Проявим здоровую паранойю
28 февраля 2019
Многим наверняка знакома эта «шутка»:
Тем временем новостные ленты пестрят новостями об очередных утечках:
«Collection #1» содержит 1 160 253 228 уникальных комбинаций «электронная почта-пароль».
Общий размер «Collection #1» составляет 87 Гбайт, она состоит из 12 000 файлов
Всего там 772 904 991 уникальных адресов и 21 222 975 уникальных паролей. База содержит данные из тысяч источников, полученные в ходе разных утечек.
Что делать? Специалисты по безопасности рекомендуют:
Чтобы проверить, упоминаются ли ваши учетные данные в слитой базе, можно как раз воспользоваться сервисом Have I Been Pwned.
Но правильно ли это? Ведь вы доверяли ресурсу с неплохой репутацией, когда оставляли на нем свои данные, а он вас подвел. И вдруг вам предлагают проверить свои данные на ресурсе, о котором лично вы слышите впервые (мы-то уж точно с ним не сталкивались). Срочно бежим туда – или проявим здоровую паранойю?
Не исключено, что публичные онлайн-сервисы для проверки подтверждения утечки данных имеют также цель повышения стоимости таких данных для вторичных продаж.
Не секрет, что источники спама легко вычисляются и весьма быстро попадают в базы антиспама, поэтому цель злоумышленников – не просто добыть базу адресов потенциальных жертв, а заполучить базу «живых» почтовых ящиков и атаковать их уже адресно (вот, скажем, в нашу компанию звонили с целью продаж нам средств безопасности. Смешно? Да, а если серьезно, это потеря времени специалистов call-центра). Поэтому паранойя автора приведенной выше цитаты выстраивает следующий алгоритм.
- Формируем выборку из имеющихся на руках данных и размещаем на непубличных специализированных сайтах, где публикуются «утечки». Почему на непубличных? Так хакеры же слили! Зачем опубликовали, а не сами использовали? Хм... Ну, может, они решили «привлечь внимание к проблемам безопасности» (помните такую формулировку из новостей?).
-
Публикации придается дополнительная «публичность», в том числе может проводиться «рекламная» акция через социальные сети и прочие доступные инструменты. Напомним: владельцу сервиса Have I Been Pwned об утечке рассказали некие знакомые.
Или как вариант:
Авторами/бенефициарами монетизации данных дополнительно создаются те самые сервисы проверки утечки данных. Это либо путь новичков, либо когда куш от потенциальной монетизации данных огромен.
-
Естественно, подавляющее большинство пользователей – непрофессионалы, на «подпольных сайтах» саму базу данных они не найдут.
Целевая аудитория довольно инертна и не будет заморачиваться поиском тех же торрентов с содержимым "утечки" данных, потому рано или поздно пользователи приходят на специализированные сайты для проверки утечки данных и далее производится запрос на проверку.
Если пользователь не нашел ничего, данные о его запросе на проверку собираются в отдельную базу. Этот пользователь живой.
- Через некоторое время, в течение которого все активные пользователи посетят сервис, база продается: ведь не факт, что все оставшиеся пользователи не существуют – возможно, они просто не читают ИТ-новости.
- Всех попавших в базу живых «пробиваем» по базам данных, соцсетям и поисковой выдаче. Это позволяет сформировать точные данные об интересах жертв, попробовать подобрать пароли к другим ресурсам, не попавшим в утечку. Как известно, многие используют один и тот же пароль для доступа к различным ресурсам.
- Продаем базу за хорошие деньги и/или начинаем атаку.
При возникновении глобальных утечек не рекомендуется использовать онлайн-сервисы проверок и как-либо проявлять активность через поисковики (google). Если вы довольно популярная и публичная персона, то теоретически можно через таргетированную рекламу (персонализированная атака) определить ваше желание произвести такую проверку.
При подозрении на утечку данных или же при массовых (громких в СМИ) публичных утечках, которые могут привести к потере ваших данных, — необходимо сменить пароли на таких целевых сервисах, через https с визуальной проверкой информации в сертификате безопасности и без использования дополнительных сетевых уровней (tor/obfs и прочeе).
Насколько выгодно точно знать, кого атакуешь?
МВД задержало подозреваемого по делу о хищении 6 млн руб. с банковских карт 49 граждан. Злоумышленник рассылал жертвам сообщения, что их карты заблокированы, и указывал номер, куда нужно позвонить для разблокировки. Затем он выяснял у звонивших граждан данные карты, чтобы вывести с нее средства.
