Domanda:
È possibile rilevare violazioni della sicurezza come utente prima che vengano annunciate?
SEJPM
2016-03-03 20:02:42 UTC
view on stackexchange narkive permalink

Sono sempre preoccupato per la sicurezza dei servizi che utilizzo. Sono ancora più preoccupato dal momento che le violazioni della sicurezza si sono verificate sempre di più negli ultimi tempi e generano sempre molto rumore nei media.

Ora sto già cercando di proteggere i miei account al massimo possibile, come utilizzare 2FA ove possibile e utilizzare un gestore di password efficace. Tuttavia, queste misure non proteggono dalle violazioni della sicurezza.

Esiste un metodo affidabile per rilevare le violazioni della sicurezza prima che vengano annunciate in modo che io possa agire e non debba reagire? >

Domanda bonus facoltativa : quali misure posso adottare per garantire la sicurezza dei miei dati nel caso in cui si verifichi una violazione senza preavviso?

Oggi ci aspettiamo una pioggia di password non salate. Domani è parzialmente nuvoloso con una probabilità del 5% di iniezioni di SQL. No, ma seriamente, se fosse facile prevedere che le aziende lo farebbero già.
@John, Voglio la previsione tra quando ha avuto luogo l'attacco e quando è stato annunciato dalla società. Non prevederlo tre giorni prima.
Vedo. Potrebbe essere utile utilizzare indirizzi e-mail diversi per account da un provider che consente di monitorare i tentativi di accesso.
Logicamente, le persone che li annunciano devono scoprirli in qualche modo.
@corsiKa Sì, ma il punto che sta cercando di riportare a casa è che c'è un ritardo tra il momento in cui l'azienda scopre di avere una violazione e il momento in cui le principali agenzie di stampa scoprono e pubblicano la storia. Sarebbe bello sapere della rottura tra questi tempi, per quanto impossibile possa sembrare. Anch'io vorrei saperlo, ma temo che non sia possibile.
@SEJPM Questo non è degno di una risposta, quindi sto postando come commento. Utilizzo un sito per il rilevamento di alcune delle mie e-mail gratuite chiamato: https://haveibeenpwned.com/. Anche se questo non ti darà quel rilevamento "magico" che stai cercando, ti aiuterà a mostrarti se ti sei registrato su un sito e hanno subito una violazione della sicurezza. So che è dopo il fatto, ma quello per cui lo uso è vedere se qualche sito che ho registrato anni fa e che ho dimenticato o non ho utilizzato da quando la registrazione è stata violata e le mie credenziali sono state quindi compromesse. Se stai praticando una buona sicurezza e non ripeti le password e usi in modo casuale ...
... generato password complesse complesse e simili, quindi non dovrebbe importare se un sito con i tuoi dati di credibilità è stato compromesso o meno, ma è bello saperlo.
@BradBouchard se il sito ha i dati della tua carta di credito (ad esempio, commerciante online), allora sarà importante. La mia risposta http://security.stackexchange.com/a/116410/9640 si concentra sulle informazioni della carta di credito.
@emory Corretto, ecco perché ho indirizzato solo le credenziali e non le carte di credito. Saprai abbastanza velocemente se la tua carta di credito viene compromessa a meno che tu non sia in letargo per l'inverno e ti svegli 3 mesi dopo e ti rendi conto che il conto della tua carta di credito è ora di $ 100.000.
Un altro modo è completamente illegale e prevede il monitoraggio del supporto IT e dell'attività dei team di risposta agli incidenti.
@DeerHunter o potresti essere proattivo e hackerare tutti i siti. Allora saprai che sono stati violati.
@emory compromettere segretamente GCC e usarlo per backdoor ogni sistema di computer sulla terra? Sembra praticabile.
Difficile essere sicuro di quello che stai chiedendo. Vedere, ad esempio, [Incident Discovery and Containment] (https://securityblog.verizonenterprise.com/?p=7299) e, per un periodo leggermente precedente, [Verizon 2012 Data Breach Investigations Report] (http: //www.wired .com / images_blogs / threatlevel / 2012/03 / Verizon-Data-Breach-Report-2012.pdf) a partire da pagina 48. A quali momenti nel tempo stai prendendo di mira? (E quali differenze ti aspetti?)
Cinque risposte:
#1
+99
Mark Buffalo
2016-03-03 20:05:32 UTC
view on stackexchange narkive permalink

Non puoi rilevarlo con una certezza del 100% perché non tutti coloro che rubano i tuoi dati vogliono phishing o venderli. Ma per coloro che vogliono phishing - e questa è una gran parte di loro - ci sono alcuni trucchi che puoi applicare.

Nella maggior parte dei posti, non puoi fornisce dettagli falsi. Devi inserire il tuo nome, indirizzo fisico, dati della carta di credito, numero di previdenza sociale, ecc. Non hai davvero molto controllo sui dettagli reali.

