Question:
Est-il possible de détecter les failles de sécurité en tant qu'utilisateur avant qu'elles ne soient annoncées?
SEJPM
2016-03-03 20:02:42 UTC
view on stackexchange narkive permalink

Je suis toujours préoccupé par la sécurité des services que j'utilise. Je suis d'autant plus préoccupé que les failles de sécurité se produisent de plus en plus ces derniers temps et qu'elles génèrent toujours beaucoup de bruit dans les médias.

Maintenant, j'essaye déjà de sécuriser mes comptes au maximum possible, comme utiliser 2FA dans la mesure du possible et utiliser un gestionnaire de mots de passe solide. Cependant, ces mesures ne protègent pas contre les failles de sécurité.

Existe-t-il une méthode assez fiable pour détecter les failles de sécurité avant qu'elles ne soient annoncées afin que je puisse agir sans avoir à réagir?

Question bonus facultative : Quelles mesures puis-je prendre pour assurer la sécurité de mes données en cas de violation inopinée?

Aujourd'hui, nous nous attendons à une pluie de mots de passe non salés. Demain est partiellement nuageux avec 5% de chances d'injections SQL. Non mais sérieusement s'il était facile de prévoir que les entreprises le feraient déjà.
@John, Je veux les prévisions entre le moment où l'attaque a eu lieu et le moment où elle a été annoncée par l'entreprise. Pas prévu trois jours à l'avance.
Je vois. L'utilisation d'adresses e-mail différentes par compte d'un fournisseur qui vous permet de surveiller les tentatives de connexion peut être utile.
Logiquement, les personnes qui les annoncent doivent les découvrir d'une manière ou d'une autre.
@corsiKa Oui, mais il essaie de rentrer chez lui en voiture, c'est qu'il y a un décalage entre le moment où l'entreprise découvre qu'elle a une brèche et le moment où les principaux organes de presse découvrent et diffusent l'histoire. Il serait bon de connaître la rupture entre ces temps, aussi impossible que cela puisse paraître. Moi aussi, j'aimerais le savoir, mais je crains que ce ne soit pas possible.
@SEJPM Cela ne mérite pas de réponse, donc je poste en commentaire. J'utilise un site de détection pour certains de mes e-mails gratuits appelé: https://haveibeenpwned.com/. Bien que cela ne vous donne pas la détection «magique» que vous recherchez, cela vous aidera à vous montrer si vous vous êtes inscrit sur un site et qu'il y a eu une faille de sécurité. Je sais que c'est après coup, mais je l'utilise pour voir si un site que j'ai enregistré il y a des années et que j'ai oublié ou que je n'ai pas utilisé depuis l'enregistrement a été piraté et mes crédits ont donc été compromis. Si vous pratiquez une bonne sécurité et ne répétez pas les mots de passe et utilisez au hasard ...
... a généré des mots de passe complexes et forts et ainsi, peu importe si un site avec vos crédits a été compromis ou non, mais c'est bon à savoir.
@BradBouchard si le site a les informations de votre carte de crédit (c'est-à-dire le commerçant en ligne), cela aura de l'importance. Ma réponse http://security.stackexchange.com/a/116410/9640 se concentre sur les informations de carte de crédit.
@emory Correct, c'est pourquoi je n'ai abordé que les informations d'identification et non les cartes de crédit. Vous saurez assez rapidement si votre carte de crédit est compromise à moins que vous ne hiberniez pour l'hiver et que vous vous réveilliez 3 mois plus tard et que vous réalisiez que votre facture de carte de crédit est maintenant de 100000 $.
Une autre méthode est totalement illégale et consiste à surveiller l'activité des équipes de support informatique et de réponse aux incidents.
@DeerHunter ou vous pourriez être proactif et pirater tous les sites. Alors vous saurez qu'ils ont été violés.
@emory compromettre secrètement GCC et l'utiliser pour backdoor tous les systèmes informatiques sur terre? Cela semble réalisable.
Difficile d'être sûr de ce que vous demandez. Voir, par exemple, [Incident Discovery and Confinement] (https://securityblog.verizonenterprise.com/?p=7299) et, pour un peu plus tôt, [Verizon 2012 Data Breach Investigations Report] (http: //www.wired .com / images_blogs / menacelevel / 2012/03 / Verizon-Data-Breach-Report-2012.pdf) à partir de la page 48. Quels moments visez-vous? (Et à quelles différences vous attendez-vous?)
Cinq réponses:
Mark Buffalo
2016-03-03 20:05:32 UTC
view on stackexchange narkive permalink

Vous ne pouvez pas le détecter avec une certitude à 100%, car tous ceux qui volent vos données ne veulent pas vous hameçonner ou les vendre. Mais pour ceux qui veulent vous hameçonner - et c'est une grande partie d'entre eux - il y a quelques astuces que vous pouvez appliquer.

Dans la plupart des endroits, vous ne pouvez pas fournit de faux détails. Vous devez entrer votre nom, adresse physique, informations de carte de crédit, numéro de sécurité sociale, etc. Vous n'avez pas vraiment beaucoup de contrôle sur les vrais détails.

