Sosiaalinen tekniikka Hacks ja linkitetyt tilit: Miten suojata identiteettivarkailta

Nykyään ja Internetissä on läheinen yhteys useimpien elämäntapamme ja identiteetin kanssa. Lähes kaikilla on Facebook-profiili sekä mahdollisesti Twitter-tili, LinkedIn-sivu, verkkotarkastus tilit, online-jälleenmyyjien tilit ja luultavasti paljon vanhoja profiileja muissa sivustoissa, jotka vain keräävät virtuaalista pölyä. Useimmat meistä ovat luottaneet Internetiin tietomme kautta. Luotamme siihen, että globaalit, hienostuneet yritykset, kuten PayPal, Facebook, Amazon ja kaikki muut suuret nimet eivät jätä tietojamme avoimeksi hakkerointiin. Mutta hakkereiden kollektiivinen aivokapasiteetti on pyritty löytämään uusia ja innovatiivisia tapoja rikkoa näiden yritysten järjestelmiä.

Se on sanottu aiemmin, mutta sanon sen uudestaan: turvallisuus on yhtä vahva kuin heikoin linkki. Kuinka heikko on ketju, joka johtaa henkilötietoihisi? On olemassa lukuisia haavoittuvuuksia, jotka on otettava huomioon online-läsnäolossasi: jotkut, jotka saattavat olla tietoisia, ja muut, joita et ole koskaan ajatellut. Suojaus ja ennaltaehkäisy ovat avainasemassa online-tietoturvaprosessissa - on paljon helpompi estää hakata kuin vahingon korjata sen jälkeen, kun jokin tapahtui.

Mikä on sosiaalinen suunnittelu?

Tässä yhteydessä sosiaalinen tekniikka on menetelmä, jota käytetään manipuloimaan ihmisiä paljastamaan henkilökohtaisia ​​tietoja. Wiredin Mat Honanin äskettäin julkaissut artikkeli kertoi, kuinka hän oli sosiaalisen tekniikan hakata, joka teki digitaalisen elämänsä kaatumasta. Amazonin ja Applen tietoturvaprotokollan haavoittuvuudet auttoivat hakkeria pääsemään useisiin kirjailijan tileihin. Hakkeri pystyi murtautumaan hänen Amazon-tililleen, joka tarjosi laskutusosoitteen sekä luottokortin numeron neljä viimeistä numeroa. Nämä tiedot olivat kaikki, mitä tarvittiin vakuuttamaan Applen siitä, että hakkeri oli Honan, ja siksi hänelle annettiin hänen palauttaa Apple ID -salasanan. Sieltä hakkeri sai pääsyn Apple-sähköpostitililleen, joka johti hänen Gmail-tiliinsäsa, joka oli yhä enemmän verkko-informaation keskittymä. Tämä on sosiaalinen insinööri työpaikalla. Kuinka hakkerit tiesivät, että Honanilla oli Amazon-tili, ei ole täysin selvää, mutta on syytä panna merkille niiden tapahtumien ketju, jotka heittivät heidät hänen haavoittuvuuteensa:

"Kun tulin yli [Twitter] -tilini, hakkerit tekivät taustatutkimusta. Oma Twitter-tili liittyy omalle verkkosivustolleni, jossa he löysivät Gmail-osoitteen. Arvaamalla, että tämä oli myös sähköpostiosoite, jota käytin Twitterissä, Phobia [hakkeri] meni Googlen tilin palautussivulle. Hänen ei tarvinnut edes yrittää toipua. Tämä oli vain rekrytointitehtävä. Koska minulla ei ollut Googlen kaksitesteinen todentamistoimintoa käyttöön, kun Phobia syöttyi Gmail-osoitteeni, hän pystyi katselemaan vaihtoehtoista sähköpostiosoitetta, jonka olin määrittänyt tilin palauttamiseksi. Google osittain peittää nämä tiedot, joista monet ovat hahmotelleet, mutta käytettävissä oli riittävästi merkkejä, m *. Jättipotti."

