Inżynieria społeczna Hacks i powiązane konta: Jak chronić się przed kradzieżą tożsamości

W dzisiejszych czasach Internet ma ścisły związek z większością aspektów naszego życia i tożsamości. Praktycznie każdy ma profil na Facebooku, a także prawdopodobnie konto na Twitterze, stronę LinkedIn, konta do sprawdzania online, konta u sprzedawców internetowych i prawdopodobnie wiele starych profili na innych stronach, które zbierają wirtualny kurz. Większość z nas zaufała Internetowi dzięki naszym informacjom. Jesteśmy przekonani, że globalne, wyrafinowane firmy, takie jak PayPal, Facebook, Amazon i wszystkie inne wielkie nazwiska, nie pozostaną otwarte dla hakerów. Ale kolektywna siła mózgów hakerów na całym świecie jest poszukiwanie nowych i innowacyjnych sposobów na łamanie systemów tych firm.

Mówiono już wcześniej, ale powiem to jeszcze raz: bezpieczeństwo jest tak silne, jak twoje najsłabsze ogniwo. Dokładnie jak słaby jest łańcuch prowadzący do twoich danych osobowych? Istnieje wiele luk w zabezpieczeniach związanych z Twoją obecnością w sieci: niektóre z nich mogą być ci znane i inne, o których nigdy nie myślałeś. Ochrona i zapobieganie jest kluczem w procesie bezpieczeństwa online - znacznie łatwiej jest zapobiec włamaniom niż naprawić uszkodzenia po ich wystąpieniu.

Czym jest socjotechnika?

W tym kontekście inżynieria społeczna to metoda używana do manipulowania ludźmi w celu ujawnienia danych osobowych. Niedawny artykuł Matu Honan Wireda uszczegółowił, w jaki sposób padł ofiarą ataku na socjotechnikę, który sprawił, że jego cyfrowe życie zaczęło się załamywać. Luki w zabezpieczeniach w Amazon i protokole bezpieczeństwa firmy Apple pozwoliły hakerom uzyskać dostęp do serii kont pisarzy. Haker mógł włamać się na swoje konto Amazon, które podało adres rozliczeniowy, a także cztery ostatnie cyfry numeru karty kredytowej. Ta informacja była wszystkim, co było potrzebne, aby przekonać Apple, że haker to Honan, i dlatego pozwolił mu zresetować hasło Apple ID. Stamtąd haker uzyskał dostęp do swojego konta e-mail Apple, które następnie doprowadziło do jego konta Gmail, które było centrum jeszcze większej ilości informacji online. To jest inżynieria społeczna w pracy. W jaki sposób hakerzy wiedzieli, że Pan Honan ma konto Amazon, nie jest do końca jasne, ale warto zauważyć, że ciąg wydarzeń, które ujawniły jego podatność na ataki, jest następujący:

"Po przejściu na moje konto [Twitter] hakerzy przeprowadzili kilka badań. Moje konto na Twitterze jest powiązane z moją osobistą witryną internetową, na której znalazł mój adres Gmail. Zgadując, że był to również adres e-mail, którego używałem na Twitterze, Phobia [haker] trafił na stronę odzyskiwania konta Google. Nie musiał nawet próbować odzysku. To była tylko misja rekonesansowa. Ponieważ nie włączono uwierzytelniania dwuskładnikowego Google, gdy Fobia wprowadził mój adres Gmail, mógł wyświetlić alternatywną wiadomość e-mail, którą skonfigurowałem do odzyskiwania konta. Google częściowo ukrywa te informacje, w których występuje wiele postaci, ale dostępnych jest wystarczająco dużo postaci, msung:••• [email protected]. Pula."

Pomyśl dwukrotnie o połączonych kontach

Ciąg twojego cyfrowego życia zaczyna się i kończy gdzieś, a jeśli odkryjesz łatwą lukę, zostanie wykorzystany. Amazon od tego czasu twierdził, że zmienił swoje procedury bezpieczeństwa, aby tego typu exploit nie był już możliwy (jednak po przeczytaniu historii Wired od tamtej pory usunąłem wszystkie moje informacje z Amazon i wprowadzę je ręcznie za każdym razem od teraz. Nie ma czegoś takiego, jak być zbyt ostrożnym). Apple z drugiej strony nie powiedział, że zmienił wszelkie zasady bezpieczeństwa - Apple tylko powiedział, że jego środki bezpieczeństwa nie zostały całkowicie zastosowane. Istnieje wiele innych firm, które są podatne na taktykę inżynierii społecznej, a połączone konta informują ich, od czego zacząć. Czasami najłatwiejszym exploitem może być Twoje konto na Facebooku.

