Я твердо верю, что ваш взломанный аккаунт был строго социальной инженерией и вовсе не был техническим провалом. Вы уже посвятили себя принятию чрезвычайно хороших процедур и практик безопасности. Конкретный провал в наших учреждениях, которые обычно на 10-20 лет отстают от плохих парней. Они просто не могут понять, как защитить нас, быстро адаптируя новые процедуры к новым рискам. Решение вашей проблемы может потребовать от всех нас настойчивых изменений в PayPal и других учреждениях.
В случае PayPal Кребс подробно описывает, как его аккаунт PayPal неоднократно подвергался взлому, несмотря на то, что он был экспертом в области безопасности и уже использовал двухфакторную аутентификацию. Его история должна предупредить всех нас о существенных опасностях, которые существуют в настоящее время, чтобы мы могли начать снижать некоторые риски.
Реальность 2016: ленивая аутентификация по-прежнему норма, Брайан Кребс
Ваш хак, скорее всего, был результатом практики Paypal по использованию СТАТИЧЕСКОЙ информации, которую якобы трудно получить. Это определенно было то, как Кребса неоднократно взламывали. После устного ответа на эти вопросы, несмотря на наличие «заблокированной учетной записи», PAYPAL ПЕРЕДАЛИ ДОСТУП К ШАБЛОНАМ К КРЕБУ. Кребс уже использовал 2FA, и это не помогло ему. Также обратите внимание, что Кребсу, будучи экспертом по безопасности, было гораздо проще получить помощь от руководства PayPal, но это все равно не помогло.
Почти так же тревожно то, что фотографии «официальных документов» используются для процедур KYC, как часть юридической проверки многих организаций. Они легко и недорого подделываются. Доступны услуги, которые предоставят вам мошеннические документы за небольшую плату, в любое время, когда вы захотите «доказать», что вы тот, кем вы не являетесь.
Прочитайте всю эту статью, и я думаю, вы увидите, что мы все должны начать обучать и заставлять наши учреждения полностью пересматривать наши процедуры и практики безопасности, а затем применять технологии, которые действительно работают сегодня.
Но то, что работает сегодня, может не сработать в следующем месяце, и эти процедуры и технологии необходимо будет часто и быстро менять, чтобы адаптироваться к новым угрозам.
Проблема в том, что сами наши институты специально созданы для того, чтобы они никогда не могли быстро адаптироваться к любым изменениям. Этот аспект должен измениться, прежде чем мы сможем ожидать их быстрой адаптации. Чем крупнее институт, тем сложнее изменить какую-либо процедуру, какой бы глупой она ни была.
Примером попыток нескольких учреждений решить проблему безопасности являются номера социального страхования. Предоставление плохим парням легкого доступа к этим SS #, а затем поддержка систем, использующих эту технологию 1950-х годов для защиты вашей учетной записи, была известной проблемой на протяжении десятилетий. В 2006 году было предписано удалить все SS # с карт Medicaid, и я считаю, что карты Medicare также. Агентства не только еще не удалили номера, текущий план планируется завершить к 2027 году. Нет, это не было опечаткой - ДВАДЦАТЬ ОДИН ГОД, чтобы удалить видимый SS # с этих карт! Конечно, к тому времени, точка, вероятно, будет спорной. Без капитального ремонта этих организаций никакие технологии не защитят нас.
Понимание достаточной безопасности, чтобы оставаться в безопасности, становится все труднее даже для экспертов. Это требует нашей постоянной корректировки, обучения и принятия наших собственных процедур, которые экономичны во времени, разочаровании и денежных затратах.
Я считаю, что это социальное решение - единственное решение его проблемы, даже если оно не техническое. Обычно это не место для любого решения, которое не является признанным технологическим решением, основанным на фактах. Но есть некоторые аспекты нашей технологии, которые объединяются с политиками и процедурами, которые также должны измениться, иначе мы никогда не решим многие из новых проблем безопасности. Безопасность требует применения технологий с политиками и процедурами. Без всех трех нет безопасности.