Ajattele kahdesti linkitettyjä tilejä

Digitaalisen elämän merkkijono alkaa ja päättyy jonnekin, ja jos haavoittuvuus havaitaan, sitä hyödynnetään. Amazon on sen jälkeen väittänyt, että se on muuttanut tietoturvamenetelmänsä, jotta tällainen hyödyntäminen ei ole enää mahdollista (kuitenkin Wired-tarinan lukemisen jälkeen olen poistanut kaikki tiedot Amazonilta ja syöttänyt sen manuaalisesti joka kerta tästä eteenpäin. Ei ole sellaista kuin liian varovainen). Apple ei sitä vastoin ole sanonut, että se on muuttanut tietoturvapolitiikkaa - Apple sanoi vain, että sen turvatoimia ei noudatettu kokonaan. On monia muita yrityksiä, jotka ovat alttiita sosiaalisen suunnittelun taktiikoille, ja linkitetyt tilisi kertoa heille, mistä aloittaa. Joskus helpoin hyödyntäminen voi olla Facebook-tili.

Digitaalinen polku, joka johtaa takaisin ei-digitaaliseen elämään

Olettaen, että Facebook-profiilisi on julkinen tai että hyväksyt ystäväsi pyyntöjä ihmisiltä, ​​joita et oikein tiedä, onko profiilissasi koko syntymäpäiväsi? Henkilökohtainen sähköpostiosoitteesi, kotiosoite ja puhelinnumero? Onko sinulla kuvia vanhasta lemmikistä, jossa nimetään heidät vai oletko ystäväsi äitisi kanssa, joka vielä käyttää tyttönimiään? Onko sinulla kuvia ensimmäisestä luokasta, jotka näyttävät koulun nimen, sinä ensimmäisen tyttöystävänne tai BFF: nne?

Kyllä, ja miksi pyydän kaikkia näitä henkilökohtaisia ​​kysymyksiä? Syntymäpäiväsi ja osoite voi antaa minulle tarpeeksi tietoa, jotta voisit alkaa esiintyä muissa yrityksissä tai verkossa. Joissakin tapauksissa saan tarvita sosiaaliturvatunnuksen neljää nelinumeroista numeroa, mutta se ei ole luulet, että se on. Joten, miksi sinun pitäisi olla ensimmäinen perheesi lemmikkisi, äitisi tyttönimi, ensimmäinen peruskoulu, ensimmäinen tyttöystävä tai paras ystäväsi nimi? He ovat kaikki vastauksia tietoturvakysymyksiin tilien palautusprosesseissa. Jos - tuntematon - säröin sähköpostisi, mutta todellinen tavoite on pankkitilisi, minulla on nyt vastaukset turvallisuuskysymyksiin ja voin vaihtaa salasanan pankkitilillesi, jotta pääset käsiksi.Hyvä toimenpide luultavasti muutan myös salasanasi sähköpostissasi tai jos olen tehnyt sen hyödyntämistä, voin poistaa tilin kokonaan. Tietenkin on olemassa monia tekijöitä, jotta tämä tilanne olisi ihanteellinen, ja on olemassa muita menetelmiä, joita voidaan käyttää henkilöllisyytesi vastaanottamiseen.

Jos sinulla on heikot salasanat, kuten "bucketKid", täysin satunnaisena esimerkkinä, brute force -hyökkäys tilillesi kestää noin kahdeksan päivää salasanan murtamiseen (lisätietoja siitä, miten tiedän, että suosituksessa). Yksinkertaisesti lisäämällä numero, jotta se "bucketKid7" lisää kuusi vuotta siihen hetkeen asti, jolloin hakkeri olisi haljeta.

