Zabezpečení počítače Jak se bránit - Jak se bránit 2FA OBRANA PROTI PHISHINGU Sociální inženýrství
Jak se bránit proti 2FA útokům?
Přihlašování do systému 2FA sice lze úspěšně napadnout, ale vy se můžete bránit tím, že to ztížíte. Zde je několik doporučení pro blokaci útoků na 2FA, z nichž mnohé byste již měli používat:
Školení administrátorů a uživatelů o hrozbách a útocích na 2FA.
Zeptejte se svého dodavatele na to, jak dobře řeší každý z výše uvedených scénářů hrozby útoku, pokud se vztahují k vašemu použití 2FA.
Zajistěte, aby systémy používaly aktuální antivirový software k detekci a prevenci malwaru a útoků hackerů, kteří by se mohli pokusit krást vaše přihlašovací údaje 2FA.
Zajistěte, aby vaši uživatelé chápali a byli školeni, jak odolávat scénářům útoků na 2FA přes sociální inženýrství. Neměli by být ochotni předávat svá čísla PIN pro 2FA nebo použít svá zařízení či software 2FA na každém webu a e-mailu, který o to požádá.
Pokud web nebo služba umožňují použití 2FA, používejte ji. Pokud to lze udělat a můžete zapnout vyžadování 2FA pro přihlášení, tak to zapněte.
Zjistěte, jaké možnosti dodavatel 2FA nabízí pro obejití 2FA. Lze obejít 2FA pomocí sociálního inženýrství?
Zeptejte se svého poskytovatele 2FA, zda při vývoji hardwaru a softwaru používali osvědčené postupy SDL (Secure Development Lifecycle) pro psaní kódu.
Chraňte a prověřujte atributy totožnosti používané technologií 2FA pro jednoznačnou identifikaci přihlášení 2FA.
Nepoužívejte adekvátní odpovědi na otázky používané k resetování hesla.
Povzbuzujte a používejte weby či služby s použitím dynamické autentizace, která zvyšuje počet otázek či potřebných faktorů, když dochází k požadavku na přihlášení z nového zařízení nebo za neobvyklých okolností (např. cizí lokalita nebo neobvyklý čas).
Zdravé chápání a skepse ohledně toho, před čím dokáže přihlašování 2FA chránit a před čím ne, nemohou nikomu ublížit.
2FA je určitě lepší a bezpečnější než použití jednofaktorové ochrany, jako jsou hesla, ale není to všelék. Lze ji prolomit.
Tyto technologie mohou pomoci při mnoha scénářích snahy o průlom, ale ani v těchto případech nejsou dokonalé. Používejte je s přesvědčením, ale ne s nepřiměřeným optimismem, jak to mnozí dělají.
OBRANA PROTI PHISHINGU
Základ obrany proti metodám phishingu tvoří zdravý selský rozum. Uživatel by
si měl vždy v duchu odpovědět na prostou otázku: „Opravdu by mi banka (nebo jiná
podobná instituce) posílala nešifrovaný e-mail a chtěla po mně takovéto důvěrné
údaje?“ Tuto úvahu v drtivé většině případů zodpovíte negativně. Žádná
instituce, a už vůbec ne bankovní instituce, po vás nikdy nebude žádat
přihlašovací údaje e-mailem. Toto řeší oficiální formou, nikoli e-mailem. Mějte
na paměti, že phishing nemusí být spojen jen s tématem elektronického
bankovnictví, ale je to např. i snaha o získání hesla do e-mailu nebo jiných
služeb, kde se dají zjistit další Vaše důvěrné údaje.
OBRANA PROTI PHISHINGU V BODECH:
Jednoduchý a jednotný recept na obranu proti phishingu neexistuje. Vždy jde
o použití zdravého rozumu a souhrnu několika bezpečnostních pravidel:
Doručené podezřelé e-maily ignorujte, neklikejte na žádné odkazy v takovém
e-mailu.
Pro přihlášení do služby použijte standardní způsob, ruční zadání adresy www
přímo do adresního řádku internetového prohlížeče.
