Πώς οι επιτιθέμενοι στην πραγματικότητα Hack λογαριασμούς σε απευθείας σύνδεση και πώς να προστατεύσει τον εαυτό σας
Οι άνθρωποι μιλούν για τους λογαριασμούς τους στο διαδίκτυο που έχουν «πειραματιστεί», αλλά πώς ακριβώς συμβαίνει αυτό το hacking; Η πραγματικότητα είναι ότι οι λογαριασμοί έχουν πειραχτεί με αρκετά απλούς τρόπους - οι εισβολείς δεν χρησιμοποιούν μαύρη μαγεία.
Η γνώση είναι δύναμη. Η κατανόηση του τρόπου με τον οποίο οι λογαριασμοί είναι στην πραγματικότητα συμβιβαστεί μπορεί να σας βοηθήσει να εξασφαλίσετε τους λογαριασμούς σας και να αποτρέψετε τους κωδικούς πρόσβασής σας από το να «hacked» στην πρώτη θέση.
Επαναχρησιμοποίηση κωδικών πρόσβασης, ειδικά διαρροές
Πολλοί άνθρωποι - ίσως ακόμη και οι περισσότεροι άνθρωποι - επαναχρησιμοποιούν κωδικούς πρόσβασης για διαφορετικούς λογαριασμούς. Μερικοί άνθρωποι μπορούν ακόμη και να χρησιμοποιούν τον ίδιο κωδικό πρόσβασης για κάθε λογαριασμό που χρησιμοποιούν. Αυτό είναι εξαιρετικά ανασφαλές. Πολλοί ιστότοποι - ακόμα και μεγάλοι, γνωστοί όπως το LinkedIn και το eHarmony - έχουν διαρρεύσει τις βάσεις δεδομένων των κωδικών πρόσβασης τους τα τελευταία χρόνια. Οι βάσεις δεδομένων των διαφυγόντων κωδικών πρόσβασης μαζί με τα ονόματα χρηστών και τις διευθύνσεις ηλεκτρονικού ταχυδρομείου είναι εύκολα προσβάσιμες στο διαδίκτυο. Οι επιτιθέμενοι μπορούν να δοκιμάσουν αυτές τις διευθύνσεις ηλεκτρονικού ταχυδρομείου, όνομα χρήστη και συνδυασμούς κωδικών πρόσβασης σε άλλους ιστότοπους και να αποκτήσουν πρόσβαση σε πολλούς λογαριασμούς.
Η επαναχρησιμοποίηση ενός κωδικού πρόσβασης για τον λογαριασμό ηλεκτρονικού ταχυδρομείου σας θέτει ακόμα περισσότερο σε κίνδυνο, καθώς ο λογαριασμός ηλεκτρονικού ταχυδρομείου σας θα μπορούσε να χρησιμοποιηθεί για την επαναφορά όλων των άλλων κωδικών πρόσβασής σας σε περίπτωση που ένας εισβολέας αποκτήσει πρόσβαση σε αυτόν.
Όσο καλά είστε στη διασφάλιση των κωδικών πρόσβασής σας, δεν μπορείτε να ελέγξετε πόσο καλά οι υπηρεσίες που χρησιμοποιείτε διασφαλίζουν τους κωδικούς πρόσβασής σας. Αν επαναχρησιμοποιήσετε τους κωδικούς πρόσβασης και μια εταιρεία γλιστρήσει, όλοι οι λογαριασμοί σας θα διατρέξουν κίνδυνο. Θα πρέπει να χρησιμοποιείτε διαφορετικούς κωδικούς πρόσβασης παντού - ένας διαχειριστής κωδικών πρόσβασης μπορεί να βοηθήσει σε αυτό.
Keyloggers
Τα Keyloggers είναι κακόβουλα κομμάτια λογισμικού που μπορούν να τρέξουν στο παρασκήνιο, καταγράφοντας κάθε κτύπημα πλήκτρων που κάνετε. Συχνά χρησιμοποιούνται για τη λήψη ευαίσθητων δεδομένων, όπως αριθμοί πιστωτικών καρτών, κωδικοί ηλεκτρονικής τραπεζικής και άλλα διαπιστευτήρια λογαριασμού. Στη συνέχεια στέλνουν τα δεδομένα αυτά σε έναν εισβολέα μέσω του Διαδικτύου.
