Phishing. Marios Hadjiaros

Σχετικά έγγραφα
ATTACKS ON SOCIAL NETWORKS. Ονομα/νυμο: Ραφαέλα Σοφοκλέους Ημερομηνία: 07/03/2019

Εγχειρίδιο Χρήσης-Οδηγός Εκπαίδευσης Χρηστών. - Δήμος Δέλτα - Αριστοτέλειο Πανεπιστήμιο Θεσσαλονίκης

Gmail: Η προσέγγιση της Google στο ηλεκτρονικό ταχυδρομείο

Αποστολή και λήψη μέσω SMARTER MAIL

Οδηγίες Ανάκτησης Password λογαριασμού URegister

Υποδοχή και αποστολή εγγράφων μέσω Διαδικτύου Δ. Δημάκος Διευθυντής Γραμματείας Διοίκησης 3 Ιουνίου 2015

ΟΔΗΓΙΕΣ ΧΡΗΣΗΣ ΓΙΑ ΤΟΝ ΕΛΕΓΧΟ ΤΩΝ HX-GO02 & HX-GO1

Πολιτική Προστασίας Προσωπικών Δεδομένων Πολιτική Απορρήτου

Μην πιστεύετε ότι διαβάζετε στο Internet!

ΓΕΝΙΚΗ ΓΡΑΜΜΑΤΕΙΑ ΔΗΜΟΣΙΩΝ ΕΠΕΝΔΥΣΕΩΝ & ΕΣΠΑ

Ασφαλείς online αγορές

Γρήγορη έναρξη. Επέκταση εμβέλειας WiFi N300 Μοντέλο EX2700

ΟΔΗΓΙΕΣ ΧΡΗΣΗΣ ΤΗΣ ΠΛΑΤΦΟΡΜΑΣ CORPMAIL

Κορυφαίες συμβουλές πρόληψης

Ως Διαδίκτυο (Internet) ορίζεται το παγκόσμιο (διεθνές) δίκτυο ηλεκτρονικών υπολογιστών (international network).

Ορισμός Νέου Κωδικού URegister

Αλλαγή κωδικού πρόσβασης του λογαριασμού σας μέσω SMARTER MAIL

Εισαγωγή στα Μέσα Κοινωνικής Δικτύωσης

Οδηγίες Ενεργοποίησης Λογαριασμού URegister για Φοιτητές

Χαρακτηριστικά ιστοσελίδας

Internet Business Hellas

ΕΓΧΕΙΡΙΔΙΟ ΜΑΘΗΤΗ. της Πλατφόρμας Τηλεκατάρτισης

Ενημέρωση σε Windows 8.1 από τα Windows 8

Αρχεία PowerPoint, ο δικτυακός τόπος Slideshare και το WordPress

ΔΗ Μ Ι Ο ΥΡ Γ Ι Α W I K I με τ η χρήση τ η ς υπ ηρεσίας h t t p : / id ot.com /

Υπηρεσία Ενεργοποίησης Ηλεκτρονικού Λογαριασμού- URegister

BlackBerry Internet Service. Οδηγός χρήστη


Report Attacks on Social Networks. Paper 1: All Your Contacts Are Belong to Us: Automated Identity Theft Attacks on Social Networks

ΟΔΗΓΙΕΣ ΧΡΗΣΗΣ LIVETRIP TRAVELLER

INTERNET BASIC Μάθημα 2

5 ο ΚΕΦΑΛΑΙΟ: ΠΡΑΚΤΙΚΟ ΚΟΜΜΑΤΙ

ΕΡΓΑΣΤΗΡΙΟ 1: 1 Εισαγωγή, Χρήσιμες Εφαρμογές

ΟΔΗΓΟΣ ΧΡΗΣΗΣ WEBMAIL ΤΕΙ ΚΑΛΑΜΑΤΑΣ

ΛΑΦΤΣΗΣ ΚΩΝΣΤΑΝΤΙΝΟΣ

Χαρακτηριστικά ιστοσελίδας

Οδηγίες Χρήσης Πλατφόρμας Ασύγχρονης Τηλεκπαίδευσης (Moodle) του Τμήματος ΔΕΤ

Αναλυτικά Φύλλα Μισθοδοσίας

ΠΑΡΑΜΕΙΝΕΤΕ ΑΣΦΑΛΕΙΣ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

Γρήγορη έναρξη. Επέκταση εμβέλειας WiFi AC750. Μοντέλο EX3700

1. Εγγραφή στην πλατφόρμα διαδικτυακής μάθησης

1. Για πρόσβαση στην υπηρεσία χρησιμοποιείτε έναν Φυλλομετρητή (Internet Explorer, Firefox, Chrome κ.λ.π) και

