Як ключ безпеки Yubikey захищає від фішингових атак

Фішинг (у перекладі з англ. «риболовля») або фішингова атака — один з найнебезпечніших і водночас поширених методів соціальної інженерії, що використовується кіберзлочинцями. В його основі масові розсилки електронних листів та коротких повідомлень від імені відомих брендів, банків, благодійних організацій, державних структур чи навіть від добрих знайомих. Посилання, що містяться в таких листах, ведуть на підроблений сайт, де користувач вводить дані і таким чином компрометує їх, по суті добровільно відправляючи шахраям свої складні паролі та дані банківських карток. 

У 2020 році фішингових атак зазнали 75% підприємств у всьому світі. Як повідомляє IBM, постраждала кожна п’ята компанія від загальної кількості.

Чим небезпечні фішингові атаки


Фішингові атаки дуже мало помітні, але дуже небезпечні. Ви можете навіть не зрозуміти, що в якийсь момент стали їхньою жертвою. Від фішингу не допомагають довгі та складні паролі та майже не рятують такі додаткові фактори захисту, як одноразові паролі у SMS, оскільки також можуть бути перехоплені. Досить багато людей потрапляють на вудку шахраїв з таких причин:

  • фішингові сайти дуже схожі на майданчики, якими ви звикли користуватися;
  • лист у розсилці може не відрізнятись від схожих попередніх листів компанії, особливо якщо попередньо її сайт був зламаний шахраями;
  • навіть якщо зловмисники лише скопіювали дизайн листа і створили схожу адресу, тема може виявитися дуже привабливою і вам захочеться відкрити лист та посилання, якщо в ньому, наприклад, подарунок або знижка;
  • також тема листа може налякати вас, наприклад, якщо в повідомленні буде сказано, що обліковий запис на якомусь важливому для вас сервісі буде заблокований, якщо не ввести дані для підтвердження;
  • ви можете отримати лист від людини, якій довіряєте і не підозрювати, що її обліковий запис зламаний;
  • іноді шахраї навмисне знайомляться заздалегідь і довго спілкуються, поки ви не починаєте їм довіряти, після чого починають вас атакувати;
  • ви можете стати жертвою стеження, тому отримаєте звістку, на яку чекаєте: ви можете дійсно чекати якогось виграшу, якщо граєте в лотереї; або, наприклад, ви можете очікувати на якусь виплату соціальної допомоги, особливо, якщо попередньо подавали заявку.

Отримавши доступ до одного облікового запису, шахрай може дістатися до десятків або сотень нових контактів, що знаходяться у вашій електронній книзі. Цілями зловмисників є:

  • використання зловмисного коду;
  • викрадення конфіденційної інформації;
  • одержання бази контактів;
  • доступ до рахунків.

Як може допомогти в цьому питанні ключ безпеки


Як ми згадали вище, проти фішингових атак практично не діють додаткові заходи захисту у вигляді двофакторної автентифікації, оскільки будь-які повідомлення можуть бути перехоплені або викрадені вірусами з ваших пристроїв. Але є виняток. Ключі безпеки YubiKey можуть допомогти захистити від фішингу як користувача домашньої мережі, так і співробітників корпорації, оскільки це фізичний фактор, що підтримує асиметричне шифрування. Для розуміння, як він захищає, розглянемо принцип дії ключа.

  1. При реєстрації ключа на сайті або в операційній системі сервер надсилає запит ключу на автентифікацію, у відповідь ключ згенерує закритий цифровий підпис і відправляє серверу. Будьте уважні, альтернативні методи входу під час реєстрації ключа краще вимкнути, щоб зловмисник не міг ними скористатися та обійти перевірку. Надійніше придбати другий (запасний) ключ і вказати його.
  2. Коли ви входите до облікового запису оригінального сайту, в якому ви раніше зареєстрували ключ, сервер робить запит на підтвердження входу за допомогою ключа. Потрібно вставити його в роз’єм і торкнутися індикатора, що визначає присутність людини. Якщо ви вставили ключ, торкнулися індикатора, і протягом короткого часу підключення ключа до пристрою не сталося, то авторизації не відбувається. А значить, цей сайт не є тим, за який намагається себе видавати.
  3. Якщо сайт виявиться підробленим (фішинговим), то сервер не надішле запит на перевірку власника облікового запису за допомогою ключа безпеки. Тому, навіть якщо ви випадково введете на ньому дані, хакер все одно не зможе зламати ваш обліковий запис, не маючи в наявності справжнього ключа.