Cependant, ce que vous faites avoir le contrôle sur votre adresse e-mail. Vous pouvez toujours fournir un compte e-mail factice à n'importe qui, pour quelque raison que ce soit, même si le reste de vos informations doit être légitime.

Méthode d'adresse e-mail itinérante

Appelons cela REAM . J'aime REAM.

Voici ce que je fais: j'achète quelques domaines et je crée un nombre illimité d'adresses e-mail, puis j'utilise une adresse e-mail différente pour chaque site Web sur lequel j'ai un compte. J'utilise également Gmail, Yahoo, etc.

Achetez 2-3 noms de domaine raisonnables, et donnez aux comptes des noms raisonnables et uniques comme michael.duncan2017@mysitex.com , jtrounders2020@heysitey.com , etc. Vous pouvez également utiliser des fournisseurs de messagerie gratuits, mais devoir saisir à plusieurs reprises votre numéro de téléphone peut vous causer des problèmes.

C'est beaucoup de travail, mais c'est payant à long terme. Lorsque vous êtes invité à fournir votre adresse e-mail chez un détaillant, donnez-lui l'un de ces e-mails et utilisez-le UNIQUEMENT pour eux. Assurez-vous de n'utiliser chaque adresse e-mail qu'une seule fois. Ayez une liste d'adresses e-mail dans votre portefeuille.

Maintenant pourquoi voudrions-nous détecter le phishing au lieu de l'envoyer dans le dossier spam? Parce qu'une tentative de phishing sur ces e-mails peut indiquer une violation.

J'ai constaté que, avec une régularité étonnante, sans même fournir mon adresse e-mail à d'autres entreprises au-delà de la première, je reçois phishing régulièrement sur chaque compte. En fait, j'ai vu des dizaines de telles violations.

Voici une petite liste de certaines attaques de phishing notables que j'ai trouvées:

  1. OPM (2011, non divulgué jusqu'en 2015)
  2. IRS (2015, non divulgué jusqu'à fin 2015) )
  3. IRS (2016. Répétition de 2015? Non divulgué jusqu'à récemment)
  4. Pizza Hut (début 2015, violation toujours non divulguée)
  5. Target (2013?)

Dans la plupart des e-mails, les attaquants ont généralement du mauvais anglais. Dans certains, ils ne le font pas. Ils rechercheront également un emplacement près de l'adresse fournie sur Google, et diront qu'ils ont une opportunité d'emploi, etc.

Dans certains cas, je recevrai même des appels téléphoniques de leur part dans le même indicatif régional que moi! Il est en fait très facile d'obtenir un téléphone à brûleur chez Wal-Mart et de le régler sur le même indicatif régional que votre victime. Si vous êtes assez intelligent et qu'ils sont dans le même pays, vous pouvez rapidement les conduire sur le chemin des damnés.

Dans presque tous les cas, ils essaient de me faire cliquer sur un site Web infecté. J'y vais quand même (sur une machine factice + virtuelle, évidemment) car je suis un chercheur masochiste en sécurité qui adore le reverse-engineering des malwares et fait souffrir les attaquants. Souffrez les mortels alors que votre magie pathétique vous trahit! Cependant, vous ne voudrez peut-être pas les visiter.

La méthode des numéros de téléphone multiples

Certains aiment essayer d'utiliser plusieurs numéros de téléphone. Je ne ferais pas ça. Ce n'est ni fiable, ni efficace car:

  1. Les numéros de téléphone peuvent être énumérés très facilement, et composés / SMS automatiquement.
  2. Cela coûte beaucoup d'argent d'avoir plusieurs téléphones
  3. Vous recevrez probablement des appels de personnes qui connaissaient la personne qui connaissait l'ancien propriétaire.

Par conséquent, REAM est un bien meilleur moyen que cela.

La méthode de l'adresse e-mail Plus

Je suppose que nous pouvons appeler cela PEAM .

D'autres ont suggéré la méthode de l'adresse e-mail plus. Gmail prend en charge cela. Par exemple, si votre adresse e-mail est herpyderpyderp100@gmail.com , il est recommandé d'utiliser herpyderpyderp100+pizzahut@gmail.com à la place. Google supprimera apparemment le côté positif de l'adresse e-mail.

Utiliser cette méthode peut être utile pour de nombreuses raisons. Cependant, très peu de ces raisons - voire aucune - ne s'appliqueraient aux véritables hameçonneurs qualifiés. Je ne recommanderais pas d'utiliser cette méthode car elle ne peut fonctionner que contre des spammeurs ordinaires, pas contre des hameçonneurs qualifiés. Voici pourquoi:

  1. Les hameçonneurs sont plus intelligents que le spammeur moyen. Ils vous ciblent personnellement. Si vous répondez, ils créeront un profil sur vous, ou peut-être ont-ils déjà un profil basé sur vous basé sur des ensembles de données volés.
  2. Les spammeurs envoient volontairement du spam à tout le monde. Votre adresse plus est toujours livrée dans votre boîte de réception. Et vous savez juste que vous voulez ces pilules allongeant ... alors vous finissez par les acheter de toute façon, et elles ne fonctionnent pas, et toutes les femmes se moquent de vous. [ sanglotant de manière incontrôlable ] Ahem ...

