Jak útočníci skutečně Hack účty Online a jak se chránit
Lidé mluví o tom, že jejich online účty jsou "hackované", ale jak přesně toto hackování probíhá? Realita je, že účty jsou hackovány poměrně jednoduchými způsoby - útočníci nepoužívají černé magie.
Vědění je moc. Porozumění tomu, jak jsou účty skutečně ohroženy, vám pomůže zabezpečit vaše účty a zabránit tomu, aby vaše hesla byla "napadena" na prvním místě.
Opakované používání hesel, zejména úniků
Mnoho lidí - možná i většina lidí - znovu používají hesla pro různé účty. Někteří lidé mohou dokonce použít stejné heslo pro každý účet, který používají. To je mimořádně nejistá. Mnoho webových stránek - dokonce i velké, dobře známé, jako jsou LinkedIn a eHarmony - mají během posledních několika let uniklé databáze hesel. Databáze uniklých hesel spolu s uživatelskými jmény a e-mailovými adresami jsou snadno dostupné online. Útočníci mohou vyzkoušet tyto kombinace e-mailových adres, uživatelských jmen a hesel na jiných webových stránkách a získat přístup k mnoha účtům.
Opětovné použití hesla pro váš e-mailový účet vás ještě více ohrožuje, jelikož váš e-mailový účet může být použit k obnovení všech ostatních hesel, pokud k němu přistupuje útočník.
Ať už jste při zabezpečování hesel dobří, nemůžete řídit, jak dobře používané služby zabezpečují vaše hesla. Pokud opětovně použijete hesla a jedna společnost klesne, všechny vaše účty budou ohroženy. Měli byste používat všude různé hesla - s tím vám to pomůže správce hesel.
Keyloggery
Keyloggery jsou škodlivé části softwaru, které mohou běžet na pozadí a zaznamenávají každý klíčový tah, který uděláte. Často se používají k zachycení citlivých údajů, jako jsou čísla kreditních karet, hesla pro online bankovnictví a další pověření účtu. Potom tyto údaje odesílají útočníkovi prostřednictvím internetu.
Takový malware může přicházet prostřednictvím zneužití - například pokud používáte zastaralou verzi Java, jako většina počítačů na Internetu, můžete být napadeni prostřednictvím appletu Java na webové stránce. Mohou však přijít i v jiném softwaru. Můžete například stáhnout nástroj třetí strany pro online hru. Nástroj může být škodlivý, zachytit heslo hry a odeslat ho útočníkovi přes Internet.
Používejte slušný antivirový program, aktualizujte svůj software a vyhněte se stahování nedůvěryhodného softwaru.
Sociální inženýrství
Útočníci také běžně používají triky sociálního inženýrství k přístupu k vašim účtům. Phishing je obecně známá forma sociálního inženýrství - v podstatě se útočník vydává za někoho a prosí heslo. Někteří uživatelé odevzdávají hesla snadno. Zde jsou některé příklady sociálního inženýrství:
- Obdržíte e-mail, který prohlašuje, že pochází z vaší banky, směřuje vás na falešné webové stránky banky a požádá vás o vyplnění hesla.
- Na Facebooku nebo jiné sociální webové stránky obdržíte zprávu od uživatele, který se prohlašuje za oficiální účet ve službě Facebook a požádá vás o zaslání hesla pro ověření totožnosti.
- Navštívíte webovou stránku, která slibuje, že vám dá něco cenného, jako jsou hry zdarma na Steam nebo bezplatné zlato ve World of Warcraft. Chcete-li získat tuto falešnou odměnu, webové stránky vyžadují vaše uživatelské jméno a heslo pro službu.
Buďte opatrní, na koho zadáte své heslo - neklikněte na odkazy v e-mailech a přejděte na webové stránky své banky, nezapomeňte své heslo komukoli, kdo vás kontaktoval a požádá o něj, a nedávejte pověření účtu nedůvěryhodným webové stránky, zejména ty, které se zdají být příliš dobré, aby byly pravdivé.
Odpovídání na bezpečnostní otázky
Hesla lze často resetovat tak, že odpovíte na bezpečnostní otázky. Bezpečnostní otázky jsou obecně neuvěřitelně slabé - často se jedná o věci, "Kde jste se narodili?", "K čemu jste šli na střední školu?" A "Jaké bylo jméno vašeho matky?". Často je velmi snadné tyto informace nalézt na veřejných sociálních sítích přístupných veřejnosti a většina obyčejných lidí by vám řekla, na jakou vysokou školu chodí, pokud budou požádáni. S tímto snadno přístupným informacem mohou útočníci často obnovovat hesla a získat přístup k účtům.
V ideálním případě byste měli používat bezpečnostní otázky s odpověďmi, které nejsou snadno rozpoznány nebo odhadnuty. Webové stránky by také měly zabránit tomu, aby lidé získali přístup k účtu jen proto, že znají odpovědi na několik otázek týkajících se bezpečnosti, a někteří to - ale někteří ještě.
E-mailový účet a resetování hesla
Pokud útočník používá některou z výše uvedených metod k získání přístupu k vašim e-mailovým účtům, máte větší potíže. Váš e-mailový účet obecně funguje jako hlavní účet online. Všechny ostatní účty, které používáte, jsou s ním propojeny a každý, kdo má přístup k e-mailovému účtu, by mohl použít heslo k obnovení hesla na libovolném počtu webů, které jste zaregistrovali pomocí e-mailové adresy.
Z tohoto důvodu byste měli co nejvíce zabezpečit svůj e-mailový účet. Je obzvláště důležité používat pro něj jedinečné heslo a pečlivě ho střežit.
Co Heslo "hackování" není
Většina lidí si pravděpodobně představí, že útočníci zkoušejí každé možné heslo pro přihlášení do svého online účtu. To se neděje. Pokud jste se pokoušeli přihlásit do něčího online účtu a pokračovat v hádání hesel, zpomalili byste a zabránili pokusit se více než hrst hesel.
Pokud byl útočník schopen dostat se do online účtu jen tím, že hádá hesla, je pravděpodobné, že heslo bylo něco zřejmého, které mohlo být odhadnuto v prvních několika pokusech, například "heslo" nebo jméno zvířete.
Útočníci mohli používat takové metody brute-force, pokud měli místní přístup k vašim datům - například řekněme, že ukládáte šifrovaný soubor do účtu Dropbox a útočníci získali přístup k němu a stáhli šifrovaný soubor. Mohli by se pak pokusit o brutální vynutí šifrování, v podstatě se snažili každou kombinaci hesel, dokud jedna nebude fungovat.
Lidé, kteří říkají, že jejich účty byly "hacknuty", jsou pravděpodobné vinnými z opakovaného použití hesel, instalace klíčového loggeru nebo poskytnutí pověření útočníkovi po technických tritech. Mohly být také ohroženy v důsledku snadno uhodnutých bezpečnostních otázek.
Pokud přijmete řádná bezpečnostní opatření, nebude to snadné "hackovat" vaše účty. Použití dvoufaktorové autentizace může také pomoci - útočník bude potřebovat víc než jen heslo pro vstup.
Image Credit: Robbert van der Steeg na Flickru, vydaný na Flickru