ιαχείριση Προφίλ Χρήστη Πανεπιστημίου Κύπρου (University of Cyprus User Profile Service) Υπηρεσία Πληροφορικών Συστημάτων ΥΠΣ-Ε /

ΗΛΕΚΤΡΟΝΙΚΟ ΣΥΣΤΗΜΑ ΔΙΑΧΕΙΡΙΣΗΣ ΑΙΤΗΣΕΩΝ ΔΙΑΔΑΝΕΙΣΜΟΥ (smille)

ΞΕΚΛΕΙΔΩΤΕΣ ΠΟΡΤΕΣ ΈΡΕΥΝΑ ΔΕΊΧΝΕΙ ΌΤΙ ΟΙ ΕΚΤΥΠΩΤΈΣ ΜΈΝΟΥΝ ΕΥΆΛΩΤΟΙ ΣΕ ΚΥΒΕΡΝΟΕΠΙΘΈΣΕΙΣ

Δεδομένα Προσωπικού Χαρακτήρα ( δπχ) σε συμμόρφωση με τον Κανονισμό ΕΕ 2016/679 ΓΚΠΔ ( GDPR )


Εγχειρίδιο Συμμετοχής σε Ψηφοφορία για την ανάδειξη Διευθυντή Σχολής ΤΕΙ ΑΘΗΝΑΣ 2014

ΟΔΗΓΟΣ ΓΡΗΓΟΡΗΣ ΕΝΑΡΞΗΣ

HomeWork. Οδηγίες Χρήσης. Ένας δάσκαλος στο σπίτι.

Blog στο Wordpress. Επιμέλεια: Δέγγλερη Σοφία

Πολιτική Απορρήτου. Ορισμοί

ΤΕΧΝΟΛΟΓΙΚΟ ΠΑΝΕΠΙΣΤΉΜΙΟ ΚYΠΡΟΥ

Εγχειρίδιο χρήσης συστήματος ηλεκτρονικής αλληλογραφίας της Ελληνικής Ομοσπονδίας Μπριτζ

ΟΔΗΓΟΣ ΑΡΧΑΡΙΩΝ. Περιεχόμενα

Επικοινωνία. Ηλεκτρονικό ταχυδρομείο. Δημιουργία λογαριασμού. Λήψη ηλεκτρονικού μηνύματος. Αποστολή ηλεκτρονικού μηνύματος. Απάντηση και προώθηση

Τα 4P Προώθηση Προϊόντων. Νικόλαος Α. Παναγιώτου Λέκτορας Τομέας Βιομηχανικής ιοίκησης & Επιχειρησιακής Έρευνας Σχολή Μηχανολόγων Μηχανικών

ΈΦΗ ΑΠΟΣΤΟΛΑΚΟΥ ΤΜΗΜΑ: Α1

ΟΛΟΚΛΗΡΩΜΕΝΟ ΣΥΣΤΗΜΑ ΤΗΛΕΚΑΤΑΡΤΙΣΗΣ E-AGIOGRAFIA

Οδηγός γρήγορης εκκίνησης

ΠΑΡΑΡΤΗΜΑ. Εγκατάσταση πιστοποιητικού

GOOGLE DRIVE & WEB 2.0

A. ΣΥΧΝΕΣ ΕΡΩΤΗΣΕΙΣ ΓΙΑ ΤΗΝ ΥΠΟΒΟΛΗ ΠΡΟΣΦΟΡΩΝ

ΕΓΧΕΙΡΙΔΙΟ ΧΡΗΣΗΣ ΕΦΑΡΜΟΓΗΣ ΕΘΕΛΟΝΤΙΚΕΣ ΔΡΑΣΕΙΣ

Editorial Guide (κυρίως Facebook)

Νέα Υπηρεσία Ηλεκτρονικού Ταχυδρομείου. Ρυθμίσεις και Χρήση της νέας υπηρεσίας Ηλεκτρονικού Ταχυδρομείου

Βασικές Έννοιες Ηλεκτρονικού Ταχυδρομείου

ΠΡΟΣΟΧΗ: Βεβαιωθείτε πως η συσκευή είναι απενεργοποιημένη πριν εισάγετε την κάρτα SIM.

Ανάκτηση Κωδικού URegister για Εκπαιδευτικό & Διοικητικό Προσωπικό

ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ ΤΗΣ CATAWIKI

FAQs. οποιαδήποτε χρήση των πληροφοριών που περιέχονται σε αυτήν.

