นี่คือโพสต์ของแขกโดย Katie Lu, Associate Development Business ที่ UNUM ID
ในช่วงบ่ายของวันพุธที่ 15 กรกฎาคม Twitter ตกเป็นเหยื่อของ“การโจมตีทางวิศวกรรมสังคมประสานงาน” รับผิดชอบเกือบ98% ของการโจมตีไซเบอร์ทั้งหมด- การโจมตีดังกล่าวส่งผลกระทบต่อบัญชีที่มีรายได้สูงประมาณ 130 บัญชีรวมถึงบัญชีที่เป็นของ Barack Obama, Elon Musk, Bill Gates และ Kanye West ในความพยายามที่จะได้รับ Bitcoin (BTC) ทวีตที่ส่งออกมาเกือบจะเหมือนกันและสัญญาว่าผู้ติดตามจะเพิ่มเป็นสองเท่าของเหรียญของพวกเขาอ่านตามบรรทัดของ“ ฉันจะเพิ่มการชำระเงิน BTC ใด ๆ ที่ส่งไปยังที่อยู่นี้”
นอกเหนือจากคนที่มีชื่อเสียงแล้วแฮ็กเกอร์ยังสามารถเข้าถึงบัญชี บริษัท เช่น Apple, Uber และ CashApp ด้วยโครงการที่คล้ายกัน-
ในขณะที่มีการละเมิดความตั้งใจสูงไม่น่าแปลกใจอย่างแน่นอน
อย่างไรก็ตามในขณะที่การโจมตีครั้งนี้ได้รับความสนใจจากสื่ออย่างกว้างขวาง แต่ก็เป็นเพียงการละเมิดทางวิศวกรรมสังคมล่าสุด นี่ไม่ใช่ครั้งแรกที่ Twitter ได้รับการกำหนดเป้าหมายเช่นเดียวกับในเดือนสิงหาคมปี 2019 ซีอีโอJack Dorsey เป็นเหยื่อของการแลกเปลี่ยนซิมวิศวกรรมสังคมประเภทอื่นที่หมายเลขโทรศัพท์ถูกส่งไปยังอุปกรณ์อื่น ดอร์ซีย์สูญเสียการควบคุมทั้งหมายเลขโทรศัพท์มือถือและการจัดการ Twitter ของเขาเพราะแฮ็กเกอร์สามารถใช้ข้อมูลเช่นผู้ให้บริการมือถือและข้อมูลส่วนบุคคลของเขาเพื่อเข้าถึง Twitter ไม่ได้อยู่คนเดียวเช่นกัน - บาร์บาร่าคอร์โคแรนก็ตกเป็นเหยื่อของวิศวกรรมสังคมเมื่อบุคคลที่ไม่มีตัวตนของเธอโครงการฉ้อโกงลวด $ 400,000- หัวข้อทั่วไปที่มีกลยุทธ์ทางวิศวกรรมสังคมคือองค์กรหรือ บริษัท ส่วนกลางสามารถเข้าถึงข้อมูลส่วนบุคคลและบัญชี ด้วย Twitter มีการเข้าถึงเครื่องมือภายในที่ใช้โดยพนักงานในขณะที่ SIM Swapping ขึ้นอยู่กับบุคคลที่อยู่ด้านในการสลับหมายเลข โครงการของคอร์โคแรนที่กำหนดไว้ในผู้ทำบัญชีที่เชื่อมั่นในการให้สิทธิ์การเข้าถึงบัญชีของเธอ
ปัญหาพื้นฐาน
ปัญหาวิศวกรรมสังคมเป็นปัญหาที่รู้จักกันดี แต่ยากและยังไม่ได้แก้ไข ปัญหาโดยธรรมชาติคือโครงสร้างส่วนกลางจะเสี่ยงต่อการถูกโจมตีเสมอโดยไม่มีข้อผิดพลาดจากผู้ใช้ ด้วยเหตุการณ์ความปลอดภัยทางไซเบอร์ทั้งหมดเหล่านี้การตอบสนองคือการเพิ่มความปลอดภัยในโครงสร้างพื้นฐานส่วนกลางที่มีอยู่ อย่างไรก็ตามปัญหาเกี่ยวกับเรื่องนี้คือมันกลายเป็นการแข่งขันทางอาวุธ ในขณะที่การรักษาความปลอดภัยมีความแข็งแกร่งมากขึ้นแฮ็กเกอร์ทำให้การละเมิดข้อมูลไม่สิ้นสุดและพัฒนาความปลอดภัยที่แข็งแกร่งมากขึ้น
