ИИ навязывается нам практически во всех аспектах жизни: от телефонов и приложений до поисковых систем и даже автокасс . Тот факт, что теперь у нас есть веб-браузеры со встроенными помощниками на основе ИИ и чат-ботами, показывает, что способы, которыми некоторые люди используют интернет для поиска и потребления информации сегодня, сильно отличаются от того, что было даже несколько лет назад.
Однако инструменты искусственного интеллекта всё чаще требуют доступа к вашим персональным данным под предлогом необходимости их работы. Такой доступ не является нормой и не должен считаться нормой.
Не так давно вы могли бы задаться вопросом, почему, казалось бы, безобидное бесплатное приложение типа «фонарик» или «калькулятор» в App Store пытается запросить доступ к вашим контактам, фотографиям и даже данным о вашем местоположении в реальном времени. Возможно, этим приложениям эти данные не нужны для работы, но они запросят их, если решат, что смогут заработать на ваших данных пару долларов .
В наши дни искусственный интеллект ничем не отличается.
В ходе недавнего практического использования браузера TechCrunch обнаружил, что когда Perplexity запрашивает доступ к календарю Google пользователя, браузер запрашивает широкий спектр разрешений для учетной записи Google пользователя, включая возможность управлять черновиками и отправлять электронные письма, загружать контакты, просматривать и редактировать события во всех ваших календарях и даже возможность делать копию всего справочника сотрудников вашей компании.
Comet запросил доступ к аккаунту Google пользователя. Источник изображений: TechCrunch
Perplexity утверждает, что значительная часть этих данных хранится локально на вашем устройстве, но вы все равно предоставляете компании права доступа и использования вашей личной информации, в том числе для улучшения ее моделей ИИ для всех остальных.
Perplexity — не единственная компания, которая запрашивает доступ к вашим данным. Существует тенденция к появлению приложений на основе ИИ, которые обещают сэкономить ваше время, например, расшифровывая ваши звонки или рабочие встречи, но требуют, чтобы ИИ-помощник предоставлял доступ к вашим личным перепискам в режиме реального времени, календарям, контактам и другим данным. Meta также тестирует пределы того, к чему могут запросить доступ её приложения на основе ИИ, включая доступ к фотографиям, хранящимся в фотоплёнке пользователя , которые ещё не были загружены.
Президент Signal Мередит Уиттакер недавно сравнила использование агентов и помощников ИИ с тем, чтобы «поместить ваш мозг в банку». Уиттакер объяснила, как некоторые продукты ИИ могут обещать выполнение самых разных рутинных задач, например, бронирование столика в ресторане или билета на концерт. Но для этого ИИ потребует вашего разрешения на открытие браузера для загрузки веб-сайта (что может предоставить ИИ доступ к вашим сохранённым паролям, закладкам и истории просмотров), кредитной карты для бронирования, вашего календаря для отметки даты, а также может попросить открыть ваши контакты, чтобы поделиться бронированием с другом.
Использование помощников на основе искусственного интеллекта, работающих с вашими данными, сопряжено с серьёзными рисками для безопасности и конфиденциальности. Предоставляя доступ, вы мгновенно и безвозвратно передаёте права на полный набор самых личных данных на данный момент времени, включая входящие, сообщения, записи в календаре за прошлые годы и многое другое. Всё это ради выполнения задачи, которая якобы экономит ваше время — или, по словам Уиттакера, избавляет вас от необходимости активно думать об этом.
Вы также предоставляете ИИ-агенту разрешение действовать автономно от вашего имени, требуя от вас огромного доверия к технологии, которая и без того склонна к ошибкам или откровенному фальсифицированию . Использование ИИ также требует от вас доверия компаниям, разрабатывающим эти продукты на основе ИИ и ориентированным на получение прибыли, которые используют ваши данные для повышения эффективности своих ИИ-моделей . Когда что - то идёт не так (а такое случается часто), сотрудники ИИ-компаний обычно просматривают ваши личные подсказки, чтобы понять, почему что-то не работает.
