Социальные инженерные хаки и связанные аккаунты: как защитить от кражи личных данных

В этот день и в возрасте Интернет имеет тесную связь с большинством аспектов нашей жизни и самобытности. Практически каждый имеет профиль Facebook, а также, возможно, учетную запись Twitter, страницу LinkedIn, учетные записи онлайн, учетные записи в интернет-магазинах и, возможно, множество старых профилей на других сайтах, которые собирают виртуальную пыль. Большинство из нас доверяют Интернет с нашей информацией. Мы уверены, что глобальные, сложные компании, такие как PayPal, Facebook, Amazon и все другие крупные имена, не оставят нашу информацию открытой для взлома. Но коллективные умственные способности хакеров во всем мире направлены на поиск новых и инновационных способов нарушения систем этих компаний.

Ранее было сказано, но я еще раз скажу: безопасность настолько сильна, насколько ваша самая слабая связь. Насколько слаба цепь, ведущая к вашей личной информации? Существует множество уязвимостей для учета в вашем онлайн-присутствии: некоторые, о которых вы можете знать, и другие, о которых вы никогда не думали. Защита и профилактика являются ключевыми в процессе вашей онлайн-безопасности - гораздо легче предотвратить взломы, чем устранять ущерб после того, как он произошел.

Что такое социальная инженерия?

В этом контексте социальная инженерия - это метод, используемый для манипулирования людьми в разглашении личной информации. Недавняя статья из Wired's Mat Honan подробно рассказала о том, как он стал жертвой социального хакера, из-за которого его цифровая жизнь рушилась. Уязвимости в Amazon и протокол безопасности Apple позволили хакеру получить доступ к серии учетных записей автора. Хакер смог зайти на свою учетную запись Amazon, которая предоставила платежный адрес, а также последние четыре цифры номера кредитной карты. Эта информация была всем, что было необходимо, чтобы убедить Apple в том, что хакер был Хэнань, и поэтому позволил ему сбросить пароль Apple ID. Оттуда хакер получил доступ к своей учетной записи электронной почты Apple, которая затем привела к его учетной записи Gmail, которая была центром еще большей онлайн-информации. Это социальная инженерия на работе. Как хакеры знали, что у мистера Хэнана была учетная запись Amazon, не совсем понятно, но целая цепочка событий, которые привели их к его уязвимости, стоит отметить:

«После того, как я наткнулся на свою учетную запись [Twitter], хакеры сделали некоторые фоновые исследования. Моя учетная запись Twitter связана с моим личным сайтом, где они нашли мой адрес Gmail. Угадав, что это был также адрес электронной почты, который я использовал для Twitter, Фобия [хакер] отправилась на страницу восстановления аккаунта Google. Ему даже не нужно было пытаться выздороветь. Это была просто миссия. Поскольку у меня не было двухфакторной аутентификации Google, когда Phobia вошла в мой адрес Gmail, он мог просматривать альтернативное электронное письмо, которое я настроил для восстановления учетной записи. Google частично скрывает эту информацию, в главных ролях много персонажей, но было достаточно символов, mous-••[email protected]. Jackpot «.

Подумайте дважды о связанных аккаунтах

Строка вашей цифровой жизни начинается и заканчивается где-то, и если обнаружена легкая уязвимость, она будет использована. Amazon с тех пор заявила, что изменила свои процедуры безопасности, чтобы этот тип эксплойта стал невозможным (однако после прочтения проводной истории я с тех пор удалил всю свою информацию из Amazon и буду вводить ее вручную каждый раз с этого момента. Нет такой вещи, как быть слишком осторожным). Apple, с другой стороны, не сказала, что изменила политику безопасности - Apple только заявила, что ее меры безопасности не соблюдаются полностью. Есть множество других компаний, которые восприимчивы к тактике социальной инженерии, и ваши связанные аккаунты говорят им, с чего начать. Иногда самый простой эксплойт может быть вашей учетной записью Facebook.

Цифровая дорожка, которая ведет к вашей нецифровой жизни

Предполагая, что ваш профиль Facebook является общедоступным или вы принимаете запросы друзей от людей, которых вы действительно не знаете, включает ли ваш профиль ваш полный день рождения? Ваш личный адрес электронной почты, домашний адрес и номер телефона? У вас есть фотографии старого семейного питомца, где вы их называете, или вы дружите с мамой, которая все еще использует ее девичью фамилию? Есть ли фотографии из первого класса, которые показывают название школы, вы со своей первой подругой или вашим BFF?

