Коли ви натискаєте «Увійти через Google» чи «Продовжити з Facebook», у браузері зʼявляється невелике спливне вікно для входу. Ініціатори загроз навчилися малювати таке вікно повністю фальшивим — прямо на сторінці, разом із підробленим рядком адреси й «замочком» HTTPS. Стара порада «перевіряй URL» тут безсила, адже адресу теж підроблено. Цю техніку називають Browser-in-the-Browser (BitB), і наприкінці 2025 — на початку 2026 року вона знову набрала обертів.

Що таке атака «браузер у браузері»

Багато сайтів пропонують швидкий вхід через обліковий запис Google, Facebook, Microsoft чи Apple — це технологія єдиного входу (Single Sign-On, SSO). Зазвичай після натискання кнопки «Увійти через…» відкривається окреме вікно браузера зі сторінкою справжнього сервісу, де ви вводите логін і пароль.

BitB імітує саме це вікно. Замість того щоб відкрити справжнє спливне вікно, шкідлива сторінка малює його копію засобами HTML, CSS і JavaScript: рамку вікна, кнопки керування, рядок адреси з «правильним» доменом і навіть значок захищеного зʼєднання. Усередину цього псевдовікна вбудовано фішингову форму, яка збирає введені дані й надсилає їх на сервер зловмисників.

Уперше техніку публічно описав дослідник безпеки під псевдонімом mr.d0x у березні 2022 року. Його вихідне запитання звучало просто: чи можна зробити пораду «перевір URL» ненадійною? Виявилося, що можна — адже підробити можна й сам рядок адреси.

Чому її майже неможливо розпізнати на око

Фальшиве вікно — це не справжній елемент інтерфейсу браузера, а частина веб-сторінки. Та для користувача воно виглядає переконливо: його можна «схопити» за заголовок і перетягувати, рядок адреси показує легітимний домен, поруч — зелений значок HTTPS.

Звичні ознаки фішингу тут не спрацьовують. Перевірка домену в адресному рядку нічого не дає, бо цей рядок намальований. Те саме стосується «замочка»: він свідчить лише про те, що зʼєднання із самим шкідливим сайтом захищене шифруванням, а не про те, що сайт справжній.

Єдина по-справжньому надійна побутова ознака — спробувати перетягнути вікно за межі вікна браузера. Справжнє системне вікно можна винести на робочий стіл; фальшиве лишиться «прибитим» до сторінки, бо є її частиною.

Як BitB застосовували проти України

Для українських користувачів це не теоретична загроза. Уже в березні 2022 року, лише за кілька днів після публікації mr.d0x, техніку взяло на озброєння угруповання Ghostwriter (відоме також як UNC1151 і повʼязане з міноборони Білорусі).

За даними Google Threat Analysis Group (TAG), Ghostwriter розміщували фішингові сторінки на зламаних сайтах і поверх них малювали фальшиве вікно входу, що виглядало як сторінка домену passport.i.ua — популярного українського поштового сервісу. Щойно жертва вводила облікові дані, вони відправлялися на підконтрольний зловмисникам домен. Серед зафіксованих доменів кампанії були login-verification[.]top, ua-login[.]top та secure-ua[.]space.

Це збіглося в часі з масштабними фішинговими кампаніями тієї ж групи проти українських військових та повʼязаних із ними осіб, про які тоді попереджала Команда реагування на компʼютерні надзвичайні події України (CERT-UA).

Чому загроза знову зросла у 2025–2026 роках

BitB не зник — навпаки, він став доступнішим. Якщо раніше для такої атаки потрібні були певні навички, то у 2025 році техніку почали вбудовувати в готові набори «фішинг як послуга» (Phishing-as-a-Service, PhaaS). У листопаді 2025 року дослідники зафіксували, що функцію BitB додали до набору Sneaky2FA, — тепер розгорнути переконливу підробку можуть навіть низькокваліфіковані зловмисники.

За оцінками профільних дослідників, наприкінці 2025 — на початку 2026 року кількість BitB-кампаній помітно зросла. Найчастіше цілями стають облікові записи Microsoft 365, Facebook та ігрової платформи Steam. Типові приманки — фейкові «юридичні повідомлення», сповіщення про «призупинення акаунту», «несанкціонований вхід» чи запрошення переглянути спільний документ. Окремі набори додають фальшиву CAPTCHA для більшої правдоподібності й уміють у реальному часі перехоплювати сесію навіть після проходження двофакторної автентифікації.

Як захиститися

Покладатися лише на зовнішній вигляд вікна входу більше не можна. Найнадійніший підхід — позбавити крадіжку облікових даних сенсу:

• Переходьте на passkeys і WebAuthn. Ці методи входу привʼязані до конкретного сайту й пристрою, тож на фальшивому домені вони просто не спрацюють. Дослідники називають перехід на стійку до фішингу автентифікацію головною лінією захисту проти BitB.
• Користуйтеся менеджером паролів. Він автоматично підставляє дані лише на справжньому домені. Якщо менеджер «не бачить» сайт і не пропонує автозаповнення там, де ви очікуєте входу, — це привід насторожитися.
• Зробіть «тест перетягуванням». Спробуйте винести вікно входу за межі вікна браузера: якщо воно не виходить, перед вами підробка.
• Не вводьте облікові дані за посиланнями з листів і повідомлень. Відкривайте сайт сервісу вручну — через закладку або самостійно набравши адресу.
• Увімкніть двофакторну автентифікацію. Вона не панацея проти BitB (досвідчені зловмисники вміють перехоплювати й одноразові коди), але суттєво ускладнює захоплення акаунту й лишається базовим рівнем захисту.

