Zabezpečení počítače Jak se bránit -  Jak se bránit 2FA  OBRANA PROTI PHISHINGU  Sociální inženýrství 

Jak se bránit 2FA

Jak se bránit proti 2FA útokům?

Přihlašování do systému 2FA sice lze úspěšně napadnout, ale vy se můžete bránit tím, že to ztížíte. Zde je několik doporučení pro blokaci útoků na 2FA, z nichž mnohé byste již měli používat:

• Školení administrátorů a uživatelů o hrozbách a útocích na 2FA.

• Zeptejte se svého dodavatele na to, jak dobře řeší každý z výše uvedených scénářů hrozby útoku, pokud se vztahují k vašemu použití 2FA.

• Zajistěte, aby systémy používaly aktuální antivirový software k detekci a prevenci malwaru a útoků hackerů, kteří by se mohli pokusit krást vaše přihlašovací údaje 2FA.

• Zajistěte, aby vaši uživatelé chápali a byli školeni, jak odolávat scénářům útoků na 2FA přes sociální inženýrství. Neměli by být ochotni předávat svá čísla PIN pro 2FA nebo použít svá zařízení či software 2FA na každém webu a e-mailu, který o to požádá.

• Pokud web nebo služba umožňují použití 2FA, používejte ji. Pokud to lze udělat a můžete zapnout vyžadování 2FA pro přihlášení, tak to zapněte.

• Zjistěte, jaké možnosti dodavatel 2FA nabízí pro obejití 2FA. Lze obejít 2FA pomocí sociálního inženýrství?

• Zeptejte se svého poskytovatele 2FA, zda při vývoji hardwaru a softwaru používali osvědčené postupy SDL (Secure Development Lifecycle) pro psaní kódu.

• Chraňte a prověřujte atributy totožnosti používané technologií 2FA pro jednoznačnou identifikaci přihlášení 2FA.

• Nepoužívejte adekvátní odpovědi na otázky používané k resetování hesla.

• Povzbuzujte a používejte weby či služby s použitím dynamické autentizace, která zvyšuje počet otázek či potřebných faktorů, když dochází k požadavku na přihlášení z nového zařízení nebo za neobvyklých okolností (např. cizí lokalita nebo neobvyklý čas).

• Zdravé chápání a skepse ohledně toho, před čím dokáže přihlašování 2FA chránit a před čím ne, nemohou nikomu ublížit.

2FA je určitě lepší a bezpečnější než použití jednofaktorové ochrany, jako jsou hesla, ale není to všelék. Lze ji prolomit.

Tyto technologie mohou pomoci při mnoha scénářích snahy o průlom, ale ani v těchto případech nejsou dokonalé. Používejte je s přesvědčením, ale ne s nepřiměřeným optimismem, jak to mnozí dělají.

OBRANA PROTI PHISHINGU
Základ obrany proti metodám phishingu tvoří zdravý selský rozum. Uživatel by si měl vždy v duchu odpovědět na prostou otázku: „Opravdu by mi banka (nebo jiná podobná instituce) posílala nešifrovaný e-mail a chtěla po mně takovéto důvěrné údaje?“ Tuto úvahu v drtivé většině případů zodpovíte negativně. Žádná instituce, a už vůbec ne bankovní instituce, po vás nikdy nebude žádat přihlašovací údaje e-mailem. Toto řeší oficiální formou, nikoli e-mailem. Mějte na paměti, že phishing nemusí být spojen jen s tématem elektronického bankovnictví, ale je to např. i snaha o získání hesla do e-mailu nebo jiných služeb, kde se dají zjistit další Vaše důvěrné údaje.

