Videó: Дэвид Эллиотт: «Психотерапия привязанности у взрослых». Интервью. Русские субтитры (November 2024)
Az Evernote, a Facebook, a Twitter és mások elleni közelmúltbeli támadások során az érintett vállalatok gyorsan rámutattak, hogy a jelszavak biztonságban vannak. De a felhasználói információknak saját életük van, és az egyén elleni támadás következményei sokkal a támadás vége után érezhetők.
A támadások, amiket láttunk
Általában azt hallja, amikor egy nagyvállalat kompromittálódik, és valami hasonló ahhoz, hogy a fizetési információk továbbra is biztonságosak, a jelszavak titkosítva voltak, de más információk hozzáférhetők voltak. Általában ez magában foglalja a felhasználóneveket és az e-maileket.
Legtöbbünk számára ez nem tűnik veszélyesnek. Végül is mindig saját e-maileket adunk ki - még online is közzétesszük őket. De vannak kockázatok azoknak a felhasználóknak, akiknek még ez a kis mennyiségű információ is fel van téve.
Derek Halliday, a Lookout mobilbiztonsági vezető termékmenedzser elmagyarázta a SecurityWatch számára, hogy ezek az információs bitek hogyan célozhatják meg a felhasználókat. "A fiókinformációk felhasználhatók potenciálisan a szóhasználat engedélyezéséhez, mivel néhány egyedi kontextuális információt nyújtanak az emberekről - így lehet velük kapcsolatba lépni" - mondta. "És az a tény, hogy egy időpontban feliratkoztak egy adott szolgáltatásra."
Ez az oka annak, hogy a jogos riasztási e-mailek gyakran emlékeztetik a felhasználókat, akiknek esetleg fel vannak téve az információjuk, hogy soha senki nem fogja kérni a jelszavát. Ha egy hacker tudja, hogy Ön például az Evernote-t használja, akkor rövid feladat egy üzenet létrehozása, amely úgy tűnik, hogy az Evernote-től származik, és azt a fiókjának kezelésére használt e-mail címre küldi. Lehet, hogy felszólítja Önt a jelszó vagy a fizetési információk megadására, vagy esetleg becsapja Önt egy rosszindulatú linkre kattintással.
"Láttuk olyan számítógépes bűnözőket, akik hajlandók részt venni a hosszú ügyben" - mondta Mark Risher, az Impermium társalapítója és vezérigazgatója. "Többlépcsős támadás, amely túlmutat az érzékeny adatok közvetlen megsértésén."
"Amikor a bűnözők betörnek a közösségi hálózati fiókba, gyakran találnak olyan személyes adatokat, amelyek legitimitást adnak a szóhasználathoz" - folytatta Risher, aki az alumni szövetséget mint ilyen személyes részletet idézte. Elmondta, hogy fel lehet használni a "titkos kérdés" funkció feloldásához - amely néha megkérdezi, mi volt az iskolai kabalája, vagy az első háziállatod neve - egy másik weboldalon.
A legrosszabb eset
Chester Wisniewski, a Sophos vezető biztonsági tanácsadója azt mondta, hogy bár az Evernote és más, a közelmúltban veszélyeztetett webhelyek titkosítási hash-okkal és véletlenszerű "só" adatokkal biztosították jelszavaikat, lehet, hogy nem minden felhasználó van védett. Elmondta, hogy ha a felhasználók gyenge vagy általános jelszavakat választanak, "akkor a bűnözők valószínűleg megvannak."
A rendelkezésre álló korlátozott információ miatt a könnyebb jelszavak még mindig letölthetők. "A bűnözők kivonják az igazán könnyűket, és esetleg nem zavarják a többit" - mondta Wisniewski.
Néhány rossz fiú számára elegendő egyszerűen hozzáférni olyan közösségi média-fiókokhoz, mint a Facebook vagy a Twitter. Vannak, akik pénzt keresnek annak érdekében, hogy megpróbálják elterjedni a rosszindulatú programok. A vállalkozóbb támadók megpróbálhatják a megfejtött jelszót a webmail-fiók feloldásához.
"Gyakran keresnek leveleket a felhasználó bankjáról; Gyakran ott van egy" elfelejtettem a jelszavam "funkció, amely kizárólag az e-mail fiókhoz való hozzáférésre épül" - mondta Risher.
Folytatva a legrosszabb esetet is, a támadók esetleg nem kerülnek végrehajtásra, miután hozzáférést kaptak az online banki információkhoz. "Ezeknek a srácoknak egy része nem fog közvetlenül részt venni a személyazonosság-lopásban, ők eladják." - mondta Wisniewski.
Ezután elmagyarázta, hogy a banki trójaiak esetében a támadók a számlák 10% -át - vagyis azokat, amelyek rendelkeznek a legjobban rendelkezésre álló pénzeszközökkel - fogják felhasználni, és az információ másik 90% -át eladják. Ez azt jelenti, hogy a felhasználói információk, ha veszélybe kerülnek, továbbra is felhasználhatók és újra felhasználhatók, amíg a tulajdonos végül visszanyeri az irányítást.
Tartsa magát biztonságban
"A jó hír az utóbbi időben az, hogy semmit sem tettek személyesen azonosíthatóvá" - mondta Wisniewski, aki többször hangsúlyozta, hogy az érintett vállalatok legalábbis úgy tűnik, hogy jó lépéseket tettek a felhasználói információk védelme érdekében.
De amint láttuk, ez nem mindig elég. A felhasználóknak figyelmeztetésekre kell figyelniük a jelszavak megváltoztatására, amikor a feltört szolgáltatások felszólítják őket. Arra is törekedniük kell, hogy minden online szolgáltatáshoz erőteljes és egyedi jelszavakat válasszanak, esetleg egy jelszókezelőt használva a feladat megkönnyítése érdekében.
Fontos megérteni, hogy a felhasználói információk értékesek, és mégis hasznosak lehetnek a támadók számára sokkal azután, hogy egy érintett fiókot megóvtak. Az Internet számos lehetőséget kínál szórakozásra és munkavégzésre, ugyanakkor ugyanolyan sok támadási lehetőséget kínál.
