Συνολικά 500 εκατομμύρια λογαριασμοί Zoom είναι προς πώληση στον σκοτεινό ιστό χάρη στο "γέμισμα διαπιστευτηρίων". Είναι ένας κοινός τρόπος για τους εγκληματίες να εισέρχονται σε λογαριασμούς στο διαδίκτυο. Να τι σημαίνει αυτός ο όρος και πώς μπορείτε να προστατευτείτε.
Ξεκινά με βάσεις δεδομένων με διαρροή κωδικού πρόσβασης
Συχνές είναι οι επιθέσεις εναντίον διαδικτυακών υπηρεσιών. Οι εγκληματίες συχνά εκμεταλλεύονται ατέλειες ασφαλείας στα συστήματα για να αποκτήσουν βάσεις δεδομένων ονομάτων χρήστη και κωδικών πρόσβασης. Βάσεις δεδομένων κλεμμένων διαπιστευτηρίων σύνδεσης πωλούνται συχνά στο διαδίκτυο στις ο σκοτεινός ιστός , με εγκληματίες να πληρώνουν Bitcoin για το προνόμιο πρόσβασης στη βάση δεδομένων.
Ας υποθέσουμε ότι είχατε λογαριασμό στο φόρουμ Avast, που ήταν παραβιάστηκε το 2014 . Αυτός ο λογαριασμός παραβιάστηκε και οι εγκληματίες ενδέχεται να έχουν το όνομα χρήστη και τον κωδικό πρόσβασής σας στο φόρουμ Avast. Η Avast επικοινωνήθηκε μαζί σας και είχατε αλλάξει τον κωδικό πρόσβασης του φόρουμ σας, οπότε ποιο είναι το πρόβλημα;
Δυστυχώς, το πρόβλημα είναι ότι πολλοί άνθρωποι επαναχρησιμοποιούν τους ίδιους κωδικούς πρόσβασης σε διαφορετικούς ιστότοπους. Ας υποθέσουμε ότι τα στοιχεία σύνδεσής σας στο φόρουμ Avast ήταν "[email protected]" και "AmazingPassword". Εάν συνδεθήκατε σε άλλους ιστότοπους με το ίδιο όνομα χρήστη (τη διεύθυνση email σας) και τον κωδικό πρόσβασης, κάθε εγκληματίας που αποκτά τους κωδικούς πρόσβασης που έχουν διαρρεύσει μπορεί να αποκτήσει πρόσβαση σε αυτούς τους άλλους λογαριασμούς.
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Τι είναι το Dark Web;
Παρακολούθηση διαπιστευτηρίων σε δράση
Το "Credential stuffing" περιλαμβάνει τη χρήση αυτών των βάσεων δεδομένων με στοιχεία σύνδεσης που έχουν διαρρεύσει και την προσπάθεια σύνδεσης με αυτές σε άλλες διαδικτυακές υπηρεσίες.
Οι εγκληματίες λαμβάνουν μεγάλες βάσεις δεδομένων συνδυασμών ονόματος χρήστη και κωδικού πρόσβασης που έχουν διαρρεύσει - συχνά εκατομμύρια διαπιστευτήρια σύνδεσης - και προσπαθούν να συνδεθούν μαζί τους σε άλλους ιστότοπους. Μερικά άτομα επαναχρησιμοποιούν τον ίδιο κωδικό πρόσβασης σε πολλούς ιστότοπους, οπότε ορισμένοι θα ταιριάζουν Αυτό μπορεί γενικά να αυτοματοποιηθεί με λογισμικό, δοκιμάζοντας γρήγορα πολλούς συνδυασμούς σύνδεσης.
Για κάτι τόσο επικίνδυνο που ακούγεται τόσο τεχνικό, το μόνο που είναι - προσπαθώντας ήδη διαρροή διαπιστευτηρίων σε άλλες υπηρεσίες και να δούμε τι λειτουργεί. Με άλλα λόγια, οι «χάκερ» συμπληρώνουν όλα αυτά τα διαπιστευτήρια σύνδεσης στη φόρμα σύνδεσης και βλέπουν τι συμβαίνει. Μερικά από αυτά είναι σίγουρο ότι θα λειτουργήσουν.
Αυτό είναι ένα από τα περισσότερα συνήθεις τρόποι με τους οποίους οι εισβολείς «χαράζουν» διαδικτυακούς λογαριασμούς αυτές τις μέρες. Μόνο το 2018, το δίκτυο παράδοσης περιεχομένου Ακάμα κατέγραψε σχεδόν 30 δισεκατομμύρια επιθέσεις με διαπιστευτήρια.
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Πώς πραγματικά οι επιτιθέμενοι «χαράζουν λογαριασμούς» στο Διαδίκτυο και πώς να προστατευτείτε
Πώς να προστατευτείτε
Η προστασία του εαυτού σας από τη συμπλήρωση διαπιστευτηρίων είναι πολύ απλή και συνεπάγεται να ακολουθείτε τις ίδιες πρακτικές ασφάλειας κωδικού πρόσβασης που οι εμπειρογνώμονες ασφαλείας συστήνουν εδώ και χρόνια. Δεν υπάρχει μαγική λύση - απλά καλή υγιεινή με κωδικό πρόσβασης. Εδώ είναι η συμβουλή:
- Αποφύγετε την επαναχρησιμοποίηση κωδικών πρόσβασης: Χρησιμοποιήστε έναν μοναδικό κωδικό πρόσβασης για κάθε λογαριασμό που χρησιμοποιείτε στο διαδίκτυο. Με αυτόν τον τρόπο, ακόμη και αν διαρρεύσει ο κωδικός πρόσβασής σας, δεν μπορεί να χρησιμοποιηθεί για σύνδεση σε άλλους ιστότοπους. Οι εισβολείς μπορούν να προσπαθήσουν να συμπληρώσουν τα διαπιστευτήριά σας σε άλλες φόρμες σύνδεσης, αλλά δεν θα λειτουργήσουν.
