Журналист
Журналист
- Статус
- offline
- Регистрация
- 28.09.2022
- Сообщения
- 892
- Репутация
- 889
Большинство людей уже знают о рисках, связанных с переходом по ссылкам в электронных письмах, но лишь немногие осознают опасность перехода по ссылкам в текстовых сообщениях. Поскольку пользователи больше доверяют СМС-сообщениям, смишинг часто оказывается выгодным способом атаки для злоумышленников, чтобы украсть учетные данные, финансовую информацию и личные данные жертв.
Смишинг также стал серьезной проблемой для корпоративной кибербезопасности, поскольку использование мобильных устройств для бизнеса становится все более распространенным в результате развития удаленной работы и политики BYOD (Bring Your Own Device). Поэтому совсем не удивительно, что смишинг стал распространенным типом кибератак.
Что же такое смишинг?
Смишинг (smishing) — это тип фишинговой атаки, при которой мошенник через СМС-сообщение убеждает жертву открыть вредоносное вложение или перейти по вредоносной ссылке.
В ходе кибератаки хакер обманным путем заставляет жертву раскрыть конфиденциальную информацию, чтобы использовать ее для мошенничества или других злонамеренных действий. Иногда смишингу могут способствовать вредоносные программы или фишинговые веб-сайты.
СМС-сообщения обычно приходят от лица законной организации - банка пользователя, поставщика услуг, оператора сотовой связи или даже государственной службы.
Смишинг (smishing = SMS + phishing) является типом атаки социальной инженерии, которая основана на эксплуатации человеческого доверия, обмане пользователя, а не на технических эксплойтах.
В ходе кибератаки хакер обманным путем заставляет жертву раскрыть конфиденциальную информацию, чтобы использовать ее для мошенничества или других злонамеренных действий. Иногда смишингу могут способствовать вредоносные программы или фишинговые веб-сайты.
СМС-сообщения обычно приходят от лица законной организации - банка пользователя, поставщика услуг, оператора сотовой связи или даже государственной службы.
Смишинг (smishing = SMS + phishing) является типом атаки социальной инженерии, которая основана на эксплуатации человеческого доверия, обмане пользователя, а не на технических эксплойтах.
Как работает смишинг?
.png)
Для совершения smishing-атаки мошенник должен выполнить следующие шаги:
- Первый шаг — заставить вас почувствовать себя обязанным ответить. Сообщение может быть связано с деньгами, например, обещание большого заработка или предложение способа защиты ваших денег;
- Второй шаг — убедить вас перейти по ссылке в сообщении, которая приведет на фишинговый веб-сайт. Этот сайт создан так, чтобы быть похожим на сайт, который вы ожидаете увидеть. Например, если это банк, то на фишинговом сайте будут такие же шрифты, логотипы и сочетания цветов, которые есть на официальном сайте банка;
- Третий шаг подразумевает то, что вы сами вводите вашу личную информацию, имя пользователя и пароль вашей учетной записи.
Смишинг-атака также может быть выполнена за меньшее количество шагов. Например, исходный текст может содержать ссылку, при нажатии на которую загружается вредоносное ПО для кражи ваших личных данных.
Типы смишинг-атак
Сообщения в смишинг-атаке отправляются жертвам под разными предлогами. Некоторые из них:
- Информация о COVID-19;
- Предложение финансовых услуг;
- Уведомление о выигрыше или подарке;
- Сообщение от лица службы поддержки клиентов;
- Просьба подтвердить счет или заказ.
Как распознать смишинг
Смишинг легко распознать, если вы знаете его признаки. Вот как определить, являетесь ли вы целью смишинг-атаки:
Запрос учетных данных
Имя пользователя и пароль вашей учетной записи могут быть запрошены мошенником, чтобы получить доступ к сервису, который вы используете. Причины, по которым хакер требует учетные данные, индивидуальны для каждого пользователя. Поэтому вы должны быть внимательны каждый раз, когда кто-то запрашивает ваши данные через сообщение.