С точки зрения безопасности и конфиденциальности, простой анализ затрат и выгод подключения ИИ к вашим самым личным данным просто не оправдывает отказа от доступа к самой конфиденциальной информации. Любое приложение с ИИ, запрашивающее такие разрешения, должно насторожить вас, как и приложение-фонарик, которое хочет знать ваше местоположение в любой момент времени.
Учитывая огромные объемы данных, которые вы передаете компаниям, работающим в сфере ИИ, спросите себя, действительно ли то, что вы получаете, того стоит.
Устройство Cellebrite, при помощи которого взламываются и изучаются смартфоны и т.д.
При въезде в страны, ваши устройства-от мобильного телефона до ноутбука, планшета, фотоаппаратов и т.д, могут проверить. Особенно, если страна находится в состоянии конфликта, подвергается террористическим и кибер.атакам.
Вы можете отказаться от проверки, но вас могут в ответ, просто не пустить в страну как подозрительную личность.
Если вы приедет в страны с новым устройством, и новыми аккаунтами-это вызовет большое подозрение, как и отсутствие мобильного телефона.
Если вы удалите фото, переписку, файлы и т.д- то удаленные данные видны проверяющему при помощи специального устройства!
Причина такой проверки-борьба с преступниками и террористами, недопущение приезда выходцев и сторонников из враждебных стран, людей которые посещали спорные территории и непризнанные страны и анклавы, и т.д.
Так-же надо учесть, что если у вас в загран.паспорте стоит отметка о посещении недружественной страны, вам могут отказать во въезде, или будет предвзятое отношение.
РЕШЕНИЕ.
Параллельно иметь второй запасной телефон/смартфон, в котором другие аккаунты с безобидными и не со спорными данным.
Но такой телефон, как и аккаунты, надо заводить заранее, чтобы у устройства и его аккаунтов, была полноценная история. Т.к уже ранее говорилось ,что свежее устройство и свежие аккаунты, вызовут большое подозрение. Пример: Человек помимо обычного смартфон, имел второй смартфон предназначенный только для работы. Работа не имела секретных данных.
Человек взял с собой в поездку только рабочий телефон, который спокойно пошел проверку, т.к он был и не только что новый, имел историю и данные, но и не содержал ничего компрометирующего.
1. Купите абсолютно новый отдельный телефон/смартфон.
Если купите устройство которым кто-то ранее пользовался, то при изучении старых и восстановлении удаленных данных устройства, могут выявится данные и информация старого владельца, которые могут сыграть против вас.
2. На новом телефоне, заведите новые аккаунты в соц.сетях, облачных хранилищах, и сервисах. Запускать старые и чужие аккаунты нельзя ни разу.
Т.к ряд приложений и сервисов между собой умеют синхронизироваться(например Инстаграм-Фейсбук).
В том же приложении Инстаграм, между старым и новым аккаунтом уже будет ассоциация, если через официальное приложение войдете в старый аккаунт, когда уже был открыт в этом приложении новый аккаунт.
Аккаунты надо заводить на абсолютно новый номер, т.к при более тщательном изучении, проверяющий может вбив ваш номер в "специальные пробивочные сервисы с утечками", вычислить ваш основной-старый аккаунт.
3. В новые аккаунты загрузите новые фотографии, которые вы никуда в интернет еще на загружали. Иначе при более тщательной проверке, будет установлена связь между вашими новыми и старыми аккаунтами!
Содержимое фотографий должно быть нейтральным, позитивным и доброжелательным. Фотографии с оружием, в военной форме, и военной техникой, обнаженные/эротика, могут иногда стать вам в минус. Зверюшки, еда, природа-лучший вариант.
Если проверяющий заметит фотографии из спорной территории или враждебной для них страны- вам будет отказ. И неважно что это были фотографии отдыха на природе, или курорте.
4. В контактах телефона должны быть только нейтральные номера. Номер опального и проблемного человека, при более тщательной проверке может сыграть против вас. Или номера с кодом/префиксом враждебных стран.
4. Фотографии и видео в телефоне должны быть только нейтрального и безобидного содержания, как и в самих соц.сетях.
5. При проверке продуктами типа Cellebrite и т.п, удаленные файлы, фото и видео, звонки, смс, и прочее содержимое вашего телефона, видны проверяющему!
6. На практике, даже если вы удалили из облачных сервисов ваши фото и данные, проверяющие могут получить к ним доступ. Поэтому только новые аккаунты, облачных хранилищ с новыми медиафайлами.
7. На телефоне не должно быть сильно личных, важных и секретных данных, т.к по факту проверяющие будут это все видеть.
8. После прохождение проверки, все пароли на устройстве и в аккаунтах (если вы говорил пароль проверяющему) надо сменить, чтобы исключить доступ и взлом против ваших аккаунтов.
9. Если устройству и аккаунтам всего год, то проверяющий может заподозрить неладное, и потребовать у вас показа ему в сети адрес ваших старых аккаунтов. Поэтому в старых аккаунтах, заранее лучше удалить сомнительные фото, видео, посты и комментарии.
Т.к при более тщательной проверке, проверяющий может по тихой по вашим фио, номеру, никнейму, и т.д, поискать ваши старые и левые аккаунты.
Microsoft заблокировала профиль пользователя в OneDrive без уведомления и без причины. В нем хранилась информация за 30 лет его жизни – личные и рабочие данные, которые он собирал с 1990-х годов. Резервной копии на офлайн-носителе у него нет.
Нажал на кнопку – в пыль воспоминания
Корпорация Microsoft внезапно заблокировала пользователю профиль в своем облаке OneDrive, который он использовал для хранения личной информации. В нем собралась уникальная коллекция из документов, фотографий, видеороликов и прочих файлов, которые пользователь собирал и бережно хранил с 1990-х годов, то есть на протяжении 30 лет.
С произволом софтверного гиганта столкнулся пользователь Reddit под псевдонимом deus03690. Microsoft заблокировала аккаунт со всеми его данными без предупреждения, и даже причина не была озвучена. При этом копий на диске в компьютере или внешнем носителе у него не осталось.
«Я более чем расстроен. Microsoft заблокировала мой аккаунт после того, как я перенес на OneDrive 30-летние незаменимые фотографии и работу. Я объединял данные с нескольких старых дисков перед крупным переездом – накопители, которые мне пришлось выбросить из-за ограничений по пространству и переезду. План был прост: загрузить на OneDrive, а затем перенести на новый диск позже», – написал deus03690.
Microsoft до лампочки
Вместо желаемого результата пользователь получил бан своего профиля от Microsoft – уже после того, как он выгрузил в него все свои данные. Причина неизвестна, уведомлений никаких не было, а на попытки deus03690 выяснить, в чем дело, и как-то решить вопрос, Microsoft упрямо отвечает обычными отписками.
«Я отправлял форму обращения 18 раз – восемнадцать – и каждый раз получал автоматический ответ, который ни к чему не приводит. Никакого человеческого контакта. Никакой реальной помощи. Просто законсервированные электронные письма и радиомолчание», – пожаловался deus03690.
Вся надежда на юристов
В своей публикации deus03690 недвусмысленно дал понять, что собирается наказать Microsoft при помощи юристов. Он полагает, что его «цифровую жизнь» в некотором роде «взяли в заложники» (hold someone’s entire digital life hostage), не имея на то никакого права.
Пользователь обратился к другим участникам сообщества за советом, как можно «обострить ситуацию юридически или публично» (to escalate it legally or publicly).
«Я отказываюсь позволить 30 годам моей истории исчезнуть, потому что какая-то автоматизированная система пометила меня за... что-то? Я даже не знаю что», – подытожил deus03690.
Может, стоит посмотреть в зеркало
Несмотря на то, что ситуация, в которой оказался deus03690, далеко не из приятных, и мало кто хотел бы повторить его опыт, нашлись пользователи, которые увидели причину проблемы непосредственно в нём самом. Более того, такое мнение набрало наибольшее количество «лайков» на момент выхода материала – 1,6 тыс. против 2,4 тыс. у самой публикации deus03690.
Это мнение высказал пользователь с псевдонимом jdsquint. Он открыто заявил, что, раз уж файлы были настолько важны и ценны, то не стоило доверять их хранение только лишь облаку.
