Кибербезопасность: 2FA и PGP не дают заработать на фишинге Гидры

Тема мошеннических ссылок и фейковых страниц Гидры заполонила интернет в конце 2019 года и продолжает оставаться актуальной и в 2020. Проблема с поиском официальной страницы всё еще наблюдается в поисковых системах всемирной сети.Несмотря на это, торговая площадка психоактивных веществ на настоящем сайте Гидры успешно продолжает работать и развиваться. Активное противодействие мошенникам осуществляется руководством наркопортала, магазинами портала и покупателями. И если со стороны администрации Гидры в целом всё понятно, то со стороны магазинов и покупателей противодействие осуществляется за счёт двух механизмов: двухфакторная аутентификация и электронная подпись PGP.

Слово о двухфакторке

Механизм двухфакторной аутентификации предназначен для защиты аккаунтов пользователей, к которым он подключен, от атак методом перебора паролей — брутфорса. При подключении двухфакторной аутентификации в личном кабинете на Гидре, пользователь получает специальную ссылку, которую необходимо скопировать или ввести в приложение Google-Authenticator. Эта ссылка содержит специальный алгоритм генерации случайного шестизначного кода, время жизни которого составляет 30 секунд. Этот алгоритм синхронизирован по конкретному часовому поясу, что предотвращает его использование в другом часовом поясе. Сгенерированная ссылка в личном кабинете доступна только во время подключения двухфакторной аутентификации. После подтверждения и успешного ввода сгенерированного кода приложением Google-Authenticator, эта ссылка удаляется навсегда. Восстановить её невозможно, и подключить тот же самый алгоритм на другое устройство возможно только если, например, скопировать сгенерированную ссылку в блокнот.

Таким образом, механизм двухфакторной аутентификации предотвращает взлом аккаунта обычными способами: даже если злоумышленники подберут логин и пароль к личному кабинету, 30 секунд не хватит, чтобы подобрать одноразовый шестизначный код двухфакторной аутентификации. В случае неверного ввода этого кода несколько раз подряд, аккаунт пользователя блокируется до выяснения обстоятельств.

PGP ключи

Электронная подпись PGP работает иначе. PGP представляет собой механизм ассиметричного шифрования, как правило с использованием протокола RSA с длиной ключа 1024, 2048 или 4096 бит, или протокола IDEA. Соответственно, как и любой протокол ассиметричного шифрования, создавая цифровую подпись, пользователь генерирует пару открытый ключ/закрытый ключ. Открытый ключ передаётся собеседникам для шифрования им передаваемых пользователю сообщений, а закрытый ключ используется для дешифрации сообщений, зашифрованных открытым ключом.

Касательно Гидры, механизм PGP обеспечивает защиту пользователей от мошенничества следующим образом: аккаунт можно защитить, добавив цифровую подпись PGP. Это возможно сделать только один раз, удалить подпись нельзя. Такая мера принята во избежание подмены мошенниками цифровой подписи при краже аккаунта. Также, в самом аккаунте нигде не отображается текст закрытого ключа, что, опять-таки, не позволяет мошенникам использовать данный цифровой ключ. Более того, закрытый ключ даже не загружается на сайт. Это сделано для того, чтобы даже у администрации не было даже теоретической возможности получить несанкционированный доступ к аккаунту.

Проверка на мошенничество

После установки цифровой подписи, открытым ключом магазина можно воспользоваться, отправив зашифрованное им сообщение магазину. Если магазин находится в руках мошенников, они не смогут правильно расшифровать сообщение и ответить на него. Более того, цифровую подпись можно использовать для восстановления доступа к аккаунту. Фактически, это единственный способ восстановить доступ к аккаунту, однако даже им не получится постоянно пользоваться: администрация Гидры крайне требовательна к безопасности на своей площадке и в случае частой утери доступа к аккаунту, он в итоге будет заблокирован безвозвратно. Более того, стоит отметить, что услуга восстановления доступа не бесплатна.

Более подробное описание механизмов работы двухфакторной аутентификации и PGP можно найти в интернете по соответствующим запросам.