ΟΔΗΓΟΣ ΓΡΗΓΟΡΗΣ ΕΝΑΡΞΗΣ

στο δικό σου προσωπικό χώρο my Cyta

Οδηγίες χρήσης ηλεκτρονικών υπηρεσιών GreekLUG

Fake News ΕΛΛΗΝΙΚΟ ΚΕΝΤΡΟ ΑΣΦΑΛΟΥΣ ΔΙΑΔΙΚΤΥΟΥ. Γραμμή βοηθείας Ενημέρωση-Επαγρύπνηση Γραμμή παράνομου περιεχομένου

Ο Οδηγός γρήγορης εκκίνησης

ΕΡΓΑΣΤΗΡΙΟ 1: Εισαγωγή, Χρήσιμες Εφαρμογές

Χαρακτηριστικά ιστοσελίδας

ICAM-WRHD-01 ΒΙΒΛΙΟ ΟΔΗΓΙΩΝ ROTATING HD WIFI CAMERA HD SMART WIFI IP-CAM

Ανάκτηση Κωδικού URegister για Νεοεισαχθέντες Φοιτητές

ΠΑ-24γ Εγχειρίδιο Χρήσης Δ.Δ.Π. Του Δήμου Αιγάλεω

ΠΟΛΙΤΙΚΗ ΑΠΟΡΡΗΤΟΥ. ΥΙΟΙ Α.Ε.Ε.» και δ.τ. LONDESSA AE και επεξεργαζόμαστε τα προσωπικά σας δεδομένα ως υπεύθυνος επεξεργασίας.

ΟΔΗΓΟΣ ΕΓΚΑΤΑΣΤΑΣΗΣ ΠΙΣΤΟΠΟΙΗΤΙΚΟΥ ΑΣΦΑΛΕΙΑΣ WEBMAIL ΤΕΙ ΚΑΛΑΜΑΤΑΣ

Οδηγός Εγκατάστασης και Χρήσης του Arebas Easy

Εγχειρίδιο Λειτουργίας Τράπεζας Χρόνου

Αυτή η ενότητα παρέχει πρόσθετες πληροφορίες και λεπτομέρειες για την Υπηρεσία

ΚΕΝΤΡΙΚΗ ΕΝΩΣΗ ΕΠΙΜΕΛΗΤΡΙΩΝ (ΚΕΕ)

»Τι είναι η Spartan;

Βρείτε εύκολα όλες τις διαθέσιμες πληροφορίες του REACH-IT από την αρχική σελίδα

Χαρακτηριστικά ιστοσελίδας

Οδηγίες Χρήσης online συστήματος κρατήσεων. Δήμος Στροβόλου

Εγχειρίδιο Χρήστη ECAS

ΟΔΗΓΙΕΣ ΕΓΚΑΤΑΣΤΑΣΗΣ ΛΟΓΑΡΙΑΣΜΩΝ ΗΛΕΚΤΡΟΝΙΚΗΣ ΑΛΛΗΛΟΓΡΑΦΙΑΣ ( accounts)

Εγκατάσταση. Επέκταση εμβέλειας WiFi N300. Μοντέλο EX2700

Δικτυακοί τόποι. Η σχεδίαση ενός δικτυακού τόπου. Δρ. Ματθαίος Α. Πατρινόπουλος

Οδηγίες Ενεργοποίησης Λογαριασμού URegister για Φοιτητές

Ενότητα εκπαίδευσης και κατάρτισης για τις δεξιότητες ηγεσίας

Αυτή η ενότητα παρέχει πρόσθετες πληροφορίες και λεπτομέρειες για την Υπηρεσία Γενικές Ερωτήσεις Αγορές με την Υπηρεσία

»Τι είναι η Spartan;

Αν παρ όλα αυτά αντιμετωπίζετε πρόβλημα, επικοινωνήστε με το Κέντρο Δικτύου της ΑΣΠΑΙΤΕ Τηλ , , ,

Transcript:

Phishing Marios Hadjiaros

Τι είναι το Phishing (Ηλεκτρονικό ψάρεμα) Η πρακτική όπου ένας χρήστης ξεγελιέται από τον phisher και χρησιμοποιεί μια ψεύτικη ιστοσελίδα που δημιουργήθηκε από τον επιτιθέμενο νομίζοντας ότι είναι κάποια άλλη. Κύριος στόχος να κλαπούν τα credentials κάποιου χρήστη.

