מסתבר שמסתובבת עכשיו באינטרנט ערכת Man In The Middle לפישינג. מדובר בערכה שמאפשרת לכל מקים אתר פישינג לקשר אותו ישירות לאתר האמיתי על מנת לקבל נתונים מהאתר (נניח, תמונות זיהוי שנבחרו על ידי המשתמש) ולהעביר נתונים לאתר (נניח סיסמא חד פעמית). עצם קיומם של מתקפות כאלה אינו חדש, אך ערכה אוניברסלית לפורץ היא בהחלט חידוש (מרענן?). הטענה המרכזית בהקשר זה היא שזה יהפוך את מוצרי הסיסמאות החד פעמיות למיותרים, כיוון שניתן לעקוף אותם. זה נכון, אבל חלקית. השלב הבא יהיה שארגונים המשתמשים במוצרים כאלה לזיהוי לקוחות יטמיעו מערכות סינון על בסיס מיקום, כך שיותר מדי בקשות הזדהות ממקור אחד יובילו לחסימת המקור והתוקפים יתחילו לעשות שימוש ב-botnets על מנת להסוות את מקור הגישה. וכך יימשך משחק החתול והעכבר. ואיך שאני מעדכן על זה, Ebay החליטה לחלק ללקוחות שלה פתרון OTP תמורת 5$. אני תוהה אם זה הפתרון הכי טוב שהם הגיעו אליו, או שהם רוצים להרגיע את הלקוחות. עוד נקודה מעניינת היא מהו אחוז הלקוחות שיהיו מוכנים לשלם 5$ לשיפור האבטחה.
מקור: TheRegister
בבלוג זה
בכל הבלוגים
