Ich habe einen seltsamen Fall mit meinem PayPal-Konto und wollte von der Community erfahren, was getan werden kann und wie die Sicherheitslücke aufgedeckt werden kann.
Ich habe ein privates PayPal, das in letzter Zeit ständig angegriffen wurde.
Wenn ich angegriffen sage, ist damit gemeint, dass jemand versucht hat, darauf zuzugreifen.
Was ich nicht verstehen kann, ist wie.
Die Fakten
Ich habe eine 2-Faktor-Authentifizierung (Zugangsschlüssel) in meinem PayPal-Konto über mein Telefon.
Wenn ich mich anmelden möchte, muss ich sowohl mein Passwort als auch den Code eingeben, den ich auf meinem Telefon erhalte.Ich habe ein sehr hartes Passwort, das nur für das PayPal-Konto gilt.
- Ich habe meine Sicherheitsfragen mit einer sehr langen Zeichenfolge beantwortet (nicht die Antwort auf die Frage, nur ein anderes Passwort, das hart wie eine Zeichenfolge ist).
- Das Passwort und die Zeichenfolgen werden gespeichert und nirgendwo geschrieben.
- Aus den Gesprächen mit dem PayPal-Sicherheitsteam geht hervor, dass die Person, die über das Kennwort auf mein Konto zugegriffen hat (ob sie die SMS verwendet hat oder nicht, ist nicht bekannt oder ich werde zumindest nicht gebührenpflichtig).
- Ich habe auf Windows 10 kein verdächtiges Verhalten gesehen was so ist.
- Keine verdächtigen Aktivitäten auf meinen E-Mails oder anderen Websites, auf denen ich mich anmelde.
Das erste, woran ich denke, ist, dass jemand meinen Computer mit Schlüsseln protokolliert.
Oder irgendeine Art von MaleWare.
Aktionen ausgeführt
- Ich habe Maleware und Anti-Virus ausprobiert. Einschließlich Sicherheitsdisketten und Rootkits Killers. Ich habe Kaspersky, Avira, MalewareBytes, ClamWin, Microsoft Defender und BitDefender ausprobiert.
- Ich habe Passwörter und Sicherheitsfragen geändert.
Trotzdem konnte er gestern wieder auf mein PayPal-Konto zugreifen.
Ich muss sagen, dass PayPal im Allgemeinen großartig war und alles wiederhergestellt wurde.
Dennoch möchte ich damit aufhören, wie es in den letzten Wochen einmal pro Woche passiert.
Welche anderen Optionen gibt es, um die Sicherheitslücke zu finden, die ich habe?
Ich habe keine Probleme, meinen Computer zu formatieren. Ich muss nur verstehen, was garantieren kann, dass er nicht zurückkommt.
Irgendwelche speziellen Tricks, um wirklich zu verstehen, was los ist?
Dankeschön.
Antworten:
Ich bin der festen Überzeugung, dass es sich bei Ihrem gehackten Konto ausschließlich um Social Engineering handelte und es sich überhaupt nicht um einen technischen Fehler handelte. Sie sind bereits bestrebt, äußerst gute Sicherheitsverfahren und -praktiken anzuwenden. Das spezifische Versagen liegt in unseren Institutionen, die normalerweise 10 bis 20 Jahre hinter den Bösen zurückbleiben. Sie können einfach nicht verstehen, wie sie uns schützen können, indem sie schnell neue Verfahren für neue Risiken anwenden. Zur Lösung Ihres Problems müssen wir uns möglicherweise bei PayPal und anderen Institutionen für Änderungen einsetzen.
Im Fall von PayPal gibt Krebs genau an, wie sein PayPal-Konto wiederholt gehackt wurde, obwohl er ein Experte für Sicherheit ist und bereits die 2-Faktor-Authentifizierung verwendet. Seine Geschichte sollte uns alle auf die erheblichen Gefahren aufmerksam machen, die derzeit bestehen, damit wir beginnen können, einige der Risiken zu mindern.
