Ako útočníci skutočne Hack účty Online a ako sa chrániť
Ľudia hovoria o tom, že on-line účty sú "hackované", ale ako presne toto hackovanie sa deje? Pravdou je, že účty sú napadnuté pomerne jednoduchými spôsobmi - útočníci nepoužívajú čiernu mágiu.
Poznanie je moc. Pochopenie toho, ako sú účty skutočne ohrozené, vám môže pomôcť zabezpečiť vaše účty a predchádzať tomu, že vaše heslá budú "hackované" na prvom mieste.
Opätovné používanie hesiel, najmä tých, ktoré unikli
Mnoho ľudí - možno aj väčšina ľudí - opätovne používa heslá pre rôzne účty. Niektorí ľudia môžu dokonca použiť rovnaké heslo pre každý účet, ktorý používajú. To je mimoriadne neisté. Mnohé webové stránky - dokonca aj veľké, dobre známe ako LinkedIn a eHarmony - si v priebehu niekoľkých posledných rokov vyčerpali svoje databázy hesiel. Databázy uniknutých hesiel spolu s užívateľskými menami a e-mailovými adresami sú ľahko dostupné online. Útočníci môžu vyskúšať tieto kombinácie e-mailovej adresy, používateľského mena a hesiel na iných webových stránkach a získať prístup k mnohým účtom.
Opätovné používanie hesla pre váš e-mailový účet vás ešte viac ohrozuje, pretože váš e-mailový účet môže byť použitý na obnovenie všetkých ostatných hesiel v prípade, že by k nemu pristupoval útočník.
Bez ohľadu na to, že ste pri zabezpečovaní hesiel, nemôžete kontrolovať, ako dobre používané služby zabezpečujú vaše heslá. Ak opakovane používate heslá a jedna spoločnosť klesne, všetky vaše účty budú ohrozené. Mali by ste používať rôzne heslá všade - s tým môže správca hesiel pomôcť.
keyloggery
Keyloggery sú škodlivé kúsky softvéru, ktorý môže bežať na pozadí a zaznamenávať každú klávesovú zdvih, ktorú robíte. Často sa používajú na zachytenie citlivých údajov, ako sú čísla kreditných kariet, heslá online bankovníctva a iné poverenia účtu. Tieto údaje pošlú útočníkovi cez internet.
Takýto malware môže prísť prostredníctvom zneužitia - napríklad ak používate zastaralú verziu jazyka Java, ako väčšina počítačov na internete, môžete byť napadnutý prostredníctvom appletu Java na webovej stránke. Môžu však prichádzať aj v inom softvéri. Môžete napríklad stiahnuť nástroj tretej strany pre online hru. Nástroj môže byť škodlivý, zachytiť heslo hry a odoslať ho útočníkovi cez internet.
Používajte slušný antivírusový program, aktualizujte softvér a vyhýbajte sa sťahovaniu nedôveryhodného softvéru.
Sociálne inžinierstvo
Útočníci tiež často používajú triky sociálneho inžinierstva na prístup k vašim účtom. Phishing je všeobecne známa forma sociálneho inžinierstva - v podstate útočník zosobňuje niekoho a požiada o heslo. Niektorí používatelia odovzdávajú svoje heslá ľahko. Tu sú niektoré príklady sociálneho inžinierstva:
- Dostanete e-mail, ktorý prehlasuje, že pochádza z vašej banky, smeruje vás na falošnú webovú stránku banky a žiada vás o vyplnenie hesla.
- Na Facebooku alebo na inej sociálnej webovej stránke dostanete správu od používateľa, ktorý tvrdí, že je oficiálnym účtom Facebook, s požiadavkou na odoslanie hesla na overenie totožnosti.
- Navštívite webové stránky, ktoré sľubujú, že vám prinesú niečo cenné, ako sú bezplatné hry na Steam alebo bezplatné zlato v World of Warcraft. Ak chcete získať túto falošnú odmenu, webová stránka vyžaduje vaše používateľské meno a heslo pre službu.