«Компании могут закрыть ваш профиль или обанкротиться в любой момент, и вы, по сути, ничего не можете с этим поделать. У вас нет никаких прав или средств правовой защиты в отношении условий обслуживания, которые вы не читали», – написал он.
Также в своем комментарии jdsquint озвучил то, что большинство компаний из сферы кибербезопасности советуют своим клиентам и другим пользователям. Он порекомендовал иметь несколько резервных копий по формуле «3-2-1».
Большинство ИБ-экспертов сходятся во мнении, что правило создания бэкапов «3-2-1» впервые было описано в книге фотографа Питера Крога (Peter Krogh) «Управление цифровыми активами для фотографов», выпущенной в 2006 г. Оно подразумевает создание двух копий одной и той же информации в дополнение к основной копии.
Основная копия и первый бэкап должны храниться на двух разных физических носителях информации, к которым можно получить доступ без интернета. И только третью копию, то есть второй бэкап, можно хранить удаленно, например, в облаке.
В некоторых случаях пользователи делают три бэкапа в дополнение к основной копии – два разных на физических носителях и один в облаке.
Новая платформа объединит мессенджер, госуслуги и документооборот с усиленной защитой данных.
Сегодня Совет Федерации одобрил закон о создании многофункциональной цифровой платформы.
Как отметил Артём Шейкин, первый зампред Комитета СФ по конституционному законодательству, — «это будет полностью отечественная разработка, включённая в реестр российского ПО».
Ключевые возможности платформы:
Полноценный мессенджер с защищённым обменом сообщениями
Доступ ко всем государственным и муниципальным услугам
Цифровая идентификация личности через ID (замена паспорта в отелях, при покупках)
Запрет на требование бумажных документов при наличии цифровых аналогов
Образовательный функционал для школ и колледжей
Официальная коммуникация между гражданами и госорганами
Особое внимание уделено безопасности:
Интеграция с системой «Госключ» для электронной подписи
Защищённое хранение данных
Постепенное добавление новых документов (дипломы, водительские права, полисы ОМС)
Сергей Боярский, глава комитета Госдумы по информполитике, сообщил, что работа над сервисом может быть завершена до конца 2025 года. Правительство определит организацию, которая займётся реализацией проекта.
Платформа призвана:
Упростить получение госуслуг
Обеспечить конфиденциальность данных
Создать альтернативу иностранным мессенджерам
Сформировать комфортную цифровую среду
Ожидается, что технической основой для сервиса станет платформа MAX, разработанная холдингом VK.
Двухфакторная авторизация с SMS-кодами имеет свою уязвимость и не гарантирует защиту аккаунтов.
КРАТКИЙ СМЫСЛ-ПЕРЕСКАЗ СУТИ ПРОБЛЕМЫ
Существует мнение, что многофакторная защита авторизации, гарантировано защищает аккаунты от взлома. Но это не совсем так.
Несмотря на активное внедрение многофакторной аутентификации (MFA), киберпреступники научились обходить её с помощью всё более изощрённых методов.
Один из них — атаки типа «противник посередине» (Adversary-in-the-Middle, AiTM), которые особенно эффективно реализуются через обратные прокси-серверы.
Эти атаки позволяют перехватывать не только логины и пароли, но и сессионные cookies, открывая злоумышленникам путь в защищённые аккаунты, даже если включена MFA.
Популярность этого метода подкрепляется удобством: благодаря наборам инструментов «Фишинг как услуга» (Phishing-as-a-Service, PhaaS) , таких как: Tycoon 2FA, Evilproxy, Rockstar 2FA и других.
Даже неспециалисты могут запустить такую кампанию.
Разработчики этих комплектов постоянно обновляют их, добавляя функции обхода защитных механизмов, маскировки трафика и сбора дополнительных данных.
Например, инструменты ограничивают доступ к фишинговым страницам только по точной ссылке, используют фильтрацию по IP-адресу и User-Agent, внедряют динамически обфусцированный JavaScript и задерживают активацию ссылок, чтобы обойти защиту на стороне почтовых сервисов.
