Как ключ безопасности Yubikey защищает от фишинговых атак

Фишинг (в переводе с англ. «рыбная ловля») или фишинговая атака — один из самых опасных и в то же время распространённых методов социальной инженерии, используемых киберпреступниками. В его основе массовые рассылки электронных писем и коротких сообщений от имени известных брендов, банков, благотворительных организаций, государственных структур или даже от хороших знакомых. Содержащиеся в таких письмах ссылки ведут на поддельный сайт, где пользователь вводит данные и таким образом компрометирует их, по сути добровольно отправляя мошенникам свои сложные пароли и данные банковских карт.

В 2020 году фишинговым атакам были подвержены 75% предприятий во всем мире. Как сообщает IBM — пострадала каждая пятая компания от общего количества.

Чем опасны фишинговые атаки


Фишинговые атаки очень мало различимы и при этом очень опасны. Вы можете даже не понять, что в какой-то момент стали их жертвой. От фишинга не помогают длинные и сложные пароли и почти не спасают такие дополнительные факторы защиты, как одноразовые пароли в SMS, поскольку тоже могут быть перехвачены. Довольно много людей попадаются на удочку мошенников по следующим причинам:

  • фишинговые сайты очень похожи на площадки, которыми вы привыкли пользоваться;
  • письмо в рассылке может не отличаться от похожих предыдущих писем компании, особенно если предварительно её сайт был взломан мошенниками;
  • даже если злоумышленники всего лишь скопировали дизайн письма и создали похожий адрес, тема может оказаться очень привлекательной и вам захочется открыть письмо и ссылку, если в нём, например, подарок или скидка;
  • также тема письма может напугать вас, например, если в сообщении будет сказано, что аккаунт на каком-то важном для вас сервисе будет заблокирован, если не ввести данные для подтверждения;
  • вы можете получить письмо от человека, которому доверяете и не подозревать, что его аккаунт взломан;
  • иногда мошенники нарочно знакомятся заранее и долго общаются, пока вы не начинаете им доверять, после чего начинают вас атаковать;
  • вы можете стать жертвой слежки, поэтому получите известие, которого ждете: вы можете действительно ждать какого-то выигрыша, если играете в лотереи; или например, вы можете ожидать какой-то выплаты социальной помощи, особенно, если предварительно подавали заявку.

Получив доступ к одному аккаунту, мошенник может подобраться к десяткам или сотням новых контактов, находящихся в вашей электронной книге. Целями злоумышленников являются:

  • внедрение вредоносного кода;
  • хищение конфиденциальной информации;
  • получение базы контактов;
  • доступ к счетам.

Как может помочь в этом вопросе ключ безопасности


Как мы упомянули выше, от фишинговых атак практически не работают дополнительные меры защиты в виде двухфакторной аутентификации, поскольку любые сообщения могут быть тоже перехвачены или похищены вирусами с ваших устройств. Но есть исключение. Ключи безопасности YubiKey могут помочь защитить от фишинга как пользователя домашней сети, так и сотрудников корпорации, поскольку это физический фактор, поддерживающий ассиметричное шифрование. Для понимания, как он защищает, рассмотрим принцип действия ключа.

  1. При регистрации ключа на сайте или в операционной системе, сервер отправляет запрос ключу на проверку подлинности, в ответ ключ генерирует закрытую цифровую подпись и отправляет серверу. Будьте внимательны, альтернативные методы входа при регистрации ключа лучше отключить, чтобы злоумышленник не мог ими воспользоваться и обойти проверку. Надёжнее будет приобрести второй (запасной) ключ и указать его.
  2. Когда вы входите в аккаунт оригинального сайта, в котором вы ранее зарегистрировали ключ, сервер делает запрос на подтверждение входа с его помощью. Нужно вставить его в разъём и прикоснуться к индикатору, определяющему присутствие человека. Если вы вставили ключ, прикоснулись к индикатору, и в течение короткого времени подключения ключа к устройству не произошло, то авторизации не происходит. А значит, этот сайт не является тем, за который пытается себя выдавать.
  3. Если сайт окажется поддельным (фишинговым), то сервер не отправит запрос на проверку владельца аккаунта с помощью ключа безопасности. Поэтому, даже если вы случайно введёте на нём данные, хакер всё равно не сможет взломать ваш аккаунт, не имея в наличии настоящего ключа.

