавших пользователей. Но, без сомнения, речь идет о миллионах людей. Условно пострадавших можно разделить на 2 группы: Все, кто зарегистрировались на сайте до мая 2017 года включительно.К хакерам попал бэкап, датированный маем 2007 года, а значит и все данные, которые хранились в базах данных Reddit от момента основания (2005 год) до мая 2007. Здесь и имена пользователей с паролями, и адреса электронной почты, и весь контент, размещенный пользователями на сайте, и личная переписка. Пароли были соленые и хешированные, что хорошо.Как понять что вы пострадали? Пользователи Reddit, которые попали в эту группу, получат сообщения с просьбой изменить пароль и инструкциями как это сделать. Все, кто был подписан на email рассылку Reddit и...
далееФишинг, вишинг, смишинг, фарминг — в чем разница
Интернет стал неотъемлемой частью жизни каждого из нас. Сеть открывает множество невероятных возможностей – общение, покупки, оплаты счетов и различные развлечения. Но, к сожалению, не всегда и не все используют интернет во благо обществу. Из-за стремительного развития большого количества ресурсов появилось множество видов мошенничества, направленных на получение конфиденциальных данных и дальнейшее их использование в корыстных целях. Одни из самых популярных из них являются фишинг, вишинг, смишинг, фарминг. Однако, чтобы эффективно им противостоять, стоит всего лишь использовать элементарные правила безопасности и знать каким образом можно распознать популярные угрозы, о чем мы и поговорим ниже. Фишинг Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание) — это некий вид получения злоумышленником секретной информации, при котором правонарушитель, используя средства социальной инженерии, «разводит» клиента на открытие своих личных данных. Такими данными могут быть номер и код банковской карты, номер телефона, логин и пароль от какого-либо сервиса и т.д. В основном, такой вид «ловли» используют чтобы получить доступ к онлайн-банкингу или кошельку жертвы в той или иной платежной системе и вывести средства на посторонние счета. Так как же работает фишинг? На электронный адрес атакуемого приходит фишинг-письмо, которое, в первую очередь, влияет на эмоции получателя. Например, это может быть оповещение о большом выигрыше или же, наоборот, сообщение о взломе аккаунта с дальнейшим предложением перейти по фишинговой ссылке и ввести данные авторизации. Пользователь переходит на предоставленный ресурс и «отдает» свой логин и пароль в руки мошенника, который, со своей стороны, достаточно быстро оперирует полученной информацией. Можно привести несколько конкретных примеров интернет-фишинга: Злоумышленники рассылают миллионы писем от имени известной компании на различные e-mail, с просьбой подтвердить логин и пароль. При переходе по предоставленному URL можно увидеть страницу авторизации абсолютно идентичную странице на настоящем ресурсе. Подвох, скорее всего, скрывается в самой ссылке на сайт – домен будет очень схож с реальным, но отличаться несколькими символами. Схожий вид сообщений можно встретить также и в различных социальных сетях. К примеру, несколько лет назад был популярен фишинг Вконтакте. Мошенники, используя недостатки в протоколе SMTP, отправляют письма с поддельной строкой «Mail From:». Посетитель, отвечая на подобное письмо, пересылает его в руки правонарушителя. Также стоит быть осторожными при участии в интернет-аукционах. Так как товары, выставленные на продажу даже через легальный ресурс, могут оплачиваться через сторонний веб-узел. Множество пользователей сталкиваются с фиктивными интернет-организациями, которые обращаются с просьбами о пожертвовании. Интернет-магазины с крайне «доступными» ценами, за брендовые товары также могут быть поддельными. В итоге есть вероятность заплатить за товар, который никогда не будет получен, так как его никогда не существовало. | Читайте также: Хитрый фишинг в Gmail. Будьте осторожны! Вишинг Не следует обходить стороной такую актуальную проблему, как вишинг (англ. vishing – voice+phishing). Вишинг — это одна из разновидностей фишинга, при котором также используются методы социальной инженерии, но уже с помощью телефонного звонка. Как обычно действуют злоумышленники “вишеры”? На телефон поступает звонок от сотрудника банка и оператор предупреждает, если прямо сейчас не будет предоставлена полная информация банковской карты ему по телефону, то карту заблокируют. Доверчивый пользователь, слыша подобную «угрозу» сразу же впадает в панику и может выдать все персональные данные вплоть до проверочного кода из SMS. Также при вишинге может быть предложена выгодная покупка с огромной скидкой или озвучена информация о выигрыше в какой-либо акции. Не нужно сразу же радоваться столь удачной покупке или выгодной акции, всегда стоит лишний раз перепроверить информацию, обратившись к официальным ресурсам. В любой непонятной ситуации главное не паниковать. Помните...