ในตัวตนกระจายอำนาจมา
เอกลักษณ์การกระจายอำนาจเป็นวิธีแก้ปัญหาที่ บริษัท ต่างๆเช่น Microsoft และอื่น ๆ พูดคุยกันเพราะมันจะแก้ปัญหาการเข้าถึงจำนวนมากที่มีอยู่ในเครื่องมือหรือสถานที่เดียว ในระบบการกระจายอำนาจแต่ละคนสามารถเข้าถึงข้อมูลและบริการของตนเองได้เพียงอย่างเดียวเท่านั้นที่ต้องการการตรวจสอบเพียงครั้งเดียว - ตัวคุณเอง
คุณสามารถเห็นได้ในภาพด้านบนว่าส่วนกลาง (ซ้าย) อนุญาตให้เข้าถึงทุกคนหากแพลตฟอร์มกลางถูกบุกรุก ในขณะที่มีการกระจายอำนาจ (ขวา) เพียงคนเดียวเท่านั้นที่สามารถเข้าถึงได้ต่อการละเมิด
ในระบบปัจจุบันของเราคุณต้องลงทะเบียนแยกต่างหากกับแต่ละบริการที่คุณใช้และตรวจสอบตัวเองอีกครั้งทุกครั้งที่คุณเข้าสู่ระบบไม่ว่าจะด้วยชื่อผู้ใช้/รหัสผ่านหรือข้อมูลรับรองอื่น ๆ สิ่งนี้มีช่องโหว่มากมายรวมถึงฐานข้อมูลส่วนกลางที่มีข้อมูลของคุณที่อาจรั่วไหลออกมารวมถึงพนักงานที่สามารถจัดการใช้และจัดเก็บข้อมูลของคุณได้ ภายใต้แพลตฟอร์มการกระจายอำนาจบล็อกเชนข้อมูลดิจิตอลและบัญชีของคุณจะไม่ถูกเก็บไว้ในฐานข้อมูลส่วนกลางพวกเขาจะถูกเก็บไว้ในอุปกรณ์ส่วนตัวของคุณ ซึ่งหมายความว่าแฮ็กเกอร์จะไม่สามารถเข้าถึงข้อมูลของคุณได้เว้นแต่ว่าพวกเขามีอุปกรณ์ทางกายภาพของคุณเช่นโทรศัพท์ทำให้การละเมิดข้อมูลยากขึ้นอย่างมากและเป็นไปไม่ได้ ลองผ่านกรณีการใช้งานและดูว่าแฮ็คอย่าง Twitter จะเป็นไปไม่ได้ด้วยแพลตฟอร์มการกระจายอำนาจ (ส่วนใหญ่)
จอห์นนี่ต้องการเข้าสู่ Twitter
1. เขาไปที่หน้าเข้าสู่ระบบของพวกเขาและเข้าสู่ชื่อผู้ใช้และรหัสผ่านปกติของเขาซึ่งอยู่ในฐานข้อมูลส่วนกลางของ Twitter แล้ว
2. เขาผ่านการตรวจสอบแสดงว่าเขาเป็นคนที่ตรงกับข้อมูลที่เขาป้อน เมื่อการตรวจสอบนี้เสร็จสิ้นแล้วข้อมูลรับรองการตรวจสอบจะถูกเก็บไว้ในโทรศัพท์ของเขาเช่นกัน
3. ครั้งต่อไปที่จอห์นนี่ต้องการเข้าสู่ระบบเขาใช้ชีวภาพของเขาเพื่อปลดล็อกข้อมูลประจำตัวที่ถูกต้องบนอุปกรณ์ของเขาและเข้าสู่ระบบโปรดทราบว่า Twitter ยังพิสูจน์ตัวตนของพวกเขากลับไปที่จอห์นนี่โดยการรับรองความถูกต้องด้วยชื่อผู้ใช้/รหัสผ่านของเขา มันง่ายมาก!