Якщо ви підозрюєте, що вже ввели дані у фальшиве вікно, негайно змініть пароль на відповідному сервісі (відкривши його напряму, а не за посиланням), завершіть усі активні сесії в налаштуваннях безпеки й перевірте, чи не змінилися привʼязані до акаунту номер телефону та адреса пошти.

Ця стаття Атака «браузер у браузері»: як фальшиве вікно входу краде ваші паролі раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Система Single Sign-On (SSO) стала невід’ємною частиною нашого цифрового життя. Кнопки «Увійти через Google» або «Продовжити з Microsoft» здаються зручними та безпечними, адже ми довіряємо великим технологічним компаніям. Проте кіберзлочинці знайшли спосіб використати цю довіру проти нас самих.

Нова фішингова схема експлуатує саме нашу звичку швидко натискати на знайомі кнопки SSO, не перевіряючи деталей. Це робить вразливими навіть досвідчених користувачів, які зазвичай уважні до підозрілих посилань та електронних листів.

Як працює фішинг через Single Sign-On

Класичний фішинг легко розпізнати: підозрілі домени, граматичні помилки, дивні посилання. Але атаки на SSO використовують легітимні сторінки входу Google, Microsoft або інших провайдерів. Зловмисники створюють фальшиві сайти, які імітують популярні сервіси, а потім інтегрують справжні SSO-кнопки.

Коли ви натискаєте «Sign in with Google» на такому сайті, ви дійсно потрапляєте на автентичну сторінку входу Google. Ви вводите свої облікові дані, проходите двофакторну автентифікацію, і все виглядає абсолютно легітимно. Проблема виникає після успішного входу.

Фішинговий сайт отримує токен доступу від Google, який дозволяє йому діяти від вашого імені. Залежно від того, які дозволи запитує шахрайський додаток, він може отримати доступ до вашої електронної пошти, контактів, файлів у хмарному сховищі або навіть можливість відправляти повідомлення від вашого імені.

Чому навіть обережні користувачі потрапляють у пастку

Ця техніка ефективна з кількох причин. По-перше, ви справді взаємодієте з легітимним сайтом Google або Microsoft, тому всі звичні ознаки безпеки присутні: правильний домен, валідний SSL-сертифікат, знайомий інтерфейс.

По-друге, SSO створено для швидкості та зручності. Ми звикли натискати ці кнопки не замислюючись, особливо коли поспішаємо. Саме цю автоматичну поведінку і експлуатують зловмисники.

По-третє, після входу через SSO користувачі рідко звертають увагу на те, які саме дозволи запитує додаток. Сторінка з дозволами від Google виглядає офіційно, і багато людей просто натискають «Дозволити», не читаючи деталей.

Як захистити себе від SSO-фішингу

Незважаючи на витонченість цієї атаки, захист від неї дивовжайно простий. Ключ — у паузі та уважності перед використанням Single Sign-On на незнайомих сайтах.

Перевіряйте, куди ви входите. Перш ніж натискати кнопку SSO, переконайтеся, що ви довіряєте сайту, на якому перебуваєте. Перевірте URL-адресу в браузері та оцініть, чи виглядає сайт легітимним.

Читайте запити дозволів. Коли Google, Microsoft або інший провайдер SSO показує сторінку з переліком дозволів, які запитує додаток, уважно їх прочитайте. Якщо простий сайт з іграми запитує доступ до вашої електронної пошти та контактів — це червоний прапорець.

Використовуйте SSO вибірково. Не потрібно входити через Google або Microsoft на кожному сайті. Для менш важливих сервісів краще створити окремий обліковий запис з унікальним паролем.

Регулярно перевіряйте підключені додатки. Більшість провайдерів SSO дозволяють переглядати список додатків, які мають доступ до вашого облікового запису. Періодично переглядайте цей список та відкликайте доступ для незнайомих або непотрібних сервісів.

• Google: перейдіть до налаштувань облікового запису Google та виберіть розділ «Безпека», потім «Сторонні додатки з доступом до облікового запису»
• Microsoft: відвідайте сторінку облікового запису Microsoft та знайдіть розділ «Конфіденційність» з переліком підключених додатків
• Apple: у налаштуваннях Apple ID перевірте розділ «Безпека» для перегляду додатків, що використовують Sign in with Apple

Простота як найкращий захист

Іронія ситуації полягає в тому, що хоча ця фішингова техніка використовує сучасні технології автентифікації, захист від неї базується на старих добрих принципах безпеки: не поспішайте, будьте уважні та скептичні.

Single Sign-On залишається зручним та відносно безпечним способом входу, особливо коли він використовується на перевірених платформах. Проблема виникає, коли ми дозволяємо зручності повністю замінити пильність. Кілька секунд на перевірку того, куди ви входите та які дозволи надаєте, можуть врятувати вас від серйозних наслідків компрометації облікового запису.

Пам’ятайте: зловмисники розраховують на вашу поспішність та довіру до знайомих брендів. Не дайте їм цієї переваги.

Ця стаття Новий фішинговий трюк з SSO обманює навіть обережних користувачів раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Хочете максимальну безпеку для свого Microsoft акаунту? Налаштуйте безпарольний вхід! Наша покрокова інструкція покаже, як відмовитись від паролів та надійно захистити ваші дані.

Сьогодні я, схоже, дуже популярний в Малайзії, Бразилії, Індонезії та навіть в Гондурасі. Принаймні, так виглядає список нещодавніх спроб увійти до мого облікового запису Microsoft.

Але ці зловмисники не знають, що до мого безпарольного облікового запису не підійде жоден пароль.

Якщо вам цікаво, хто намагається увійти у ваш обліковий запис Microsoft, перейдіть на сторінку керування: account.microsoft.com. Після входу натисніть Безпека > Переглянути дії, повʼязані з входом.