Вложения и ссылки в СМС
Чаще всего смишинг-сообщения содержат ссылки на поддельный веб-сайт, который может собирать вашу личную информацию. Поэтому никогда не нажимайте на ссылки в СМС.
Если вы все-таки перешли по ссылке, то обратите внимание на признаки фишингового веб-сайта, например URL-адрес без «http».
Запрос на перевод средств
Относитесь скептически к запросам на денежный перевод, отправленным по СМС. Помните, что не все мошеннические схемы очевидны. Ключевым элементом смишинг-атак является завоевание доверия. Злоумышленник выдает себя за того, кого вы хорошо знаете или кому доверяете.
Подозрительный номер телефона
СМС может прийти с номера телефона, который выглядит необычно. Если вы видите подозрительный номер и еще более подозрительное сообщение, не отвечайте на него и удалите СМС как можно скорее.
«Вы победили!»
Не нужно верить таким сообщениям, тем более, если вы не участвовали в каком-либо конкурсе. Такое СМС может быть интересно, но не стоит нажимать на прикрепленные ссылки. Нужно сразу удалить сообщение.
Срочное уведомление
Большинство фишинговых писем и СМС-сообщений содержат срочные запросы, призванные напугать получателя. Однако, любая доверенная организация заранее уведомит клиентов о необходимости срочных действий. Удалите сообщение и свяжитесь с компанией, от лица которой отправлено это сообщение.
Запрос учетных данных
Имя пользователя и пароль вашей учетной записи могут быть запрошены мошенником, чтобы получить доступ к сервису, который вы используете. Причины, по которым хакер требует учетные данные, индивидуальны для каждого пользователя. Поэтому вы должны быть внимательны каждый раз, когда кто-то запрашивает ваши данные через сообщение.
Вложения и ссылки в СМС
Чаще всего смишинг-сообщения содержат ссылки на поддельный веб-сайт, который может собирать вашу личную информацию. Поэтому никогда не нажимайте на ссылки в СМС.
Если вы все-таки перешли по ссылке, то обратите внимание на признаки фишингового веб-сайта, например URL-адрес без «http».
Запрос на перевод средств
Относитесь скептически к запросам на денежный перевод, отправленным по СМС. Помните, что не все мошеннические схемы очевидны. Ключевым элементом смишинг-атак является завоевание доверия. Злоумышленник выдает себя за того, кого вы хорошо знаете или кому доверяете.
Подозрительный номер телефона
СМС может прийти с номера телефона, который выглядит необычно. Если вы видите подозрительный номер и еще более подозрительное сообщение, не отвечайте на него и удалите СМС как можно скорее.
«Вы победили!»
Не нужно верить таким сообщениям, тем более, если вы не участвовали в каком-либо конкурсе. Такое СМС может быть интересно, но не стоит нажимать на прикрепленные ссылки. Нужно сразу удалить сообщение.
Срочное уведомление
Большинство фишинговых писем и СМС-сообщений содержат срочные запросы, призванные напугать получателя. Однако, любая доверенная организация заранее уведомит клиентов о необходимости срочных действий. Удалите сообщение и свяжитесь с компанией, от лица которой отправлено это сообщение.
Как предотвратить смишинг
Чтобы не стать жертвой этого типа атак, вы должны придерживаться следующих мер безопасности:
- Никогда не доверяйте текстовым сообщениям, которые вы неожиданно получаете от лица банка или оператора сотовой связи без причины;
- Будьте осторожны с СМС, в которых вам предлагается позвонить по номеру телефона или перейти на веб-страницу, чтобы решить проблему или срочно подтвердить свои данные;
- Не отвечайте на сообщения, в которых запрашивается личная информация, например данные банковской карты. Всегда проверяйте законность отправителя;
- Никогда не отвечайте на сообщения с запросом PIN-кода, пароля для онлайн-банка или других сервисов;
- Скачивайте приложения из надежных и проверенных магазинов приложений. Некоторые смишинг-атаки могут быть направлены на то, чтобы обманом заставить жертву установить вредоносное приложение на устройство;
- Подтвердите номер отправителя. Необычные телефонные номера, например четырехзначные, могут указывать на использование служб преобразования электронной почты в текст. Это один из способов скрыть свой настоящий номер телефона;
- Используйте двухфакторную аутентификацию. Она является дополнительным уровнем безопасности в случае, если вы станете жертвой атаки и выдадите один из своих паролей. Также биометрическая аутентификация использует технологию отпечатков пальцев и распознавание лиц для подтверждения вашей личности при попытке входа в систему.
