Kako napadalci dejansko Hack računov Online in kako se zaščititi
Ljudje govorijo o tem, da so njihovi spletni računi »hekirani«, toda kako se to zgodilo? Dejstvo je, da so računi razcepljeni na dokaj preprost način - napadalci ne uporabljajo črne magije.
Znanje je moč. Razumevanje, kako so računi dejansko ogroženi, vam lahko pomaga zavarovati račune in preprečiti, da bi bila vaša gesla »vdrla«..
Ponovna uporaba gesel, zlasti razpoka
Veliko ljudi - morda celo večina ljudi - ponovno uporabi gesla za različne račune. Nekateri ljudje lahko celo uporabljajo isto geslo za vsak račun, ki ga uporabljajo. To je zelo negotovo. Mnoge spletne strani - celo velike, znane, kot so LinkedIn in eHarmony - so imele v zadnjih nekaj letih svoje baze podatkov o geslih. Zbirke podatkov o geslih, ki so ušli, skupaj z uporabniškimi imeni in e-poštnimi naslovi so dostopne na spletu. Napadalci lahko preizkusijo te e-poštne naslove, uporabniška imena in kombinacije gesel na drugih spletnih mestih in pridobijo dostop do številnih računov.
Ponovna uporaba gesla za vaš e-poštni račun vas še bolj ogroža, saj lahko vaš e-poštni račun uporabite za ponastavitev vseh drugih gesel, če je napadalec dostopal do njega.
Ne glede na to, kako dobro ste zaščitili gesla, ne morete nadzorovati, koliko dobro varovana gesla uporabljajo storitve, ki jih uporabljate. Če znova uporabite gesla in eno podjetje zdrsne navzgor, bodo vsi vaši računi ogroženi. Povsod morate uporabljati različna gesla - pri tem vam lahko pomaga upravitelj gesel.
Keyloggers
Keyloggers so zlonamerni kosi programske opreme, ki lahko delujejo v ozadju, beleženje vseh ključnih udarcev, ki jih naredite. Pogosto se uporabljajo za zajemanje občutljivih podatkov, kot so številke kreditnih kartic, gesla za spletno bančništvo in druge poverilnice računa. Te podatke nato pošljejo napadalcu prek interneta.
Takšna zlonamerna programska oprema lahko pride preko zgledov - na primer, če uporabljate zastarelo različico Jave, saj je večina računalnikov na internetu, lahko ogrozite z apletom Java na spletni strani. Vendar pa lahko pridejo tudi prikrite v drugo programsko opremo. Na primer, za spletno igro lahko prenesete orodje tretje osebe. Orodje je lahko zlonamerno, zajema geslo za igro in ga pošilja napadalcu prek interneta.
Uporabite dostojni protivirusni program, posodabljajte programsko opremo in se izogibajte prenosu nepoverljive programske opreme.
Socialni inženiring
Napadalci pogosto uporabljajo tudi trike za socialni inženiring za dostop do vaših računov. Lažno predstavljanje je splošno znana oblika socialnega inženiringa - napadalec pooseblja nekoga in zahteva vaše geslo. Nekateri uporabniki zlahka prenesejo svoja gesla. Nekaj primerov socialnega inženiringa:
- Prejeli ste e-poštno sporočilo, ki naj bi izhajalo iz vaše banke in vas usmerilo na ponarejeno bančno spletno stran in vas prosilo, da izpolnite geslo.
- Prejmete sporočilo na Facebooku ali kateri koli drugi družbeni spletni strani od uporabnika, ki trdi, da je uradni račun Facebooka, in vas prosi, da pošljete svoje geslo, da se boste lahko overili.
- Obiščete spletno stran, ki vam obljublja, da vam da nekaj dragocenega, kot so brezplačne igre na paru ali brezplačno zlato v World of Warcraft. Spletna stran potrebuje vaše uporabniško ime in geslo za storitev.
Bodite previdni pri tem, kdo ste dali svoje geslo - ne kliknite povezav v e-poštnih sporočilih in pojdite na spletno mesto svoje banke, ne dajajte gesla vsakomur, ki vas kontaktira in ga zahteva, in ne dajte poverilnic za račun nezaupljiv spletnih strani, zlasti tistih, ki se zdijo predobre, da bi bile resnične.
Odgovor na varnostna vprašanja
Gesla lahko pogosto ponastavite z odgovorom na varnostna vprašanja. Varnostna vprašanja so na splošno izjemno šibka - pogosto stvari, kot so »Kje ste se rodili?«, »V katero srednjo šolo ste bili?« In »Kako je bilo dekliško ime vaše matere?«. Te informacije je pogosto zelo enostavno najti na javno dostopnih spletnih mestih za družabno mreženje, večina običajnih ljudi pa bi vam povedala, v katero srednjo šolo so hodili, če so bili vprašani. S tem lahko pridobite informacije napadalci pogosto ponastavijo gesla in pridobijo dostop do računov.
V idealnem primeru bi morali uporabiti varnostna vprašanja z odgovori, ki jih ni mogoče zlahka odkriti ali uganiti. Spletna mesta morajo ljudem preprečiti dostop do računa samo zato, ker poznajo odgovore na nekaj varnostnih vprašanj, nekateri pa - vendar nekateri še vedno ne.
E-poštni račun in ponastavitve gesel
Če napadalec uporabi katero od zgornjih metod za dostop do vaših e-poštnih računov, ste v večjih težavah. Vaš e-poštni račun običajno deluje kot vaš glavni račun na spletu. Vsi drugi računi, ki jih uporabljate, so povezani z njim, in vsakdo, ki ima dostop do e-poštnega računa, ga lahko uporabi za ponastavitev gesel na poljubnem številu spletnih mest, ki ste jih registrirali z e-poštnim naslovom.
Zato morate čim bolj zaščititi svoj e-poštni račun. Še posebej je pomembno, da uporabite edinstveno geslo in ga skrbno pazite.
Kaj geslo »Hekiranje« ni
Večina ljudi verjetno predstavljata napadalce, ki poskušajo vsa možna gesla prijaviti v svoj spletni račun. To se ne dogaja. Če ste se poskušali prijaviti v nekdo spletni račun in nenehno ugibati gesla, bi se upočasnili in preprečili, da bi poskusili več kot peščico gesel.
Če je napadalec zmožen vstopiti v spletni račun samo z ugibanjem gesel, je verjetno, da je bilo geslo nekaj očitnega, kar bi lahko uganili v prvih nekaj poskusih, kot je »geslo« ali ime osebe.
Napadalci so lahko uporabljali samo takšne metode, če imajo lokalni dostop do vaših podatkov - na primer, recimo, da ste shranili šifrirano datoteko v računu Dropboxa, napadalci pa so dobili dostop do njih in prenesli šifrirano datoteko. Nato bi lahko poskušali brutalizirati šifriranje, v bistvu poskušali vsako kombinacijo gesla, dokler se ne začne delati.
Ljudje, ki trdijo, da so bili njihovi računi »hekirani«, so verjetno krivi za ponovno uporabo gesel, namestitev ključavnice ali dajanje poverilnic napadalcu po trikah socialnega inženiringa. Morda so bila ogrožena tudi zaradi preprosto ugibanih varnostnih vprašanj.
Če sprejmete ustrezne varnostne ukrepe, vaših računov ne boste mogli preprosto „krampiti“. S pomočjo dvokomponentne avtentikacije lahko pomagate tudi - napadalec potrebuje več kot le geslo za vstop.
Zasluge za sliko: Robbert van der Steeg na Flickr, asenat na Flickr