Jak atakujący faktycznie Hack Accounts online i jak się chronić
Ludzie mówią o "hakowaniu" ich kont internetowych, ale jak dokładnie to się dzieje? W rzeczywistości konta hakowane są w dość prosty sposób - atakujący nie używają czarnej magii.
Wiedza to potęga. Zrozumienie, w jaki sposób konta faktycznie zostały naruszone, może pomóc zabezpieczyć konta i zapobiec "hakowaniu" haseł w pierwszej kolejności.
Ponowne użycie haseł, w szczególności nieszczelnych
Wiele osób - może nawet większość ludzi - używa haseł do różnych kont. Niektóre osoby mogą używać tego samego hasła do każdego konta, z którego korzystają. Jest to wyjątkowo niepewne. Wiele stron internetowych - nawet dużych, znanych takich jak LinkedIn i eHarmony - miało w ciągu ostatnich kilku lat swoje bazy danych haseł. Bazy wycieków haseł wraz z nazwami użytkowników i adresami e-mail są łatwo dostępne online. Atakujący mogą wypróbować te adresy e-mail, nazwy użytkownika i kombinacje haseł na innych stronach internetowych i uzyskać dostęp do wielu kont.
Ponowne użycie hasła do konta e-mail naraża Cię jeszcze bardziej na ryzyko, ponieważ Twoje konto e-mail może zostać użyte do zresetowania wszystkich innych haseł, jeśli napastnik uzyskał do niego dostęp.
Jakkolwiek dobrze zabezpieczasz swoje hasła, nie możesz kontrolować, w jaki sposób usługi, z których korzystasz, zabezpieczają twoje hasła. Jeśli ponownie użyjesz haseł, a jedna firma zerwie się, wszystkie Twoje konta będą zagrożone. Powinieneś używać różnych haseł wszędzie - może ci w tym pomóc menedżer haseł.
Keyloggery
Keyloggery to złośliwe programy, które mogą działać w tle, rejestrując każdy kluczowy ruch. Są często używane do przechwytywania poufnych danych, takich jak numery kart kredytowych, hasła bankowości internetowej i inne dane uwierzytelniające konta. Następnie wysyłają te dane do atakującego przez Internet.
Takie złośliwe oprogramowanie może dotrzeć przez exploity - na przykład, jeśli używasz przestarzałej wersji Javy, ponieważ większość komputerów w Internecie jest zagrożona, możesz zostać zaatakowany przez aplet Javy na stronie internetowej. Mogą jednak przybyć ukryte w innym oprogramowaniu. Na przykład możesz pobrać narzędzie innej firmy do gry online. Narzędzie może być złośliwe, przechwytuje hasło do gry i wysyła je do atakującego przez Internet.
Używaj porządnego programu antywirusowego, aktualizuj oprogramowanie i unikaj pobierania niegodnego oprogramowania.
Inżynieria społeczna
Atakujący często używają sztuczek inżynierii społecznej, aby uzyskać dostęp do swoich kont. Phishing to powszechnie znana forma inżynierii społecznej - w istocie atakujący podszywa się pod kogoś i prosi o podanie hasła. Niektórzy użytkownicy chętnie podają swoje hasła. Oto kilka przykładów inżynierii społecznej:
- Otrzymujesz e-mail z informacją, że jesteś z banku, kierując cię na fałszywą stronę banku i prosząc o wypełnienie swojego hasła.
- Otrzymujesz wiadomość na Facebooku lub jakiejkolwiek innej stronie społecznościowej od użytkownika, który twierdzi, że jest oficjalnym kontem na Facebooku, z prośbą o wysłanie hasła, aby się uwierzytelnić.
- Odwiedzasz stronę internetową, która obiecuje ci coś cennego, na przykład darmowe gry na Steam lub darmowe złoto w grze World of Warcraft. Aby uzyskać tę fałszywą nagrodę, strona internetowa wymaga nazwy użytkownika i hasła do usługi.