У моєму випадку ці відчайдушні хакери даремно витрачають свій час. Вони можуть спробувати будь-яку комбінацію букв, цифр і символів у кожному алфавіті, відомому людству, навіть якщо на це піде час до кінця Всесвіту, але вони ніколи не вгадають пароль до мого облікового запису Microsoft.

Чому я такий впевнений? Тому що колись давно я вирішив зробити цей обліковий запис безпарольним. Якщо хтось захоче увійти до мого акаунта на новому пристрої, йому доведеться отримати моє схвалення для цього входу за допомогою пристрою, який я вже налаштував. (Вибач, Карлосе, я кажу «ні» непроханим запитам з Бразилії).

Чи варто переходити на безпарольний вхід?

Microsoft прагне, щоб ви зробили так само, як я, і відмовилися від пароля. Цього місяця компанія випустила новий користувацький інтерфейс,  який “оптимізовано для роботи без пароля і входу за допомогою ключа“.

Тож, чи варто вам це робити? Для більшості людей відповідь — так. Видалення пароля значно підвищує безпеку вашого облікового запису Microsoft і робить його набагато стійкішим до фішингових атак. Після видалення пароля єдиний спосіб увійти на пристрій — це підтвердити свою особу за допомогою біометричних даних (відбитків пальців або розпізнавання обличчя), апаратних ключів безпеки, синхронізованих ключів доступу (passkeys), збережених у менеджері паролів, або відповісти на push-сповіщення на довіреному пристрої, як показано на зображенні нижче.

Єдина технічна причина не вносити цю зміну – використання старих програм або апаратних пристроїв, що не підтримують сучасні методи автентифікації. До них належать:

• Office 2010 або старіші версії;
• Office для Mac 2011 або старіші версії;
• Xbox 360;
• ПК з Windows 8.1 або старішою версією.

Ви також можете зіткнутися з проблемами, якщо використовуватимете функцію віддаленого робочого столу для підключення до іншого ПК за допомогою облікового запису Microsoft.

Перехід на безпарольний доступ — це не випадковий крок. Разом із додатковою безпекою зростає ризик того, що ви заблокуєте свій обліковий запис. Ви можете зменшити цей ризик, переконавшись, що у вас є кілька безпечних способів доступу до свого облікового запису, перш ніж видалити пароль.

Готові розпочати? Тоді поїхали!

Як налаштувати безпарольний вхід в обліковий запис Microsoft

Крок 1: Перевірте поточні параметри безпеки

Перейдіть на сторінку керування обліковим записом Microsoft за адресою account.microsoft.com і увійдіть, використовуючи свій пароль. Перейдіть на вкладку Безпека, а потім натисніть Керування способом входу. У вас має відкритися сторінка, подібна до тієї, що показана тут:

Це обліковий запис, який я створив для тестових цілей. Він має пароль, і я додав адресу електронної пошти, яка буде використовуватися для верифікації. Зверніть увагу, що обидві опції під заголовком Додаткові параметри безпеки – Безпарольний обліковий запис і Двоетапна перевірка – вимкнені.

Натисніть Додавання нового способу входу або підтвердження. Відкриється сторінка, показана тут:

Крок 2: Налаштуйте програму Microsoft Authenticator на мобільному пристрої

Виберіть середній варіант Використання програми. Якщо необхідно, завантажте та встановіть програму Microsoft Authenticator на свій мобільний пристрій, а потім натисніть Далі, щоб відобразити QR-код, як показано тут:

Відкрийте програму Authenticator на своєму мобільному пристрої, натисніть на знак «плюс» (+) і відскануйте QR-код за допомогою камери смартфона, щоб додати новий обліковий запис. Результат має виглядати приблизно так, як показано на наступному зображенні.

Крок 3: Налаштуйте принаймні два інших способи входу

Додаток Authenticator надає простий спосіб входу без пароля. Але що станеться, якщо ви втратите свій телефон? Саме тоді вам знадобиться альтернативний спосіб входу. Якщо у вас налаштована двоетапна перевірка, вам знадобляться два фактори.

Для налаштування додаткових способів:

1. Натисніть Надіслати код на електронну пошту, щоб ввести альтернативну адресу електронної пошти.
2. Натисніть Показати інші варіанти, щоб відобразити можливість ввести номер телефону, на який ви можете отримати код за допомогою SMS (ця опція може бути недоступною в деяких країнах). На додаток до вашого особистого телефону, подумайте про те, щоб додати номер телефону, який належить вашому партнеру. Це дасть вам додаткову альтернативу, якщо ваш власний телефон буде загублений або вкрадений.
3. Виберіть опцію Розпізнавання обличчя, відбиток пальця, PIN-код або ключ безпеки. Це дозволить створити апаратний ключ. Можливі варіанти:
   – Використання Windows Hello (з розпізнаванням обличчя або зчитувачем відбитків пальців) на комп’ютері з Windows.
   – Використання ключа Apple iCloud Keychain (через Touch ID) на комп’ютері MacBook.
   – Використання фізичного USB-ключа безпеки.
4. Якщо ваш менеджер паролів підтримує створення ключів доступу (passkeys), ви можете створити ключ, який синхронізується між пристроями. Наприклад, Dashlane, 1Password і Bitwarden підтримують цю функцію.

Крок 4: Створіть код відновлення і збережіть його в безпечному місці

Не пропустіть цей крок! Це ваша опція “У разі надзвичайної ситуації розбити скло”.

Поверніться на сторінку Керування способом входу з Кроку 1 і прокрутіть сторінку до кінця. Під заголовком Код відновлення натисніть опцію, щоб згенерувати новий код. Роздрукуйте його та збережіть у безпечному місці. Можливо, варто надіслати копію члену сім’ї, якому ви довіряєте, щоб він зберігав її на випадок, якщо вона вам знадобиться.

Якщо все інше не спрацює, цей код гарантує, що ви зможете відновити свій обліковий запис.

