Κοινωνικές μηχανικές αμυχές και συνδεδεμένοι λογαριασμοί: Πώς να προστατεύσετε από την κλοπή ταυτότητας

Σε αυτή την εποχή, το Διαδίκτυο έχει στενή σχέση με τις περισσότερες πτυχές της ζωής και της ταυτότητάς μας. Σχεδόν όλοι έχουν προφίλ στο Facebook, καθώς και ενδεχομένως ένα λογαριασμό Twitter, μια σελίδα LinkedIn, online λογαριασμούς ελέγχου, λογαριασμούς με ηλεκτρονικούς εμπόρους λιανικής πώλησης και πιθανώς πολλά παλιά προφίλ σε άλλους ιστότοπους που συλλέγουν μόνο εικονική σκόνη. Οι περισσότεροι από εμάς έχουν έρθει να εμπιστεύονται το Διαδίκτυο με τις πληροφορίες μας. Αισθανόμαστε σίγουροι ότι οι παγκόσμιες, εξελιγμένες εταιρείες όπως το PayPal, το Facebook, το Amazon και όλα τα άλλα μεγάλα ονόματα δεν θα αφήσουν τις πληροφορίες μας ανοικτές σε hacking. Αλλά η συλλογική εγκεφαλική δύναμη των χάκερ σε όλο τον κόσμο βρίσκεται στην αναζήτηση νέων και καινοτόμων τρόπων παραβίασης των συστημάτων αυτών των εταιρειών.

Έχει ειπωθεί πριν, αλλά θα το πω ξανά: η ασφάλεια είναι τόσο ισχυρή όσο ο ασθενέστερος σύνδεσμός σας. Ακριβώς πόσο αδύναμη είναι η αλυσίδα που οδηγεί στις προσωπικές σας πληροφορίες; Υπάρχουν πολλές ευπάθειες που πρέπει να γνωρίζετε στην παρουσία σας στο διαδίκτυο: μερικοί που μπορεί να γνωρίζετε και άλλοι που δεν έχετε σκεφτεί ποτέ. Η προστασία και η πρόληψη είναι το κλειδί της διαδικασίας online ασφαλείας σας - είναι πολύ πιο εύκολο να αποφύγετε ένα hack από ό, τι είναι για να αποκαταστήσετε τις ζημιές μετά από μία.

Τι είναι η κοινωνική μηχανική;

Σε αυτό το πλαίσιο, η κοινωνική μηχανική είναι μια μέθοδος που χρησιμοποιείται για να χειραγωγήσει τους ανθρώπους να αποκαλύψουν προσωπικές πληροφορίες. Ένα πρόσφατο άρθρο από τον Mat Wan του Wired αναφέρει λεπτομερώς πώς ήταν το θύμα ενός hack κοινωνικής μηχανικής που έκανε την ψηφιακή ζωή του να έρχεται συντρίβοντας κάτω. Τα ευπάθειες στο Amazon και το πρωτόκολλο ασφαλείας της Apple επέτρεψαν σε έναν χάκερ να αποκτήσει πρόσβαση σε μια σειρά από λογαριασμούς του συγγραφέα. Ο χάκερ μπόρεσε να εισέλθει στον λογαριασμό του στο Amazon, ο οποίος παρείχε μια διεύθυνση χρέωσης, καθώς και τα τελευταία τέσσερα ψηφία ενός αριθμού πιστωτικής κάρτας. Αυτές οι πληροφορίες ήταν απαραίτητες για να πείσουν την Apple ότι ο χάκερ ήταν ο Honan και έτσι του επέτρεψε να επαναφέρει τον κωδικό πρόσβασης της Apple ID. Από εκεί, ο χάκερ απέκτησε πρόσβαση στον λογαριασμό ηλεκτρονικού ταχυδρομείου της Apple, ο οποίος στη συνέχεια οδήγησε στο λογαριασμό του στο Gmail, ο οποίος ήταν ο κόμβος ακόμα πιο online πληροφοριών. Αυτή είναι η κοινωνική μηχανική στην εργασία. Ο τρόπος με τον οποίο οι hackers ήξεραν ότι ο κ. Honan είχε λογαριασμούς του Amazon δεν είναι απολύτως σαφής, αλλά αξίζει να σημειωθεί ότι η αλυσίδα των γεγονότων που τους οδήγησε στην τρωτότητα τους:

"Μετά από να έρθει σε επαφή με το λογαριασμό μου [Twitter], οι χάκερ έκαναν κάποια έρευνα στο παρασκήνιο. Ο λογαριασμός μου στο Twitter συνδέεται με την προσωπική μου ιστοσελίδα, όπου βρήκε τη διεύθυνση μου στο Gmail. Υποθέτοντας ότι αυτή ήταν και η διεύθυνση ηλεκτρονικού ταχυδρομείου που χρησιμοποίησα για το Twitter, η Φοβία [ο χάκερ] πήγε στη σελίδα ανάκτησης λογαριασμού της Google. Δεν χρειάζεται καν να προσπαθήσει πραγματικά να ανακάμψει. Αυτό ήταν απλώς μια συνέντευξη. Επειδή δεν είχα ενεργοποιήσει τον έλεγχο ταυτότητας δύο παραγόντων της Google, όταν η Phobia μπήκε στη διεύθυνση μου στο Gmail, θα μπορούσε να δει το εναλλακτικό μήνυμα ηλεκτρονικού ταχυδρομείου που είχα δημιουργήσει για την ανάκτηση λογαριασμού. Η Google αποκρύπτει εν μέρει τις πληροφορίες αυτές, φέρνοντας με στίχους πολλούς χαρακτήρες, αλλά υπήρχαν αρκετοί διαθέσιμοι χαρακτήρες, [email protected]. Σύνολο στοιχημάτων."

Σκεφτείτε δύο φορές σχετικά με τους συνδεδεμένους λογαριασμούς

Η σειρά της ψηφιακής σας ζωής αρχίζει και τελειώνει κάπου και αν βρεθεί μια εύκολη ευπάθεια, θα αξιοποιηθεί. Η Amazon ισχυρίστηκε έκτοτε ότι άλλαξε τις διαδικασίες ασφαλείας της έτσι ώστε αυτό το είδος εκμετάλλευσης να μην είναι πλέον δυνατό (ωστόσο, μετά την ανάγνωση της ενσύρματης ιστορίας, έχω διαγράψει όλες τις πληροφορίες μου από την Amazon και θα την εισάγετε χειροκίνητα κάθε φορά από τώρα και στο εξής. Δεν υπάρχει τίποτα τέτοιο που να είναι πολύ προσεκτικό). Η Apple, από την άλλη πλευρά, δεν έχει πει ότι έχει αλλάξει πολιτικές ασφάλειας - η Apple δήλωσε μόνο ότι τα μέτρα ασφαλείας της δεν ακολουθήθηκαν πλήρως. Υπάρχουν πολλές άλλες εταιρείες που είναι επιρρεπείς σε τακτικές κοινωνικής μηχανικής και οι συνδεδεμένοι λογαριασμοί τους λένε από πού να ξεκινήσουν. Μερικές φορές η ευκολότερη εκμετάλλευση μπορεί να είναι ο λογαριασμός σας στο Facebook.

Το ψηφιακό ίχνος που οδηγεί στην μη ψηφιακή σας ζωή

Αν υποθέσουμε ότι το προφίλ σας στο Facebook είναι δημόσια ή ότι δέχεστε αιτήματα φίλων από άτομα που δεν γνωρίζετε πραγματικά, το προφίλ σας περιλαμβάνει τα πλήρη γενέθλιά σας; Η προσωπική σας διεύθυνση ηλεκτρονικού ταχυδρομείου, η διεύθυνση κατοικίας και ο αριθμός τηλεφώνου σας; Έχετε φωτογραφίες ενός παλιού οικογενειακού κατοικίδιου ζώου όπου τα ονομάζετε ή είστε φίλοι με τη μαμά σας, που χρησιμοποιεί ακόμα το πατρικό του όνομα; Υπάρχουν εικόνες από εσάς από την πρώτη τάξη που εμφανίζουν το όνομα του σχολείου, εσείς με την πρώτη φίλη σας ή το BFF σας;

