Bagaimana seseorang mendapatkan kata laluan saya?

Pernahkah anda menerima e-mel 'sextortion' yang memberitahu bahawa komputer anda telah diretas dan memberi amaran bahawa jika anda tidak membayar, mereka akan mengeluarkan video yang intim ke seluruh senarai kenalan anda? Adakah e-mel tersebut memasukkan kata laluan lama anda sebagai 'bukti' bahawa tuntutan mereka benar? Adakah anda tertanya-tanya bagaimana mereka mendapat kata laluan anda?

Apakah itu Phishing?

Secara statistik, ini mungkin dari e-mel pancingan data. Pada tahun 2018, 93% dari semua pelanggaran di peringkat global bermula dengan serangan pancingan data atau dalih.

E-mel pancingan data sangat biasa dan sangat berkesan. Mereka menggunakan emosi seperti ketakutan dan rasa malu (dalam e-mel pengekstrakan atau 'iklan peningkatan lelaki'), urgensi (bos saya memerlukan ini sekarang!), Atau keserakahan (saya memenangi kereta baru ??).

Mereka juga dapat dikirim melalui pesan teks (SMiShing), suara (vishing), e-mel (phishing), dan phishing media sosial.

Semakin banyak orang menyesuaikan diri, semakin banyak penggodam berubah sebagai tindak balas - taktik mereka sentiasa berkembang.  

Biasanya e-mel pancingan data mengandungi pautan atau lampiran. Setelah anda mengklik pautan atau membuka lampiran, mereka mungkin memasang perisian hasad pada peranti anda atau menipu anda untuk memasukkan bukti kelayakan anda ke laman web palsu (yang kelihatan seperti laman web sebenar). Malware akan memeriksa untuk mengetahui apakah ia dapat mengeksploitasi kerentanan yang tidak dapat ditandingi untuk memasang lebih banyak malware ke sistem anda (yang kemudian dapat mencuri kata laluan, memasang keyloggers untuk merakam semua ketukan kekunci anda - dan oleh itu kata laluan anda! - dan sebagainya).

Setelah penggodam telah mencuri bukti kelayakan anda, mereka dapat melakukan perkara seperti mengasingkan data kewangan peribadi atau maklumat akaun anda, atau maklumat pelanggan anda jika ini berlaku pada peranti syarikat anda.

Phishing layak mendapat artikelnya sendiri, jadi jika anda berminat untuk belajar cara memancing phishing, baca artikel ini.

Bagaimana anda boleh menghentikan pancingan data daripada memberi kesan kepada anda?

Pertahanan terhadap pancingan data juga sukar. Sebagai individu, perkara terbaik yang boleh anda lakukan adalah berhati-hati ketika membuka e-mel - berhati-hati dengan e-mel yang bermain dengan emosi anda, meminta anda membuat keputusan cepat, atau kelihatan terlalu bagus untuk menjadi kenyataan.

Perhatikan pengirim yang tidak biasa (adakah anda mengenali orang yang menghantar e-mel kepada anda? Adakah ini alamat e-mel yang mereka gunakan sebelumnya?), Atau pautan atau lampiran yang tidak dijangka. Sekiranya anda tidak pasti sama ada e-mel itu sah, sahkan bahawa ia adalah dengan pengirim melalui kaedah komunikasi yang berbeza.

Anda juga harus menggunakan perisian perlindungan antivirus dan endpoint. Versi berbayar lebih baik daripada versi percuma, kerana ia dikemas kini ketika malware baru dikenal pasti. Tetapi versi percuma biasanya lebih baik daripada tidak ada. Saya suka Malwarebytes untuk komputer riba.

Pasukan keselamatan akan menggunakan pelbagai alat:

  • mekanisme penapisan e-mel yang cuba mengurangkan e-mel pancingan data dan spam yang sampai ke peti masuk pengguna,
  • langkah-langkah seperti SPF, DKIM, dan DMARC yang dapat membantu memberikan pengesahan bahawa e-mel memberitahu yang sebenarnya dari mana asalnya,
  • latihan kesedaran pengguna,
  • dan mekanisme perlindungan titik akhir.