  3. Cette méthode peut être facilement contournée avec du code. Je vais démontrer: 

      List<String> possiblementIntelligentTargetList = new List<String> (); foreach (string email in emailAddressCollection) {// Nous avons peut-être trouvé un individu de taille plus "si (email. + ")) {// Ignorez la chaîne d'adresse e-mail plus realEmailAddress = email.Split (" + ") [0] +" @ "+ email.Split (" @ ") [1]; // Adresse e-mail réelle de l'utilisateur de phishing. PhishUser (realEmailAddress); // Ajouter leur email fourni à une nouvelle liste afin que nous puissions analyser plus tard éventuellementIntelligentTargetList.Add (email); } else {PhishUser (email); }}

    Bien sûr, cela pourrait être beaucoup mieux amélioré, mais ceci est un exemple approximatif de la facilité avec laquelle cela serait fait. Il ne m'a fallu que 0,05 millisecondes pour écrire ceci.

Avec l'extrait de code ci-dessus, le côté positif de l'adresse e-mail est supprimé. Maintenant, comment saurez-vous d'où vient la brèche? Pour cette raison, je recommanderais que vous obteniez REAM

Trawling the "Deep Web"

bmargulies soulève un point intéressant et très intéressant: vos données peuvent parfois apparaître sur le Deep Web. Cependant, ces informations sont généralement à vendre.

Bien que oui, il peut être possible de détecter une violation avant qu'elle ne soit annoncée en visitant le Web profond ou en utilisant un service de protection d'identité qui le fait, cette méthode présente également des inconvénients. Voici quelques problèmes que je vois avec la recherche sur le Web profond:

  1. Si certains services de protection d'identité sont excellents, ils peuvent coûter pas mal d'argent. Les services de protection de l’identité peuvent être fournis gratuitement, mais ils interviennent généralement après l’annonce de la violation, et la protection seulement dure une durée limitée, généralement entre 1 et 2 ans.
  2. Vous devez généralement acheter ces informations à des attaquants, sauf s'ils les ont publiées pour le Lulz.
  3. Les données violées peuvent simplement ne pas apparaître du tout sur le Deep Web.

    4. Comme vous pouvez le voir, il y a beaucoup d'avantages et d'inconvénients de chaque méthode ici. Aucune méthode n'est parfaite. Il est impossible d'obtenir la perfection à 100%.

    REAM détecte également les violations individuelles

    Cette méthode ne détecte pas seulement les violations des entreprises. Il détecte les violations des individus. Vous constaterez peut-être qu'après avoir donné votre adresse e-mail à quelqu'un, il vous envoie des attaques de phishing plusieurs mois plus tard. Cela peut venir d'eux ou de quelqu'un d'autre qui les a piratés.

    Maintenant que mes données ont été volées, que dois-je faire?

    Si vous l'avez si vous soupçonnez fortement que vos informations sensibles ont été volées, vous devez faire ce qui suit:

    1. Arrêtez et remplacez toutes les cartes de crédit et de débit associées à l'adresse e-mail susmentionnée.
    2. Mettez un gel de votre crédit afin qu'ils ne puissent rien faire avec les détails.
    3. Informez l'entreprise / l'individu qu'il a probablement été piraté, afin qu'il puisse prendre le étapes.
    4. En savoir plus sur les cartes de crédit virtuelles dans la réponse fournie par emory pour la question bonus ci-dessous.