Tuttavia, ciò che fai avere il controllo è il tuo indirizzo email . Puoi sempre fornire un account email fittizio a chiunque, per qualsiasi motivo, anche se il resto dei tuoi dati deve essere legittimo.


Metodo di indirizzo email errato

Chiamiamolo REAM . Mi piace REAM.

Ecco cosa faccio: acquisto alcuni domini e creo quantità illimitate di indirizzi email, quindi utilizzo un indirizzo email diverso per ogni sito web su cui ho un account. Uso anche Gmail, Yahoo, ecc.

Acquista 2-3 nomi di dominio ragionevoli e assegno agli account nomi univoci e ragionevoli come [email protected] , [email protected] , ecc. Puoi anche utilizzare provider di posta elettronica gratuiti, ma dover inserire ripetutamente il tuo numero di telefono potrebbe causare alcuni problemi.

È un sacco di lavoro, ma alla lunga si ripaga. Quando ti viene chiesto il tuo indirizzo e-mail presso un rivenditore, dai loro una di quelle e-mail e usala SOLO per loro. Assicurati di utilizzare ogni indirizzo email solo una volta. Porta un elenco di indirizzi email nel tuo portafoglio.

Ora perché dovremmo rilevare il phishing, invece di inviarlo alla cartella spam? Perché un tentativo di phishing su queste email può indicare una violazione.

Ho scoperto che, con sorprendente regolarità, senza nemmeno fornire il mio indirizzo email ad altre società oltre alla prima, ottengo phished regolarmente su ogni account. In effetti, ho visto dozzine di tali violazioni.

Di seguito è riportato un breve elenco di alcuni importanti attacchi di phishing che ho riscontrato:

  1. OPM (2011, non divulgato fino al 2015)
  2. IRS (2015, non divulgato fino alla fine del 2015 )
  3. IRS (2016. Ripetizione del 2015? Non divulgato fino a poco tempo)
  4. Pizza Hut (inizio 2015, violazione ancora non divulgata)
  5. Target (2013?)

Nella maggior parte delle e-mail, gli aggressori di solito parlano male l'inglese. In alcuni, non lo fanno. Cercano anche su Google una località vicino all'indirizzo fornito e dicono di avere un'opportunità di lavoro, ecc.

In alcuni casi, riceverò anche telefonate da loro con lo stesso prefisso di me! In realtà è molto facile ottenere un telefono masterizzato su Wal-Mart e impostarlo sullo stesso prefisso della vittima. Se sei abbastanza intelligente e si trovano nello stesso paese, puoi guidarli rapidamente lungo il sentiero dei dannati.

In quasi tutti i casi, cercano di farmi fare clic su un sito web infetto. Ci andrò comunque (su una macchina virtuale fittizia, ovviamente) perché sono un ricercatore di sicurezza masochista che si diverte con il malware di reverse engineering e fa soffrire gli aggressori. Soffri i mortali mentre la tua patetica magia ti tradisce! Tuttavia, potresti non volerli visitare.


Il metodo dei numeri di telefono multipli

Ad alcuni piace provare a utilizzare più numeri di telefono. Non lo farei. Non è né affidabile né efficace perché:

  1. I numeri di telefono possono essere enumerati molto facilmente e composti automaticamente / inviati tramite SMS.
  2. Avere più telefoni costa un sacco di soldi numeri.
  3. Probabilmente riceverai chiamate da persone che conoscevano la persona che conosceva il precedente proprietario.

Pertanto, REAM è un modo molto migliore di questo.


Metodo dell'indirizzo email Plus

Immagino che possiamo chiamarlo PEAM .

Altri hanno suggerito il metodo con l'indirizzo email più. Gmail lo supporta. Ad esempio, se il tuo indirizzo email è [email protected] , ti consigliamo di utilizzare [email protected] . Apparentemente Google eliminerà il lato positivo dell'indirizzo email.

L'utilizzo di questo metodo potrebbe essere utile per molte ragioni. Tuttavia, pochissimi - se del caso - di questi motivi si applicherebbero a veri e propri esperti phisher. Non consiglierei di utilizzare questo metodo perché potrebbe funzionare solo contro i comuni spammer, non veri e propri phisher esperti. Ecco perché:

  1. I phisher sono più intelligenti dello spammer medio. Ti stanno prendendo di mira personalmente. Se rispondi, creeranno un profilo su di te, o forse hanno già un profilo costruito su di te sulla base di set di dati rubati.
  2. Gli spammer inviano spam a chiunque possono. Il tuo indirizzo positivo viene comunque recapitato nella tua casella di posta. E sai solo che vuoi quelle pillole allunganti ... quindi finisci per comprarle comunque, e non funzionano, e tutte le donne ridono di te. [ singhiozzi incontrollabili ] Ehm ...
  3. Questo metodo può essere facilmente aggirato con il codice. Dimostrerò:

      List<String> possibilmenteIntelligentTargetList = new List<String> (); foreach (string email in emailAddressCollection) {// Potremmo aver trovato una persona di dimensioni maggiori if ( + ")) {// Ignora la stringa dell'indirizzo di posta elettronica più realEmailAddress = email.Split (" + ") [0] +" @ "+ email.Split (" @ ") [1]; // Indirizzo email effettivo dell'utente di phishing. PhishUser (realEmailAddress); // Aggiungi l'e-mail fornita a un nuovo elenco in modo da poter analizzare in seguito possibilmente IntelligentTargetList.Add (email); } else {PhishUser (email); }}  

    Ovviamente, questo potrebbe essere migliorato, ma questo è un esempio approssimativo di quanto sarebbe facile farlo. Mi ci sono voluti solo 0,05 millisecondi per scrivere questo.

Con lo snippet di codice sopra, il lato positivo dell'indirizzo email viene scartato. Ora come fai a sapere da dove proviene la violazione? Per questo motivo, ti consiglio di ottenere REAM”ed.


Pesca a strascico nel "Deep Web"

bmargulies fa emergere un punto interessante e molto positivo: i tuoi dati a volte possono apparire sul Deep Web. Tuttavia, queste informazioni sono generalmente in vendita.

Sebbene sì, potrebbe essere possibile rilevare una violazione prima che venga annunciata visitando il Deep Web o utilizzando un servizio di protezione dell'identità che lo fa, questo metodo ha anche i suoi svantaggi. Ecco alcuni problemi che vedo con la ricerca sul Deep Web:

  1. Sebbene alcuni servizi di protezione dell'identità siano eccellenti, potrebbero costare un bel po 'di soldi. I servizi di protezione dell'identità possono essere forniti gratuitamente, ma di solito vengono dopo l'annuncio della violazione e la protezione solo dura per un periodo di tempo limitato, di solito circa 1-2 anni.
  2. Di solito devi acquistare queste informazioni dagli aggressori, a meno che non le abbiano rilasciate per il Lulz.
  3. I dati violati semplicemente potrebbero non apparire affatto sul Deep Web.
  4. Come puoi vedere, ci sono molti pro e contro di ogni singolo metodo qui. Nessun metodo è perfetto. È impossibile ottenere la perfezione al 100%.


    REAM rileva anche singole violazioni

    Questo metodo non rileva solo le violazioni per le aziende. Rileva le violazioni agli individui. Potresti scoprire che, dopo aver fornito a qualcuno il tuo indirizzo email, loro ti inviano attacchi di phishing diversi mesi dopo. Può provenire da loro o da qualcun altro che li ha hackerati.


    Ora che i miei dati sono stati rubati, cosa devo fare?

    Se hai un forte sospetto che le tue informazioni sensibili siano state rubate, dovresti fare quanto segue:

    1. Spegni e sostituisci tutte le carte di credito e di debito associate al suddetto indirizzo email.
    2. Blocca il tuo credito in modo che non possano intervenire con i dettagli.
    3. Informa l'azienda / individuo che probabilmente è stato violato, in modo che possa prendere passaggi.
    4. Leggi le carte di credito virtuali nella risposta fornita da emory per la domanda bonus di seguito.
Sostengo REAM. Tuttavia, non vedo perché l'acquisto di * diversi * domini possa essere di qualche utilità.
@Yuriko Se uno dei tuoi domini risulta essere associato al rilevamento del phishing, hai perso il tuo piccolo trucco quando gli aggressori smettono di abboccare. Nel mondo della sicurezza delle informazioni, la carta stagnola determina il vincitore.
Rispetto la tua carta stampata che in generale è più forte della mia. Tuttavia, vi sono margini di miglioramento. Uso la cassaforte del negozio che è una sorta di carta di credito virtuale. Se effettuo un acquisto in ottobre per $ 100, il limite di credito sulla carta è di $ 100 e la data di scadenza è novembre. Dopo che il pagamento è stato elaborato o novembre, le informazioni sulla carta di credito non sono più sensibili. Non ho bisogno di chiudere e sostituire tutte le schede associate a un sito compromesso.
@emory Questa è una buona idea ... Ho bisogno di esaminarla. Tuttavia, i miei sensi di carta stagnola stanno formicolando: cosa succede se Shop Safe viene violato?
@MarkBuffalo la compagnia della mia carta di credito mi fornisce ShopSafe come servizio. Se vengono violati, allora vengo lavato. È un account, una carta fisica e un numero illimitato di numeri di carte di credito con limiti di credito personalizzabili e date di scadenza. ShopSafe registra anche il primo commerciante che ha effettuato un addebito sulla carta virtuale. Se qualcun altro tenta di addebitare la carta, viene rifiutato. ShopSafe è solo il marchio utilizzato dalla società della mia carta di credito. Il concetto generale è carta di credito virtuale e la tua carta potrebbe già fornirla.
Grazie @emory. Questo è qualcosa che devo davvero considerare di aggiungere al mio repertorio di carta stagnola. Se vuoi aggiungere i dettagli, dovresti pubblicare la tua risposta in questa domanda. Saremmo sicuramente interessati a saperne di più.
@MarkBuffalo la tua risposta è eccellente per la domanda "è possibile rilevare violazioni della sicurezza come utente". I miei commenti non affrontano realmente questo aspetto. Si tratta solo di ridurre il carico di lavoro post-rilevamento. La tua carta è stata effettivamente annullata in previsione di una violazione della sicurezza. Se riesci a ridurre il carico di lavoro a zero, perché preoccuparti del rilevamento?
@emory Credo che i tuoi commenti siano molto utili per la domanda bonus e potresti rispondere di seguito. Se non vuoi farlo, sentiti libero di modificare il mio post.
@MarkBuffalo Quindi, in sostanza, REAM serve solo per identificare quale azienda è stata violata? Come ti aiutano queste informazioni? Non hanno ancora accesso alla tua email, sanno solo che esiste (dato che usi una password univoca per account aziendale, come notato da OP con il suo gestore di password). L '"unica" cosa che guadagni avendo più indirizzi email è contattare l'azienda in questione e informarla della violazione, giusto?
@mucaho Con REAM, e in caso di phishing, puoi sapere se le tue informazioni personali sono state violate o meno. In quale altro modo gli aggressori saprebbero di phishing quell'unica email, utilizzata in un solo posto, * a meno che * non abbiano già scaricato il contenuto del database? Queste informazioni ti aiutano ad adottare le misure appropriate per proteggere i tuoi dati prima che le aziende rilascino informazioni sulla violazione. Alcune aziende / agenzie / università / ecc. Non sanno nemmeno di essere state violate o non lo riveleranno nemmeno per anni. Ad esempio, con Pizza Hut, sto ancora aspettando l'annuncio!
Perché usi diversi domini invece di usare solo un'e-mail Gmail o Hotmail o qualcosa del genere?
"Porta un elenco di indirizzi email nel tuo portafoglio" o consenti la consegna a qualsiasi indirizzo che inizi con "michael.duncan2017" e dai indirizzi come "michael.duncan2017.pizza.hut @", che puoi improvvisare secondo necessità ( e successivamente bloccare se necessario a causa di spam). È un po 'come usare la funzione "+ [email protected]", tranne per il fatto che traggo vantaggio da un po' di oscurità in quanto spammer e phisher * sanno * tutto dopo il + in un indirizzo gmail è insignificante, mentre loro no non conosco le mie regole di consegna della posta :-)
@trallgorm Leggi il secondo commento in risposta al primo.
@SteveJessop Tinfoil dice no. : P Potrebbe essere un chiaro indizio che stai cercando di rilevare attacchi di phishing. E poi potrebbero semplicemente rimuovere "+ qualcosa".
@MarkBuffalo: è abbastanza giusto, sto solo sottolineando che funziona per me in pratica ed è un po 'più facile da gestire. In realtà * non * sto particolarmente cercando di rilevare il phishing, tuttavia, è per lo più presente come ultima risorsa contro lo spam e in particolare contro le persone i cui meccanismi di annullamento dell'iscrizione non esistono o non funzionano. Inoltre non è difficile organizzare le cose in modo che se * solo * rimuovono `-pizza-hut`, michael.duncan2017 @ da solo non viene consegnato o viene filtrato direttamente nella cartella" palesemente un attacco ".
Vieni a pensarci bene, se invece di + qualcosa usi + qualcosaX dove X è una cifra di controllo che puoi calcolare nella tua testa, allora potresti improvvisare indirizzi email * e * avere ottime possibilità di rilevare quando un attaccante pensa di stai facendo il furbo rimuovendo o alterando il + qualcosa. Ma sono d'accordo con te, dal punto di vista della carta stagnola il modo più semplice per migliorare "ottime possibilità" in "certezza" è rinunciare alla possibilità di improvvisare indirizzi email al volo (o comunque accettare la necessità di modificare il tuo filtro exim o qualsiasi altra cosa dal tuo telefono mentre inventi ogni nuovo indirizzo)
@MarkBuffalo "Con REAM, e in caso di phishing, puoi sapere se le tue informazioni personali sono state violate o meno" - non vero. Con REAM puoi sapere se le tue informazioni personali sono state violate. Non ti dirà mai che le tue informazioni personali non sono state violate. Penso ancora che sia una buona idea.
@emory Pessima formulazione, mia cattiva. ;)
Blur 'DoNotTrackMe creerà automaticamente account di posta elettronica e li riempirà automaticamente con un'estensione del browser. (Nessuna affiliazione)
@MarkBuffalo Ancora non capisco perché non puoi usare Gmail o Hotmail. Non è che gli aggressori possano scegliere di ignorare tutte le email di Gmail / Hotmail, probabilmente è il 99% (se non di più) dei dati.
@trallgorm perché richiede * molto * più tempo e di solito richiede anche un numero di telefono.
È possibile che tu sia stato oggetto di phishing su quegli indirizzi non a seguito di una violazione dell'indirizzo e-mail da parte della società con cui l'indirizzo è stato utilizzato, ma semplicemente per posta casuale. Gli aggressori trovano un dominio che ha un server di posta in arrivo, quindi tentano un attacco del dizionario dei nomi e sperano che il server non disponga della protezione per la posta in massa (ad esempio bloccando l'indirizzo di origine dopo troppi indirizzi di destinazione non recapitabili). Molto spesso gli attacchi di phishing vengono presumibilmente da un'azienda con cui non ho mai avuto a che fare, il che suggerisce che gli indirizzi non provenivano da una violazione di un'azienda con cui ho avuto a che fare.
@MichealJohnson Trovo improbabile che un utente malintenzionato abbia indovinato casualmente alcuni indirizzi e-mail piuttosto grotteschi / casuali con numeri casuali.
@MichealJohnson Questi nomi sono solo suggerimenti, non nomi che utilizzerei effettivamente. Sono impostati buoni limiti di velocità.
Non hai detto che tipo di limitazione della velocità è presente sul tuo server, quindi è possibile che abbiano forzato bruscamente l'indirizzo "michael.duncan2017" da un dizionario. Se il nome è stato estratto da un elenco di 1000 nomi e il cognome è stato estratto da un elenco di 1000 cognomi, e assumiamo che entrambi i nomi fossero nel mezzo degli elenchi, abbiamo 250000 tentativi, moltiplicati per numeri da 0 a Il 2017 fornisce 504250000 tentativi e ad una velocità di 100 tentativi / secondo che richiedono 2 mesi. Non sto dicendo che sia probabile; semplicemente possibile (cioè non puoi essere * certo * che siano stati violati solo perché sei stato phishing).
@MichealJohnson D'accordo, c'è sempre spazio per il funky come quello. Tuttavia, sono abbastanza sicuro che in ogni caso sia stato menzionato il fatto che sono stato oggetto di phishing. ;-)
@MichealJohnson è facile capire se fosse davvero una forza bruta solo guardando i log del server. Quello che ho scoperto è che sebbene i cattivi attori _do_ provino a forzare le email (principalmente come mittenti), è molto improbabile che trovino quella specifica che hai creato. Trovo molto più comune che i validatori di posta elettronica "intelligenti" ritengano il tuo indirizzo email non valido, o che sia scomodo usare email casuali / contrassegnate dal fornitore quando si parla con una persona, ad es. in questo caso dando una e-mail «Michael Duncan» quando il tuo nome è «Mark Buffalo».
Mi sono iscritto a questo sito (che mi piace sfogliare di tanto in tanto) con il preciso scopo di darti un +1, per la tua citazione di WoW. Post eccellente.
Mi piace sempre leggere le tue risposte. Ogni volta che li leggo dico "sì, questo deve essere Mark", scorri verso il basso, sì, è lui.
Non è possibile che Pizza Hut abbia venduto il proprio database di posta elettronica a una terza parte, che potrebbe essere stata violata o semplicemente venduta di nuovo l'e-mail a un cattivo attore?
@Jac Sì, [questo è possibile] (https://order.pizzahut.com/privacy-policy#al6). Tuttavia, non mi sono mai iscritto a nessun tipo di materiale promozionale o di marketing.
#2
+30
emory
2016-03-03 22:29:36 UTC
view on stackexchange narkive permalink

Per la domanda principale, consiglio la risposta di Mark Buffalo.

Per la domanda sui bonus, la società della mia carta di credito mi fornisce un servizio di carte di credito virtuale che chiamano ShopSafe. Altre società di carte di credito forniscono i propri servizi di carte di credito virtuali che avranno nomi e dettagli diversi. Ecco le funzionalità di ShopSafe.

Posso creare una carta di credito virtuale a piacimento in pochi secondi utilizzando il loro portale web. Posso scegliere il limite di credito e la data di scadenza. Eventuali addebiti su questa carta di credito virtuale appariranno sulla mia normale fattura della carta di credito come se fossero contro la mia normale carta di credito. Posso richiedere addebiti su specifiche carte di credito virtuali.

Quando devo fornire i dati della carta di credito, creo una carta di credito virtuale con un limite di credito e una data di scadenza scelti. Se acquisto un articolo da $ 100 a ottobre, il limite di credito è di $ 100 e la carta scade a novembre. Se il sito viene violato, molto probabilmente i dati della mia carta di credito non sono aggiornati. Questo copre la maggior parte dei casi d'uso.

Un altro caso d'uso è il mio pass per i mezzi di trasporto. Ho un pass per i mezzi pubblici che mi permette di viaggiare in autobus e metropolitane. Ho fornito all'agenzia di trasporto pubblico una carta di credito virtuale. Ogni volta che il mio pass per i mezzi di trasporto scende al di sotto di $ 20, lo ricaricano automaticamente (caricando la mia carta di credito virtuale).

Ho dato all'agenzia di trasporto pubblico una carta di credito virtuale con un limite di $ 500 e 12 mesi fino alla scadenza perché io desidera che la carta si ricarichi automaticamente da sola. (Quando corro per un treno, non voglio perdere tempo ad aggiungere denaro al pass per i trasporti.)

ShopSafe registra il primo commerciante che addebita su una carta di credito virtuale. Gli addebiti successivi effettuati da altri commercianti verranno automaticamente rifiutati. Se l'agenzia di transito viene violata, la mia carta di credito virtuale non scadrà e avrà credito residuo, ma comunque gli hacker non potranno addebitarla. Nessuno tranne l'agenzia di trasporto pubblico può addebitare sulla carta di credito virtuale.

Senza carta di credito virtuale Se non disponi di carte di credito virtuali, potresti effettuare tutti gli acquisti con lo stesso numero di carta di credito. Se un sito viene violato (e anche se lo sai) probabilmente sceglierai di non annullare la carta perché interromperebbe tutto il resto. Invece probabilmente faresti affidamento sulle garanzie di frode della tua carta di credito. Mentre gli hacker inseriscono addebiti fasulli sulla tua carta, li contesti. La società della carta di credito è esposta al rischio finanziario.

Quindi le carte di credito virtuali sono principalmente un vantaggio per la società della tua carta di credito. Se non te lo mettono a disposizione, le loro teste sono piene di sassi.

Sei affiliato alla società emittente di "ShopSafe"?
@Mindwin Sono affiliato come utente.
@Mindwin Questo è un articolo sul concetto generale - https://en.wikipedia.org/wiki/Controlled_payment_number - inclusi altri fornitori.
Usavo un servizio del genere. Mi è piaciuto fino a quando una squadra di baseball non mi ha permesso di ritirare i miei biglietti a Will Call perché non potevo mostrare loro una carta di credito corrispondente al numero che usavo per acquistare i miei biglietti (alla fine è stato risolto ma ci è voluto un po ').
Questa è un'ottima raccomandazione. Ho completamente smesso di usare il mio vero numero di carta di credito per qualsiasi acquisto online. Ogni volta che compro qualcosa, creo rapidamente una nuova carta di credito virtuale con tutti i dettagli, imposto il limite di pochi dollari al di sopra del prezzo di acquisto e lo utilizzo. Questo in realtà mi ha salvato in un'occasione in cui uno dei miei account di posta elettronica è stato violato: il ladro ha ricevuto solo un numero CC già utilizzato / scaduto.
Uso carte di credito virtuali da anni quando pago online, non posso raccomandarle abbastanza.
Sei a conoscenza di una risorsa con indicazioni per paese alle banche che forniscono questo tipo di servizio?
"Sei a conoscenza di una risorsa con indicazioni per paese alle banche che forniscono questo tipo di servizio?" -- Temo di no.
@E.P. la cosa più vicina a ciò che stai chiedendo di cui sono a conoscenza è https://en.wikipedia.org/wiki/Controlled_payment_number che è tutt'altro che esaustivo
Grazie. Sto cercando modi per trasformare la tua risposta da "quindi c'è questo strumento utile che altre persone hanno che può aiutare, ma chissà come o dove l'hanno ottenuto" a "c'è questo strumento utile e qui ci sono alcuni modi in cui puoi ottenerlo ". Ma mi rendo conto che è una domanda difficile.
@E.P. dovrebbe essere disponibile per chiunque negli Stati Uniti e sicuramente in pochi altri paesi. Probabilmente non è disponibile per molte persone. Se stai morendo di fame a causa della guerra civile nel tuo paese, devi prima affrontare altre minacce alla sicurezza.
No, quello che voglio dire è che la tua risposta come affermato non è particolarmente utile se voglio proteggermi (ad esempio, in un paese europeo sviluppato). Per prima cosa, cercare su Google ShopSafe nel Regno Unito restituisce risultati piuttosto diversi. Stai dicendo che essenzialmente tutte le banche negli Stati Uniti supportano questo servizio? O che ci sono servizi indipendenti che si possono utilizzare indipendentemente dalla banca? Se è così, includerli nella tua risposta lo renderebbe più forte. O qualunque cosa.
@E.P. So che servizi simili sono disponibili nel Regno Unito, in Portogallo e in Egitto. A parte questo, non ho idea.
#3
+11
Neil McGuigan
2016-03-04 07:17:25 UTC
view on stackexchange narkive permalink

Facebook raschia i popolari siti di tipo pastebin in cui gli hacker pubblicano informazioni di accesso rubate e controlla le informazioni sull'account dei propri utenti. Potresti fare lo stesso (per i tuoi vari indirizzi email o numeri di carta di credito), anche se sarebbe molto lavoro!