Ένα τέτοιο κακόβουλο λογισμικό μπορεί να φτάσει μέσω των εκμεταλλεύσεων - για παράδειγμα, εάν χρησιμοποιείτε μια παλιά έκδοση της Java, όπως συμβαίνει με τους περισσότερους υπολογιστές στο Διαδίκτυο, μπορείτε να συμβιβαστείτε μέσω μιας εφαρμογής Java σε μια ιστοσελίδα. Ωστόσο, μπορούν επίσης να φτάσουν να συγκαλυφθούν σε άλλο λογισμικό. Για παράδειγμα, μπορείτε να λάβετε ένα εργαλείο τρίτου μέρους για ένα online παιχνίδι. Το εργαλείο μπορεί να είναι κακόβουλο, καταγράφοντας τον κωδικό του παιχνιδιού και στέλνοντάς το στον εισβολέα μέσω του Διαδικτύου.
Χρησιμοποιήστε ένα αξιοπρεπές πρόγραμμα προστασίας από ιούς, ενημερώστε το λογισμικό σας και αποφύγετε τη λήψη αναξιόπιστου λογισμικού.
Κοινωνική μηχανική
Οι επιτιθέμενοι χρησιμοποιούν επίσης κοινά κόλπα κοινωνικής μηχανικής για να αποκτήσουν πρόσβαση στους λογαριασμούς σας. Το ηλεκτρονικό "ψάρεμα" είναι μια κοινώς γνωστή μορφή κοινωνικής μηχανικής - ουσιαστικά, ο εισβολέας πλαστοπροσωπεί κάποιον και ζητά τον κωδικό σας. Μερικοί χρήστες παραδίδουν τους κωδικούς τους εύκολα. Ακολουθούν ορισμένα παραδείγματα κοινωνικής μηχανικής:
- Λαμβάνετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που ισχυρίζεται ότι προέρχεται από την τράπεζά σας, σάς κατευθύνει σε έναν ψεύτικο ιστότοπο τραπεζών και σας ζητά να συμπληρώσετε τον κωδικό πρόσβασής σας.
- Λαμβάνετε ένα μήνυμα στο Facebook ή σε οποιοδήποτε άλλο κοινωνικό ιστότοπο από έναν χρήστη που ισχυρίζεται ότι είναι επίσημος λογαριασμός στο Facebook, ζητώντας σας να στείλετε τον κωδικό πρόσβασής σας για να πιστοποιήσετε τον εαυτό σας.
- Επισκεφθείτε έναν ιστότοπο που υπόσχεται να σας δώσει κάτι πολύτιμο, όπως δωρεάν παιχνίδια με Steam ή δωρεάν χρυσό στο World of Warcraft. Για να λάβετε αυτήν την πλαστή ανταμοιβή, ο ιστότοπος απαιτεί το όνομα χρήστη και τον κωδικό πρόσβασής σας για την υπηρεσία.
Να είστε προσεκτικοί σχετικά με το ποιος θα δώσετε τον κωδικό πρόσβασής σας - μην κάνετε κλικ σε συνδέσμους στα μηνύματα ηλεκτρονικού ταχυδρομείου και πηγαίνετε στον ιστότοπο της τράπεζάς σας, μην δίνετε τον κωδικό πρόσβασης σε οποιονδήποτε επικοινωνεί μαζί σας και το ζητάει και δεν δίνετε τα διαπιστευτήρια του λογαριασμού σας σε αναξιόπιστα ιστοσελίδες, ειδικά αυτές που φαίνονται πολύ καλές για να είναι αληθινές.
Απαντήσεις σε ερωτήσεις ασφαλείας
Οι κωδικοί πρόσβασης μπορούν συχνά να επαναληφθούν απαντώντας σε ερωτήσεις ασφαλείας. Τα ερωτήματα ασφαλείας είναι γενικά απίστευτα αδύναμα - συχνά τα πράγματα όπως "Πού γεννήθηκες;", "Ποιο γυμνάσιο πήγες;" και "Ποιο ήταν το πατρικό όνομα της μητέρας σου;". Είναι συχνά πολύ εύκολο να βρείτε αυτές τις πληροφορίες σε ιστότοπους κοινωνικής δικτύωσης που είναι προσβάσιμοι από το κοινό και οι πιο κανονικοί άνθρωποι θα σας έλεγαν ποιο γυμνάσιο πήγαν σε περίπτωση που τους ζητήθηκε. Με αυτό το εύκολο στη λήψη πληροφορίες, οι επιτιθέμενοι μπορούν συχνά να επαναφέρουν τους κωδικούς πρόσβασης και να αποκτήσουν πρόσβαση σε λογαριασμούς.
Στην ιδανική περίπτωση, θα πρέπει να χρησιμοποιείτε ερωτήσεις ασφαλείας με απαντήσεις που δεν μπορούν εύκολα να ανακαλυφθούν ή να μαντέψουν. Οι ιστότοποι θα πρέπει επίσης να εμποδίζουν τους ανθρώπους να αποκτούν πρόσβαση σε έναν λογαριασμό μόνο και μόνο επειδή γνωρίζουν τις απαντήσεις σε μερικές ερωτήσεις σχετικά με την ασφάλεια, ενώ ορισμένοι κάνουν - αλλά ορισμένοι εξακολουθούν να μην το κάνουν.
