Sociální inženýrské hackery a propojené účty: Jak chránit před krádeží identity

V dnešní době má internet úzké spojení s většinou aspektů našeho života a identity. Prakticky každý má profil na Facebooku, případně účet Twitter, stránku LinkedIn, on-line kontrolu účtů, účty s online prodejci a pravděpodobně spoustu starých profilů na jiných webech, které právě sbírají virtuální prach. Většina z nás přišla důvěřovat internetu s našimi informacemi. Jsme přesvědčeni, že globální, sofistikované společnosti jako PayPal, Facebook, Amazon a všechny další velké jména nezanechávají naše informace otevřené hackingu. Ale kolektivní námaha hackerů po celém světě je zaměřena na nalezení nových a inovativních způsobů, jak porušovat systémy těchto společností.

Už bylo řečeno, ale řeknu to znovu: bezpečnost je jen tak silná jako vaše nejslabší spojení. Jak přesně je slabý řetěz, který vede k vašim osobním informacím? Existuje mnoho zranitelných míst, které se vyskytují v online přítomnosti: některé, které si možná uvědomujete a jiné, o kterých jste nikdy nepomysleli. Ochrana a prevence jsou klíčem k procesu online zabezpečení - je mnohem snazší zabránit poškození, než je opravit škody po jejich vzniku.

Co je to sociální inženýrství?

V tomto kontextu je sociální inženýrství metodou, která slouží k manipulaci s lidmi při předávání osobních informací. Nedávný článek od společnosti Wired Mat Honan podrobně popisuje, jak se stal obětí sociálního inženýrství, který způsobil, že jeho digitální život klesá. Chyby v bezpečnostních protokolech Amazon a Apple umožnily hackerovi získat přístup ke sérii účtů spisovatele. Hacker se mohl dostat na svůj účet Amazon, který poskytl fakturační adresu, stejně jako poslední čtyři číslice čísla kreditní karty. Tato informace byla vše, co bylo potřeba k tomu, aby Apple přesvědčila, že hacker byl Honan, a proto mu dovolil resetovat heslo Apple ID. Odtud hacker získal přístup ke svému e-mailovému účtu Apple, který následně vedl k jeho účtu Gmail, který byl centrem ještě více on-line informací. Toto je sociální inženýrství v práci. Jak hackeři věděli, že pan Honan má účet Amazonky, není zcela jasné, ale řetězec událostí, který je odrazil od jeho zranitelnosti, si zaslouží:

"Po procházení účtu [Twitter] hackeři provedli nějaký průzkum. Můj účet služby Twitter odkazoval na můj osobní web, kde našel mou adresu Gmailu. Hádám, že toto byla také e-mailová adresa, kterou jsem použil pro Twitter, Phobia [hacker] šel na stránku pro obnovení účtu Google. Dokonce se ani nepokusil o zotavení. Jednalo se pouze o mise. Protože jsem neměl zapnutou dvoufaktorovou autentizaci společnosti Google, když Phoby vstoupila do mého Gmailu, mohl si prohlédnout alternativní e-mail, který jsem nastavil pro obnovení účtu. Google částečně zamlžuje tuto informaci, vystupuje s mnoha znaky, ale bylo k dispozici dostatek znaků, [email protected]. Jackpot."

Přemýšlejte dvakrát o propojených účtech

Řetězec vašeho digitálního života začíná a končí někde a pokud se objeví snadná zranitelnost, bude použita. Společnost Amazon od té doby tvrdila, že změnila své bezpečnostní postupy tak, aby tento druh zneužívání již nebyl možný (nicméně po přečtení příběhu Wired jsem od té doby odstranil všechny své informace od Amazonu a každou chvíli to zadávám ručně. Není tam žádná taková věc, jako být příliš opatrní). Apple, na druhé straně, neřekl, že změnila bezpečnostní politiku - Apple jen řekl, že její bezpečnostní opatření nebyla plně dodržována. Existuje řada dalších společností, které jsou náchylné k taktikám sociálního inženýrství, a vaše propojené účty říkají, kde začít. Někdy nejjednodušší zneužití může být váš účet ve službě Facebook.

