8Sep
As pessoas falam sobre suas contas online serem "pirateadas", mas como exatamente isso acontece? A realidade é que as contas são pirateadas de maneiras bastante simples - os atacantes não usam magia negra.
O conhecimento é poder. Compreender como as contas estão efetivamente comprometidas pode ajudá-lo a proteger suas contas e evitar que suas senhas sejam "pirateadas" em primeiro lugar.
Reutilizando senhas, especialmente vazadas
Muitas pessoas - talvez até a maioria das pessoas - reutilizem senhas para diferentes contas. Algumas pessoas podem até usar a mesma senha para cada conta que usam. Isso é extremamente inseguro. Muitos sites - até mesmo grandes, bem conhecidos como LinkedIn e eHarmony - tiveram seus bancos de dados de senha vazados nos últimos anos. Bancos de dados de senhas vazadas, juntamente com nomes de usuários e endereços de e-mail, são facilmente acessíveis on-line. Os atacantes podem tentar essas combinações de endereço de e-mail, nome de usuário e senhas em outros sites e obter acesso a muitas contas.
Reutilizar uma senha para sua conta de e-mail coloca você ainda mais em risco, pois sua conta de e-mail pode ser usada para redefinir todas as suas outras senhas se um invasor tiver obtido acesso a ela.
Por mais bom que você esteja em proteger suas senhas, você não pode controlar o quão bem os serviços que você usa protegem suas senhas. Se você reutilizar senhas e uma empresa deslizar, todas as suas contas estarão em risco. Você deve usar diferentes senhas em todos os lugares - um gerenciador de senhas pode ajudar com isso.
Keyloggers
Keyloggers são peças maliciosas de software que podem ser executadas em segundo plano, registrando cada golpe de tecla que você faz. Eles costumam ser usados para capturar dados confidenciais, como números de cartão de crédito, senhas bancárias on-line e outras credenciais de conta. Eles então enviam esses dados para um invasor pela internet.
Tal malware pode chegar através de explorações - por exemplo, se você estiver usando uma versão desactualizada do Java, como a maioria dos computadores na Internet são, você pode ser comprometido através de um applet Java em uma página da Web. No entanto, eles também podem chegar disfarçados em outro software. Por exemplo, você pode baixar uma ferramenta de terceiros para um jogo online. A ferramenta pode ser maliciosa, capturar a senha do seu jogo e enviá-la para o atacante pela Internet.
Use um programa decente de antivírus, mantenha seu software atualizado e evite baixar software não confiável.
Social Engineering
Os atacantes também usam geralmente truques de engenharia social para acessar suas contas. O phishing é uma forma comummente conhecida de engenharia social - essencialmente, o atacante personifica alguém e pede sua senha. Alguns usuários entregam suas senhas com prontidão. Aqui estão alguns exemplos de engenharia social:
- Você recebe um e-mail que afirma ser do seu banco, dirigindo você para um site bancário falso e pedindo que você preencha sua senha.
- Você recebe uma mensagem no Facebook ou em qualquer outro site social de um usuário que afirma ser uma conta oficial do Facebook, pedindo que você envie sua senha para autenticar-se.
- Você visita um site que promete dar-lhe algo valioso, como jogos gratuitos em Steam ou ouro grátis no World of Warcraft. Para obter essa recompensa falsa, o site requer seu nome de usuário e senha para o serviço.
Tenha cuidado com quem você forneceu sua senha - não clique em links em e-mails e vá para o site do seu banco, não dê sua senha para quem entrar em contato com você e solicita isso e não forneça as credenciais da sua contasites não confiáveis, especialmente aqueles que parecem muito bons para serem verdadeiros.
Respondendo Perguntas de segurança
As senhas podem ser reativadas por meio de perguntas de segurança. As perguntas de segurança geralmente são incrivelmente fracas - muitas vezes, como "Onde você nasceu?", "Em que escola você escolheu?", E "Qual era o nome de solteira da sua mãe?".Muitas vezes, é muito fácil encontrar esta informação em sites de redes sociais acessíveis ao público, e a maioria das pessoas normais diria o que o ensino médio foi para se eles fossem perguntados. Com esta informação fácil de obter, os invasores geralmente podem redefinir senhas e obter acesso a contas.
Idealmente, você deve usar perguntas de segurança com respostas que não são facilmente descobertas ou adivinhadas. Os sites também devem impedir que as pessoas tenham acesso a uma conta apenas porque sabem as respostas a algumas perguntas de segurança, e algumas fazem - mas algumas ainda não.
Conta de e-mail e restituições de senha
Se um invasor usa qualquer um dos métodos acima para obter acesso às suas contas de e-mail, você está com problemas maiores. Sua conta de e-mail geralmente funciona como sua conta principal on-line. Todas as outras contas que você usa estão ligadas a ela, e qualquer pessoa com acesso à conta de e-mail pode usá-la para redefinir suas senhas em qualquer número de sites que você registrou no endereço de e-mail.
Por este motivo, você deve proteger sua conta de e-mail o máximo possível.É especialmente importante usar uma senha exclusiva para isso e guardá-lo com cuidado.
O que a senha "Hacking" não é
A maioria das pessoas provavelmente imagina que os atacantes tentam cada senha possível para fazer logon em sua conta online. Isso não está acontecendo. Se você tentou acessar a conta on-line de alguém e continuou a adivinhar senhas, você ficaria mais lento e impedido de tentar mais do que um punhado de senhas.
Se um invasor pudesse entrar em uma conta on-line apenas adivinhando senhas, é provável que a senha seja algo óbvia que possa ser adivinhada nas primeiras tentativas, como "senha" ou o nome do animal de estimação da pessoa.
Os atacantes só podiam usar esses métodos de força bruta se tivessem acesso local aos seus dados - por exemplo, digamos que você estava armazenando um arquivo criptografado em sua conta Dropbox e os invasores obtiveram acesso a ele e baixaram o arquivo criptografado. Eles poderiam então tentar brutar-forçar a criptografia, essencialmente tentando cada combinação de senha única até que uma funcione.
As pessoas que dizem que suas contas foram "hackeadas" são provavelmente culpadas de reutilizar senhas, instalar um registrador de chaves ou dar suas credenciais a um invasor após truques de engenharia social. Eles também podem ter sido comprometidos como resultado de perguntas de segurança facilmente adivinhadas.
Se você tomar as devidas precauções de segurança, não será fácil "cortar" suas contas. A utilização de autenticação de dois fatores também pode ajudar - um invasor precisará de mais do que sua senha para entrar.
Crédito da imagem: Robbert van der Steeg no Flickr, asenat no Flickr