DIABASTE DWREAN SEC CYP 06
DIGITAL TV 173
18 Ιανουαρίου 2022 11:39

ESET: 5 τρόποι με τους οποίους οι χάκερ κλέβουν κωδικούς πρόσβασης (και πώς να τους σταματήσετε)

admin ajax.php?action=kernel&p=image&src=file%3Dwp content%252Fuploads%252F2022%252F05%252Fd222b7f19e51cd4d94bb14d29323d4e9 XL

Ένας λόγος για τη δημοτικότητα των κωδικών πρόσβασης είναι ότι οι άνθρωποι γνωρίζουν ενστικτωδώς πώς λειτουργούν. Υπάρχει όμως και ένα πρόβλημα. Οι κωδικοί πρόσβασης είναι η αχίλλειος πτέρνα της ψηφιακής ζωής πολλών ανθρώπων, ειδικά καθώς ζούμε σε μια εποχή όπου ο μέσος άνθρωπος έχει να θυμάται 100 κωδικούς σύνδεσης, με τον αριθμό αυτό να αυξάνεται τα τελευταία χρόνια. «Δεν είναι περίεργο που πολλοί άνθρωποι επιλέγουν τις εύκολες λύσεις, με αποτέλεσμα να μειώνεται η ασφάλεια» λέει ο Phil Muncaster, από την ομάδα της παγκόσμιας εταιρείας κυβερνοασφάλειας ESET.

Ένας λόγος για τη δημοτικότητα των κωδικών πρόσβασης είναι ότι οι άνθρωποι γνωρίζουν ενστικτωδώς πώς λειτουργούν. Υπάρχει όμως και ένα πρόβλημα. Οι κωδικοί πρόσβασης είναι η αχίλλειος πτέρνα της ψηφιακής ζωής πολλών ανθρώπων, ειδικά καθώς ζούμε σε μια εποχή όπου ο μέσος άνθρωπος έχει να θυμάται 100 κωδικούς σύνδεσης, με τον αριθμό αυτό να αυξάνεται τα τελευταία χρόνια. «Δεν είναι περίεργο που πολλοί άνθρωποι επιλέγουν τις εύκολες λύσεις, με αποτέλεσμα να μειώνεται η ασφάλεια» λέει ο Phil Muncaster, από την ομάδα της παγκόσμιας εταιρείας κυβερνοασφάλειας ESET.

Δεδομένου ότι ο κωδικός πρόσβασης είναι συχνά το μόνο εμπόδιο που στέκεται ανάμεσα σε έναν κυβερνοεγκληματία και τα προσωπικά και οικονομικά σας δεδομένα, οι απατεώνες είναι περισσότερο από πρόθυμοι να κλέψουν ή να σπάσουν αυτούς τους κωδικούς. Εναπόκειται σε εμάς να προστατεύσουμε τους διαδικτυακούς λογαριασμούς μας.

Τι μπορεί να κάνει ένας χάκερ αν αποκτήσει τον κωδικό πρόσβασης μου;

Οι κωδικοί πρόσβασης είναι τα εικονικά κλειδιά για τον ψηφιακό σας κόσμο – προσφέρουν πρόσβαση στις ηλεκτρονικές τραπεζικές σας συναλλαγές, το ηλεκτρονικό ταχυδρομείο, τις υπηρεσίες κοινωνικής δικτύωσης, τους λογαριασμούς Netflix και Uber και σε όλα τα δεδομένα που φιλοξενούνται στο cloud.

Με τους κωδικούς πρόσβασής σας στα χέρια του, ένας χάκερ θα μπορούσε:

  • Να κλέψει τις προσωπικές σας πληροφορίες  και να τις πουλήσει σε άλλους εγκληματίες.
  • Να πουλήσει τους κωδικούς πρόσβασης. Ιστοσελίδες του dark web εμπορεύονται αδρά αυτές τις πληροφορίες. Οι ασυνείδητοι αγοραστές θα μπορούσαν να χρησιμοποιήσουν τους κωδικούς για να αποκτήσουν τα πάντα, από δωρεάν διαδρομές με ταξί και υπηρεσίες streaming, μέχρι εκπτώσεις σε ταξίδια από πειρατικούς λογαριασμούς Air Miles.
  • Να χρησιμοποιήσει τους κωδικούς πρόσβασης για να ξεκλειδώσει άλλους λογαριασμούς στους οποίους χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης.

Πως κλέβουν οι χάκερ τους κωδικούς;

Ο Phil Muncaster, από την ομάδα της παγκόσμιας εταιρείας κυβερνοασφάλειας ESET μάς προτείνει να εξοικειωθούμε με αυτές τις κλασσικές τεχνικές ηλεκτρονικού εγκλήματος για να είμαστε σε θέση να διαχειριστούμε την απειλή:

  • Phishing και κοινωνική μηχανική

Τα ανθρώπινα όντα είναι επιρρεπή σε σφάλματα όταν παίρνουν βιαστικές αποφάσεις. Οι κυβερνοεγκληματίες εκμεταλλεύονται αυτή την αδυναμία μέσω της κοινωνικής μηχανικής, ενός ψυχολογικού τεχνάσματος που έχει σχεδιαστεί για να μας ωθήσει να κάνουμε κάτι που δεν θα έπρεπε. Το ηλεκτρονικό ψάρεμα (phishing) είναι ίσως το πιο αντιπροσωπευτικό παράδειγμα. Εδώ, οι χάκερ μεταμφιέζονται σε φίλους, συγγενείς, εταιρείες με τις οποίες έχετε συνεργαστεί κ.λπ. Το μήνυμα ηλεκτρονικού ταχυδρομείου ή το κείμενο που θα λάβετε θα φαίνεται αυθεντικό, αλλά θα περιλαμβάνει έναν κακόβουλο σύνδεσμο ή συνημμένο αρχείο, το οποίο, αν κάνετε κλικ, θα κατεβάσετε κακόβουλο λογισμικό ή θα σας μεταφέρει σε μια ιστοσελίδα για να συμπληρώσετε τα προσωπικά σας στοιχεία.

Ευτυχώς, υπάρχουν πολλοί τρόποι για να εντοπίσετε τα προειδοποιητικά σημάδια μιας επίθεσης phishing, όπως εξηγούμε εδώ. Οι απατεώνες χρησιμοποιούν ακόμη και τηλεφωνικές κλήσεις για να αποσπάσουν απευθείας κωδικούς πρόσβασης και άλλες προσωπικές πληροφορίες από τα θύματά τους, προσποιούμενοι συχνά ότι είναι αντιπρόσωποι τεχνικής υποστήριξης. Αυτή η μέθοδος λέγεται “vishing” (φωνητικό phishing).

  • Κακόβουλο λογισμικό / Malware

Ένας άλλος δημοφιλής τρόπος για να πάρουν στα χέρια τους τους κωδικούς σας είναι το κακόβουλο λογισμικό. Τα email ηλεκτρονικού ψαρέματος αποτελούν πρωταρχικό φορέα για αυτού του είδους τις επιθέσεις, αν και μπορεί να πέσετε θύμα κάνοντας κλικ σε μια κακόβουλη διαφήμιση στο διαδίκτυο (malvertising) ή αν επισκεφτείτε ένα παραβιασμένο website (drive-by-download). Όπως έχει καταδείξει πολλές φορές ο ερευνητής της ESET Lukas Stefanko, το κακόβουλο λογισμικό μπορεί ακόμη και να κρυφτεί σε μια εφαρμογή για κινητά που μοιάζει νόμιμη, η οποία συχνά βρίσκεται σε καταστήματα εφαρμογών τρίτων.

Υπάρχουν διάφορα είδη κακόβουλου λογισμικού που κλέβουν πληροφορίες, αλλά μερικά από τα πιο συνηθισμένα έχουν σχεδιαστεί για καταγραφή πληκτρολόγησης ή για λήψη στιγμιότυπων από την οθόνη της συσκευής σας και αποστολή στους επιτιθέμενους.

  • Επιθέσεις Brute Forcing

Ο αριθμός των κωδικών πρόσβασης που πρέπει να διαχειριστεί ο μέσος άνθρωπος αυξήθηκε κατά περίπου 25% σε ετήσια βάση το 2020. Πολλοί χρησιμοποιούν κωδικούς πρόσβασης που είναι εύκολο να τους θυμάται κάποιος (και να μαντεύει) και τους χρησιμοποιούν σε πολλά διαφορετικά website. Ωστόσο, αυτό μπορεί να ανοίξει την πόρτα στις λεγόμενες τεχνικές bruteforce.

Μια από τις πιο συνηθισμένες είναι αυτές του τύπου credential stuffing. Εδώ, οι επιτιθέμενοι τροφοδοτούν σε αυτοματοποιημένο λογισμικό μεγάλους όγκους συνδυασμών ονόματος χρήστη/κωδικού πρόσβασης που έχουν παραβιαστεί στο παρελθόν. Στη συνέχεια, το εργαλείο δοκιμάζει αυτούς τους συνδυασμούς σε μεγάλο αριθμό website, ελπίζοντας να βρει μια αντιστοιχία. Με αυτόν τον τρόπο, οι χάκερ μπορούν να ξεκλειδώσουν πολλούς λογαριασμούς σας με έναν μόνο κωδικό πρόσβασης. Σύμφωνα με μια εκτίμηση, πέρυσι έγιναν περίπου 193 δισεκατομμύρια τέτοιες προσπάθειες παγκοσμίως. Η κυβέρνηση του Καναδά ήταν ένα από τα θύματα αυτής της τεχνικής.

Μια άλλη τεχνική brute-force είναι η επίθεση τύπου password spraying. Σ αυτή την περίπτωση οι χάκερ χρησιμοποιούν αυτοματοποιημένο λογισμικό για να δοκιμάσουν στον λογαριασμό σας μια λίστα από συχνά χρησιμοποιούμενους κωδικούς πρόσβασης.

  • Μαντεύοντας

Παρόλο που οι χάκερ έχουν στη διάθεσή τους αυτοματοποιημένα εργαλεία για την παραβίαση του κωδικού πρόσβασής σας, μερικές φορές αυτά δεν είναι καν απαραίτητα: ακόμη και η απλή εικασία – σε αντίθεση με την πιο συστηματική προσέγγιση που χρησιμοποιείται στις επιθέσεις Brute Force – μπορεί να κάνει τη δουλειά. Ο πιο συνηθισμένος κωδικός πρόσβασης του 2020 ήταν ο “123456”, ακολουθούμενος από τον “123456789”. Στην 4η θέση ήταν η λέξη…password“.

Και αν είστε σαν τους περισσότερους ανθρώπους και χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης, ή ένα παράγωγο αυτού σε πολλούς λογαριασμούς, τότε διευκολύνετε ακόμη περισσότερο τους απατεώνες και θέτετε τον εαυτό σας σε πρόσθετο κίνδυνο κλοπής ταυτότητας και απάτης.

  • Shoulder surfing – Κρυφοκοιτάζοντας πάνω από τον ώμο του θύματος

Όλα τα μονοπάτια παραβίασης κωδικών πρόσβασης που έχουμε εξερευνήσει μέχρι στιγμής ήταν εικονικά. Ωστόσο, καθώς η καραντίνα χαλαρώνει και πολλοί εργαζόμενοι αρχίζουν να επιστρέφουν στο γραφείο, αξίζει να θυμάστε ότι ορισμένες δοκιμασμένες τεχνικές υποκλοπής αποτελούν επίσης κίνδυνο. Αυτός δεν είναι ο μόνος λόγος για τον οποίο το shoulder surfing εξακολουθεί να αποτελεί κίνδυνο, και ο Jake Moore της ESET διεξήγαγε πρόσφατα ένα πείραμα για να διαπιστώσει πόσο εύκολο είναι να παραβιάσετε το Snapchat κάποιου χρησιμοποιώντας αυτή την απλή τεχνική που προϋποθέτει τη φυσική παρουσία του επιτιθέμενου κοντά στο θύμα χρήστη έτσι ώστε ο πρώτος να έχει οπτική επαφή και να μπορεί να δει το πληκτρολόγιο και την οθόνη του δεύτερου.

Μια πιο υψηλής τεχνολογίας εκδοχή, γνωστή ως επίθεση maninthemiddle που περιλαμβάνει υποκλοπή Wi-Fi, μπορεί να επιτρέψει σε χάκερ που είναι συνδεδεμένοι σε δημόσια δίκτυα Wi-Fi να παρακολουθούν τον κωδικό πρόσβασής σας καθώς τον εισάγετε ενώ είστε συνδεδεμένοι στον ίδιο κόμβο. Και οι δύο τεχνικές υπάρχουν εδώ και χρόνια, αλλά αυτό δεν σημαίνει ότι δεν αποτελούν ακόμη απειλή.

Πως να προστατεύετε τα διαπιστευτήρια σύνδεσης των λογαριασμών σας

Μπορείτε να κάνετε πολλά για να μπλοκάρετε αυτές τις τεχνικές – προσθέτοντας μια δεύτερη μορφή ελέγχου ταυτότητας, διαχειριζόμενοι αποτελεσματικότερα τους κωδικούς σας ή παίρνοντας μέτρα για να αποτρέψετε την κλοπή εξαρχής.

Σκεφτείτε τα εξής:

  • Χρησιμοποιείτε μόνο ισχυρούς και μοναδικούς κωδικούς πρόσβασης ή φράσεις πρόσβασης σε όλους τους διαδικτυακούς σας λογαριασμούς, ιδίως στους τραπεζικούς σας λογαριασμούς, τους λογαριασμούς ηλεκτρονικού ταχυδρομείου και τους λογαριασμούς σας στα μέσα κοινωνικής δικτύωσης.
  • Μη χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης σε διαφορετικούς λογαριασμούς.
  • Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων (2FA) σε όλους τους λογαριασμούς σας.
  • Χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης, ο οποίος θα αποθηκεύει ισχυρούς, μοναδικούς κωδικούς πρόσβασης για κάθε website και κάθε λογαριασμό, καθιστώντας τις συνδέσεις απλές και ασφαλείς.
  • Αλλάξτε αμέσως τον κωδικό πρόσβασής σας εάν ένας Πάροχος σας ενημερώσει ότι τα δεδομένα σας ενδέχεται να έχουν παραβιαστεί.
  • Να επισκέπτεστε μόνο ιστοσελίδες https://
  • Μην κάνετε κλικ σε συνδέσμους και μην ανοίγετε συνημμένα αρχεία σε ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου
  • Κατεβάζετε εφαρμογές μόνο από επίσημα καταστήματα εφαρμογών
  • Επενδύστε σε λογισμικό ασφαλείας από έναν αξιόπιστο πάροχο για όλες τις συσκευές σας
  • Βεβαιωθείτε ότι όλα τα λειτουργικά συστήματα και οι εφαρμογές είναι αναβαθμισμένα στην τελευταία έκδοση
  • Προσοχή στους λαθραναγνώστες (shoulder surfers) σε δημόσιους χώρους
  • Ποτέ μη συνδέεστε σε έναν λογαριασμό αν βρίσκεστε σε δημόσιο δίκτυο WiFi. Αν πρέπει να χρησιμοποιήσετε ένα τέτοιο δίκτυο, χρησιμοποιήστε ένα VPN.

Η ασφαλής είσοδος σε λογαριασμούς με μεθόδους που δεν περιλαμβάνουν τη χρήση ενός κωδικού πρόσβασης μελετάται εδώ και πάνω από μια δεκαετία. Ωστόσο, οι εναλλακτικές λύσεις  δεν μπορούν ακόμα να αντικαταστήσουν τον κωδικό πρόσβασης, πράγμα που σημαίνει ότι οι χρήστες πρέπει να πάρουν την κατάσταση στα χέρια τους. Μείνετε σε εγρήγορση και κρατήστε τα δεδομένα σύνδεσής σας ασφαλή.

 

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

  • Κυκλοφορεί το νέο τεύχος του περιοδικού «Security Report Cyprus»

    Κυκλοφορεί το νέο τεύχος του περιοδικού «Security Report Cyprus»

    Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Cyprus! Στο νέο τεύχος θα βρείτε ενδιαφέροντα θέματα και δοκιμές που απευθύνονται σε κάθε τεχνικό, ηλεκτρονικό ή ...
  • <strong>Επιλέγοντας φακούς σε ένα Κλειστό κύκλωμα Τηλεόρασης</strong>

    Επιλέγοντας φακούς σε ένα Κλειστό κύκλωμα Τηλεόρασης

    Στα μάτια των περισσοτέρων όλοι οι φακοί κάμερας είναι ίδιοι και κάθε φακός κρίνεται ικανοποιητικός αρκεί να παρέχει εικόνες υψηλής ευκρίνειας. Στον κόσμο των ειδικών όμως, τα πράγματα είναι αρκετ...
  • <strong>Καλώδια Ethernet σε συστήματα βιντεοεπιτήρησης</strong>

    Καλώδια Ethernet σε συστήματα βιντεοεπιτήρησης

    Ένα καλώδιο Ethernet είναι ένας κοινός τύπος καλωδίου δικτύου που χρησιμοποιείται ευρέως σήμερα για την ενσύρματη σύνδεση πολλών συσκευών, όπως οι υπολογιστές, τα switches, οι κάμερες ασφαλείας, τ...
  • <strong>Internet of Things</strong>

    Internet of Things

    Το Διαδίκτυο των πραγμάτων (IoT) αποτελείται από έξυπνες συσκευές που επικοινωνούν μεταξύ τους. Δίνει τη δυνατότητα σε αυτές τις συσκευές να συλλέγουν και να ανταλλάσσουν δεδομένα. Εκτός αυτού, το...
  • Κάμερες εξωτερικού χώρου

    Κάμερες εξωτερικού χώρου

    Η επιλογή της κατάλληλης κάμερας για τον κατάλληλο χώρο είναι μια δύσκολη απόφαση που αντιμετωπίζουν τόσο οι εγκαταστάτες, όσο και οι τελικοί πελάτες, μιας και η αγορά σήμερα διαθέτει αμέτρητες συ...
  • Ajax Special Event

    Ajax Special Event

    Το 4ο κατά σειρά εικονικό event της Ajax Systems πραγματοποιήθηκε με επιτυχία στις 11 Οκτωβρίου του 2022 και η εταιρία παρουσίασε στο κοινό των integrators νέα προϊόντα, λογισμικά και πολλές ακόμα...
  • Συναγερμοί οικίας vs επιχείρησης

    Συναγερμοί οικίας vs επιχείρησης

    Οι τεχνικές παραβίασης των δραστών διαρκώς εξελίσσονται. Για αυτό άλλωστε η ζήτηση για συστήματα ασφαλείας τόσο σε οικίες όσο και σε επαγγελματικούς χώρους  αυξάνεται ή (τουλάχιστον) σταθεροπ...
  • Συνέντευξη με τον Αλέξανδρο Φείδα

    Συνέντευξη με τον Αλέξανδρο Φείδα

    Η φετινή χρονιά, είναι χρονιά γιορτής για την Sigma Security, καθώς συμπληρώνει 45 χρόνια επιτυχούς δραστηριότητας στο κλάδο της ηλεκτρονικής ασφάλειας! Η Sigma Security δημιουργήθηκε το 1977 και ...
  • VMS: αυτά είναι μερικά από τα βασικότερα κριτήρια αγοράς του

    VMS: αυτά είναι μερικά από τα βασικότερα κριτήρια αγοράς του

    Επιχειρηματική ευφυΐα, βελτιωμένη διαχείριση συμβάντων, πλούσια αναλυτικά στοιχεία και υψηλή ασφάλεια, αυτές είναι μόνο μερικές από τις σύγχρονες δυνατότητες των νέων συστημάτων διαχείρισης βίντεο...
ΤΟ ΑΠΟΛΥΤΟ
ΠΕΡΙΟΔΙΚΟ
ΓΙΑ ΤΑ
ΣΥΣΤΗΜΑΤΑ
ΑΣΦΑΛΕΙΑΣ

ΕΠΙΚΟΙΝΩΝΙΑ
LIBRA PRESS
Καυκάσου 145, Αθήνα, 11364



ΕΝΗΜΕΡΩΤΙΚΑ ΔΕΛΤΙΑ


Securityreport.gr - Το απόλυτο περιοδικό για τα συστήματα ασφαλείας
Libra Press © Copyright 2022 | All Rights Reserved
Dual Design