2016 Reality: Lazy Authentication Immer noch die Norm, von Brian Krebs
Ihr Hack war wahrscheinlich das Ergebnis von Paypals Praxis, statische Informationen zu verwenden, die angeblich schwer zu bekommen sind. Auf diese Weise wurde Krebs definitiv wiederholt gehackt. Nachdem PAYPAL diese Fragen mündlich beantwortet hatte, obwohl er ein "gesperrtes Konto" hatte, gab er den BADGUYS WIEDERHOLT ZUGRIFF auf KREBS KONTO. Krebs benutzte bereits 2FA und es half ihm nichts. Beachten Sie auch, dass Krebs als Sicherheitsexperte die Zusammenarbeit mit dem PayPal-Management viel einfacher hatte, STILL aber nicht genug half.
Fast ebenso beunruhigend ist, dass die Fotos von "offiziellen Dokumenten" im Rahmen der Due Diligence vieler Organisationen für KYC-Verfahren verwendet werden. Sie sind leicht und kostengünstig zu schmieden. Es gibt Dienste, die gegen eine geringe Gebühr betrügerische Dokumente für Sie erstellen. Sie können jederzeit nachweisen, dass Sie jemand sind, der Sie nicht sind.
Lesen Sie diesen ganzen Artikel durch, und ich denke, Sie werden sehen, dass wir alle damit beginnen müssen, unsere Institutionen auszubilden und zu zwingen, unsere Sicherheitsverfahren und -praktiken vollständig zu überarbeiten und dann Technologien anzuwenden, die heute tatsächlich funktionieren.
Aber was heute funktioniert, funktioniert möglicherweise nicht im nächsten Monat, und diese Verfahren und Technologien müssen häufig und schnell geändert werden, um sich an neue Bedrohungen anzupassen.
Das Problem ist, dass unsere Institutionen selbst so konzipiert sind, dass sie sich niemals schnell an Veränderungen anpassen können. Dieser Aspekt muss sich ändern, bevor wir erwarten können, dass sie sich schnell anpassen. Je größer die Institution, desto schwieriger ist es, ein Verfahren zu ändern, egal wie dumm es wird.
Ein Beispiel für die Versuche mehrerer Institute, ein Sicherheitsproblem zu lösen, sind Sozialversicherungsnummern. Es ist seit Jahrzehnten ein bekanntes Problem, den Bösewichten den einfachen Zugriff auf diese SS-Nummern zu ermöglichen und dann Systeme zu warten, die auf der Technologie der 1950er Jahre beruhen, um Ihr Konto zu schützen. 2006 war es gesetzlich vorgeschrieben, alle SS-Nummern von Medicaid-Karten zu entfernen, und ich glaube, Medicare-Karten auch. Die Agenturen müssen noch nicht nur die Nummern entfernen, der aktuelle Plan soll bis 2027 abgeschlossen sein. Nein, das war kein Tippfehler - ZWANZIG JAHRE, um eine sichtbare SS-Nummer von diesen Karten zu entfernen! Natürlich wird der Punkt dann wahrscheinlich umstritten sein. Ohne eine Überarbeitung dieser Organisationen kann uns kein technologischer Aufwand schützen.
Selbst für Experten wird es immer schwieriger, genügend Sicherheit zu verstehen, um sicher zu bleiben. Es erfordert unsere ständige Anpassung, das Lernen und die Übernahme unserer eigenen Verfahren, die in Bezug auf Zeitaufwand, Frustration und Geldaufwand kostengünstig sind.
Ich glaube, diese soziale Lösung ist die einzige Lösung für sein Problem, auch wenn es keine technische ist. Dies ist im Allgemeinen nicht der Ort für eine Lösung, die keine etablierte faktenbasierte Technologielösung ist. Es gibt jedoch einige Aspekte unserer Technologie, die mit Richtlinien und Verfahren verschmelzen, die sich ebenfalls ändern müssen, oder wir werden viele der neuen Sicherheitsprobleme niemals lösen. Sicherheit erfordert angewandte Technologie mit Richtlinien und Verfahren. Ohne alle drei gibt es keine Sicherheit.
quelle