Да, и почему я задаю все эти личные вопросы? Ну, дата рождения и адрес рождения могут дать мне достаточно информации, чтобы начать выдавать себя за других компаний или в Интернете. В некоторых случаях мне могут понадобиться последние четыре цифры вашего номера социального страхования, но это не тот промежуток времени, который вы так думаете. Итак, почему ваш первый семейный питомец, девичья фамилия вашей мамы, ваша первая начальная школа, первая подруга или имя вашего лучшего друга? Все они отвечают на вопросы безопасности для процессов восстановления аккаунта. Если вам неизвестно, я взломал вашу электронную почту, но моя реальная цель - ваш банковский счет, теперь у меня есть ответы на ваши вопросы безопасности, и я смогу изменить пароль на вашем банковском счете, чтобы получить доступ.Для хорошей меры я, вероятно, также изменю пароль на вашем электронном письме, или если я закончил его использование, я могу полностью удалить эту учетную запись. Конечно, есть много факторов, чтобы сделать эту ситуацию идеальной, и есть другие методы, которые можно использовать, чтобы завладеть вашей личностью.

Если у вас есть слабые пароли, такие как «bucketKid», в качестве абсолютно случайного примера, для грубой силы на вашем аккаунте потребуется около восьми дней, чтобы взломать ваш пароль (подробнее о том, как я знаю это в разделе «Рекомендации»). Просто добавив номер, чтобы сделать его «bucketKid7» добавляет шесть лет тому времени, когда потребуется взломать хакер.

Также возможно, что ваша информация может быть раскрыта в качестве побочного ущерба при взломе другой компании. Если вы используете один и тот же пароль на нескольких сайтах, один из которых включает в себя ваше электронное письмо, то пришло время для вас изменить все ваши пароли и выяснить, как далеко может прорваться ущерб. Теперь, когда у вас есть сценарии с наихудшим сценарием в вашем сознании, давайте перейдем к тому, как вы можете фактически защитить себя.

Наш сайт Рекомендация

Никогда не используйте один и тот же пароль дважды! Я знаю, что вы слышали это миллион раз раньше, и вы можете подумать, что не так много десятков уникальных паролей на многих сайтах. Ну, есть две вещи, которые вы можете сделать, чтобы сделать ее практичной:

Во-первых, вы можете использовать программу, которая поможет вам создавать и хранить уникальные пароли для всех ваших сайтов. 1Password - одна из таких программ - при входе в один из ваших онлайн-профилей вы можете просто выбрать логин, который вам нужен, и 1Password предоставит пароль и предоставит вам доступ. Однако, возможно, вам не нужны все ваши пароли, хранящиеся в одной базе данных, что является серьезной проблемой.

Следующий вариант - создать ряд связанных паролей. Один пароль может быть «Treez4Eva» следующим «Trees4eVer» и так далее. Помня, какой сайт использует, какая версия может быть немного сложной, но это выполнимо и определенно стоит попробовать. Помните, что вы всегда можете восстановить пароли, которые вы забыли. Это может потребовать много времени, но не позволяйте забывать пароли, чтобы вы не создавали уникальные, надежные.

Теперь на самом пароле: вы можете использовать How Secure Is My Password в качестве удобной ссылки, чтобы оценить, насколько вы действительно защищены. Всегда используйте буквенно-цифровые комбинации, а также буквы верхнего регистра и специальные символы. Если сайт разрешает это, используйте пробелы. «BucketKid» намного безопаснее, когда он «bu (k3t K! 4 15 r3a!»). Этот пароль потребует 3 квинтиллионов лет, чтобы взломать, согласно How Secure Is My Password, который так много лет звучит подделкой. подумайте, что вам понадобится столько лет, чтобы запомнить такой пароль, но подумайте о том, как вы можете использовать трюки с памятью, чтобы облегчить процесс. В приведенном выше примере говорится: «ведро-малыш реален», все, что вам нужно запомнить, это какие буквы вы заглавны и как вы заменили буквы цифрами или специальными символами. Если вы все еще хотите использовать один и тот же пароль на нескольких сайтах, используйте свой самый сильный, как пример выше, для сайтов, которые вы часто используете, таких как электронная почта. Затем создайте бросок пароли, такие как «зонтичный мальчик 15 поддельных» для других сайтов, которые вы часто не используете или чувствуете, не так безопасны.

