הנדסה חברתית פריצות חשבונות מקושרים: כיצד להגן על גניבת זהות

בימינו, לאינטרנט יש קשר הדוק עם רוב ההיבטים של חיינו וזהותנו. כמעט לכולם יש פרופיל פייסבוק, כמו גם חשבון טוויטר, דף LinkedIn, חשבונות בדיקה מקוונת, חשבונות עם קמעונאים מקוונים, וכנראה שפע של פרופילים ישנים באתרים אחרים, כי פשוט לאסוף אבק וירטואלי. רובנו באנו לסמוך על האינטרנט עם המידע שלנו. אנו חשים בטוחים שחברות גלובליות ומתוחכמות כמו PayPal, Facebook, Amazon וכל שאר השמות הגדולים לא ישאירו את המידע פתוח לפריצה. אבל כוח המוח הקולקטיבי של האקרים ברחבי העולם הוא לשים לקראת מציאת דרכים חדשות וחדשניות לפרוץ מערכות של חברות אלה.

אמרו את זה בעבר, אבל אני אומר את זה שוב: הביטחון הוא רק חזק כמו החוליה החלשה ביותר שלך. בדיוק עד כמה חלש הוא שרשרת שמוביל את המידע האישי שלך? ישנן נקודות תורפה רבות כדי להסביר את הנוכחות המקוונת שלך: כמה שאתה עשוי להיות מודע ואחרים כי מעולם לא חשבתי על. הגנה ומניעה היא המפתח בתהליך האבטחה המקוון שלך - זה הרבה יותר קל למנוע גרזן מאשר לתקן את הנזק לאחר אחד התרחשה.

מהי הנדסה חברתית?

בהקשר זה, ההנדסה החברתית היא שיטה המשמשת לתרגום אנשים לחשוף מידע אישי. לאחרונה מאמר מאת Wired מאט Honan מפורט איך הוא היה קורבן של הנדסה חברתית גרזן שגרם החיים הדיגיטליים שלו להתרסק. פגיעויות בפרוטוקול האבטחה של אמזון ופרוטוקול האבטחה של אפל אפשרו להאקר לגשת לסדרה של חשבונות הסופר. האקר הצליח לפרוץ לחשבון אמזון שלו, שסיפק כתובת לחיוב וכן את ארבעת הספרות האחרונות של מספר כרטיס אשראי. מידע זה היה כל מה שנדרש כדי לשכנע אפל כי האקר היה הונאן, ולכן מותר לו לאפס את הסיסמה מזהה אפל. משם, האקר קיבל גישה לחשבון הדוא"ל שלו Apple, אשר הובילה אז לחשבון Gmail שלו, שהיה הרכזת של מידע אפילו יותר באינטרנט. זוהי הנדסה חברתית בעבודה. איך האקרים ידעו כי מר הונאן יש חשבון אמזון לא לגמרי ברור, אבל שרשרת האירועים כי tipped אותם כדי הפגיעות שלו ראוי לציין:

"אחרי שבאתי על חשבון [Twitter] שלי, האקרים עשו קצת מחקר רקע. חשבון Twitter שלי מקושר לאתר האישי שלי, שבו הם מצאו את כתובת Gmail שלי. אני מניח שזו היתה גם כתובת הדואר האלקטרוני שבה השתמשתי לצפצף, פוביה [האקר] עברה לדף שחזור החשבון של Google. הוא אפילו לא היה צריך לנסות להתאושש. זו היתה רק שליחות מחדש. מכיוון שלא אישרתי את האימות של שני גורמים של Google, כאשר פוביה נכנס לכתובת Gmail שלי, הוא יכול היה לראות את הדואר האלקטרוני החלופי שהגדרתי עבור שחזור החשבון. Google מסתירה חלקית את המידע הזה, מככבת בתווים רבים, אבל היו מספיק תווים זמינים, [email protected]. קופה."

