Как кто-то получил мой пароль?

Получали ли вы когда-нибудь электронное письмо с сообщением о том, что ваш компьютер взломали, и предупреждением о том, что, если вы не заплатите, они будут выпускать видеоролики интимного характера для всего вашего списка контактов? Включен ли в электронное письмо ваш старый пароль в качестве «доказательства» того, что их утверждения верны? Вам было интересно, как они узнали ваш пароль?

Что такое фишинг?

По статистике, вероятно, это было фишинговое письмо. В 2018 году 93% всех взломов в мире начались с фишинговых атак или атак с предлогом.

Фишинговые письма чрезвычайно распространены и очень эффективны. Они используют такие эмоции, как страх и стыд (в сексуальных письмах или «рекламе мужского улучшения»), срочность (моему боссу это нужно сейчас!) Или жадность (я выиграл новую машину ??).

Их также можно отправлять с помощью текстовых сообщений (SMiShing), голосом (вишинг), электронной почте (фишинг) и фишингом в социальных сетях.

Чем больше людей приспосабливается, тем больше меняются хакеры в ответ - их тактика постоянно развивается.  

Обычно фишинговые письма содержат ссылку или вложение. После того, как вы нажмете ссылку или откроете вложение, они могут установить вредоносное ПО на ваше устройство или обманом заставить вас ввести свои учетные данные на поддельный сайт (который выглядит так же, как настоящий сайт). Вредоносное ПО проверит, может ли оно использовать незащищенные уязвимости, чтобы установить в вашу систему больше вредоносных программ (которые затем могут красть пароли, устанавливать кейлоггеры для записи всех ваших нажатий клавиш - и, следовательно, ваших паролей! - и так далее).

После того, как хакер украл ваши учетные данные, он может делать такие вещи, как эксфильтрация ваших личных финансовых данных или информации об учетной записи или данных ваших клиентов, если это происходит на устройстве вашей корпорации.

Фишинг полностью заслуживает отдельной статьи, поэтому, если вы хотите научиться фишингу, ознакомьтесь с этой статьей.

Как предотвратить воздействие фишинга на вас?

Защититься от фишинга тоже сложно. Лучшее, что вы можете сделать как личность, - это проявлять осторожность при открытии писем: опасайтесь писем, которые играют на ваших эмоциях, просят вас принимать быстрые решения или кажутся слишком хорошими, чтобы быть правдой.

Обратите внимание на необычных отправителей (узнаете ли вы человека, который отправляет вам электронное письмо? Это тот же адрес электронной почты, который они использовали раньше?), Или неожиданных ссылок или вложений. Если вы не уверены, что электронное письмо является законным, подтвердите, что оно отправлено отправителю, используя другой способ связи.

Вам также следует использовать антивирусное программное обеспечение и программное обеспечение для защиты конечных точек. Платная версия лучше бесплатной, так как она обновляется по мере обнаружения нового вредоносного ПО. Но бесплатная версия обычно лучше, чем ничего. Мне нравится Malwarebytes для ноутбуков.

Команды безопасности будут использовать множество инструментов:

  • механизмы фильтрации электронной почты, которые пытаются уменьшить количество фишинговых и спам-писем, попадающих в почтовые ящики пользователя,
  • такие меры, как SPF, DKIM и DMARC, которые могут помочь обеспечить аутентификацию того, что письмо говорит правду о том, откуда оно пришло,
  • обучение пользователей,
  • и механизмы защиты конечных точек.

Механизмы защиты конечных точек могут варьироваться от простого антивируса до агентов, установленных на каждом устройстве. Они будут пытаться предотвратить запуск известных вредоносных программ, выявить необычное поведение и предотвратить запуск вредоносных процессов, предупредив группу по обеспечению безопасности или заставив программу выйти.

Таким образом, даже если электронное письмо проходит через фильтры и пользователь не замечает ничего плохого, защита конечной точки не позволит вредоносному ПО действительно нанести вред машине.

Как еще кто-то мог узнать мой пароль?

Часто, когда хакер взламывает компанию, он продает имена пользователей и пароли, полученные в даркнете.

Surface Web: то, что вы можете найти в Google или других популярных поисковых системах. Вероятно, это большая часть того, что вы думаете об Интернете. По сравнению с глубокой паутиной, это очень небольшая часть информации, которая находится «в сети». Deep Web: информация, которая находится в сети, но не индексируется (доступна для поиска) в Google и других популярных браузерах. Это информация, например, содержащаяся в правительственных или университетских базах данных. Часто эта информация скрыта за платным доступом или другим ограничительным механизмом. Темная паутина:Темная сеть требует для доступа определенных браузеров, таких как «браузер TOR». Некоторые, но не все, материалы являются незаконными. Часто это место, где преступники собираются, чтобы поговорить на форумах, продать нелегальные услуги и товары, а иногда и активисты, живущие при репрессивных режимах, собираются для общения.

Если вы повторно использовали пароли и имена пользователей между разными веб-сайтами (особенно потому, что ваш адрес электронной почты, вероятно, используется в качестве имени пользователя для многих веб-сайтов), хакер мог уже иметь ваше имя пользователя и пароль.

Затем хакер выполнит так называемое «заполнение учетных данных». Заполнение учетных данных - это когда злоумышленник берет эти имена пользователей и пароли и вставляет их в автоматизированную `` программу проверки учетных записей '', которая в основном пробует комбинацию имени пользователя и пароля на множестве разных сайтов в Интернете, от входа в социальные сети до банковских счетов. Если пароль работает, хакер теперь имеет доступ к учетной записи и может осушить учетную запись, продать данные и т. Д.

Для лучшего описания посмотрите комикс XKCD ниже.

Как защитить себя от набивки учетных данных?

Не используйте свои пароли повторно. Используйте менеджер паролей, например 1Password или LastPass. KeePass (на мой взгляд) менее удобен для пользователя, но он бесплатный!

Менеджеры паролей могут безопасно хранить ваши пароли и часто имеют расширения и приложения для браузера, чтобы они могли автоматически вводить ваши пароли для многих учетных записей. Кроме того, вам нужно запомнить только один мастер-пароль. Но ваш главный пароль теперь предоставляет доступ ко всем остальным вашим паролям, поэтому убедитесь, что он очень надежный!

Они также могут помочь вам автоматически генерировать очень надежные пароли, а у некоторых даже есть хранилища, чтобы вы могли хранить другую конфиденциальную информацию (данные банковского счета, информацию о страховании и т. Д.).

Я лично использую 1Password, потому что мне нравится вариант семейной учетной записи - если кто-то из вашей семьи когда-либо будет заблокирован, кто-то другой может сбросить пароль своей учетной записи (но не будет иметь доступа к вашему индивидуальному хранилищу).

Вы также можете настроить бесплатные оповещения с помощью Have I Been Pwned. Этот сайт собирает информацию об утечках данных и предоставляет потребителям возможность использовать эту информацию для защиты. Вы можете перейти на вкладку «Уведомить меня» вверху и ввести свой адрес электронной почты.

После того, как вы подтвердите введенный адрес электронной почты (на котором будет отображаться ваше текущее присутствие), сайт будет отправлять вам электронное письмо в любое время, когда ваша электронная почта будет связана с утечкой данных. То есть о любом взломе сайт предупреждается - их охват очень хороший, но ни один источник не будет содержать все утечки данных. Таким образом, вы можете просто изменить затронутый пароль и не беспокоиться о том, что это повлияет на другие ваши учетные записи.

Если вы работаете над безопасностью для крупной организации, отличной идеей будет корпоративное программное обеспечение для управления паролями (те же компании, перечисленные выше, предоставляют эти услуги), а также политики надежных паролей (требующие, чтобы ваши сотрудники использовали достаточно надежные пароли). У Have I Been Pwned также есть служба, которая позволяет владельцу домена отслеживать нарушения, связанные с любой электронной почтой в домене (и это бесплатно!).

Как еще хакеры получают пароли?

Есть еще несколько возможностей - серфинг через плечо или просто наблюдение за тем, как вы вводите пароль, - хотя это маловероятно, учитывая, что человек должен физически наблюдать за вами.

Тогда есть кража паролей, которые были записаны, или просто изображения записанных паролей, которые видны на фотографиях. Опять же, это гораздо менее вероятно, чем любой из вышеперечисленных вариантов, поскольку обычно происходит от целенаправленной атаки (которая по своей природе менее распространена, чем преступления при возможности).

Избежать этих двух довольно просто - не позволяйте никому смотреть, как вы вводите свой пароль, и не записывайте свой пароль. Вместо этого используйте менеджер паролей! Если вам просто нужно записать его, храните его в таком месте, где кто-то вряд ли найдет случайно. Я бы предложил нижнюю часть коробки тампонов. Намного безопаснее, чем стикеры на мониторе.

Кажется, действительно легко быть взломанным. Я должен быть обеспокоен?

Самое важное, что нужно помнить о взломе, - это то, что никто не хочет выполнять больше работы, чем должен. Например, взломать ваш дом, чтобы украсть блокнот с паролями, намного сложнее, чем отправить фишинговые письма с другого конца света. Если есть более простой способ получить пароль, то, вероятно, это сначала попробует гнусный актер.

Это означает, что использование основных передовых методов кибербезопасности, вероятно, является самым простым способом предотвратить взлом. Фактически, Microsoft недавно сообщила, что простое включение двухфакторной аутентификации в конечном итоге заблокирует 99,9% автоматических атак.  

Итак, включите 2FA, используйте диспетчер паролей для автоматического создания длинных, сложных, уникальных паролей для каждой учетной записи и подумайте, прежде чем нажимать! Не нажимайте на отрывочные или неожиданные ссылки и вложения и сохраняйте бдительность.