Фишинг. Война бесконечностиБезопасность
Окончил ВМК МГУ, инженер-исследователь в проекте Radar компании Qrator Labs.
Фишинг, социальный инжиниринг и прочие способы получения логинов и паролей пользователей не теряют своей актуальности. Война за повышение защищенности взаимодействия пользователя и веб-сервиса будет, видимо, идти вечно, поддерживаемая гонкой вооружений с обеих сторон. Цели таких атак могут быть как финансовые (атаки на банки-клиенты, криптобиржи), так и политические (атака на сервера демократической партии США).
Удивительно, но спустя много лет успешные атаки демонстрируют, что одинаково эффективны, оказывается, как “старые” атаки с использованием фейковых ссылок, так и принципиально новые виды атак, использующие архитектурные уязвимости протоколов BGP и DNS (атака на криптобиржу с перехватом трафика DNS-сервиса Amazon).
При этом есть широко распространенное заблуждение, что двухфакторная аутентификация может считаться панацеей для обеспечения безопасности, в том числе финансовых инструментов. На самом деле в течение этого года в прессе уже несколько раз освещались вопросы структурной уязвимости доставки SMS-сообщений.
В рамках доклада будут рассмотрены более подробно основные методы фишинга, будет проведен разбор успешных атак, имевших место в 2017-2018 гг., а также возможные контрмеры вместе с их ограничениями.