Як ключ безпеки Yubikey захищає від фішингових атак

Фішинг (у перекладі з англ. «риболовля») або фішингова атака — один з найнебезпечніших і водночас поширених методів соціальної інженерії, що використовується кіберзлочинцями. В його основі масові розсилки електронних листів та коротких повідомлень від імені відомих брендів, банків, благодійних організацій, державних структур чи навіть від добрих знайомих. Посилання, що містяться в таких листах, ведуть на підроблений сайт, де користувач вводить дані і таким чином компрометує їх, по суті добровільно відправляючи шахраям свої складні паролі та дані банківських карток. 

У 2020 році фішингових атак зазнали 75% підприємств у всьому світі. Як повідомляє IBM, постраждала кожна п’ята компанія від загальної кількості.

Чим небезпечні фішингові атаки


Фішингові атаки дуже мало помітні, але дуже небезпечні. Ви можете навіть не зрозуміти, що в якийсь момент стали їхньою жертвою. Від фішингу не допомагають довгі та складні паролі та майже не рятують такі додаткові фактори захисту, як одноразові паролі у SMS, оскільки також можуть бути перехоплені. Досить багато людей потрапляють на вудку шахраїв з таких причин:

  • фішингові сайти дуже схожі на майданчики, якими ви звикли користуватися;
  • лист у розсилці може не відрізнятись від схожих попередніх листів компанії, особливо якщо попередньо її сайт був зламаний шахраями;
  • навіть якщо зловмисники лише скопіювали дизайн листа і створили схожу адресу, тема може виявитися дуже привабливою і вам захочеться відкрити лист та посилання, якщо в ньому, наприклад, подарунок або знижка;
  • також тема листа може налякати вас, наприклад, якщо в повідомленні буде сказано, що обліковий запис на якомусь важливому для вас сервісі буде заблокований, якщо не ввести дані для підтвердження;
  • ви можете отримати лист від людини, якій довіряєте і не підозрювати, що її обліковий запис зламаний;
  • іноді шахраї навмисне знайомляться заздалегідь і довго спілкуються, поки ви не починаєте їм довіряти, після чого починають вас атакувати;
  • ви можете стати жертвою стеження, тому отримаєте звістку, на яку чекаєте: ви можете дійсно чекати якогось виграшу, якщо граєте в лотереї; або, наприклад, ви можете очікувати на якусь виплату соціальної допомоги, особливо, якщо попередньо подавали заявку.

Отримавши доступ до одного облікового запису, шахрай може дістатися до десятків або сотень нових контактів, що знаходяться у вашій електронній книзі. Цілями зловмисників є:

  • використання зловмисного коду;
  • викрадення конфіденційної інформації;
  • одержання бази контактів;
  • доступ до рахунків.

Як може допомогти в цьому питанні ключ безпеки


Як ми згадали вище, проти фішингових атак практично не діють додаткові заходи захисту у вигляді двофакторної автентифікації, оскільки будь-які повідомлення можуть бути перехоплені або викрадені вірусами з ваших пристроїв. Але є виняток. Ключі безпеки YubiKey можуть допомогти захистити від фішингу як користувача домашньої мережі, так і співробітників корпорації, оскільки це фізичний фактор, що підтримує асиметричне шифрування. Для розуміння, як він захищає, розглянемо принцип дії ключа.

  1. При реєстрації ключа на сайті або в операційній системі сервер надсилає запит ключу на автентифікацію, у відповідь ключ згенерує закритий цифровий підпис і відправляє серверу. Будьте уважні, альтернативні методи входу під час реєстрації ключа краще вимкнути, щоб зловмисник не міг ними скористатися та обійти перевірку. Надійніше придбати другий (запасний) ключ і вказати його.
  2. Коли ви входите до облікового запису оригінального сайту, в якому ви раніше зареєстрували ключ, сервер робить запит на підтвердження входу за допомогою ключа. Потрібно вставити його в роз’єм і торкнутися індикатора, що визначає присутність людини. Якщо ви вставили ключ, торкнулися індикатора, і протягом короткого часу підключення ключа до пристрою не сталося, то авторизації не відбувається. А значить, цей сайт не є тим, за який намагається себе видавати.
  3. Якщо сайт виявиться підробленим (фішинговим), то сервер не надішле запит на перевірку власника облікового запису за допомогою ключа безпеки. Тому, навіть якщо ви випадково введете на ньому дані, хакер все одно не зможе зламати ваш обліковий запис, не маючи в наявності справжнього ключа.