Πρόβλημα Για να δημιουργηθούν ασφαλή συστήματα οι σχεδιαστές πρέπει να γνωρίζουν ποιες στρατηγικές επίθεσης λειτουργούν, γιατί και ποιο ποσοστό ξεγελούν. Μάχη μεταξύ phishers και anti-phishers. Ο phisher πρέπει να δημιουργήσει κάτι πολύ εντυπωσιακό ώστε να αναγκάσει το θύμα να μην αναγνωρίσει τα μέτρα ασφαλείας. Ο anti-phisher πρέπει να σχεδιάσει την σελίδα ώστε να είναι κατανοητές οι δικλίδες ασφαλείας.

Related work Έρευνα στην ηλ. εμπιστοσύνη. Έχουν αναπτυχθεί μοντέλα και οδηγίες για την προώθηση της εμπιστοσύνης των καταναλωτών στο διαδίκτυο Τα papers[1, 4, 5, 8, 9, 10, 11, 15, 16, 18, 19, 23, 28] ασχολούνται με: Αξιοπιστία του περιεχομένου Σχεδίαση και πολιτικές διεπαφής Κανένα από αυτά τα έγγραφα δεν θεωρεί ότι αυτοί οι δείκτες εμπιστοσύνης και οι κατευθυντήριες γραμμές που αναπτύσσονται για νόμιμες οργανώσεις μπορούν επίσης να υιοθετηθούν από τους phishers.

Why Phishing Works Lack of Knowledge (Έλλειψη γνώσης ) Έλλειψη γνώσης υπολογιστών διαδικτύου και διαδικτυακών εφαρμογών (π.χ. μπορεί να πιστεύουν ότι www.ebay-members-security.com ανήκει στο www.ebay.com). Έλλειψη γνώσης στις δικλείδες ασφαλείας (π.χ. padlock) Mπορούν πολύ εύκολα να συγχιστούν αν δουν παρόμοια εικονίδια στο σώμα (body) μιας ιστοσελίδας. Visual Deception (Οπτική εξαπάτηση) Οι Phishers χρησιμοποιούν πανομοιότυπη σύνταξη (π.χ. το www.paypai.com) Eικόνα link που παραπέμπει σε διαφορετικό link απ' αυτό που φαίνεται Τοποθέτηση παραθύρου πάνω από κάποιο άλλο νόμιμο παράθυρο ώστε να νομίζει κανείς ότι προέρχονται από την ίδια πηγή.

Why Phishing Works.. Έλλειψη προσοχής Αγνόηση προειδοποιητικών μηνυμάτων για μη ασφαλείς σελίδες Έλλειψη προσοχής στην απουσία δεικτών ασφαλείας

Φαίνεται ότι ο ιστότοπος ηλεκτρονικού "ψαρέματος" (phishing) που απείλησε τους περισσότερους συμμετέχοντες είναι ένα ακριβές αντίγραφο της αρχικής σελίδας της Τράπεζας της Δύσης. Ο ιστότοπος φιλοξενείται στο "www.bankofthevvest.com", με δύο "v" s αντί για "w" στο domain name. Το 90,9% (20 συμμετέχοντες) έκρινε εσφαλμένα ότι πρόκειται για τη νόμιμη ιστοσελίδα της Τράπεζας της Δύσης. 17 συμμετέχοντες ανέφεραν το περιεχόμενο της σελίδας ως έναν από τους λόγους για την απόφασή τους. Για πολλούς συμμετέχοντες ο "χαριτωμένος" σχεδιασμός, το επίπεδο λεπτομέρειας και το γεγονός ότι ο ιστότοπος δεν ζητάει πολλές πληροφορίες ήταν οι πιο πειστικοί παράγοντες.

Σημαντικά σχόλια από Participants Ένας συμμετέχων έκανε κλικ σε έναν σύνδεσμο για να εμφανίσει την κινεζική έκδοση αυτού του ιστότοπου, η οποία συνδέθηκε με την πραγματική ιστοσελίδα της Τράπεζας της Δύσης. Ένας "ψεύτικος ιστότοπος δεν θα μπορούσε ποτέ να είναι τόσο καλός". Ένας συμμετέχων έκανε κλικ σε ένα σύνδεσμο προς ένα " consumer alert", έναν σύνδεσμο προς τον πραγματικό ιστότοπο που περιγράφει συμβουλές για προστασία από επιθέσεις phishing. Ένας από αυτούς ήταν κάτοχος λογαριασμού της Τράπεζας της Δύσης. Χρησιμοποίησε μια στρατηγική Τύπου 5 (δηλ. Χρησιμοποίησε όλους τους δείκτες ασφαλείας των προγραμμάτων περιήγησης) και είχε εξειδικευμένες γνώσεις ασφαλείας. Δηλώνει ότι η χρήση του "BOW / index.html" στη διεύθυνση URL ταιριάζει με τη μνήμη του για τον νόμιμο ιστότοπο. Αυτό υποδηλώνει ότι ακόμη και οι χρήστες που γνωρίζουν και έχουν εξοικείωση με τον ιστότοπο μπορούν να ξεγελαστούν από επιθέσεις απεικόνισης. Αν οι ιστότοποι περιείχαν εικόνες, κινούμενα σχέδια και διαφημίσεις επαγγελματικής εμφάνισης, υπέθεταν ότι οι ιστότοποι ήταν νόμιμοι. Αρκετοί συμμετέχοντες ανέφεραν έλλειψη εικόνων και συνδέσμων ως λόγο δυσπιστίας. Γενικά οι περισσότεροι particiipants δεν είχαν καμία γνώση των δεικτών ασφαλείας και πολλοί τους αγνόησαν ακόμα και μετά την ενημέρωση τους.