Uważaj na to, komu podajesz hasło - nie klikaj linków w wiadomościach e-mail i nie odwiedzaj witryny swojego banku, nie ujawniaj hasła nikomu, kto się z tobą kontaktuje i żąda tego, i nie podawaj poświadczeń swojego konta niewiarygodnemu strony internetowe, szczególnie te, które wydają się zbyt piękne, aby mogły być prawdziwe.
Odpowiedzi na pytania dotyczące bezpieczeństwa
Hasła można często resetować, odpowiadając na pytania bezpieczeństwa. Pytania dotyczące bezpieczeństwa są generalnie niewiarygodnie słabe - często takie rzeczy jak "Gdzie się urodziłeś?", "Do jakiego liceum się udałeś?" I "Jakie było panieńskie nazwisko matki?". Często bardzo łatwo jest znaleźć te informacje na ogólnodostępnych portalach społecznościowych, a większość normalnych osób powie Ci, do jakiego liceum poszli, gdyby zostali zapytani. Dzięki tej łatwej do zdobycia informacji osoby atakujące często mogą resetować hasła i uzyskiwać dostęp do kont.
Najlepiej byłoby używać pytań bezpieczeństwa z odpowiedziami, które nie są łatwe do wykrycia lub odgadnięcia. Witryny powinny również uniemożliwiać użytkownikom dostęp do konta tylko dlatego, że znają odpowiedzi na kilka pytań bezpieczeństwa, a niektórzy - ale niektórzy nadal nie.
Konto e-mail i reset hasła
Jeśli osoba atakująca zastosuje którąś z powyższych metod w celu uzyskania dostępu do kont e-mail, masz większe problemy. Twoje konto e-mail ogólnie działa jako główne konto online. Wszystkie inne konta, z których korzystasz, są z nim powiązane, a każdy, kto ma dostęp do konta e-mail, może go użyć do zresetowania haseł do dowolnej liczby witryn, które zarejestrowałeś przy użyciu adresu e-mail.
Z tego powodu najlepiej zabezpiecz swoje konto e-mail. Szczególnie ważne jest, aby używać unikalnego hasła i uważnie go strzec.
Jakie hasło "hakowanie" nie jest
Większość ludzi prawdopodobnie wyobraża sobie, że atakujący próbują każdego możliwego hasła, aby zalogować się na swoje konto online. Tak się nie dzieje. Jeśli próbowałeś zalogować się na czyjeś konto online i nadal zgadywałeś hasła, zwolniłbyś i nie próbowałbyś więcej niż garści haseł.
Jeśli atakujący mógł uzyskać dostęp do konta online tylko przez zgadywanie haseł, prawdopodobnie hasło było oczywiste, co można było odgadnąć podczas kilku pierwszych prób, na przykład "hasło" lub imię zwierzęcia danej osoby.
Atakujący mogą używać takich metod brutalnej siły tylko wtedy, gdy mają lokalny dostęp do twoich danych - na przykład, powiedzmy, że przechowujesz zaszyfrowany plik na swoim koncie Dropbox, a napastnicy uzyskali do niego dostęp i pobrali zaszyfrowany plik. Mogliby wtedy spróbować brutalnie wymusić szyfrowanie, zasadniczo próbując każdej kombinacji hasła, dopóki nie zadziała.
Użytkownicy, którzy twierdzą, że ich konta zostały "zhakowane", najprawdopodobniej ponoszą winę za ponowne użycie haseł, zainstalowanie klucza rejestrującego lub przekazanie swoich danych uwierzytelniających atakującemu po sztuczkach inżynierii społecznej. Mogą również zostać naruszone w wyniku łatwych do odgadnięcia pytań bezpieczeństwa.
Jeśli podejmiesz odpowiednie środki ostrożności, nie będzie łatwo "zhakować" twoich kont. Pomocne może być również uwierzytelnianie dwuskładnikowe - osoba atakująca będzie potrzebować czegoś więcej niż tylko hasła.
Image Credit: Robbert van der Steeg na Flickr, asenat na Flickr