Kako je netko dobio moju lozinku?

Jeste li ikada primili e-poštu s iznudom da vam kažu da je vaše računalo hakirano i upozorava vas da će, ako ne platite, objaviti videozapise intimne prirode na cijeli vaš popis kontakata? Je li e-pošta sadržavala vašu staru lozinku kao 'dokaz' da su njihove tvrdnje istinite? Jeste li se pitali kako su dobili vašu lozinku?

Što je krađa identiteta?

Statistički gledano, ovo je vjerojatno bilo iz phishing e-pošte. 2018. godine 93% svih kršenja na globalnoj razini započelo je napadom krađe identiteta ili pretvaranja.

Phishing e-adrese izuzetno su česte i vrlo učinkovite. Koriste emocije poput straha i srama (u e-porukama o iznudi ili u "oglasima za poboljšanje muškog spola"), hitnosti (to moj šef sada treba!) Ili pohlepi (osvojio sam novi automobil ??).

Mogu se poslati i putem tekstualnih poruka (SMiShing), glasa (vishing), e-pošte (phishing) i krađe identiteta na društvenim mrežama.

Što se više ljudi prilagodi, hakeri se više mijenjaju kao odgovor - njihova se taktika neprestano razvija.  

Obično phishing e-adrese sadrže vezu ili privitak. Jednom kada kliknete vezu ili otvorite privitak, oni mogu instalirati zlonamjerni softver na vaš uređaj ili vas prevariti da unesete svoje vjerodajnice na lažnu web lokaciju (koja izgleda poput stvarne web stranice). Zlonamjerni softver provjerit će može li iskoristiti neprimjenjene ranjivosti kako bi instalirao više zlonamjernog softvera na vaš sustav (koji zatim može ukrasti lozinke, instalirati keyloggere kako bi zabilježio sve vaše pritiske tipki - a samim tim i vaše lozinke - i tako dalje).

Nakon što vam haker ukrade vjerodajnice, može učiniti stvari poput eksfiltriranja vaših osobnih financijskih podataka ili podataka o računu ili podataka vaših kupaca ako se to dogodi na uređaju vaše korporacije.

Phishing u cijelosti zaslužuje vlastiti članak, pa ako ste zainteresirani za učenje phishinga, pogledajte ovaj članak.

Kako možete spriječiti da phishing utječe na vas?

Obrana od krađe identiteta također je teška. Kao pojedinac, najbolje što možete učiniti je biti oprezan pri otvaranju e-pošte - budite oprezni prema e-porukama koje se poigravaju vašim osjećajima, traže od vas brze odluke ili vam se čini predobro da bi bilo istinito.

Pripazite na neobične pošiljatelje (prepoznajete li osobu koja vam šalje e-poštu? Je li to ista adresa e-pošte koju su prije koristili?) Ili neočekivane veze ili privitke. Ako niste sigurni je li e-pošta legitimna, potvrdite je s pošiljateljem putem drugog načina komunikacije.

Također biste trebali koristiti antivirusni softver i softver za zaštitu krajnjih točaka. Verzija koja se plaća bolja je od besplatne, jer se ažurira kad se identificira novi zlonamjerni softver. Ali besplatna verzija je obično bolja od ničega. Sviđaju mi ​​se Malwarebytes za prijenosna računala.

Sigurnosni timovi upotrijebit će bezbroj alata:

  • mehanizmi za filtriranje e-pošte koji pokušavaju smanjiti phishing i neželjenu e-poštu koja dolazi do ulaznih sandučića korisnika,
  • mjere poput SPF-a, DKIM-a i DMARC-a koje mogu pomoći u provjeri autentičnosti e-pošte koja govori istinu o tome odakle je došla,
  • trening za podizanje svijesti korisnika,
  • i mehanizmi zaštite krajnje točke.

Mehanizmi zaštite krajnje točke mogu se kretati od jednostavnih antivirusnih programa do agenata instaliranih na svakom uređaju. Oni će pokušati spriječiti pokretanje poznatog zlonamjernog softvera, prepoznati neobično ponašanje i spriječiti pokretanje zlonamjernih procesa upozoravanjem sigurnosnog operativnog tima ili prisiljavanjem programa da napusti program.

Na taj način, čak i ako e-pošta prođe kroz filtre, a korisnik ne primijeti ništa loše, zaštita krajnje točke spriječit će zlonamjerni softver da stvarno ne ošteti stroj.

Kako je inače netko mogao dobiti moju lozinku?

Često kada haker provali tvrtku, prodavat će korisnička imena i lozinke koje su dobili na tamnoj mreži.

Surface Web: Što možete pronaći na Googleu ili drugim popularnim tražilicama. Ovo je vjerojatno većina onoga što smatrate internetom. U usporedbi s mrežom deep, ovo je vrlo mali dio informacija koji je 'online'. Dubinski web: podaci koji su mrežni, ali ih Google i drugi popularni preglednici ne indeksiraju (mogu pretraživati). To su informacije poput onih sadržanih u vladinim ili sveučilišnim bazama podataka. Te su informacije često skrivene iza platnog zida ili drugog ograničenja. Tamna mreža:Tamni web zahtijeva određene preglednike, poput 'TOR preglednika'. Neki od ovih sadržaja, iako ne svi, ilegalni su. Ovo je mjesto na kojem se kriminalci okupljaju kako bi razgovarali na forumima, prodavali ilegalne usluge i robu, a ponekad se i aktivisti koji žive pod represivnim režimom okupljaju kako bi komunicirali.

