Ludzie mówią o "hakowaniu" ich kont internetowych, ale jak dokładnie to się dzieje? W rzeczywistości konta są hakowane w dość prosty sposób - atakujący nie używają czarnej magii.
Wiedza to potęga. Zrozumienie, w jaki sposób konta faktycznie zostały naruszone, może pomóc w zabezpieczeniu kont i zapobiec "hakowaniu" haseł.
Wiele osób - może nawet większość ludzi - ponownie korzysta z haseł do różnych kont. Niektóre osoby mogą używać tego samego hasła do każdego konta, z którego korzystają. Jest to wyjątkowo niepewne. Wiele stron internetowych - nawet dużych, znanych takich jak LinkedIn i eHarmony - w ciągu ostatnich lat wyciekło z baz danych haseł. Bazy wycieków haseł wraz z nazwami użytkowników i adresami e-mail są łatwo dostępne online. Atakujący mogą wypróbować te adresy e-mail, nazwy użytkowników i kombinacje haseł na innych stronach internetowych i uzyskać dostęp do wielu kont.
Ponowne użycie hasła do konta e-mail naraża Cię jeszcze bardziej na ryzyko, ponieważ Twoje konto e-mail może zostać użyte do zresetowania wszystkich innych haseł, jeśli atakujący uzyskał do niego dostęp.
Jakkolwiek dobrze zabezpieczasz swoje hasła, nie możesz kontrolować, jak dobrze zabezpieczają twoje hasła. Jeśli ponownie użyjesz haseł, a jedna firma zerwie się, wszystkie Twoje konta będą zagrożone. Powinieneś używać różnych haseł wszędzie - może ci w tym pomóc menedżer haseł.
Keyloggery to złośliwe programy, które mogą działać w tle, rejestrując każdy kluczowy ruch. Są często używane do przechwytywania poufnych danych, takich jak numery kart kredytowych, hasła bankowości internetowej i inne dane uwierzytelniające konta. Następnie wysyłają te dane do atakującego przez Internet.
Takie złośliwe oprogramowanie może dotrzeć przez exploity - na przykład, jeśli używasz przestarzałej wersji Javy, ponieważ większość komputerów w Internecie jest zagrożona, możesz zostać naruszony przez aplet Javy na stronie internetowej. Mogą jednak przybyć ukryte w innym oprogramowaniu. Na przykład możesz pobrać narzędzie innej firmy do gry online. Narzędzie może być złośliwe, przechwytuje hasło do gry i wysyła je do atakującego przez Internet.
Użyj porządnego programu antywirusowego, aktualizuj oprogramowanie i unikaj pobierania niegodnego oprogramowania.
Atakujący często używają sztuczek inżynierii społecznej, aby uzyskać dostęp do swoich kont. Phishing to powszechnie znana forma inżynierii społecznej - w istocie atakujący podszywa się pod kogoś i prosi o podanie hasła. Niektórzy użytkownicy łatwo podają swoje hasła. Oto kilka przykładów inżynierii społecznej:
Uważaj na to, komu podajesz hasło - nie klikaj linków w e-mailach i nie odwiedzaj witryny swojego banku, nie ujawniaj hasła nikomu, kto się z tobą kontaktuje i go żąda, i nie podawaj poświadczeń swojego konta nierzetelnemu strony internetowe, szczególnie te, które wydają się zbyt piękne, aby mogły być prawdziwe.
Hasła można często resetować, odpowiadając na pytania bezpieczeństwa. Pytania dotyczące bezpieczeństwa są generalnie niewiarygodnie słabe - często takie rzeczy jak "Gdzie się urodziłeś?", "Do jakiego liceum poszedłeś?" I "Jakie było panieńskie nazwisko matki?". Często bardzo łatwo jest znaleźć te informacje na ogólnodostępnych portalach społecznościowych, a większość normalnych osób powie Ci, do jakiego liceum doszli, jeśli zostali zapytani. Dzięki tej łatwej do zdobycia informacji osoby atakujące często mogą resetować hasła i uzyskiwać dostęp do kont.
Najlepiej byłoby używać pytań bezpieczeństwa z odpowiedziami, które nie są łatwe do wykrycia lub odgadnięcia. Witryny powinny również uniemożliwiać użytkownikom uzyskanie dostępu do konta tylko dlatego, że znają odpowiedzi na kilka pytań bezpieczeństwa, a niektórzy to robią - ale niektórzy nadal nie.
Jeśli osoba atakująca zastosuje którąś z powyższych metod w celu uzyskania dostępu do kont e-mail, masz większe problemy. Twoje konto e-mail zazwyczaj działa jako główne konto online. Wszystkie inne konta, z których korzystasz, są z nim powiązane, a każdy, kto ma dostęp do konta e-mail, może go użyć do zresetowania haseł w dowolnej liczbie witryn, które zarejestrowałeś przy użyciu adresu e-mail.
Z tego powodu należy zabezpieczyć swoje konto e-mail tak bardzo, jak to możliwe. Szczególnie ważne jest, aby użyć unikalnego hasła i uważnie go strzec.
Większość ludzi prawdopodobnie wyobraża sobie, że atakujący próbują każdego możliwego hasła, aby zalogować się na swoje konto online. Tak się nie dzieje. Jeśli próbowałeś zalogować się na czyjeś konto online i kontynuowałeś zgadywanie haseł, zwolniłbyś i nie próbowałbyś więcej niż garści haseł.
Jeśli atakujący mógł uzyskać dostęp do konta online tylko przez zgadywanie haseł, prawdopodobnie hasło było oczywiste, co można było odgadnąć podczas kilku pierwszych prób, na przykład "hasło" lub imię zwierzęcia danej osoby.
Atakujący mogliby używać takich metod brutalnej siły, gdyby mieli lokalny dostęp do twoich danych - na przykład, powiedzmy, że przechowujesz zaszyfrowany plik na koncie Dropbox, a napastnicy uzyskali do niego dostęp i pobrali zaszyfrowany plik.Mogliby wtedy spróbować brutalnie wymusić szyfrowanie, zasadniczo próbując każdej kombinacji hasła, dopóki nie zadziała.
Użytkownicy, którzy twierdzą, że ich konta zostały "zhakowane", najprawdopodobniej ponoszą winę za ponowne użycie haseł, zainstalowanie klucza rejestrującego lub przekazanie swoich danych uwierzytelniających atakującemu po sztuczkach inżynierii społecznej. Mogą również zostać naruszone w wyniku łatwych do odgadnięcia pytań bezpieczeństwa.
Jeśli podejmiesz odpowiednie środki ostrożności, nie będzie łatwo "zhakować" twoich kont. Pomocne może być też uwierzytelnianie dwuskładnikowe - aby uzyskać dostęp, intruz musi mieć więcej niż tylko hasło.
Image Credit: Robbert van der Steeg na Flickr, asenat na Flickr