Как смягчить смишинг-атаку?
- Сообщите о подозрительном СМС в правоохранительные органы и свяжитесь с вашим банком или поставщиком услуг;
- Заморозьте свой счет, чтобы избежать кражи средств;
- Смените все пароли и PIN-коды;
- Следите за своими финансами и различными учетными записями в Интернете, чтобы выявить несанкционированный доступ в систему и другие мошеннические действия.
Вывод
С появлением удаленной работы, а также политик BYOD мобильные устройства становятся неотъемлемой частью бизнеса, что делает мобильную безопасность более важной, чем когда-либо. Важно признать, что смишинг-атаки представляют серьезную опасность как для организаций, так и для отдельных лиц. Поэтому необходимо действовать соответствующим образом, чтобы обезопасить себя и организацию от вредоносных действий злоумышленника.
Способы тестирования безопасности приложений
В этой статье мы рассмотрим основные способы тестирования безопасности приложений, выявим их преимущества и недостатки, а также расскажем, как их правильно использовать для достижения эффективной защиты приложений.
В современном мире программное обеспечение интегрируется в процессы автоматизации, и количество строк кода в приложениях увеличивается. В результате увеличивается количество возможных уязвимостей и ошибок. Это создает потребность в эффективной проверке и тестировании исходного кода.
В современном мире программное обеспечение интегрируется в процессы автоматизации, и количество строк кода в приложениях увеличивается. В результате увеличивается количество возможных уязвимостей и ошибок. Это создает потребность в эффективной проверке и тестировании исходного кода.
Информационная безопасность
Согласно исследованию Positive Technologies , проведенному в 2019 году, 82% уязвимостей веб-приложений находятся в исходном коде. В среднем каждая вторая система содержит уязвимость с высоким уровнем опасности. Одна из основных причин этой проблемы — отсутствие проверки кода на наличие уязвимостей на этапе написания. Также одним из факторов является то, что разработчики не уделяют должного внимания вопросу безопасности. Они больше сосредоточены на функциональности приложения.
Увеличение количества уязвимостей и вероятность того, что злоумышленники воспользуются ими, заставляет рынок безопасности приложений стремительно развиваться. По этой причине качество тестирования кода с годами значительно возросло, и разработано множество инструментов для тестирования кода.
Старые ошибки исправлены, но появляются новые. Кроме того, киберпреступники также разрабатывают новые инструменты и методы для обнаружения уязвимостей в коде, чтобы использовать их в атаках.
Увеличение количества уязвимостей и вероятность того, что злоумышленники воспользуются ими, заставляет рынок безопасности приложений стремительно развиваться. По этой причине качество тестирования кода с годами значительно возросло, и разработано множество инструментов для тестирования кода.
Старые ошибки исправлены, но появляются новые. Кроме того, киберпреступники также разрабатывают новые инструменты и методы для обнаружения уязвимостей в коде, чтобы использовать их в атаках.
AST (Application Security Testing)
В ответ на угрозы и постоянно растущую кодовую базу разработчики используют инструменты тестирования безопасности приложений (AST). AST — это процесс повышения безопасности приложений путем выявления уязвимостей в исходном коде.
Использование инструментов тестирования — важная часть концепции DevSecOps. Согласно отчету Transparency Market Research, рынок AST-инструментов разделен на следующие классы продуктов, которые мы рассмотрим в данной статье.
Использование инструментов тестирования — важная часть концепции DevSecOps. Согласно отчету Transparency Market Research, рынок AST-инструментов разделен на следующие классы продуктов, которые мы рассмотрим в данной статье.