On myös mahdollista, että tietojasi voi altistua toisen yrityksen hakkeroinnille. Jos käytät samaa salasanaa useilla sivustoilla, joista toinen sisältää sähköpostiosoitteesi, on aika vaihtaa kaikki salasanasi ja tutkia, kuinka paljon vahinko voi vuotaa. Nyt, kun olet mielestäsi pahimmillaan skenaarioita, siirrymme siihen, miten voit todella suojella itseäsi.

Sivustosi suositus

Älä koskaan käytä samaa salasanaa kahdesti! Tiedän, että olet kuullut, että miljoona kertaa aiemmin, ja ehkä luulet, ettei ole käytännöllistä saada kymmeniä ainutlaatuisia salasanoja useilla sivustoilla. Teillä on kaksi asiaa, joita voit tehdä käytännönläheiseksi:

Ensimmäinen voit käyttää ohjelmaa, jonka avulla voit luoda ja tallentaa ainutlaatuisia salasanoja kaikille sivustoille. 1Password on tällainen ohjelma - kun kirjaudut johonkin verkkoprofiiliisi, voit valita haluamasi kirjautumistunnuksesi ja 1Password antaa salasanan ja antaa sinulle pääsyn. Ehkä et halua, että kaikki salasanasi tallennetaan yhteen tietokantaan - se on kelvollinen huolenaihe.

Seuraava vaihtoehto on luoda sarja liittyviä salasanoja. Yksi salasana voi olla "Treez4Eva" seuraava "Trees4eVer" ja niin edelleen. Muistaa, mikä sivusto käyttää mitä versiota voi olla hieman hankala, mutta se on toteutettavissa ja kannattaa kokeilla. Muista, että voit aina palauttaa salasanasi, jonka unohdat. Tämä voi olla aikaa vievää, mutta älä unohda salasanoja estää sinua luomasta ainutlaatuisia, turvallisia.

Nyt salasanaan: voit käyttää kuinka salasanalla salasanani on kätevä viittaus arvioimaan kuinka turvallinen olet todella. Käytä aina aakkosnumeerisia yhdistelmiä sekä suurikokoisia kirjaimia ja erikoismerkkejä. Jos sivusto sallii sen, käytä myös tiloja. "BucketKid" on paljon turvallisempi, kun se on "bu (k3t K! 4 15 r3a!" Se salasana vaatii 3 kvintillion vuotta crack, mukaan How Secure Is My Password, joka on niin monta vuotta se kuulostaa väärennöltä. ajatella, että se vie sinut niin monta vuotta, että muistaa salasanan kaltainen - mutta ajattele, miten voit käyttää muistisukkeja, jotta prosessi helpottuisi. Esimerkki yllä: "Kauhan lapsi on todellinen", kaikki sinun on muistettava, mitkä kirjaimet jos olet yhä käyttänyt samaa salasanaa useilla sivustoilla, käytä voimakkaimpia, kuten yllä olevaan esimerkkiin, usein käyttämiesi sivustojen, kuten sähköpostin, luomiseen. salasanoja kuten "sateenvarjo poika 15 fake" muille sivustoille, joita et käytä usein tai tunnet ole niin turvallisia.

Käytä aina kaksivaiheista vahvistusta mille tahansa sivustolle, joka tukee sitä. Muista langallisen kirjaajan tili siitä, miten hänet hakkeroitiin, koska hän ei käyttänyt kaksivaiheista vahvistusta? Älä tee samaa virhettä. Google tukee sitä, kuten Yahoo ja Facebook. Kaksivaiheinen vahvistus tarkoittaa, että kun kirjaudut tilillesi tunnistamattomasta tietokoneesta tai IP-osoitteesta, sinua kehotetaan syöttämään puhelimeen lähetetty koodi. Mikä hienoa tästäkin on se, että se toimii myös tilisi hälytysjärjestelmänä. Jos joku yrittää käyttää sähköpostiasi ja saat yhtäkkiä tekstin, joka syöttää sinulle sisäänkirjautumiskoodin, tiedät, että on aika leikata luukut.