Крок 5: Увімкніть опцію безпарольного входу

Цей крок не обов’язково робити одразу. Всі налаштовані вами опції безпарольного доступу (додаток Authenticator, ключі тощо) запрацюють одразу. Дайте собі тиждень або два, щоб переконатися, що все працює належним чином. Коли ви будете готові, поверніться на сторінку Керування способом входу, перейдіть до розділу Безпарольний обліковий запис та увімкніть цю опцію.

Ця стаття Як налаштувати безпарольний вхід в обліковий запис Microsoft? І чому це варто зробити раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Ви коли-небудь замислювалися над тим, як ваші дані та розмови в Інтернеті залишаються захищеними від хакерів та зловмисників? Це все криптографія – технологія, на яку ми покладаємося щодня, часто навіть не усвідомлюючи цього.

Що таке криптографія?

Уявіть, що ви відправляєте секретну записку другу в класі. Ви не хочете, щоб її прочитав хтось інший, тому шифруєте літери особливим чином, який зрозумілий лише вам і вашому другові. У цьому, якщо коротко, полягає основна ідея криптографії. Мистецтво написання та розгадування секретних кодів.

Але давайте перенесемося з класу в інтернет. Коли ви надсилаєте повідомлення, робите покупки онлайн або входите до свого банківського рахунку, криптографія захищає вашу інформацію від сторонніх очей. Це невидимий щит, який захищає ваші дані під час їхньої подорожі мережами, від вашого телефону до хмари і назад.

Криптографія існує вже дуже давно. Її історія налічує тисячі років. Стародавні греки використовували пристрій, що називався «коса», який обмотував смужку пергаменту навколо стрижня, щоб розкрити приховане повідомлення. Юлій Цезар, як відомо, використовував простий код зі зміною літер, який тепер називають шифром Цезаря, щоб надсилати військові накази, які вороги не могли прочитати, якщо не знали секретного ключа.

Перенесімося у часи Другої світової війни, і ви побачите знамениту машину «Енігма», яку використовували німці, і яку частково зламали Алан Тьюрінг і його команда, що допомогло швидше закінчити війну. Ці приклади показують, що криптографія завжди була потужним інструментом.

Сучасна криптографія – це набагато більше, ніж приховування повідомлень. Це захист інформації. Вона працює для досягнення чотирьох основних цілей:

• Конфіденційність: Переконатися, що повідомлення може прочитати тільки той, кому воно призначене.
• Цілісність: Переконатися, що повідомлення не було змінено або підроблено.
• Автентифікація: Переконатися, що відправник є тим, за кого себе видає.
• Відмова від заперечень: Переконатися, що хтось не зможе заперечити відправлення повідомлення пізніше.

Отже, криптографія – це не тільки про секрети. Це впевненість у тому, що ваші повідомлення в безпеці, ваші дані не пошкоджені, а людина на іншому кінці дроту дійсно є тією, за кого себе видає.

Близьким до криптографії терміном є криптоаналіз. Якщо криптографія – це наука про створення та використання кодів для захисту інформації, то криптоаналіз – це наука про злам цих кодів. Криптологія – ширший термін, який охоплює обидва поняття. Простіше кажучи, криптографія займається створенням методів шифрування та дешифрування, тоді як криптоаналіз фокусується на розумінні того, як зламати ці методи.

Види криптографії

Криптографія буває різних видів, кожен з яких має свою мету та індивідуальність. По суті, всі види криптографії спрямовані на захист інформації. Але спосіб, у який вони це роблять, залежить від того, як використовуються ключі («секретні коди»).

Криптографія з симетричним ключем

Уявіть собі криптографію з симетричним ключем як замкнений щоденник, який відкривається і закривається одним ключем. Ви і ваш друг маєте один і той самий ключ, і саме так ви обмінюєтеся секретними повідомленнями. Той самий ключ використовується як для шифрування (скремблювання), так і для розшифрування (дешифрування) повідомлення.

Скажімо, Софія хоче відправити секретне повідомлення Назару. У них обох є спільний ключ, скажімо, пароль. Софія використовує цей ключ для шифрування повідомлення, а Назар – для його розшифрування. Деякі популярні схеми асиметричного шифрування – це Data Encryption Standard (DES), 3DES (Triple DES) і Advanced Encryption Standard (AES).

Криптографія з симетричним ключем є досить швидкою та ефективною. Якщо у вас великий обсяг даних, то цей тип шифрування є найбільш підходящим. Але головна проблема полягає в тому, що обидві сторони повинні мати однаковий ключ. Безпечний обмін цим ключем перед передачею даних може бути складним.

Криптографія з асиметричним ключем

Для цього типу шифрування уявіть собі замкнену поштову скриньку. Будь-хто може вкинути в неї листа, але відкрити її може лише той, у кого є ключ. Це ідея асиметричної криптографії, яку також називають криптографією з відкритим ключем. Кожна людина має два ключі: відкритий ключ (загальний для всіх) і закритий ключ (який тримається в таємниці).

Ви використовуєте чийсь відкритий ключ, щоб заблокувати повідомлення, але розблокувати його можна лише за допомогою закритого ключа. Якщо Софія хоче відправити Назару повідомлення, вона шифрує його за допомогою відкритого ключа Назара. Розшифрувати його може тільки Назар, тому що тільки він має відповідний закритий ключ. Коли ви відвідуєте захищений веб-сайт (https://), ваш браузер і сервер використовують криптографію з відкритим ключем для безпечного обміну ключами, перш ніж перейти до більш швидкого шифрування.

Криптографія з асиметричним ключем має перевагу над криптографією з симетричним ключем, оскільки вам не потрібно ділитися ключем заздалегідь. Це також допомагає перевірити, чи повідомлення надійшло від потрібної людини. Однак воно повільніше, ніж шифрування з симетричним ключем, і вимагає більшої обчислювальної потужності.

