IBM запустила облачный сервис безопасной аутентификации Identity Mixer

IBM запустила облачный сервис безопасной аутентификации Identity Mixer

Корпорация IBM заявила о начале работы своего нового облачного сервиса Identity Mixer, который был анонсирован в Международный день защиты персональных данных 28 января.

Сам сервис предназначен для защиты персональных данных пользователя во время аутентификации. 20 ноября компания объявила о том, что Identity Mixer стал доступен для разработчиков Bluemix. 

Современные приложения и веб-сервисы сегодня обычно требуют аутентификации пользователя, то есть подтверждения личности. Во время прохождения процесса аутентификации обычно открывается большое количество информации, имеющей отношение к личности пользователя, причем эту информацию злоумышленник, при должном умении, может перехватить. Сервисы, где хранятся учетные данные пользователей, нередко взламывают, и тогда злоумышленники получают данные тысяч, а то и миллионов пользователей. Причем не только имена, но и адреса, данные страховки, порой даже номера кредитных карт и даты рождения, пишет habrahabr.ru

Например, для доступа к стриминговому приложению пользователя могут попросить подтвердить, что ему/ей уже исполнилось 18 лет. Обычно это означает указание полной даты рождения, причем в некоторых случаях запрашивается имя, адрес и другие данные пользователя. Данные запрашивают и банковские приложения, сайты интернет-магазинов, социальные сети. При этом пользователю приходится создавать персональный профиль для каждого такого сервиса или приложения.





Если сервис/приложение взломано, то вся эта информация может быть получена злоумышленником. Identity Mixer предназначен для защиты данных пользователя с фокусировкой на необходимые для подтверждения личности данные. Благодаря набору алгоритмов, основанных на криптографической работе специалистов IBM Research, инструмент позволяет разработчикам создавать приложения, аутентификация в котором является «доказательством с нулевым разглашением». 

Доказательство с нулевым разглашением (информации) в криптографии (англ. Zero-knowledge proof) — интерактивный криптографический протокол, позволяющий одной из интерактивных сторон («The verifier» — Проверяющей) убедиться в достоверности какого-либо утверждения (обычно математического), не имея при этом никакой другой информации от второй стороны («The prover» — Доказывающей). Причем последнее условие является необходимым, так как обычно доказать, что сторона обладает определёнными сведениями, в большинстве случаев тривиально, если она имеет право просто раскрыть информацию. Вся сложность состоит в том, чтобы доказать, что у одной из сторон есть информация, не раскрывая её содержание. Протокол должен учитывать, что Доказывающий сможет убедить Проверяющего только в случае, если утверждение действительно доказано. В противном случае, сделать это будет невозможно, или крайне маловероятно из-за вычислительной сложности. Под интерактивностью протокола подразумевается непосредственный обмен информацией сторонами.





В данном случае Identity Mixer аутентифицирует пользователей, запрашивая открытый ключ. У каждого пользователя — собственный секретный ключ, который соответствует нескольким открытым ключам. Каждая транзакция, осуществляемая пользователем, получает собственный открытый ключ и не оставляет никаких сторонних данных, которые могут указывать на личность пользователя. При этом пользователь сам может определить, какие данные будут раскрыты и кому именно.

Таким образом, если взять все тот же стриминг-сервис, пользователь должен предоставить идентификатор и данные подписки, сохраненные в персональном «Кошельке данных» (Credential Wallet). Для доступа к фильму, например, пользователи могут использовать электронный кошелек для предоставления всех этих данных и беспрепятственного получения видеоконтента. Результат — личные данные пользователя не подвергаются опасности, а сервису не нужно хранить и защищать все сторонние данные, вроде даты рождения или имени. 

Фейковый Google Play маскирует онлайн-казино под приложения Tesco, Amazon

Мошенники нашли красивую упаковку для старой схемы: берут известный бренд, рисуют фейковую страницу Google Play, запускают рекламу в соцсетях и под видом официального приложения ведут пользователя в онлайн-казино. В объявлениях злоумышленники используют названия и визуальный стиль известных компаний, включая Tesco, Amazon, Monzo, Revolut и стриминговые сервисы.

По данным Netcraft, кампания продвигается через платную рекламу в Facebook, Instagram, Threads (все три принадлежат корпорации Meta, признанной экстремистской и запрещённой в России) и TikTok.

Где-то всё выглядит примитивно — просто «Brand Slots». А где-то уже почти спектакль: поддельные интерфейсы, фальшивые отзывы, липовые данные из магазинов приложений и даже ИИ-видео с якобы сотрудниками бренда.

 

Главная легенда — официальный запуск слотов или казино-приложения от известной компании. Пользователь кликает по рекламе и попадает на страницу, похожую на Google Play, App Store или сайт бренда. Но кнопка «Install» не ведёт в настоящий магазин приложений. Вместо этого браузер предлагает добавить на главный экран PWA — прогрессивное веб-приложение.

После установки такая штука выглядит как обычное приложение: с иконкой, названием и оформлением под бренд. На деле это тонкая обёртка, которая открывает сторонний сайт онлайн-казино. То есть пользователь думал, что ставит «Amazon Slots» или «Monzo Slots», а получил ярлык на азартную площадку.

Netcraft считает, что схему подпитывает партнёрская экономика. В PWA и ссылках есть параметры, которые позволяют отслеживать регистрации и депозиты. По открытым данным, выплаты за игрока, внесшего депозит, могут составлять от $50 до $350. С такими ставками мошенникам есть смысл вкладываться в правдоподобные объявления и массовый запуск рекламы.

В некоторых кампаниях использовались фейковые страницы с вымышленными разработчиками, скачиваниями и отзывами. Были и интерактивные приманки вроде колеса удачи с гарантированным выигрышем, после которого пользователя просили установить PWA, чтобы забрать приз.

Опасность здесь не только в потерянных деньгах. Такие PWA размывают границу между настоящим приложением и подделкой: браузерная оболочка минимальна, и всё выглядит почти как фирменный сервис. Только фирменного там — разве что украденный логотип.

RSS: Новости на портале Anti-Malware.ru