Пробежавшись по всем сайтам, услугами которыми пользуюсь, залезая в формочки «забыл пароль», «забыл логин», попытался оценить защищенность своих аккаунтов.
Например, RU-CENTER для восстановления пароля предлагает выслать им один листочек с логином и подписью, и скан паспорта. Подпись подделать не трудно под копирку, свой собственный логин, который требуется указать, я уже засветил в сети, так что мошенникам, чтобы получить контроль над моими доменами, осталось только раздобыть скан моего паспорта. Вот так вот, неприятно.
Интернет-банкинг Сбербанка предлагает варианты
а) авторизацию по логину и паролю плюс подтверждение по SMS
б) авторизацию по логину и паролю плюс подтверждение одноразовым паролем, которые распечатает любой банкомат, если дать ему карточку, а карточке нужен пин-код
okay.jpg, будем считать, что наши финансы условно защищены от физического хищения.
Однако, тот-же сбербанк предлагает услугу «перевести деньги посредством одной SMS на короткий номер 900», то есть, прикиньте, у вас подключен интернет-банкинг, — а он у вас подключён 100%, вы устанавливаете на свой Android-телефон вирусное приложение, которое отправляет SMS на номер 900, чтобы перевести деньги злоумышленнику. И всё, приплыли. Нету больше ваших денег.
Ехаем дальше.
Многие сайты предлагают восстановить пароль посредством e-Mail, в зависимости от уровня сервиса мыло взламывается. На всех сайтах аккаунты угоняются, даже на этом ЛОРе.
Другие многие сайты идут дальше и вводят авторизацию посредством SMS, восстановление пароля посредством SMS, подтверждение посредством SMS — в том числе и банки. В зависимости от того, насколько вы «крупная пташка» и интересуете мошенников, которые имеют связи в местечковом филиале ОпСоса г. Усть-Задрищенск, как-бы возможно отправить запрос на восстановление вашей SIM-карты, в итоге получив доступ к вашему номеру, не так ли? В этом моменте я плохо разбираюсь, но SIM-карту можно восстановить — печальный(?) факт.
Ехаем дальше.
В последнее время активизировался такой вид мошенничества, когда путём взлома вашей анкеты ВКонтакте и других аккаунтов в социальных сетях, даже Skype, у всех ваших друзей мошенники просят дать денег в долг, от вашего же лица.
Или коллекторы и банки, которым вы должны деньги, напишут всем вашим друзьям, какой вы редиска и не отдаёте долги. Неприятно, но таким образом получается, что даже список друзей ВКонтактике должен быть приватным, виден только вам. Рекомендую.
Но что-то я заговорился, простите.
Интернет! Меня интересует, насколько безопасен интернет.
Расскажите кто-нибудь на пальцах пожалуйста, доморощенному админу локалхоста, как защитить допустим, свои собственные почтовые сервера от спуфинга днс? Вот вы отправляете письмо на яндекс, а вашему почтовому серверу DNS говорит, что mx.yandex.ru имеет адрес 10.10.10.10, который на самом деле, ваш сосед.
Или почему я должен доверять «провайдеру по середине», который находится между мной и сервером яндекса, что если этот самый провайдер мог подвергнуться взлому и теперь злоумышленники выдают фейковые IP-адреса для A-записей.
Как работает интернет и как доверять узлам-по-середине?
Если по https передаётся защищённый трафик и это понятно, что никто его не увидет кроме вас, но как мы можем быть уверены, что передаём трафик вообще нужному IP-адресу, а не компьютер хакера?
