Большинство интернет-сервисов не заботится о безопасности пользователей

Большинство интернет-сервисов не заботится о безопасности пользователей

Результаты недавнего исследования компании Digital Security,  свидетельствуют, что крупнейшие интернет-сервисы не уделяют должного внимания парольным политикам. Иван Юшкевич, исследователь Digital Security, проанализировал 80 крупнейших ресурсов различного назначения: почтовые сервисы; социальные сети; электронная коммерция; платежные сервисы; игровые сервисы; криптовалюта; хранение файлов и совместная разработка.

Выяснилось, что в большинстве случаев существующие настройки ресурсов дают пользователю возможность обойтись комбинацией цифр и букв, которую легко может подобрать злоумышленник. Меньше других о безопасности своих подписчиков заботятся файловые хранилища и социальные сети. Также слабые парольные политики применяют игровые ресурсы, сервисы электронной коммерции и отдельные почтовые системы.

Строгий подход к выбору пароля применяют сервисы криптовалюты, платежные системы и отдельные «почтовики». Исследование показало, что только 2 из 10 широко известных ресурсов разного профиля используют строгую политику аутентификации. Лучшими оказались такие популярные ресурсы, как Gmail, Apple Store, MEGA, WebMoney, eBay. Самые слабые парольные политики – у социальной сети Meetme, почтового сервиса Pobox, виртуальных магазинов Aliexpress и Alibaba, а также файловых хранилищ Justcloud и Box. Полный текст исследования доступен по ссылке: http://dsec.ru/upload/medialibrary/a0a/a0ae31d6a8ba3fb26132aa52700cfa5a.pdf.

Подобрав пароль и получив доступ к чужому аккаунту, злоумышленник иногда может завладеть следующей информацией: персональные данные; платежные данные (история операций, платежная информация и др.); переписка, включающая файлы с копиями паспортов, приватные фотографии и другие критичные документы. Далеко не у всех (https://twofactorauth.org/), даже крупных, сервисов поддерживается двухэтапная аутентификация, и на дополнительную защиту надеяться не стоит.

Захватив контроль над пользовательским ресурсом, атакующий затем может задействовать его для рассылки спама, вирусов, атаки на других пользователей: в частности, попросить всех друзей по социальной сети перевести деньги на номер телефона под каким-нибудь предлогом.

Не стоит забывать и о том, что компрометация даже одного аккаунта может привести ко взлому более критичных данных того же пользователя (многие применяют один пароль для разных сервисов). Помимо этого, через почтовый ящик возможен доступ к разным ресурсам, которые привязаны к нему с помощью функционала восстановления пароля. Цепочка аккаунтов может рухнуть, как карточный домик, если, допустим, будет восстановлен пароль к аккаунту в соцсети, а через него успешно совершена авторизация на тех сайтах, которые используют для аутентификации страницу пользователя в Facebook, ВКонтакте, LinkedIn и т. д.

Такое отношение к безопасной аутентификации можно объяснить погоней сервисов за аудиторией. Здесь необходимо выбрать «золотую середину»: слишком сложные правила заставят потратить ощутимо больше времени на регистрацию, что может отпугнуть пользователя. С другой стороны, полное отсутствие политик обязательно повлечет за собой возникновение инцидентов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

41% сотрудников российских компаний не распознают фишинговые письма

Компания RED Security проанализировала результаты проектов по обучению киберграмотности сотрудников в российских организациях. Согласно данным платформы RED Security Awareness, до прохождения обучения 41% работников не отличают фишинговые письма и переходят по вредоносным ссылкам или открывают вложения.

Каждый третий сотрудник вводит на поддельных сайтах логины и пароли от корпоративных учётных записей.

Исследование проводилось на основе симуляций фишинговых атак: с начала года семь тысяч сотрудников из крупных компаний получили тестовые рассылки, имитирующие реальные письма злоумышленников. Все действия пользователей фиксировались и анализировались, чтобы оценить уровень их киберграмотности.

Результаты оказались тревожными:

  • 41% сотрудников переходят по подозрительным ссылкам или открывают вложения;
  • 34% вводят корпоративные данные на поддельных страницах;
  • 13% делают это несколько раз подряд, если не получают ожидаемого результата.

По словам специалистов RED Security, в реальной атаке такие действия с высокой вероятностью привели бы к взлому корпоративной инфраструктуры. В отчётах центра мониторинга компании отмечается, что фишинг и использование реальных учётных записей сотрудников — самые распространённые методы первоначального проникновения в сеть.

Отдельно эксперты предупреждают, что фишинговые рассылки становятся всё более качественными и персонализированными. Этому способствует активное использование злоумышленниками технологий искусственного интеллекта: по данным RED Security SOC, количество писем с признаками применения ИИ выросло на 53% по сравнению с прошлым годом.

Руководитель направления по обучению корпоративных пользователей Артём Мелехин отмечает, что уровень киберграмотности сотрудников снижается:

«В прошлом году 28% работников вводили свои логины и пароли на поддельных сайтах, сейчас — уже 34%. Компании должны выстраивать системное обучение персонала, иначе риск инцидентов будет только расти».

Тестовые письма для сотрудников напоминали обычные внутренние уведомления — о запуске нового портала ДМС, опросах по качеству кофе в офисе или корпоративных бонусных программах.

Чаще всего люди попадались на темы, связанные с привилегиями и бонусами, например, с просьбами оценить качество кофе или подтвердить участие в медицинской страховке.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru