8Sep
Az emberek arról beszélnek, hogy online fiókjaik "feltörtek", de hogy pontosan hogyan történik ez a hackelés? A valóság az, hogy a számlákat meglehetősen egyszerű módon csapják be - a támadók nem használnak fekete mágiát.
A tudás hatalom. A fiókok tényleges veszélyeztetésének megértése segíthet a fiókok biztonságossá tételében, és megakadályozhatja, hogy jelszavait elsőként "feltörje".
Jelszavak újrafelhasználása, különösen szivárgott
Sok ember - talán még a legtöbb ember - újra felhasználja a különböző fiókok jelszavát. Vannak, akik ugyanazt a jelszót használhatják minden általuk használt fiókhoz. Ez rendkívül bizonytalan. Számos weboldal - még a nagy, híresek is, mint a LinkedIn és az eHarmony - az elmúlt években szivárgották jelszóadatbázisukat. A kiszivárgott jelszavak adatbázisai a felhasználónevekkel és az e-mail címekkel együtt könnyen elérhetők az interneten. A támadók megpróbálhatják ezeket az e-mail címeket, felhasználóneveket és jelszavakat kombinálni más webhelyeken, és hozzáférhetnek számos fiókhoz.
Az e-mail fiókhoz tartozó jelszó újbóli felhasználása még inkább veszélybe sodorja, mivel az e-mail fiókot az összes többi jelszó visszaállítására használhatja, ha a támadó hozzáférést kapott.
Azonban jó a jelszavaid védelme, nem tudja ellenőrizni, hogy az általad használt szolgáltatások mennyire biztonságosak a jelszavakra. Ha újra felhasználja a jelszavakat, és egy vállalat elcsúszik, az összes fiókja veszélyben lesz. Mindenhol különböző jelszavakat kell használnia - a jelszókezelő segíthet ezzel.
Keyloggers
A keyloggerek olyan rosszindulatú szoftverek, amelyek a háttérben futhatnak, és minden kulcsütemezést naplózanak. Gyakran használják az érzékeny adatokat, például a hitelkártya számokat, az online banki jelszavakat és más fiókok hitelesítő adatait. Ezeket az adatokat az interneten keresztül egy támadónak továbbítják.
Az ilyen rosszindulatú programok a kizsákmányolásokon keresztül érkezhetnek - például ha egy Java elavult verziót használ, mivel az internet legtöbb számítógépe van, akkor egy weboldalon lévő Java-appleten keresztül kompromittálódhat. Azonban más szoftverekbe álcázottak is. Például letölthet egy harmadik féltől származó eszközt az online játékhoz. Az eszköz rosszindulatú lehet, rögzítheti a játék jelszavát és elküldheti a támadónak az interneten keresztül.
Használjon egy tisztességes víruskereső programot, tartsa frissítve a szoftverét, és kerülje el a megbízhatatlan szoftver letöltését.
Social Engineering
A támadók a közösségi számítástechnikai trükköket is használják. Az adathalászat a szociális tervezés legelterjedtebb formája - lényegében a támadó valaki felidézi a felhasználót, és kéri a jelszavát. Néhány felhasználó könnyen átadja a jelszavát.Íme néhány példa a szociális tervezésre:
- E-mailt kap, amely azt állítja, hogy a bankodból származik, és irányít egy hamis bank weboldalára, és megkéri, hogy töltse ki jelszavát.
- Ön üzenetet kap Facebook-on vagy bármely más szociális weboldalon egy olyan felhasználótól, aki azt állítja, hogy hivatalos Facebook-fiók, és kéri, hogy küldje el a jelszavát a hitelesítéshez.
- Látogasson el egy olyan webhelyre, amely ígéretet tesz arra, hogy valami értékes dolgot, például ingyenes játékokat a Steam vagy a szabad arany a World of Warcraft. Ahhoz, hogy megkapja ezt a hamis jutalmat, a weboldal megköveteli felhasználónevét és jelszavát a szolgáltatáshoz.
