ფიშინგის ან „თვიშინგის“ სიტუაცია, რომელიც ხდება Twitter-ზე, მხოლოდ აისბერგის მწვერვალია. იმის ნაცვლად, რომ თავად ჩავეძიო სიტუაცია - მათ შორის OAuth-ის დებატებში - მე ის გადავეცი ჩემს ერთ-ერთ უფრო ტექნიკურად განათლებულ მეგობარს.
ფიშინგის ან „თვიშინგის“ სიტუაცია, რომელიც ხდება Twitter-ზე, მხოლოდ აისბერგის მწვერვალია. იმის ნაცვლად, რომ თავად ჩავეძიო სიტუაცია - მათ შორის OAuth-ის დებატებში - მე ის გადავეცი ჩემს ერთ-ერთ უფრო ტექნიკურად განათლებულ მეგობარს. დეიმონ კორტესი არის უსაფრთხოების კონსულტანტი, რომელიც ასევე არის Twitter-ის უამრავი ინსტრუმენტის ავტორი, მათ შორის პოპულარული TweetStats და DM Whacker. წაიკითხეთ ქვემოთ მისი კარგი პერსპექტივის შესახებ ფიშინგის პროგრესირებაზე და Twitter-ის უსაფრთხოების გამოწვევებზე.
სტუმრის რედაქცია დეიმონ კორტესის მიერ
რაც ასევე ახალი არ არის არის პროგრესი, რომელსაც ეს დასჭირდება. დროდადრო ჩვენ ვნახეთ, რომ ეს ტენდენცია მეორდება ინტერნეტის სხვადასხვა ასპექტში.
ჩვენ დავიწყებთ მარტივი მაგალითით: ელ ელ.ფოსტის ფიშინგის მცდელობები თავდაპირველად ძალიან აშკარა იყო და ჰქონდა ხშირი მტკიცებულებები, რომლებიც მიუთითებდნენ ლეგიტიმურობის აშკარა ნაკლებობაზე - ორთოგრაფიული შეცდომები, არასრული წინადადებები, შეუსაბამობა და ა.შ. სწრაფად მივიწევ დღეს და ვიღებ წერილებს, რომლებიც ბანკებისა და სხვა სააგენტოების მიერ გამოგზავნილი ლეგიტიმური მარკეტინგული წერილების ზუსტი ასლებია. The მხოლოდ განსხვავებები ისაა, რომ ტექსტის უკან ბმული მიუთითებს სხვა URL-ზე, ხოლო ელფოსტა წარმოიშვა წყაროდან, რომელიც არ ეკუთვნის სავარაუდო კომპანიას. მე ხშირად მინახავს ეს და ორჯერ მომიწია ფიქრი, სანამ მივხვდებოდი, რომ არც კი მქონდა ანგარიში ამ დაწესებულებაში. ამ ელ.ფოსტის უმეტესი ნაწილი გამიზნულია ფინანსური სარგებლისკენ საბანკო რწმუნებათა სიგელების ან პირად იდენტიფიცირებადი ინფორმაციის მოპოვებით.
ახლა მოდით გადავხედოთ სოციალურ ქსელებს. ინტერნეტში ასეთი დიდი და მრავალფეროვანი მოსახლეობის გამოჩენასთან ერთად, სოციალური ქსელები საოცრად გაიზარდა ბოლო რამდენიმე წლის განმავლობაში. მაგალითად, ფეისბუქი დასრულდა 140 მილიონი აქტიური მომხმარებელი. MySpace არ აქვეყნებს თავის სტატისტიკას, მაგრამ შესაბამისად compete.com, ორივე საიტს დაახლოებით ჰქონდა 50 მილიონი უნიკალური ვიზიტორი 2008 წლის ნოემბერში. ამდენი მომხმარებლის ერთ ადგილას, ეს არის სამიზნე მდიდარი ფიშინგისთვის.
როგორც MySpace-მა, ასევე Facebook-მა განიხილეს სხვადასხვა სახის სპამი და ფიშინგ შეტევები. ოქროს მაღარო (თაღლითებისთვის) არის ის, რომ ეს ქსელები ხელს უწყობს მყისიერ კომუნიკაციას და თაღლითების გავრცელებას.
აქაც პროგრესია, რადგან ეს ქსელები გაიზარდა. Ნაბიჯი 1 არის ის, რომ ადრეული თავდასხმები MySpace-სა და Facebook-ზე შესაძლოა საკმაოდ ელემენტარული და ელექტრონული ფოსტით დაფუძნებული ყოფილიყო. რომელიც მიგვიყვანს ნაბიჯი 2. მას შემდეგ, რაც თავდამსხმელები მიხვდნენ, როგორ ფუნქციონირებდა სოციალური ქსელები, თუმცა, ჩვენ ვნახეთ თავდასხმები 2008 წლის დასაწყისში ფეისბუქის კედლის პოსტებით სარგებლობა.
ეს არის უაღრესად ეფექტური მეთოდი, რადგან ის სარგებლობს ამ ქსელების უსაფრთხოების ცრუ გრძნობით. ის მეტ განვითარებას მოითხოვს თავდამსხმელებისგან, მაგრამ თუ გავითვალისწინებთ 140 მილიონი აქტიური მომხმარებლის ქსელს ნებისმიერ მოცემულ თვეში... ეს ნამდვილად ღირს.