Ako ste ponovno upotrebljavali lozinke i korisnička imena između različitih web stranica (pogotovo jer se vaša e-pošta vjerojatno koristi kao vaše korisničko ime za mnoge web stranice), haker bi možda već imao vaše korisničko ime i lozinku.

Tada će haker izvršiti nešto što se naziva "punjenje vjerodajnica". Punjenje vjerodajnica je kada napadač uzme ta korisnička imena i lozinke i uključi ih u automatiziranu 'provjeru računa' koja u osnovi pokušava kombinaciju korisničkog imena i lozinke na mnogim, mnogo različitih web lokacija na internetu, od prijava na društvenim mrežama do bankovnih računa. Ako lozinka radi, haker sada ima pristup računu i može isprazniti račun, prodati podatke itd.

Za bolji opis pogledajte XKCD-ov strip u nastavku.

Kako se branite od punjenja vjerodajnica?

Nemojte ponovno koristiti lozinke. Upotrijebite upravitelj lozinki poput 1Password ili LastPass. KeePass je (po mom mišljenju) manje prilagođen korisnicima, ali je besplatan!

Upravitelji lozinki mogu sigurno pohraniti vaše lozinke i često imaju proširenja preglednika i aplikacije, tako da mogu automatski ispuniti vaše lozinke na mnogim računima. Osim toga, na ovaj način morate upamtiti samo jednu glavnu lozinku. Ali vaša glavna lozinka sada omogućuje pristup svim ostalim lozinkama, zato budite sigurni da je vrlo jaka!

Oni vam također mogu pomoći da automatski generirate vrlo jake lozinke, a neki čak imaju i trezore kako biste mogli pohraniti druge osjetljive podatke (podatke o bankovnom računu, podatke o osiguranju itd.).

Osobno koristim 1Password jer mi se sviđa opcija obiteljskog računa - ako bilo tko u vašoj obitelji ikad bude zaključan, netko drugi može resetirati lozinku svog računa (ali neće imati pristup vašem pojedinačnom trezoru).

Također možete postaviti besplatna upozorenja s programom Jesam li bio pod nadzorom. Ova web stranica prikuplja podatke iz kršenja podataka i pruža potrošačima mogućnost da se koriste tim podacima kako bi se zaštitili. Možete prijeći na karticu 'Obavijesti me' na vrhu i unijeti svoju adresu e-pošte.

Nakon što potvrdite adresu e-pošte koju ste unijeli (na kojoj će se nalaziti vaša trenutna izloženost), web-mjesto će vam poslati e-poštu svaki put kad vaša e-pošta sudjeluje u povredi podataka. Odnosno, na svako kršenje na kojem je web lokacija upozorena - pokrivenost je vrlo dobra, ali niti jedan izvor neće sadržavati svako propušteno kršenje podataka. Na taj način možete samo promijeniti lozinku na koju utječe i neće se morati brinuti hoće li ona utjecati na bilo koji drugi vaš račun.

Ako radite na sigurnosti velike organizacije, izvrsna je ideja za upravljanje lozinkom za tvrtke (iste tvrtke navedene gore pružaju ove usluge), kao i snažna pravila o lozinkama (koja obvezuju da vaši zaposlenici koriste dovoljno jake lozinke). Have I Been Pwned također ima uslugu koja vlasniku domene omogućuje praćenje kršenja koja uključuju bilo koju e-poštu na domeni (i to besplatno!).

Kako inače hakeri dobivaju lozinke?

Postoji nekoliko drugih mogućnosti - surfanje ramenom ili u osnovi gledanje upisivanja lozinke - iako je to malo vjerojatno s obzirom na to da vas osoba mora fizički promatrati.

Zatim tu je krađa lozinki koje su zapisane ili samo slike zapisanih lozinki koje su vidljive na fotografijama. Opet, ovo je mnogo manje vjerojatno od bilo koje od gore navedenih opcija, jer obično dolazi od ciljanog napada (koji je u osnovi rjeđi od zločina oportuniteta).

Izbjegavanje ove dvije stvari prilično je jednostavno - nemojte dopustiti da vas netko gleda kako unosite lozinku i nemojte zapisivati ​​lozinku. Umjesto toga upotrijebite upravitelj lozinki! Ako to jednostavno morate zapisati, spremite ga negdje gdje netko vjerojatno neće pretraživati ​​ili slučajno pronaći. Predložio bih dno kutije s tamponima. Mnogo sigurnije od ljepljive bilješke na vašem monitoru.

Čini se da je stvarno lako biti hakiran. Trebam li biti zabrinut?

Najvažnije što trebate upamtiti kod hakiranja je da nitko ne želi raditi više posla nego što mora. Na primjer, provaliti u kuću kako bi ukrali bilježnicu s lozinkom puno je teže nego poslati phishing e-poštu s drugog kraja svijeta. Ako postoji lakši način za dobivanje lozinke, vjerojatno će to prvo pokušati podli glumac.

To znači da je omogućavanje osnovnih praksi o kibernetskoj sigurnosti vjerojatno najlakši način za sprečavanje hakiranja. Zapravo je Microsoft nedavno izvijestio da će samo omogućavanje dvofaktorske provjere autentičnosti na kraju blokirati 99,9% automatiziranih napada.  

Dakle, omogućite 2FA, upotrijebite upravitelj lozinki za automatsko generiranje dugih, složenih, jedinstvenih lozinki za svaki račun i razmislite prije nego što kliknete! Izbjegavajte klikanje na pretpostavljene ili neočekivane veze i privitke i budite na oprezu.