Buďte opatrní, kto vám dáte svoje heslo - nekliknite na odkazy v e-mailoch a prejdite na webovú stránku svojej banky, neodovzdajte svoje heslo komukoľvek, kto vás kontaktuje a požiada ho a nedávajte poverenia účtu nedôveryhodný webové stránky, najmä tie, ktoré sa zdajú byť príliš dobré na to, aby boli pravdivé.
Odpovedať na bezpečnostné otázky
Heslá môžu byť často obnovené odpovedaním na bezpečnostné otázky. Bezpečnostné otázky sú všeobecne neuveriteľne slabé - často sa jedná napríklad o "kde ste sa narodili?", "Na ktorú strednú školu ste chodili?" A "Aké bolo tvoje materské meno?". Často je veľmi ľahké nájsť tieto informácie na verejne prístupných stránkach sociálnych sietí a väčšina obyčajných ľudí by vám povedala, na ktorú strednú školu chodia, ak ich požiadajú. Pomocou týchto ľahko získateľných informácií môžu útočníci často obnoviť heslá a získať prístup k účtom.
V ideálnom prípade by ste mali používať bezpečnostné otázky s odpoveďami, ktoré nie sú ľahko objavené alebo odhadnuté. Webové stránky by mali tiež zabrániť ľuďom získať prístup k účtu len preto, že vedia odpovede na niekoľko otázok týkajúcich sa bezpečnosti, a niektorí robia - ale niektorí stále nemajú.
E-mailový účet a obnovenie hesla
Ak útočník použije niektorú z vyššie uvedených metód na získanie prístupu k vašim e-mailovým účtom, máte väčšie problémy. Váš e-mailový účet spravidla funguje ako váš hlavný účet online. Všetky ostatné účty, ktoré používate, sú s ňou prepojené a ktokoľvek s prístupom k e-mailovému účtu by ho mohol použiť na obnovenie hesiel na ľubovoľnom počte stránok, na ktorých ste sa zaregistrovali pomocou e-mailovej adresy.
Z tohto dôvodu by ste mali zabezpečiť váš e-mailový účet čo najviac. Je obzvlášť dôležité používať pre neho jedinečné heslo a opatrne ho chrániť.
Čo heslo "Hacking" nie je
Väčšina ľudí pravdepodobne predpokladá, že útočníci hľadajú každé možné heslo na prihlásenie do svojho online účtu. Toto sa nedeje. Ak ste sa pokúsili prihlásiť do niekoho online účtu a pokračovali v hádaní hesiel, spomalili by ste a nebránili by ste vyskúšať viac ako niekoľko hesiel.
Ak by bol útočník schopný dostať sa do on-line účtu len hádaním hesiel, je pravdepodobné, že heslo bolo niečo zjavné, ktoré by bolo možné hádať o prvých niekoľkých pokusoch, ako je "heslo" alebo meno osoby.
Útočníci mohli použiť také metódy brutto-force, ak mali lokálny prístup k vašim údajom - povedzme napríklad, že ste uložili zašifrovaný súbor do vášho účtu Dropbox a útočníci získali prístup k nemu a prevzali šifrovaný súbor. Mohli by sa potom pokúsiť o brutálne vynútenie šifrovania, v podstate sa pokúšajú každú kombináciu hesiel, kým sa nepracuje.
Ľudia, ktorí tvrdia, že ich účty boli "napadnuté", sú pravdepodobne vinní z opätovného používania hesiel, inštalácie kľúčového loggeru alebo poskytnutia poverenia útočníkovi po trikoch sociálneho inžinierstva. Môžu byť tiež ohrozené v dôsledku ľahko uhádnutých bezpečnostných otázok.
Ak budete brať správne bezpečnostné opatrenia, nebude to jednoduché "hackovať" vaše účty. Použitie dvojfaktorovej autentifikácie môže tiež pomôcť - útočník bude potrebovať viac než len heslo, aby sa dostal dovnútra.
Obrazový kredit: Robbert van der Steeg na Flickr, vydaný na Flickr