Contents
IOTA暗号通貨で400万ドルを盗む
詐欺師は、IOTAオンラインキージェネレーターを作成しました。
ハッカーは巧妙なフィッシングを使用して暗号通貨、400万ドルを盗んだのです。

ハッカーがフィッシングサイトを作成し、2018年1月19日までの6か月間運用された後、攻撃者は計画を実行しました。
彼はフィッシングサイトを使用して、暗号通貨ウォレットの秘密鍵を被害者から収集し、1日で無事にクリアしました。
ハッキングの時点で、攻撃者が盗んだIOTA暗号通貨の費用は約394万ドルでした。
他の暗号通貨と同様に、ユーザーがIOTAウォレットを作成すると、ランダムな文字列(文字と数字)が生成されます。
これは、認証用の公開ウォレットアドレスと、パスワードを作成するために使用されるキーです。
IOTAウォレットを作成する場合、ユーザーは81文字のキーを入力する必要があります。
ランダムな文字から、文字列を生成する方法はいくつかあります。
たとえば、オンラインジェネレーターを使用すると、詐欺師はきちんとした金額を稼ぐ可能性について考えるようになりました。
2017年8月、詐欺師はiotaseed.ioドメインを登録し、それをIOTAのキージェネレーターとして宣伝しました。
暗号通貨のユーザーは、ほとんどが未知のサイトを警戒しているため、攻撃者はそれをリポジトリに結び付け、まるでリポジトリのコードがサイトで実行されているかのようにした。
実際、セキュリティ研究者のアレックス・スタダーが発見したように、ハッカーはGitHubリポジトリからほぼ同じコードを起動しました。
わずかに変更されたNotifier.jsライブラリを使用して、追加のコードをロードしました。
その結果、サイトで生成されたIOTAキーが直接詐欺師の手に渡りました。
攻撃者は大量のトラフィックをサイトに送信することにより、Googleの検索結果で人為的にトラフィックを引き上げました。
1月19日、すべてのキーが収集され、彼はユーザーの財布にアクセスし資金を送金しました。
同時に、IOTAネットワークノードはDDoS攻撃を受けていたため、開発者はそれを反映するのに忙しく、不審なトランザクションには注意を払いませんでした。
詐欺師は、GoritHub・RedditおよびQuoraアカウントが既に削除されている、Norbertvdbergの偽名の下にいる人物であることが判明しました。
IOTAは、DAG(有向非巡回グラフ)に基づくオープンソース暗号通貨、DLT(分散型元帳)であり、モノのインターネットのデバイス間で、データと支払いを安全かつ効率的に転送するために設計されています。
IOTAは、 デビッド・ゾンネベ 、セルゲイ・イヴァンチェグロ、ドミニク・シャイナー、セルゲイ・ポポフの博士4名によって2015年に作成されました。
1400万人のロシア人のデータにアクセスした

1月29日月曜日、ユーザーの代わりにNoraQという仮名のもと、HabrahabrのWebサイトに興味深い出版物が掲載されました。
ハッカーは教育と科学の監督のための連邦サービス、Rosobrnadzorのウェブサイトをハッキングし、1400万人のロシア人のデータにアクセスすることができました。
NoraQによると、ハッキングは何もせずに実行され、事故が発生しました。
研究者は、Rosobrnadzorのウェブサイトで卒業証書の真正性を検証するためのフォームを開き、その分野に「あらゆる種類のナンセンス」を導入し始めました。
結局のところ、1フィールドの1つを導入するとSQLインジェクションにつながるのです。
研究者は適切なコマンドをサーバーに送信し、データベースにアクセスすることができました。
NoraQがフィールドに1を入力したとき、予期せず応答を受け取りました。
クエリの一部も表示されていたため、研究者はこれがSELECTクエリであると提案しました。
NoraQは、phpスクリプトで記述されたリクエストのアクションを無効にし、変数を使用して自分で挿入しました。
要求を無効にするために、研究者は不可能な条件を追加し、その後の行にコメントしました。
しかし、ドキュメントが見つからないというメッセージが表示されました。
NoraQは不可能な条件の代わりに明白な条件を設定しようとしましたが、やはり役に立たなかったのです。
次に、要求されたデータベースデータと、その数を決定することにしました。
データベースのシステムとバージョンを学習した研究者は、データベースに含まれるテーブルと列も決定しました。
データベースの構造を知っているNoraQは、Pythonスクリプトを記述し、彼の意見では最も興味深いデータをダウンロードしました。
卒業証書に関する情報に加えて、表には生年月日と国籍に関するデータが含まれていました。
番号と一連のパスポートのフィールドも発見されましたが、それらは空白であることが判明しました。
複雑なパスワードを思いつくには?