Cyfrowy szlak, który prowadzi do twojego nie cyfrowego życia

Zakładając, że Twój profil na Facebooku jest publiczny lub akceptujesz prośby znajomych od osób, których tak naprawdę nie znasz, czy Twój profil zawiera Twoje pełne urodziny? Twój osobisty adres e-mail, adres domowy i numer telefonu? Czy masz zdjęcia starego, rodzinnego zwierzaka, w którym je nazywasz, czy też jesteś zaprzyjaźniony z mamą, która wciąż używa swojego panieńskiego nazwiska? Czy są zdjęcia przedstawiające ciebie z pierwszej klasy, które wyświetlają nazwę szkoły, Ciebie z pierwszą dziewczyną lub BFF?

Tak, i dlaczego zadaję te wszystkie osobiste pytania? Twoja data urodzenia i adres mogą dostarczyć mi wystarczających informacji, aby zacząć podszywać się pod inne firmy lub przez Internet. W niektórych przypadkach mogę potrzebować ostatnich czterech cyfr twojego numeru ubezpieczenia społecznego, ale to nie jest przerwa, którą myślisz, że jest. Dlaczego więc twój pierwszy rodzinny zwierzak, panieńskie nazwisko mamy, twoja pierwsza szkoła podstawowa, pierwsza dziewczyna, czy imię twojego najlepszego przyjaciela? Wszystkie są odpowiedziami na pytania bezpieczeństwa dotyczące procesów odzyskiwania konta. Jeśli - nieznany Ci - złamałem twój adres e-mail, ale moim prawdziwym celem jest twoje konto bankowe, teraz mam odpowiedzi na twoje pytania bezpieczeństwa i będę mógł zmienić hasło na twoim koncie bankowym, aby uzyskać dostęp.Na dobrą sprawę prawdopodobnie również zmienię hasło w wiadomości e-mail lub jeśli skończę z jego wykorzystaniem, mogę całkowicie usunąć konto. Oczywiście istnieje wiele czynników, które sprawiają, że ta sytuacja jest idealna, a istnieją inne metody, które można wykorzystać do przejęcia tożsamości.

Jeśli masz słabe hasła, takie jak "bucketKid", jako całkowicie losowy przykład, atak z użyciem brutalnej siły na twoje konto może zająć około ośmiu dni, aby złamać twoje hasło (więcej o tym, jak to wiem w sekcji Rekomendacja). Po prostu dodanie numeru, aby uczynić go "bucketKid7", dodaje sześć lat do czasu, w którym złamanie go zajmie hakerowi.

Jest również możliwe, że twoje informacje mogą zostać ujawnione jako dodatkowe zabójstwo w hackowaniu innej firmy. Jeśli użyjesz tego samego hasła w wielu witrynach, z których jedna zawiera pocztę e-mail, nadszedł czas, aby zmienić wszystkie swoje hasła i zbadać, na ile szkody mogą się zmniejszyć. Teraz, kiedy masz najgorsze scenariusze w swoim umyśle, przejdźmy do tego, jak faktycznie możesz się zabezpieczyć.

Nasza strona Rekomendacja

Nigdy nie używaj dwa razy tego samego hasła! Wiem, że słyszałeś już milion razy wcześniej, a możesz pomyśleć, że nie jest praktyczne, aby mieć dziesiątki unikalnych haseł w wielu witrynach. Cóż, są dwie rzeczy, które możesz zrobić, aby było to praktyczne:

Po pierwsze możesz użyć programu, który pomoże Ci tworzyć i przechowywać unikatowe hasła do wszystkich twoich stron. 1Password jest jednym z takich programów - logując się do jednego z twoich profili online, możesz po prostu wybrać login, którego potrzebujesz, a 1Password dostarczy hasło i zapewni ci dostęp. Być może jednak nie chcesz, aby wszystkie twoje hasła były przechowywane w jednej bazie danych - to jest ważny problem.

Następną opcją jest utworzenie serii powiązanych haseł. Jednym hasłem może być "Treez4Eva" następny "Trees4eVer" i tak dalej. Zapamiętywanie, która strona używa której wersji może być trochę trudne, ale jest to wykonalne i zdecydowanie warte wypróbowania. Pamiętaj, że zawsze możesz odzyskać hasła, które zapomniałeś. To może być czasochłonne, ale nie zapominaj, że hasła zatrzymują Cię od tworzenia unikalnych, bezpiecznych.

Teraz przejdź do samego hasła: możesz użyć How Secure Is My Password jako przydatnego odniesienia, aby ocenić, jak naprawdę jesteś bezpieczny. Zawsze używaj kombinacji alfanumerycznych wraz z dużymi literami i znakami specjalnymi. Jeśli witryna na to pozwala, użyj również spacji. "BucketKid" jest o wiele bezpieczniejszy, gdy jest to "bu (k3t K! 4 15 r3a!") To hasło wymagałoby 3 kwintillionów lat do złamania, zgodnie z tym, jak bezpieczne jest moje hasło, które przez tyle lat brzmi nieprawdziwie. myślę, że zapamiętanie takiego hasła zajęłoby Ci tyle lat, ale zastanów się, w jaki sposób możesz użyć sztuczek pamięciowych, aby ułatwić proces. Powyższy przykład brzmi: "dziecko w kubełku jest prawdziwe", wszystko, co musisz zapamiętać, to litery pisałeś wielką literą i jak zastępowałeś litery cyframi lub znakami specjalnymi. Jeśli nadal chcesz używać tego samego hasła w wielu witrynach, użyj najsilniejszego, jak na powyższym przykładzie, w przypadku witryn często używanych, takich jak poczta e-mail. hasła takie jak "parasolowy chłopiec 15 fałszywy" do innych witryn, których nie używasz często lub które nie są tak bezpieczne.