Фишинговые прокси работают по схеме: Пользователь переходит по ссылке, указывает логин и пароль, а затем подтверждает MFA.
Всё это происходит на настоящем сайте — просто через прокси-сервер атакующего.
После успешной аутентификации сайт выдаёт сессионную cookie, которую перехватывает злоумышленник. В его руках оказывается полный доступ к учётной записи.
Некоторые атакующие тут же добавляют своё MFA-устройство в профиль жертвы, чтобы сохранить доступ и после окончания текущей сессии.
БОЛЕЕ ПОДРОБНОЕ ИЗУЧЕНИЕ ПРОБЛЕМЫ " Современный фишинг: обход MFA. Автор: Джейсон Шульц"
Киберпреступники обходят многофакторную аутентификацию (MFA), используя атаки типа «злоумышленник посередине» (AiTM) через обратные прокси-серверы, перехватывая учётные данные и файлы cookie для аутентификации.
Разработчики таких комплектов «Фишинг как услуга» (PhaaS), как Tycoon 2FA и Evilproxy, добавили функции, которые упрощают их использование и затрудняют обнаружение.
WebAuthn, решение для многофакторной аутентификации без пароля, использующее криптографию с открытым ключом, предотвращает передачу пароля и обнуляет серверные базы данных аутентификации, обеспечивая надёжную защиту от атак с обходом многофакторной аутентификации.
Несмотря на значительные преимущества в плане безопасности, WebAuthn внедряется медленно. Компания Cisco Talos рекомендует организациям пересмотреть свои текущие стратегии многофакторной аутентификации в свете этих развивающихся фишинговых угроз.
В течение последних тридцати лет фишинг был основным средством в арсенале многих киберпреступников.
Все специалисты по кибербезопасности знакомы с фишинговыми атаками: преступники выдают себя за сайт, которому доверяют, в попытке вынудить жертв социальной инженерии к разглашению личной информации, такой как имена пользователей учетных записей и пароли.
На заре фишинга киберпреступникам часто было достаточно создавать поддельные целевые страницы, соответствующие официальному сайту, собирать учетные данные для аутентификации и использовать их для доступа к учетным записям жертв.
С тех пор сетевые защитники пытались предотвратить подобные атаки, используя различные методы. Помимо внедрения мощных систем защиты от нежелательной почты для фильтрации фишинговых писем из почтовых ящиков пользователей, многие организации также проводят имитационные фишинговые атаки на своих собственных пользователей, чтобы научить их распознавать фишинговые письма.
Какое-то время эти методы работали, но по мере того, как фишинговые атаки становились все более изощренными и целенаправленными, фильтры спама и обучение пользователей становились менее эффективными.
В основе этой проблемы лежит тот факт, что имена пользователей часто легко угадать или вычислить, а люди, как правило, очень плохо используют надёжные пароли. Люди также склонны повторно использовать одни и те же слабые пароли на разных сайтах. Киберпреступники, зная имя пользователя и пароль жертвы, часто пытаются взломать учётные данные и войти на разные сайты, используя одну и ту же комбинацию имени пользователя и пароля.
Чтобы подтвердить подлинность пользователей, системы аутентификации обычно используют как минимум один из трёх методов или факторов аутентификации:
Что-то, что вы знаете (например, имя пользователя и пароль)
Что-то, что у вас есть (например, смартфон или USB-ключ)
Что-то, чем вы являетесь (например, ваш отпечаток пальца или распознавание лица)
В условиях появления всё более изощрённых фишинговых сообщений использование только одного фактора аутентификации, такого как имя пользователя и пароль, является проблематичным. Многие сетевые администраторы в ответ на это внедрили многофакторную аутентификацию, которая включает дополнительный фактор, например SMS-сообщение или push-уведомление, в качестве дополнительного шага для подтверждения личности пользователя при входе в систему. Благодаря включению дополнительного фактора в процесс аутентификации скомпрометированные имена пользователей и пароли становятся гораздо менее ценными для киберпреступников. Однако киберпреступники — изобретательные люди, и они нашли хитрый способ обойти многофакторную аутентификацию. Добро пожаловать в безумный мир обхода многофакторной аутентификации!