วิศวกรรมสังคมถูกทำให้เป็นกลางโดยการกระจายอำนาจ
ตอนนี้ลองผ่านกลยุทธ์ทางวิศวกรรมสังคมทั่วไปรวมถึงกรณีของ Twitter และพูดคุยกันว่าทำไมพวกเขาถึงไม่ทำงาน
1. เครื่องมือพนักงานภายในของ Twitter ที่ใช้: มีสองเหตุผลว่าทำไมวิธีการนี้จะไม่ทำงาน ก่อนอื่นเพื่อเข้าถึงบัญชีของพนักงานวิธีเดียวที่จะเข้าสู่ระบบคือการมีอุปกรณ์ทางกายภาพของพวกเขา (สำหรับข้อมูลการเข้าสู่ระบบ) ประการที่สองแฮ็กเกอร์จะต้องมีบุคคลทางกายภาพของพนักงานที่นั่นเพื่อให้ไบโอเมตริกซ์ปล่อยข้อมูลรับรองการตรวจสอบ สถานการณ์นี้ไม่น่าจะเป็นไปได้มากและหมายความว่าแฮ็กเกอร์จะไม่สามารถเข้าถึงเครื่องมือของพนักงานได้ตั้งแต่แรก
2. การสลับซิม: เนื่องจากตัวตนดิจิตอลของบุคคลนั้นเชื่อมโยงกับอุปกรณ์ทางกายภาพของพวกเขาการกำหนดเส้นทางหมายเลขโทรศัพท์ของบุคคลไปยังอุปกรณ์อื่นอย่างมีประสิทธิภาพไม่ได้ทำอะไรเลย อุปกรณ์ของแฮ็กเกอร์ที่มีหมายเลขโทรศัพท์มือถือของบุคคลนั้นยังไม่มีข้อมูลรับรองการตรวจสอบหรือข้อมูลส่วนบุคคลเพื่อตรวจสอบสิทธิ์ด้วย Twitter SIM Swapping ไม่สามารถเข้าถึงบัญชีได้
3. ฟิชชิ่ง: พนักงานและผู้ใช้ทั้งคู่แม้ว่าจะเชื่อมั่นในเว็บไซต์ Twitter ปลอมไม่สามารถเข้าถึงบัญชีได้เพราะเว็บไซต์ปลอมจะไม่สามารถพิสูจน์ตัวเองได้ ด้วยโครงสร้างพื้นฐานแบบกระจายอำนาจไซต์ปลอมจะไม่สามารถผ่านการตรวจสอบชื่อผู้ใช้/รหัสผ่านเพื่อตรวจสอบตัวเองให้กับผู้ใช้ การกระจายอำนาจช่วยปกป้องผู้ใช้จากฟิชชิ่งเช่นกัน
การปิดความคิด
เป็นที่ชัดเจนว่าการรักษาความปลอดภัยทางไซเบอร์มีการเติบโตเท่านั้นด้วยรายงานบางฉบับคาดการณ์ว่าการใช้จ่ายจะเกิน $ 1 ล้านล้านภายในปี 2564- แต่ตราบใดที่เรายังคงต่อสู้กับการแข่งขันอาวุธที่ไม่จำเป็นกับแฮ็กเกอร์ด้วยระบบส่วนกลางเราก็พลาดโอกาสที่สำคัญในการปรับปรุงระบบการจัดการข้อมูลประจำตัวโดยเนื้อแท้ จุดที่มีความเสี่ยงมากที่สุดในการเข้าถึงผู้คนควรได้รับการทำให้เป็นกลางโดยต้องมีการตรวจสอบเพิ่มเติมเช่นอุปกรณ์ส่วนตัวและชีวภาพของพวกเขา ความปลอดภัยทางไซเบอร์รุ่นต่อไปจำเป็นต้องมุ่งเน้นไปที่การเปลี่ยนไปใช้แพลตฟอร์มการกระจายอำนาจช่วยให้ผู้ใช้และ บริษัท ปกป้องข้อมูลของพวกเขา
เกี่ยวกับผู้แต่ง
Katie Luเป็นผู้ร่วมพัฒนาธุรกิจที่สิ่งหนึ่งที่-
ข้อจำกัดความรับผิดชอบ: ข้อมูลเชิงลึกของอุตสาหกรรม Biometric Update จะถูกส่งเนื้อหา มุมมองที่แสดงในโพสต์นี้เป็นของผู้เขียนและไม่จำเป็นต้องสะท้อนมุมมองของการอัปเดตไบโอเมตริกซ์
หัวข้อบทความ
การรับรองความถูกต้อง-ไบโอเมตริกซ์-blockchain-ความปลอดภัยทางไซเบอร์-การป้องกันข้อมูล-ID กระจายอำนาจ-เอกลักษณ์ดิจิทัล-การแฮ็ก-การจัดการอัตลักษณ์-การตรวจสอบตัวตน-สิ่งหนึ่งที่-X (Twitter)