Чому YubiKey


  • Ключі YubiKey були виготовлені на замовлення урядових сайтів США і давно використовуються співробітниками Google і Meta.
  • Ключі YubiKey підтримують протоколи FIDO2 та FIDO2 U2F, OTP-паролі та асиметричне шифрування.
  • Скопіювати дані з ключів YubiKey неможливо. Тобто якщо хакер спробує зламати USB-роз’єм на пристрої, то нічого з нього не скопіює і закритий ключ не зможе вкрасти.
  • Ключі YubiKey мають різні формфактори, що дозволяє вибрати їх для різних пристроїв, у тому числі є ключі з підтримкою NFC.
  • Крім того, ключі YubiKey підтримуються всіма популярними сервісами, де є підвищені вимоги безпеки: Google, Binance, GitLab, GitHub, Dropbox.

Це далеко не всі плюси оригінальних та надійних пристроїв YubiKey, якими користуються вже мільйони людей у 160 країнах світу. Ви самі можете переконатися в їх надійності та підібрати відповідний для вас пристрій у нашому інтернет-магазині.

Якщо вас цікавить програмне забезпечення YubiKey або індивідуальне замовлення, ви можете зв’язатися з нашими менеджерами.

Режим смарт-картки Yubikey без додаткового обладнання

Ідею першої смарт-картки запатентував французький винахідник Роланд Морено ще 1974 року. А сьогодні ми вже використовуємо цю технологію щодня, і не уявляємо, як можна без неї обходитися: в режимі смарт-карток працюють SIM-картки, електронні проїзні квитки та паспорти, ключі від номерів у готелі, пропуски працівників закритих підприємств, банківські платіжні картки.

Сканер відбитків на смартфоні — наскільки це надійно

Ще років 20 тому мало хто замислювався, навіщо потрібен сканер відбитків пальців, а сьогодні він присутній на багатьох смартфонах, випущених після 2014 року. Погодьтеся, зручно розблокувати пристрій, підтверджувати покупки в інтернет-магазинах або відкривати облікові записи в онлайн-сервісах одним дотиком.

Як захистити пароль від крадіжки

Пароль — це перший ступінь або перший фактор захисту від зламу облікового запису. Дуже важливо подбати про його надійність, оскільки у разі крадіжки пароля хакерами під загрозу потрапляють ваші особисті дані, документи, важливі листування та багато іншого. У цій...

Як захистити себе та колег від переконливих “спеціалістів” із соціальної інженерії

Як таке може бути, що Олена завантажила вірус, повіривши, що перейшовши за посиланням отримає в подарунок новенький iPhone? Чи Олексій вчинив краще від Олени, вставивши в робочий комп’ютер щойно знайдену в кафе гарненьку флешку з цікавим логотипом? Обидва стали жертвами соціальної інженерії.

Безпарольний світ – це реально?

Безпарольний світ — це реально? Безпарольний світ – наскільки це реально Розмови про безпарольне майбутнє ведуться вже давно, але довгий час багато компаній були ще не готові до переходу на нові технології. У них залишалися питання безпеки, стандартизації, вартості...

Що потрібно знати бізнесу про захист інформації — огляд технічних засобів

Несанкціонований доступ до особистої інформації, фінансових рахунків або комерційної таємниці може заподіяти багато шкоди. Це може призвести до великих збитків через втрату репутації та фінансових активів, порушення приватності користувачів тощо. Тож кожна особа, організація, підприємство чи фінансова установа має дбати про захист даних.

Безпека облікових записів в академічній сфері

Безпека облікових записів в академічній сфері – чек-лист для розробників, студентів та викладачівБезпека облікових записів в академічній сфері – чек-лист для розробників, студентів та викладачів Сектор освіти стикається з кібератаками не менше, ніж інші напрямки. За...

Що таке багатофакторна автентифікація та коли доцільно її використовувати

Що таке багатофакторна автентифікація та коли її доцільно використовуватиЩо таке багатофакторна автентифікація та коли доцільно її використовувати Захист акаунтів за допомогою одного фактора — складного пароля — близько двох десятків років тому перестав бути надійним....

Способи безпарольного входу в ОС Windows

Доступ до облікового запису операційної системи має бути простим, але надійним. Особливо, якщо пристроєм може користуватися кілька інших людей — в офісі, коворкінгу чи в навчальній аудиторії. Саме цього принципу дотримуються ідеологи всесвітньовідомої корпорації Microsoft, завдяки яким було розроблено новий сервіс Windows Hello та можливість входу в ОС з використанням ключів безпеки.

Як ключ безпеки Yubikey захищає від фішингових атак

Як ключ безпеки Yubikey захищає від фішингових атакФішинг (у перекладі з англ. «риболовля») або фішингова атака — один з найнебезпечніших і водночас поширених методів соціальної інженерії, що використовується кіберзлочинцями. В його основі масові розсилки електронних...