Люди говорят о том, что их онлайн-аккаунты «взломаны», но как именно это происходит? Реальность такова, что учетные записи взломаны довольно простыми способами – злоумышленники не используют черную магию.
Знание – сила. Понимание того, как на самом деле скомпрометированы учетные записи, может помочь вам защитить ваши учетные записи и предотвратить «взлом» ваших паролей.
Повторное использование паролей, особенно утечек
Многие люди – возможно, даже большинство людей – повторно используют пароли для разных учетных записей. Некоторые люди могут даже использовать один и тот же пароль для каждой учетной записи, которую они используют. Это крайне небезопасно. За последние несколько лет многие веб-сайты, даже крупные, известные, такие как LinkedIn и eHarmony, утекли в свои базы паролей. Базы утечек паролей вместе с именами пользователей и адресами электронной почты легко доступны в Интернете. Злоумышленники могут попробовать эти комбинации адресов электронной почты, имен пользователей и паролей на других сайтах и получить доступ ко многим учетным записям.
Повторное использование пароля для вашей учетной записи электронной почты подвергает вас еще большему риску, поскольку ваша учетная запись электронной почты может быть использована для сброса всех других ваших паролей, если злоумышленник получит к нему доступ.
Как бы хорошо вы ни защищали свои пароли, вы не можете контролировать, насколько хорошо используемые вами службы защищают ваши пароли. Если вы повторно используете пароли, и одна компания проскальзывает, все ваши учетные записи будут в опасности. Вы должны использовать разные пароли везде – менеджер паролей может помочь с этим.
Keyloggers
Кейлоггеры – это вредоносные программы, которые могут работать в фоновом режиме, регистрируя каждое нажатие клавиши. Они часто используются для сбора конфиденциальных данных, таких как номера кредитных карт, пароли онлайн-банкинга и другие учетные данные. Затем они отправляют эти данные злоумышленнику через Интернет.
Такие вредоносные программы могут поступать с помощью эксплойтов – например, если вы используете устаревшую версию Java, как и большинство компьютеров в Интернете, вы можете быть скомпрометированы через Java-апплет на веб-странице. Однако они также могут быть замаскированы под другим программным обеспечением. Например, вы можете скачать сторонний инструмент для онлайн-игры. Инструмент может быть вредоносным, захватывая ваш игровой пароль и отправляя его злоумышленнику через Интернет.
Используйте достойную антивирусную программу, обновляйте программное обеспечение и избегайте загрузки ненадежного программного обеспечения.
Социальная инженерия
Злоумышленники также часто используют уловки социальной инженерии для доступа к вашим учетным записям. Фишинг является широко известной формой социальной инженерии – по сути, злоумышленник подражает кому-то и запрашивает ваш пароль. Некоторые пользователи с готовностью передают свои пароли. Вот несколько примеров социальной инженерии:
- Вы получите электронное письмо, в котором утверждается, что оно принадлежит вашему банку, и направит вас на поддельный веб-сайт банка с просьбой ввести пароль.
- Вы получаете сообщение на Facebook или любом другом социальном веб-сайте от пользователя, который утверждает, что он является официальным аккаунтом Facebook, с просьбой выслать свой пароль для аутентификации.
- Вы посещаете веб-сайт, который обещает дать вам что-то ценное, например, бесплатные игры в Steam или бесплатное золото в World of Warcraft. Чтобы получить это поддельное вознаграждение, веб-сайту требуются ваши имя пользователя и пароль для службы.
Будьте осторожны с тем, кому вы даете свой пароль – не нажимайте ссылки в электронных письмах и не заходите на веб-сайт вашего банка, не передавайте свой пароль любому, кто связывается с вами и запрашивает его, и не передавайте свои учетные данные ненадежным веб-сайты, особенно те, которые кажутся слишком хорошими, чтобы быть правдой.
Отвечая на вопросы безопасности
Пароли часто можно сбросить, ответив на секретные вопросы. Вопросы безопасности, как правило, невероятно слабы – часто такие вещи, как «Где вы родились?», «В какую среднюю школу вы ходили?» И «Как звали девичью вашу мать?». Часто очень легко найти эту информацию на общедоступных сайтах социальных сетей, и большинство нормальных людей скажут вам, в какую среднюю школу они ходят, если их спросят. С помощью этой простой в получении информации злоумышленники могут часто сбрасывать пароли и получать доступ к учетным записям.
В идеале вы должны использовать секретные вопросы с ответами, которые нелегко обнаружить или угадать. Веб-сайты также должны мешать людям получать доступ к учетной записи только потому, что они знают ответы на несколько секретных вопросов, а некоторые знают, но некоторые до сих пор этого не делают.
Учетная запись электронной почты и пароль сбрасываются
Если злоумышленник использует любой из вышеперечисленных способов для получения доступа к вашим учетным записям электронной почты, у вас большие проблемы. Ваша учетная запись электронной почты обычно функционирует как ваша основная учетная запись в Интернете.Все остальные учетные записи, которые вы используете, связаны с ним, и любой, у кого есть доступ к учетной записи электронной почты, может использовать ее для сброса ваших паролей на любом количестве сайтов, на которых вы зарегистрированы с помощью адреса электронной почты.
По этой причине вам следует максимально обезопасить свою учетную запись электронной почты. Особенно важно использовать уникальный пароль для него и тщательно его охранять.
Какой пароль «взломать» не
Большинство людей, вероятно, представляют злоумышленников, пытающихся использовать каждый возможный пароль для входа в свою учетную запись. Этого не происходит Если вы попытаетесь войти в чью-то онлайн-учетную запись и продолжите угадывать пароли, вы будете замедлены и лишены возможности использовать больше, чем несколько паролей.
Если злоумышленник смог войти в онлайн-аккаунт, просто угадав пароли, вполне вероятно, что пароль был чем-то очевидным, что можно было угадать с первых нескольких попыток, например, «пароль» или имя домашнего питомца.
Злоумышленники могут использовать такие методы перебора только в том случае, если у них есть локальный доступ к вашим данным – например, допустим, вы сохранили зашифрованный файл в своей учетной записи Dropbox, а злоумышленники получили к нему доступ и загрузили зашифрованный файл. Затем они могут попытаться перебрать шифрование, по сути, пытаясь использовать каждую комбинацию паролей, пока одна из них не сработает.
Люди, которые говорят, что их учетные записи были «взломаны», вероятно, виновны в повторном использовании паролей, установке регистратора ключей или передаче своих учетных данных злоумышленнику после уловок социальной инженерии. Они могли также быть скомпрометированы в результате легко угаданных вопросов безопасности.
Если вы примете надлежащие меры безопасности, «взломать» ваши учетные записи будет нелегко. Также может помочь использование двухфакторной аутентификации – злоумышленнику понадобится больше, чем просто ваш пароль, чтобы войти.
Изображение предоставлено: Роберт ван дер Стиг на Flickr, asenat на Flickr