Всего 49 карт и целых 6 миллионов!
Антивирусная правДА! рекомендует
- Для доступа к различным ресурсам используйте разные пароли.
- Не забывайте, что пароли необходимо периодически менять.
- Узнав о крупной утечке, просто смените пароль. Ведь вы не знаете, попал ли ваш пароль в опубликованную часть утекшей базы.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
zitkss
15:46:11 2019-05-11
stavkafon
21:46:50 2019-03-01
Людмила
16:58:12 2019-03-01
Насколько я понимаю вы проверяете только один из нескольких (более 3-х десятков) принадлежащих мне e-mail адресов
= мы проверили только адреса тех, у кого есть аккаунт на сайте.
Anton_S
15:24:18 2019-03-01
Пaвeл
06:22:45 2019-03-01
Подробнее: https://www.securitylab.ru/news/498101.php
razgen
00:49:09 2019-03-01
Насколько я понимаю вы проверяете только один из нескольких (более 3-х десятков) принадлежащих мне e-mail адресов, именно тот который указан мною при регистрации лицензии.
Ведь откуда вам могут быть известны все остальные мои e-mail адреса.
Andromeda
23:36:13 2019-02-28
Alexander
23:30:00 2019-02-28
В своей оценке выражения "здоровая паранойя" (тоже, естественно, субъективной) я хотел обратить внимание на необходимость более точной и однозначной характеристики явлений, связанных с цифровыми технологиями. А факт, называемый "человек посередине", конечно, во все наши действия за компьютером и в сети, внесёт значительную долю и субъективности, и эмоциональности, и паранойи, и здорового пофигизма... Спасибо Вам за интересные мысли...
Lia00
22:32:04 2019-02-28
DrKV
21:54:22 2019-02-28
А если серьёзно, спасибо за такие полезные нравоучения. Сейчас такое время, когда малейшая оплошность стоит очень дорого. Пароли своевременно необходимо менять (модифицировать) и тогда хоть как-то сведёшь свои потери к минимуму.
orw_mikle
21:53:43 2019-02-28
Любитель пляжного футбола
21:15:16 2019-02-28
Короче, просто не нужно впадать в крайность.
Альфа
21:06:37 2019-02-28
Цифры впечатляют. Имея точную информацию, злодей не разменивался по мелочам.
Dvakota
20:55:24 2019-02-28
Любитель пляжного футбола
20:54:05 2019-02-28
Спасибо за подсказку, включу в свой список принимаемых мер предосторожности. :)))
@Александр, встроенному в браузер менеджеру паролей я бы не стал доверять все пароли без исключения, лишь те, потерей которых я особо не дорожу, и немного потеряю, если доступ к ним получит кто-то другой. Ненадёжной штукой это мне кажется, ведь эти сохранённые в браузере пароли злоумышленник может и выудить, причём, как я слышал, без особого труда, стоит лишь ему получить доступ к вашему компьютеру. Можете сами об этом почитать в интернете и уже сами примете решение, что важнее, удобство или безопасность.
19:55:34 2019-02-28
Здесь отсылка к сегодняшней новости на сайте "Доктора". https://news.drweb.ru/show/?lng=ru&i=13111&c=5
Александр
19:55:34 2019-02-28
Александр
19:53:35 2019-02-28
Шалтай Александр Болтай
19:24:54 2019-02-28
Anton_S
19:22:15 2019-02-28
tigra
17:58:43 2019-02-28
tigra
17:55:15 2019-02-28
znamy
17:49:40 2019-02-28
Татьяна
17:20:37 2019-02-28
uropb
17:07:02 2019-02-28
Rider
15:57:25 2019-02-28
Людмила
15:50:06 2019-02-28
dyadya_Sasha
15:47:10 2019-02-28
Одобрям! Правильное решение! Затратно (время), но эффективно.