Ναι, και γιατί ρωτώ όλες αυτές τις προσωπικές ερωτήσεις; Λοιπόν, η ημερομηνία και η ημερομηνία γέννησής σας μπορούν να μου δώσουν αρκετές πληροφορίες για να ξεκινήσω να σας παρασταθώ σε άλλες εταιρείες ή σε απευθείας σύνδεση. Σε ορισμένες περιπτώσεις μπορεί να χρειαστούμε τα τελευταία τέσσερα ψηφία του αριθμού κοινωνικής ασφάλισής σας, αλλά αυτό δεν είναι το stopgap που νομίζετε ότι είναι. Λοιπόν, γιατί το πρώτο οικογενειακό κατοικίδιο ζώο, το πατρικό σου όνομα της μητέρας σου, το πρώτο δημοτικό σου σχολείο, η πρώτη φίλη σου ή το όνομα της καλύτερης φίλης σου; Είναι όλες οι απαντήσεις σε ερωτήσεις ασφαλείας για διαδικασίες ανάκτησης λογαριασμού. Εάν-ξέρω ότι έχω σπάσει το email σας, αλλά ο πραγματικός στόχος μου είναι ο τραπεζικός σας λογαριασμός, έχω τώρα τις απαντήσεις στις ερωτήσεις ασφαλείας και θα μπορώ να αλλάξω τον κωδικό πρόσβασης στον τραπεζικό λογαριασμό σας για να αποκτήσω πρόσβαση.Για καλό μέτρο, πιθανότατα θα αλλάξω τον κωδικό πρόσβασης στο ηλεκτρονικό σας ταχυδρομείο, ή αν τελειώσω με την εκμετάλλευσή του, μπορώ να διαγράψω πλήρως τον λογαριασμό. Φυσικά, υπάρχουν πολλοί παράγοντες για να γίνει αυτή η κατάσταση ιδανική και υπάρχουν και άλλες μέθοδοι που μπορούν να χρησιμοποιηθούν για την ανάληψη της ταυτότητάς σας.

Εάν έχετε αδύναμους κωδικούς πρόσβασης όπως "bucketKid", ως ένα εντελώς τυχαίο παράδειγμα, μια επίθεση βίαιης επίθεσης στο λογαριασμό σας θα χρειαζόταν περίπου οκτώ ημέρες για να σπάσει ο κωδικός πρόσβασής σας (περισσότερο για το πώς το ξέρω αυτό στο τμήμα Συστάσεις). Απλώς προσθέτοντας έναν αριθμό για να το κάνει "bucketKid7" προσθέτει έξι χρόνια στον χρόνο που θα χρειαζόταν ένας χάκερ για να το σκάσει.

Είναι επίσης πιθανό ότι οι πληροφορίες σας ενδέχεται να εκτίθενται ως παράπλευρες ζημιές στο χαλάκι μιας άλλης εταιρείας. Εάν χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης σε πολλούς ιστότοπους, ένας από τους οποίους περιλαμβάνει το ηλεκτρονικό ταχυδρομείο σας, τότε ήρθε η ώρα να αλλάξετε όλους τους κωδικούς πρόσβασης και να διερευνήσετε πόσο μακριά θα μπορούσε να προκληθεί η ζημιά. Τώρα, ότι έχετε τα χειρότερα σενάρια στο μυαλό σας, ας προχωρήσουμε στον τρόπο με τον οποίο μπορείτε πραγματικά να προστατευθείτε.

Η σύσταση του site μας

Ποτέ μην χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης δύο φορές! Ξέρω ότι έχετε ακούσει ότι ένα εκατομμύριο φορές πριν, και ίσως να νομίζετε ότι δεν είναι πρακτικό να έχουμε δεκάδες μοναδικούς κωδικούς πρόσβασης σε πολυάριθμους ιστότοπους. Λοιπόν, υπάρχουν δύο πράγματα που μπορείτε να κάνετε για να το κάνετε πρακτικό:

Το πρώτο είναι ότι μπορείτε να χρησιμοποιήσετε ένα πρόγραμμα που θα σας βοηθήσει να δημιουργήσετε και να αποθηκεύσετε μοναδικούς κωδικούς πρόσβασης για όλους τους ιστοτόπους σας. Το 1Password είναι ένα τέτοιο πρόγραμμα - όταν συνδέεστε σε ένα από τα online προφίλ σας, μπορείτε απλά να επιλέξετε τα στοιχεία σύνδεσης που χρειάζεστε και το 1Password θα παρέχει τον κωδικό πρόσβασης και θα σας παραχωρήσει πρόσβαση. Ωστόσο, ίσως δεν θέλετε όλοι οι κωδικοί πρόσβασης που έχετε αποθηκεύσει σε μία βάση δεδομένων - αυτό είναι ένα έγκυρο θέμα.

Η επόμενη επιλογή είναι να δημιουργήσετε μια σειρά σχετικών κωδικών πρόσβασης. Ένας κωδικός πρόσβασης μπορεί να είναι "Treez4Eva" το επόμενο "Trees4eVer" και ούτω καθεξής. Θυμηθείτε ποιος ιστότοπος χρησιμοποιεί ποια έκδοση μπορεί να είναι λίγο δύσκολη, αλλά είναι εφικτή και σίγουρα αξίζει να δοκιμάσετε. Θυμηθείτε ότι μπορείτε πάντα να ανακτήσετε τους κωδικούς πρόσβασης που ξεχνάτε. Αυτό μπορεί να είναι χρονοβόρο, αλλά μην αφήνετε τους κωδικούς πρόσβασης να σας εμποδίζουν να δημιουργείτε μοναδικές, ασφαλείς.