далее«Постанова НБУ №95». 150 шагов к безопасности банка
В этой статье мы определим суть требований изложенных в постановлении №95 Национального Банка Украины от 28 сентября 2017 года. Данный документ регламентирует требования к организации мероприятий по обеспечению информационной безопасности в банковской среде Украины. Помимо этого, мы попытаемся понять предпосылки и своевременность появления данного положения, а также сравним его требования с другими подобными европейскими и мировыми нормами. Современные тенденции развития банковского сектора предполагают наличие широчайшего спектра услуг предоставляемых потребителям, которые они получают в реальном времени. Хорошо развитая конкуренция не позволяет получать большую маржинальность. Значит, успешно функционировать при таких условиях возможно только при эффективном и широком применении автоматизированных компьютерных систем и средств. Повсеместная компьютеризация, помимо удобств, имеет и недостатки, т.к. корпоративная инфраструктура подвержена удаленным анонимным атакам. Разнообразие видов и целей атак постоянно увеличивается. Все об этом наслышаны, но, к сожалению, вопросы кибербезопасности были подняты на качественно новый уровень только после масштабной хакерской атаки на предприятия и учреждения Украины в 2017 году. Вот мы и разобрались с глобальными предпосылками появления Положения №95 от НБУ и что конкретно послужило триггером этого процесса. Давайте пошагово разберем весь документ и определим несет он пользу или только головную боль для сотрудников банка. I. Общие положения Первые 7 пунктов описывают сам документ, его назначение, область действия и терминологию. Они носят информационный характер. Пункт 8: Банк обязан внедрить систему управления информационной безопасностью (Далее — СУИБ). Давайте разберемся, что это такое. Сразу в голову приходит некое универсальное программное средство, которое решит все проблемы информационной безопасности, но авторы постановления имеют в виду некий набор связанных между собой документов. Об этом говорит пункт 22. 22. Банк имеет право разрабатывать документы СУИБ в форме отдельных документов или объединенных по типу (тематике) в Общие документы, С указанием в них разделов, которые отвечают определенным направлениям (вопросам) информационной безопасности. СУИБ — часть общей системы управления, основанная на использовании методов оценки бизнес-рисков для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения информационной безопасности банков. Система менеджмента включает в себя организационную структуру, политику, деятельность по планированию, распределение ответственности, практическую деятельность, процедуры, процессы и ресурсы. Стандарты СУИБ носят управленческий характер и направлены на внедрение процессов, позволяющих обеспечить надлежащий уровень информационной безопасности банка. Пункт 9: Должен быть внедрен процессный и риск-ориентированный подход. Процессный подход к организации и анализу деятельности компании, основан на выделении и рассмотрении ее бизнес-процессов, каждый из которых взаимосвязан с другими бизнес-процессами компании или внешним миром. Риск-ориентированный подход позволяет выбрать из огромного количества требований, предписаний и средств защиты информации те, которые действительно необходимы организации и наилучшим образом соответствуют ее потребностям. Принимать осознанные, своевременные и экономически-обоснованные решения относительно применения защитных мер, базируясь на систематическом анализе всех факторов, которые влияют на возможность осуществления угроз безопасности, и степени воздействия этих угроз на бизнес. Риск-ориентированный подход к решению задач управления информационной безопасностью лежит в основе всех международных и отраслевых стандартов. Пункт 11: Банк обязан сформировать коллективный руководящий орган по вопросам внедрения и функционирования СУИБ, разработать положение, в котором определить задачи, функции и обязанности данного органа. Пункт 13: Национальный банк имеет право осуществлять проверку состояния внедренияе СУИБ банка и полноту выполнения мер безопасности информации, установленныхе настоящим Положением. Данная формулировка не дает четкий ответ на вопросы о регулярности проверок и степени ответственности за полное или частичное несоблюдение данного Положения. | Читайте также: Что следует знать о безопасности корпоративных Wi-Fi сетей II. Требования по внедрению СУИБ Пункт 17: Банк обязан разработать и внедрить политику информационной безопасности. Пункт 20: Банк обязан разработать и утвердить стратегию развития...
далееХакерские атаки на Украину в 2017 году. Какие выводы были сделаны?