Хеш-функції

Хеш-функція – це як цифровий відбиток пальця для даних. Вона приймає будь-які вхідні дані, як от пароль, файл або електронний лист, і перетворює їх на рядок символів фіксованої довжини. Навіть незначна зміна у вхідних даних дає вам зовсім інше хеш-значення.

Але ось ключова частина: ви не можете повернути процес назад. Хеш є одностороннім. Неможливо повернутися до початкових даних. Скажімо, ви вводите свій пароль на сайті. Він не зберігається безпосередньо. Замість цього система зберігає хеш. Коли ви входите знову, ваш пароль хешується і порівнюється зі збереженим. Якщо вони збігаються, ви ввійшли.

Деякі поширені алгоритми хешування включають SHA-256, який створює 256-бітне хеш-значення, і MD5, який створює 128-бітне шістнадцяткове число. Хеш-функції широко використовуються для зберігання паролів, перевірки цілісності файлів і безпеки блокчейну.

Де використовується криптографія

Криптографія нас оточує. Якщо в інтернеті є місце, де потрібно захистити ваші дані, то, ймовірно, там використовується криптографія.

Безпека в Інтернеті (HTTPS, SSL/TLS)

Коли ви відвідуєте веб-сайт, який починається з https://, криптографія працює за лаштунками, забезпечуючи конфіденційність і безпеку з’єднання. Протоколи SSL/TLS використовують шифрування, щоб захистити ваші дані від хакерів під час передачі через Інтернет.

Програми для обміну повідомленнями

Ви коли-небудь помічали повідомлення з написом «Наскрізне шифрування» у вашому додатку для чату? Це означає, що лише ви та ваш співрозмовник можете читати повідомлення, навіть провайдер програми не може підглянути. Такі програми, як WhatsApp, Signal та iMessage, покладаються на надійне шифрування, щоб зберегти конфіденційність розмов.

Цифрові підписи та сертифікати

Криптографія допомагає підтверджувати особу в Інтернеті. Цифрові підписи підтверджують, що документ або повідомлення дійсно надійшли від конкретної особи і не були змінені. Аналогічно, SSL-сертифікати гарантують, що ви підключаєтеся до справжнього веб-сайту, а не до підробленого двійника.

Криптовалюта та блокчейн

Bitcoin, Ethereum та інші криптовалюти не існували б без криптографії. Транзакції захищені за допомогою шифрування з відкритим ключем, а блокчейн використовує криптографічні хеші, щоб гарантувати, що ніхто не зможе втрутитися в записи.

Захист даних у хмарі

Коли ви зберігаєте файли в хмарі, наприклад, на Google Drive або Dropbox, шифрування захищає ваші дані від несанкціонованого доступу. Навіть якщо хтось зламає сервер, зашифровані файли марні без ключа розшифровки.

Безпечна автентифікація

Входите за допомогою пароля? Це підтримується хешуванням і шифруванням. Додайте двофакторну автентифікацію (2FA), і криптографія знову вступає в гру, генеруючи безпечні коди, перевіряючи токени і захищаючи ваші облікові дані для входу.

Банківські операції та онлайн-платежі

Незалежно від того, чи використовуєте ви дебетову картку, Apple Pay або фінтех-додаток, криптографія гарантує, що ваша фінансова інформація залишиться приватною. Платіжні системи використовують шифрування та цифрові підписи для перевірки транзакцій і запобігання шахрайству.

Навіщо потрібна криптографія

Ми живемо у світі, де майже все – покупки, банківські операції, спілкування в чаті і навіть відмикання вхідних дверей – відбувається онлайн. Без криптографії вся ця інформація була б відкритою, як якщо б ви надіслали листівку замість запечатаного конверта. Криптографія захищає конфіденційні дані (наприклад, паролі, номери кредитних карток і особисті повідомлення) від хакерів, шахраїв і підслуховувачів.

Але справа не лише в секретності. Криптографія також гарантує, що інформація, яку ви надсилаєте або отримуєте, не була змінена в процесі передачі (цілісність даних), що людина, з якою ви маєте справу, є тією, за кого себе видає (автентифікація), і що такі дії, як підписання контракту або здійснення платежу, не можуть бути заперечені пізніше (неможливість відмови). Коротше кажучи, криптографія будує довіру, необхідну для функціонування в цифровому суспільстві, тихо працюючи у фоновому режимі, щоб забезпечити безпеку, конфіденційність і надійність.

Як працює шифрування

По суті, шифрування – це процес перетворення читабельних даних, які називаються відкритим текстом, на щось абсолютно нечитабельне, що називається зашифрованим текстом, так що тільки той, хто має правильний ключ, може повернути процес у зворотному напрямку і знову зрозуміти його зміст. Цей зворотний процес називається розшифруванням.

Уявіть собі шифрування, як замикання повідомлення в коробці. Вам потрібен ключ, щоб замкнути її, і ключ, щоб відкрити. Залежно від типу шифрування (пам’ятаєте симетричне та асиметричне?), ви можете використовувати один ключ для обох випадків або два різних.

Наприклад, у симетричному шифруванні Софія і Назар мають один і той самий ключ. Софія зашифровує повідомлення (шифрує його) і надсилає Назару, який розблоковує його (розшифровує), використовуючи той самий ключ. В асиметричному шифруванні Назар має відкритий і закритий ключі. Софія використовує відкритий ключ Назара для шифрування повідомлення. Розшифрувати його можна лише закритим ключем Назара, тому навіть якщо хтось перехопить повідомлення, він не зможе його розблокувати без цього закритого ключа.