Conclusions Πολλοί χρήστες δεν μπορούν να διακρίνουν έναν νόμιμο ιστότοπο ακόμα και αν αναμένεται ότι μπορεί να υπάρχει spoof. Οι δείκτες αξιοπιστίας δεν κατανοήθηκαν Συμμετέχοντες χρησιμοποίησαν μόνο το περιεχόμενο της ιστοσελίδας για να αξιολογήσουν την αυθεντικότητά Συμμετέχοντες θεώρησαν ότι τα κινούμενα γραφικά, οι εικόνες και τα favicons υποδηλώνουν μεγαλύτερη ασφάλεια. Οι δικλίδες ασφαλείας μπορούν εύκολα να δεχτούν επιθέσεις παραποίησης

Conclusions.. Γνωρίζοντας αυτό, οι phishers μπορούν να παραποιήσουν έναν πλούσιο και πλήρως λειτουργικό ιστότοπο με εικόνες, συνδέσμους, λογότυπα και εικόνες δεικτών ασφαλείας Οι νόμιμες οργανώσεις μπερδεύουν περαιτέρω τους συμμετέχοντες μας φιλοξενώντας ασφαλείς σελίδες με τρίτους, όπου το domain name να μην ταιριάζει με το logo. Δεν αρκεί οι δείκτες ασφαλείας να εμφανίζονται μόνο σε συνθήκες εμπιστοσύνης, είναι εξίσου σημαντικό, αν όχι περισσότερο, να ειδοποιείτε τους χρήστες στην κατάσταση μη εμπιστοσύνης. Οι σχεδιαστές διεπαφών ασφαλείας πρέπει να λάβουν υπόψη ότι ορισμένοι χρήστες ενδέχεται να αγνοήσουν πλήρως τους δείκτες που τοποθετούνται έξω από την προσοχή του χρήστη (π.χ. χρησιμοποιώντας χρώματα στο address bar για να υποδείξουν ύποπτους και αξιόπιστους ιστότοπους

Password Reset Man in the Middle Attack (MitM) Αρχικά οι υπολογιστές δεν είχαν κωδικούς πρόσβασης (Φυσικά μέτρα) Αργότερα υπήρξε ανάγκη για ψηφιακά μέτρα ασφάλειας και καθιερώσαμε (username or email + password) Λόγω του ότι είμαστε άνθρωποι και ξεχνάμε παρατηρήθηκε η ανάγκη για τρόπους αλλαγής του κωδικού πρόσβασης σε περίπτωση που ο χρήστης ξεχάσει τον κωδικό του Δύσκολο επειδή πρέπει να ταυτοποιηθεί η ταυτότητα του χρήστη χωρίς τον κωδικό

Λύσεις όταν κάποιος ξεχάσει το password Email εγγραφής με ένα link επαναφοράς. Για τους παρόχους υπηρεσιών email είναι αδύνατο. Χρησιμοποιούνται ερωτήσεις ασφαλείας Επιβεβαίωση από κινητό

Νέο πρόβλημα: Αδύνατες μέθοδοι επαναφοράς κωδικού πρόσβασης Μοντέλο: Με αυτόν τον τρόπο, ο εισβολέας μεταξύ ιστότοπων είναι στην πραγματικότητα ένας άνθρωπος στη μέση μιας διαδικασίας επαναφοράς κωδικού πρόσβασης.