情報は常に保護されてきた最も価値のある知識の1つであり、コンピューター技術の時代は例外となっています。
個人情報へのアクセスは、さまざまな種類のトラブルにつながる可能性があり、評判や財務状況に悪影響を及ぼす可能性があります。
すべて、データの種類と攻撃者がそれを、どのように使用するかによって異なります。
情報へのアクセスを制限し、それによって貴重な情報を侵入者から保護するには、パスワードの作成の問題に責任を持って取り組む必要があります。
この記事では、複雑なパスワードを考え出す方法と、自分で忘れないようにする方法についての実践的な推奨事項をいくつか紹介します。
パスワードを作成
パスワードを作成するときは、氏名、生年月日、お気に入りの映画の名前、車のブランド、ペットの名前など、簡単にアクセスできる情報を使用しないことを強くお勧めします。
異なるサイトで同じパスワードを使用しない
異なるサイトで同じパスワードを使用することはできません。
これは非常に安全ではありません。
データ漏洩の恐れがあります。
最近、インターネットは主要なリークの報告でいっぱいです。
このようなことが起こった場合、侵害されたパスワードが使用されていた他のリソースが、攻撃される可能性があります。
攻撃者は興味のあるデータに、自由にアクセスできるようになります。
ハッカー対策
ハッカーが辞書から取得できる、単純なパスワードは使用できません。
複雑なパスワード
複雑なパスワードを考え出すためそれを覚えて、単語やフレーズを考えて、それを数字や特殊文字で補って、文字を書くのに別のケースを使ってください。
例として、「フォトレポート」という単語をラテン語のアルファベットに翻訳すると、「ajnjhtgjhnf;」という形のデザインになりますが、このようなパスワードはクラックに耐性がないため、これでは不十分です。
「フォトエッセイ」という単語に複数の数字、特殊文字を追加し、別のレジスタを使用して文字を書く場合、可能な組み合わせの1つは次のようになります。
「phO @ tor1Epo6rTazh」とラテンアルファベット「aJ @ njh1Tgj6hNf;」です。

上記の推奨事項に従うことで、安全性を大幅に向上させることができます

公開鍵
公開鍵は非対称暗号化技術の要素の1つです。
これは、システムのすべてのユーザー(インターネットバンキングなど)に知られていますが、ドキュメントの暗号化のみに独立して使用できます。
それらを開くには、秘密鍵を持ち、特別な数学的アルゴリズムに関連付けられた秘密鍵が必要です。

非対称暗号化による署名
最新の電子署名技術では、2つのキーがペアで機能することが示唆されています。
公開
これは、システムのすべてのユーザーが知っているキーです。
それを使用して、ドキュメントのコンテンツを暗号化し、それによって彼らの作成者を確認し、ファイルのコンテンツを不正な編集から保護します。
公開鍵の意味はラッチに似ています。
ドアの施錠方法はよく知られているか、アクセスしやすいため、誰でもドアをロックできます。
ただし、適切なキーペアしか持っていないユーザーは後でそれを開くことができます。
クローズ
これは、電子署名で認証された着信ファイルを、復号化するために使用される文字のシーケンスです。
これは、ラッチを開くことができる唯一のキーです。
トークンに格納され、その所有者だけが知っています。
会社または個人がトークンを受け取ると、標準のキーパスワードが提供されます。
これは、作業を開始する前に、独自の一意のパスワードに変更する必要があります。
公開鍵と秘密鍵の間には、数学的な関係があります。
システムは、電子署名を解読できる文字の、組み合わせを選択することです。
証明書の有効期間と等しい比較的短い期間では、不可能になるように設計されています。
原則として、この時間間隔は1年で、その後鍵の再生成が必要です。
公開鍵は、攻撃者によって傍受され、秘密鍵のペアである別のものに置き換えられる可能性があるため、公開チャネルを介して送信することはできません。
これにより、電子署名で認証された文書の内容を第三者が閲覧・編集できるようになります。
公開鍵メカニズム
非対称暗号化技術におけるクライアントとサーバー間の相互作用は、次のアルゴリズムに基づいています。
•クライアントは、公開鍵によって作成された電子署名を使用して認証されるメッセージファイルを生成します。
•サーバーはメッセージを受信し、秘密鍵でメッセージを復号化して、クライアントに独自の一意の識別子を送信します。
•クライアントはそれを受信し、代わりにそれを送信します。
これは、ユーザーがサーバーにアクセスするたびに実行される相互認証が行われる方法です。
公開鍵と秘密鍵を併用すると、高レベルのセキュリティを提供できます。
個別のセッション番号がクライアントに割り当てられるため、他のユーザーと区別することができます。
このシステムは、以下の可能なリスクから保護します。
•情報漏えい(署名によって認証されたドキュメントは、侵入者によって開かれて検査されることはありません)。
•別のサイトにリダイレクトする(このフィッシングはオンライン詐欺の一種です)。
•攻撃者によるメッセージの傍受、およびその後の不正な編集。
ドキュメントの電子署名は、作成者の一種の仮想パスポートです。
暗号化により、ファイルの作成者が特定の人物であることを確認し、第三者による変更や読み取りからファイルを保護できます。
これは、機密情報を交換する企業にとって緊急の必要性であり、悪意のある人物がビジネスに重大な損害を与える可能性があります。
コメント
2要素認証
yubikeyやauthy
が必要