OBRANA PROTI PHISHINGU V BODECH:
Jednoduchý a jednotný recept na obranu proti phishingu neexistuje. Vždy jde o použití zdravého rozumu a souhrnu několika bezpečnostních pravidel:

Doručené podezřelé e-maily ignorujte, neklikejte na žádné odkazy v takovém e-mailu.
Pro přihlášení do služby použijte standardní způsob, ruční zadání adresy www přímo do adresního řádku internetového prohlížeče.
U podezřelých e-mailů kontrolujte podrobnosti (kudy e-mail putoval, přes jaké IP adresy - položky „Received“, které obsahují záznamy o „cestě“ zprávy mezi jednotlivými přenosovými uzly, atp.).
Při nestandardním požadavku na osobní údaje či finanční obnos od vašich známých a přátel skrze e-maily či sociální sítě vše ověřujte (např. osobně, nebo telefonicky).
Pravidelně aktualizovaný internetový prohlížeč, antivirový program a e-mailový klient ve většině případů informují uživatele, že se jedná o phishing.
Na možné zneužití může upozorňovat také adresní řádek (tam, kde zadáváte webovou adresu). Pokud neobsahuje obvyklou webovou adresu vaší banky, je to známka, že může jít o podvodnou webovou stránku.
Používejte zabezpečená - šifrovaná spojení.
Sledujte certifikát zabezpečení vaší banky.
Při přihlašování, pokud je to možné, používejte dvou faktorovou autentizaci. Při autorizaci transakcí pomocí autorizačních SMS věnujte pozornost celému textu autorizační SMS, kterou obdržíte od banky.
Aktivujte si anti-phishingovou technologii v prohlížeči.
Můžete využívat i doplňky prohlížečů, např. NetCraft, antivirové moduly, PhishPatrol, atd.
V případě pochybností si obsah podezřelého e-mailu ověřte telefonátem do zákaznického centra instituce.

JAK SE BRÁNIT Sociální inženýrství
Především je třeba zachovat chladnou hlavu. Důležité je vědět, jaká rizika mohou nést neočekávané nevinně vypadající zprávy. Dalšími faktory, které mohou ovlivnit, zda se konkrétně vy stanete terčem sociálního inženýrství, jsou důležitost vaší pozice v organizaci či firmě a velikost vašeho bankovního konta. Neexistuje žádný zaručeně spolehlivý způsob jak se chránit, protože oklamat lidskou mysl je poměrně jednoduché. Abyste však co nejvíce eliminovali tato rizika, je vhodné se řídit zdravým rozumem a minimálně těmito radami:

• Poučit se z cizích (případně vlastních) chyb – na internetu se píše o lidech, kteří přišli o finanční prostředky díky vlastní chybě. Podobné příběhy by vás měly držet ve střehu.
   

• Důvěřuj, ale prověřuj – pokud se vám cokoliv na příchozí zprávě nezdá, raději se zeptejte přímo odesílatele (třeba telefonicky), nebo zkušenějších kolegů. Nic tím nezkazíte.
   

• Nedat se zastrašit - u podezřelých telefonátů, pokud si nejste jisti, zda vám skutečně volají například z vaší banky, zavěste a pokuste se ověřit autenticitu hovoru na telefonním čísle, které má vaše banka uvedeno na webových stránkách. Pokud vám volá například technická podpora nebo kdokoliv, kdo vystupuje v roli autority (úřad, nadřízený), nebojte se v případě pochybností vše ověřit.
   

• Nespěchat - útočníci rádi pracují s časovou tísní (časově omezená nabídka, teď hned je třeba něco vykonat). Klid, škoda z prodlení bývá menší, než důsledky neuvážených činů.
   

• Nebýt líný – jedno krátké a dobře zapamatovatelné heslo k několika účtům a službám je ideální způsob, jak přijít o všechno najednou.
   

• Nebýt zbytečně zvědavý – každá zajímavá příloha, odkaz mohou být pastí. Opravdu například potřebujete vidět tohle? Nepotřebujete. To samé se týká i nalezených paměťových karet či jiných datových nosičů.
   

• Nebýt zbytečně sdílný – vše, co na sebe prozradíte na internetu (diskusní fóra, webové stránky, sociální sítě) mohou útočníci využít proti vám. Schválně si zkuste zadat do vyhledávače Google vaše jméno.
   