- Χρησιμοποιήστε έναν Διαχειριστή κωδικών πρόσβασης: Η απομνημόνευση ισχυρών μοναδικών κωδικών πρόσβασης είναι σχεδόν αδύνατη, αν έχετε λογαριασμούς σε αρκετούς ιστότοπους και σχεδόν όλοι. Συνιστούμε χρησιμοποιώντας έναν διαχειριστή κωδικών πρόσβασης σαν 1Κωδικός πρόσβασης (επί πληρωμή) ή Μπιτόντεν (δωρεάν και ανοιχτού κώδικα) για να θυμάστε τους κωδικούς πρόσβασης για εσάς. Μπορεί ακόμη και να δημιουργήσει αυτούς τους ισχυρούς κωδικούς πρόσβασης από το μηδέν.
- Ενεργοποίηση ελέγχου ταυτότητας δύο παραγόντων: Με έλεγχος ταυτότητας δύο βημάτων , πρέπει να παρέχετε κάτι άλλο - όπως έναν κωδικό που δημιουργείται από μια εφαρμογή ή να σας αποστέλλεται μέσω SMS - κάθε φορά που συνδέεστε σε έναν ιστότοπο. Ακόμα κι αν ένας εισβολέας έχει το όνομα χρήστη και τον κωδικό πρόσβασής σας, δεν θα μπορεί να συνδεθεί στον λογαριασμό σας εάν δεν διαθέτει αυτόν τον κωδικό.
- Λάβετε ειδοποιήσεις με διαρροή κωδικού πρόσβασης: Με μια υπηρεσία σαν Έχω πάρει Pwned; , μπορείς λάβετε ειδοποίηση όταν τα διαπιστευτήριά σας εμφανίζονται σε διαρροή .
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Πώς να ελέγξετε εάν ο κωδικός πρόσβασής σας έχει κλαπεί
Πώς μπορούν οι υπηρεσίες να προστατέψουν ενάντια στη συμπλήρωση διαπιστευτηρίων
Ενώ τα άτομα πρέπει να αναλάβουν την ευθύνη για την ασφάλιση των λογαριασμών τους, υπάρχουν πολλοί τρόποι για την προστασία των διαδικτυακών υπηρεσιών από επιθέσεις με διαπιστευτήρια
- Βάσεις δεδομένων σάρωσης με διαρροή για κωδικούς πρόσβασης χρήστη: Facebook και Netflix έχουν σαρώσει διέρρευσαν βάσεις δεδομένων για κωδικούς πρόσβασης, παραπέμποντάς τους έναντι διαπιστευτηρίων σύνδεσης στις δικές τους υπηρεσίες. Εάν υπάρχει αντιστοιχία, το Facebook ή το Netflix μπορεί να ζητήσει από τον δικό του χρήστη να αλλάξει τον κωδικό πρόσβασής του. Αυτός είναι ένας τρόπος να κερδίσουμε τα διαπιστευτήρια στη διάτρηση.
- Προσφορά ελέγχου ταυτότητας δύο παραγόντων: Οι χρήστες θα πρέπει να μπορούν να ενεργοποιούν τον έλεγχο ταυτότητας δύο παραγόντων για να προστατεύουν τους διαδικτυακούς λογαριασμούς τους. Ιδιαίτερα ευαίσθητες υπηρεσίες μπορούν να το καταστήσουν υποχρεωτικό. Μπορούν επίσης να κάνουν έναν χρήστη να κάνει κλικ σε έναν σύνδεσμο επαλήθευσης σύνδεσης σε ένα email για να επιβεβαιώσει το αίτημα σύνδεσης.
- Απαίτηση CAPTCHA: Εάν μια απόπειρα σύνδεσης φαίνεται περίεργη, μια υπηρεσία μπορεί να απαιτήσει την εισαγωγή κωδικού CAPTCHA που εμφανίζεται σε μια εικόνα ή κάνοντας κλικ σε άλλη φόρμα για να επαληθεύσει ότι ένας άνθρωπος - και όχι ένα bot - επιχειρεί να συνδεθεί.
- Περιορίστε τις επαναλαμβανόμενες προσπάθειες σύνδεσης : Οι υπηρεσίες πρέπει να προσπαθούν να αποκλείσουν τα bots από την προσπάθεια μεγάλου αριθμού προσπαθειών σύνδεσης σε σύντομο χρονικό διάστημα. Τα σύγχρονα εξελιγμένα bots ενδέχεται να προσπαθήσουν να συνδεθούν από πολλές διευθύνσεις IP ταυτόχρονα για να συγκαλύψουν τις προσπάθειές τους να γεμίσουν τα διαπιστευτήρια.
Οι κακές πρακτικές κωδικού πρόσβασης - και, για να είμαστε δίκαιοι, κακώς ασφαλείς διαδικτυακά συστήματα που συχνά είναι πολύ εύκολο να συμβιβαστούν - καθιστούν το γέμισμα διαπιστευτηρίων σοβαρό κίνδυνο για την ασφάλεια των διαδικτυακών λογαριασμών. Δεν είναι να απορεί κανείς πολλές εταιρείες στον κλάδο της τεχνολογίας θέλουν να χτίσουν έναν πιο ασφαλή κόσμο χωρίς κωδικούς πρόσβασης .
ΣΧΕΤΙΖΟΜΑΙ ΜΕ: Η βιομηχανία τεχνολογίας θέλει να σκοτώσει τον κωδικό πρόσβασης. Ή μήπως;