Legyen óvatos, hogy ki adta meg a jelszavát - ne kattintson e-mailben lévő linkekre, és ne menjen a bank webhelyére, ne adja el jelszavát bárkinek, aki kapcsolatba lép Önnel és kéri, és ne adjon meg fiókjának hitelesítő adataitbizonytalan weboldalak, különösen azok, amelyek túl jónak tűnnek ahhoz, hogy igazak legyenek.
Biztonsági kérdések megválaszolása
A jelszavak gyakran visszaállíthatók a biztonsági kérdések megválaszolásával. A biztonsági kérdések általában hihetetlenül gyengeek - gyakran olyan dolgok, mint például: "Hol született?", "Milyen középiskolát mentél?" És "Mi volt az anyád leánykora?".Gyakran könnyű megtalálni ezeket az információkat a nyilvánosan elérhető közösségi oldalakon, és a legtöbb normális ember azt mondja meg, hogy milyen középiskolába mentek, ha megkérdezték őket. Ezzel az egyszerűen elérhető információval a támadók gyakran visszaállíthatják a jelszavakat, és hozzáférhetnek a fiókokhoz.
Ideális esetben olyan biztonsági kérdéseket kell használnia, amelyek nem feltétlenül fedezhetők fel vagy találhatók. A weboldalaknak meg kell akadályozniuk az embereknek, hogy hozzáférjenek a fiókhoz, csak azért, mert tudják a válaszokat néhány biztonsági kérdésre, és néhányan - de néhány még mindig nem.
E-mail fiók és jelszó visszaállítása
Ha egy támadó a fenti módszerek valamelyikét használja az e-mail fiókokhoz való hozzáféréshez, nagyobb bajban vagy. Az e-mail fiók általában a fő fiókként működik az interneten. Minden más fiók, amelyhez használod, hozzá van kapcsolva, és bárki, aki hozzáfér az e-mail fiókhoz, felhasználhatja azt a jelszavak visszaállítására bármely olyan webhelyen, amelyet regisztráltak az e-mail címmel.
Ezért biztosítsa az e-mail fiók lehető legnagyobb mértékű védelmét. Különösen fontos, hogy egyedi jelszót használjunk rá, és gondosan őrizzük.
Milyen jelszó "hackelés" nem
A legtöbb ember valószínűleg el tudja képzelni a támadókat, hogy minden egyes lehetséges jelszót megpróbáljanak az online fiókjukba bejelentkezni. Ez nem történik meg. Ha megpróbáltál bejelentkezni valakinek az internetes fiókjába, és továbbra is kitaláltad a jelszavakat, lassítanád és megakadályoznod, hogy több mint egy marék jelszót próbálj ki.
Ha egy támadó csak jelszavakat kitalálva tudott bejutni egy online fiókba, valószínűleg a jelszó valami nyilvánvaló volt, amit az első néhány próbálkozásnál lehetett találni, például a "jelszó" vagy a személy kedvence neve.
A támadók csak olyan brute-force módszereket használhatnak, ha helyi hozzáférést kaptak az adataikhoz - például azt mondják, hogy titkosított fájlt tárolt a Dropbox-fiókjában, és a támadók hozzáférést kaptak, és letöltötték a titkosított fájlt. Ezután megpróbálhatnák a titkosítás kényszerítését, lényegében minden egyes jelszó kombinációt megpróbálva, amíg az egyik nem működik.
Azok az emberek, akik azt mondják, hogy fiókjaikat "feltörték", valószínűleg bűnösnek találják a jelszavak újrafelhasználását, kulcsfontosságú naplózást telepítenek, vagy felajánlják hitelesítő adataikat a támadónak a szociális technikai trükkök után. A könnyen kitalált biztonsági kérdéseket is veszélybe sodorhatják.
Ha megfelelő biztonsági óvintézkedéseket hajt végre, akkor nem lesz könnyű "becsapni" a fiókjaidat. A kétfaktoros hitelesítés is segíthet - a támadónak többre lesz szüksége, mint a jelszavához.
Image Credit: Robbert van der Steeg a Flickr-en, a Flickr