blog

19 Januari 2017

Gari hii mpya ya ulaghai ya Gmail inadanganya wateja wenye ujuzi: Hapa ndiyo siri ya kutambua

Wachambuzi wa usalama katika WordFence mtengenezaji maarufu wa vyombo vya usalama wameona kile wanachoita ni "kashfa kubwa" ya uwongo ambayo imekuwa imewashawishi wateja wa Google Gmail katika kugundua mambo yao ya siri ya kuingia. Kashfa hiyo inadaiwa kuwa ikichukua ubiquity kuhusu wateja wa utawala wa barua pepe na inajumuisha mtego wa moja kwa moja kwamba hata macho yanayopangwa zaidi yatafikiri kuwa ni vigumu kuzingatia. Baada ya kutofautisha kashfa hii, WordFence imetangaza sawa kwenye blogu zao na ilitambua shambulio hilo.

Jinsi inafanya kazi

Kashfa ya uwongo ni mpango mkali sana. Msaada au mteja wa Gmail atapata kwanza barua pepe kutoka kile ambacho mteja anaona kuwa amefungwa kwa mawasiliano. Imewekwa kwa barua pepe ni jambo ambalo lina alama zote za kuwa rekodi ya kawaida katika kubuni .pdf. Wateja wa kudanganyifu ambao wana uwezo wa kupakua uunganisho watagundua kitu kibaya kinachoonekana katika mstari wafuatayo.

Kupiga simu kwenye eneo la kumbukumbu kwa sehemu nyingi huwapa wateja mapitio ya ripoti. Kumbuta juu ya uhusiano huu bila kujali, itachukua wewe kuingia na ukurasa wa Google ili ufikie kwenye kumbukumbu. Wateja wa Clueless watajumuisha ID ya barua pepe na ufunguo wa siri na kuendelea.

Data ya URI ya Data ya Gmail

Ukurasa huu wa ishara ni kipindi cha pili cha kashfa iliyopigwa kashfa. Hakika inachukua wateja kwa nini ina alama zote za kuwa waaminifu kwa wema 'Ingia na ukurasa wa Google'. Mteja asiye na uaminifu atajumuisha kibali chao bila kutambua kuwa mambo hayo ya hila hutumwa kwa uwazi kuelekea database.

Mwongozo wa hatua kwa hatua ili kuufautisha

Kipande cha habari cha heshima hapa ni URL kwenye ukurasa. Inapoteza "data.text / html.https ..." kwa kweli kama blogu ilileta habari yake inasema URI na sio URL. 'URI ya habari' inayotumiwa kama sehemu ya mpango huu inashirikisha rekodi nzima katika bar ya eneo la programu.

Wakati ambapo mteja anachochea kile anachoteua ni uunganisho kwenye mapitio ya ripoti kwenye barua pepe, inafungua hati moja kwenye tabo jingine (kwa duplicate ya 'Ingia na ukurasa wa Google') tu kwamba hii ni bandia na hutuma maelezo yako kwa mgandamizaji.

Kipande cha pili cha habari ili kutofautisha kashfa hii ya ulaghai inatoka kwenye tweet iliyoonyeshwa kama ifuatavyo. Inaleta juu, kwamba njia bora ya kutambua hii ni kama wewe hutokea kuwa na skrini ya juu ya uamuzi ambayo itaonyesha kuwa uhusiano na upimaji wa kumbukumbu ni kweli picha ya fluffy (kwani haina kiwango) inayofungua hati. Kwa uwezekano mkubwa kuwa ni kuunganisha kwao, ingeweza kupanua ipasavyo, lakini hii pia ni kitu tu cha wateja kadhaa wataona na wengi watapitia fursa kubwa kwa.

Kwa uwezekano wa kuwa bado unatafuta, blogu inakaribisha kwamba unaweza kwenda naibeenpwned.com na angalia na barua pepe yako kwenye tovuti hii ya kuaminika.

Je, hii ni kashfa gani imekuwa huko nje?

Kwa kadiri ya uhakika na blogu ya uhakika na Mkurugenzi Mtendaji wa WordFence Mark Maunder, kashfa imechukuliwa katika kipindi cha wiki za hivi karibuni. Ni nini kinachosema kuwa haijahesabiwa na mteja wa msingi, lakini badala maalumu au kukutana na wateja ambao wamejifunika juu ya kugongwa na hilo. Ukweli huambiwa, kuna hata ndogo Google inaweza kufanya ili kukabiliana na mashambulizi hayo kama tangazo kutoka Google lileta:

"Tunazingatia suala hili na kuendelea kuimarisha mashindano yetu dhidi yake. Tunasaidia wateja kuepuka shambulio la uharibifu wa uharibifu katika njia za usawa, ikiwa ni pamoja na: utambulishaji wa mashine unaotokana na uharibifu, matangazo ya Kuvinjari Salama ambayo hushauri wateja wa uhusiano wa hatari katika ujumbe na mipango, kuepuka kuingia saini ya rekodi, na anga ni kikomo kutoka hapo. Wateja pia wanaweza kutekeleza uthibitisho wa hatua mbili kwa usalama wa rekodi ya ziada. "

Unaweza kujikingaje na mashambulizi hayo?

Katika tukio ambalo unadhani wewe ni majeruhi, jambo jema zaidi la kufanya ni kubadili ufunguo wako wa siri, hii inapewa mshambuliaji anaye kama sasa hakukuweka nje ya rekodi yako mwenyewe kwa kufanya vile vile kutoka mwisho wake. Unaweza kufanya beeline kwa logi yako ya rekodi ya vitendo ili uone kama mtu mwingine ameweka kwenye rekodi yako. Unaweza kufanya hivyo kwa kufungua rekodi yako ya Gmail na baada ya hapo juu ya msingi wa msingi, gonga maelezo.

Katika tukio ambalo haujashambuliwa, na unashuhudia kuwa umeweza kugonga kwenye uhusiano huo katika wiki za hivi karibuni, basi sasa itakuwa wakati mzuri wa kubadili ufunguo wa siri.

Kama Google inavyoelezea, njia bora kabisa ya kubaki salama kwa kutegemea, ni kuwezesha uthibitisho wa hatua mbili au angalia usalama wa rekodi ya ziada.

Kwa Kitambulisho cha barua pepe cha mteja na neno la siri, mshtakiwa anaweza kufanya chochote anachopenda na vyeti. Kwa hivyo kwa kweli hujenga vizuri kubadilisha neno lako la siri la Gmail kila sasa na kisha kubaki salama.

&bsp

GTranslate Your license is inactive or expired, please subscribe again!