Video: Suspense: Suspicion (Oktober 2024)
V vseh zadnjih napadih na Evernote, Facebook, Twitter in druge so vpletena podjetja hitro opozorila, da gesla ostanejo varna. Toda informacije o uporabnikih imajo svoje življenje in učinke napada na posameznika je mogoče občutiti še dolgo po napadu.
Napadi, ki smo jih videli
Običajno je tisto, kar slišite, ko je bilo večje podjetje ogroženo, nekaj, kako so plačilni podatki še vedno varni, gesla so bila šifrirana, vendar so bili drugi podatki dostopni. Običajno to vključuje uporabniška imena in e-poštna sporočila.
Za večino od nas se to morda ne zdi nevarno. Navsezadnje ves čas pošiljamo svoja e-poštna sporočila - celo objavljamo jih na spletu. Vendar obstajajo tveganja za uporabnike, ki jim je bila izpostavljena še tako majhna količina informacij.
Derek Halliday, višji vodja izdelkov na področju mobilne varnosti Lookout, je za SecurityWatch razložil, kako lahko ti bitovi informacij ciljajo na uporabnike. "Podatki o računih se lahko uporabijo za potencialno omogočanje lažjega lova, ker zagotavljajo nekatere edinstvene kontekstne informacije o ljudeh - način, kako stopiti v stik z njimi, " je dejal. "In dejstvo, da so se v nekem trenutku prijavili za določeno storitev."
Zato zakoniti e-poštni naslovi opozarjajo uporabnike, ki so morda razkrili njihove podatke, da nihče ne bo nikoli vprašal za geslo. Če heker ve, da uporabljate Evernote (na primer), je kratko delo, da ustvarite sporočilo, ki je verjetno od Evernote, in ga pošljete na e-poštni naslov, ki ga uporabljate za upravljanje računa. Morda vas bo pozval, da navedete svoje geslo ali podatke o plačilu, ali pa vas bo zmotil, da kliknete zlonamerno povezavo.
"Videli smo kibernetske kriminalce, ki so pripravljeni sodelovati v" dolgem prepiru ", " je dejal Mark Risher, soustanovitelj in izvršni direktor Impermiuma. "Napad v več korakih, ki presega neposredno krajo občutljivih podatkov."
"Ko kriminalci vdrejo v račun družbenega omrežja, lahko pogosto najdejo osebne podatke, ki dodajo legitimnost podvodnemu lovu, " je nadaljeval Risher, ki je združenje alumnov navedel kot eno takšnih osebnih podrobnosti. Pojasnil je, da bi ga lahko uporabili za odklepanje funkcije "skrivnega vprašanja", ki včasih sprašuje, kakšna je bila vaša maskota v šoli ali ime vašega prvega ljubljenčka - na drugem spletnem mestu.
Najslabši primer
Chester Wisniewski, višji varnostni svetovalec pri Sophosu, je dejal, da čeprav so Evernote in druga nedavno ogrožena spletna mesta svoja gesla zavarovala s kriptografskimi šiframi in naključnimi podatki o "soli", niso vsi uporabniki zaščiteni. Pojasnil je, da če uporabniki izberejo šibka ali običajna gesla, "potem jih kriminalci verjetno imajo."
Z omejenimi razpoložljivimi informacijami bo lažje geslo še vedno mogoče pridobiti. "Kriminalci bodo resnično lahkomiselno raztresti in se morda ne bodo trudili z ostalimi, " je dejal Wisniewski.
Za nekatere slabe fante je dovolj preprosto dostopanje do računov družbenih medijev, kot sta Facebook ali Twitter. Nekateri to uporabljajo kot priložnost za zaslužek s poskusom širjenja okužb z zlonamerno programsko opremo. Bolj podjetni napadalci lahko poskusijo uporabiti ločeno geslo za odklepanje računa spletne pošte.
"Pogosto iščejo pošto v banki uporabnikov; pogosto je pri tej banki funkcija" pozabil sem geslo ", ki temelji samo na dostopu do e-poštnega računa, " je dejal Risher.
Če nadaljujete po najslabšem primeru, napadalci morda ne bodo storjeni, ko bodo imeli dostop do podatkov o bančništvu. "Veliko teh fantov ne bo neposredno sodelovalo pri kraji identitete, prodali ga bodo, " je dejal Wisniewski.
Nadalje je pojasnil, da bodo v primeru bančnih trojancev napadalci uporabili prvih 10 odstotkov računov - torej tiste z največ razpoložljivimi sredstvi - in prodali ostalih 90 odstotkov informacij. To pomeni, da se lahko informacije o uporabnikih, ko so ogrožene, še naprej uporabljajo in uporabljajo, dokler lastnik končno ne prevzame nadzora.
Varujte se
"Dobra novica v vseh zadnjih je, da ni bilo storjeno nič osebno določljivega, " je dejal Wisniewski, ki je večkrat poudaril, da so prizadeta podjetja vsaj očitno storila dobre korake za zagotovitev informacij o uporabnikih.
A kot smo videli, to ni vedno dovolj. Uporabniki morajo upoštevati opozorila o spremembi gesla, ko jih pozovejo vdrte storitve. Prav tako bi si morali prizadevati za izbiro močnih in edinstvenih gesel za vsako spletno storitev, morda s pomočjo upravitelja gesel, da bi nalogo olajšali.
Pomembno je razumeti, da so informacije o uporabnikih dragocene in so napadalcem še kako koristne dolgo, potem ko ste zavarovali en prizadet račun. Internet ponuja številne načine zabave in dela, hkrati pa ponuja ravno toliko možnosti za napad.
