Цифровизация взаимодействия людей с государственными органами и банками с подключением в эту систему кого попало, от магазинов до коммунальщиков, деприватизировала личности людей, отдав эти личности мошенникам, легко получающим доступ через хакерскую аутентификацию к документам и деньгам людей. Мошенники-хакеры получили возможность отдать в рабство банкам любого человека, оформив на него кредит. “Борьба” с мошенниками ничтожна на всех уровнях государственной машины, от законодателей, до силовиков…
Защита интернета против действий мошенников ничтожная, скорее психологическая, ну хочется верить человеку, что до него мошенники не доберутся. А реально, добраться они могут…
Становится всё очевиднее: пароли больше никого не защищают. Хакеры научились обходить даже двухфакторную защиту, используя украденные сессии и миллионы данных.
Одним из самых тревожных сигналов стало появление автоматизированной взлом-машины Atlantis AIO. Она способна запускать атаки на более чем 140 онлайн-сервисов — от почты и стримингов до доставки еды. Работает это так: в даркнете покупаются миллионы украденных логинов и паролей, после чего машина начинает массово тестировать их в автоматическом режиме. У Atlantis есть модули, специально заточенные под конкретные сервисы, возможность обхода CAPTCHA, перехват почтовых ящиков и даже автоматическое восстановление доступа. Всё это делает кражу аккаунтов не просто возможной, а масштабируемой как никогда.
Согласно свежему отчёту HYPR, 49% компаний уже столкнулись с утечками из-за уязвимостей в системах идентификации, а 47% взломов напрямую связаны с компрометацией паролей.
Google расширил географию поставок своих физических ключей безопасности Titan Но с момента появления Google Titan эксперты NinjaLab подозревали, что ключи могут быть уязвимы для атак по сторонним, или побочным, каналам. Специалисты по безопасности успешно атаковали защищенный элемент ключа — чип NXP A700X — и клонировали его. Тот факт, что набор микросхем, используемый в Google Titan, стал основой и для других ключей безопасности, заставляет опасаться и за другие продукты на рынке.
Среди подверженных атаке продуктов отмечены:
- Google Titan Security Key,
- Yubico Yubikey Neo,
- Feitian FIDO NFC USB-A / K9,
- Feitian MultiPass FIDO / K13,
- Feitian ePass FIDO USB-C / K21,
- Feitian FIDO NFC USB-C / K40,
- NXP J3D081_M59_DF,
- NXP J3A081,
- NXP J2E081_M64,
- NXP J3D145_M59,
- NXP J3D081_M59,
- NXP J3E145_M64,
- NXP J3E081_M64_DF.
Группа реагирования на безопасность NXP подтвердила, что все криптографические библиотеки NXP ECC до версии 2.9 для продуктов P5 и A7x уязвимы для атаки.
Компании и продвинутые пользователи интернета в соответствии с очередным трендом переходит на безпарольные методы входа, включая passkey по стандарту FIDO. Такие технологии уже поддерживаются и в Microsoft, и в Google. HYPR называет это “Эпохой идентификационного Ренессанса”, когда безопасность определяется не сложностью пароля, а устойчивостью ко взлому в принципе. Microsoft объявила о запуске нового метода входа для более чем миллиарда пользователей. До конца апреля большинство пользователей Windows, Xbox и Microsoft 365 получат обновлённый интерфейс с приоритетом на passkey вместо пароля. Причём, если вы создаёте новый аккаунт, теперь можно вообще не придумывать пароль — достаточно ввести свою почту и подтвердить её кодом. В будущем система предложит сохранить passkey как основной способ входа. Но хакеры уже готовят отмычки..