W sumie jest 500 milionów kont Zoom do sprzedaży w ciemnej sieci dzięki „wypychaniu poświadczeń”. To typowy sposób, w jaki przestępcy włamują się na konta online. Oto, co właściwie oznacza ten termin i jak możesz się chronić.
Zaczyna się od wycieku baz danych haseł
Ataki na usługi online są powszechne. Przestępcy często wykorzystują luki w zabezpieczeniach systemów, aby uzyskać bazy danych nazw użytkowników i haseł. Bazy danych skradzionych danych logowania są często sprzedawane w Internecie ciemna sieć , do którego wpłacają przestępcy Bitcoin za przywilej dostępu do bazy danych.
Załóżmy, że masz konto na forum Avast, którym było naruszone w 2014 roku . To konto zostało naruszone, a przestępcy mogą mieć Twoją nazwę użytkownika i hasło na forum Avast. Avast skontaktował się z Tobą i czy zmieniłeś hasło na forum, więc w czym problem?
Niestety problem polega na tym, że wiele osób używa tych samych haseł na różnych stronach internetowych. Załóżmy, że Twoje dane logowania na forum Avast to „[email protected]” i „Niesamowite hasło”. Jeśli zalogowałeś się do innych witryn internetowych przy użyciu tej samej nazwy użytkownika (adresu e-mail) i hasła, każdy przestępca, który zdobędzie Twoje ujawnione hasła, może uzyskać dostęp do tych innych kont.
ZWIĄZANE Z: Co to jest ciemna sieć?
Wypychanie poświadczeń w akcji
„Wypychanie danych uwierzytelniających” polega na korzystaniu z tych baz danych zawierających dane logowania, które wyciekły, i próbie zalogowania się za ich pomocą w innych usługach online.
Przestępcy pobierają duże bazy danych kombinacji nazw użytkowników i haseł, które wyciekły - często miliony danych logowania - i próbują zalogować się za ich pomocą w innych witrynach internetowych. Niektórzy używają tego samego hasła w wielu witrynach internetowych, więc niektóre będą pasować. Zwykle można to zautomatyzować za pomocą oprogramowania, szybko próbując wielu kombinacji logowania.
W przypadku czegoś tak niebezpiecznego, co brzmi tak technicznie, to wszystko - próba ujawnienia danych uwierzytelniających w innych usługach i sprawdzanie, co działa. Innymi słowy, „hakerzy” umieszczają wszystkie te dane logowania w formularzu logowania i sprawdzają, co się stanie. Niektóre z nich na pewno zadziałają.
To jest jeden z najbardziej typowe sposoby hakowania kont internetowych przez osoby atakujące w te dni. Tylko w 2018 roku sieć dostarczania treści Akamai zarejestrował prawie 30 miliardów ataków polegających na wypychaniu poświadczeń.
ZWIĄZANE Z: W jaki sposób osoby atakujące faktycznie „włamują się do kont” w Internecie i jak się chronić
Jak się chronić
Ochrona przed wypychaniem danych uwierzytelniających jest dość prosta i obejmuje przestrzeganie tych samych praktyk bezpieczeństwa haseł, które eksperci od lat zalecają. Nie ma magicznego rozwiązania - tylko dobra higiena hasła. Oto rada:
- Unikaj ponownego używania haseł: Używaj unikalnego hasła do każdego konta, z którego korzystasz online. Dzięki temu nawet jeśli Twoje hasło wycieknie, nie będzie można go używać do logowania się w innych witrynach. Atakujący mogą próbować wepchnąć Twoje dane logowania do innych formularzy logowania, ale to nie zadziała.
- Użyj menedżera haseł: Zapamiętywanie silnych, unikalnych haseł jest zadaniem prawie niemożliwym, jeśli masz konta w kilku witrynach internetowych, a prawie wszyscy je mają. Polecamy za pomocą menedżera haseł lubić 1Password (płatne) lub Bitwarden (darmowy i open-source), aby zapamiętać Twoje hasła. Może nawet generować te silne hasła od zera.
- Włącz uwierzytelnianie dwuskładnikowe: Z uwierzytelnianie dwuetapowe , musisz podać coś innego - na przykład kod wygenerowany przez aplikację lub wysłany SMS-em - za każdym razem, gdy logujesz się na stronie internetowej. Nawet jeśli osoba atakująca ma Twoją nazwę użytkownika i hasło, nie będzie mogła zalogować się na Twoje konto, jeśli nie ma tego kodu.
- Otrzymuj powiadomienia o wycieku hasła: Z usługą taką jak Czy zostałem Pwned? , możesz otrzymuj powiadomienie, gdy Twoje poświadczenia pojawią się w wycieku .
ZWIĄZANE Z: Jak sprawdzić, czy Twoje hasło zostało skradzione
Jak usługi mogą chronić przed wprowadzaniem poświadczeń
Chociaż osoby fizyczne muszą wziąć odpowiedzialność za zabezpieczenie swoich kont, istnieje wiele sposobów ochrony przez usługi online przed atakami polegającymi na wypychaniu poświadczeń.
- Skanuj wyciekłe bazy danych w poszukiwaniu haseł użytkowników: Facebook i Netflix zeskanowali wyciekły bazy danych haseł, porównując je z danymi logowania w ich własnych usługach. Jeśli znajdzie odpowiednik, Facebook lub Netflix mogą poprosić własnego użytkownika o zmianę hasła. To jest sposób na pokonanie tych, którzy wypychają referencje.
- Oferuj uwierzytelnianie dwuskładnikowe: Użytkownicy powinni mieć możliwość włączenia uwierzytelniania dwuskładnikowego, aby zabezpieczyć swoje konta online. W przypadku usług szczególnie wrażliwych może to być obowiązkowe. Mogą również poprosić użytkownika o kliknięcie łącza weryfikacyjnego logowania w wiadomości e-mail, aby potwierdzić żądanie logowania.
- Wymagaj CAPTCHA: Jeśli próba logowania wygląda dziwnie, usługa może wymagać wprowadzenia kodu CAPTCHA wyświetlonego na obrazku lub kliknięcia innego formularza w celu zweryfikowania, że człowiek - a nie bot - próbuje się zalogować.
- Ogranicz powtarzające się próby logowania : Usługi powinny próbować blokować roboty przed próbami dużej liczby prób logowania w krótkim czasie. Nowoczesne, wyrafinowane boty mogą próbować zalogować się z wielu adresów IP jednocześnie, aby ukryć swoje próby wypychania poświadczeń.
Słabe praktyki dotyczące haseł - a mówiąc szczerze, słabo zabezpieczone systemy internetowe, które często są zbyt łatwe do złamania - sprawiają, że wypychanie danych uwierzytelniających stanowi poważne zagrożenie dla bezpieczeństwa konta online. Nic dziwnego wiele firm z branży technologicznej chce zbudować bezpieczniejszy świat bez haseł .
ZWIĄZANE Z: Branża technologiczna chce zabić hasło. Czy tak jest?
