Social Engineering Hacks i povezani računi: Kako zaštititi protiv krađe identiteta

U današnje doba internet ima blisku vezu s većinom aspekata našeg života i identiteta. Praktički svatko ima Facebook profil, kao i eventualno Twitter račun, LinkedIn stranicu, on-line račun za provjeru, računi s online trgovcima, i vjerojatno puno starih profila na drugim mjestima koja samo skupljaju virtualnu prašinu. Većina nas je došla povjeriti Internetu s našim informacijama. Uvjereni smo da globalne, sofisticirane tvrtke poput PayPala, Facebooka, Amazona i svih ostalih velikih imena neće ostaviti naše podatke otvorenim za hakiranje. No kolektivna radna snaga hakera širom svijeta usmjerena je na pronalaženje novih i inovativnih načina da krši sustave tih tvrtki.

Prije je bilo rečeno, ali ponovit ću to: sigurnost je jednako jaka kao i vaša najslabija veza. Točno koliko je slab lanac koji vodi do vaših osobnih podataka? Postoje brojne ranjivosti u vezi s vašom prisutnošću na mreži: neke koje biste možda bili svjesni i drugi koje nikada niste razmišljali. Zaštita i prevencija ključni su vašeg online sigurnosnog procesa - mnogo je lakše spriječiti hakiranje nego popraviti štetu nakon što se dogodila.

Što je društveni inženjering?

U tom kontekstu, socijalni inženjering je metoda kojom se manipulira ljudima u otkrivanju osobnih podataka. Nedavni članak Wiredovog Mat Honana detaljno je opisao žrtvu socijalnog inženjeringa koji je njegov digitalni život silazio. Slabe točke u američkoj i Appleovom sigurnosnom protokolu omogućile su hakeru pristup na niz pisaca. Haker je uspio probiti račun na Amazonu koji je osigurao adresu za naplatu, kao i posljednje četiri znamenke broja kreditne kartice. Ove su informacije bile sve što je bilo potrebno da bi Apple uvjerio da je haker bio Honan, pa mu je stoga dopustio da ponovo postavlja lozinku za Apple ID. Odatle, haker je stekao pristup svojem računu e-pošte za Apple, koji je potom doveo do njegovog Gmail računa, koji je bio središte još više informacija na mreži. Ovo je društveno inženjerstvo na poslu. Kako su hakeri znali da gospodin Honan ima Amazonov račun nije sasvim jasan, ali vrijedi spomenuti lanac događaja koji su ih doveli do njegove ranjivosti:

"Nakon što sam došao na račun [Twitter], hakeri su napravili neka istraživanja u pozadini. Moj račun za Twitter povezan je s mojom osobnom web lokacijom, gdje su pronašli moju Gmail adresu. Pretpostavljam da je to i adresa e-pošte koju sam koristio za Twitter, Phobia [haker] je otišao na Googleovu stranicu za oporavak računa. Nije čak ni morao pokušati oporavak. Ovo je samo rekonstrukcijska misija. Budući da nisam imao uključenu Googleovu provjeru autentičnosti s dva faktora, kada je Phobia ušao u moju Gmail adresu, mogao je vidjeti alternativnu e-poštu koju sam postavio za oporavak računa. Google djelomično zanemaruje te informacije, istaknuvši mnoge znakove, ali bilo je dostupno dovoljno znakova, m- Jackpot „.

Razmislite dvaput o povezanim računima

Niz vašeg digitalnog života počinje i završava negdje, a ako se pronađe laka ranjivost, iskoristit će se. Amazon je od tada tvrdio da je promijenio svoje sigurnosne postupke, tako da takva vrsta eksploatacije više nije moguća (međutim, nakon čitanja Wired priče, od tada sam izbrisao sve moje podatke iz Amazona i ručno će ga unositi svaki put od sada. Ne postoji takva stvar kao što je previše oprezna). Apple, s druge strane, nije rekao da je promijenio sigurnosne politike - Apple je samo rekao da njegove sigurnosne mjere nisu u potpunosti praćene. Postoje brojne druge tvrtke koje su osjetljive na taktike društvenog inženjeringa, a vaši povezani računi govore im gdje početi. Ponekad najlakši iskorištavanje može biti vaš Facebook račun.