חשוב פעמיים על חשבונות מקושרים

מחרוזת החיים הדיגיטליים שלך מתחילה ומסתיימת איפשהו, ואם נמצאה פגיעות קלה, היא תנצל. מאז טענה אמזון כי היא שינתה את נהלי האבטחה שלה כך שסוג זה של ניצול אינו אפשרי עוד (עם זאת, לאחר קריאת הסיפור Wired, אני כבר נמחק מאז כל המידע שלי אמזון יכנס אותו באופן ידני בכל פעם מעתה והלאה. אין דבר כזה להיות זהיר מדי). אפל, לעומת זאת, לא אמרה כי היא שינתה כל מדיניות אבטחה - אפל רק אמר כי אמצעי האבטחה שלה לא היו אחריו לחלוטין. ישנן חברות רבות אחרות, כי הם רגישים טקטיקות הנדסה חברתית, חשבונות מקושרים שלך אומר להם איפה להתחיל. לפעמים הכי קל לנצל יכול להיות חשבון פייסבוק שלך.

השביל הדיגיטלי שמוביל חזרה לחיים הלא דיגיטליים שלך

בהנחה שפרופיל Facebook שלך ציבורי, או שאתה מקבל בקשות חברות מאנשים שאינך מכיר בפועל, האם הפרופיל שלך כולל את יום ההולדת המלא שלך? כתובת האימייל האישית שלך, כתובת הבית ומספר הטלפון? האם יש לך תמונות של חיית המחמד הישנה שלך איפה אתה שם אותם, או שאתה חברים עם אמא שלך, שעדיין משתמשת שם הנעורים שלה? האם יש לך תמונות מכיתה א 'המציגות את שם בית הספר, את עם החברה הראשונה שלך, או את BFF?

כן, ולמה אני שואל את כל השאלות האישיות האלה? ובכן, תאריך הלידה שלך ואת כתובת יכול לתת לי מספיק מידע כדי להתחיל מתחזה לך בחברות אחרות או באינטרנט. במקרים מסוימים אני אולי צריך את ארבע הספרות האחרונות של מספר הביטוח הלאומי שלך, אבל זה לא stopgap אתה חושב שזה. אז, למה צריך חיית המחמד הראשונה שלך, שם הנעורים של אמא שלך, הספר היסודי הראשון שלך, החברה הראשונה, או את השם של החבר הכי טוב שלך? כולם תשובות לשאלות אבטחה עבור תהליכי שחזור חשבון. אם לא ידוע לך - פיצחתי את הדוא"ל שלך, אבל היעד האמיתי שלי הוא חשבון הבנק שלך, עכשיו יש לי את התשובות לשאלות האבטחה שלך ואני יוכל לשנות את הסיסמה בחשבון הבנק שלך כדי לקבל גישה.למען הסדר הטוב אני בטח גם לשנות את הסיסמה על הדוא"ל שלך, או אם סיימתי עם ניצול, אני יכול למחוק את החשבון לחלוטין. כמובן, יש הרבה גורמים כדי להפוך את המצב האידיאלי, ויש שיטות אחרות שניתן להשתמש בהם כדי להשתלט על הזהות שלך.

אם יש לך סיסמאות חלשות כמו "bucketKid", כדוגמה אקראית לחלוטין, התקפה בכוח הזרוע על חשבונך ייקח בערך שמונה ימים כדי לפצח את הסיסמה שלך (עוד על איך אני יודע את זה בסעיף המלצה). פשוט הוספת מספר כדי להפוך אותו "bucketKid7" מוסיף שש שנים עד שזה ייקח האקר לפצח אותו.

ייתכן גם כי המידע שלך עלול להיות חשוף כמו נזק בטחוני של גרזן של חברה אחרת. אם אתה משתמש באותה סיסמה במספר אתרים, שאחד מהם כולל את הדוא"ל שלך, אז הגיע הזמן לשנות את כל הסיסמאות שלך ולחקור עד כמה הנזק עלול לטפטף החוצה. עכשיו, כי יש לך את התרחיש הגרוע ביותר תרחישים בראש שלך, בואו נמשיך על איך אתה באמת יכול להגן על עצמך.

