Πώς κλέβουν οι χάκερ τους κωδικούς σου
Η εταιρεία κυβερνοασφάλειας ESET δίνει συμβουλές για να προστατέψεις τα προσωπικά σου δεδομένα από καλοθελητές του διαδικτύου.
Η έννοια του κωδικού πρόσβασης υπάρχει εδώ και αιώνες και οι κωδικοί πρόσβασης εισήχθησαν στους υπολογιστές πολύ νωρίτερα από όσο νομίζουμε.
Ένας λόγος για τη διαρκή δημοτικότητα των κωδικών πρόσβασης είναι ότι οι άνθρωποι γνωρίζουν ενστικτωδώς πώς λειτουργούν. Όμως οι κωδικοί πρόσβασης είναι η αχίλλειος πτέρνα της ψηφιακής ζωής πολλών ανθρώπων, ειδικά σήμερα, που ο μέσος άνθρωπος έχει δεκάδες κωδικούς που πρέπει να θυμάται.
«Δεν είναι περίεργο που πολλοί άνθρωποι επιλέγουν τις εύκολες λύσεις, με αποτέλεσμα να μειώνεται η ασφάλεια», λέει ο Phil Muncaster, από την ομάδα της παγκόσμιας εταιρείας κυβερνοασφάλειας ESET, και αναφέρει συγκεκριμένα τι μπορεί να κάνει ένας χάκερ με τους κωδικούς μας:
Να κλέψει προσωπικές πληροφορίες και να τις πουλήσει σε άλλους εγκληματίες.
Να πουλήσει τους κωδικούς πρόσβασης σε ιστοσελίδες του dark web που εμπορεύονται αδρά αυτές τις πληροφορίες. Οι ασυνείδητοι αγοραστές θα μπορούσαν να χρησιμοποιήσουν τους κωδικούς για να αποκτήσουν τα πάντα, από δωρεάν διαδρομές με ταξί και υπηρεσίες streaming, μέχρι εκπτώσεις σε ταξίδια από πειρατικούς λογαριασμούς Air Miles.
Να χρησιμοποιήσει τους κωδικούς πρόσβασης για να ξεκλειδώσει άλλους λογαριασμούς στους οποίους χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης.
Πώς το κάνει ακριβώς;
Η… φαρέτρα των χάκερ είναι μεγάλη και άκρως αποτελεσματική. Μερικές από τις τακτικές που χρησιμοποιούν είναι οι εξής:
* Phishing - ψάρεμα
Οι χάκερ μεταμφιέζονται σε φίλους, συγγενείς, εταιρείες με τις οποίες έχετε συνεργαστεί κ.λπ. Το μήνυμα ηλεκτρονικού ταχυδρομείου ή το κείμενο που θα λάβετε θα φαίνεται αυθεντικό, αλλά θα περιλαμβάνει έναν κακόβουλο σύνδεσμο ή συνημμένο αρχείο, το οποίο, αν κάνετε κλικ, θα κατεβάσετε κακόβουλο λογισμικό ή θα σας μεταφέρει σε μια ιστοσελίδα για να συμπληρώσετε τα προσωπικά σας στοιχεία.
* Malware – κακόβουλο λογισμικό
Τα email ηλεκτρονικού ψαρέματος αποτελούν πρωταρχικό φορέα για αυτού του είδους τις επιθέσεις, αν και μπορεί να πέσετε θύμα κάνοντας κλικ σε μια κακόβουλη διαφήμιση στο διαδίκτυο (malvertising) ή αν επισκεφτείτε ένα παραβιασμένο website (drive-by-download). Το κακόβουλο λογισμικό μπορεί ακόμη και να κρυφτεί σε μια εφαρμογή για κινητά που μοιάζει «καθαρή», η οποία συχνά βρίσκεται σε καταστήματα εφαρμογών τρίτων.
* Τεχνικές Brute Forcing
Μια από τις πιο συνηθισμένες τεχνικές αυτού του είδους είναι το credential stuffing. Οι χάκερ τροφοδοτούν σε αυτοματοποιημένο λογισμικό μεγάλους όγκους συνδυασμών ονόματος χρήστη/κωδικού πρόσβασης που έχουν παραβιαστεί στο παρελθόν. Στη συνέχεια, το εργαλείο δοκιμάζει αυτούς τους συνδυασμούς σε μεγάλο αριθμό σελίδων, ελπίζοντας να βρει μια αντιστοιχία. Με αυτόν τον τρόπο, οι χάκερ μπορούν να ξεκλειδώσουν πολλούς λογαριασμούς με έναν μόνο κωδικό πρόσβασης.
* Το κλασικό μάντεμα
Ο πιο συνηθισμένος κωδικός πρόσβασης του 2020 ήταν ο "123456", ακολουθούμενος από τον "123456789". Στην 4η θέση ήταν η λέξη…"password". Αν οι χρήστες χρησιμοποιούν κάποιους από αυτούς τους… αστείους κωδικούς, τότε η δουλειά των χάκερ είναι υπερβολικά εύκολη – σα να κλέβουν εκκλησία.
Πώς θα προστατευτούμε
Σύμφωνα με τον Muncaster της ESET, οι συμβουλές είναι απλές και (συνήθως) αποτελεσματικές:
* Χρησιμοποιείτε μόνο ισχυρούς και μοναδικούς κωδικούς πρόσβασης ή φράσεις πρόσβασης σε όλους τους διαδικτυακούς σας λογαριασμούς, ιδίως στους τραπεζικούς λογαριασμούς, τους λογαριασμούς ηλεκτρονικού ταχυδρομείου και τους λογαριασμούς στα μέσα κοινωνικής δικτύωσης.
* Μη χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης σε διαφορετικούς λογαριασμούς.
* Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων (2FA) σε όλους τους λογαριασμούς σας.
* Χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης, ο οποίος θα αποθηκεύει ισχυρούς, μοναδικούς κωδικούς πρόσβασης για κάθε website και κάθε λογαριασμό, καθιστώντας τις συνδέσεις απλές και ασφαλείς.
* Αλλάξτε αμέσως τον κωδικό πρόσβασής σας εάν ένας πάροχος σας ενημερώσει ότι τα δεδομένα σας ενδέχεται να έχουν παραβιαστεί.
* Να επισκέπτεστε μόνο ιστοσελίδες https://
* Μην κάνετε κλικ σε συνδέσμους και μην ανοίγετε συνημμένα αρχεία σε ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου
* Κατεβάζετε εφαρμογές μόνο από επίσημα καταστήματα εφαρμογών
* Επενδύστε σε λογισμικό ασφαλείας από έναν αξιόπιστο πάροχο για όλες τις συσκευές σας
* Βεβαιωθείτε ότι όλα τα λειτουργικά συστήματα και οι εφαρμογές είναι αναβαθμισμένα στην τελευταία έκδοση
* Προσοχή στους λαθραναγνώστες (shoulder surfers) που μπορεί να κρυφοκοιτάζουν την οθόνη σας σε δημόσιους χώρους
* Ποτέ μη συνδέεστε σε έναν λογαριασμό αν βρίσκεστε σε δημόσιο δίκτυο Wi-Fi. Αν πρέπει να χρησιμοποιήσετε ένα τέτοιο δίκτυο, χρησιμοποιήστε ένα VPN.
Πηγή.
Ένας λόγος για τη διαρκή δημοτικότητα των κωδικών πρόσβασης είναι ότι οι άνθρωποι γνωρίζουν ενστικτωδώς πώς λειτουργούν. Όμως οι κωδικοί πρόσβασης είναι η αχίλλειος πτέρνα της ψηφιακής ζωής πολλών ανθρώπων, ειδικά σήμερα, που ο μέσος άνθρωπος έχει δεκάδες κωδικούς που πρέπει να θυμάται.
«Δεν είναι περίεργο που πολλοί άνθρωποι επιλέγουν τις εύκολες λύσεις, με αποτέλεσμα να μειώνεται η ασφάλεια», λέει ο Phil Muncaster, από την ομάδα της παγκόσμιας εταιρείας κυβερνοασφάλειας ESET, και αναφέρει συγκεκριμένα τι μπορεί να κάνει ένας χάκερ με τους κωδικούς μας:
Να κλέψει προσωπικές πληροφορίες και να τις πουλήσει σε άλλους εγκληματίες.
Να πουλήσει τους κωδικούς πρόσβασης σε ιστοσελίδες του dark web που εμπορεύονται αδρά αυτές τις πληροφορίες. Οι ασυνείδητοι αγοραστές θα μπορούσαν να χρησιμοποιήσουν τους κωδικούς για να αποκτήσουν τα πάντα, από δωρεάν διαδρομές με ταξί και υπηρεσίες streaming, μέχρι εκπτώσεις σε ταξίδια από πειρατικούς λογαριασμούς Air Miles.
Να χρησιμοποιήσει τους κωδικούς πρόσβασης για να ξεκλειδώσει άλλους λογαριασμούς στους οποίους χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης.
Πώς το κάνει ακριβώς;
Η… φαρέτρα των χάκερ είναι μεγάλη και άκρως αποτελεσματική. Μερικές από τις τακτικές που χρησιμοποιούν είναι οι εξής:
* Phishing - ψάρεμα
Οι χάκερ μεταμφιέζονται σε φίλους, συγγενείς, εταιρείες με τις οποίες έχετε συνεργαστεί κ.λπ. Το μήνυμα ηλεκτρονικού ταχυδρομείου ή το κείμενο που θα λάβετε θα φαίνεται αυθεντικό, αλλά θα περιλαμβάνει έναν κακόβουλο σύνδεσμο ή συνημμένο αρχείο, το οποίο, αν κάνετε κλικ, θα κατεβάσετε κακόβουλο λογισμικό ή θα σας μεταφέρει σε μια ιστοσελίδα για να συμπληρώσετε τα προσωπικά σας στοιχεία.
* Malware – κακόβουλο λογισμικό
Τα email ηλεκτρονικού ψαρέματος αποτελούν πρωταρχικό φορέα για αυτού του είδους τις επιθέσεις, αν και μπορεί να πέσετε θύμα κάνοντας κλικ σε μια κακόβουλη διαφήμιση στο διαδίκτυο (malvertising) ή αν επισκεφτείτε ένα παραβιασμένο website (drive-by-download). Το κακόβουλο λογισμικό μπορεί ακόμη και να κρυφτεί σε μια εφαρμογή για κινητά που μοιάζει «καθαρή», η οποία συχνά βρίσκεται σε καταστήματα εφαρμογών τρίτων.
* Τεχνικές Brute Forcing
Μια από τις πιο συνηθισμένες τεχνικές αυτού του είδους είναι το credential stuffing. Οι χάκερ τροφοδοτούν σε αυτοματοποιημένο λογισμικό μεγάλους όγκους συνδυασμών ονόματος χρήστη/κωδικού πρόσβασης που έχουν παραβιαστεί στο παρελθόν. Στη συνέχεια, το εργαλείο δοκιμάζει αυτούς τους συνδυασμούς σε μεγάλο αριθμό σελίδων, ελπίζοντας να βρει μια αντιστοιχία. Με αυτόν τον τρόπο, οι χάκερ μπορούν να ξεκλειδώσουν πολλούς λογαριασμούς με έναν μόνο κωδικό πρόσβασης.
* Το κλασικό μάντεμα
Ο πιο συνηθισμένος κωδικός πρόσβασης του 2020 ήταν ο "123456", ακολουθούμενος από τον "123456789". Στην 4η θέση ήταν η λέξη…"password". Αν οι χρήστες χρησιμοποιούν κάποιους από αυτούς τους… αστείους κωδικούς, τότε η δουλειά των χάκερ είναι υπερβολικά εύκολη – σα να κλέβουν εκκλησία.
Πώς θα προστατευτούμε
Σύμφωνα με τον Muncaster της ESET, οι συμβουλές είναι απλές και (συνήθως) αποτελεσματικές:
* Χρησιμοποιείτε μόνο ισχυρούς και μοναδικούς κωδικούς πρόσβασης ή φράσεις πρόσβασης σε όλους τους διαδικτυακούς σας λογαριασμούς, ιδίως στους τραπεζικούς λογαριασμούς, τους λογαριασμούς ηλεκτρονικού ταχυδρομείου και τους λογαριασμούς στα μέσα κοινωνικής δικτύωσης.
* Μη χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης σε διαφορετικούς λογαριασμούς.
* Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων (2FA) σε όλους τους λογαριασμούς σας.
* Χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης, ο οποίος θα αποθηκεύει ισχυρούς, μοναδικούς κωδικούς πρόσβασης για κάθε website και κάθε λογαριασμό, καθιστώντας τις συνδέσεις απλές και ασφαλείς.
* Αλλάξτε αμέσως τον κωδικό πρόσβασής σας εάν ένας πάροχος σας ενημερώσει ότι τα δεδομένα σας ενδέχεται να έχουν παραβιαστεί.
* Να επισκέπτεστε μόνο ιστοσελίδες https://
* Μην κάνετε κλικ σε συνδέσμους και μην ανοίγετε συνημμένα αρχεία σε ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου
* Κατεβάζετε εφαρμογές μόνο από επίσημα καταστήματα εφαρμογών
* Επενδύστε σε λογισμικό ασφαλείας από έναν αξιόπιστο πάροχο για όλες τις συσκευές σας
* Βεβαιωθείτε ότι όλα τα λειτουργικά συστήματα και οι εφαρμογές είναι αναβαθμισμένα στην τελευταία έκδοση
* Προσοχή στους λαθραναγνώστες (shoulder surfers) που μπορεί να κρυφοκοιτάζουν την οθόνη σας σε δημόσιους χώρους
* Ποτέ μη συνδέεστε σε έναν λογαριασμό αν βρίσκεστε σε δημόσιο δίκτυο Wi-Fi. Αν πρέπει να χρησιμοποιήσετε ένα τέτοιο δίκτυο, χρησιμοποιήστε ένα VPN.
Πηγή.