• Nikdo vám nic nedá zadarmo – rozhodně ne velké finanční obnosy.

  ---

  DDOS ÚTOKEM

• OCHRANA CONTROL PLANE SMĚROVAČŮ
  Smyslem ochrany control plane směrovačů je bránit se rozmanitým DoS útokům, které mají za cíl vyřadit řídící logiku směrovačů a způsobit kolaps časti sítě, případně vyvolat dominový efekt v celé síti. Provozovatelé páteřní síťové infrastruktury by se měli řídit doporučeními výrobců svých směrovačů k zajištění ochrany před útoky na control plane. Příklad je nastaveni Control Plane Policying.
• OCHRANA PŘED ÚTOKY NA SMĚROVACÍ PROTOKOL BGP TYPU DOS
  Provozovatelé páteřní síťové infrastruktury by měli používat MD5 autentizaci BGP datagramů v souladu s [RFC 2385], případně reagovat na další nebezpečí popsaná v [RFC 4272].
• OCHRANA PŘED IP SQUATTINGEM POMOCÍ FILTROVÁNÍ
  Provozovatelé páteřní infrastruktury by měli používat konkrétní vstupní i výstupní filtry pro BGP a odvozovat či alespoň kontrolovat jejich obsah v příslušných veřejných směrovacích databázích v souladu s [RFC 2650].
• OCHRANA PŘED IP SPOOFINGEM
  Provozovatelé páteřní infrastruktury ve spolupráci se svými zákazníky, kteří spravují koncové sítě, by měli filtrovat provoz směrem ke koncovým sítím pomocí reverse-path filtrů, pokud to je technicky možné v souladu s [BCP 38]. Smyslem opatřeni je vyloučit šíření DoS útoků s podvrženými zdrojovými adresami a všechny typy útoků přes reflektory z koncových sítí do ostatních AS. Provozovatelé koncových sítí by potom měli zabezpečit, že veškerý odchozí provoz obsahuje zdrojovou IP adresu z přiděleného rozsahu a nejedná se o podvrženou adresu.
• PASIVNÍ MONITOROVÁNÍ PROVOZU A UCHOVÁVÁNÍ DAT
  Provozovatelé páteřní infrastruktury a provozovatelé koncových sítí by měli pasivně monitorovat provoz na svých směrovačích nejlépe pomocí exportu NetFlow, IPFIX apod., případně alespoň packet dump a uchovávat zaznamenaná data zpětně několik dní. Za nutné minimum lze považovat 10 dní a pro snížení objemu dat lze použít NetFlow sampling až do poměru 1:200. Pasivní monitoring provozu by měl sloužit především k identifikaci útoků a provozovatelé síťové infrastruktury by měli mít přehled o provozu na úrovni zdrojové i cílové IP adresy, zdrojového i cílového portu, protokolu, směru komunikace (vstupní interface) a přesných časových údajů.
• AKTIVNÍ REAKCE NA PROBÍHAJÍCÍ ÚTOK V PODOBĚ ZINTENZIVNĚNÍ MONITOROVÁNÍ A SBĚRU FORENZNÍCH INFORMACÍ
  Provozovatelé páteřní infrastruktury a provozovatelé koncových sítí by měli být schopni získat podrobné informace o provozu z konkrétního směru a na konkrétní adresy a měli by zachytit podezřelý datový tok a vyexportovat jej pro další analýzu ve formátu pcap.
• AKTIVNÍ REAKCE NA PROBÍHAJÍCÍ ÚTOK V PODOBĚ ZABLOKOVÁNÍ ÚTOKU
  Provozovatelé páteřní infrastruktury i provozovatelé koncových sítí by měli být schopni zablokovat podezřelý datový tok či množinu datových toků na základě specifického obsahu v protokolových hlavičkách, minimálně však zdrojové a cílové IP adresy, TCP portu a flagů a UDP portu. Provozovatele páteřní infrastruktury můžou nabízet svým zákazníkům služby remote­triggered blackhole či jiný druh automatizace zahazování podezřelého provozu.