Lopuksi, jos olet huolissasi verkkoturvallisuudesta, tarkista Jos vaihdan salasanani. Tällä sivustolla voit kirjoittaa sähköpostiosoitteesi ja nähdä, näkyykö se millä tahansa luettelolla, jonka hakkeri on koonnut sivuston halkeilun jälkeen. He ovat juuri lisänneet uuden ominaisuuden, jossa voit tallentaa sähköpostiosoitteesi heidän kanssaan ja he viittaavat siihen tulevilla hyökkäyksillä.

Kaikki tämä saattaa tuntua menevän syvään päähän ja olla liian paranoidia sinulle, mutta paranoida Internetissä voi joskus pitää sinut turvallisena. On olemassa lukuisia muita toimenpiteitä, joita sinun on suojeltava, kuten: salata kovalevysi, luoda kertakäyttöisiä sähköpostiosoitteita ja nimiä sellaisille sivustoille, joita et luota tai tuntevat, puuttuvat turvallisuudesta ja muuttuvat salasanoja muutaman kuukauden välein. Tämä opas olisi otettava hyppäämästä pisteestä, jotta voit tehdä turvallisemman ja jos kaikki sinun on luotava yksi vahva salasana ja rekisteröidä sähköpostiosoitteesi Salasanan vaihtaminen -tietokantaan, tämä on ainakin hyvä ensimmäinen askel suojaamaan sinua henkilöllisyyden varastamisesta Internetissä.

Asiantuntija-suositukset

Ryan Disraeli, Petostentorjuntajohtaja TeleSignissa:

"Keskimääräinen henkilö on järkyttävästi erittäin hakkeroiva, mutta todellisuus on se, että hakkerit näyttävät hyökkäävän helpoimmasta kohdasta. Tämä ei ole erilainen kuin offline. Onko varas ryöstää kotiin 24/7 vartijat tai koti, joka aina lähtee oven lukitsemattomaksi? Tosiasia on, että hyvä varas voi vielä ryöstää kotiin erinomaisella turvallisuudella, mutta mieluummin tulee helpomman uhrin jälkeen.Aivan kuten tekisit varotoimenpiteitä henkilökohtaisen omaisuutesi suojelemiseksi, yksilöiden pitäisi pyrkiä lisäämään muutamia ennaltaehkäisykerroksia verkkoidentiteettinsä varmistamiseksi."

Dodi Glenn, GFI Softwarein VIPRE Antivirus tuotepäällikkö:

"Käsittele älypuhelimesi kuten tietokone. Jos teet puhelintasi minkäänlaisia ​​rahoitustoimia, samoja turvallisuuskäytäntöjä sovelletaan samoin kuin tietokoneen kanssa."

Shuman Ghosemajumder, Strategisen strategian varmentaja:

"Kiinnitä huomiota siihen, miten käytät verkkosivustoja. Osa varmistaaksesi, että luotat sivuston varmistamalla, että verkkosivuston takana oleva organisaatio on hyvämaineinen. Toinen osa on varmistaa, että luotat yhteytesi kyseiseen verkkosivustoon. Varmista, että URL-osoite on oikea, että olet navigoinut sen suoraan, eikä napsauttanut linkkiä ei-toivottuun sähköpostiviestiin, chat-viestiin tai ponnahdusikkunaan. Jos mahdollista, käytä vain omia laitteita ja yhteyksiä. Sinun on vältettävä julkisia WiFi-yhteyksiä ja jaettuja julkisia tietokoneita, jos mahdollista, koska hyökkääjät voivat helposti haistaa verkkoliikennettä tai asentaa keiloggereja kaapata salasanoja. Jos käytät julkista WiFi-yhteyttä, varmista, ettet lähetä kirjautumistunnuksia tai henkilökohtaisia ​​tietoja sivustoon, joka ei käytä HTTPS-yhteyttä."