Geekly articles weekly

Não é um bug, mas um recurso do Vkontakte

Vkontakte existe desde 2006. Naqueles dias, como em todos os outros sites, a autorização ocorria inserindo email e senha. Mas o email e a senha podem ser roubados pelos invasores, existem várias maneiras, principalmente eles usam sites de phishing.

imagem
Digitei a senha no site esquerdo e em uma hora "você" já estará pedindo aos seus amigos do VKontakte para soltar 1000 rublos no modem.

Melhoria de segurança


Quando havia muitos hacks, e isso aconteceu em 11 de fevereiro de 2011 , o Vkontakte aprimorou a segurança na rede social: toda vez que eles tentam efetuar login inesperadamente de um novo país na conta de um usuário, uma tentativa de logon é bloqueada por uma mensagem solicitando que ele digite os números do número de telefone no qual está registrado página.

imagem

Obviamente, isso não impediu a invasão, mas ficou mais difícil para os invasores, porque antes de cada entrada era necessário procurar em qual país a vítima era e configurar seu proxy ou VPN para um país específico.

Autorização: “email e senha” ou “número e senha”


O tempo passou e Vkontakte foi confrontado com um grande número de bots e falsificações. A solução para o problema acabou sendo simples, é mais difícil obter um novo número do que um novo e-mail; portanto, a partir de 21 de novembro de 2012 todos os usuários do Vkontakte foram forçados a vincular um número de telefone celular.

imagem

E como cada usuário tem um telefone celular conectado, vamos abrir a entrada usando um telefone celular? O Vkontakte faz tudo para a conveniência dos usuários.

imagem

O problema


Você percebe algo estranho? Se um usuário em um site de phishing inseriu seu número de telefone e senha, e não correio e senha, a verificação da entrada de números de telefone fica sem sentido.

Situação atual


Nos sites em que as contas são vendidas, os preços de "mail: senha" e "número: senha" são muito diferentes. Isso nos diz que os invasores preferem "número: senha", porque não gostam de mexer com VPNs e proxies.

imagem

Resolução de problemas


Como você pode ver, a verificação de números de telefone agora é ineficaz.
Nesse sentido, vale a pena alterar a verificação de um usuário que efetua login com o ip de outro país.
Por exemplo, assim:

  • Se você digitar e-mail e senha do ip de outro país, peça os números de telefone.
    Se você digitar um número de telefone e uma senha, peça parte do correio.
  • Peça nome ou sobrenome, não números de telefone

PS:
use autenticação de dois fatores; ele permite eliminar completamente a invasão de sua conta usando phishing.

Se você decidir repentinamente inserir seus dados em um site de phishing, digite o e-mail, não o número de telefone.

Source: https://habr.com/ru/post/pt400129/

More articles:


All Articles