這是Unum ID業務發展助理Katie Lu的來賓帖子。
7月15日星期三下午,Twitter成為“協調的社會工程攻擊”,幾乎負責所有網絡攻擊的98%。這次襲擊影響了大約130個備受矚目的帳戶,其中包括屬於巴拉克·奧巴馬,埃隆·馬斯克,比爾·蓋茨和坎耶·韋斯特的賬戶,試圖獲得比特幣(BTC)。發送的推文幾乎是相同的,並承諾追隨者的硬幣翻了一番,並按照“我將發送給此地址的任何BTC付款加倍”的文章。
除了引人注目的人外,黑客還能夠與Apple,Uber和CashApp等公司帳戶訪問類似的方案。
而高意見的違規行為,並不奇怪
但是,儘管這種特殊的攻擊引起了廣泛的媒體關注,但它只是一長串社會工程違規行為中的最新攻擊。這甚至不是Twitter第一次成為目標,如2019年8月,首席執行官傑克·多爾西(Jack Dorsey)是SIM卡交換的受害者,另一種類型的社會工程,將電話號碼路由到其他設備。多爾西(Dorsey)失去了對他的手機號碼和Twitter手柄的控制權,因為黑客能夠使用他的移動運營商和個人信息等信息來訪問。 Twitter並不孤單 - 芭芭拉·科克蘭(Barbara Corcoran$ 400,000電匯欺詐計劃。社會工程策略的共同點是集中組織或公司可以訪問個人數據和帳戶。使用Twitter,訪問了員工使用的內部工具,而SIM交換則依賴於內部切換號碼上的人。 Corcoran的計劃是基於一個簿記員說服授予其帳戶的訪問權。
基本問題
社會工程問題是一個眾所周知的,但困難且未解決的問題。固有的問題是,集中式結構將始終容易受到攻擊,而最終用戶沒有錯。隨著所有這些網絡安全事件,響應是提高現有的集中基礎設施的安全性。然而,問題在於它本質上成為了軍備競賽。儘管安全性變得更強大,但黑客也使其成為數據漏洞的無限循環,並開發了更強大的安全性。
出現分散的身份
分散的身份是一種解決方案,由Microsoft和其他公司等公司討論,因為它可以解決一個工具或地點中包含大量訪問的問題。在分散的系統中,每個人都可以唯一訪問自己的數據和服務,只需要一個驗證。
您可以在上面的圖片中看到集中式(左),如果中央平台受到損害,則可以訪問所有人;在分散的(右)的情況下,每個違規只能訪問一個人
在我們當前的系統中,您必須在每次登錄時使用用戶名/密碼或其他憑據進行每次登錄時對每種服務進行單獨註冊。這具有許多漏洞,包括一個集中式數據庫,其中包含您的信息,以及員工能夠操縱,使用和存儲您的數據的員工。在分散的區塊鏈平台下,您的數字數據和帳戶不存儲在集中式數據庫中,它們存儲在您的個人設備上。這意味著黑客將無法訪問您的數據,除非他們擁有您的物理設備,例如手機,從而使數據洩露更加困難,並且幾乎不可能進行大規模的數據。讓我們瀏覽用例,看看像Twitter這樣的駭客是如何使用(大部分)分散的平台不可能的。
約翰尼想登錄Twitter。
1。他轉到他們的登錄頁面並輸入他通常的用戶名和密碼,這些用戶名和密碼已經在Twitter的集中數據庫中。
2。他經過驗證,表明他確實是一個與他輸入的信息相匹配的人。一旦完成了此驗證,該驗證證書也將存儲在他的手機內部。
3。下次約翰尼想登錄時,他使用生物識別技術在其設備上解鎖正確的憑證並登錄。請記住,Twitter還通過使用其用戶名/密碼來證明其身份回到Johnny,只有他們才能訪問。很容易!
社會工程如何通過權力下放來中和
現在讓我們遵循普通的社會工程策略,包括Twitter的案例,並討論為什麼它們不起作用。
1。 Twitter的案例 - 內幕員工工具使用:這種方法無法使用的兩個原因。首先,為了訪問員工的帳戶,登錄的唯一方法是擁有其物理設備(用於登錄信息)。其次,黑客還必須讓員工的身體人員在那裡進行生物識別技術來釋放驗證證書。這種情況非常不可能,這意味著黑客首先無法訪問員工工具。
2。 sim交換:因為一個人的數字身份與他們的物理設備綁定,所以將人的電話號碼路由到另一個設備有效地將其路由無能為力。使用該人的手機號碼的黑客設備,仍然沒有驗證憑據或個人數據可以通過Twitter進行身份驗證。 SIM卡交換不給帳戶訪問。
3.網絡釣魚:員工和用戶都可以說服偽造的Twitter網站,也無法提供帳戶訪問,因為假網站無法證明自己。使用分散的基礎架構,假網站將無法傳遞用戶名/密碼檢查以將自己身份驗證給用戶。權力下放也可以保護用戶免於網絡釣魚。
結束思想
顯然,網絡安全只是在增長,一些報告預測,到2021年的支出將超過1萬億美元。但是,只要我們繼續與具有集中式系統的黑客與黑客進行不必要的武器競賽,我們就會錯過一個固有地改善身份管理系統的關鍵機會。人們本身應通過需要額外的檢查(例如他們的個人設備和生物識別技術)來中和最脆弱的訪問點。下一代網絡安全需要集中精力過渡到分散的平台,以幫助用戶和公司保護他們的數據。
關於作者
免責聲明:生物識別更新的行業見解是提交的內容。這篇文章中表達的觀點是作者的觀點,不一定反映生物識別更新的觀點。
文章主題
驗證|生物識別技術|區塊鏈|網絡安全|數據保護|分散ID|數字身份|駭客|身份管理|身份驗證|一件事|x(Twitter)