Скажімо, ви робите покупки в інтернеті. Коли ви переходите на захищений сайт, ваш браузер і сайт роблять швидке закулісне рукостискання за допомогою асиметричного шифрування, щоб безпечно обмінятися спільним ключем. Після цього вони переходять на симетричне шифрування, щоб прискорити процес. Це гарантує, що все, що ви вводите, наприклад, дані кредитної картки, інформація про доставку, залишається конфіденційним від початку до кінця.

Отже, хоча шифрування може здатися магією, насправді це розумна математика, точна логіка і добре перевірені системи, які працюють разом, щоб захистити наше цифрове життя. І для більшості з нас найкраще те, що нам навіть не потрібно про це турбуватися. Це просто працює.

Дивовижно, як криптографія рятує нас щодня в нашому онлайн-житті, навіть без нашого втручання. Про неї ще багато чого можна дізнатися, наприклад, про пост-квантову криптографію.

Ця стаття Що таке криптографія і як вона працює? раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Сучасний цифровий світ наповнений термінами, які часто використовуються разом, але мають суттєві відмінності. Два таких терміни — автентифікація та авторизація. Ці процеси є ключовими для забезпечення безпеки даних у мережі, але виконують різні функції. У цій статті ми розберемося, що вони означають і в чому полягає їхня відмінність.

Що таке автентифікація?

Аутентифікація (authentication) — це процес, який перевіряє ідентичність особи або пристрою. Основна мета – підтвердити, що особа, яка надає облікові дані, дійсно є тією, за кого себе видає. Користувачі надають необхідний маркер безпеки для підтвердження своєї особи, який перевіряється за базою даних автентифікованих користувачів.

Автентифікація користувачів має вирішальне значення, оскільки часто є першим захистом від витоку даних і кібератак. Системи автентифікації мають кілька способів підтвердження особи користувача, зазвичай реалізуючи такі підходи, як багатофакторна автентифікація (MFA) або двофакторна автентифікація (2FA).

Користувач може надати три типи токенів безпеки для автентифікації:

• Те, що вони знають. Токени доступу, такі як ім’я користувача або пароль, які знає тільки користувач. Також може використовуватися персональна ідентифікаційна інформація (PII), особливо на таких платформах, як соціальні мережі.
• Те, що вони мають. Фізичний маркер доступу, такий як ключ-карта, бейдж безпеки або USB-ключ, також може використовуватися для підтвердження особи користувача. Ці токени зазвичай використовуються в середовищах, що вимагають високого рівня безпеки.
• Те, ким вони є. Більш суворі методи автентифікації можуть використовувати розпізнавання обличчя, біометричну автентифікацію та інші унікальні ідентифікатори, прив’язані до фізичних характеристик користувача. Цей метод зазвичай використовується для захисту високочутливих систем або місць з обмеженим доступом.

Як це працює?

1. Введення даних: Користувач вводить свої облікові дані, наприклад, логін і пароль.
2. Перевірка: Система порівнює введені дані із збереженою інформацією.
3. Доступ: Якщо дані збігаються, користувач проходить автентифікацію.

Приклади автентифікації

• Введення пароля або PIN-коду.
• Використання біометричних даних (відбиток пальця, скан обличчя).
• Одноразові коди (OTP), отримані через SMS або електронну пошту.
• Автентифікація за допомогою токенів або сертифікатів.

Читайте також: Що таке ключі допуску? Як відмова від пароля може спростити ваше життя у 2025 році

Що таке авторизація?

Авторизація (authorization) — це процес, який визначає дозволи автентифікованого користувача, коли він отримує доступ до системи. Авторизація необхідна, оскільки системи зазвичай вимагають декількох рівнів доступу. Різні користувачі потребують різних рівнів привілеїв для ефективного виконання своїх ролей або доступу до певних ресурсів і місць.

Основна мета авторизації – обмежити доступ користувачів на основі їхніх дозволів. Наприклад, кадрова система компанії може використовувати дозволи на основі ролей. Вона може надавати працівникам доступ лише до їхніх особистих справ, а менеджерам дозволяти переглядати дані про результати роботи їхньої команди.

Контроль доступу в системах авторизації зазвичай контролюється постачальниками автентифікації (наприклад, ІТ-відділом або службою безпеки компанії), які надають дозволи в рамках загальної стратегії безпеки організації.

Окрім контролю доступу, системи авторизації допомагають системним адміністраторам або адміністраторам сайтів підтримувати більш точний огляд того, як користувачі використовують свої привілеї доступу. Ця можливість необхідна для створення додаткових протоколів безпеки, таких як журнали доступу, щоб відстежувати, які користувачі отримують доступ до конфіденційних даних.

Як це працює?

1. Після автентифікації система перевіряє, до яких ресурсів чи функцій користувач має доступ.
2. Встановлюються обмеження або дозволи залежно від ролі чи статусу користувача.

Приклади авторизації

• Доступ до файлів лише для адміністраторів.
• Різні рівні доступу до програмного забезпечення (наприклад, перегляд документів, але без можливості редагування).
• Обмеження доступу до конфіденційної інформації залежно від посади.

Ключова різниця між автентифікацією та авторизацією

Основна відмінність між автентифікацією та авторизацією полягає в тому, що автентифікація перевіряє особу користувача для надання доступу, тоді як авторизація визначає рівні доступу користувача. Автентифікація визначає, чи може користувач увійти в систему, тоді як авторизація контролює, що користувач може робити в системі.

Автентифікація та авторизація завжди взаємопов’язані. Ніколи не варто обмежуватися лише автентифікацією користувача, оскільки різні користувачі потребують різних рівнів дозволів, особливо для областей або систем, що містять конфіденційну інформацію.

Як вони взаємопов’язані?

Автентифікація завжди передує авторизації. Без підтвердження особи (автентифікації) система не зможе визначити права доступу (авторизацію).