Mekanisme perlindungan endpoint boleh terdiri dari antivirus sederhana hingga agen yang dipasang pada setiap peranti. Ini akan cuba mencegah perisian hasad yang diketahui berjalan, mengenal pasti tingkah laku yang tidak biasa, dan mencegah proses jahat berjalan dengan memberi amaran kepada pasukan operasi keselamatan atau memaksa program berhenti.

Dengan cara ini, walaupun e-mel melalui penapis dan pengguna tidak menyedari apa-apa yang salah, perlindungan titik akhir akan menghalang perisian hasad daripada melakukan kerosakan pada mesin.

Bagaimana lagi seseorang boleh mendapatkan kata laluan saya?

Selalunya apabila penggodam melanggar syarikat, mereka akan menjual nama pengguna dan kata laluan yang mereka perolehi di laman web gelap.

Surface Web: Apa yang anda dapat dapati di Google atau enjin carian popular lain. Ini mungkin sebahagian besar dari apa yang anda fikirkan sebagai internet. Berbanding dengan web dalam, ini adalah sebilangan kecil maklumat yang 'dalam talian'. Deep Web: Maklumat yang dalam talian, tetapi tidak diindeks (dicari) oleh Google dan penyemak imbas popular lain. Ini adalah maklumat seperti yang terdapat dalam pangkalan data kerajaan atau universiti. Selalunya maklumat ini tersembunyi di sebalik paywall atau mekanisme sekatan lain. Web Gelap:Web gelap memerlukan penyemak imbas tertentu, seperti 'penyemak imbas TOR' untuk mengakses. Sebilangan, walaupun tidak semua, kandungan ini tidak sah. Ini sering menjadi tempat di mana penjenayah berkumpul untuk bercakap di forum, menjual perkhidmatan dan barang haram, dan kadang-kadang aktivis yang hidup di bawah rejim penindasan berkumpul untuk berkomunikasi.

Sekiranya anda menggunakan semula kata laluan dan nama pengguna antara laman web yang berlainan (terutamanya kerana e-mel anda mungkin digunakan sebagai nama pengguna anda untuk banyak laman web), penggodam mungkin sudah mempunyai nama pengguna dan kata laluan anda.

Penggodam kemudian akan melakukan sesuatu yang disebut 'pemadat kelayakan'. Pemadatan kredensial adalah ketika penyerang mengambil nama pengguna dan kata laluan ini dan memasukkannya ke 'pemeriksa akaun' automatik yang pada dasarnya mencuba gabungan nama pengguna / kata laluan di banyak, banyak laman web yang berlainan di internet, dari log masuk media sosial hingga akaun bank. Sekiranya kata laluan berfungsi, penggodam kini mempunyai akses ke akaun dan boleh menguras akaun, menjual data, dll.

Untuk penerangan yang lebih baik, lihat komik XKCD di bawah.

Bagaimana anda mempertahankan diri daripada pemakaian kelayakan?

Jangan gunakan semula kata laluan anda. Gunakan pengurus kata laluan seperti 1Password atau LastPass. KeePass (pada pendapat saya) kurang mesra pengguna, tetapi percuma!

Pengurus kata laluan dapat menyimpan kata laluan anda dengan selamat dan sering mempunyai pelanjutan dan aplikasi penyemak imbas sehingga mereka dapat mengisi kata laluan anda secara automatik di banyak akaun. Anda hanya perlu mengingat satu kata laluan utama dengan cara ini. Tetapi kata laluan utama anda kini memberikan akses ke semua kata laluan anda yang lain, jadi pastikan kata kunci itu sangat kuat!

Mereka juga dapat membantu anda menghasilkan kata laluan yang sangat kuat, dan ada juga yang mempunyai peti besi sehingga anda dapat menyimpan maklumat sensitif lain (butiran akaun bank, maklumat insurans, dll.)

Saya secara peribadi menggunakan 1Password kerana saya suka pilihan akaun keluarga - jika ada orang dalam keluarga anda yang terkunci, orang lain boleh menetapkan semula kata laluan akaun mereka (tetapi tidak akan mempunyai akses ke peti besi individu anda).