შემდეგი: Twitter-ის უსაფრთხოების გამოწვევა -->
ერთი წლის შემდეგ და ჩვენ გვქონდა გასული კვირის შეტევა Twitter-ზე. ეს იყო საკმაოდ ელემენტარული და ხმაურიანი თავდასხმა, მაგრამ ეს ნამდვილად მიუთითებს იმაზე, რომ Twitter ახლა საკმარისად მეინსტრიმულია, რომ წარმატებით ისარგებლოს. პოტენციურად დაკავშირებული ფიშინგ შეტევასთან (ითვლება, რომ Twitter-ის მხარდაჭერის ინსტრუმენტები გარედან იყო ხელმისაწვდომი), არის ის ფაქტი, რომ 33 ექაუნთი გატეხეს Twitter-ის უსაფრთხოების კომპრომისის გამო. შესაძლოა, საბედნიეროდ, ამ პოპულარული ანგარიშების საფარქვეშ გამოქვეყნებული შეტყობინებები ბავშვური იყო და არ ცდილობდა მომხმარებლების გადამისამართებას adware/malware საიტებზე, გარდა ყველაზე მდიდარი სამიზნისა.
მიუხედავად იმისა, რომ Twitter-ის ქსელის გახსნილობა, სავარაუდოდ, გადამწყვეტი იყო ფიშინგის შესახებ ცნობიერების ამაღლებისთვის შეტევა, ასევე შეიძლება იყოს საზიანო, თუ მომავალი თავდამსხმელები ოდნავ უფრო შეუმჩნეველნი იქნებიან თავიანთ მხრივ მცდელობა. ბარაკ ობამას Twitter-ის ექაუნთი იყო ასევე გატეხილი, მაგრამ რადგან Twitter იყო ფიშინგის ფიასკოს დამუშავების შუაგულში... შეურაცხმყოფელი შეტყობინება წაიშალა რამდენიმე წუთში. წარმოიდგინეთ, რომ ეს ექაუნთი დახვეწილად გამოიყენებოდა დღის ან კვირის შემდეგ, როცა Twitter არ ეძებდა - მას 150 000-ზე მეტი მიმდევარი ჰყავს. თითოეული მათგანი შეიძლება იყოს რისკის ქვეშ.
Twitter არის განსაკუთრებული გამოწვევა საიტზე საყოველთაოდ მიღებული პრაქტიკის გამო. მაგალითად, იშვიათი არაა, რომ ვინმეს ჰყავდეს ათიათასობით ადამიანი, რომელიც მათ „მიყვება“. ეს არის სპამერის ოცნება - ROI ფანტასტიკურია, როდესაც ერთი ანგარიშის კომპრომეტირება იწვევს ათასობით მიმდევარს. ისინი ღირსეულ ფასად მიდიან შავ ბაზრებზე, სადაც სოციალური ქსელების ანგარიშები ვაჭრობენ და იყიდება. გარდა ამისა, Twitter-ის მომხმარებლები პოპულარულია პოპულარული URL-ების ან ბმულების „ხელახალი ტვიტირების“ მიზნით. მარტივი აპლიკაციისთვის არ არის რთული დაუყოვნებლივი პოპულარობის მოპოვება. Twitter-მა ფიშინგის შეშინებაც კი გამოიწვია 2008 წლის ბოლოს, როდესაც იშვიათი საიტი, სახელად Twitterank, გაჩნდა ღამით, მაგრამ არ ჰქონდა აშკარა დიზაინი ან მიზანი. კონცეფციის დასადასტურებლად, მე გავაკეთე საიტის პირდაპირი გაფუჭება at Twitter Awesomess და ხალხი სიამოვნებით შეავსო თავისი რწმუნებათა სიგელები. და ბოლოს, Twitter ამოკლებს ნებისმიერ URL-ს, რომელიც აღემატება 30 სიმბოლოს და ჩვეულებრივ, ადამიანები ამას აკეთებენ ხელით, რათა დაზოგონ სივრცე 140-სიმბოლოიან სამყაროში. როგორც ასეთი, თითქმის შეუძლებელია იცოდეთ ბმულების საბოლოო დანიშნულება, რაც იწვევს მცირე ინფორმაციას, რომელიც მომხმარებელს აქვს ხელთ ჭკვიანური გადაწყვეტილებების მისაღებად.
ამ შაბათ-კვირას სპამისა და ფიშინგის საზოგადოებამ გაიგო, თუ როგორ მუშაობს Twitter. ფიშინგის მცდელობები მხოლოდ აქედან განვითარდება. ასეთი მომგებიანი სამიზნით, არ გამიკვირდება, რომ მომავალში დავინახო ჭკვიანი თავდასხმა, რომელიც მორგებულია იმ უცნაურობებზე, თუ როგორ იყენებენ ადამიანები Twitter-ს სხვა ქსელებთან მიმართებაში.
დეიმონ კორტესი არის ინფორმაციული უსაფრთხოების კონსულტანტი, რომელიც სპეციალიზირებულია ვებ აპლიკაციების უსაფრთხოებაში და პროდუქტის განვითარებაში უსაფრთხოების მონაცემების ავტომატიზაციისა და ვიზუალიზაციის გარშემო. ის არის რეჟისორი ალქიმიის უსაფრთხოება და ბლოგები ვებ აპლიკაციების უსაფრთხოების შესახებ მისამართზე StartupSecurity.infoფოკუსირება სტარტაპებისთვის შესაბამის საკითხებზე. თავისუფლად შეურაცხყოფთ მას Twitter-ზე, სადაც ის ცნობილია როგორც @დაკორტი.