Как правило, это делается с помощью обратного прокси-сервера. Обратный прокси-сервер функционирует как сервер-посредник, принимающий запросы от клиента и перенаправляющий их на реальные веб-серверы, к которым клиент хочет подключиться.
Чтобы обойти многофакторную аутентификацию, злоумышленник настраивает обратный прокси-сервер и рассылает фишинговые сообщения как обычно. Когда жертва подключается к обратному прокси-серверу злоумышленника, он перенаправляет трафик жертвы на настоящий сайт. С точки зрения жертвы, сайт, к которому она подключилась, выглядит подлинным — и это так! Жертва взаимодействует с законным сайтом.
Единственное отличие, заметное жертве, — это расположение сайта в адресной строке браузера.
Вклинившись в этот процесс обмена данными между клиентом и сервером, злоумышленник может перехватить имя пользователя и пароль, которые отправляются от жертвы на легитимный сайт.
Это завершает первый этап атаки и запускает запрос многофакторной аутентификации, отправляемый жертве с легитимного сайта.
Когда ожидаемый запрос многофакторной аутентификации получен и одобрен, файл cookie аутентификации возвращается жертве через прокси-сервер злоумышленника, где он перехватывается злоумышленником.
Теперь злоумышленник владеет как именем пользователя и паролем жертвы, так и файлом cookie аутентификации с официального сайта.
Рис. 1. Блок-схема, иллюстрирующая обход MFA с помощью обратного прокси-сервера.
Наборы для фишинга как услуги (PhaaS)
Благодаря готовым наборам инструментов «Фишинг как услуга» (Phaas) практически любой может проводить такого рода фишинговые атаки, не зная многого о том, что происходит «под капотом».
В этой сфере появились такие наборы инструментов, как Tycoon 2FA, Rockstar 2FA, Evilproxy, Greatness, Mamba 2FA и другие.
Со временем разработчики некоторых из этих наборов инструментов добавили функции, чтобы сделать их более простыми в использовании и менее заметными:
Наборы для обхода MFA от Phaas обычно включают шаблоны для самых популярных фишинговых целей, чтобы помочь киберпреступникам в организации фишинговых кампаний.
Наборы для обхода MFA ограничивают доступ к фишинговым ссылкам только для тех пользователей, у которых есть правильный фишинговый URL-адрес, и перенаправляют других посетителей на безопасные веб-страницы.
Наборы для обхода многофакторной аутентификации часто проверяют IP-адрес и/или заголовок User-Agent посетителя, блокируя доступ, если IP-адрес соответствует известной компании по обеспечению безопасности/крадущемуся программному обеспечению или если User-Agent указывает на то, что это бот.
Фильтры User-Agent также могут использоваться для дальнейшей нацеливания фишинговых атак на пользователей, использующих определённое оборудование/программное обеспечение.
Наборы для обхода MFA с обратным прокси-сервером обычно вводят свой собственный код JavaScript на страницы, которые они предоставляют жертвам, для сбора дополнительной информации о посетителе и обработки перенаправлений после кражи файла cookie аутентификации. Эти скрипты часто динамически запутываются для предотвращения статического снятия отпечатков пальцев, что позволило бы поставщикам средств безопасности идентифицировать сайты атак в обход MFA.
Чтобы обойти антифишинговые защиты, которые могут автоматически переходить по URL-адресам, содержащимся в электронном письме, в момент его получения, может быть предусмотрена короткая программируемая задержка между отправкой фишингового сообщения и активацией фишингового URL-адреса.
Рисунок 2. Пример фишингового сообщения, связанного с набором инструментов для фишинга Tycoon 2FA.
Ускоряют рост атак в обход MFA через обратный прокси общедоступные инструменты с открытым исходным кодом, такие как Evilginx. Evilginx дебютировал в 2017 году как модифицированная версия популярного веб-сервера с открытым исходным кодом nginx. Со временем приложение было переработано и переписано на Go и реализует собственный HTTP и DNS-сервер. Хотя он позиционируется как инструмент для тестирования red teams на проникновение, поскольку у него открытый исходный код, любой может скачать и модифицировать его.
