Як хтось отримав мій пароль?

Ви коли-небудь отримували електронне повідомлення про "вимагання", в якому повідомлялося, що ваш комп’ютер зламаний, і попереджало, що якщо ви не заплатите, вони видадуть відео інтимного характеру для всього вашого списку контактів? Чи містив електронний лист старий ваш пароль як «доказ», що їхні твердження відповідають дійсності? Вам цікаво, як вони отримали ваш пароль?

Що таке фішинг?

Статистично це було, мабуть, із фішингового електронного листа. У 2018 році 93% усіх порушень у всьому світі почалися з фішингової або прикидливої ​​атаки.

Фішинг-листи надзвичайно поширені та високоефективні. Вони використовують такі емоції, як страх і сором (у електронних листах про вимагання) або терміновості (це потрібно моєму босові зараз!), Або жадібності (я виграв нову машину ??).

Їх також можна надіслати за допомогою текстових повідомлень (SMiShing), голосового (вішинг), електронної пошти (фішинг) та фішингу в соціальних мережах.

Чим більше людей адаптується, тим більше хакери змінюються у відповідь - їх тактика постійно розвивається.  

Зазвичай фішинг-листи містять посилання чи вкладення. Щойно ви натискаєте посилання або відкриваєте вкладення, вони можуть встановити на ваш пристрій зловмисне програмне забезпечення або змусити вас ввести свої облікові дані на фальшивий сайт (який схожий на справжній сайт). Шкідливе програмне забезпечення перевірить, чи може воно використати невідпаковані уразливості, щоб встановити більше шкідливого програмного забезпечення у вашу систему (яка потім може вкрасти паролі, встановити кейлоггери, щоб записати всі ваші натискання клавіш - і, отже, ваші паролі! - і так далі).

Після того, як хакер викраде ваші облікові дані, вони можуть робити такі дії, як видалення ваших особистих фінансових даних або інформації про рахунок, або даних ваших клієнтів, якщо це відбувається на пристрої вашої корпорації.

Фішинг цілком заслуговує на власну статтю, тому, якщо вам цікаво навчитися фішингу, перегляньте цю статтю.

Як ви можете зупинити фішинг, щоб він не впливав на вас?

Також важко захиститися від фішингу. Як приватна особа, найкраще, що ви можете зробити, це обережність при відкритті електронних листів - будьте обережні щодо електронних листів, які грають на ваші емоції, просять вас приймати швидкі рішення або здаються занадто гарними, щоб бути правдою.

Зверніть увагу на незвичних відправників (чи впізнаєте ви того, хто надсилає вам електронне повідомлення? Це та сама електронна адреса, яку вони використовували раніше?), Або несподівані посилання чи вкладення. Якщо ви не впевнені, що електронна пошта є законною, підтвердьте, що вона надіслана відправнику за допомогою іншого способу зв’язку.

Також слід використовувати антивірусне програмне забезпечення та програмне забезпечення для захисту кінцевих точок. Платна версія краща за безкоштовну версію, оскільки вона оновлюється у міру виявлення нових шкідливих програм. Але безкоштовна версія зазвичай краще, ніж ніщо. Мені подобається Malwarebytes для ноутбуків.

Команди безпеки використовуватимуть безліч інструментів:

  • механізми фільтрації електронної пошти, які намагаються зменшити кількість фішингу та електронної пошти, що надходять у поштові скриньки користувача,
  • такі заходи, як SPF, DKIM та DMARC, які можуть допомогти забезпечити автентифікацію того, що електронна пошта говорить правду про те, звідки вона надійшла,
  • навчання обізнаності користувачів,
  • та механізми захисту кінцевих точок.

Механізми захисту кінцевої точки можуть варіюватися від простих антивірусних програм до агентів, встановлених на кожному пристрої. Вони намагатимуться запобігти запуску відомого шкідливого програмного забезпечення, виявляти незвичну поведінку та запобігати запуску шкідливих процесів, попереджаючи команду операційних служб безпеки або змушуючи програму вийти.

Таким чином, навіть якщо електронна пошта проходить через фільтри, а користувач не помічає нічого поганого, захист кінцевої точки не дозволить шкідливому програмному забезпеченню насправді пошкодити машину.

Як інакше хтось міг отримати мій пароль?

Часто, коли хакер порушує компанію, вони продають імена користувачів та паролі, отримані ними в темній мережі.

Surface Web: Що ви можете знайти в Google або інших популярних пошукових системах. Це, мабуть, більшість із того, що ви вважаєте Інтернетом. У порівнянні з мережею Інтернет, це дуже мала частина інформації, яка є "в мережі". Глибока павутина: Інформація, яка перебуває в Інтернеті, але не індексується (доступна для пошуку) Google та іншими популярними браузерами. Це така інформація, як та, що міститься у державних або університетських базах даних. Часто ця інформація прихована за платіжною стінкою або іншим механізмом обмеження. Темна павутина:Темна мережа вимагає доступу до певних веб-переглядачів, таких як „браузер TOR”. Деякі, хоча і не всі, цього вмісту є незаконними. Це часто місце, де злочинці збираються, щоб поговорити на форумах, продати нелегальні послуги та товари, а іноді активісти, що живуть під репресивними режимами, збираються для спілкування.