Digitální stezka, která vede zpět k vašemu nediflikujícímu životu

Za předpokladu, že váš profil ve službě Facebook je veřejný, nebo že přijímáte požadavky přátel od lidí, které ve skutečnosti neznáte, zahrnuje váš profil vaše plné narozeniny? Vaše osobní e-mailová adresa, adresa bydliště a telefonní číslo? Máte fotky starého rodinného mazlíčka, kde je jmenujete, nebo jste přátelé s vaší matkou, která stále používá své děvčátko? Existují fotky z vás z prvního ročníku, které zobrazují název školy, vy s vaší první přítelkyní nebo vaše BFF?

Ano, a proč se ptám všech těchto osobních otázek? Vaše datum narození a adresa vám mohou poskytnout dostatek informací, aby vás začali vydávat za jiné společnosti nebo online. V některých případech mohu potřebovat poslední čtyři číslice vašeho čísla sociálního zabezpečení, ale to nejde o zastávku, o které si myslíte, že je. Tak proč by měl váš první rodinný mazlíček, rodné jméno vaší matky, vaše první základní škola, první přítelkyně nebo jméno vašeho nejlepšího přítele? Jsou to všechny odpovědi na bezpečnostní otázky týkající se procesů obnovení účtu. Je-li-neznámé pro vás, rozbitím vašeho e-mailu, ale mým skutečným cílem je váš bankovní účet, nyní mám odpovědi na vaše bezpečnostní otázky a budeme mít možnost změnit heslo na vašem bankovním účtu, abyste získali přístup.Pro správnou míru pravděpodobně také změním heslo v e-mailu, nebo když skončím s jeho využíváním, mohu účet zcela smazat. Samozřejmě, existuje spousta faktorů, aby tato situace byla ideální a existují i ​​jiné metody, které lze použít k převzetí vaší identity.

Pokud máte slabá hesla jako "bucketKid", jako úplně náhodný příklad, útok na hrubou sílu na vašem účtu trvá asi osm dní, než si své heslo vymažete (více o tom, jak to vím v sekci Doporučení). Jednoduché přidání čísla, aby se to "bucketKid7" přidá šest roků do doby, kdy by to trvat hacker k prasknutí.

Je také možné, že vaše informace mohou být vystaveny jako vedlejší škody v hacke jiné společnosti. Používáte-li stejné heslo na více webových stránkách, z nichž jeden obsahuje váš e-mail, pak je čas, abyste změnili všechna vaše hesla a prozkoumali, do jaké míry by mohlo dojít k potlačení škody. Nyní máte v mysli nejhorší scénáře, pojďme se podívat na to, jak se můžete skutečně chránit.

Naše doporučení

Nikdy nepoužívejte stejné heslo dvakrát! Vím, že jste to slyšeli milionkrát dříve a možná byste si mysleli, že není praktické mít na mnoha místech desítky jedinečných hesel. Existují dvě věci, které můžete udělat, aby bylo praktické:

První je, že můžete použít program, který vám pomůže vytvořit a uložit jedinečná hesla pro všechny vaše stránky. 1Password je jeden takový program - při přihlášení k jednomu z vašich online profilů můžete jednoduše vybrat potřebné přihlašovací údaje a 1Password poskytne heslo a udělí vám přístup. Možná však nechcete, aby všechna vaše hesla byla uložena v jedné databázi - to je vážný problém.

Další možností je vytvořit řadu souvisejících hesel. Jedno heslo může být "Treez4Eva" další "Trees4eVer" a tak dále. Vzpomínáte na to, který web používá, který verzi může být trochu složitý, ale je to možné a rozhodně stojí za to vyzkoušet. Nezapomeňte, že vždy můžete obnovit hesla, která jste zapomněli. To může být časově náročné, ale nenechte se zapomínat na hesla, abyste zabránili vytváření unikátních, bezpečných.

Nyní na heslo sám: můžete použít How Secure Is My Password jako užitečný odkaz, abyste zjistili, jak bezpečně jste opravdu. Vždy používejte alfanumerické kombinace spolu s velkými písmeny a speciálními znaky. Pokud to lokalita dovolí, použijte také mezery. "BucketKid" je mnohem bezpečnější, když je to "bu (k3t K! 4 15 r3a!"). Toto heslo bude trvat 3 kvintilionové roky, než se rozvine, podle How Secure Is My Password, což je tolik let, co to zní falešně. že si bude trvat tolik let, než si pamatujete takové heslo - ale přemýšlejte o tom, jak využít paměťové triky, abyste tento proces ulehčili. Příklad nahoře zní: "kbelík je skutečný", vše, co musíte vzpomenout, jste si zapamatovali a jak jste nahradili písmena s čísly nebo speciálními znaky.Pokud si přejete používat stejné heslo na mnoha místech, použijte nejsilnější, jako je výše uvedený příklad, pro weby, které často používáte, například e-maily. hesla jako "deštník chlapec 15 falešný" pro jiné weby, které často nepoužíváte nebo se cítíte, nejsou tak bezpečné.

