Video: Ako si zmeniť meno a heslo na WiFi (November 2024)
Pri každom nedávnom útoku na Evernote, Facebook, Twitter a ďalšie zúčastnené spoločnosti rýchlo poukázali na to, že heslá zostávajú bezpečné. Informácie o používateľovi však majú svoj vlastný život a účinky útoku na jednotlivca je možné pocítiť už dlho po skončení útoku.
Útoky, ktoré sme videli
Zvyčajne budete počuť, keď dôjde ku kompromitácii veľkej spoločnosti. Je to niečo, čo je stále bezpečné, informácie o platbách, heslá boli zašifrované, ale ďalšie informácie boli prístupné. Zvyčajne to zahŕňa používateľské mená a e-maily.
Pre väčšinu z nás sa to nemusí zdať nebezpečné. Koniec koncov, neustále rozdávame svoje vlastné e-maily - dokonca ich uverejňujeme online. Existujú však riziká pre používateľov, ktorým bolo vystavené aj toto malé množstvo informácií.
Derek Halliday, vedúci produktového manažéra v oblasti zabezpečenia mobilných telefónov v službe Lookout, vysvetlil spoločnosti SecurityWatch, ako môžu tieto informácie získať ciele používateľov. „Informácie o účte môžu byť použité na potenciálne umožnenie spearphishingu, pretože poskytujú niektoré jedinečné kontextové informácie o ľuďoch - spôsob, ako ich kontaktovať, “ uviedol. „A skutočnosť, že sa v určitom okamihu zaregistrovali na konkrétnu službu.“
Z tohto dôvodu legitímne e-mailové upozornenia často pripomínajú používateľom, ktorým mohli byť vystavené informácie, že nikto nikdy nebude požadovať heslo. Ak hacker vie, že používate Evernote (napríklad), je krátkou prácou vytvoriť správu, ktorá sa zdá byť od spoločnosti Evernote, a odoslať ju na e-mailovú adresu, ktorú používate na správu svojho účtu. Možno vás vyzve, aby ste zadali svoje heslo alebo informácie o platbe, alebo vás možno oklamú kliknutím na škodlivý odkaz.
„Videli sme kybernetických zločincov, ktorí sú ochotní angažovať sa v„ dlhom období, “povedal Mark Risher, spoluzakladateľ a výkonný riaditeľ spoločnosti Impermium. „Viacstupňový útok, ktorý presahuje priame zhromažďovanie citlivých údajov.“
„Keď zločinci preniknú na účet v sociálnej sieti, môžu často nájsť osobné údaje, ktoré pridávajú legitimitu spearphishingu, “ pokračoval Risher, ktorý ako jeden z týchto osobných údajov uviedol združenie absolventov. Vysvetlil, že toto by sa mohlo použiť na odomknutie funkcie „tajnej otázky“ - ktorá sa niekedy pýta, aký je váš školský maskot alebo meno vášho prvého miláčika - na inej webovej stránke.
Najhorší prípad
Chester Wisniewski, hlavný bezpečnostný poradca v Sophose, uviedol, že hoci Evernote a ďalšie nedávno kompromitované webové stránky zabezpečili svoje heslá kryptografickými hashmi a náhodnými „soľnými“ údajmi, nie všetci používatelia môžu byť chránení. Vysvetlil, že ak si používatelia vyberú slabé alebo bežné heslá, „pravdepodobne ich zločinci majú“.
Ak je k dispozícii obmedzená informácia, je možné stále získať ľahšie heslá. „Zločinci budú hašovať tie najjednoduchšie a so zvyškom sa nemusia obťažovať, “ povedal Wisniewski.
Pre niektorých zločincov stačí získať prístup k účtom na sociálnych sieťach, ako je Facebook alebo Twitter. Niektorí ju využívajú ako príležitosť na zarobenie peňazí pokusom o šírenie škodlivého softvéru. Podnikavejší útočníci sa môžu pokúsiť použiť odomknuté heslo na odomknutie účtu webovej pošty.
„Často hľadajú poštu z banky používateľa; v tejto banke často existuje funkcia„ Zabudol som svoje heslo “, ktorá sa spolieha výlučne na prístup k e-mailovému účtu, “ uviedol Risher.
Ak budú útočníci pokračovať v najhoršom možnom prípade, nemusí sa to stať, keď získajú prístup k informáciám o bankovom bankovníctve online. „Mnoho z týchto ľudí sa priamo nezúčastní na krádeži identity, predajú ju, “ povedal Wisniewski.
Ďalej vysvetlil, že v prípade bankových trójskych koní útočníci použijú prvých 10 percent účtov - to znamená tých, ktoré majú k dispozícii najviac finančných prostriedkov - a predajú ďalších 90 percent informácií. To znamená, že informácie o používateľovi, ktoré sú k dispozícii, môžu byť naďalej zneužívané, až kým ich vlastník opäť nezíska kontrolu.
Udržujte sa v bezpečí
„Dobrou správou vo všetkých nedávnych správach je, že sa neuskutočnilo nič, čo by umožnilo osobnú identifikáciu, “ uviedol Wisniewski, ktorý niekoľkokrát zdôraznil, že sa zdá, že dotknuté spoločnosti aspoň podnikli dobré kroky na zabezpečenie informácií o užívateľoch.
Ako sme však videli, nestačí to vždy. Používatelia musia pri výzve hackerských služieb dbať na varovania týkajúce sa zmeny hesiel. Mali by sa tiež usilovať o výber silných a jedinečných hesiel pre každú službu online, prípadne by na uľahčenie úlohy mali využiť manažéra hesiel.
Dôležité je pochopiť, že informácie o používateľovi sú cenné a útočníkom môžu byť užitočné aj potom, čo ste si zabezpečili jeden postihnutý účet. Internet poskytuje nespočetné množstvo spôsobov, ako sa pobaviť a pracovať, ale poskytuje tiež toľko spôsobov útoku.