בסך הכל 500 מיליון חשבונות זום הם למכירה ברשת החשוכה הודות ל"מילוי אישורים ". זוהי דרך נפוצה לפושעים לפרוץ חשבונות באופן מקוון. הנה המשמעות של המונח הזה וכיצד תוכלו להגן על עצמכם.
זה מתחיל עם מאגרי סיסמאות דולפים
התקפות נגד שירותים מקוונים נפוצות. עבריינים מנצלים לעתים קרובות ליקויי אבטחה במערכות כדי לרכוש מאגרי מידע של שמות משתמש וסיסמאות. מאגרי אישורי כניסה גנובים נמכרים לרוב ברשת הרשת החשוכה , עם פושעים שמשלמים ביטקוין על הזכות לגשת למסד הנתונים.
נניח שהיה לך חשבון בפורום Avast, שהיה נפרץ בשנת 2014 . חשבון זה הופר, ועבריינים עשויים לקבל את שם המשתמש והסיסמה שלך בפורום Avast. Avast יצר איתך קשר והיית משנה את סיסמת הפורום שלך, אז מה הבעיה?
למרבה הצער, הבעיה היא שאנשים רבים עושים שימוש חוזר באותן סיסמאות באתרים שונים. נניח שפרטי ההתחברות שלך בפורום Avast היו "[email protected]" ו- "AmazingPassword". אם נכנסת לאתרים אחרים עם שם משתמש זהה (כתובת הדוא"ל שלך) וסיסמה, כל עבריין שרוכש את הסיסמאות שהודלפו שלך יכול לקבל גישה לאותם חשבונות אחרים.
קָשׁוּר: מהו האינטרנט האפל?
מילוי אישורים בפעולה
"מילוי אישורים" כולל שימוש במאגרי מידע אלה של פרטי כניסה דולפים וניסיון להתחבר איתם לשירותים מקוונים אחרים.
עבריינים לוקחים מאגרי מידע גדולים של שילובי שם משתמש וסיסמה שהודלפו - לרוב מיליוני אישורי כניסה - ומנסים להיכנס איתם באתרים אחרים. יש אנשים שעושים שימוש חוזר באותה סיסמה במספר אתרים, כך שחלקם יתאימו. זה בדרך כלל יכול להיות אוטומטי עם תוכנה, במהירות לנסות שילובי כניסה רבים.
למשהו כל כך מסוכן שנשמע כל כך טכני, זה כל מה שזה - לנסות אישורים שכבר הודלפו על שירותים אחרים ולראות מה עובד. במילים אחרות, "האקרים" מכניסים את כל אישורי הכניסה לטופס הכניסה ולראות מה קורה. חלקם בטוח יעבדו.
זה אחד הטובים ביותר דרכים נפוצות שתוקפים "פורצים" חשבונות מקוונים בימים אלה. בשנת 2018 לבדה, רשת הצגת התוכן אקמאי רשם כמעט 30 מיליארד התקפות מילוי אישורים.
קָשׁוּר: כיצד תוקפים למעשה "חשבונות פריצה" באופן מקוון וכיצד להגן על עצמך
איך להגן על עצמך
להגן על עצמך ממילוי אישורים הוא די פשוט וכרוך בעקבות אותם נוהלי אבטחת סיסמאות שממליצים מומחי אבטחה כבר שנים. אין פיתרון קסם - רק היגיינת סיסמאות טובה. הנה העצה:
- הימנע משימוש חוזר בסיסמאות: השתמש בסיסמה ייחודית לכל חשבון בו אתה משתמש באופן מקוון. בדרך זו, גם אם הסיסמה שלך דולפת, לא ניתן להשתמש בה בכניסה לאתרים אחרים. תוקפים יכולים לנסות למלא את אישוריך בטופסי כניסה אחרים, אך הם לא יעבדו.
- השתמש במנהל סיסמאות: זכירת סיסמאות ייחודיות חזקות היא משימה כמעט בלתי אפשרית אם יש לך חשבונות בלא מעט אתרים, וכמעט כולם עושים זאת. אנחנו ממליצים באמצעות מנהל סיסמאות כמו 1 סיסמא (בתשלום) או סוורד (קוד פתוח וחופשי) כדי לזכור את הסיסמאות שלך עבורך. זה יכול אפילו ליצור סיסמאות חזקות מאפס.
- הפעל אימות דו-גורמי: עם אימות דו שלבי , עליך לספק משהו אחר - כמו קוד שנוצר על ידי אפליקציה או נשלח אליך באמצעות SMS - בכל פעם שאתה נכנס לאתר. גם אם לתוקף יש את שם המשתמש והסיסמה שלך, הם לא יוכלו להיכנס לחשבונך אם אין לו קוד זה.
- קבל הודעות סיסמה דולפות: עם שירות כמו האם אני נרקמתי? , אתה יכול קבל התראה כאשר אישוריך מופיעים בהדלפה .
קָשׁוּר: כיצד לבדוק אם סיסמתך נגנבה
כיצד שירותים יכולים להגן מפני מילוי אישורים
בעוד שאנשים צריכים לקחת אחריות על אבטחת חשבונותיהם, ישנן דרכים רבות לשירותים מקוונים להגן מפני התקפות מילוי אישורים.
- סרוק מאגרי מידע דולפים אחר סיסמאות משתמש: פייסבוק ונטפליקס סרקו מסדי נתונים שהודלפו עבור סיסמאות, והפנו אותם כנגד אישורי כניסה בשירותים שלהם. אם יש התאמה, פייסבוק או נטפליקס יכולים להנחות את המשתמש שלהם לשנות את הסיסמה שלהם. זוהי דרך להכות את אנשי הכניסה.
- מציעים אימות דו-גורמי: משתמשים צריכים להיות מסוגלים לאפשר אימות דו-גורמי כדי לאבטח את חשבונותיהם המקוונים. שירותים רגישים במיוחד יכולים להפוך את זה לחובה. הם יכולים גם לגרום למשתמש ללחוץ על קישור אימות התחברות בדוא"ל כדי לאשר את בקשת הכניסה.
- דרוש CAPTCHA: אם ניסיון כניסה נראה מוזר, שירות יכול לדרוש הזנת קוד CAPTCHA המוצג בתמונה או לחיצה על טופס אחר כדי לאמת שאדם - ולא בוט - מנסה להיכנס.
- הגבל ניסיונות כניסה חוזרים : על השירותים לנסות לחסום את הרובוטים מלנסות מספר רב של ניסיונות כניסה בפרק זמן קצר. בוטים מתוחכמים מודרניים עשויים לנסות להיכנס ממספר כתובות IP בבת אחת כדי להסוות את ניסיונות מילוי האישורים שלהם.
שיטות סיסמה לקויות - וכדי להיות הוגנות, מערכות מקוונות מאובטחות בצורה גרועה שלעתים קרובות קל מדי להתפשר - הופכות את מילוי האישורים לסכנה חמורה לאבטחת חשבונות מקוונים. זה לא פלא חברות רבות בתעשיית הטכנולוגיה רוצות לבנות עולם מאובטח יותר ללא סיסמאות .
