דף הבית » איך ל » איך תוקפים למעשה חשבונות גרזן באינטרנט וכיצד להגן על עצמך

    איך תוקפים למעשה חשבונות גרזן באינטרנט וכיצד להגן על עצמך

    אנשים מדברים על חשבונות מקוונים שלהם להיות "פרוצים", אבל איך בדיוק זה פריצה לקרות? המציאות היא שחשבונות נפרצים בדרכים פשוטות למדי - התוקפים לא משתמשים בקסמים שחורים.

    ידע הוא כוח. הבנת אופן החשיפה בפועל של חשבונות יכולה לעזור לך לאבטח את החשבונות שלך ולמנוע את הסיסמאות שלך מלהיות "נפרצות" מלכתחילה.

    שימוש חוזר סיסמאות, במיוחד דלף

    אנשים רבים - אולי אפילו רוב האנשים - עושים שימוש חוזר בסיסמאות עבור חשבונות שונים. אנשים מסוימים עשויים להשתמש באותה סיסמה עבור כל חשבון שבו הם משתמשים. זה מאוד לא בטוח. אתרי אינטרנט רבים - אפילו גדולים, ידועים כמו LinkedIn ו- eHarmony - היו מסדי נתונים הסיסמה שלהם דלף במהלך השנים האחרונות. מסדי נתונים של סיסמאות דלפו יחד עם שמות משתמשים וכתובות דוא"ל הם נגישים באופן מקוון. התוקפים יכולים לנסות את השילובים של כתובות דוא"ל, שם משתמש וסיסמאות באתרים אחרים ולקבל גישה לחשבונות רבים.

    שימוש חוזר בסיסמה עבור חשבון האימייל שלך מעמיד אותך בסיכון גבוה יותר, שכן ניתן להשתמש בחשבון האימייל שלך כדי לאפס את כל הסיסמאות האחרות שלך אם התוקף קיבל גישה אליו.

    עם זאת, אתה טוב להבטיח את הסיסמאות שלך, אתה לא יכול לשלוט כמה טוב את השירותים שבהם אתה משתמש מאובטח הסיסמאות שלך. אם אתה משתמש מחדש בסיסמאות וחברה אחת מחליקה, כל החשבונות שלך יהיו בסיכון. אתה צריך להשתמש בסיסמאות שונות בכל מקום - מנהל סיסמה יכול לעזור עם זה.

    Keyloggers

    Keyloggers הם זדוניות חתיכות של תוכנה שיכולה לרוץ ברקע, רישום כל שבץ מפתח שתבצע. הם משמשים לעתים קרובות ללכידת נתונים רגישים כגון מספרי כרטיסי אשראי, סיסמאות בנקאיות מקוונות ואישורי חשבון אחרים. לאחר מכן הם שולחים נתונים אלה לתוקף דרך האינטרנט.

    תוכנות זדוניות כאלה יכולות להגיע דרך מנצלים - לדוגמה, אם אתה משתמש בגירסה מיושנת של Java, מאחר שרוב המחשבים באינטרנט הם, אתה יכול להיות בסכנה באמצעות יישומון Java בדף אינטרנט. עם זאת, הם יכולים גם להגיע מוסווה בתוכנות אחרות. לדוגמה, תוכל להוריד כלי צד שלישי למשחק מקוון. הכלי עשוי להיות זדוני, לכידת סיסמת המשחק שלך ושליחתה לתוקף דרך האינטרנט.

    השתמש תוכנית אנטי וירוס הגון, לשמור על התוכנה מעודכנת, ולהימנע הורדת תוכנות לא אמין.

    הנדסה חברתית

    מתקיפים משתמשים בדרך כלל בטריקים להנדסה חברתית כדי לגשת לחשבונות שלך. דיוג הוא צורה ידועה של הנדסה חברתית - למעשה, התוקף מתחזה למישהו ומבקש את הסיסמה שלך. חלק מהמשתמשים מעבירים את הסיסמאות שלהם בקלות. הנה כמה דוגמאות להנדסה חברתית:

    • אתה מקבל הודעת דוא"ל שלטענתך מהבנק שלך, מפנה אותך לאתר בנק מזויף ומבקש ממך למלא את הסיסמה שלך.
    • אתה מקבל הודעה בפייסבוק או בכל אתר חברתי אחר ממשתמש הטוען שהוא חשבון פייסבוק רשמי, המבקש ממך לשלוח את הסיסמה שלך כדי לאמת את עצמך.
    • אתה מבקר באתר שמבטיח לתת לך משהו בעל ערך, כגון משחקים חינם על קיטור או זהב חינם בעולם של וורקראפט. כדי לקבל את הפרס הזה מזויף, האתר דורש את שם המשתמש והסיסמה עבור השירות.