Je soutiens le REAM. Cependant, je ne vois pas pourquoi acheter * plusieurs * domaines peut être d'une quelconque utilité.
@Yuriko Si l'un de vos domaines est associé à la détection du phishing, vous avez perdu votre petite astuce lorsque les attaquants arrêtent de prendre l'appât. Dans le monde de la sécurité de l'information, le papier d'aluminium détermine le gagnant.
Je respecte votre papier d'aluminium qui en général est plus fort que le mien. Cependant, il y a place à amélioration. J'utilise un coffre-fort qui est une sorte de carte de crédit virtuelle. Si j'effectue un achat de 100 $ en octobre, la limite de crédit de la carte est de 100 $ et la date d'expiration est novembre. Une fois le paiement traité ou en novembre, les informations de la carte de crédit ne sont plus sensibles. Je n'ai pas besoin de fermer et de remplacer toutes les cartes associées à un site piraté.
@emory C'est une bonne idée ... Je dois me pencher là-dessus. Cependant, mes sens du papier d'aluminium picotent: que se passe-t-il si Shop Safe est violé?
@MarkBuffalo ma société de carte de crédit me fournit ShopSafe en tant que service. S'ils sont violés, alors je suis arrosé. Il s'agit d'un compte, d'une carte physique et d'un nombre illimité de numéros de carte de crédit avec des limites de crédit et des dates d'expiration personnalisables. ShopSafe enregistre également le premier commerçant à effectuer une charge sur la carte virtuelle. Si quelqu'un d'autre essaie de facturer la carte, il est rejeté. ShopSafe est simplement le nom de marque utilisé par ma société de cartes de crédit. Le concept général est la carte de crédit virtuelle et votre carte la fournit peut-être déjà.
Merci @emory. C'est quelque chose que je dois vraiment envisager d'ajouter à mon répertoire de papier d'aluminium. Si vous souhaitez ajouter des détails, vous devez publier votre propre réponse dans cette question. Nous serions certainement intéressés à en savoir plus.
@MarkBuffalo votre réponse est excellente pour la question "est-il possible de détecter des failles de sécurité en tant qu'utilisateur". Mes commentaires ne traitent pas vraiment de cela. Il s'agit simplement de réduire la charge de travail post-détection. Votre carte a effectivement été pré-annulée en prévision d'une faille de sécurité. Si vous pouvez réduire la charge de travail à rien, pourquoi vous soucier de la détection?
@emory Je pense que vos commentaires sont très utiles pour la question bonus, et vous pouvez y répondre ci-dessous. Si vous ne voulez pas faire cela, n'hésitez pas à modifier mon message alors.
@MarkBuffalo Donc, en substance, REAM sert simplement à identifier quelle entreprise a été violée? Comment ces informations vous aident-elles? Ils n'ont toujours pas accès à votre messagerie, ils savent juste qu'il existe (étant donné que vous utilisez un mot de passe unique par compte d'entreprise, comme indiqué par OP avec son gestionnaire de mots de passe). La "seule" chose que vous gagnez en ayant plusieurs adresses e-mail est que vous contactez l'entreprise en question et l'informez de la violation, n'est-ce pas?
@mucaho Avec REAM, et en cas de phishing, vous pouvez dire si vos informations personnelles ont été violées ou non. Sinon, comment les attaquants sauraient-ils hameçonner ce seul e-mail, utilisé à un seul endroit, * à moins * qu'ils n'aient déjà vidé le contenu de la base de données? Ces informations vous aident à prendre les mesures appropriées pour protéger vos données avant que les entreprises ne divulguent des informations sur la violation. Certaines entreprises / agences / universités / etc. ne savent même pas qu'elles ont été violées, ou elles ne le divulgueront même pas des années plus tard. Par exemple, avec Pizza Hut, j'attends toujours l'annonce!
Pourquoi utilisez-vous plusieurs domaines au lieu d'utiliser simplement un e-mail Gmail ou Hotmail ou quelque chose?
"Gardez une liste d'adresses e-mail dans votre portefeuille" - ou autorisez la livraison à n'importe quelle adresse commençant par "michael.duncan2017", et donnez des adresses comme "michael.duncan2017.pizza.hut @", que vous pouvez improviser au besoin ( et plus tard bloquer si nécessaire en raison du spam). C'est un peu comme utiliser la fonction "+ pizza-hut@gmail.com", sauf que je profite d'un peu d'obscurité dans la mesure où les spammeurs et les hameçonneurs * savent * tout ce qui suit le + dans une adresse gmail est insignifiant, alors qu'ils ne le font pas ' Je connais mes règles de livraison du courrier :-)
@trallgorm Lisez le deuxième commentaire en réponse au premier.
@SteveJessop Tinfoil dit non. : P Il se peut que vous essayiez de détecter des attaques de phishing. Et puis ils pourraient simplement supprimer «+ quelque chose».
@MarkBuffalo: assez juste, je souligne simplement que cela fonctionne pour moi dans la pratique et est un peu plus facile à gérer. En fait, je ne suis * pas * particulièrement en train d'essayer de détecter le phishing, cependant, c'est surtout là comme dernier recours contre le spam et en particulier contre les personnes dont les mécanismes de désinscription n'existent pas ou ne fonctionnent pas. Il n'est pas non plus difficile d'arranger les choses de sorte que s'ils * juste * suppriment le `-pizza-hut`, alors michael.duncan2017 @ seul ne soit pas livré ou soit filtré directement dans le dossier" manifestement une attaque ".
À bien y penser, si au lieu de + quelque chose que vous utilisez + quelque choseX où X est un chiffre de contrôle que vous pouvez calculer dans votre tête, vous pourriez improviser des adresses e-mail * et * avoir de très bonnes chances de détecter quand un attaquant pense qu'ils soyez intelligent en supprimant ou en modifiant le + quelque chose. Mais je suis d'accord avec vous, en ce qui concerne les tinfoil, le moyen simple d'améliorer "très bonne chance" en "certitude" est de renoncer à la possibilité d'improviser des adresses e-mail à la volée (ou en tout cas, accepter la nécessité de modifier votre filtre exim ou quoi que ce soit de votre téléphone lorsque vous inventez chaque nouvelle adresse)
@MarkBuffalo "Avec REAM, et en cas de phishing, vous pouvez dire si vos informations personnelles ont été violées ou non" - faux. Avec REAM, vous pouvez savoir si vos informations personnelles ont été violées. Il ne vous dira jamais que vos informations personnelles n'ont pas été violées. Je pense toujours que c'est une bonne idée.
@emory Mauvaise formulation, mon mauvais. ;)
Blur 'DoNotTrackMe créera automatiquement des comptes de messagerie et les remplira automatiquement avec une extension de navigateur. (Aucune affiliation)
@MarkBuffalo Je ne comprends toujours pas pourquoi vous ne pouvez pas utiliser gmail ou hotmail. Ce n'est pas comme si les attaquants pouvaient choisir d'ignorer tous les e-mails gmail / hotmail, c'est probablement 99% (sinon plus) des données.
@trallgorm car cela prend * beaucoup * plus de temps et nécessite généralement également un numéro de téléphone.
Il est possible que vous ayez été victime d'un hameçonnage sur ces adresses non pas à la suite d'une violation d'adresse e-mail de la part de l'entreprise avec laquelle l'adresse a été utilisée, mais simplement à partir d'un envoi aléatoire. Les attaquants trouvent un domaine qui a un serveur de messagerie entrant, puis tentent une attaque par dictionnaire de noms et espèrent que le serveur ne dispose pas de protection contre les courriers électroniques de masse (c'est-à-dire bloquant l'adresse source après trop d'adresses de destination non livrables). Très souvent, les attaques de phishing proviennent d'une entreprise avec laquelle je n'ai jamais traité, ce qui laisse entendre que les adresses ne proviennent pas d'une violation d'une entreprise avec laquelle j'ai traité.
@MichealJohnson Je trouve improbable qu'un attaquant ait deviné au hasard des adresses électroniques plutôt grotesques / aléatoires avec des nombres aléatoires.
@MichealJohnson Ces noms ne sont que des suggestions, pas des noms que j'utiliserais réellement. De bonnes limites de taux sont fixées.
Vous n'avez pas dit quel type de limitation de débit est sur votre serveur, il est donc possible qu'ils aient forcé l'adresse "michael.duncan2017" à partir d'un dictionnaire. Si le prénom a été extrait d'une liste de 1000 prénoms et que le nom de famille a été extrait d'une liste de 1000 noms de famille, et que nous supposons que les deux noms étaient au milieu des listes, nous avons 250000 tentatives, multipliées par des nombres de 0 à 2017 donne 504250000 tentatives, et à un taux de 100 tentatives / seconde qui prend 2 mois. Je ne dis pas que c'est probable; simplement possible (c'est-à-dire que vous ne pouvez pas être * certain * qu'ils ont été violés simplement parce que vous avez été hameçonné).
@MichealJohnson D'accord, il y a toujours de la place pour du funkiness comme ça. Cependant, je suis à peu près sûr que dans tous les cas mentionnés, je faisais du phishing. ;-)
@MichealJohnson, il est facile de déterminer s'il s'agissait vraiment d'une force brute simplement en regardant les journaux du serveur. Ce que je trouve, c'est que bien que les mauvais acteurs _do_ essaient de brutaliser les e-mails (principalement en tant qu'expéditeurs), il est très peu probable qu'ils trouvent celui que vous avez créé. Je trouve beaucoup plus courant que les validateurs d'e-mails "intelligents" jugent votre adresse e-mail invalide, ou qu'il semble gênant d'utiliser des e-mails aléatoires / étiquetés par le fournisseur lorsque vous parlez à une personne, par exemple. dans ce cas, donner un email «Michael Duncan» lorsque votre nom est «Mark Buffalo».
J'ai rejoint ce site Web (que j'aime parcourir de temps en temps) dans le but exprès de vous donner un +1, pour votre devis WoW. Excellent poste.
J'aime toujours lire vos réponses. Chaque fois que je les lis, je me dis "ouais, ça doit être Mark", faites défiler vers le bas, ouais c'est lui.
N'est-il pas possible que Pizza Hut ait vendu sa base de données de courrier électronique à un tiers, qui aurait alors pu être cambriolé ou tout simplement revendu le courrier électronique à un mauvais acteur?
@Jac Oui, [c'est possible] (https://order.pizzahut.com/privacy-policy#al6). Cependant, je ne me suis jamais inscrit à quelque chose de promotionnel ou de marketing.
emory
2016-03-03 22:29:36 UTC
view on stackexchange narkive permalink

