Люди говорят о том, что их онлайн-аккаунты «взломаны», но как именно это происходит? Реальность такова, что аккаунты взламываются довольно простыми способами - злоумышленники не используют черную магию.
Знание - сила. Понимание того, как на самом деле происходит взлом учетных записей, может помочь вам обезопасить свои учетные записи и в первую очередь предотвратить «взлом» ваших паролей.
Повторное использование паролей, особенно утекших
Многие люди - возможно, даже большинство - повторно используют пароли для разных учетных записей. Некоторые люди могут даже использовать один и тот же пароль для каждой учетной записи, которую они используют. Это крайне небезопасно. На многих веб-сайтах - даже на таких крупных, хорошо известных, как LinkedIn и eHarmony - произошла утечка баз данных паролей за последние несколько лет. Базы утечек паролей наряду с именами пользователей и адресами электронной почты легко доступны в Интернете. Злоумышленники могут попробовать эти комбинации адресов электронной почты, имени пользователя и пароля на других веб-сайтах и получить доступ ко многим учетным записям.
Повторное использование пароля для вашей учетной записи электронной почты подвергает вас еще большему риску, поскольку ваша учетная запись электронной почты может быть использована для сброса всех ваших других паролей, если злоумышленник получит к ней доступ.
Как бы хорошо вы ни защищали свои пароли, вы не можете контролировать, насколько хорошо службы, которые вы используете, защищают ваши пароли. Если вы повторно используете пароли и одна компания не справится, все ваши учетные записи окажутся под угрозой. Вы должны везде использовать разные пароли - с этим может помочь менеджер паролей .
Кейлоггеры
Кейлоггеры - это вредоносное программное обеспечение, которое может работать в фоновом режиме и записывать каждое нажатие клавиши. Они часто используются для сбора конфиденциальных данных, таких как номера кредитных карт, пароли онлайн-банкинга и другие учетные данные. Затем они отправляют эти данные злоумышленнику через Интернет.
Такие вредоносные программы могут поступать через эксплойты - например, если вы используете устаревшую версию Java , как и большинство компьютеров в Интернете, вы можете быть скомпрометированы с помощью Java-апплета на веб-странице. Однако они также могут быть замаскированы под другое программное обеспечение. Например, вы можете загрузить сторонний инструмент для онлайн-игры. Инструмент может быть вредоносным, захватив ваш игровой пароль и отправив его злоумышленнику через Интернет.
Используйте достойную антивирусную программу , обновляйте свое программное обеспечение и избегайте загрузки ненадежного программного обеспечения.
Социальная инженерия
Злоумышленники также часто используют уловки социальной инженерии для доступа к вашим аккаунтам. Фишинг - широко известная форма социальной инженерии - по сути, злоумышленник выдает себя за кого-то и запрашивает ваш пароль. Некоторые пользователи с готовностью передают свои пароли. Вот несколько примеров социальной инженерии:
- Вы получаете электронное письмо, которое якобы отправлено вашим банком, которое направляет вас на поддельный веб-сайт банка и просит вас ввести свой пароль.
- Вы получаете сообщение на Facebook или на любом другом социальном веб-сайте от пользователя, который заявляет, что является официальной учетной записью Facebook, с просьбой отправить свой пароль для аутентификации.
- Вы посещаете веб-сайт, который обещает дать вам что-то ценное, например, бесплатные игры в Steam или бесплатное золото в World of Warcraft. Чтобы получить это поддельное вознаграждение, веб-сайт требует вашего имени пользователя и пароля для услуги.
Будьте осторожны с тем, кому вы даете свой пароль - не нажимайте ссылки в электронных письмах и не переходите на веб-сайт своего банка, не сообщайте свой пароль никому, кто связывается с вами и запрашивает его, и не передавайте учетные данные своей учетной записи ненадежным веб-сайты, особенно те, которые кажутся слишком хорошими, чтобы быть правдой.
Ответы на вопросы безопасности
Пароли часто можно сбросить, ответив на контрольные вопросы. Вопросы безопасности, как правило, очень слабые - часто такие вопросы, как «Где ты родился?», «В какой средней школе ты ходил?» И «Какая была девичья фамилия твоей матери?» Часто эту информацию очень легко найти в общедоступных сайтах социальных сетей, и большинство нормальных людей скажут вам, в какую школу они ходили, если их спросят. Благодаря этой простой информации злоумышленники часто могут сбросить пароли и получить доступ к учетным записям.
В идеале следует использовать контрольные вопросы с ответами, которые нелегко найти или угадать. Веб-сайты также должны препятствовать доступу людей к аккаунту только потому, что они знают ответы на несколько секретных вопросов, и некоторые знают, а некоторые все еще не знают.
Учетная запись электронной почты и сброс пароля
Если злоумышленник использует любой из вышеперечисленных методов, чтобы получить доступ к вашим учетным записям электронной почты , у тебя большие проблемы. Ваша учетная запись электронной почты обычно работает как основная учетная запись в Интернете. Все другие учетные записи, которые вы используете, связаны с ним, и любой, у кого есть доступ к учетной записи электронной почты, может использовать его для сброса ваших паролей на любом количестве сайтов, на которых вы зарегистрировались с этим адресом электронной почты.
По этой причине вы должны максимально обезопасить свою учетную запись электронной почты. Особенно важно использовать для него уникальный пароль и тщательно его охранять.
Какой пароль "взлома" не является
Скорее всего, люди представляют, что злоумышленники пробуют все возможные пароли для входа в их онлайн-аккаунт. Этого не происходит. Если вы попытаетесь войти в чью-то онлайн-учетную запись и продолжите угадывать пароли, вы будете замедлены и не сможете попробовать больше, чем несколько паролей.
Если злоумышленник мог войти в учетную запись в Интернете, просто угадав пароли, вполне вероятно, что пароль был чем-то очевидным, что можно было угадать с первых нескольких попыток, например, «пароль» или имя домашнего животного человека.
Злоумышленники могли использовать такие методы грубой силы только в том случае, если у них был локальный доступ к вашим данным - например, предположим, что вы хранили зашифрованный файл в своей учетной записи Dropbox, а злоумышленники получили к нему доступ и загрузили зашифрованный файл. Тогда они могли бы попытаться взломать шифрование , по сути, пробуя каждую комбинацию паролей, пока она не сработает.
Люди, которые говорят, что их учетные записи были «взломаны», вероятно, виновны в повторном использовании паролей, установке регистратора ключей или передаче своих учетных данных злоумышленнику после уловок социальной инженерии. Они также могли быть скомпрометированы в результате легко угадываемых вопросов безопасности.
Если вы примете надлежащие меры безопасности, «взломать» ваши аккаунты будет непросто. Использование двухфакторной аутентификации тоже может помочь - злоумышленнику для входа потребуется не только ваш пароль.
Кредит изображения: Робберт ван дер Стиг на Flickr , asenat на Flickr
