Ich bin der festen Überzeugung, dass Ihr gehacktes Konto streng Social Engineering war und kein technisches Versagen war. Sie setzen sich bereits für äußerst gute Sicherheitsverfahren und -praktiken ein. Der spezifische Misserfolg liegt in unseren Institutionen, die in der Regel 10 bis 20 Jahre hinter den Bösen liegen. Sie können einfach nicht verstehen, wie sie uns schützen können, indem sie neue Verfahren rasch an neue Risiken anpassen. Die Lösung Ihres Problems erfordert möglicherweise, dass wir alle auf Änderungen bei PayPal und anderen Institutionen drängen.
Im Fall von PayPal beschreibt Krebs genau, wie sein PayPal-Konto wiederholt gehackt wurde, obwohl er ein Sicherheitsfachmann ist und bereits die 2-Faktor-Authentifizierung verwendet. Seine Geschichte sollte uns alle auf die erheblichen Gefahren aufmerksam machen, die derzeit vorhanden sind, um einige Risiken zu mindern.
2016 Reality: Faule Authentifizierung Immer noch die Norm, von Brian Krebs
Ihr Hack war wahrscheinlich ein Ergebnis der Praxis von Paypal, STATISCHE Informationen zu verwenden, die angeblich schwer zu bekommen sind. So wurde Krebs wiederholt gehackt. Nachdem sie diese Fragen verbal beantwortet hatten, gaben PAYPAL trotz eines "gesperrten Kontos" den BADGUYS-ZUGANG zu KREBS ACCOUNT REPEATEDLY. Krebs benutzte bereits 2FA und es tat ihm nicht gut. Beachten Sie auch, dass Krebs als Sicherheitsexperte die Zusammenarbeit mit dem PayPal-Management viel einfacher erreichen konnte, dass STILL jedoch nicht genug geholfen hat.
Fast beunruhigend ist, dass die Fotos von "offiziellen Dokumenten" für KYC-Verfahren verwendet werden, als Teil der Sorgfaltspflicht vieler Organisationen. Sie sind leicht und kostengünstig geschmiedet. Es gibt Dienste, die gegen eine geringe Gebühr betrügerische Dokumente für Sie produzieren, wann immer Sie "beweisen" möchten, dass Sie jemand sind, der Sie nicht sind.
Lesen Sie sich diesen ganzen Artikel durch, und ich denke, Sie werden sehen, dass wir alle unsere Institutionen dazu bringen müssen, unsere Sicherheitsverfahren und -praktiken vollständig zu überarbeiten und dann eine Technologie einzusetzen, die heute funktioniert.
Was heute jedoch funktioniert, kann im nächsten Monat nicht funktionieren. Diese Verfahren und Technologien müssen häufig und schnell geändert werden, um sich an neue Bedrohungen anzupassen.
Das Problem ist, dass unsere Institutionen selbst so konzipiert sind, dass sie sich niemals schnell an Änderungen anpassen können. Dieser Aspekt muss sich ändern, bevor wir eine schnelle Anpassung erwarten können. Je größer die Institution ist, desto schwieriger ist es, ein Verfahren zu ändern, egal wie dumm es wird.
Ein Beispiel für die Versuche mehrerer Institutionen, ein Sicherheitsproblem zu lösen, sind die Sozialversicherungsnummern. Es ist seit Jahrzehnten ein bekanntes Problem, den bösen Jungs einfachen Zugriff auf diese SS # zu gewähren und anschließend Systeme zu pflegen, die zum Schutz Ihres Kontos auf diese Technologie der 50er Jahre angewiesen sind. Im Jahr 2006 wurde es gesetzlich geregelt, alle SS-Nummern von Medicaid-Karten zu entfernen, und ich glaube auch, dass Medicare-Karten dabei sind. Die Agenturen müssen die Zahlen nicht nur noch entfernen, der aktuelle Plan soll bis 2027 fertiggestellt sein. Nein, das war kein Tippfehler - ZWEI JAHRE, um eine sichtbare SS-Nummer von diesen Karten zu entfernen! Natürlich wird der Punkt bis dahin wahrscheinlich irrelevant sein. Ohne eine Überarbeitung dieser Organisationen wird uns keine Technologie helfen, uns zu schützen.
Es ist immer schwieriger, genügend Sicherheit zu erlernen, um sicher zu bleiben, auch für Experten. Es erfordert unser ständiges Anpassen, Lernen und Anwenden unserer eigenen Verfahren, die kostengünstig in Zeit, Frustration und Geldaufwand sind.
Ich glaube, dass diese soziale Lösung die einzige Lösung für sein Problem ist, auch wenn es keine technische ist. Dies ist im Allgemeinen nicht der Ort für eine Lösung, die keine etablierte, faktenbasierte Technologielösung ist. Es gibt jedoch einige Aspekte unserer Technologie, die mit Richtlinien und Verfahren verschmelzen, die sich ebenfalls ändern müssen, oder wir werden niemals viele der neuen Sicherheitsprobleme lösen. Sicherheit erfordert angewandte Technologie mit Richtlinien und Verfahren. Ohne alle drei gibt es keine Sicherheit.