Geekly articles weekly

Pas un bug, mais une fonctionnalité de Vkontakte

Vkontakte existe depuis 2006. A cette époque, comme sur tous les autres sites, l'autorisation se faisait par saisie du mail et du mot de passe. Mais les e-mails et les mots de passe peuvent être volés par des attaquants, il existe de nombreuses façons, principalement ils utilisent des sites de phishing.

image
J'ai entré le mot de passe sur le site de gauche, et dans une heure "vous" demanderez déjà à vos amis VKontakte de déposer 1000 roubles sur le modem.

Amélioration de la sécurité


Lorsqu'il y a eu trop de piratages, et cela s'est produit le 11 février 2011 , Vkontakte a amélioré la sécurité sur le réseau social: chaque fois qu'il essaie de se connecter de manière inattendue depuis un nouveau pays sous le compte d'un utilisateur, une tentative de connexion est bloquée par un message lui demandant d'entrer les numéros du numéro de téléphone auquel il est enregistré. page.

image

Bien sûr, cela n'a pas empêché le piratage, mais cela est devenu plus difficile pour les attaquants, car avant chaque entrée, il était nécessaire de chercher de quel pays était la victime et de configurer son proxy ou VPN pour un pays spécifique.

Autorisation: "email et mot de passe" ou "numéro et mot de passe"


Le temps a passé et Vkontakte a été confronté à un grand nombre de robots et de contrefaçons. La solution au problème s'est avérée simple, il est plus difficile d'obtenir un nouveau numéro qu'un nouveau courrier, donc à partir du 21 novembre 2012, tous les utilisateurs de Vkontakte ont été contraints de lier un numéro de téléphone mobile.

image

Et puisque chaque utilisateur a un téléphone portable attaché, alors ouvrons l'entrée en utilisant un téléphone portable? Vkontakte fait tout pour le confort des utilisateurs.

image

Le problème


Avez-vous remarqué quelque chose d'étrange? Si un utilisateur sur un site de phishing a entré son numéro de téléphone et son mot de passe, et non son courrier électronique et son mot de passe, la vérification de la saisie des numéros de téléphone devient vide de sens.

Situation actuelle


Sur les sites où les comptes sont vendus, les prix de "mail: mot de passe" et "numéro: mot de passe" sont très différents. Cela nous indique que les attaquants préfèrent «nombre: mot de passe», car ils n'aiment pas jouer avec les VPN et les proxys.

image

Résolution de problèmes


Comme vous pouvez le voir, la vérification des numéros de téléphone est désormais inefficace.
À cet égard, il convient de modifier la vérification d'un utilisateur qui se connecte avec l'IP d'un autre pays.
Par exemple, comme ceci:

  • Si vous entrez un e-mail et un mot de passe depuis l'IP d'un autre pays, demandez les numéros de téléphone.
    Si vous entrez un numéro de téléphone et un mot de passe, demandez une partie de l'e-mail.
  • Demander le prénom ou le nom, pas les numéros de téléphone

PS
Utilisez l'authentification à deux facteurs, elle vous permet d'éliminer complètement le piratage de votre compte à l'aide du phishing.

Si vous décidez soudain de saisir vos données sur un site de phishing, saisissez le courrier, pas le numéro de téléphone.

Source: https://habr.com/ru/post/fr400129/

More articles:


All Articles