Наприклад:

• Коли ви входите у свій обліковий запис електронної пошти, спочатку проходите автентифікацію (вводите логін і пароль).
• Потім система визначає, які дії вам дозволені: читання листів, написання нових чи зміна налаштувань (авторизація).

Який процес простіший?

Автентифікація простіша, оскільки кілька методів (наприклад, багатофакторна автентифікація) можуть швидко підтвердити особу користувача. Адміністратори повинні авторизувати користувачів вручну, щоб гарантувати, що вони отримують доступ лише до того, що їм дозволено бачити.

Яким протоколам вони слідують?

Протоколи автентифікації відповідають стандарту OpenID Connect (OIDC), який дозволяє проводити однократні сеанси входу і стандартизує спосіб отримання користувачами доступу до систем.

Протоколи авторизації зазвичай використовують протокол OAuth 2.0, який підтримує OIDC, щоб надати користувачам доступ до декількох систем і додатків за допомогою одного автентифікованого запиту.

Чому важливо розуміти різницю?

Розуміння різниці між цими двома поняттями є важливим, оскільки кожна система вразлива до різних типів загроз. Усвідомлення їх відмінностей є одним з найефективніших способів зменшити ризики безпеки.

Знання відмінностей між автентифікацією та авторизацією допомагає:

• Забезпечити безпеку: Використання багатофакторної автентифікації знижує ризик несанкціонованого доступу.
• Керувати доступом: Розуміння прав доступу дозволяє налаштувати ефективну політику безпеки у системах.
• Розробляти надійні системи: Для розробників це знання є ключовим у створенні додатків, які відповідають вимогам безпеки.

Автентифікація та авторизація є важливими елементами безпеки в цифровому світі. Автентифікація відповідає на питання “хто ви?”, а авторизація — “що вам дозволено робити?”. Разом ці процеси забезпечують безпеку даних і контроль доступу у сучасних системах.

Забезпечте свої облікові записи надійними методами аутентифікації та авторизації, щоб захистити важливу інформацію!

Ця стаття Автентифікація та авторизація: у чому різниця? раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Такі браузери для Linux, як Konqueror, Falkon і Qutebrowser, більше не можуть використовуватися для авторизації в сервісах Google, оскільки не є достатньо надійними.

Коли компанія заблокувала перераховані вище браузери, невідомо, проте новини про це з’явилися на форумі Reddit нещодавно.

При спробі авторизуватися в сервісах через Konqueror і Falkon з’являється повідомлення з рекомендацією скористатися іншим браузером, оскільки Konqueror і Falkon можуть бути небезпечними, пише Bleeping Computer. У повідомленні є кнопка “Learn More”, натиснувши на яку, користувач потрапляє на сторінку техпідтримки Google.

Як повідомляється на сторінці, браузер міг бути заблокований з кількох причин:

• Ваш браузер не підтримує JavaScript або JavaScript в ньому вимкнений;
• У браузері використовуються небезпечні розширення;
• У браузері використовуються фреймворки для автоматичного тестування;
• Браузер впроваджений в іншу програму.

Однак деякі користувачі як і раніше можуть авторизуватися в сервісах Google через Falkon, що робить причини блокування браузерів ще більш незрозумілими. Деякі вважають, що компанія проводить тестування, пов’язані з різними версіями QtWebEngine або налаштуванням облікових записів. Сама Google поки ніяк не коментує блокування браузерів.

До речі, припинено діяльність потужного хакерського угруповання – у дата-центрі під Одесою правоохоронці виявили майже 150 серверів із тисячами хакерських ресурсів.

Також у 2020 році межа між фейками і правдою ставатиме ще більш розмитою завдяки використанню нових технологій, а перед численними смарт-будинками та розумними містами постане ряд проблем кібербезпеки. Компанія ESET представила щорічний прогноз розвитку загроз на найближчі 12 місяців.

Зверніть увагу, компанія Adobe випустила оновлення безпеки для чотирьох своїх широко використовуваних продуктів – Adobe Acrobat і Reader, Photoshop CC, ColdFusion і Brackets.

Цікаво, що Microsoft опублікувала звіт про тенденції шкідливого ПЗ і кібербезпеки в 2019 році, в якому також розповіла про зростання активності фішингових атак.

Стало відомо, що на Дніпропетровщині Служба безпеки України блокувала діяльність хакерського угруповання, організованого спецслужбами РФ для проведення кібератак на українські державні органи.

Якщо Ви купуєте товари в Інтернеті і хочете бути в безпеці, важливо вивчити сайт перш, ніж робити замовлення, і задатися головним питанням. Наскільки добре налагоджений захист покупців? Як здійснюється обробка претензій і повернення грошових коштів? На ці запитанні спробуємо відповісти у цій статті.

Ця стаття Google заблокувала браузери для Linux раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Випущене у вересні кумулятивне оновлення KB4515384 для Windows 10 (версія 1903 або May 2019 Update) “ламає” механізм авторизації в обліковому записі за допомогою PIN-коду.

Ця проблема не є новою, проте її повторне виникнення з виходом вересневих оновлень виявилося несподіванкою. Наприкінці минулого місяця компанія Microsoft випустила кумулятивне оновлення KB4512941, яке усувало неполадки з механізмом авторизації. Однак незрозуміло, чи то патч виявився неефективним, чи то проблема виникла знову, але з інших причин.

Відповідно до опису, оновлення KB4512941 виправляло помилку, через яку персональний ідентифікаційний номер (PIN) не з’являвся під час авторизації в Internet Explorer.

В цей час Microsoft, схоже, ще не знає про проблеми. Єдиний спосіб її вирішити – видалити весь вміст папки NGC, де зберігаються всі пов’язані з PIN-кодом налаштування. Користувачі рекомендують видалити вміст папки C:WindowsServiceProfileLocalServicesAppDataLocalMicrosoftNgc і перезавантажити систему.