    הקפד על מי אתה נותן את הסיסמה שלך - אל תלחץ על קישורים בהודעות דוא"ל ועבור אל אתר הבנק שלך, אל תמסור את הסיסמה שלך לכל מי שמקשר אליך ובקש ממנה, ואל תיתן את אישורי החשבון שלך לאימות אתרי אינטרנט, במיוחד אלה שמופיעים טוב מכדי להיות אמיתי.

    מענה על שאלות אבטחה

    לעתים קרובות ניתן לאפס סיסמאות על ידי מענה לשאלות אבטחה. שאלות אבטחה הן בדרך כלל חלשות להפליא - לעתים קרובות דברים כמו "איפה נולדת?", "איזה בית ספר תיכון ניגשת אליו?", ו"מה היה שם הנעורים של אמך? ". זה לעתים קרובות מאוד קל למצוא מידע זה על אתרי רשת חברתית נגיש לציבור, ורוב האנשים הרגילים יגידו לך מה בית הספר התיכון הם הלכו אם הם נשאלו. עם זה קל לקבל מידע, התוקפים יכולים לעתים קרובות לאפס סיסמאות ולקבל גישה לחשבונות.

    באופן אידיאלי, אתה צריך להשתמש בשאלות אבטחה עם תשובות שלא ניתן בקלות להתגלות או לנחש. אתרי אינטרנט צריכים גם למנוע מאנשים לקבל גישה לחשבון רק משום שהם יודעים את התשובות לשאלות אבטחה מסוימות, וחלקם עושים זאת - אך חלקם עדיין לא.

    חשבון דוא"ל ושחזור סיסמה

    אם תוקף משתמש באחת מהשיטות שלמעלה כדי לקבל גישה לחשבונות האימייל שלך, אתה בצרות גדולות יותר. חשבון האימייל שלך מתפקד בדרך כלל כחיפוש הראשי שלך באינטרנט. כל החשבונות האחרים שבהם אתה משתמש מקושרים אליו, וכל מי שיש לו גישה לחשבון האימייל יכול להשתמש בו כדי לאפס את הסיסמאות שלך בכל מספר של אתרים שרשמת בכתובת הדוא"ל.

    מסיבה זו, אתה צריך לאבטח את חשבון הדוא"ל שלך ככל האפשר. חשוב במיוחד להשתמש בסיסמה ייחודית עבורו ולשמור עליה בזהירות.

    מה הסיסמה "פריצה" לא

    רוב האנשים כנראה לדמיין תוקפים מנסה כל סיסמה אחת אפשרית להיכנס לחשבון המקוון שלהם. זה לא קורה. אם ניסית להיכנס לחשבון המקוון של מישהו והמשיך לנחש סיסמאות, אתה תהיה האטה ומנעה מנסה יותר קומץ סיסמאות.

    אם התוקף היה מסוגל להיכנס לחשבון מקוון רק על ידי ניחוש סיסמאות, סביר להניח כי הסיסמה היתה משהו ברור שניתן לנחש על ניסיונות הראשונים, כגון "סיסמה" או את שם חיית המחמד של האדם.

    תוקף יכול להשתמש רק בשיטות כוח הזרוע הללו אם היה להם גישה מקומית לנתונים שלך - לדוגמה, נניח שאתה מאוחסן קובץ מוצפן בחשבון Dropbox שלך ותוקפים זכו לגשת אליו והורידו את הקובץ המוצפן. לאחר מכן הם יכולים לנסות כוח בכוח ההצפנה, בעצם מנסה כל שילוב סיסמה אחת עד עובד.


    אנשים שאומרים שהחשבונות שלהם "נפרצו" הם ככל הנראה אשמים בשימוש חוזר בסיסמאות, התקנת לוגר מפתח או מתן אישורים לתוקף לאחר הטריקים של הנדסה חברתית. הם עשויים גם להיות בסכנה כתוצאה של שאלות אבטחה לנחש בקלות.

    אם אתה נוקט אמצעי זהירות מתאימים, זה לא יהיה קל "לפרוץ" את החשבונות שלך. שימוש באימות של שני גורמים יכול לעזור גם - תוקף יצטרך יותר מאשר רק את הסיסמה כדי להיכנס.

    קרדיט תמונה: רוברט ואן דר סטיג על Flickr, asenat על Flickr