Comparison to Cross-Site Attacks and Phishing Στο MITM η ανάγκη εισαγωγής ιδιωτικών πληροφοριών είναι παρόμοια με τις επιθέσεις ηλεκτρονικού "ψαρέματος" σε ιστότοπους. Ωστόσο, σε επιθέσεις phishing, η επιτιθέμενη σελίδα μιμείται έναν νόμιμο ιστότοπο και κλέβει τα διαπιστευτήριά (όνομα χρήστη και κωδικό πρόσβασης). Στις επιθέσεις PRMitM, το θύμα χρειάζεται μόνο να παράσχει προσωπικές πληροφορίες (π.χ. αριθμό τηλεφώνου) που οι χρήστες συμφωνούν να δώσουν προκειμένου να λάβουν ορισμένες υπηρεσίες

Phishing vs PRMitM Στο Phishing ο attacker εκμεταλλεύεται τους απρόσεκτους χρήστες που αγνοούν τις ενδείξεις που τους δίνονται από τα προγράμματα περιήγησης. Οι χρήστες με ελάχιστη κατανόηση μπορούν να ανιχνεύσουν απόπειρες ηλεκτρονικού "ψαρέματος", ελέγχοντας προσεκτικά τη διεύθυνση URL του ιστότοπου και αν είναι ενεργοποιημένο το HTTPS. Oι επιθέσεις PRMitM εκμεταλλεύονται τα σφάλματα στο σχεδιασμό της διαδικασίας επαναφοράς των κωδικών πρόσβασης.

Ομοιότητες Register και Password reset Εκμεταλλεύεται την ομοιότητα μεταξύ της διαδικασίας εγγραφής και της διαδικασίας επαναφοράς κωδικού πρόσβασης όπου και στις δύο διαδικασίες, είναι κοινή η επίλυση: προκλήσεων CAPTCHA. (ευπαθής) Απάντηση στις ερωτήσεις ασφαλείας. (ευπαθής) Κωδικός που αποστέλλεται σε αριθμό τηλεφώνου. (ευπαθής) Λήψη ενός συνδέσμου επιβεβαίωσης στο email (δυνατή αλλά όχι πάντα)

Λήψη ενός συνδέσμου επιβεβαίωσης στο email Δυνατή μέθοδος αλλά δεν μπορεί να χρησιμοποιηθεί παντού Η επίθεση PRMitM δεν μπορεί να εφαρμοστεί σε ιστότοπους που επιτρέπουν την επαναφορά κωδικού πρόσβασης μόνο στέλνοντας έναν σύνδεσμο επαναφοράς στο μήνυμα ηλεκτρονικού ταχυδρομείου. Δυστυχώς, αυτή η επιλογή δεν σχετίζεται με τις υπηρεσίες ηλεκτρονικού ταχυδρομείου που έχουν χάσει την πρόσβαση στο λογαριασμό τους.

Οι 10 πιο δημοφιλείς ιστότοποι υποστηρίζουν την επαναφορά κωδικού πρόσβασης χρησιμοποιώντας τον λογαριασμό ηλεκτρονικού ταχυδρομείου του χρήστη και οι περισσότεροι από αυτούς επιτρέπουν την επαναφορά κωδικού πρόσβασης χρησιμοποιώντας ένα τηλέφωνο ως εναλλακτική λύση.

Task Κατά τη διάρκεια της διαδικασίας εγγραφής, τους ζητήθηκε να πληκτρολογήσουν τη διεύθυνση ηλεκτρονικού ταχυδρομείου τους, και μόνο τότε, για να απαντήσουν σε μια κλασική ερώτηση ασφαλείας: Ποιο είναι το πατρικό όνομα της μητέρας σας. Από 52 εθελοντές, αν και χαμηλής σημασίας ιστότοπος, το 76,9% των συμμετεχόντων έδωσε τη σωστή απάντηση στην ερώτηση ασφαλείας. Μεγαλύτερη έρευνα με τη συμμετοχή 1500 χρηστών. Εκεί, το 64% των συμμετεχόντων ανέφερε ότι απάντησαν σωστά. Η διαφορά στα αποτελέσματα μπορεί να οφείλεται στη διαδικασία του πειράματος Οι συγγραφείς αυτής της εργασίας δεν θυμούνται ακόμη και αν τους ζητήθηκε να απαντήσουν σε μια ερώτηση ασφαλείας κατά την εγγραφή τους στο Gmail.

PRMITM VIA SMS Ο επιτιθέμενος ζητά από το θύμα τον αριθμό τηλεφώνου του ισχυριζόμενος ότι θα του σταλεί ένας κωδικός Ξεκινά μια διαδικασία επαναφοράς κωδικού πρόσβασης χρησιμοποιώντας αυτόν τον αριθμό τηλεφώνου Το θύμα λαμβάνει το αναμενόμενο μήνυμα και μπορεί να πληκτρολογήσει τον κωδικό στη σελίδα επίθεσης. ο εισβολέας μπορεί να ολοκληρώσει τη διαδικασία επαναφοράς κωδικού πρόσβασης.