Pour la question principale, je recommande la réponse de Mark Buffalo.

Pour la question bonus, ma société de carte de crédit me fournit un service de carte de crédit virtuelle qu'elle appelle ShopSafe. D'autres sociétés de cartes de crédit fournissent leurs propres services de cartes de crédit virtuelles qui auront des noms et des détails différents. Voici les fonctionnalités de ShopSafe.

Je peux créer une carte de crédit virtuelle à volonté en quelques secondes en utilisant leur portail Web. Je peux choisir la limite de crédit et la date d'expiration. Tous les frais imputés à cette carte de crédit virtuelle apparaîtront sur ma facture de carte de crédit habituelle comme s'ils étaient imputés à ma carte de crédit habituelle. Je peux demander des frais sur des cartes de crédit virtuelles spécifiques.

Lorsque je dois fournir des informations de carte de crédit, je crée une carte de crédit virtuelle avec une limite de crédit et une date d'expiration choisies. Si j'achète un article de 100 $ en octobre, la limite de crédit est de 100 $ et la carte expire en novembre. Si le site est violé, les informations de ma carte de crédit sont probablement obsolètes. Cela couvre la majorité des cas d'utilisation.

Un autre cas d'utilisation est mon titre de transport. J'ai un laissez-passer de transport en commun qui me permet de prendre les bus et les métros. J'ai fourni à l'agence de transport une carte de crédit virtuelle. Chaque fois que mon titre de transport tombe en dessous de 20 $, ils le rechargent automatiquement (en facturant ma carte de crédit virtuelle).

