Восстановление забытого пароля постоянно было слабейшим звеном в защите почтовых аккаунтов. Абсолютное большая часть проникновений производится ч/з эту функцию - как правило, путём ответа на "секретный" вопрос, который в действительности не является секретным. В этом смысле компания Google сделала существенный шаг вперёд, когда ввела для всех почтовых ящиков Gmail бесплатную функцию двухфакторной аутентификации. Сейчас при восстановлении забытого пароля пользователь должен ввести дополнительно и код, который приходит ему на телефон в виде SMS. Так что мошенник из какой-либо Нигерии не сумеет просто так поменять пароль к ящику, для этого ему требуется получить доступ и к телефону.
Однако к каждому замку найдётся ключик. В американских СМИ возникло описание некоторого количества настоящих способов, как мошенники умудряются выяснить код, приходящий на телефон. Они применяют методы общественной инженерии или, просто-напросто говоря, глупость пользователей.
В первом случае используется массовая рассылка SMS на все номера сотовых телефонов к ряду с сообщением о выигрыше в лотерею. Для получения приза требуется зайти по определённому URL и ввести собственный адрес электронной почты, затем вам на телефон придёт код доказательства - и его также требуется ввести на сайте, чтоб получить приз. Как возможно догадаться, пользователю на телефон высылается код доказательства для смены почтового пароля Gmail, который он сам передает мошенникам и в ту же сек. лишается доступа к собственному почтовому ящику (его адрес он ввёл на предыдущем этапе).
Во II-м случае мошенник под видом весьма красивой девушки втирался в доверие к пользователям Facebook. Поддельная "девушка" строила из себя глупышку и рассказывала, что позабыла собственный пароль к Gmail, а аппарата у неё теперь нет, по этой причине она отослала код к собственному ящику на телефон парня. На логичный вопрос "По какой причине именно мне?" девушка отвечала, что он просто был I в списке её чат-контактов Facebook, и также он клёвый. В общем, задурманенный внешностью девушки парень сообщал ей пришедший код и также немедленно лишался доступа к собственному почтовому ящику, ведь это был код смены пароля от его своего аккаунта.
Гмайл в этом плане помоему лучший "почтальон"!
ОтветитьУдалитьСогласен с автором статьи, довольно часто приходит какая-то хрень с просьбой что-нибудь подтвердить! От вебМАНИ протекцию получить нормально, а вот от ящика хрен-вам!
ОтветитьУдалить