Προβλήματα SMS Ασαφές μήνυμα Το SMS περιορίζεται σε 160 χαρακτήρες ASCII Υπάρχουν τουλάχιστον 3 τεμάχια πληροφοριών που πρέπει να εμφανίζονται σε κάθε μήνυμα εκτός από τον κωδικό επαναφοράς κωδικού πρόσβασης: 1. Tον ιστότοπο αποστολής, 2. Εξήγηση σχετικά με την έννοια του κωδικού (επαναφορά κωδικού πρόσβασης) 3. Μια προειδοποίηση για να αποφύγετε την αποκάλυψη του κωδικού σε οποιονδήποτε άλλο. Σε μηνύματα μέσω email τηρούνται τα πιο πάνω ίσως και περισσότερα

Κρίσιμο σημείο Όταν δίνεται ένας κωδικός, ο χρήστης μπορεί να τον χρησιμοποιήσει μόνο για περιορισμένο χρονικό διάστημα από 15 έως 24 ώρες αναλόγως. Ιδανικά ο εισβολέας θα ήθελε να επαναφέρει τον κωδικό πρόσβασης όσο το δυνατόν αργότερα. Ένας εισβολέας που παίρνει τον κωδικό το μεσημέρι θα προτιμούσε να επαναφέρει τον κωδικό πρόσβασης αργά τη νύχτα, όταν ο χρήστης κοιμάται

Γλωσσική ασυμβατότητα Πολλοί ιστότοποι προσφέρουν υπηρεσίες σε πολλές γλώσσες, αλλά ορισμένοι δεν στέλνουν το μήνυμα SMS στη γλώσσα που υποστηρίζεται. Οι χρήστες που δεν μπορούν να κατανοήσουν το κείμενο, αλλά μόνο προσδιορίζουν τον κωδικό, εκτίθενται στην επίθεση. Δεν αναφέρεται ότι το μήνυμα είναι μια διαδικασία επαναφοράς κωδικού πρόσβασης πέραν από 4 ιστοτόπους. Δημοφιλείς ιστότοποι όπως το Yahoo και το Google έχουν ένα γενικό μήνυμα σχετικά με τους κωδικούς επαλήθευσης. Σε αντίθεση με τα μηνύματά τους στις άλλες γλώσσες, τόσο η Google όσο και το Yahoo στέλνουν μη ασφαλή μηνύματα SMS στους χρήστες της Ρωσικής γλώσσας. Το ρωσικό μήνυμα τους λέει απλά Your verification code: XXXX στα ρωσικά.

1) Full. Ο ιστότοπος είναι Sms Language Compatible (SLC) με όλες τις υποστηριζόμενες γλώσσες που δοκιμάστηκαν. 2) Good. Ο ιστότοπος είναι SLC με όλες τις υποστηριζόμενες κοινές γλώσσες που δοκιμάσαμε, αλλά όχι SLC με μη συνηθισμένη υποστηριζόμενη γλώσσα. 3) Partial. Ο ιστότοπος είναι SLC με περισσότερες από μία κοινές γλώσσες που υποστηρίξαμε, αλλά δεν είναι SLC με άλλη υποστηριζόμενη κοινή γλώσσα. 4) English only. Παρόλο που υποστηρίζει και άλλες κοινές γλώσσες, ο ιστότοπος είναι SLC μόνο με τα Αγγλικά.

Task Περίπου το 50% των συμμετεχόντων δεν συνειδητοποίησαν ότι δέχτηκαν επίθεση ακόμη και αφού τους είπαν ότι εισέβαλαν στο Facebook των μισών που συμμετείχαν στο πείραμα. Πολλοί χρήστες έκαναν αναζήτηση μόνο για τον κωδικό χωρίς να διαβάσουν το κείμενο. Ορισμένοι από αυτούς δεν άνοιξαν το μήνυμα, αλλά διάβασαν τον κωδικό από την ειδοποίηση στο τηλέφωνό τους. Πολλοί χρήστες που παρατήρησαν ότι το μήνυμα στάλθηκε από το Facebook σκέφτηκαν ότι η σύνδεση στο πείραμα έγινε με τη χρήση Facebook