К счастью для защитников, существуют общие для Evilginx и других инструментов для обхода MFA характеристики, которые могут указывать на то, что атака с обходом MFA уже началась:
Многие серверы обратного прокси-сервера для обхода MFA размещены на относительно недавно зарегистрированных доменах/сертификатах.
Получение файла cookie для аутентификации предоставляет злоумышленникам доступ к учетной записи жертвы только на этот единственный сеанс.
Получив доступ к учетной записи жертвы, многие злоумышленники добавляют к учетной записи дополнительные устройства MFA для поддержания сохраняемости.
Проверяя журналы MFA на предмет такого рода активности, правозащитники могут обнаружить учетные записи, ставшие жертвами атак в обход MFA.
По умолчанию URL-адреса фишинговых приманок Evilginx состоят из 8 букв в смешанном регистре.
По умолчанию Evilginx использует HTTP-сертификаты, полученные от LetsEncrypt. Кроме того, сертификаты, которые он создаёт по умолчанию, имеют организацию «Evilginx Signature Trust Co.» и общее имя «Evilginx Super-Evil Root CA».
После того, как злоумышленник перехватил файл cookie для аутентификации сеанса, он обычно загружает этот файл cookie в свой собственный браузер, чтобы выдать себя за жертву.
Если злоумышленник не будет осторожен, какое-то время два разных пользователя с разными пользовательскими агентами и IP-адресами будут использовать один и тот же файл cookie сеанса. Это можно обнаружить с помощью веб-журналов или продуктов безопасности, которые ищут такие вещи, как “невозможное перемещение”.
Чтобы жертва не переходила по ссылке, которая перенаправляет ее с фишингового сайта, обратный прокси-сервер Evilginx переписывает URL-адреса, содержащиеся в HTML-формате, с законного сайта.
Популярные цели фишинга могут использовать очень специфические URL-адреса, и сетевые защитники могут искать эти URL-адреса, обслуживаемые с серверов, отличных от легитимного сайта.
Многие реализации обратного прокси-сервера для обхода многофакторной аутентификации написаны с использованием встроенных в язык программирования реализаций Transport Layer Security (TLS). Таким образом, отпечаток TLS обратного прокси-сервера и легитимного веб-сайта будет отличаться.
Когда пользователь регистрируется в MFA с помощью WebAuthn, генерируется криптографическая ключевая пара. Закрытый ключ хранится на устройстве пользователя, а соответствующий открытый ключ хранится на сервере.
Когда клиент хочет войти в систему, он сообщает об этом серверу, который отвечает запросом. Затем клиент подписывает эти данные и возвращает их серверу. Сервер может проверить, что запрос был подписан с помощью закрытого ключа пользователя.
Пароли никогда не вводятся в веб-форму и не передаются по интернету. Это также делает базы данных аутентификации на стороне сервера бесполезными для злоумышленников. Что хорошего в краже открытого ключа?
Рисунок 3. Процесс аутентификации WebAuthn.
Рисунок 3. Процесс аутентификации WebAuthn.
В качестве дополнительного уровня безопасности учётные данные WebAuthn также привязываются к источнику веб-сайта, на котором они будут использоваться. Например, предположим, что пользователь переходит по ссылке в фишинговом сообщении на контролируемый злоумышленником обратный прокси-сервер mfabypass.com, который выдаёт себя за банк пользователя.
Адрес в адресной строке веб-браузера не будет соответствовать адресу банка, к которому привязаны учётные данные, и процесс многофакторной аутентификации WebAuthn завершится ошибкой.
Привязка учётных данных к определённому источнику также предотвращает связанные с идентификацией атаки, такие как переполнение учётными данными, когда злоумышленники пытаются повторно использовать одни и те же учётные данные на нескольких сайтах.
Несмотря на то, что спецификация WebAuthn была впервые опубликована в 2019 году, она внедрялась относительно медленно.