Якщо ви повторно використовували паролі та імена користувачів між різними веб-сайтами (особливо, оскільки ваша електронна адреса, ймовірно, використовується як ваше ім’я користувача для багатьох веб-сайтів), хакер міг уже мати ваше ім’я користувача та пароль.

Потім хакер виконає щось, що називається "начинка облікових даних". Наповнення облікових даних - це випадки, коли зловмисник бере ці імена користувачів та паролі та підключає їх до автоматизованої «перевірки облікових записів», яка в основному намагається поєднати ім’я користувача / пароль на багатьох, багатьох різних веб-сайтах в Інтернеті, від логінів у соціальних мережах до банківських рахунків. Якщо пароль працює, хакер тепер має доступ до облікового запису і може злити його, продати дані тощо.

Для кращого опису перегляньте комікс XKCD нижче.

Як ви захищаєтесь від набивання облікових даних?

Не використовуйте свої паролі повторно. Використовуйте менеджер паролів, такий як 1Password або LastPass. KeePass (на мій погляд) менш зручний для користувачів, але це безкоштовно!

Менеджери паролів можуть надійно зберігати ваші паролі, часто мають розширення браузера та програми, щоб вони могли автоматично заповнювати ваші паролі для багатьох облікових записів. Крім того, таким чином потрібно запам’ятати лише один головний пароль. Але ваш головний пароль тепер надає доступ до всіх ваших інших паролів, тому переконайтеся, що він дуже надійний!

Вони також можуть допомогти вам автоматично створювати дуже надійні паролі, а деякі навіть мають сховища, щоб ви могли зберігати іншу конфіденційну інформацію (реквізити банківського рахунку, інформацію про страхування тощо).

Я особисто використовую 1Password, тому що мені подобається параметр сімейного облікового запису - якщо хтось із вашої родини коли-небудь втратить доступ, хтось інший може скинути пароль свого облікового запису (але не матиме доступу до вашого індивідуального сховища).

Ви також можете налаштувати безкоштовні сповіщення за допомогою програми «Чи мене відмовляли». Цей сайт збирає інформацію про порушення даних та надає споживачам можливість використовувати цю інформацію для захисту. Ви можете перейти на вкладку "Повідомте мене" вгорі та ввести свою електронну адресу.

Після підтвердження введеної адреси електронної пошти (де вона вказуватиме вашу поточну експозицію), веб-сайт надішле вам електронне повідомлення в будь-який час, коли ваша електронна адреса буде залучена до порушення даних. Тобто про будь-яке порушення, про яке повідомляє сайт, - їх покриття дуже добре, але жодне джерело не міститиме кожного порушення даних, що просочуються. Таким чином, ви можете просто змінити зазначений пароль, і вам не доведеться турбуватися про те, що це вплине на будь-який інший ваш обліковий запис.

Якщо ви працюєте над безпекою для великої організації, корпоративне програмне забезпечення для управління паролями (ті ж компанії, що перераховані вище, надають ці послуги) є чудовою ідеєю, а також суворими політиками щодо паролів (вимагаючи, щоб ваші працівники використовували досить надійні паролі). Have I Been Pwned також має послугу, яка дозволяє власнику домену стежити за порушеннями, які стосуються будь-якої електронної пошти в домені (і це безкоштовно!).

Як інакше хакери отримують паролі?

Є кілька інших можливостей - серфінг на плечі або, в основному, спостереження за введенням пароля - хоча це малоймовірно, враховуючи, що людина повинна фізично спостерігати за вами.

Потім є крадіжка записаних паролів або просто фотографії записаних паролів, які видно на фотографіях. Знову ж таки, це набагато рідше, ніж будь-який із вищезазначених варіантів, оскільки зазвичай відбувається від цілеспрямованої атаки (яка за своєю суттю рідше, ніж злочини, пов’язані з можливістю).

Уникнути цих двох досить просто - не дозволяйте комусь спостерігати, як ви вводите свій пароль, і не записуйте свій пароль. Замість цього використовуйте менеджер паролів! Якщо вам просто доводиться це записувати, зберігайте десь там, де навряд чи хтось перегляне чи знайде випадково. Я б запропонував нижню частину коробки з тампонами. Набагато безпечніше, ніж наклейка на моніторі.

Здається, насправді легко зламати. Я повинен бути стурбований?

Найголовніше, що слід пам’ятати про хакерство, - це те, що ніхто не хоче виконувати більше роботи, ніж повинен робити. Наприклад, вкрасти ваш будинок, щоб викрасти ваш блокнот із паролями, набагато складніше, ніж надсилати фішинг-листи з іншого кінця світу. Якщо є простіший спосіб отримати свій пароль, це, мабуть, спробує спочатку підлий актор.

Це означає, що увімкнення найкращих практик кібербезпеки, мабуть, найпростіший спосіб запобігти злому. Фактично, нещодавно Microsoft повідомила, що ввімкнення двофакторної автентифікації призведе до блокування 99,9% автоматизованих атак.  

Отже, увімкніть 2FA, використовуйте диспетчер паролів для автоматичного створення довгих, складних, унікальних паролів для кожного облікового запису, і подумайте, перш ніж клацнути! Уникайте натискань на схематичні або несподівані посилання та вкладення та зберігайте пильність.