Подделки — это не шутки: следите за этими атаками
Ха, попался, не так ли? Я, конечно, не Билл Гейтс, и если вы нажали на приведенную выше ссылку, вас действительно не взломали. Но я думаю, что неплохо изобразил его, особенно вставив в свой текст некоторые его настоящие цитаты. И это то, что касается спуфинговых атак: маскировка под кого-то другого через электронную почту, веб-сайт или какой-либо другой вектор атаки с целью заставить вас установить вредоносное ПО, украсть ваши данные или выполнить какое-либо другое неприятное действие против вас. Атаки типа «отказ в обслуживании» также часто используют спуфинг для маскировки исходного адреса IP-пакетов, которыми они наводняют вашу сеть или хост, чтобы предотвратить доступ законных пользователей к услугам, предоставляемым вашей сетью или хостом. На заре Интернета, когда все было как на Диком, Диком Западе, спуфинговые атаки вызывали раздражение, но к ним относились как к забавной проблеме, которую нужно было попытаться предотвратить или преодолеть. Сегодня, однако, нет ничего смешного в атаке, которая может закончиться увеличением расходов на вашу кредитную карту, опустошением вашего банковского счета или захватом веб-сайта вашей компании, отправив ваших клиентов в бегство.
Подрыв доверия
На мой взгляд, самое большое влияние спуфинга и других форм атак заключается в том, что они влияют на нашу способность доверять другим в нашем современном мире. Например, я написал или был редактором серии более 50 книг по Windows Server, System Center и другим продуктам или решениям Microsoft. Я также работал непосредственно с инсайдерами в Microsoft над различными техническими документами и документацией по продуктам, и я был удостоен награды Microsoft Most Valuable Professional (MVP) десятки раз подряд. Я думаю, что это замечательная компания, которая проделала потрясающую работу со своими продуктами, и я очень уважаю Microsoft, основываясь на тесном сотрудничестве с ними в различных проектах за последние 20 лет. Итак, вы думаете, я бы доверял письму, которое получил от Microsoft, верно?
Что ж, как недавно указывалось в My Online Security, даже сообщение электронной почты от очень уважаемого и надежного лица, такого как Microsoft Security Office, может быть подозрительным. Подобные поддельные электронные письма от доверенного лица не только ведут к дальнейшему подрыву вашего доверия к обществу и мировому порядку вещей, они также, если вы не будете осторожны, могут нанести вам финансовый ущерб. Почти дошло до того, что мы не открываем никаких вложений по электронной почте, в том числе от людей, которых мы любим и которым доверяем, таких как наша семья и близкие друзья.
Безопасно и надежно
Один из моих любимых фильмов, который я могу пересматривать снова и снова, — «Рыцарь дня» с Томом Крузом и Кэмерон Диаз в главных ролях. В этом фильме есть фраза, в которой Том предупреждает Кэмерон остерегаться любого, кто пытается сказать ей обнадеживающие слова: «Такие слова, как «стабилизированный, безопасный, безопасный». Если они говорят эти слова, особенно с повторением, значит, они собираются убить тебя».
Веб-сайты, использующие SSL (Secure Sockets Layer), безопасны для посещения, верно? В конце концов, это гарантирует, что любые данные, передаваемые между вашим веб-браузером и веб-сервером, к которому вы подключены, зашифрованы, чтобы защитить целостность данных и вашу собственную конфиденциальность как посетителя. Итак, SSL-сайты безопасны, верно? Нет, если их можно подделать, как демонстрирует другая недавняя статья My Online Security. Как указывает автор этой статьи, многие банки и другие финансовые учреждения используют SSL только тогда, когда посетитель хочет войти в систему, чтобы получить доступ к информации своей учетной записи; общедоступная домашняя страница учреждения, однако, не защищена SSL, и поэтому ее легко выдать за другое лицо. Все, что требуется, — это ввести неправильный URL-адрес, и вы в конечном итоге зайдете на поддельный сайт вместо настоящего, и прежде чем вы сможете сказать: «Пожалуйста, взломайте мой банковский счет», вы ввели свои учетные данные для входа в систему, и ваши сбережения уже в пути. в Ла-Ла Ленд.
Неправильный адрес
Мошенники становятся все более и более изощренными в своих атаках — гораздо более изощренных, чем сайты корпораций и учреждений, на которые они нацелены. Взгляните, например, на этот: откройте сайт и нажмите там, где написано «нажмите здесь», а затем на следующей странице нажмите «Открыть и подделать», и вы увидите в адресной строке браузера, что вы теперь на домашней странице поисковой системы Microsoft Bing (www.bing.com). Или вы? Подождите пару секунд, и вы увидите, что адресная строка вашего браузера была подделана, и вы на самом деле находитесь на сайте, который перенаправляет вас на другой сайт (что в этой демонстрации безвредно, но в реальной жизни может быть вредоносным). Я надеюсь, что уязвимость, на которой основан этот демонстрационный эксплойт, не была устранена к тому времени, когда вы читаете эту статью (на момент написания она все еще работала в Microsoft Edge, но, похоже, была исправлена в Chrome и Internet Explorer). Даже если он был исправлен, прочтите статью, потому что в ней очень подробно объясняется, как работают эксплойты для подмены адресной строки. Для тех из нас, кто не является программистом или веб-разработчиком, достаточно знать, что вы больше не можете доверять даже своим глазам, потому что то, что вы видите в адресной строке вашего браузера, может не быть URL-адресом фактической страницы, которую вы открыли.
Будущее выглядит мрачным
Поскольку биометрия готова заменить кредитные карты, можно с уверенностью сказать, что следующей большой волной инноваций станут атаки с подменой биометрических данных. Как сообщает BetaNews, скоро «пластиковые кончики пальцев, фотографии, которые обманывают простые системы распознавания лиц, и даже высокотехнологичные записи голоса могут использоваться для манипулирования [биометрическими] датчиками. Чтобы предотвратить эту угрозу, отрасли необходимо будет адаптироваться, внедрив такие меры, как поведенческая биометрия, проверка жизнеспособности и многофакторная аутентификация». Ирония здесь почти космическая: цель биометрии состоит в том, чтобы упростить безопасность, сделав ее проще и надежнее, а результатом будет усложнение защиты от все более изощренных угроз, которые будут нацелены на системы биометрической аутентификации. Разве это не опрятно?