Всегда используйте двухэтапную аутентификацию для любого сайта, который ее поддерживает. Помните отчет проводного автора о том, как его взломали, потому что он не использовал двухэтапную аутентификацию? Не делайте ту же ошибку. Google поддерживает его, как и Yahoo и Facebook. Двухэтапная проверка означает, что при входе в свою учетную запись с непризнанного компьютера или IP-адреса вам будет предложено ввести код, который был отправлен на ваш телефон. Что тоже замечательно в этом, так это то, что он также работает как система сигнализации для ваших учетных записей. Если кто-то попытается получить доступ к вашей электронной почте, и вы вдруг получите текст, снабжающий вас кодом входа, вы знаете, что пришло время сбрасывать люки.

Наконец, если у вас есть какие-либо проблемы в отношении безопасности в Интернете, проверьте, должен ли я менять свой пароль. На этом сайте вы можете ввести свой адрес электронной почты и посмотреть, отображается ли он в списках, которые были скомпилированы хакерами после взлома сайта. Они только что добавили новую функцию, в которой вы можете сохранить свой адрес электронной почты, и они будут перекрестно ссылаться на нее с любыми будущими атаками.

Все это может показаться, что вы сходите с глубокого конца и становитесь слишком параноидальным для вас, но параноик в Интернете может иногда держать вас в безопасности. Существует множество других мер, которые вы должны предпринять, чтобы защитить себя, например: шифрование вашего жесткого диска, создание одноразовых адресов электронной почты и имен для сайтов, которым вы не доверяете, или чувствуете, что им не хватает безопасности и изменения паролей каждые несколько месяцев. Это руководство должно быть взято как точка перехода, чтобы сделать вас более безопасным, и если все, что вы делаете, это создать один надежный пароль и зарегистрировать электронную почту с помощью базы данных «Измените мой пароль», то это, по крайней мере, хороший первый шаг к защите себя от кражи личных данных в Интернете.

Экспертные рекомендации

Райан Дизраэли, Вице-президент службы мошенничества в TeleSign:

«Средний человек ужасно сильно взломан, но реальность такова, что хакеры будут атаковать самую легкую цель. Это не похоже на офлайн. Будет ли вор ограбить дом с круглосуточной охраной или дома, который всегда оставляет разблокированную входную дверь? Реальность заключается в том, что хороший вор все еще может ограбить дом с превосходной безопасностью, но предпочтет пойти после более легкой жертвы.Подобно тому, как вы принимаете меры предосторожности для защиты своей личной собственности, люди должны попытаться добавить несколько уровней профилактики, чтобы обеспечить их онлайн-идентичность ».

Доди Гленн, Менеджер продуктов VIPRE Antivirus от GFI Software:

«Относитесь к своему смартфону, как к компьютеру. Если вы выполняете какие-либо финансовые транзакции на вашем телефоне, такие же «лучшие практики» безопасности будут применяться, как и к компьютеру ».

Шуман Ghosemajumder, Вице-президент по стратегической безопасности:

«Обратите внимание на то, как вы получаете доступ к веб-сайтам. Часть того, чтобы убедиться, что вы доверяете сайту, проверяет, что организация, стоящая за веб-сайтом, является авторитетной. Другая часть - убедиться, что вы доверяете своей связи с этим веб-сайтом. Вы должны убедиться, что URL-адрес верен, что вы перешли к нему напрямую, и не нажимали на ссылку из незапрашиваемого сообщения электронной почты, чата или всплывающего окна. Если вы можете, используйте только свои устройства и подключения. Вы должны избегать публичных Wi-Fi-соединений и общих общедоступных компьютеров, если это возможно, поскольку для злоумышленников легко обнюхивать сетевой трафик или устанавливать кейлогеры для сбора паролей. Если вы должны использовать общедоступное соединение Wi-Fi, убедитесь, что вы не отправляете никаких логинов или личной информации на сайт, который не использует соединение HTTPS ».