Geekly articles weekly

Kein Fehler, aber eine Funktion von Vkontakte

Vkontakte besteht seit 2006. In jenen Tagen erfolgte die Autorisierung wie auf allen anderen Websites durch Eingabe von E-Mail und Passwort. Aber E-Mails und Passwörter können von Angreifern gestohlen werden. Es gibt viele Möglichkeiten, hauptsächlich Phishing-Sites zu verwenden.

Bild
Ich habe das Passwort auf der linken Seite eingegeben und in einer Stunde werden "Sie" Ihre VKontakte-Freunde bereits bitten, 1000 Rubel auf das Modem zu werfen.

Sicherheitsverbesserung


Wenn es zu viele Hacks gab und dies am 11. Februar 2011 geschah , verbesserte Vkontakte die Sicherheit im sozialen Netzwerk: Jedes Mal, wenn sie versuchen, sich unerwartet aus einem neuen Land unter dem Konto eines Benutzers anzumelden, wird ein Anmeldeversuch durch eine Nachricht blockiert, in der sie aufgefordert werden, die Nummern der Telefonnummer einzugeben, bei der sie registriert sind Seite.

Bild

Dies verhinderte natürlich nicht das Hacken, wurde jedoch für Angreifer schwieriger, da vor jedem Eingang geprüft werden musste, aus welchem ​​Land das Opfer stammte, und sein Proxy oder VPN für ein bestimmtes Land konfiguriert werden musste.

Autorisierung: "E-Mail und Passwort" oder "Nummer und Passwort"


Die Zeit verging und Vkontakte wurde mit einer großen Anzahl von Bots und Fälschungen konfrontiert. Die Lösung des Problems erwies sich als einfach. Es ist schwieriger, eine neue Nummer als eine neue E-Mail zu erhalten. Ab dem 21. November 2012 mussten alle Vkontakte-Benutzer eine Mobiltelefonnummer binden.

Bild

Und da an jeden Benutzer ein Mobiltelefon angeschlossen ist, öffnen wir den Eingang mit einem Mobiltelefon. Vkontakte tut alles für die Benutzer.

Bild

Das Problem


Merkst du etwas Seltsames? Wenn ein Benutzer auf einer Phishing-Site seine Telefonnummer und sein Passwort eingegeben hat und nicht E-Mail und Passwort, ist die Überprüfung der Eingabe von Telefonnummern bedeutungslos.

Aktueller Stand der Dinge


Auf Websites, auf denen Konten verkauft werden, sind die Preise für "Mail: Passwort" und "Nummer: Passwort" sehr unterschiedlich. Dies zeigt uns, dass Angreifer "Nummer: Passwort" bevorzugen, weil sie nicht gerne mit VPNs und Proxys herumspielen.

Bild

Lösung


Wie Sie sehen können, ist das Überprüfen von Telefonnummern jetzt unwirksam.
In diesem Zusammenhang lohnt es sich, die Überprüfung eines Benutzers zu ändern, der sich mit der IP eines anderen Landes anmeldet.
Zum Beispiel so:

  • Wenn Sie E-Mail und Passwort von der IP eines anderen Landes eingeben, fragen Sie nach den Telefonnummern.
    Wenn Sie eine Telefonnummer und ein Passwort eingeben, fragen Sie nach einem Teil der E-Mail.
  • Fragen Sie nach Vor- oder Nachnamen, nicht nach Telefonnummern

PS
Verwenden Sie die Zwei-Faktor-Authentifizierung, um das Hacken Ihres Kontos mithilfe von Phishing vollständig zu vermeiden.

Wenn Sie sich plötzlich dazu entschließen, Ihre Daten auf einer Phishing-Site einzugeben, geben Sie die E-Mail-Adresse und nicht die Telefonnummer ein.

Source: https://habr.com/ru/post/de400129/

More articles:


All Articles