SMS code vs. Phone Call Οι τηλεφωνικές κλήσεις φτάνουν από μη αναγνωρισμένους αριθμούς. Στις τηλεφωνικές κλήσεις είναι δυνατή η παράδοση μακρύτερων μηνυμάτων Για να εξαχθεί ο κωδικός επαναφοράς από μια τηλεφωνική κλήση, απαιτείται τουλάχιστον βασική κατανόηση στη γλώσσα. Άρα είναι πιο πιθανό να κατανοηθεί και το μήνυμα. Η αλληλεπίδραση στη διαδικασία επαναφοράς κωδικού πρόσβασης μπορεί να χρησιμοποιηθεί για να διασφαλίσει ότι ο χρήστης κατανοεί την κατάσταση. (π.χ. πληκτρολογώντας ψηφία)

Good Security Questions Η Google αποτελεί παράδειγμα ιστότοπου που βασίζεται σε ερωτήσεις ασφαλείας σε συνδυασμό με άλλες παραμέτρους, όπως διευθύνσεις IP και αρχικό πρόγραμμα περιήγησης. Εκτός από τα γενικά ερωτήματα ασφάλειας, η Google υποβάλλει ερωτήσεις σχετικά με τις κοινές επαφές, τις ετικέτες που ορίζονται από το χρήστη και τη χρήση πολλών υπηρεσιών Google. Είναι καλύτερα να αποφεύγετε για θέματα ασφάλειας, καθώς μπορούν να τα παρακάμψουν οι επιτιθέμενοι, ειδικά εάν ο εισβολέας σχετίζεται με το θύμα.

Secure Password Reset Using SMS Ένας κωδικός επαναφοράς κωδικού πρόσβασης δεν θα πρέπει να αποστέλλεται σε ένα λιτό κείμενο μέσω SMS. Αποστολή λεπτομερούς μηνύματος SMS με μακρύ σύνδεσμο αντί κωδικού. (η αντιγραφή ενός συνδέσμου είναι ασυνήθιστη) Μακρύς σύνδεσμος άρα πρέπει να ανοιχτεί το μηνυμα. Ο σύνδεσμος παραπέμπει τον χρήστη σε μια δια δραστική σελίδα που έχει ειδοποίηση σχετικά με την προσπάθεια επαναφοράς του κωδικού πρόσβασης. Η εμπειρία του χρήστη μπορεί να υποβαθμιστεί εάν ο χρήστης δεν μπορεί να έχει πρόσβαση στο Internet από το τηλέφωνό του

Secure Password Reset Using Phone Call Γεια σας! Αυτή είναι μια τηλεφωνική κλήση από την Google, για να επαναφέρετε τον κωδικό πρόσβασης του Google λογαριασμού σας. Πατήστε στο κουμπί X0 εάν αναμένετε αυτήν την κλήση διαφορετικά πατήστε Υ0. Προειδοποίηση! Κάποιος ζήτησε να επαναφέρει τον κωδικό πρόσβασής σας στο Google. Επαναλαμβάνω: Κάποιος ζήτησε να επαναφέρει τον κωδικό σας στο Google. Εάν δεν ζητήσατε επαναφορά κωδικού πρόσβασης, πατήστε Y1. Διαφορετικά, πατήστε X1. Πρόκειται να λάβετε έναν κωδικό για να επαναφέρετε τον κωδικό πρόσβασης του λογαριασμού σας στην Google. Δεν πρέπει ποτέ να μοιράζεστε αυτόν τον κωδικό με οποιονδήποτε άλλο και ποτέ να μην τον πληκτρολογείτε σε άλλους ιστότοπους. Κανείς από τη Google ή άλλους νόμιμους ιστότοπους δεν θα ζητήσει ποτέ αυτόν τον κωδικό. Ο κωδικός σας είναι XXXXXX. Και πάλι, ο κωδικός σας είναι XXXXXX. Αντίο σας.

Evaluation Κανένας από τους συμμετέχοντες δεν αποκάλυψε τον κωδικό του Ορισμένοι χρήστες δεν κατάφεραν να ακολουθήσουν τις οδηγίες την πρώτη φορά. Συγκεκριμένα, ξεκίνησαν την κλήση δύο ή τρεις φορές Μια άλλη εναλλακτική λύση για τους χρήστες που δεν έχουν λογαριασμό είναι να βασίζονται στους λογαριασμούς των φίλων. Ο χρήστης θα πρέπει να δώσει εκ των προτέρων διευθύνσεις ηλεκτρονικού ταχυδρομείου ή αριθμούς τηλεφώνου φίλων. Στη διαδικασία επαναφοράς κωδικού πρόσβασης, κάθε ένας από τους φίλους θα πάρει έναν κωδικό.

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια