Geekly articles weekly

No es un error, sino una característica de Vkontakte

Vkontakte existe desde 2006. En aquellos días, como en todos los demás sitios, la autorización se realizaba ingresando el correo y la contraseña. Pero el correo electrónico y la contraseña pueden ser robados por los atacantes, hay muchas maneras, principalmente usan sitios de phishing.

imagen
Ingresé la contraseña en el sitio izquierdo, y en una hora "usted" ya le pedirá a sus amigos de VKontakte que suelten 1000 rublos en el módem.

Mejora de seguridad


Cuando hubo demasiados hacks, y esto sucedió el 11 de febrero de 2011 , Vkontakte mejoró la seguridad en la red social: cada vez que intentan iniciar sesión inesperadamente desde un nuevo país bajo la cuenta de un usuario, un mensaje les pide que ingresen los números del número de teléfono en el que están registrados. página

imagen

Por supuesto, esto no evitó el pirateo, pero se volvió más difícil para los atacantes, porque antes de cada entrada, era necesario mirar desde qué país era la víctima y configurar su proxy o VPN para un país específico.

Autorización: "correo electrónico y contraseña" o "número y contraseña"


El tiempo pasó y Vkontakte se enfrentó a una gran cantidad de robots y falsificaciones. La solución al problema resultó ser simple, es más difícil obtener un nuevo número que un nuevo correo, por lo que a partir del 21 de noviembre de 2012, todos los usuarios de Vkontakte se vieron obligados a vincular un número de teléfono móvil.

imagen

Y dado que cada usuario tiene un teléfono móvil conectado, ¿vamos a abrir la entrada con un teléfono móvil? Vkontakte hace todo para la comodidad de los usuarios.

imagen

El problema


¿Notas algo extraño? Si un usuario en un sitio de phishing ingresó su número de teléfono y contraseña, y no el correo y la contraseña, entonces verificar la entrada de números de teléfono no tiene sentido.

Estado actual de las cosas


En los sitios donde se venden cuentas, los precios de "correo: contraseña" y "número: contraseña" son muy diferentes. Esto nos dice que los atacantes prefieren "número: contraseña", porque no les gusta meterse con VPN y servidores proxy.

imagen

Resolución de problemas


Como puede ver, verificar los números de teléfono ahora es ineficaz.
En este sentido, vale la pena cambiar la verificación de un usuario que inicia sesión con la ip de otro país.
Por ejemplo, así:

  • Si ingresa el correo electrónico y la contraseña de la dirección IP de otro país, solicite los números de teléfono.
    Si ingresa un número de teléfono y una contraseña, solicite parte del correo.
  • Pregunte por nombre o apellido, no números de teléfono

PD:
use la autenticación de dos factores, le permite eliminar por completo la piratería de su cuenta mediante phishing.

Si de repente decide ingresar sus datos en un sitio de phishing, ingrese el correo, no el número de teléfono.

Source: https://habr.com/ru/post/es400129/

More articles:


All Articles