Pro každou stránku, která ji podporuje, vždy použijte ověření ve dvou krocích. Pamatuješ si, jaký byl spisovatel Wired spisovatel o tom, jak byl napaden, protože nepoužil ověření ve dvou krocích? Nedělejte stejnou chybu. Google to podporuje, stejně jako Yahoo a Facebook. Ověření ve dvou krocích znamená, že při přihlášení do účtu z nerozpoznaného počítače nebo IP adresy budete vyzváni k zadání kódu, který byl odeslán do vašeho telefonu. Co je také skvělé, je, že funguje také jako poplašný systém pro vaše účty. Pokud se někdo pokusí získat přístup k vašemu e-mailu a náhle dostanete text, který vám dodá přihlašovací kód, víte, že je načase vypustit poklopy.

A konečně, pokud máte nějaké obavy ohledně vaší online bezpečnosti, zaškrtněte možnost Změna hesla. Tyto stránky vám umožňují zadat svou e-mailovou adresu a zjistit, zda se zobrazuje na jakémkoli seznamu, který hackeři sestavili poté, co došlo k popraskání webu. Právě přidali novou funkci, kde si s nimi můžete uložit svou e-mailovou adresu a budou odkazovat na případné budoucí útoky.

To všechno může vypadat, jako byste šli z hlubokého konce a byli příliš paranoidní vůči vám, ale být paranoidní na internetu může někdy udržet vás v bezpečí. Existuje řada dalších opatření, která byste měli podniknout, abyste se chránili, jako například: šifrování pevného disku, vytváření jednorázových e-mailových adres a názvů webů, kterým nedůvěřujete, nebo se domníváte, že chybí zabezpečení a změna hesel každých pár měsíců. Tato příručka by měla být chápána jako skákací bod, který vás činí bezpečnější a pokud vše, co uděláte, je vytvořit jedno silné heslo a zaregistrovat svůj e-mail v databázi Mohu změnit heslo, pak je to alespoň dobrý první krok k ochraně sebe od krádeže identity na internetu.

Odborné doporučení

Ryan Disraeli, Viceprezident společnosti TeleSign:

"Průměrný člověk je šokantně velmi hackable, ale realita je, že hackeři budou hledat útok na nejjednodušší cíl. To není nijak odlišné od offline. Bude zloděj okrádat dům s 24 hodinovou bezpečnostní ochranou nebo domem, který vždy odemkne přední dveře? Skutečnost spočívá v tom, že dobrý zloděj může stále okrádat dům s vynikající bezpečností, ale bude raději jít po jednodušší oběti.Stejně jako byste měli přijmout opatření k ochraně vašeho osobního majetku, jednotlivci by měli hledat přidání několika vrstev prevence, aby zajistili jejich online identitu."

Dodi Glenn, Správce produktů VIPRE Antivirus společnosti GFI Software:

"Doprajte svůj chytrý telefon jako počítač. Pokud provádíte jakýkoli druh finančních transakcí v telefonu, budou se uplatňovat stejné "osvědčené postupy" zabezpečení jako u počítače."

Shuman Ghosemajumder, Viceprezident pro strategii Shape Security:

"Dávejte pozor na přístup k webovým stránkám. Součástí toho, abyste důvěřovali webu, je ověření, že organizace za webem je uznána. Další součástí je důvěřovat vašemu připojení k této webové stránce. Měli byste se ujistit, že adresa URL je správná, že jste k němu přímo navigovali a neklikli na odkaz z nevyžádaného e-mailu, IM nebo vyskakovacího okna. Pokud je to možné, používejte pouze vlastní zařízení a připojení. Měli byste se vyhnout veřejným WiFi připojením a sdíleným veřejným počítačům, pokud je to možné, protože je pro útočníky snadné potírat síťový provoz nebo instalovat keyloggery pro zachycení hesel. Pokud musíte použít veřejné připojení WiFi, ujistěte se, že nepodáte žádné přihlašovací nebo osobní údaje na stránky, které nepoužívají připojení HTTPS."