- Статическое тестирование безопасности приложений (Static Application Security Testing, SAST);
- Динамическое тестирование безопасности приложений (Dynamic Application Security Testing, DAST);
- Интерактивное тестирование безопасности приложений (Interactive Application Security Testing, IAST);
SAST (Static Application Security Testing)
Статическое тестирование безопасности приложений — это тестирование на наличие ошибок и уязвимостей в исходном коде. SAST является одним из основных вариантов поиска уязвимостей в коде.
Статический анализ выполняется на этапе написания кода. Это позволяет разработчикам находить недостатки на ранних этапах разработки продукта и снижать затраты на их устранение. Кроме того, SAST работает с большинством языков программирования.
Другие преимущества SAST включают в себя:
Статический анализ выполняется на этапе написания кода. Это позволяет разработчикам находить недостатки на ранних этапах разработки продукта и снижать затраты на их устранение. Кроме того, SAST работает с большинством языков программирования.
Другие преимущества SAST включают в себя:
- Возможность интегрировать статический анализ в процесс разработки;
- Обнаружение критических уязвимостей, таких как переполнение буфера, SQL-инъекция, межсайтовый скриптинг (XSS) и другие ;
- Указание точного местоположения подозрительного фрагмента кода. Это особенно важно для больших проектов с тысячами и миллионами строк кода.
Однако, у технологии SAST есть свои недостатки, которые включают в себя большое количество ложных срабатываний. Из-за этого проверка результатов может занять много времени.
Потенциальные уязвимости в исходном коде могут привести к большим угрозам безопасности. Использование SAST-инструментов снижает эти риски и помогает контролировать качество разработки.
Потенциальные уязвимости в исходном коде могут привести к большим угрозам безопасности. Использование SAST-инструментов снижает эти риски и помогает контролировать качество разработки.
DAST (Dynamic Application Security Testing)
Динамическое тестирование безопасности приложений имитирует вредоносные атаки, которые используют распространенные уязвимости.
Основная задача DAST — выявить ошибки до того, как их обнаружит злоумышленник. Такие инструменты ищут уязвимые области, проверяя точки доступа и имитируя взаимодействие с пользователем.
DAST позволяет разработчикам выявлять недостатки, вызванные внедрениями кода (например, внедрение кода на веб-страницу) или связанные с некорректной настройкой (например, аутентификация с пустым паролем).
Преимущества DAST:
Основная задача DAST — выявить ошибки до того, как их обнаружит злоумышленник. Такие инструменты ищут уязвимые области, проверяя точки доступа и имитируя взаимодействие с пользователем.
DAST позволяет разработчикам выявлять недостатки, вызванные внедрениями кода (например, внедрение кода на веб-страницу) или связанные с некорректной настройкой (например, аутентификация с пустым паролем).
Преимущества DAST:
- В отличие от SAST, он позволяет разработчикам обнаруживать проблемы во время выполнения кода. Это могут быть недостатки аутентификации и настройки сети, либо проблемы, возникающие только после входа в систему;
- DAST находит ошибки, возникающие при работе пользователя с приложением;
- Позволяет разработчикам тестировать приложение и выявлять недостатки, которые не были обнаружены обычными тестами;
- DAST не привязан к языкам программирования.
Изначально DAST-инструменты использовались реже, чем SAST. Но в связи с распространением смартфонов, в которых появляется все больше приложений, связанных с конфиденциальной информацией, доля DAST-решений значительно увеличилась и продолжает расти. Исследование IndustryARC показало, что рынок DAST-решений увеличивается в среднем на 17,4% в год.
Согласно данным Grand View Research , по долям продаж на мировом рынке SAST и DAST практически равны.
.png)
Для большей безопасности исходного кода и продукта в целом разработчики используют SAST и DAST вместе, так как оба метода нейтрализуют слабые стороны друг друга:
Согласно данным Grand View Research , по долям продаж на мировом рынке SAST и DAST практически равны.