Per fare ciò, monitoriamo una selezione di diversi "incolla" siti per le credenziali rubate e guardare per i rapporti di violazioni dei dati su larga scala. Raccogliamo le credenziali rubate che sono state pubblicate pubblicamente e le controlliamo per vedere se la combinazione di e-mail e password rubate corrisponde alla stessa e-mail e password utilizzate su Facebook

https: // www.facebook.com/notes/protect-the-graph/keeping-passwords-secure/1519937431579736

Essenzialmente questo è uno dei servizi forniti da [haveibeenpwned.com] (http://haveibeenpwned.com).
@NeilMcGuigan vedo ora, pensavo fosse limitato a Facebook. Ho dato una seconda occhiata ed è un ottimo servizio. Non stavo cercando di essere polemico. Semplicemente non ho visto il valore in quel momento.
#4
+5
goncalopp
2016-03-04 05:30:07 UTC
view on stackexchange narkive permalink

Mi piace il metodo REAM di Mark Buffalo, ma in realtà è troppo macchinoso per la maggior parte delle persone, quindi fornirò un'alternativa migliore: più indirizzamento (noto anche come aliasing degli indirizzi, identità virtuali).

Invece di creare più account email, puoi avere un unico account, ma più indirizzi email. La notizia migliore è che, se utilizzi Gmail, hai già tutto ciò di cui hai bisogno.

In pratica

Supponiamo che la tua email sia [email protected] e desideri dare la tua email a SomeCompany.

Puoi fornire johndoe + [email protected] e verrà reindirizzato al tuo account, qualsiasi cosa dopo aver ignorato + .

Alcuni siti web non ti consentono di avere un + nel tuo indirizzo. Sentiti libero di far loro sapere che stanno violando la RFC5322 sezione 3.2.3 e la polizia di Internet verrà a multarli. Se non credono in te, per qualche motivo, dovrai ricorrere a più ...

Tattiche subdole

Fornisci loro jo.hndoe @ gmail.com - sempre lo stesso indirizzo (per quanto riguarda i server di Google). Se sai contare in binario e hai un'e-mail con 11 caratteri, puoi ottenere 1024 indirizzi diversi in questo modo.

Posso contare in binario, ma è una seccatura

Tu tanto vale investire un paio di dollari nel tuo dominio, un libro su Exim e un po 'di caffeina. Molto, in realtà. Quindi, oltre a più indirizzamento, puoi avere meno indirizzamento, moltiplicare indirizzamento, dollaro o qualsiasi altra cosa si adatti al tuo fantasia.

NON POSSO contare in binario, tanto meno impostare il mio MTA

Bene, puoi sempre pagare qualcuno che si preoccupi di farlo. Suggerirei a me stesso, ma probabilmente è contro qualche regola da qualche parte.

Fantastico! E il computer del mio amico infestato da malware?

Se sei abbastanza grande per apprezzare i comfort di un client di posta elettronica vecchio stile, puoi utilizzare l ' estensione dell'identità virtuale per generare un nuovo indirizzo casuale quando contatti qualcuno per la prima volta, incluso quel fastidioso amico che sta ancora utilizzando Windows XP.

Gli spammer / phisher non sono stupidi, rimuoveranno il vantaggio

Per favore, lascia che le dozzine di truffatori colpire il mio dominio lo so.

Alcuni tipi particolarmente brillanti hanno effettivamente scritto un parser che pensa che [email protected] sia in realtà [email protected] . Veramente geniale.

Se sei abbastanza esperto da usare un plus sul tuo indirizzo, è probabilmente giusto dire che non ti innamorerai di un'operazione di truffa di massa, quindi scrivere un parser per affrontarlo è probabilmente uno spreco di risorse per le persone che lo fanno.

Questo non vuol dire, ovviamente, che non sarai mirato specificamente se sei un target di alto valore. Se sei questo preoccupato, usa il tuo dominio. Il modo in cui l'indirizzo viene analizzato è interamente a discrezione dell'MTA, quindi non c'è modo per il mittente di sapere effettivamente cosa dovrebbe analizzare.