J'ai donné à l'agence de transport une carte de crédit virtuelle avec une limite de 500 $ et 12 mois jusqu'à son expiration car je veulent que la carte se recharge automatiquement d'elle-même. (Lorsque je cours pour un train, je ne veux pas passer du temps à ajouter de l'argent au titre de transport en commun.)

ShopSafe enregistre le premier commerçant à débiter une carte de crédit virtuelle. Les frais ultérieurs effectués par d'autres marchands seront automatiquement rejetés. En cas de violation de l'agence de transport, ma carte de crédit virtuelle ne sera pas expirée et il restera du crédit, mais les pirates ne pourront néanmoins pas porter plainte contre elle. Personne d'autre que l'agence de transport en commun ne peut facturer cette carte de crédit virtuelle.

Sans carte de crédit virtuelle Si vous ne possédez pas de carte de crédit virtuelle, vous pouvez effectuer tous vos achats avec le même numéro de carte de crédit. Si un site est violé (et même si vous le savez), vous choisirez probablement de ne pas annuler la carte car cela perturberait tout le reste. Au lieu de cela, vous vous fiez probablement aux garanties de fraude de votre carte de crédit. Alors que les pirates mettent de faux frais sur votre carte, vous les contestez. La société émettrice de cartes de crédit est exposée à des risques financiers.

Les cartes de crédit virtuelles sont donc principalement un avantage pour votre société de cartes de crédit. S'ils ne le mettent pas à votre disposition, leur tête est pleine de pierres.

Êtes-vous affilié à la société émettrice de "ShopSafe"?
@Mindwin Je suis affilié en tant qu'utilisateur.
@Mindwin Il s'agit d'un article sur le concept général - https://en.wikipedia.org/wiki/Controlled_payment_number - y compris d'autres fournisseurs.
J'utilisais un service comme celui-là. J'ai adoré jusqu'à ce qu'une équipe de baseball ne me laisse pas récupérer mes billets à Will Call parce que je ne pouvais pas leur montrer une carte de crédit correspondant au numéro que j'avais utilisé pour acheter mes billets (cela a finalement été réglé mais a pris un certain temps).
C'est une excellente recommandation. J'ai complètement arrêté d'utiliser mon vrai numéro de carte de crédit pour tout achat en ligne. Chaque fois que j'achète quelque chose, je crée rapidement une nouvelle carte de crédit virtuelle avec tous les détails, fixe la limite de quelques dollars au-dessus du prix d'achat et l'utilise. Cela m'a en fait sauvé à une occasion où l'un de mes comptes de messagerie a été violé - le voleur n'a obtenu qu'un numéro CC déjà utilisé / expiré.
J'utilise des cartes de crédit virtuelles depuis des années pour payer en ligne, je ne peux pas les recommander assez.
Connaissez-vous une ressource avec des pointeurs par pays vers les banques qui fournissent ce type de service?
"Connaissez-vous une ressource avec des pointeurs par pays vers les banques qui fournissent ce type de service?" -- J'ai bien peur que non.
@E.P. la chose la plus proche de ce que vous demandez et dont je suis conscient est https://en.wikipedia.org/wiki/Controlled_payment_number qui est loin d'être exhaustive
Merci. Je cherche des moyens de transformer votre réponse de "donc il y a cet outil utile que d'autres personnes ont qui peut vous aider, mais qui sait comment et où ils l'ont obtenu" à "il y a cet outil utile et voici quelques moyens de l'obtenir ". Mais je réalise que c'est une question difficile.
@E.P. il devrait être accessible à quiconque aux États-Unis et certainement à quelques autres pays. Il n'est probablement pas disponible pour beaucoup de gens. Si vous mourez de faim à cause de la guerre civile dans votre pays, vous devez d'abord faire face à d'autres menaces de sécurité.
Non, ce que je veux dire, c'est que votre réponse, comme indiqué, n'est pas particulièrement utile si je veux me sécuriser (dans, par exemple, un pays européen développé). D'une part, Google ShopSafe au Royaume-Uni renvoie des résultats assez différents. Êtes-vous en train de dire que pratiquement toutes les banques américaines soutiennent ce service? Ou qu'il existe des services indépendants que l'on peut utiliser quelle que soit la banque? Si tel est le cas, les inclure dans votre réponse la rendrait plus forte. Ou peu importe.
@E.P. Je sais que des services similaires sont disponibles au Royaume-Uni, au Portugal et en Égypte. A part ça, je n'en ai aucune idée.
Neil McGuigan
2016-03-04 07:17:25 UTC
view on stackexchange narkive permalink

Facebook gratte les sites populaires de type pastebin où les pirates publient des informations de connexion volées et vérifient les informations de compte de leurs utilisateurs. Vous pourriez faire de même (pour vos différentes adresses e-mail ou numéros de carte de crédit), même si ce serait beaucoup de travail!