U podezřelých e-mailů kontrolujte podrobnosti (kudy e-mail putoval, přes jaké IP
adresy - položky „Received“, které obsahují záznamy o „cestě“ zprávy mezi
jednotlivými přenosovými uzly, atp.).
Při nestandardním požadavku na osobní údaje či finanční obnos od vašich známých
a přátel skrze e-maily či sociální sítě vše ověřujte (např. osobně, nebo
telefonicky).
Pravidelně aktualizovaný internetový prohlížeč, antivirový program a e-mailový
klient ve většině případů informují uživatele, že se jedná o phishing.
Na možné zneužití může upozorňovat také adresní řádek (tam, kde zadáváte webovou
adresu). Pokud neobsahuje obvyklou webovou adresu vaší banky, je to známka, že
může jít o podvodnou webovou stránku.
Používejte zabezpečená - šifrovaná spojení.
Sledujte certifikát zabezpečení vaší banky.
Při přihlašování, pokud je to možné, používejte dvou faktorovou autentizaci. Při
autorizaci transakcí pomocí autorizačních SMS věnujte pozornost celému textu
autorizační SMS, kterou obdržíte od banky.
Aktivujte si anti-phishingovou technologii v prohlížeči.
Můžete využívat i doplňky prohlížečů, např. NetCraft, antivirové moduly,
PhishPatrol, atd.
V případě pochybností si obsah podezřelého e-mailu ověřte telefonátem do
zákaznického centra instituce.
JAK SE BRÁNIT Sociální
inženýrství
Především je třeba zachovat chladnou hlavu. Důležité je vědět, jaká rizika
mohou nést neočekávané nevinně vypadající zprávy. Dalšími faktory, které mohou
ovlivnit, zda se konkrétně vy stanete terčem sociálního inženýrství, jsou
důležitost vaší pozice v organizaci či firmě a velikost vašeho bankovního konta.
Neexistuje žádný zaručeně spolehlivý způsob jak se chránit, protože oklamat
lidskou mysl je poměrně jednoduché. Abyste však co nejvíce eliminovali tato
rizika, je vhodné se řídit zdravým rozumem a minimálně těmito radami:
Poučit se z cizích (případně vlastních) chyb – na internetu
se píše o lidech, kteří přišli o finanční prostředky díky vlastní chybě.
Podobné příběhy by vás měly držet ve střehu.
Důvěřuj, ale prověřuj – pokud se vám cokoliv na příchozí
zprávě nezdá, raději se zeptejte přímo odesílatele (třeba telefonicky), nebo
zkušenějších kolegů. Nic tím nezkazíte.
Nedat se zastrašit - u podezřelých telefonátů, pokud si
nejste jisti, zda vám skutečně volají například z vaší banky, zavěste a
pokuste se ověřit autenticitu hovoru na telefonním čísle, které má vaše
banka uvedeno na webových stránkách. Pokud vám volá například technická
podpora nebo kdokoliv, kdo vystupuje v roli autority (úřad, nadřízený),
nebojte se v případě pochybností vše ověřit.
Nespěchat - útočníci rádi pracují s časovou tísní (časově
omezená nabídka, teď hned je třeba něco vykonat). Klid, škoda z prodlení
bývá menší, než důsledky neuvážených činů.
Nebýt líný – jedno krátké a dobře zapamatovatelné heslo k
několika účtům a službám je ideální způsob, jak přijít o všechno najednou.
Nebýt zbytečně zvědavý – každá zajímavá příloha, odkaz mohou
být pastí. Opravdu například potřebujete vidět tohle? Nepotřebujete. To samé
se týká i nalezených paměťových karet či jiných datových nosičů.
Nebýt zbytečně sdílný – vše, co na sebe prozradíte na
internetu (diskusní fóra, webové stránky, sociální sítě) mohou útočníci
využít proti vám. Schválně si zkuste zadat do vyhledávače Google vaše jméno.
Nikdo vám nic nedá zadarmo – rozhodně ne velké finanční obnosy.
DDOS ÚTOKEM