Digitalna staza koja vodi natrag do vašeg ne-digitalnog života

Pod pretpostavkom da je vaš Facebook profil javan, ili da prihvaćate zahtjeve prijatelja od osoba koje zapravo ne znate, sadrži li vaš profil vaš puni rođendan? Vaša osobna e-adresa, kućna adresa i telefonski broj? Imate li slika starog kućnog ljubimca gdje ih imenuj ili ste prijatelji sa svojom mamom, koji još uvijek koristi svoje djevojačko ime? Postoje li slike od prvog razreda koji prikazuju naziv škole, vi sa svojom prvom djevojkom ili vašim BFF-om?

Da, i zašto postavljam sva ta osobna pitanja? Pa, datum i adresa rođenja mogu mi dati dovoljno informacija da bi vas počeli predstavljati u drugim tvrtkama ili na mreži. U nekim ću slučajevima trebati posljednje četiri znamenke vašeg broja socijalnog osiguranja, ali to nije stopgap za koji mislite da jest. Dakle, zašto bi važno prvo obiteljsko kućno ljubimce, djevojačko prezime mame, vaša prva osnovna škola, prva djevojka ili ime vašeg najboljeg prijatelja? Svi su oni odgovori na sigurnosna pitanja za procese oporavka računa. Ako je - nepoznato - razbila sam vašu e-poštu, ali moj je pravi cilj vaš bankovni račun, sada imam odgovore na vaša sigurnosna pitanja i moći ću promijeniti zaporku na vašem bankovnom računu kako bih dobio pristup.Za dobru mjeru, vjerojatno ću promijeniti i zaporku na vašoj e-pošti ili ako sam gotova s ​​time da ga iskoristim, mogu potpuno izbrisati račun. Naravno, postoje mnogi čimbenici da bi ova situacija bila idealna, a postoje i druge metode koje se mogu koristiti za preuzimanje vašeg identiteta.

Ako imate slabe lozinke kao što je "bucketKid", kao potpuno slučajni primjer, napad s velikim silama na vašem računu trajat će otprilike osam dana da biste otvorili zaporku (više o tome kako to znam u odjeljku Preporuka). Jednostavno dodavanje broja da bi se "bucketKid7" dodaje šest godina do vremena da bi haker to ispucati.

Moguće je da i vaši podaci mogu biti izloženi kao kolateralna šteta u hakiranju druge tvrtke. Ako koristite istu lozinku na više web mjesta, od kojih jedna uključuje vašu e-poštu, onda je vrijeme da promijenite sve svoje lozinke i istražite koliko se ta šteta može istjecati. Sada, da imate najgore scenarije u vašem umu, prijeđimo na to kako se zapravo možete zaštititi.

Naša stranica Preporuka

Nikada nemojte koristiti istu lozinku dvaput! Znam da ste to čuli prije milijun puta, a možda mislite da nije praktično imati desetke jedinstvenih zaporki na brojnim web mjestima. Pa, postoje dvije stvari koje možete učiniti da biste bili praktični:

Prvi je program koji vam omogućuje izradu i pohranu jedinstvenih zaporki za sve vaše web stranice. 1Poslanica je takav program - pri prijavi na jedan od vaših online profila, možete jednostavno odabrati potrebnu prijavu i 1Password će vam dati lozinku i omogućiti vam pristup. Međutim, možda ne želite da se sve vaše zaporke spremaju u jednoj bazi podataka - to je važno pitanje.

Sljedeća opcija je stvoriti niz povezanih zaporki. Jedna lozinka može biti "Treez4Eva" sljedećeg "Trees4eVer" i tako dalje. Sjećajući se na kojem se web mjestu upotrebljava inačica koja može biti malo lukavna, no to je izvedivo i svakako vrijedno pokušavati. Imajte na umu da uvijek možete oporaviti zaporke koje zaboravite. To može dugo trajati, ali ne zaboravite da vam zaporke sprečavaju stvaranje jedinstvenih i sigurnih.

Sada na samu lozinku: možete upotrijebiti kako je moja lozinka sigurna kao praktična referenca za procjenu sigurnosti koliko ste doista. Uvijek koristite alfanumeričke kombinacije zajedno s velikim slovima i posebnim znakovima. Ako web mjesto to dopusti, upotrijebite i prostore. "BucketKid" je mnogo sigurniji kada je riječ "bu (k3t K! 4 15 r3a!" Ta lozinka bi trebala trajati 3 kvintilijske godine, kako je "Secure My Password", što je toliko mnogo godina da zvuči lažno. mislim da će vam trebati toliko godina da zapamtite takvu lozinku - ali razmislite o tome kako možete koristiti trikove za pamćenje kako biste olakšali postupak. Primjer iznad glasi: "klinčić jarca je pravi", sve što trebate zapamtiti je koja slova kapitalizirali ste i kako ste zamijenili slova s ​​brojevima ili posebnim znakovima.Ako i dalje želite upotrijebiti istu lozinku na brojnim web-lokacijama, upotrijebite najsnažniju, kao što je gore navedeni primjer, za web-lokacije koje često upotrebljavate kao što je e-pošta. lozinke poput "kišobran dječaka 15 lažnih" za druge web stranice koje ne koristite često ili osjećaju nisu sigurni.