Есть небольшие сомнения:если я ничего до сих пор не получил, значит я не в базе или оперативность - понятие растяжимое?;)
Любитель пляжного футбола
15:22:56 2019-02-28
Наверняка многие, если не большинство, слышали о мошенничестве в интернете. Но чтобы выработался иммунитет против всего этого, недостаточно знать об этом просто как о факте, так же как мы знаем о том, что на свете есть всякие болезни нехорошие. Чтобы не заболеть, нужно совершать ряд определённых действий, не быть пассивным, нужно знать, что, наоборот, не стоит делать; нужно, к примеру, мыть руки перед едой, одеваться по погоде, вести ЗОЖ, закаливаться наконец. Так и здесь, чтобы не попасться на удочку мошенникам, нужна "закалка" знаниями, принятие соответствующих мер (например, создание "пуленепробиваемых" паролей, не разбрасываться своими данными), осознание того, что мы живём далеко не в сказке, трезвый рассудок наконец.
Так вот и те, 49 обладателей карт, имея на счету нехилые деньжищи, оказались полными профанами в области ИБ, позвонили по указанному в смс номеру какому-то дяденьке и сообщили ему данные своей карты, вместо того чтобы позвонить в свой банк. Думаю, ведь не в первый раз в руках карту держали, не преклонного возраста, на Земле ведь живут, а не с другой планеты, где не знают о мошенничестве, прилетели, а тут такую глупость совершили, на элементарной вещи прокололись. :( Но чтобы для кого-то эта вещь стала элементарной, нужны знания, порой довольно элементарные. Неплохо было бы, если бы в школе нашли часов десять на эту дисциплину. Или бы классные часы были проведены. Всё это потом пригодится в жизни.
Разные ресурсы - разные пароли, это должно быть аксиомой. Но для кого-то это пока теорема. :) Удобно ведь! Вот и поспорь с ними. :)
Ещё одна полезная рекомендация (в добавление к трём от Dr.Web): не читайте ИТ-новости, они не менее вредны, чем советские газеты перед обедом. Спокойнее спать будете. :)))))
@admin, есть опечатка в фразе "...в нащу компанию звонили с целью продаж..."
@admin, ещё странно, что пока печатал сообщение, слетела авторизация, хотя компьютер не был в простое.
Людмила
15:18:49 2019-02-28
"Если бы проверка была организованна на известных, честных ресурсах (например, ресурсах DrWeb), было бы интересно.
первая мысль в связи с https://news.drweb.ru/show/?lng=ru&i=13111&c=5 была именно такой: сделать страницу, де можно проверить пароль. но мы сразу от нее отказались и сделали рассылку.
Важно время - не надо ждать, пока пользователь увидит эту новость и решит проверить пароль - мы сами ему сообщаем, что его пароль точно в базе утечки.
marisha-san
15:13:21 2019-02-28
SGES
15:02:37 2019-02-28
eaglebuk
14:56:03 2019-02-28
Toma
14:47:02 2019-02-28
anatol
14:04:33 2019-02-28
cpp
13:25:34 2019-02-28
maestro431
13:20:00 2019-02-28
Денисенко Павел Андреевич
12:55:26 2019-02-28
Masha
12:19:57 2019-02-28
Совет хороший, еще бы всегда ему следовать.
Родриго
12:14:12 2019-02-28
Alexander
12:04:25 2019-02-28
Alexander
11:53:19 2019-02-28
Могут ли "утечь" на сторону данные наших аккаунтов, банковских карт и другие личные чувствительные данные? Да, конечно, к сожалению, могут...
И как же нам реагировать на вдруг появившееся сообщение о появлении в продаже данных участников используемого нами электронного ресурса? Первое и основное, ни в коем случае не суетиться и не паниковать! Dr.Web рекомендует концентрированно, и по сути! Спокойно вникнуть в содержание этих трёх пунктов. Главное, не пользоваться никакими публичными ресурсами для "проверки" не попадания своих данных в уворованную базу...
Да, по-видимому, пришло время произвести неплановую смену паролей…
dyadya_Sasha
11:50:57 2019-02-28
Если бы проверка была организованна на известных, честных ресурсах (например, ресурсах DrWeb), было бы интересно.
Интересно насколько осторожно (бесшабашно), ответственно(безответственно) ты сам работаешь в инете со своими данными.
Но только интересно и всё. В плане реальной защиты своих данных такой ресурс не эффективен, потому что всё очень просто решается соблюдением элементарных правил безопасности - периодической сменой пароля.
Oleg
11:32:28 2019-02-28
sanek-xf
11:19:22 2019-02-28
Natalya_2017
11:15:40 2019-02-28
Dmur
10:56:03 2019-02-28
Александр
10:23:27 2019-02-28
vinnetou
10:22:36 2019-02-28
Zserg
09:42:47 2019-02-28
robot
09:33:19 2019-02-28