Как ключ безопасности Yubikey защищает от фишинговых атак

Фишинг (в переводе с англ. «рыбная ловля») или фишинговая атака — один из самых опасных и в то же время распространённых методов социальной инженерии, используемых киберпреступниками. В его основе массовые рассылки электронных писем и коротких сообщений от имени известных брендов, банков, благотворительных организаций, государственных структур или даже от хороших знакомых. Содержащиеся в таких письмах ссылки ведут на поддельный сайт, где пользователь вводит данные и таким образом компрометирует их, по сути добровольно отправляя мошенникам свои сложные пароли и данные банковских карт.

В 2020 году фишинговым атакам были подвержены 75% предприятий во всем мире. Как сообщает IBM — пострадала каждая пятая компания от общего количества.

Чем опасны фишинговые атаки

Фишинговые атаки очень мало различимы и при этом очень опасны. Вы можете даже не понять, что в какой-то момент стали их жертвой. От фишинга не помогают длинные и сложные пароли и почти не спасают такие дополнительные факторы защиты, как одноразовые пароли в SMS, поскольку тоже могут быть перехвачены. Довольно много людей попадаются на удочку мошенников по следующим причинам:

• фишинговые сайты очень похожи на площадки, которыми вы привыкли пользоваться;
• письмо в рассылке может не отличаться от похожих предыдущих писем компании, особенно если предварительно её сайт был взломан мошенниками;
• даже если злоумышленники всего лишь скопировали дизайн письма и создали похожий адрес, тема может оказаться очень привлекательной и вам захочется открыть письмо и ссылку, если в нём, например, подарок или скидка;
• также тема письма может напугать вас, например, если в сообщении будет сказано, что аккаунт на каком-то важном для вас сервисе будет заблокирован, если не ввести данные для подтверждения;
• вы можете получить письмо от человека, которому доверяете и не подозревать, что его аккаунт взломан;
• иногда мошенники нарочно знакомятся заранее и долго общаются, пока вы не начинаете им доверять, после чего начинают вас атаковать;
• вы можете стать жертвой слежки, поэтому получите известие, которого ждете: вы можете действительно ждать какого-то выигрыша, если играете в лотереи; или например, вы можете ожидать какой-то выплаты социальной помощи, особенно, если предварительно подавали заявку.

Получив доступ к одному аккаунту, мошенник может подобраться к десяткам или сотням новых контактов, находящихся в вашей электронной книге. Целями злоумышленников являются:

• внедрение вредоносного кода;
• хищение конфиденциальной информации;
• получение базы контактов;
• доступ к счетам.

Как может помочь в этом вопросе ключ безопасности

Как мы упомянули выше, от фишинговых атак практически не работают дополнительные меры защиты в виде двухфакторной аутентификации, поскольку любые сообщения могут быть тоже перехвачены или похищены вирусами с ваших устройств. Но есть исключение. Ключи безопасности YubiKey могут помочь защитить от фишинга как пользователя домашней сети, так и сотрудников корпорации, поскольку это физический фактор, поддерживающий ассиметричное шифрование. Для понимания, как он защищает, рассмотрим принцип действия ключа.

1. При регистрации ключа на сайте или в операционной системе, сервер отправляет запрос ключу на проверку подлинности, в ответ ключ генерирует закрытую цифровую подпись и отправляет серверу. Будьте внимательны, альтернативные методы входа при регистрации ключа лучше отключить, чтобы злоумышленник не мог ими воспользоваться и обойти проверку. Надёжнее будет приобрести второй (запасной) ключ и указать его.
2. Когда вы входите в аккаунт оригинального сайта, в котором вы ранее зарегистрировали ключ, сервер делает запрос на подтверждение входа с его помощью. Нужно вставить его в разъём и прикоснуться к индикатору, определяющему присутствие человека. Если вы вставили ключ, прикоснулись к индикатору, и в течение короткого времени подключения ключа к устройству не произошло, то авторизации не происходит. А значит, этот сайт не является тем, за который пытается себя выдавать.
3. Если сайт окажется поддельным (фишинговым), то сервер не отправит запрос на проверку владельца аккаунта с помощью ключа безопасности. Поэтому, даже если вы случайно введёте на нём данные, хакер всё равно не сможет взломать ваш аккаунт, не имея в наличии настоящего ключа.

Почему YubiKey

• Однажды ключи YubiKey были изготовлены на заказ правительственных сайтов США и давно в обязательном порядке используются сотрудниками Google и Meta.
• Ключи YubiKey поддерживают протоколы FIDO2 и FIDO2 U2F, OTP-пароли и асимметричное шифрование.
• Считать данные с ключей YubiKey невозможно. То есть, если хакер попытается взломать USB-разъем на устройстве, то и закрытый ключ не сможет украсть.
• Ключи YubiKey имеют различные форм-факторы, что позволяет их выбрать для различных устройств, в том числе есть ключи с поддержкой NFC.
• Кроме того, ключи YubiKey поддерживаются всеми популярными сервисами, где есть повышенные требования к безопасности: Google, Binance, GitLab, GitHub, Dropbox.

Это далеко не все плюсы оригинальных и надёжных устройств YubiKey, которыми пользуются уже миллионы людей в 160 странах мира. Вы сами можете убедиться в их надёжности и подобрать подходящее для вас устройство в нашем интернет-магазине.

Если вас интересует программное обеспечение YubiKey или индивидуальный заказ, вы можете связаться с нашими менеджерами.