Τώρα στον ίδιο τον κωδικό: μπορείτε να χρησιμοποιήσετε τον τρόπο με τον οποίο είναι ασφαλής ο κωδικός μου ως εύχρηστη αναφορά για να μετρήσετε πόσο ασφαλής είστε πραγματικά. Χρησιμοποιείτε πάντα αλφαριθμητικούς συνδυασμούς μαζί με κεφαλαία γράμματα και ειδικούς χαρακτήρες. Αν το επιτρέπει ο χώρος, χρησιμοποιήστε επίσης χώρους. Το "bucketKid" είναι πολύ πιο ασφαλές όταν είναι "bu (k3t K! 4 15 r3a!") Αυτός ο κωδικός θα χρειαζόταν 3 χρόνια για να σπάσει, σύμφωνα με το How Secure Is My Password, το οποίο είναι τόσες πολλές φορές ακούγεται ψεύτικο. πιστεύω ότι θα σας χρειαστούν τόσα χρόνια για να θυμηθείτε έναν τέτοιο κωδικό πρόσβασης - αλλά σκεφτείτε πώς μπορείτε να χρησιμοποιήσετε τα κόλπα μνήμης για να κάνετε τη διαδικασία ευκολότερη.Το παραπάνω παράδειγμα διαβάζει: "το κουτάβι είναι πραγματικό", το μόνο που πρέπει να θυμάστε είναι ποια γράμματα μπορείτε να χρησιμοποιήσετε τον ισχυρότερο κωδικό σας, όπως το παραπάνω παράδειγμα, για ιστότοπους που χρησιμοποιείτε συχνά, όπως το ηλεκτρονικό ταχυδρομείο. κωδικοί πρόσβασης όπως "ομοιόμορφη αγόρι ομπρέλα 15" για άλλους ιστότοπους που δεν χρησιμοποιείτε συχνά ή αισθάνονται δεν είναι τόσο ασφαλείς.

Χρησιμοποιείτε πάντα επαλήθευση σε δύο βήματα για οποιονδήποτε ιστότοπο που την υποστηρίζει. Θυμηθείτε τον απολογισμό του ενσύρματου συγγραφέα σχετικά με τον τρόπο με τον οποίο έγινε hacked επειδή δεν χρησιμοποίησε επαλήθευση σε δύο βήματα; Μην κάνετε το ίδιο λάθος. Το Google το υποστηρίζει, όπως και το Yahoo και το Facebook. Η επαλήθευση σε δύο βήματα σημαίνει ότι όταν συνδεθείτε στο λογαριασμό σας από έναν μη αναγνωρισμένο υπολογιστή ή μια διεύθυνση IP, θα σας ζητηθεί να βάλετε έναν κωδικό που στάλθηκε στο τηλέφωνό σας. Αυτό που είναι πολύ καλό για αυτό είναι επίσης ότι λειτουργεί επίσης ως σύστημα συναγερμού για τους λογαριασμούς σας. Εάν κάποιος προσπαθήσει να αποκτήσει πρόσβαση στο ηλεκτρονικό σας ταχυδρομείο, και βγάλετε ξαφνικά ένα κείμενο που σας παρέχει έναν κωδικό πρόσβασης, ξέρετε ότι ήρθε η ώρα να ξεδιπλώσετε τις καταπακτές.

Τέλος, εάν έχετε οποιεσδήποτε ανησυχίες σχετικά με την ασφάλεια στο διαδίκτυο, ελέγξτε εάν πρέπει να αλλάξω τον κωδικό μου. Αυτός ο ιστότοπος σάς επιτρέπει να εισαγάγετε τη διεύθυνση ηλεκτρονικού ταχυδρομείου σας και να δείτε αν εμφανίζεται σε λίστες που έχουν καταρτίσει οι χάκερ μετά από σπάσιμο ενός ιστότοπου. Έχουν μόλις προσθέσει ένα νέο χαρακτηριστικό, όπου μπορείτε να αποθηκεύσετε τη διεύθυνση ηλεκτρονικού ταχυδρομείου σας μαζί τους και θα το παραπέμπουν σε τυχόν μελλοντικές επιθέσεις.