המלצת האתר שלנו

לעולם אל תשתמש באותה סיסמה פעמיים! אני יודע ששמעת את זה מיליון פעמים בעבר, ואתה עשוי לחשוב שזה לא מעשי יש עשרות סיסמאות ייחודיות על פני אתרים רבים. ובכן, יש שני דברים שאתה יכול לעשות כדי לעשות את זה מעשי:

הראשון הוא שאתה יכול להשתמש בתוכנית כדי לעזור לך ליצור ולאחסן סיסמאות ייחודיות עבור כל האתרים שלך. 1Password היא תוכנית אחת כזו - כאשר אתה נכנס לאחד הפרופילים שלך באינטרנט, אתה יכול פשוט לבחור את ההתחברות שאתה צריך ו 1Password יספק את הסיסמה ולהעניק לך גישה. עם זאת, אולי אתה לא רוצה את כל הסיסמאות מאוחסנים במסד נתונים אחד - זה חשש חוקי.

האפשרות הבאה היא ליצור סדרה של סיסמאות קשורות. סיסמה אחת יכולה להיות "Treez4Eva" הבא "Trees4eVer" וכן הלאה. לזכור איזה אתר משתמש בגירסה אשר יכול להיות קצת מסובך, אבל זה אפשרי בהחלט שווה לנסות. זכור כי אתה תמיד יכול לשחזר סיסמאות שאתה שוכח. זה עלול להיות זמן רב, אבל לא נותנים לשכוח סיסמאות למנוע ממך ליצור ייחודי, מאובטח אלה.

עכשיו על הסיסמה עצמה: אתה יכול להשתמש כיצד מאובטחת היא הסיסמה שלי כהפניה שימושי כדי לאמוד כמה מאובטחת אתה באמת. השתמש תמיד בשילוב אלפאנומרי יחד עם אותיות גדולות ותווים מיוחדים. אם האתר מאפשר את זה, להשתמש רווחים גם כן. "BucketKid" הוא הרבה יותר בטוח כאשר זה "bu (k3t K! 4 15 r3a!" הסיסמה הזאת ייקח 3 quintillion שנים לפצח, על פי איך מאובטח היא הסיסמה שלי, וזה כל כך הרבה שנים זה נשמע מזויף. חושב שזה ייקח לך כמה שנים לזכור סיסמה כזו, אבל לחשוב על איך אתה יכול להשתמש טריקים זיכרון כדי להפוך את התהליך קל יותר.הדוגמה לעיל קורא: "ילד דלי אמיתי", כל מה שאתה צריך לזכור הוא אילו אותיות השתמשת באותיות רישיות וכיצד החלפת אותיות במספרים או בתווים מיוחדים, אם אתה עדיין רוצה להשתמש באותה סיסמה על פני אתרים רבים, השתמש בדוגמה החזקה ביותר שלך, כמו בדוגמה לעיל, עבור אתרים שבהם אתה משתמש בתדירות גבוהה כגון דוא"ל. סיסמאות כמו "מטריה ילד 15 מזויף" עבור אתרים אחרים, כי אתה לא משתמש לעתים קרובות או מרגיש לא מאובטח.

השתמש תמיד באימות דו-שלבי עבור כל אתר שתומך בו. זוכר את הסופר של Wired החשבון של איך הוא קיבל פריצה כי הוא לא השתמש בשני שלבים אימות? אל תעשה את אותה טעות. גוגל תומכת בו, וכך גם יאהו ופייסבוק. אימות דו-שלבי פירושו שכאשר אתה נכנס לחשבון שלך ממחשב לא מזוהה או כתובת IP, תתבקש להכניס קוד שנשלח לטלפון שלך. מה זה נהדר גם על זה כי זה גם עובד כמו מערכת אזעקה עבור החשבונות שלך. אם מישהו מנסה לגשת לדוא"ל שלך, ואתה פתאום מקבל טקסט המספק לך קוד כניסה, אתה יודע שזה הזמן לחבוט את הצוהר.

