Уведомление о несанкционированном доступе к веб-приложению

Автор оригинала: Джон Грахам-Каннинг
  • Перевод
Несмотря на то, что я использую по-настоящему длинные пароли и двухфакторную аутентификацию везде где возможно, я все равно переживаю, что кто-то взломает один из моих аккаунтов. Наиболее важный из них это Gmail.

На самом деле любой должен в первую очередь беспокоиться о своих емайл аккаунтах, поскольку это ахилесова пята любого онлайнового сервиса. Через емайл проходит столько важной информации, что это настоящий Клондайк для взломщика. Если у хакера есть доступ к вашему емайл аккаунту — скорее всего он получит доступ к остальным вашим аккаунтам.

Для этого я и сделал «канарейку» — симпатично выглядящее письмо-приманка, идея которого заставить взломщика открыть его. Вот как оно выглядит в моем инбоксе:



Это помеченное письмо от Barclays Private Banking на самом деле просто фальшивка. Если вы откроете его, то увидите вот что:



И открыв его вы выпускаете канарейку. Логотип компании внизу загружается с моего сервера. Скрипт записывает в лог IP адрес браузера и посылает SMS на мой телефон:



Интересно, есть ли коммерческий сервис, который предоставляет такой функционал? Например такой сервис мог бы вставлять изображения в разные другие онлайновые сервисы и посылать уведомления. Можно также было бы договориться и с другими вендорами, которые включали бы такой код в свои приложения.

Готовая идея для веб-сервиса. Почему бы тебе не сделать это?

Похожие публикации

AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 85

    +12
    С радостью воспользовался бы таким сервисом.
    • НЛО прилетело и опубликовало эту надпись здесь
        +3
        Идея хорошая.
        Но что с того что мы будем оповещены уже после взлома нашего емейла?!
        Было бы хорошо чтоб эта «канарейка» сразу же после открытия «письма-приманки» меняло бы пароль (на запасной, заранее установленный) для входа в ящик.
          +1
          Если использовать бизнес версию (или образовательную / некоммерческую бизнес версию) Google Apps, то пароли пользователей в домене можно менять через API.
        +18
        Гениально же!
        –13
        Вы не поверите, но наша ФСБ первая на очереди. Вроде как хотят закрыть доступ к skype и gmail.
        • НЛО прилетело и опубликовало эту надпись здесь
            +1
            Или хотят встроить дополнительное шифрование для своих сотрудников, чтобы ЦРУ и ФБР губу закатали :)
          +2
          Интересная идея, но не дальновидна. Если сервис будет пользоваться популярностью, то кул-хацкеры будут просто обходить такую «птичку». Скорее это нужно реализовывать в самой почте.
            +2
            Уже после публикации этой статьи взломщики будут осторожничать с такими лакомыми письмами.
              +2
              Не в почте, а на стороне, отправившей столь важное письмо.

              Пример: банк прислал письмо со строго конфиденциальной информацией и он же отслеживает его прочтения описанным выше способом.
                0
                И что дальше? Банк будет спамить клиента СМС-ками что письмо прочитали, даже если это был сам клиент?
                  0
                  А если это реализовать на стороне почты, то спамить будет почта?
                    +1
                      0
                      Ну да, там как раз следующий комментарий достаточно красноречиво характеризует эту схему.
                    0
                    Хм, ну обычно защита секретной информации более важна для клиента, чем получение ненавязчивой смски.
                      0
                      Обычно после 3-го раза начнут материться :) Вспомнить тот же виндовый UAC.
                        0
                        Я в пример беру авторизацию в клиент-банке через веб.

                        Люди более серьезно отнесутся к этому неудобству, если от этого зависят их деньги и им об этом скажет банк
                  0
                  не обязательно иметь только один такой текст в запасе. можно иметь целый зоопарк текстов, начиная от «мой номер пластиковой карты», «мои пароли от серверов», заканчивая «фотки как я зажигал с секретаршей шефа». плюс не одно, а 2-3 таких письма на ящик.
                    0
                    Вариаций то может быть миллион, вот только хацкеры уже будут аккуратнее.
                    Да и потом объясняй девушке что письмо «фотки как я зажигал с секретаршей шефа» это приманка для хакеров ;)
                      0
                      > вот только хацкеры уже будут аккуратнее
                      главное, это чтобы в общем потоке писем эти письма смотрелись «как родные». если хакеры будут аккуратнее, то они и в нормальные письма лишний раз не полезут, побоявшись. а это тоже какой-никакой профит.
                        +1
                        Да «хакеры» могут просто сидеть с отключенными картинками и noscript'ом по дефолту. Серебряная пуля — это галочка в настройках гмейла — отправлять смс при входе с другого ip и маски «своих ip». А как приятно будет увидеть что система работает, когда зайдешь в гмейл с халявного wifi в кафе.
                          0
                          Кстати фейсбук вроде бы требует подтверждения подлинности по телефону, если считает что обстоятельства входа сильно изменились — например если заходишь из другой страны (в отпуске)
                            0
                            на мой взгляд, такой подход гораздо практичней, чем просто уведомление о взломе — когда уже взломали врядли что-нибудь сделаешь, а переход от привязки к мылу на привязку к телефону сегодня выглядит самым удобным
                              0
                              тогда катастрофой будет потеря трубки. Хотя для этого случая написали уже блокировщиков/очистителей.
                                0
                                симка блокируется по звонку оператору…
                                но, конечно, от кражи трубки с целью взлома сервиса не спасает…
                              0
                              И вконтакт. Отключить нельзя. Знаете, как бесит, если жить в одной стране, а работать в другой?
                              0
                              а где эта «галочка» ставится, не могли бы вы написать? что-то не могу найти…
                                0
                                гхм, я имел ввиду круто было бы если бы она была. Но вот ниже написали про двухфакторную авторизацию.
                                  0
                                  что-то не углядел я там ничего про двухфакторную аутентификацию… вроде гмыл обещал присылать смс с кодом на мобильный, но я не нашел этого в настройках тоже…
                                  0
                                  Сорри, промазал с ссылкой
                          +4
                          Надо ещё помимо отправки уведомления сразу менять пасс и делать логаут со всех аккаунтов.
                            +1
                            ага. на рандомный и для каждого акка
                            +2
                            Разве гмейл показывает подключенные картинки?
                            И, да. Держать одно помеченное письмо сверху неудобно, я сам активно пользуюсь этой функцией — у меня куча таких писем.
                              0
                              > И, да. Держать одно помеченное письмо сверху неудобно

                              Пометьте его лейблом Banking — это привлечёт взломщика.
                              А сами для реальных писем можете использовать другие лейблы.
                                +2
                                Показывает, если нажать «всегда показывать картинки от этого отправителя», что безусловно нужно сделать при обкатке схемы)
                                +3
                                В нормальных почтовых клиентах (и сервисах) подгрузка внешних изображений идет по запросу и запрещена по-умолчанию.
                                  +3
                                  для этого письма вы сами можете разрешить погружать изображения ;)
                                  +19
                                  Так в гугле же есть стандартная стучалка.
                                    0
                                    Пока доберетесь (если доберетесь) до этой стучалки, ваши аккаунты и деньги с них могут пройти уже через несколько рук.
                                      +3
                                      Угу-мс, каждый раз смотреть не будешь.
                                      Мой акканут буквально недавно ломанули, чтоб спам разослать, как раз было как вы сказали.

                                      Проверил почту как раз перед этим, все нормально. Прошло минут 20, внезапно получил кучу возвращенных писем, отправленных уже несуществующим адресатам. Если б не они, даже и не узнал бы. Так вот, зашел в эту штучку — а там два визита, один из Бангладеша, второй не помню, но тоже не из Парижа. В целом, ничего страшного не случилось — просто ссылка отослана всей адресной книге. Но хорошо было бы иметь оповещалку такую, чтоб информировала когда заходит кто-то из неожиданной локации.

                                      Надо отдать должное спам фильтру гугла. Одно письмо было отправлено на мой резервный ящик, я на него зашел, но в инбоксе письма не нашел. Оказалось, оно попало прямо в спам, с пометкой «возможно, это письмо не от того, от кого кажется», и ссылка не активна к тому же. Как он это определил? Вдруг я другу ссылку послал просто. Кстати, попробовал послать ссылку позже — пришла как надо. Чудеса, а.
                                        0
                                        Может из-за того, что ботом ссылка была отправлена многим адресатам сразу?
                                    +3
                                    По-моему, идею с «канарейкой» вроде запроса загрузки картинки используют большинство сервисов статистики. Или в чем тут гениальность и идея веб-сервиса?
                                      0
                                      Гениальность заключается в простоте использования и моментальной реакции сервиса на открытие этой «канарейки». Чем раньше пользователь узнает о том, что его взломали, тем быстрее сможет отреагировать.
                                        0
                                        Интересная фича для почтовой службы, но относительно отдельного веб-сервиса я, как потенциальный клиент, не заморачивался бы.
                                          0
                                          Ну да, отдельный сервис не нужен, тем более будет изучен вдоль и поперек. А как частный случай сигнализации о взломе — очень интересный способ.
                                            0
                                            Ну вот, теперь все злоумышленники будут серфить с отключенной загрузкой картинок =)
                                              +1
                                              Можно использовать альтернативу в виде «аппетитных» ссылок без которых нельзя получить необходимую злоумышленнику информацию.

                                              Ну или пойти дальше. В функциях почтовых сервисов предоставлять возможность отправки смс о каждом входе в почту.
                                                +2
                                                Ну или пойти дальше. В функциях почтовых сервисов предоставлять возможность отправки смс о каждом входе в почту.

                                                Отключите через пару дней, потому что, заработавшись, к концу дня будете обнаруживать на телефоне 20-25 новых сообщений. А вы же их в обед-только чистили!..

                                                Идея со ссылками реализована в приложениях сбора статистики посещений вашей странички ВКонтакте. Скептики рыдают: одно дело на автомате прогрузить картинку, а совсем другое — перейти по ссылке.
                                        0
                                        К сервису можно прикрутить оповещалку по SMS для немедленного уведомления о взломе.
                                          0
                                          Ага, «Кто ел из моей тарелки и разбил ее?!» ;)
                                        0
                                        Проще к таким важным вещам как почта доступ давать не по паролю, а как минимум по rsa ключу. К сожалению, пока единственный способ это сделать — поднять postfix (или другой MTA) самому.

                                        Идея для веб-сервиса?
                                          +5
                                          Не знаю как другие операторы мобильной связи, но в Украине «Киевстар» предоставляет услугу отправки электронной почты на мобильный номер в виде смс.
                                          Для этого почту нужно отправлять на адрес «380xxxxxxxxx@sms.kyivstar.net»
                                          При регистрации на важных ресурсах можно сделать пробный запрос на отправку пароля. После чего создать правило для таких писем (тема, часть содержания письма, отправитель), которое будет пересылать данное сообщение на СМС с дальнейшим удалением письма из ящика.
                                          Таким образом вы получите сразу СМСку и узнаете, что кто-то залез в почту, а злоумышленник просто не получит письмо.
                                          Да, злоумышленник может понять в чем суть и удалить этот фильтр, но вы сможете его опередить.
                                            0
                                            Социнжиниринг такой социнжиниринг…
                                            Бывает и опытные юзеры, которые всему научены, по-быстрому на автомате прощелкивают такую почту…

                                            А вообще, лучше держать несколько почтовых ящиков, где будешь точно знать где что лежит, а также в настройках можно покопаться и отключить разного рода автоматические фичи, проблем меньше будет
                                              +3
                                              Фишка, приобретая популярность, перестает быть фишкой. Взлом будет осторожным.

                                              А вообще идея гениальна и проста.
                                                +9
                                                В Gmail существует двухэтапная авторизация, с недавних пор она доступна и для русских аккаунтов. Пользуюсь ей с тех пор как ее можно было включить переключившись на Английский. Для других сервисов такая фишка могла бы и пригодится :)
                                                  0
                                                  Видимо еще не у всех русских аккаунтов доступна.
                                                  0
                                                  Можно подключить к устройствам на iOS с помощью API от Prowl. Это что-бы Push из командной строки делать.
                                                    0
                                                    Мне казалось что gmail по умолчанию не отображает картинки из сети.
                                                      +1
                                                      Отображает для конкретных отправителей, каждого отправителя надо подтверждать вручную. Очевидно, автор мог подтвердить отправителя его письма, чтобы картинка показывалась.
                                                      0
                                                      Идея элегантная, но проблема с таким методом, что он (возможно) сработает, только если во взломанный эккаунт зайдет человек. Насколько я знаю, большинство эккаунтов ломается автоматическими способами (с помощью фишинга или троянов) с целью рассылки спама, и живые люди туда просто не заходят.

                                                      Кстати, еще вопрос: а как вы держите это письмо-приманку в верху инбокса? Регулярно себе его заново присылаете?
                                                        0
                                                        Если взломают с целью рассылки спама, то это не так страшно, основная проблема в утечке важной информации.

                                                        Это единственное Starred письмо и в Priority Inbox включено отображение Starred писем, поэтому оно всегда наверху.
                                                          +1
                                                          Держать инбокс пустым и хранить там одно письмо.
                                                            0
                                                            Это какую-же самодисциплину надо иметь!
                                                          –2
                                                          Поздравляю, вы изобрели honeypot.
                                                          127.0.0.1 popularhoneypotservice.com
                                                            0
                                                            Когда возникает необходимость зайти через веб-интерфейс (хм) в чью-то почту — каскад проксей и вырезается беспощадно всё. Включая графику. И на каждое движение и чих браузера — разрешение выпрашивать надо.

                                                            Идея стара как мир, проста — и от этого хороша. :-)
                                                              0
                                                              Теперь надейся что взломщег не читает хабр. ))
                                                                +1
                                                                Порадовало вложение в gzip. Правильный банк :)
                                                                  +1
                                                                  Ага, тоже заметил )
                                                                  «Что-то выдавало в Штирлице советского разведчика — то ли буденовка со звездой, то ли парашют, волочившийся сзади»
                                                                  +8
                                                                  TODO: отключить картинки
                                                                    +2
                                                                    Статья конечно переводная, но автор оригинала просто ппц параноик.

                                                                    «я использую по-настоящему длинные пароли и двухфакторную аутентификацию везде где возможно»

                                                                    Этого достаточно в 99.99% случаев.
                                                                      0
                                                                      Если на машине жертвы стоит троянец, то им можно вытащить куки из браузера и зайти в почту (можно и с машины жертвы, если у gmail стоит привязка куки к IP).
                                                                        +6
                                                                        Не-не, Дэвид Блэйн, тот кто использует по-настоящему длинные пароли и двухфакторную аутентификацию везде где возможно не может хранить активные сессии в куках. Он просто обязан каждый раз делать логаут. И браузерные куки тереть. И не один раз, а раз шесть. Для надёжности, так сказать.
                                                                      0
                                                                      Заведите еще 1 письмо, а в нем пароли пользователя фтп сервера или что-нибудь подобное.
                                                                      А на сервере сигналку поставьте если зайдет такой-то пользователь то сразу тревога.
                                                                        +5
                                                                        А еще, если уж совсем паранойя, то можно не пользоваться сторонним почтовым сервисом выкачивать всю почту в почтовый клиент, не оставляя на сервере никаких следов.
                                                                          0
                                                                          Хорошая идея
                                                                            –3
                                                                            Один я считал, что картинки встраиваются(эмбедятся) в письмо при отправке?
                                                                              0
                                                                              это почтовики (MUA) ембедят.
                                                                              а параноики заливают на секьюрный хостинг.
                                                                              –2
                                                                              Кстати, в гмэйле есть настройка не показывать изображения в тексте письма, что всем и советуется включить в целях безопасности.
                                                                                0
                                                                                Вообще «сервис» означает регулярное пользование оным. Простите, когда вас последний раз взламывали? И с какой частотой это происходит, что аж сервис такой создать пришла идея. Кому он будет нужен? Девочкам у которых пароль qwerty?, у которых там в почте важнейшая переписка с друзьями.
                                                                                  0
                                                                                  После драки кулаками не машут, но канарейка лучше чем ничего.

                                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                  Самое читаемое