Επαναφορά λογαριασμού ηλεκτρονικού ταχυδρομείου και κωδικού πρόσβασης
Εάν ένας εισβολέας χρησιμοποιεί οποιαδήποτε από τις παραπάνω μεθόδους για να αποκτήσει πρόσβαση στους λογαριασμούς ηλεκτρονικού ταχυδρομείου σας, αντιμετωπίζετε μεγαλύτερες δυσκολίες. Ο λογαριασμός ηλεκτρονικού ταχυδρομείου σας λειτουργεί γενικά ως ο κύριος λογαριασμός σας στο διαδίκτυο. Όλοι οι άλλοι λογαριασμοί που χρησιμοποιείτε συνδέονται με αυτόν και οποιοσδήποτε έχει πρόσβαση στον λογαριασμό ηλεκτρονικού ταχυδρομείου θα μπορούσε να το χρησιμοποιήσει για να επαναφέρει τους κωδικούς πρόσβασης σε οποιονδήποτε αριθμό ιστότοπων με τους οποίους καταχωρίσατε τη διεύθυνση ηλεκτρονικού ταχυδρομείου.
Για το λόγο αυτό, θα πρέπει να εξασφαλίσετε όσο το δυνατόν περισσότερο τον λογαριασμό ηλεκτρονικού ταχυδρομείου σας. Είναι ιδιαίτερα σημαντικό να χρησιμοποιήσετε έναν μοναδικό κωδικό πρόσβασης και να τον φυλάξετε με προσοχή.
Ποιος κωδικός πρόσβασης "Hacking" δεν είναι
Οι περισσότεροι πιθανότατα φαντάζουν τους επιτιθέμενους να προσπαθούν να βρουν κάθε κωδικό πρόσβασης για να συνδεθούν στον ηλεκτρονικό τους λογαριασμό. Αυτό δεν συμβαίνει. Αν προσπαθήσατε να συνδεθείτε σε κάποιον λογαριασμό στο διαδίκτυο και να συνεχίσετε να μαντεύετε κωδικούς πρόσβασης, θα επιβραδύνεστε και θα αποτρέψετε να δοκιμάσετε περισσότερες από μια χούφτα κωδικούς πρόσβασης.
Εάν ένας εισβολέας ήταν σε θέση να μπει σε έναν ηλεκτρονικό λογαριασμό απλώς μαντεύοντας τους κωδικούς πρόσβασης, είναι πιθανό ότι ο κωδικός πρόσβασης ήταν κάτι προφανές που θα μπορούσε να μαντέψει στις πρώτες μερικές προσπάθειες, όπως ο "κωδικός πρόσβασης" ή το όνομα του κατοικίδιου ζώου του ατόμου.
Οι επιτιθέμενοι θα μπορούσαν να χρησιμοποιήσουν αυτές τις μεθόδους μόνο αν είχαν τοπική πρόσβαση στα δεδομένα σας - για παράδειγμα, ας υποθέσουμε ότι αποθηκεύσατε ένα κρυπτογραφημένο αρχείο στο λογαριασμό σας Dropbox και οι εισβολείς αποκτήθηκαν πρόσβαση σε αυτό και κατέβασαν το κρυπτογραφημένο αρχείο. Στη συνέχεια, θα μπορούσαν να προσπαθήσουν να χτυπήσουν με βίαιο τρόπο την κρυπτογράφηση, προσπαθώντας ουσιαστικά κάθε συνδυασμός κωδικού πρόσβασης μέχρι να δουλέψει κάποιος.
Οι άνθρωποι που λένε ότι οι λογαριασμοί τους έχουν «πειραχτεί» είναι πιθανώς ένοχοι επαναχρησιμοποίησης κωδικών πρόσβασης, εγκαθιστώντας έναν καταγραφέα κλειδιών ή δίνοντας τα διαπιστευτήρια τους σε έναν εισβολέα μετά από κόλπα κοινωνικής μηχανικής. Μπορεί επίσης να έχουν διακυβευτεί ως αποτέλεσμα των ευκόλως εικασμένων ερωτήσεων ασφάλειας.
Εάν λάβετε τις κατάλληλες προφυλάξεις ασφαλείας, δεν θα είναι εύκολο να "hack" τους λογαριασμούς σας. Η χρήση επαλήθευσης δύο παραγόντων μπορεί επίσης να σας βοηθήσει - ένας εισβολέας θα χρειαστεί κάτι περισσότερο από τον κωδικό πρόσβασής σας για να εισέλθει.
Image Credit: Robbert van der Steeg στο Flickr, στο Flickr