לבסוף, אם יש לך חששות בכלל על בטיחות באינטרנט שלך, לבדוק האם אני צריך לשנות את הסיסמה שלי. אתר זה מאפשר לך להזין את כתובת הדוא"ל שלך ולראות אם הוא מופיע על כל רשימות האקרים כי יש להרכיב לאחר פיצוח האתר. הם רק הוסיף תכונה חדשה שבה אתה יכול לאחסן את כתובת הדוא"ל שלך איתם והם יחצו התייחסות זה עם כל ההתקפות בעתיד.

כל זה אולי נראה כמו לצאת את הקצה העמוק להיות פרנואידית מדי בשבילך, אבל להיות פרנואידים באינטרנט יכול לפעמים לשמור על בטחונך. ישנם מספר רב של צעדים אחרים שאתה צריך לנקוט כדי להגן על עצמך, כגון: הצפנת הכונן הקשיח שלך, יצירת כתובות דוא"ל חד פעמיות שמות עבור אתרים שאתה לא סומך או מרגיש חסרים אבטחה שינוי סיסמאות כל כמה חודשים. מדריך זה צריך לקחת כנקודת הנחה כדי להפוך אותך בטוח יותר, ואם כל מה שאתה עושה זה ליצור סיסמה חזקה אחת לרשום את הדוא"ל שלך עם אני צריך לשנות את הסיסמה שלי באתר אז זה לפחות צעד ראשון טוב כדי להגן על עצמך מגניבת זהות באינטרנט.

המלצות מומחים

ראיין דיזראלי, סמנכ"ל שירותי הונאה בחברת TeleSign:

"האדם הממוצע הוא hackable מזעזע מאוד, אבל המציאות היא כי האקרים ייראה לתקוף את המטרה הקלה ביותר. זה לא שונה לא מקוון. האם גנב לשדוד בית עם 24/7 מאבטחים או בית זה תמיד משאיר את הדלת הקדמית נעולה? המציאות היא כי גנב טוב עדיין יכול לשדוד בית עם אבטחה מעולה אבל יעדיפו ללכת אחרי הקורבן קל יותר.בדיוק כמו שאתה צריך לנקוט באמצעי זהירות כדי לשמור על הרכוש האישי שלך, אנשים צריכים להיראות להוסיף כמה שכבות של מניעה כדי לאבטח את הזהות המקוונת שלהם.

דודי גלן, GFI Software של VIPRE מוצר אנטי וירוס מנהל המוצר:

"תייחס לטלפון החכם שלך כמו למחשב. אם אתה מבצע כל סוג של עסקאות פיננסיות על הטלפון שלך, אותם "שיטות עבודה מומלצות" אבטחה יחולו כמו עם המחשב."

שומאן Ghosemajumder, סמנכ"ל אסטרטגיה ב צורה אבטחה:

"שים לב לאופן הגישה לאתרי אינטרנט. חלק לוודא שאתה סומך על האתר הוא לוודא כי הארגון מאחורי האתר הוא בעל מוניטין. חלק נוסף הוא לוודא שאתה בוטח החיבור שלך לאותו אתר. עליך לוודא שכתובת האתר נכונה, שנווטת אליה ישירות, ולא לחצת על קישור מדוא"ל, IM או מוקפץ לא רצויים. אם תוכל, השתמש רק בהתקנים ובחיבורים שלך. עליך להימנע מחיבורי WiFi ציבוריים ומחשבים ציבוריים משותפים אם אתה יכול, שכן זה קל עבור התוקפים לרחרח תעבורת הרשת או להתקין keyloggers כדי ללכוד סיסמאות. אם עליך להשתמש בחיבור WiFi ציבורי, ודא שאינך שולח פרטי התחברות או מידע אישי לאתר שאינו משתמש בחיבור HTTPS."