Для большей безопасности исходного кода и продукта в целом разработчики используют SAST и DAST вместе, так как оба метода нейтрализуют слабые стороны друг друга:
- DAST работает с разными наборами входных данных, что позволяет выявить их некорректную или небезопасную обработку;
- SAST хорошо обнаруживает ошибки в исходном коде, но выдает большое количество ложных срабатываний;
- Технологии DAST не позволяют разработчикам отмечать ошибки в точности до номера строки кода;
- SAST легко интегрировать в работу над проектом и автоматизировать процессы;
- DAST понимает вызовы функций и аргументы;
- SAST может работать с вызовами функций и аргументами, но только частично.
IAST (Interactive Application Security Testing)
Интерактивное тестирование безопасности приложений – относительно новый (по сравнению с SAST и DAST) метод, который позволяет анализировать приложение изнутри во время его работы.
Другими словами:
IAST был разработан для устранения недостатков методов SAST и DAST путем их объединения. Технология IAST обнаруживает проблемы безопасности в режиме реального времени с помощью анализа трафика и потока выполнения приложений.
Поскольку IAST работает внутри приложения, он может анализировать:
Другими словами:
- SAST работает с кодом без запуска приложения.
- DAST может работать с запущенным приложением, но без доступа к коду.
- IAST работает с кодом в работающем приложении.
IAST был разработан для устранения недостатков методов SAST и DAST путем их объединения. Технология IAST обнаруживает проблемы безопасности в режиме реального времени с помощью анализа трафика и потока выполнения приложений.
Поскольку IAST работает внутри приложения, он может анализировать:
- Код приложения;
- Поток данных;
- Конфигурации;
- HTTP-запросы и ответы;
- Библиотеки, фреймворки и т.д.;
- Информацию о внутреннем соединении.
Доступ ко всей этой информации позволяет IAST охватывать больший объем кода, давать более точные результаты и проверять более широкий набор правил безопасности, по сравнению с SAST и DAST. Кроме того, IAST выявляет больше уязвимостей без ложных срабатываний.
Однако, IAST имеет и недостатки. Одним из основных минусов является то, что IAST-инструменты могут замедлять работу приложения и снижать производительность кода.
Также крайне сложно подготовить входные данные и сценарии работы, позволяющие добиться широкого охвата кода. IAST позволяет охватить 100% кода, но на практике это может быть тяжело и трудозатратно. Поэтому, разработчики могут выбрать SAST-инструменты, так как SAST анализирует все ветки программы вне зависимости от их выполнения.
Однако, IAST имеет и недостатки. Одним из основных минусов является то, что IAST-инструменты могут замедлять работу приложения и снижать производительность кода.
Также крайне сложно подготовить входные данные и сценарии работы, позволяющие добиться широкого охвата кода. IAST позволяет охватить 100% кода, но на практике это может быть тяжело и трудозатратно. Поэтому, разработчики могут выбрать SAST-инструменты, так как SAST анализирует все ветки программы вне зависимости от их выполнения.
Вывод
.png)
Тестирование безопасности приложений является важной частью концепции DevSecOps, и мы не можем игнорировать его в современном мире разработки. Мы должны использовать AST для проверки исходного кода на наличие уязвимостей, безопасных входных данных, соединений и интеграции между внутренними системами.
Подводя итоги, мы можем выделить несколько важных аспектов статьи:
- Не существует универсального решения, обеспечивающего 100% безопасность разработки. Однако, если вы используете инструменты тестирования на ранних этапах разработки, вы легко найдете потенциальные уязвимости и предотвратите их использование в атаках.
- Совместное применение технологий SAST и DAST на соответствующих этапах разработки позволит добиться наилучших показателей защищенности исходного кода.
- SAST-инструменты предназначены для использования в непрерывной интеграции. Кроме того, современные DAST- решения успешно используются в производстве CI/CD многими предприятиями.
- Внедрение IAST-метода в разработку приложения часто бывает очень сложным. Однако, IAST эффективный из-за универсальности инструмента.
- IAST сочетает в себе плюсы и минусы SAST и DAST.
- Тестирование безопасности приложений следует применять к любому стороннему коду, который находится в разработке, поскольку мы не можем точно знать, является ли сторонний компонент (коммерческий или открытым исходным кодом) безопасным.