Uvijek koristite potvrdu u dva koraka za bilo koju web stranicu koja ga podržava. Sjećate se računa Wiredovog pisca o tome kako je dobio hakiran jer nije koristio potvrdu u dva koraka? Nemojte napraviti istu pogrešku. Google to podržava, kao i Yahoo i Facebook. Potvrda u dva koraka znači da ćete se, kada se prijavite na svoj račun s nepoznatog računala ili IP adrese, od vas zatražiti da unesete kod koji je poslan na vaš telefon. Ono što je sjajno u vezi s tim previše je i da ona funkcionira i kao alarmni sustav za vaše račune. Ako netko pokuša pristupiti vašoj e-pošti, a iznenada dobijete tekst koji vam daje kod za prijavu, znate da je vrijeme da se spustite prema dolje.

Na kraju, ako imate bilo kakvih problema u vezi s vašom online sigurnost, provjerite trebam li promijeniti lozinku. Ova web lokacija omogućuje unos svoje adrese e-pošte i provjerite je li se prikazao na svim popisima koje su hakeri sastavili nakon pucanja web mjesta. Upravo su dodali novu značajku u kojoj možete pohraniti svoju adresu e-pošte s njima i prijeći na to s bilo kojim budućim napadima.

Sve ovo može se činiti kao da ide duboko u kraj i da vam je previše paranojan, no budući da vas je paranoičan na internetu ponekad možete zadržati na sigurnom. Postoje brojne druge mjere koje biste trebali poduzeti kako biste zaštitili sebe, kao što su: šifriranje vašeg tvrdog diska, stvaranje jednokratnih adresa e-pošte i imena web mjesta na koje ne vjerujete ili osjećaju da nedostaje sigurnost i mijenjaju zaporke svakih nekoliko mjeseci. Ovaj vodič trebao bi se poslužiti kao skakačka točka kako bi vam bila sigurnija i ako sve što činite je stvoriti jednu jaku lozinku i registrirati svoju e-poštu s bazom podataka "Mora li promijeniti lozinku" onda je to barem dobar prvi korak da zaštitite sebe od krađe identiteta na Internetu.

Stručne preporuke

Ryan Disraeli, VP prijevare usluga u TeleSignu:

"Prosječna osoba šokantno je vrlo hackable, ali stvarnost je da hakeri će izgledati da napadaju najlakši cilj. To se ne razlikuje od izvanmrežnog. Hoće li lopov opljačkati dom s 24/7 zaštitara ili dom koji uvijek ostavi prednja vrata otključana? Stvarnost je da dobar kradljivac može još uvijek opljačkati dom s velikom sigurnošću, ali će radije otići nakon lakše žrtve.Baš kao što biste poduzeli mjere predostrožnosti kako biste zaštitili svoju osobnu imovinu, pojedinci bi trebali tražiti da dodaju nekoliko slojeva prevencije kako bi osigurali svoj online identitet."

Dodi Glenn, VIPFI Antivirusov menadžer proizvoda GFI Softwarea:

"Tretirajte svoj pametni telefon poput računala. Ako obavljate bilo kakvu financijsku transakciju na svom telefonu, jednaka sigurnost "najbolje prakse" primjenjuje se kao i kod računala."

Shuman Ghosemajumder, VP strategije u oblasti sigurnosti:

"Obratite pozornost na to kako pristupate web stranicama. Dio toga što ste sigurni da web mjesto potvrđuje da je organizacija iza web stranice ugledna. Drugi dio je osiguranje povjerenja u vezu s tom web stranicom. Trebali biste provjeriti je li URL točan, da ste izravno krenuli na njega i ne kliknuli vezu neželjenog e-pošte, IM-a ili skočnog prozora. Ako možete, koristite samo svoje uređaje i veze. Trebate izbjegavati javne WiFi veze i dijeljene javne račune ako možete, jer napadači mogu jednostavno njuškati mrežni promet ili instalirati keyloggers da bi uhvatili lozinke. Ako morate koristiti javnu WiFi vezu, nemojte slati nikakve podatke za prijavu ili osobne podatke na web mjesto koje ne koristi HTTPS vezu."