Pour ce faire, nous surveillons une sélection de différents «coller» sites pour les informations d'identification volées et surveillez les rapports de violations de données à grande échelle. Nous collectons les informations d'identification volées qui ont été publiées publiquement et les vérifions pour voir si la combinaison d'e-mail et de mot de passe volés correspond au même e-mail et mot de passe utilisés sur Facebook

https: // www.facebook.com/notes/protect-the-graph/keeping-passwords-secure/1519937431579736

C'est essentiellement l'un des services fournis par [haveibeenpwned.com] (http://haveibeenpwned.com).
@NeilMcGuigan Je vois maintenant, je pensais que c'était limité à Facebook. J'y ai jeté un second coup d'œil et c'est un très bon service. Je n'essayais pas d'être argumentatif. Je n'ai tout simplement pas vu la valeur à l'époque.
goncalopp
2016-03-04 05:30:07 UTC
view on stackexchange narkive permalink

J'aime la méthode REAM de Mark Buffalo, mais en réalité, elle est trop lourde pour la plupart des gens, je vais donc donner une meilleure alternative: plus adressage (alias alias d'adresse, identités virtuelles).

Au lieu de créer plusieurs comptes de messagerie, vous pouvez avoir un seul compte, mais plusieurs adresses de messagerie. La meilleure nouvelle est que, si vous utilisez Gmail, vous avez déjà tout ce dont vous avez besoin.

En pratique

Supposons que votre adresse e-mail soit johndoe@gmail.com et que vous souhaitiez donner votre e-mail à SomeCompany.

Vous pouvez fournir johndoe + somecompany@gmail.com , et il sera acheminé vers votre compte - tout ce qui suit le + est ignoré.

Certains sites Web ne vous permettront pas d'avoir un + dans votre adresse. N'hésitez pas à leur faire savoir qu'ils sont en violation de la RFC5322 section 3.2.3 et la police Internet viendra leur infliger une amende. S'ils ne croient pas en vous, pour une raison quelconque, vous devrez recourir à plus ...

Tactiques sournoises

Leur fournir jo.hndoe @ gmail.com - toujours la même adresse (en ce qui concerne les serveurs de Google). Si vous savez compter en binaire et que vous avez un e-mail de 11 caractères, vous pouvez obtenir 1024 adresses différentes de cette façon.

Je peux compter en binaire, mais c'est pénible

Vous vous pouvez tout aussi bien investir quelques dollars dans votre propre domaine, un livre sur Exim et un peu de caféine. Beaucoup, en fait. Ensuite, en plus de l'adressage plus , vous pouvez avoir un adressage moins , un adressage multiplier , un adressage dollar ou tout ce qui vous convient fantaisie.

JE NE PEUX PAS compter en binaire, encore moins configurer mon propre MTA

Eh bien, vous pouvez toujours payer quelqu'un pour s'en occuper. Je me suggère, mais c'est probablement contre une règle quelque part.

Super! Qu'en est-il de l'ordinateur de mon ami malveillant?

Si vous êtes assez vieux pour apprécier le confort d'un client de messagerie à l'ancienne, vous pouvez utiliser l ' extension d'identité virtuelle pour générer une nouvelle adresse aléatoire lorsque vous contactez quelqu'un pour la première fois - y compris cet ami embêtant qui utilise toujours Windows XP.

Les spammeurs / hameçonneurs ne sont pas stupides, ils supprimeront le plus

Veuillez laisser les dizaines d'escrocs frapper mon domaine sait.

Certains types particulièrement brillants ont en fait écrit un analyseur qui pense que johndoe+somecompany@yourdomain.tld est en fait somecompany@yourdomain.tld . Vraiment génie.

Si vous êtes assez averti pour utiliser un plus sur votre adresse, il est probablement juste de dire que vous ne tomberez pas dans une opération d'escroquerie de masse, donc écrire un analyseur pour y remédier est probablement un gaspillage de ressources pour les personnes qui font cela.

Cela ne veut pas dire, bien sûr, que vous ne serez pas ciblé spécifiquement si vous êtes une cible de grande valeur. Si vous cela vous inquiétez, utilisez simplement votre propre domaine. La façon dont l'adresse est analysée est entièrement à la discrétion du MTA, il n'y a donc aucun moyen pour l'expéditeur de savoir ce qu'il doit analyser.