Почему YubiKey


  • Однажды ключи YubiKey были изготовлены на заказ правительственных сайтов США и давно в обязательном порядке используются сотрудниками Google и Meta.
  • Ключи YubiKey поддерживают протоколы FIDO2 и FIDO2 U2F, OTP-пароли и асимметричное шифрование.
  • Считать данные с ключей YubiKey невозможно. То есть, если хакер попытается взломать USB-разъем на устройстве, то и закрытый ключ не сможет украсть.
  • Ключи YubiKey имеют различные форм-факторы, что позволяет их выбрать для различных устройств, в том числе есть ключи с поддержкой NFC.
  • Кроме того, ключи YubiKey поддерживаются всеми популярными сервисами, где есть повышенные требования к безопасности: Google, Binance, GitLab, GitHub, Dropbox.

Это далеко не все плюсы оригинальных и надёжных устройств YubiKey, которыми пользуются уже миллионы людей в 160 странах мира. Вы сами можете убедиться в их надёжности и подобрать подходящее для вас устройство в нашем интернет-магазине.

Если вас интересует программное обеспечение YubiKey или индивидуальный заказ, вы можете связаться с нашими менеджерами.

Безопасность учетных записей в академической сфере

Безопасность учетных записей в академической сфере — чек-лист для разработчиков, студентов и преподавателейБезопасность учетных записей в академической сфере — чек-лист для разработчиков, студентов и преподавателей Сектор образования сталкивается с кибератаками не...

Как выбрать качественный USB-токен или ключ безопасности

Что такое USB-токен и как его использоватьПонятие USB-токен Поскольку защита учётных записей с помощью логина и пароля давно устарела, ещё в начале 2000-х годов многие производители в качестве альтернативного решения начали предлагать USB-токены. Это аппаратные ключи...

Что такое многофакторная аутентификация

Что такое многофакторная аутентификация Что такое многофакторная аутентификация и когда целесообразно её использовать Защита аккаунтов с помощью одного фактора — сложного пароля — перестала быть надежной около двух десятков лет назад. Поэтому пользователям сети...

Беспарольный мир — это реально?

Беспарольный мир — это реально?Беспарольный мир — насколько это реально Разговоры о беспарольном будущем ведутся уже давно, но долгое время многие компании были всё ещё не готовы к переходу на новые технологии. У них оставались вопросы по безопасности, стандартизации,...

Аутсорс кибербезопасности — действительно ли это опасно и дорого?

В сфере кибербезопасности идут постоянные игры типа бега наперегонки: хакеры находят уязвимые цепочки и пытаются получить доступ к конфиденциальной информации, а специалисты по безопасности выстраивают системы защиты, которые злоумышленники за некоторое время пытаются...

Как ключ безопасности Yubikey защищает от фишинговых атак

Как ключ безопасности Yubikey защищает от фишинговых атакФишинг (в переводе с англ. «рыбная ловля») или фишинговая атака — один из самых опасных и в то же время распространённых методов социальной инженерии, используемых киберпреступниками. В его основе массовые...

Режим смарт-карты Yubikey без дополнительного оборудования

Идею первой смарт-карты запатентовал французский изобретатель Роланд Морено еще в 1974 году. А сегодня мы уже используем эту технологию каждый день, и не представляем, как можно без нее обходиться: в режиме смарт-карт работают SIM-карты, электронные проездные билеты и паспорта, ключи от номеров в гостинице, пропуски работников закрытых предприятий, банковские платежные карты.

Как YubiKey защищает от атак грубой силы: технические особенности атак и шифрование ключом

Как YubiKey защищает от атак грубой силы: технические особенности атак и шифрование ключомАтаки грубой силы или атаки Brute Force – это один из самых распространенных методов взлома. Он считается одним из самых простых, потому что в сущности для того, чтобы начать...

Как защитить себя и коллег от убедительных “специалистов” по социальной инженерии

Как защитить себя и коллег от убедительных "специалистов" по социальной инженерииКак такое возможно, что Лена загрузила вирус, поверив, что перейдя по ссылке получит в подарок новый iPhone? Или Алексей поступил лучше Елены, вставив в рабочий компьютер только что...

Как защитить пароль от кражи

Пароль — это первая степень или первый фактор защиты от взлома учётной записи. Очень важно позаботиться о его надежности, поскольку в случае кражи пароля хакерами под угрозу попадают ваши личные данные, документы, важные переписки и многое другое. В этой статье мы...