Anda juga boleh menetapkan amaran percuma dengan Have I Been Pwned. Laman web ini mengumpulkan maklumat dari pelanggaran data dan memberi pengguna kemampuan untuk menggunakan maklumat tersebut untuk melindungi diri mereka sendiri. Anda boleh menavigasi ke tab 'Beritahu Saya' di bahagian atas dan masukkan alamat e-mel anda.

Setelah anda mengesahkan alamat e-mel yang anda masukkan (di mana ia akan memberikan pendedahan semasa anda), laman web ini akan menghantar e-mel kepada anda bila-bila masa e-mel anda terlibat dalam pelanggaran data. Maksudnya, setiap pelanggaran yang dimaklumkan oleh laman web ini - liputannya sangat baik, tetapi tidak ada satu pun sumber yang akan mengandungi setiap pelanggaran data yang bocor. Dengan cara ini, anda hanya boleh menukar kata laluan yang terpengaruh, dan tidak perlu risau tentangnya mempengaruhi akaun anda yang lain.

Sekiranya anda mengusahakan keselamatan untuk organisasi yang besar, perisian pengurusan kata laluan perusahaan (syarikat yang sama yang disenaraikan di atas menyediakan perkhidmatan ini) adalah idea yang bagus, dan juga dasar kata laluan yang kuat (mewajibkan pekerja anda menggunakan kata laluan yang cukup kuat). Telah Saya Telah Pwned juga mempunyai perkhidmatan yang membolehkan pemilik domain memantau pelanggaran yang melibatkan sebarang e-mel di domain (dan percuma!).

Bagaimana lagi penggodam mendapatkan kata laluan?

Terdapat beberapa kemungkinan lain - melayari bahu, atau pada dasarnya memerhatikan anda memasukkan kata laluan anda - walaupun ini tidak mungkin kerana orang itu mesti memerhatikan anda secara fizikal.

Kemudian ada pencurian kata laluan yang telah ditulis, atau hanya gambar kata laluan yang ditulis dalam foto. Sekali lagi, ini jauh lebih kecil kemungkinannya daripada pilihan di atas kerana biasanya berasal dari serangan yang disasarkan (yang secara semula jadi kurang biasa daripada kejahatan peluang).

Mengelakkan kedua-duanya cukup mudah - jangan biarkan seseorang memerhatikan anda memasukkan kata laluan anda, dan jangan menuliskan kata laluan anda. Gunakan pengurus kata laluan! Sekiranya anda hanya perlu menuliskannya, simpan di tempat yang tidak mungkin dicari atau dijumpai oleh seseorang. Saya akan mencadangkan bahagian bawah kotak tampon. Jauh lebih selamat daripada nota lekat pada monitor anda.

Nampaknya sangat mudah digodam. Sekiranya saya prihatin?

Perkara yang paling penting untuk diingat mengenai penggodaman adalah bahawa tidak ada yang mahu melakukan lebih banyak pekerjaan daripada yang harus mereka lakukan. Contohnya, memecah masuk rumah anda untuk mencuri buku nota kata laluan anda jauh lebih sukar daripada menghantar e-mel pancingan data dari seberang dunia. Sekiranya ada kaedah yang lebih mudah untuk mendapatkan kata laluan anda, mungkin itulah yang akan dicuba oleh pelakon yang jahat.

Itu bermaksud bahawa mengaktifkan amalan terbaik keselamatan siber asas mungkin merupakan kaedah termudah untuk mengelakkan diri daripada digodam. Sebenarnya, Microsoft baru-baru ini melaporkan bahawa hanya mengaktifkan Autentikasi Dua Faktor akan akhirnya menyekat 99.9% serangan automatik.  

Oleh itu, aktifkan 2FA, gunakan pengurus kata laluan untuk membuat automatik kata laluan yang panjang dan kompleks untuk setiap akaun, dan fikirkan sebelum anda mengklik! Elakkan mengklik pautan dan lampiran yang tidak jelas atau tidak dijangka, dan tetap waspada.