До речі, Google представила можливість автоматичного створення резервних копій на Android, якою зможуть скористатися передплатники хмарного сервісу Google One.

Нагадаємо, Apple часто називала свою мобільну операційну систему однією з найбільш захищених і безпечних, але хакерам вже вдалося знайти серйозну уразливість в одній з останніх бета-версій iOS 13.

Також багато людей вважають, ніби програмні продукти Apple безпечніші, ніж інші, однак, як показують дані телеметрії за перше півріччя 2019 року, “яблучна” екосистема все більше цікавить кіберзлочинців.

Стало відомо, що зловмисники можуть використовувати справжні файли Microsoft Teams для виконання шкідливого ​​навантаження за допомогою підробленої папки встановлення.

У “пісочниць” від VMware, Comodo та Microsoft, схоже, з’явилася альтернатива від Sophos – Sandboxie. Тепер вона безкоштовна – виробник виклав код у загальний доступ.

Нещодавно дослідники з кібербезпеки виявили існування нової та раніше не виявленої критичної вразливості на SIM-картах, яка могла б давати можливість віддаленим зловмисникам компрометувати цільові мобільні телефони та шпигувати за жертвами, лише надсилаючи SMS.

Зверніть увагу, кількість шкідливих програм і виявлених вразливостей на платформі iOS значно зросла. Про це свідчать дані звіту компанії ESET щодо актуальні загрози для власників мобільних пристроїв Apple.

Нові iPhone у майбутньому матимуть не лише новий дизайн, але й підекранний сканер відбитків пальців. Однак, як стало відомо, Apple працює над абсолютно новим способом біометричної ідентифікації для своїх пристроїв.

Після того, як на Вашому смартфоні оселиться вірус, він починає “поводитись дивно”. Є ряд непрямих ознак, які свідчать про те, що Ваш девайс містить небажане програмне забезпечення. З цієї статті Ви дізнаєтесь, як без спеціальних програм знайти та видалити його.

Ця стаття Останнє оновлення Windows 10 містить помилку авторизації раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Cybercalm неодноразово писав про безпеку користування поштовими сервісами. Однак надійність захисту email залежить не лише від складності та унікальності пароля до облікового запису.

Фахівці компанії ESET радять: щоб уберегти поштову скриньку від сучасних загроз, необхідно також забезпечити захист вмісту повідомлення під час їх передачі, перевірку вмісту листів на наявність посилань на шкідливі сайти та спам, аутентифікацію та авторизацію для безпечного доступу до облікових записів, а також цілісність та функціональність поштової програми.

Захистити вміст

Ваші листи можуть легко опинитися під контролем зловмисників. Тому існує кілька додаткових рівнів захисту вмісту та процесу відправки повідомлень. Одним з найпоширеніших видів є шифрування листів на транспортному рівні, який забезпечує безпеку повідомлення в процесі передачі через Інтернет. Даний метод схожий на вкладення листа в конверт, тобто можна побачити звідки та куди направляється повідомлення, проте його зміст можна побачити тільки після відкриття так званого “конверта”

Інший метод захисту пошти — повне шифрування даних. Сутність даного методу полягає в тому, що повідомлення шифрується у відправника, а розшифровується в одержувача, при цьому в процесі передачі воно має зашифрований вигляд.

Вберегти від спаму

Досить часто через електронну скриньку поширюється спам та інфіковані повідомлення, які містять шкідливе програмне забезпечення. Тому для захисту пошти від великої кількості небажаних та шкідливих електронних листів більшість поштових серверів мають “чорний” список відомих відправників спаму та фішингу. Також можна фільтрувати повідомлення за типом вкладення або дозволяти відправлення тільки від перевірених джерел. Багато організацій, щоб забезпечити захист пошти своїх користувачів, перевіряють повідомлення на наявність шкідливих програм і вірусів, перш ніж вони поширяться через мережу.

Аутентифікація та авторизація

Зловмисники часто використовують простий метод для поширення загроз через електронну пошту — маскування шкідливих листів під легітимні. Однак існують способи обмежити цю діяльність, хоч поки вони недостатньо поширені. Зокрема, ці методи допомагають перевіряти справжність вмісту повідомлення та контролювати користувачів і облікові записи, яким дозволено відправляти повідомлення з домену Вашої організації.

Використання аутентифікації та авторизації є важливою частиною управління поштовим сервером, як і швидке видалення екаунтів або, принаймні, зміна паролів облікових записів, які більше не використовуються. Наприклад, це стосується екаунтів, що раніше належали співробітникам, які більше не працюють в компанії.

Багатофакторна аутентифікація — це один з найефективніших рівнів захисту пошти та доступу до облікових записів. Ідентифікація особистості здійснюється за допомогою одноразового ключа, який відправляється в SMS-повідомленні. Багатофакторна аутентифікація забезпечує захист пошти та є важливою частиною процесу входу в електронну скриньку або в мережу.

Оновити систему

Також для посилення захисту електронної скриньки важливо регулярно оновлювати програмне забезпечення, зокрема, операційну систему, а також додаток або браузер, які Ви використовуєте для доступу до електронної пошти. Це допоможе усунути уразливості, які дозволяють зловмисникам отримати доступ до Ваших електронних листів. Тому потрібно налаштувати автоматичне оновлення в програмному забезпеченні, операційній системі або безпосередньо на сайті постачальника.

Нагадаємо, величезну базу даних із майже 773 мільйонами унікальними адресами електронної пошти та понад 21,2 мільйона паролів “злили” у Мережу хакери.

Перевірити, чи не потрапив Ваш екаунт до витоків баз даних із паролями під назвою “Collection #1” можна на сайті haveibeenpwned.com.

Ця стаття Безпека пошти: що потрібно зробити для захисту від кіберзлочинців? раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар