Social Engineering Hacks og Linked Accounts: Hvordan beskytte mot identitetstyveri

I dag og år har Internett en nær tilknytning til de fleste aspekter av våre liv og identitet. Nesten alle har en Facebook-profil, så vel som muligens en Twitter-konto, LinkedIn-side, online kontrollkontoer, kontoer med nettbutikker, og sannsynligvis mange gamle profiler på andre nettsteder som bare samler virtuelt støv. De fleste av oss har kommet for å stole på Internett med vår informasjon. Vi er sikre på at globale, sofistikerte selskaper som PayPal, Facebook, Amazon og alle de andre store navnene ikke vil la vår informasjon være åpen for hacking. Men den kollektive hjernekraften til hackere rundt om i verden blir satt på å finne nye og innovative måter å bryte disse selskapenes systemer på.

Det har blitt sagt før, men jeg sier det igjen: Sikkerheten er bare like sterk som din svakeste lenke. Nøyaktig hvor svak er kjeden som fører til din personlige informasjon? Det er mange sårbarheter som skal tas hensyn til i din online tilstedeværelse: noen som du kanskje er oppmerksom på og andre som du aldri har tenkt på. Beskyttelse og forebygging er nøkkelen i din online sikkerhetsprosess. Det er mye lettere å hindre en hack enn det er å reparere skaden etter at man har oppstått.

Hva er sosialteknikk?

I denne sammenheng er sosialteknikk en metode som brukes til å manipulere folk til å avsløre personlig informasjon. En nylig artikkel fra Wired's Mat Honan detaljert hvordan han ble offer for en sosialteknisk hack som gjorde sitt digitale liv, krasjer ned. Sårbarheter i Amazon og Apples sikkerhetsprotokoll tillot en hacker å få tilgang til en serie av forfatterens kontoer. Hackeren klarte å bryte inn på sin Amazon-konto, som ga en faktureringsadresse samt de fire siste sifrene i et kredittkortnummer. Denne informasjonen var alt som var nødvendig for å overbevise Apple om at hackeren var Honan, og tillot derfor at han kunne tilbakestille Apple ID-passordet. Derfra fikk hackeren tilgang til sin e-postkonto fra Apple, som førte til sin Gmail-konto, som var navet til enda mer elektronisk informasjon. Dette er sosialteknikk på jobb. Hvordan hackerne visste at Mr. Honan hadde en Amazon-konto, er ikke helt klart, men hendelseskjeden som tippet dem til hans sårbarhet, er verdt å merke seg:

"Etter å ha kommet over [Twitter] -kontoen min, gjorde hackerne litt bakgrunnsforskning. Min Twitter-konto knyttet til min personlige nettside, der de fant Gmail-adressen min. Gjett at dette også var e-postadressen jeg brukte til Twitter, Fobia [hacker] gikk til Googles kontoinnstillingsside. Han trengte ikke engang å prøve en utvinning. Dette var bare en rekonstruksjon. Fordi jeg ikke hadde Googles tofaktorautentisering slått på, da Phobia kom inn i Gmail-adressen min, kunne han se den alternative e-posten jeg hadde konfigurert for kontogjenoppretting. Google obskurerer delvis den informasjonen, med hovedroll i mange tegn, men det var nok tegn tilgjengelig, m••••[email protected]. Jackpot.”

Tenk to ganger om koblede kontoer

Strengen i ditt digitale liv starter og slutter et sted, og hvis det oppdages en lett sårbarhet, vil den bli utnyttet. Amazon har siden hevdet at det har endret sikkerhetsprosedyrene, slik at denne typen utnyttelse ikke lenger er mulig (etter at jeg har lest Wired-historien, har jeg siden slettet all informasjon fra Amazon og kommer inn manuelt hver gang fra nå av. Det er ikke slikt å være for forsiktig). Apple har derimot ikke sagt at det har endret noen sikkerhetspolitikk. Apple sa bare at sikkerhetsforanstaltninger ikke fulgte fullstendig. Det er mange andre selskaper som er utsatt for sosialteknikk taktikk, og dine koblede kontoer forteller dem hvor de skal starte. Noen ganger er det enklest å utnytte din Facebook-konto.

Den digitale stien som fører tilbake til ditt ikke-digitale liv

Forutsatt at Facebook-profilen din er offentlig, eller at du godtar vennforespørsler fra personer du ikke egentlig vet, inkluderer profilen din hele bursdagen din? Din personlige e-postadresse, hjemmeadresse og telefonnummer? Har du bilder av en gammel familie kjæledyr hvor du heter dem, eller er du venner med din mor, som fortsatt bruker hennes pikenavn? Er det bilder av deg fra første klasse som viser navnet på skolen, du med din første kjæreste eller din BFF?

Ja, og hvorfor spør jeg alle disse personlige spørsmålene? Vel, din fødselsdato og adresse kan gi meg nok informasjon til å begynne å forandre deg hos andre selskaper eller online. I noen tilfeller kan jeg trenge de siste fire sifrene i personnummeret ditt, men det er ikke stoppet du tror det er. Så hvorfor bør din første familie kjæledyr, din mors pikenavn, din første grunnskole, første kjæreste eller navnet på din beste venn, matter? De er alle svar på sikkerhetsspørsmål for prosessene for gjenoppretting av kontoer. Hvis du er ukjent, har du spilt e-posten din, men mitt virkelige mål er bankkontoen din. Jeg har nå svar på dine sikkerhetsspørsmål, og jeg kan endre passordet på bankkontoen din for å få tilgang.For et godt mål vil jeg sannsynligvis også endre passordet på e-posten din, eller hvis jeg er ferdig med å utnytte den, kan jeg slette kontoen helt. Selvfølgelig er det mange faktorer som gjør denne situasjonen ideell, og det finnes andre metoder som kan brukes til å overta identiteten din.

Hvis du har svake passord som "bucketKid", som et helt tilfeldig eksempel, vil et brutalt kraftangrep på kontoen ta omtrent åtte dager for å knekke passordet ditt (mer om hvordan jeg vet det i anbefalingsdelen). Bare å legge til et tall for å gjøre det "bucketKid7" legger til seks år til den tiden det ville ta en hacker å sprekke den.

Det er også mulig at informasjonen din kan bli utsatt som sikkerhetsskade i hack av et annet selskap. Hvis du bruker det samme passordet på flere nettsteder, hvorav en inneholder e-posten din, er det på tide at du endrer alle passordene dine og undersøker hvor langt skadene kan virke ut. Nå, at du har de verste situasjonene i tankene dine, la oss gå videre til hvordan du faktisk kan beskytte deg selv.

Vår anbefaling på nettstedet

Bruk aldri det samme passordet to ganger! Jeg vet at du har hørt det en million ganger før, og du tror kanskje det ikke er praktisk å ha dusinvis av unike passord på mange nettsteder. Vel, det er to ting du kan gjøre for å gjøre det praktisk:

Den første er at du kan bruke et program for å hjelpe deg med å opprette og lagre unike passord for alle dine nettsteder. 1Password er et slikt program - når du logger inn på en av dine online profiler, kan du bare velge innloggingen du trenger og 1Password vil levere passordet og gi deg tilgang. Men kanskje du ikke vil ha alle dine passord lagret i en database - det er en gyldig bekymring.

Det neste alternativet er å opprette en rekke relaterte passord. Ett passord kan være "Treez4Eva" den neste "Trees4eVer" og så videre. Husker hvilket nettsted som bruker hvilken versjon som kan være litt vanskelig, men det er gjennomførbart og definitivt verdt å prøve. Husk at du alltid kan gjenopprette passord som du glemmer. Det kan være tidkrevende, men ikke la glemme passord stoppe deg fra å skape unike, sikre seg.

Nå på selve passordet: Du kan bruke How Secure er passordet mitt som en praktisk referanse for å måle hvor sikker du egentlig er. Bruk alltid alfanumeriske kombinasjoner sammen med store bokstaver og spesialtegn. Hvis nettstedet tillater det, bruk også mellomrom. "BucketKid" er mye sikrere når det er "bu (k3t K! 4 15 r3a!" Det passordet vil ta 3 kvart år å sprekke, i henhold til hvor sikkert er passordet mitt, det er så mange år det høres falskt. tror det ville ta deg så mange år å huske et passord på den måten, men tenk på hvordan du kan bruke minne triks for å gjøre prosessen enklere. Eksempelet ovenfor lyder: "Bucket kid is real", alt du trenger å huske er hvilke bokstaver du har kapitalisert og hvordan du erstattet bokstaver med tall eller spesialtegn. Hvis du fortsatt ønsker å bruke det samme passordet på mange nettsteder, bruk din sterkeste, som eksempelet ovenfor, for nettsteder du bruker ofte, for eksempel e-post. passord som "paraply gutt 15 falsk" for andre nettsteder som du ikke bruker ofte eller føler er ikke så sikre.