Судя по данным телеметрии аутентификации Cisco Duo за последние шесть месяцев, аутентификация с помощью WebAuthn по-прежнему составляет очень небольшой процент от всех аутентификаций с помощью MFA.
В определенной степени это понятно. Многие организации, возможно, уже внедрили другие типы MFA и могут считать, что это достаточная защита.
Однако они могут захотеть пересмотреть свой подход, поскольку все больше и больше фишинговых атак используют стратегии обхода MFA.
Покрытие
Cisco Secure Endpoint (ранее AMP для конечных устройств) идеально подходит для предотвращения запуска вредоносного ПО, описанного в этой статье. Попробуйте Secure Endpoint бесплатно здесь.
Cisco Secure Email (ранее Cisco Email Security) может блокировать вредоносные электронные письма, отправляемые злоумышленниками в рамках их кампании. Вы можете бесплатно попробовать Secure Email здесь.
Cisco Secure Network/Cloud Analytics (Stealthwatch/Stealthwatch Cloud) автоматически анализирует сетевой трафик и предупреждает пользователей о потенциально нежелательной активности на каждом подключенном устройстве.
Cisco Secure Malware Analytics (Threat Grid) выявляет вредоносные двоичные файлы и встраивает защиту во все продукты Cisco Secure.
Cisco Secure Access — это современная облачная служба безопасности (SSE), построенная на принципах нулевого доверия. Secure Access обеспечивает бесперебойный, прозрачный и безопасный доступ к интернету, облачным сервисам или частным приложениям независимо от того, где работают ваши пользователи.
Если вас интересует бесплатная пробная версия Cisco Secure Access, пожалуйста, свяжитесь с представителем Cisco или авторизованным партнером.
Umbrella, защищенный интернет-шлюз Cisco (SIG), блокирует доступ пользователей к вредоносным доменам, IP-адресам и URL-адресам независимо от того, находятся ли пользователи в корпоративной сети или за ее пределами.
Cisco Secure Web Appliance (ранее Web Security Appliance) автоматически блокирует потенциально опасные сайты и проверяет подозрительные сайты перед доступом к ним пользователей.
Дополнительные средства защиты с учётом особенностей вашей среды и данных об угрозах доступны в Центре управления брандмауэром.
Cisco Duo обеспечивает многофакторную аутентификацию пользователей, гарантируя, что только авторизованные пользователи получат доступ к вашей сети.
Как убрать в ChatGPT невидимые водяные знаки в сгенерированном тексте, которые недавно появились в новых моделях от Open AI?
Недавно в СМИ появилась новость:
"Новые языковые модели от OpenAI оставляют невидимые водяные знаки в сгенерированном тексте." Важно отметить, что символы находятся в случайных местах текста. В окне браузера, популярных онлайн-редакторах документов и Microsoft Word эти символы по умолчанию не видно.
Водяные знаки вшитые моделями o4-mini и o3 представляют собой коды неразрывного пробела в формате Unicode — они остаются незаметными в большинстве текстовых редакторов, но могут быть выявлены в специализированных инструментах, таких как Sublime Text и VS Code.
Хотя ранее была новость: OpenAI не будет ставить ватермарки на текст ChatGPT. OpenAI пока не будет внедрять водяные знаки на тексты, созданные ChatGPT, несмотря на наличие такой технологии и инструмента для ее обнаружения. Это решение связано с опасениями, что внедрение водяных знаков может негативно повлиять на использование ChatGPT и прибыль компании.
КАК УБРАТЬ НЕВИДИМЫЕ ЗНАКИ?
Но изначально, введения скрытных водяных символов, не имеет смысла. Т.к очень легко обходиться, даже без написания скриптов или софта.
Первый способ. Сделать скриншот текста, и отправить его на распознание в "Яндекс Картинки" или программу типа ABBYY FineReader т.п. Распознается текст уже в виде обычных символов.
Второй способ. Конвертировать текст в аудио-звуковой формат(надиктовывая в диктофон ил по помощи нейросетей и софта), а затем звуковой файл конвертировать в текстовый.
Третий способ(шутка). Вручную перепечатать текст, глядя на ответ нейросети. Здесь Технологии скрытного шифрования бессильны.
