Zero Trust és ami mögötte van

Az elmúlt év legtöbbet hangoztatott kifejezése a „nulla bizalom” volt, az IT biztonság világában egyre többen hangoztatják és értelmezik ezt a fogalmat saját szájuk íze szerint. Ahhoz, hogy megértsük, miért ilyen fontos ez az irány, vegyük például a legtöbb vállalati rendszerünket, melyeket jelszó alapján érünk el. Jelenleg ha az ehhez tartozó jelszavunkat elveszítjük (vagy elmondjuk???), bárki tudja a rendszert a mi nevünkben használni. Üzleti rendszerek esetén ennek akár súlyos pénzügyi vagy üzletmenetbeli következményei is lehetnek.

A fenti probléma nem új, épp ezért az üzleti világban nagyon sok helyen megvalósították a több faktoros védelem valamilyen módját. Ez egy klasszikus, zárt vállalati hálózat esetében lehet a régi jól bevált határvédelem, egy nyílt felhő-alapú szolgáltatás esetében pedig egy második hitelesítési faktor – pl. token, SMS, mobiltoken. Ami azonban változott az utóbbi időszakban, hogy egyre gyorsabban derül ki egy-egy biztonsági megoldásról, hogy megkerülhető. Gondoljunk csak a több faktoros hitelesítésre, melyet pl. a banki szolgáltatásainknál használunk. Ezek sajnos egyre könnyebben megkerülhetők: például az alábbi videón bemutatott egyszerű módon az adathalászok könnyedén be tudnak lépni a két faktorral védett szolgáltatásba:

“Zero Trust és ami mögötte van” olvasásának folytatása

Ingyen iPhoneX egy Youtube-linkről? Hát persze!

Egy hete jelent meg a hír, hogy elindult egy scam-kampány, melyben a csalók ismert Youtube-erek nevében küldenek linkeket a felhasználóknak. A módszer rendkívül egyszerű, a csalók felállítottak olyan fiókokat és csatornákat, melyek neve és profilképe megegyezik valamelyik ismert Youtube-eréval. Ezt az teszi lehetővé, hogy a Youtube jelenleg nem ellenőrzi azt, hogy egy csatorna vagy annak tulajdonosa által választott név valóban az ő felhasználói fiókjához tartozik.

A küldött linkek általában egy csábító nyereményt ígértek, és egy URL-rövidítő szolgáltatás linkjét mutatták. A linkre kattintva több átirányításon keresztül eljuthattunk egy adatbekérő nyomtatványig, ahol a személyes adataink megadása után egy online kérdőívet kellett kitölteni. Akinek mindez nem szúrt szemet és boldogan megadta adatait a várt nyereményért cserébe, az a csalók számára jövedelmet adott, ugyanis a kérdőíveket létrehozó cégek a csalók számára fizetnek minden kitöltésért.

Bár a biztonságtudatos felhasználók időben megállhattak, a hírek szerint rengetegen mentek mégis végig az adataik megadásával a folyamaton. A RiskIQ kutatócsoportja egy blogbejegyzésben elmagyarázza az egész folyamatot, és segít abban, hogy hogyan lehet felismerni és elkerülni, hogy a csalók helyett dolgozzunk. Felállítottak egy adatbázist, ahol ehhez a scam-kampányhoz kötődően gyűjtik a gyanús adatokat (indikátorokat, vagy IOC-ket) – ezen sorok írásakor 384 domain nevet tartalmaz ez a lista.

Ez a jelenség újabb csapást mérhet a Youtube-erek amúgy is egyre nehezedő munkájára. Az elmúlt években egyre szigorodó Youtube reklámozási irányelveknek köszönhetően mára a legtöbb csatorna és alkotó jóval alacsonyabb bevételt tud elérni a reklámokból. A Youtube hivatalos Twitter fiókján megjelent üzenetben megköszönik Philip DeFranco videóját, mely a jelenségre figyelmet irányított, a közösség viszont rögtön kifejezte döbbenetét, hogy a reklámbevételek csökkenését okozó szűrő algoritmusok szigorúak és sok fals pozitív eredményt adnak, de közben nincs megoldása a cégnek a felhasználói fiók nevével való visszaélés ellen. Ebben azonban talán nincs is semmi meglepő – a Youtube többször is egyértelműen jelezte, hogy működési modelljét meg szeretné változtatni, és a független tartalomkészítők helyett a filmipar által generált reklámbevételre helyezni a hangsúlyt. Ennek legutóbbi lépése, hogy tavaly november óta egyes régiókban teljes filmeket tettek elérhetővé, természetesen a kötelező reklámszünetekkel. Ha ezt az irány tovább folytatják, valószínűleg nem lesz prioritás az itt leírt fióknevekkel való visszaélések visszaszorítása sem.