Чому YubiKey


  • Ключі YubiKey були виготовлені на замовлення урядових сайтів США і давно використовуються співробітниками Google і Meta.
  • Ключі YubiKey підтримують протоколи FIDO2 та FIDO2 U2F, OTP-паролі та асиметричне шифрування.
  • Скопіювати дані з ключів YubiKey неможливо. Тобто якщо хакер спробує зламати USB-роз’єм на пристрої, то нічого з нього не скопіює і закритий ключ не зможе вкрасти.
  • Ключі YubiKey мають різні формфактори, що дозволяє вибрати їх для різних пристроїв, у тому числі є ключі з підтримкою NFC.
  • Крім того, ключі YubiKey підтримуються всіма популярними сервісами, де є підвищені вимоги безпеки: Google, Binance, GitLab, GitHub, Dropbox.

Це далеко не всі плюси оригінальних та надійних пристроїв YubiKey, якими користуються вже мільйони людей у 160 країнах світу. Ви самі можете переконатися в їх надійності та підібрати відповідний для вас пристрій у нашому інтернет-магазині.

Якщо вас цікавить програмне забезпечення YubiKey або індивідуальне замовлення, ви можете зв’язатися з нашими менеджерами.

Аутсорс кібербезпеки — чи справді це небезпечно та дорого?

У сфері кібербезпеки йдуть постійні ігри на кшталт бігу наввипередки: хакери знаходять вразливі ланцюжки і намагаються отримати доступ до конфіденційної інформації, а фахівці з безпеки вибудовують системи захисту, які зловмисники за деякий час намагаються зламати. І...

Що таке двоетапна автентифікація

Що таке двоетапна автентифікація Уявити навіть на хвилину ситуацію, в якій хтось сторонній отримує доступ до вашого особистого облікового запису на ПК, дуже неприємно. Адже в цьому випадку зловмисник може: переглядати особисте листування; копіювати фотографії,...

Способи безпарольного входу в ОС Windows

Доступ до облікового запису операційної системи має бути простим, але надійним. Особливо, якщо пристроєм може користуватися кілька інших людей — в офісі, коворкінгу чи в навчальній аудиторії. Саме цього принципу дотримуються ідеологи всесвітньовідомої корпорації Microsoft, завдяки яким було розроблено новий сервіс Windows Hello та можливість входу в ОС з використанням ключів безпеки.

Як ключ безпеки Yubikey захищає від фішингових атак

Як ключ безпеки Yubikey захищає від фішингових атакФішинг (у перекладі з англ. «риболовля») або фішингова атака — один з найнебезпечніших і водночас поширених методів соціальної інженерії, що використовується кіберзлочинцями. В його основі масові розсилки електронних...

Як захистити себе та колег від переконливих “спеціалістів” із соціальної інженерії

Як таке може бути, що Олена завантажила вірус, повіривши, що перейшовши за посиланням отримає в подарунок новенький iPhone? Чи Олексій вчинив краще від Олени, вставивши в робочий комп’ютер щойно знайдену в кафе гарненьку флешку з цікавим логотипом? Обидва стали жертвами соціальної інженерії.

Як захистити акаунт від зламу — найактуальніші заходи безпеки

Як захистити акаунт від зламу — найактуальніші заходи безпеки Як захистити акаунт від зламу — найактуальніші заходи безпеки Шахрайство та крадіжка даних у мережі — досить поширена проблема як для пересічних користувачів, так і для корпорацій. Щодня зловмисники...

Сканер відбитків на смартфоні — наскільки це надійно

Ще років 20 тому мало хто замислювався, навіщо потрібен сканер відбитків пальців, а сьогодні він присутній на багатьох смартфонах, випущених після 2014 року. Погодьтеся, зручно розблокувати пристрій, підтверджувати покупки в інтернет-магазинах або відкривати облікові записи в онлайн-сервісах одним дотиком.

Нові виклики та загрози сучасного кіберпростору в епоху СhatGPT: як змінюється портрет злочинця?

Компанія OpenAI представила наприкінці 2022 року чат GPT, версії 3, створений на основі великих мовних моделей. Він вмів вести бесіду як справжня людина, спілкуватися багатьма мовами, складати іспити, писати програмний код і навіть вести блог. Вже через 2 місяці...

Безпека облікових записів в академічній сфері

Безпека облікових записів в академічній сфері – чек-лист для розробників, студентів та викладачівБезпека облікових записів в академічній сфері – чек-лист для розробників, студентів та викладачів Сектор освіти стикається з кібератаками не менше, ніж інші напрямки. За...

Двохфакторна автентифікація — переваги та недоліки

Двохфакторна автентифікаціяДвохфакторна автентифікація (2FA) Доступ до світового павутиння відкриває для сучасного користувача необмежені можливості. Щодня на просторах інтернету з'являються нові сайти, майданчики та онлайн-сервіси. Але водночас, на жаль, розвивається...