Si j'écris des logiciels malveillants pour hameçonner les gens, la première chose que je vais supprimer / filtrer tout ce qui a plus l'adressage. ;-)
Pensez-vous que les spammeurs sont assez stupides pour ne pas savoir que «johndoe@gmail.com» et «jo.hndoe@gmail.com» sont la même adresse?
@DmitryGrigoryev - non, mais je pense qu'ils sont LAZY et qu'il est très peu probable qu'ils désinfectent à la main une grande base de données d'adresses électroniques volées.
@JamesSnell ** désinfectant pour les mains **? Je pense qu'il est prudent de supposer que les spammeurs connaissent au moins un peu de Perl.
@MarkBuffalo C'est un bon point, je l'ai abordé dans la réponse
J'ai utilisé l'adressage plus pendant un certain temps, il est sûr de dire que même s'ils * pourraient * filtrer des choses comme ça, ils ne le font pas, cela demande des efforts de leur part. C'était aussi une référence au commentaire de Dmitry, où l'exemple ne serait pas facilement traité automatiquement sans casser les bonnes adresses.
Je suis légèrement surpris que les spammeurs ne suppriment pas immédiatement les adresses e-mail avec un «+». C'est un indice assez important que le destinataire est plein d'indices (alors pourquoi se donner la peine d'envoyer l'e-mail). (Peut-être parce que le coût d'envoi est si bas et qu'une mauvaise grammaire, etc., est un meilleur test d'ignorance.)
Les spammeurs @MartinBonner sont moins intelligents que les hameçonneurs. Et les spammeurs ne vont pas se soucier de l'adressage, surtout si votre spam se retrouve de toute façon dans leur boîte aux lettres.
En ce qui concerne la désinfection des adresses, il est assez simple de configurer votre courrier électronique de sorte que les adresses "nettoyées" ne fonctionnent pas. Dites à tous vos amis que `johndoe + mail@example.com` est votre adresse et transférez tout ce qui arrive à` johndoe@example.com` dans votre dossier spam. Les spammeurs qui savent que cela est possible réalisent que tenter de nettoyer une adresse sans connaître les règles de messagerie du destinataire peut la rendre * moins * susceptible de fonctionner.
@goncalopp Je viens de mettre à jour mon message avec un extrait de code battant cette méthode d'adressage plus. Cela peut toujours fonctionner pour les spammeurs, mais les hameçonneurs ... Je doute qu'ils soient assez stupides.
Je pense que la technique REAM est meilleure mais plus de travail, c'est donc la technique que j'utilise. Un défaut majeur de cette technique qui n'a pas été commenté est que certaines validations de formulaire rejettent plus adressage. En théorie, j'essaye de créer un compte sur www.acme.com en utilisant mon adresse e-mail comme identifiant de connexion. Le formulaire d'inscription rejette b / c "adresse e-mail invalide". Lorsque je supprime l'adresse plus, il accepte.
Il y a quelques analyseurs qui traitent le `+` comme un espace (comme l'échappement d'URL), ce qui pourrait causer votre problème de "vraiment génie". (J'ai eu une fois un fournisseur de messagerie, dont l'interface Web n'acceptait pas ces adresses «+» comme destinataires, je suppose pour cette raison.)
bmargulies
2016-03-05 21:30:45 UTC
view on stackexchange narkive permalink

Il existe différents services de «protection de l'identité» que vous pouvez payer. Entre autres choses, ils troll le dark web pour votre e-mail, carte de crédit, etc. Toutes les personnes exposées dans la culasse OPM en obtiennent un gratuitement. Si vous êtes vraiment inquiet, vous pourriez décider que l'un d'entre eux vaut le coût pour vous.

Bien sûr, comme indiqué dans un commentaire, il n'y a aucune garantie que vos informations apparaîtront là où elles apparaissent.

Cependant, je suis un peu perplexe par l'accent mis sur les adresses e-mail dans d'autres réponses ici. Il n'est pas difficile d'éviter le phishing. Je n'ai jamais vu d'e-mail de phishing qui menaçait même momentanément de me tromper. J'ai renoncé à protéger mon adresse e-mail il y a longtemps; Je trouve que Google spam-répertorie correctement 99% du phishing que je reçois, et le reste, comme ci-dessus, n'est pas difficile à repérer.

Si quelqu'un a une culpabilité, il pourrait divulguer votre courrier électronique. Votre plus grande inquiétude est que certains idiots ont échoué au test PCI et ont divulgué votre numéro de carte de crédit. Vous pouvez inventer des adresses e-mail toute la journée et cela ne vous aidera pas dans ces cas.

Les services de protection de l'identité peuvent être bons, oui, mais tout le monde ne publie pas vos données sur le Web profond, et ceux qui essaient généralement de vendre les informations avant de les fournir. Les services de protection de l'identité achèteront-ils des données à des pirates? Différents pirates informatiques ont des motivations différentes pour ces données, et si quelqu'un d'autre contacte votre faux e-mail, c'est une mauvaise nouvelle. L'accent mis sur les adresses e-mail est partagé comme un moyen de détecter les tentatives de * phishing *, et non de les éviter: personne ne devrait vous envoyer un e-mail à cette adresse e-mail pour commencer, sauf l'entreprise. S'ils le font, cela indique généralement quelque chose de très suspect.
La question posée, «comment détecter une culasse». Détecter une tentative de phishing est intéressant, et même utile, mais ce n'est pas tout à fait la même chose à mon avis.
Je pense que vous vous méprenez sur la question. L'OP veut savoir comment il peut éventuellement détecter une violation * avant * que l'entreprise violée ne l'annonce afin qu'il puisse se protéger au lieu d'attendre que l'entreprise lui dise que ses données ont été volées. Bien que oui, le Dark Web peut éventuellement contenir des informations sur ces violations, et les informations ne peuvent être disponibles que si quelqu'un paie pour cela, j'ai constaté que de nombreux hameçonneurs tentent d'attaquer mes e-mails factices avant même que les informations ne se retrouvent sur le Web profond, si c'est le cas.
Même si j'ai l'impression que vous avez manqué quelques points, je vous donne un +1 pour votre contribution. C'est très bienvenu. Les services de protection du Web profond / d'identité étaient un bon ajout, et j'ai maintenant mis à jour ma réponse pour y remédier.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...