Bruk alltid to-trinns bekreftelse for ethvert nettsted som støtter det. Husk den skrevne forfatterens beretning om hvordan han ble hacket fordi han ikke brukte to-trinns verifisering? Ikke gjør den samme feilen. Google støtter det, som Yahoo og Facebook. To-trinns bekreftelse betyr at når du logger deg på kontoen din fra en ukjent datamaskin eller IP-adresse, blir du bedt om å legge inn en kode som ble sendt til telefonen din. Det som også er bra med dette er at det også fungerer som et alarmsystem for kontoene dine. Hvis noen prøver å få tilgang til e-posten din, og du plutselig får en tekst som gir deg en påloggningskode, vet du at det er på tide å legge seg ned i lukkene.

Til slutt, hvis du har noen bekymringer i det hele tatt om din elektroniske sikkerhet, sjekk bør jeg endre passordet mitt. Dette nettstedet lar deg skrive inn e-postadressen din og se om den er vist på noen lister som hackere har samlet etter å ha sprakket et nettsted. De har nettopp lagt til en ny funksjon der du kan lagre e-postadressen din med dem, og de vil krysse det med eventuelle fremtidige angrep.

Alt dette kan virke som å gå ut av den dype enden og være for paranoid for deg, men å være paranoid på Internett kan noen ganger holde deg trygg. Det er mange andre tiltak du bør ta for å beskytte deg selv, for eksempel: kryptering av harddisken din, oppretting av engangs e-postadresser og navn på nettsteder du ikke stoler på eller føler mangler i sikkerhet og endring av passord hver måned. Denne veiledningen bør tas som et hoppende punkt for å gjøre deg sikrere, og hvis alt du gjør er å opprette ett sterkt passord og registrere din epost med Skulle jeg endre passorddatabasen så er det minst et godt første skritt for å beskytte deg selv fra identitetstyveri på Internett.

Ekspert anbefalinger

Ryan Disraeli, VP for svindel på TeleSign:

"Den gjennomsnittlige personen er sjokkerende veldig hackable, men virkeligheten er at hackere vil se for å angripe det enkleste målet. Dette er ikke annerledes enn frakoblet. Vil en tyv rane et hjem med 24/7 sikkerhetsvakter eller et hjem som alltid forlater inngangsdøren ulåst? Virkeligheten er at en god tyv fremdeles kan rane et hjem med ypperlig sikkerhet, men vil foretrekke å gå etter et lettere offer.På samme måte som du vil ta forholdsregler for å beskytte din personlige eiendom, bør enkeltpersoner se på å legge til noen lag forebygging for å sikre deres online identitet."

Dodi Glenn, GFI Software's VIPRE Antivirus produktleder:

"Behandle din smarte telefon som en datamaskin. Hvis du utfører noen form for finansielle transaksjoner på telefonen, gjelder samme sikkerhet "beste praksis" som med en datamaskin."

Shuman Ghosemajumder, VD for Strategi ved Shape Security:

"Vær oppmerksom på hvordan du får tilgang til nettsteder. En del av at du stoler på et nettsted, er å verifisere at organisasjonen bak nettstedet er anerkjent. En annen del er at du stoler på forbindelsen til dette nettstedet. Du bør sørge for at nettadressen er riktig, at du navigerte direkte til den, og ikke klikket på en kobling fra en uønsket e-post, chat eller popup-vindu. Hvis du kan, bruk bare dine egne enheter og tilkoblinger. Du bør unngå offentlige WiFi-tilkoblinger og felles offentlige datamaskiner hvis du kan, siden det er enkelt for angripere å snuse nettverkstrafikk eller installere keyloggers for å fange passord. Hvis du må bruke en offentlig WiFi-tilkobling, må du sørge for at du ikke sender inn innlogging eller personlig informasjon til et nettsted som ikke bruker en HTTPS-tilkobling."