Όλα αυτά μπορεί να μοιάζουν σαν να πηγαίνετε από το βαθύ άκρο και να είστε πάρα πολύ παρανοϊκά για σας, αλλά η παρανοϊκή στο Διαδίκτυο μπορεί μερικές φορές να σας κρατήσει ασφαλείς. Υπάρχουν πολλά άλλα μέτρα που πρέπει να λάβετε για να προστατεύσετε τον εαυτό σας, όπως: κρυπτογράφηση του σκληρού σας δίσκου, δημιουργία διευθύνσεων ηλεκτρονικού ταχυδρομείου μίας χρήσης και ονόματα για ιστότοπους που δεν εμπιστεύεστε ή αισθάνονται ότι στερούνται ασφάλειας και αλλάζουν κωδικούς πρόσβασης κάθε λίγους μήνες. Αυτός ο οδηγός θα πρέπει να θεωρείται ως ένα άλμα για να σας κάνει πιο ασφαλείς και αν το μόνο που κάνετε είναι να δημιουργήσετε έναν ισχυρό κωδικό πρόσβασης και να καταχωρήσετε το ηλεκτρονικό σας ταχυδρομείο με τη βάση δεδομένων "Πρέπει να αλλάξω το password μου", τότε αυτό είναι τουλάχιστον ένα καλό πρώτο βήμα για την προστασία του εαυτού σας από την κλοπή ταυτότητας στο Διαδίκτυο.

Συστάσεις εμπειρογνωμόνων

Ryan Disraeli, Αντιπρόεδρος Υπηρεσιών Απάτης στην TeleSign:

"Ο μέσος άνθρωπος είναι συγκλονιστικά πολύ hackable, αλλά η πραγματικότητα είναι ότι οι χάκερ θα κοιτάξουν για να επιτεθεί ο ευκολότερος στόχος. Αυτό δεν είναι ανόμοιο σε offline. Θα κλέψει ένας κλέφτης ένα σπίτι με 24/7 φύλακες ή ένα σπίτι που πάντα αφήνει την πόρτα ξεκλείδωτη; Η πραγματικότητα είναι ότι ένας καλός κλέφτης μπορεί ακόμα να ληστέψει ένα σπίτι με εξαιρετική ασφάλεια, αλλά θα προτιμήσει να πάει μετά από ένα ευκολότερο θύμα.Ακριβώς όπως θα κάνατε προφυλάξεις για να προστατεύσετε την προσωπική σας περιουσία, τα άτομα πρέπει να αναζητήσουν να προσθέσουν μερικά στρώματα πρόληψης για να εξασφαλίσουν την ηλεκτρονική τους ταυτότητα ».

Ντόπι Γκλέν, Ο διαχειριστής προϊόντων του VIPRE Antivirus της GFI Software:

"Αντιμετωπίστε το έξυπνο τηλέφωνο σαν έναν υπολογιστή. Εάν πραγματοποιείτε οποιεσδήποτε οικονομικές συναλλαγές στο τηλέφωνό σας, θα ισχύουν οι ίδιες "βέλτιστες πρακτικές" ασφαλείας όπως και με τον υπολογιστή."

Shuman Ghosemajumder, VP της Στρατηγικής στην Ασφάλεια Shape:

"Δώστε προσοχή στο πώς έχετε πρόσβαση σε δικτυακούς τόπους. Το μέρος της διασφάλισης ότι εμπιστεύεστε έναν ιστότοπο επαληθεύει ότι ο οργανισμός πίσω από τον ιστότοπο είναι αξιόπιστος. Ένα άλλο μέρος είναι να βεβαιωθείτε ότι εμπιστεύεστε τη σύνδεσή σας με τον συγκεκριμένο ιστότοπο. Πρέπει να βεβαιωθείτε ότι η διεύθυνση URL είναι σωστή, ότι πραγματοποιήσατε πλοήγηση σε αυτήν απευθείας και ότι δεν πραγματοποιήσατε κλικ σε σύνδεσμο από μηνύματα ηλεκτρονικού ταχυδρομείου, μηνύματα συνομιλίας ή αναδυόμενο παράθυρο. Εάν μπορείτε, χρησιμοποιήστε μόνο τις δικές σας συσκευές και συνδέσεις. Θα πρέπει να αποφύγετε τις δημόσιες συνδέσεις WiFi και τους κοινόχρηστους δημόσιους υπολογιστές αν μπορείτε, δεδομένου ότι είναι εύκολο για τους εισβολείς να οσφραίνουν την κίνηση στο δίκτυο ή να εγκαθιστούν keyloggers για την καταγραφή κωδικών πρόσβασης. Εάν πρέπει να χρησιμοποιήσετε μια δημόσια σύνδεση WiFi, βεβαιωθείτε ότι δεν έχετε υποβάλει στοιχεία σύνδεσης ή προσωπικές πληροφορίες σε έναν ιστότοπο που δεν χρησιμοποιεί σύνδεση HTTPS."