Данная статья не о политике. Она об информационной безопасности, но так случилось, что недавние события в Украине и связанные с ними трансформации, подняли вопросы, которые вряд ли бы поднимались на протяжении ближайших лет. Многие помнят 2014-2015 гг, когда стремительней банкротства банков падали только памятники Ленину. В это же время, банки, которым не угрожала ликвидация, больше думали о физических средствах защиты, чем о киберугрозах. Удар из тени. Petya or Not Petya Самые тяжелые времена миновали, многие предприятия стали демонстрировать позитивную динамику, жизнь налаживалась, и тут произошло то, чего никто не ждал. Конечно, может кто-то и ждал, но не знал откуда именно придет зло. Штатное обновление бухгалтерской программы M.E.doc, которая повсеместно используется в Украине и только в Украине, таило в себе огромные опасности, а именно целенаправленную масштабную хакерскую атаку на сети украинских государственных учреждений, банков, медиа и множество других предприятий. В Microsoft подтвердили, что источником атаки послужила система автоматического обновления программы M.E.doc, запущенная 27 июня 2017 года. Также известны случаи распространения вируса через фишинговые письма от имени адресатов, с которыми ранее велась переписка. В этих письмах присутствовали ссылки на загрузку вредоносных приложений. За первые сутки атаки в Департамент киберполиции Украины поступило более тысячи сообщений о вмешательстве в работу компьютерных сетей, что привело к сбоям в работе или полному выходу их из строя, только 43 компании из пострадавших делу дали официальный ход. Специалисты компании Protectimus имеют сведения о множестве подобных случаев, которые не были преданы огласке. Это связано с тем, что многие понимают, что виновные вряд ли будут найдены и в любом случае это не поможет спасти данные. Все силы бросались на спасение данных, которые на тот момент оставались еще нетронутыми. И если быть откровенным, то мало кто хочет получить репутационные последствия от взлома. | Читайте также: Вирус Petya.A — как это было Не стоит винить болезнь — развивай иммунитет или кто виноват Disclaimer: Автор не является судьей и выражает личное мнение о степени виновности тех или иных лиц. Пусть компетентные органы определят степень вины каждого участника. Поиск виновных неблагодарное дело, но все же… В первую очередь, виноват тот, кто написал и внедрил вредоносный код в обновление программного обеспечения. Не стоит также забывать о тех, кто позволил внести и распространить код. Также есть вопрос к органам, которые не определили вектор возможной атаки на всю корпоративную систему Украины. А теперь давайте посмотрим на авторов этого вируса с другой стороны. Восторгаться действиями преступников не будем, но отметить профессионально написанный код зловреда стоит. Удачно определенный вектор атаки, а именно дыру в Windows, бухгалтерский софт, который был выбран для осуществления атаки, требует отдельного упоминания. По состоянию на 14:00 по Киевскому времени 28 июня злоумышленник получил около $10 тыс. Понятно, что целью хакеров было не получение выкупов за расшифровку данных жертв, а что-то большее… вывод из строя сетей предприятий, уничтожение данных, блокировка объектов инфраструктуры, нарушение нормальной работы крупных государственных и частных учреждений. На следующий день Кабинет Министров Украины сообщил, что масштабная хакерская атака на корпоративные сети и сети органов власти была остановлена. Атака может быть и была остановлена, но ее последствия еще долго давали о себе знать. Так, например, международная отправка посылок Укрпочтой еще две недели осуществлялась в ручном режиме. | Читайте также: Вирус-шифровальщик – платить или нет Можно ли было предотвратить данную атаку? Да, если бы каждый на своем месте выполнял качественно свою работу. В данном случае, все, что необходимо было сделать системному администратору — выполнить...
далееКак прошить OTP токен Protectimus Slim NFC
Если у вас телефон с NFC на базе ОС Андроид, то скачайте и запустите приложение Protectimus TOTP Burner. Инициируйте выпуск программного токена в системе, где вам нужна усиленная защита. Тепрь можно прошить токен Protectimus Slim NFC: В приложении Protectimus TOTP Burner нажмите на кнопку “Прошивка токена”. Нажмите на кнопку “Сканировать” и отсканируйте QR код с секретным ключом, который вы видите в своем аккаунте в системе, где вам нужна усиленная защита. Секретный ключ также можно ввести вручную. Мы рекомендуем использовать автоматический режим. При вводе вручную задайте требуемое время жизни OTP пароля. Включите и поднесите токен к NFC антенне Вашего телефона. Удерживая его возле NFC антенны нажмите на кнопку «Прошить токен» и ожидайте сообщение об успешной прошивке токена....
далее