Hvordan Attackers faktisk Hack Accounts Online og Hvordan beskytte deg selv
Folk snakker om at deres elektroniske kontoer blir "hacked", men hvordan skjer dette hackingen? Virkeligheten er at kontoer er hacket på ganske enkle måter - angriperne bruker ikke svart magi.
Kunnskap er makt. Å forstå hvordan kontoer faktisk kompromitteres kan hjelpe deg med å sikre kontoene dine og forhindre at passordene dine blir "hacket" i utgangspunktet.
Gjenbruk av passord, spesielt lekkasjer
Mange mennesker - kanskje til og med folk flest - gjenbruk passord for forskjellige kontoer. Noen kan til og med bruke samme passord for hver konto de bruker. Dette er ekstremt usikkert. Mange nettsteder - selv store, kjente som LinkedIn og eHarmony - har hatt sine passorddatabaser lekket de siste årene. Databaser av lekkede passord sammen med brukernavn og e-postadresser er lett tilgjengelige online. Angrepere kan prøve disse kombinasjonene for e-postadresse, brukernavn og passord på andre nettsteder og få tilgang til mange kontoer.
Å gjenbruke et passord for e-postkontoen din, gir deg enda mer risiko, da e-postkontoen din kan brukes til å tilbakestille alle dine andre passord hvis en angriper fikk tilgang til det.
Men god du er å sikre passordene dine, du kan ikke kontrollere hvor godt tjenestene du bruker, sikre dine passord. Hvis du bruker passord på nytt og et selskap slipper opp, vil alle kontoene dine være i fare. Du bør bruke forskjellige passord overalt - en passordbehandling kan hjelpe med dette.
keyloggers
Keyloggers er ondsinnede stykker programvare som kan kjøre i bakgrunnen, og logger hvert tasteslag du lager. De brukes ofte til å fange sensitive data som kredittkortnumre, nettbankpassord og andre legitimasjonsinformasjon for kontoen. De sender deretter disse dataene til en angriper over Internett.
Slike malware kan komme via utnyttelser - for eksempel hvis du bruker en utdatert versjon av Java, da de fleste datamaskiner på Internett er, kan du bli kompromittert gjennom en Java-applet på en nettside. De kan imidlertid også ankomme forkledd i annen programvare. For eksempel kan du laste ned et tredjepartsverktøy for et online spill. Verktøyet kan være skadelig, fange spillpassordet ditt og sende det til angriperen over Internett.
Bruk et anstendig antivirusprogram, hold oppdateringen din oppdatert, og unngå å laste ned usikker programvare.
Sosialteknikk
Attackere bruker også ofte sosiale tricks for å få tilgang til kontoene dine. Phishing er en allment kjent form for sosialteknikk - i hovedsak angriper etterligner noen og ber om passordet ditt. Noen brukere sender sine passord lett. Her er noen eksempler på sosialteknikk:
- Du mottar en e-post som hevder å være fra banken din, og sender deg til en falsk bankwebside og ber deg om å fylle ut passordet ditt.
- Du mottar en melding på Facebook eller andre sosiale nettsider fra en bruker som hevder å være et offisielt Facebook-konto, og ber deg om å sende passordet ditt for å autentisere deg selv.
- Du besøker et nettsted som lover å gi deg noe verdifullt, for eksempel gratis spill på Steam eller gratis gull i World of Warcraft. For å få denne falske belønningen, krever nettstedet ditt brukernavn og passord for tjenesten.
Vær forsiktig med hvem du gir passordet ditt til - ikke klikk på koblinger i e-postmeldinger og gå til bankens nettside, ikke gi bort passordet ditt til alle som kontakter deg og ber om det, og ikke gi kontoopplysningene dine til usikre nettsteder, spesielt de som virker for gode til å være sanne.
Besvare sikkerhetsspørsmål
Passord kan ofte tilbakestilles ved å svare på sikkerhetsspørsmål. Sikkerhetsspørsmål er generelt utrolig svake - ofte ting som "Hvor ble du født?", "Hvilken videregående skole gikk du til?" Og "Hva var din mors pikenavn?". Det er ofte veldig enkelt å finne denne informasjonen på offentlig tilgjengelige sosiale nettverk, og de fleste vanlige folk vil fortelle deg hvilken videregående skole de gikk til hvis de ble spurt. Med denne lett tilgjengelige informasjonen kan angriperne ofte tilbakestille passord og få tilgang til kontoer.
Ideelt sett bør du bruke sikkerhetsspørsmål med svar som ikke lett blir oppdaget eller gjettet. Nettsteder bør også forhindre at folk får tilgang til en konto bare fordi de vet svarene på noen få sikkerhetsspørsmål, og noen gjør - men noen gjør det fortsatt ikke.
E-postkonto og passord tilbakestilles
Hvis en angriper bruker noen av metodene ovenfor for å få tilgang til e-postkontoene dine, har du større problemer. Din e-postkonto fungerer vanligvis som hovedkonto online. Alle andre kontoer du bruker, er knyttet til det, og alle som har tilgang til e-postkontoen, kan bruke den til å tilbakestille passordene dine på et hvilket som helst antall nettsteder du registrerte hos e-postadressen.
Av denne grunn bør du sikre e-postkontoen din så mye som mulig. Det er spesielt viktig å bruke et unikt passord for det og beskytte det forsiktig.
Hvilket passord "Hacking" er ikke
De fleste tror sannsynligvis at angripere prøver hvert eneste mulig passord for å logge seg på sin online konto. Dette skjer ikke. Hvis du prøvde å logge på en persons onlinekonto og fortsatte å gjette passord, ville du bli redusert og forhindret i å prøve mer enn en håndfull passord.
Hvis en angriper var i stand til å komme inn på en nettkonto bare ved å gjette passord, er det sannsynlig at passordet var noe opplagt som kunne gjettes på de første forsøkene, for eksempel "passord" eller navnet på personens kjæledyr.
Angrepere kan bare bruke slike brute force-metoder hvis de hadde lokal tilgang til dataene dine. For eksempel, la oss si at du lagret en kryptert fil i Dropbox-kontoen din, og angriperne fikk tilgang til den og lastet ned den krypterte filen. De kan da prøve å brute-force kryptering, i hovedsak prøve hver eneste passord kombinasjon til en fungerer.
Folk som sier at deres kontoer har blitt "hacket", er sannsynligvis skyldig i å bruke passord, installere en nøkkellogger, eller gi sine legitimasjonsbeskrivelser til en angriper etter sosiale prosjekteringstrener. De kan også ha blitt kompromittert som følge av lett gjeldende sikkerhetsspørsmål.
Hvis du tar riktige forholdsregler for sikkerhet, vil det ikke være lett å "hacke" dine kontoer. Bruk av tofaktorsautentisering kan også hjelpe - en angriper trenger mer enn bare passordet ditt for å komme inn.
Image Credit: Robbert van der Steeg på Flickr, asenat på Flickr