Se scrivo malware per phishing, per prima cosa rimuoverò / filtrerò tutto ciò che ha più indirizzi. ;-)
Pensi che gli spammer siano così stupidi da non sapere che `[email protected]` e` [email protected]` sono lo stesso indirizzo?
@DmitryGrigoryev - no, ma penso che siano POLLICI ed è molto improbabile che disinfettino manualmente un grande database di indirizzi email rubati.
@JamesSnell ** disinfettante per le mani **? Penso che sia lecito ritenere che gli spammer conoscano almeno un po 'di Perl.
@MarkBuffalo Questo è un buon punto, l'ho affrontato nella risposta
Ho usato l'indirizzamento plus per un po 'di tempo, è sicuro di dire che mentre * potevano * filtrare cose del genere, non lo fanno, richiede uno sforzo da parte loro. Inoltre era un riferimento al commento di Dmitry, in cui l'esempio non sarebbe stato facilmente affrontato automaticamente senza interrompere i buoni indirizzi.
Sono leggermente sorpreso dal fatto che gli spammer non eliminino immediatamente alcun indirizzo email con un "+". È un indizio abbastanza grande che il destinatario è indizio (quindi perché preoccuparsi di inviare l'email). (Forse perché il costo per l'invio è così basso e una cattiva grammatica ecc. È un test migliore di incapacità.)
@MartinBonner Gli spammer sono meno intelligenti dei phisher. E gli spammer non si preoccuperanno del plus addressing, soprattutto se il tuo spam finisce comunque nella loro casella di posta.
Per quanto riguarda la sanificazione degli indirizzi, è piuttosto banale impostare la posta in modo che gli indirizzi "disinfettati" non funzionino. Di 'a tutti i tuoi amici che "johndoe + [email protected]" è il tuo indirizzo e incanala tutto ciò che arriva a "[email protected]ple.com" nella tua cartella spam. Gli spammer che sanno che questo è possibile si rendono conto che tentare di disinfettare un indirizzo senza conoscere le regole di posta del destinatario potrebbe renderlo * meno * probabile che funzioni.
@goncalopp Ho appena aggiornato il mio post con uno snippet di codice che sconfigge questo metodo di indirizzamento plus. Questo potrebbe ancora funzionare per gli spammer, ma i phisher ... dubito che sarebbero abbastanza stupidi.
Penso che la tecnica REAM sia migliore ma più lavoro quindi questa è la tecnica che uso. Un grave difetto di questa tecnica che non è stato commentato è che alcune convalide di moduli rifiutano più l'indirizzamento. Ipoteticamente, provo a creare un account su www.acme.com utilizzando il mio indirizzo email come ID di accesso. Il modulo di registrazione rifiuta b / c "indirizzo email non valido". Quando rimuovo l'indirizzo più, accetta.
Ci sono alcuni parser che trattano il `+` come uno spazio (come l'escape dell'URL), il che potrebbe causare il tuo problema "veramente geniale". (Una volta avevo un provider di posta, la cui interfaccia web non accettava quegli indirizzi "+" come destinatari, presumo per questo motivo.)
#5
+3
bmargulies
2016-03-05 21:30:45 UTC
view on stackexchange narkive permalink

Esistono vari servizi di "protezione dell'identità" per i quali puoi pagare. Tra le altre cose, trollano il dark web per la tua posta elettronica, carta di credito, ecc. Chiunque sia esposto nella culatta OPM ottiene uno di questi gratuitamente. Se sei veramente preoccupato, potresti decidere che uno di loro vale il costo per te.

Ovviamente, come sottolineato in un commento, non c'è alcuna garanzia che le tue informazioni appariranno dove guardano.

Tuttavia, sono un po 'perplesso dall'attenzione rivolta agli indirizzi e-mail in altre risposte qui. Non è difficile evitare il phishing. Non ho mai visto un'email di phishing che minacciasse anche momentaneamente di fuorviarmi. Ho rinunciato a proteggere il mio indirizzo e-mail molto tempo fa; Trovo che Google raccolga correttamente il 99% del phishing che ricevo nelle cartelle di spam e il resto, come sopra, non è difficile da individuare.

Se qualcuno ha una culatta, potrebbe far trapelare la tua email. La tua più grande preoccupazione è che alcuni gruppi di idioti hanno fallito il test PCI e hanno fatto trapelare il tuo numero di carta di credito. Puoi inventare indirizzi email tutto il giorno e non ti aiuterà in questi casi.

I servizi di protezione dell'identità possono essere buoni, sì, ma non tutti pubblicano i tuoi dati sul deep web e quelli che lo fanno di solito cercano di vendere le informazioni prima di fornirle. I servizi di protezione dell'identità acquisteranno dati dagli hacker? Diversi hacker hanno motivazioni diverse per quei dati e se qualcun altro contatta la tua e-mail falsa, allora è una cattiva notizia. L'attenzione sugli indirizzi e-mail è condivisa come un modo per rilevare i tentativi di * phishing *, non per evitarli: nessuno dovrebbe inviarti e-mail a quell'indirizzo e-mail per cominciare, tranne l'azienda. Se lo fanno, di solito indica qualcosa di molto sospetto.
La domanda era: "come rilevare una culatta". Rilevare un tentativo di phishing è interessante e persino utile, ma a mio avviso non è proprio la stessa cosa.
Penso che tu stia fraintendendo la domanda. L'OP vuole sapere come può rilevare una violazione * prima * che la società violata lo annunci, in modo che possa proteggersi invece di aspettare che la società gli dica che i suoi dati sono stati rubati. Sebbene sì, il Dark Web potrebbe contenere informazioni su queste violazioni alla fine e le informazioni potrebbero essere disponibili solo se qualcuno le paga, ho scoperto che molti phisher tentano di attaccare le mie e-mail fittizie prima ancora che le informazioni finiscano sul deep web, se lo fa.
Anche se sento che hai perso alcuni punti, ti do un +1 per il tuo contributo. È molto gradito. Il Deep Web / Identity Protection Services è stata una buona aggiunta e ora ho aggiornato la mia risposta per affrontarla.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...