Zawsze stosuj weryfikację dwuetapową dla dowolnej witryny, która ją obsługuje. Pamiętasz konto pisarza Wireda o tym, jak został zhackowany, ponieważ nie użył weryfikacji dwuetapowej? Nie rób tego samego błędu. Google obsługuje go, podobnie jak Yahoo i Facebook. Weryfikacja dwuetapowa oznacza, że ​​po zalogowaniu się na konto z nierozpoznanego komputera lub adresu IP zostaniesz poproszony o wpisanie kodu, który został wysłany na twój telefon. Co jest w tym również świetne, to to, że działa również jako system alarmowy dla twoich kont. Jeśli ktoś spróbuje uzyskać dostęp do poczty e-mail i nagle otrzymasz SMS-a z kodem logowania, wiesz, że nadszedł czas, aby opuścić luki.

Na koniec, jeśli masz jakiekolwiek obawy dotyczące bezpieczeństwa w Internecie, sprawdź czy powinienem zmienić moje hasło. Witryna ta umożliwia wpisanie adresu e-mail i sprawdzenie, czy pojawia się na listach, które hakerzy skompilowali po złamaniu witryny. Właśnie dodali nową funkcję, w której możesz zapisać swój adres e-mail, a następnie odwołają się do niej przy każdym kolejnym ataku.

Wszystko to może wydawać się zejść z głębokiego końca i być dla ciebie zbyt paranoidalne, ale bycie paranoikiem w Internecie może czasami zapewnić ci bezpieczeństwo. Istnieje wiele innych środków, które powinieneś podjąć, aby zabezpieczyć się, na przykład: zaszyfrowanie dysku twardego, tworzenie jednorazowych adresów e-mail i nazw dla witryn, którym nie ufasz lub które czujesz, są pozbawione zabezpieczeń i zmieniają hasła co kilka miesięcy. Ten przewodnik powinien być traktowany jako punkt wyjścia do zwiększenia bezpieczeństwa, a jeśli wszystko, co musisz zrobić, to stworzyć jedno silne hasło i zarejestrować swój adres e-mail z bazą danych Czy powinienem zmienić hasło, to jest to przynajmniej dobry pierwszy krok do ochrony siebie od kradzieży tożsamości w Internecie.

Zalecenia ekspertów

Ryan Disraeli, Wiceprezes ds. Usług oszustw w TeleSign:

"Przeciętny człowiek jest szokująco bardzo hackowany, ale rzeczywistość jest taka, że ​​hakerzy będą atakować najłatwiejszy cel. Nie różni się to od trybu offline. Czy złodziej okradnie dom z 24/7 ochroniarzami lub domem, który zawsze pozostawia otwarte drzwi? Rzeczywistość jest taka, że ​​dobry złodziej może okraść dom ze znakomitym zabezpieczeniem, ale woli pójść po łatwiejszą ofiarę.Tak jak podjąłbyś środki ostrożności w celu ochrony swojej własności osobistej, osoby powinny starać się dodać kilka warstw zapobiegania, aby zabezpieczyć swoją tożsamość online."

Dodi Glenn, GFI Software's Menedżer produktu VIPRE Antivirus:

"Traktuj swój smartfon jak komputer. W przypadku dokonywania jakichkolwiek transakcji finansowych w telefonie zastosowanie będą miały te same "najlepsze praktyki" zabezpieczeń, jak w przypadku komputera."

Shuman Ghosemajumder, Wiceprezes ds. Strategii w Shape Security:

"Zwróć uwagę na sposób uzyskiwania dostępu do stron internetowych. Częścią upewnienia się, że witryna jest zaufana, jest sprawdzenie, czy organizacja stojąca za tą witryną jest godna zaufania. Inną częścią jest upewnienie się, że masz połączenie z tą witryną. Upewnij się, że adres URL jest prawidłowy, że nawigowałeś do niego bezpośrednio i nie kliknął linku z niezamawianej wiadomości e-mail, komunikatora lub okna podręcznego. Jeśli możesz, używaj tylko własnych urządzeń i połączeń. Powinieneś unikać publicznych połączeń Wi-Fi i współużytkowanych publicznych komputerów, jeśli możesz, ponieważ atakujący mogą łatwo pochwycić ruch sieciowy lub zainstalować keyloggery w celu przechwytywania haseł. Jeśli musisz korzystać z publicznego połączenia Wi-Fi, upewnij się, że nie przesyłasz danych logowania ani danych osobowych do witryny, która nie korzysta z połączenia HTTPS."