Hvordan Attackers faktisk Hack Accounts Online og hvordan man beskytter dig selv
Folk taler om, at deres online-konti bliver "hacket", men hvordan sker netop denne hacking? Virkeligheden er, at konti er hacket på ganske enkle måder - angriberne bruger ikke sort magi.
Viden er magt. At forstå, hvordan konti faktisk kompromitteres, kan hjælpe dig med at sikre dine konti og forhindre, at dine adgangskoder bliver "hacket" i første omgang.
Genbruge adgangskoder, især lækkede
Mange mennesker - måske endda de fleste - genbruger adgangskoder til forskellige konti. Nogle mennesker kan endda bruge samme adgangskode til hver konto, de bruger. Dette er ekstremt usikkert. Mange websites - selv store, velkendte som LinkedIn og eHarmony - har haft deres adgangskode databaser lækket de seneste år. Databaser af lækkede adgangskoder sammen med brugernavne og e-mail-adresser er let tilgængelige online. Attackere kan prøve disse kombinationer af e-mail-adresser, brugernavne og adgangskoder på andre websteder og få adgang til mange konti.
Genbruge en adgangskode til din e-mail-konto giver dig endnu mere risiko, da din e-mail-konto kunne bruges til at nulstille alle dine andre adgangskoder, hvis en angriber fik adgang til det.
Men godt, du er ved at sikre dine adgangskoder, du kan ikke kontrollere, hvor godt de tjenester, du bruger, sikrer dine adgangskoder. Hvis du genbruger adgangskoder, og et firma slipper op, vil alle dine konti være i fare. Du skal bruge forskellige adgangskoder overalt - en adgangskodeadministrator kan hjælpe med dette.
keyloggers
Keyloggers er ondsindede stykker software, der kan køre i baggrunden, og logger hvert tasteslag, du laver. De bruges ofte til at indfange følsomme data som kreditkortnumre, online bankadgangskoder og andre kontooplysninger. De sender derefter disse data til en angriber over internettet.
Sådan malware kan ankomme via udnyttelser - for eksempel hvis du bruger en forældet version af Java, da de fleste computere på internettet er, kan du blive kompromitteret via en Java-applet på en webside. Men de kan også ankomme forklædt i anden software. Du kan f.eks. Downloade et tredjeparts værktøj til et online spil. Værktøjet kan være ondsindet, fange dit spiladgangskode og sende det til angriberen via internettet.
Brug et anstændigt antivirusprogram, hold din software opdateret, og undgå at downloade untrustworthy software.
Samfundsteknologi
Attackere bruger også almindeligvis teknologisk tricks til at få adgang til dine konti. Phishing er en almindelig kendt form for social engineering - i det væsentlige angriber angriberen og beder om dit kodeord. Nogle brugere afleverer deres adgangskoder hurtigt. Her er nogle eksempler på social engineering:
- Du modtager en e-mail, der hævder at være fra din bank og leder dig til en falsk bankwebsted og beder dig om at udfylde dit kodeord.
- Du modtager en besked på Facebook eller andre sociale hjemmesider fra en bruger, der hævder at være en officiel Facebook-konto, og beder dig om at sende dit kodeord for at godkende dig selv.
- Du besøger et websted, der lover at give dig noget værdifuldt, såsom gratis spil på damp eller gratis guld i World of Warcraft. For at få denne falske belønning kræver hjemmesiden dit brugernavn og adgangskode til tjenesten.
Pas på, hvem du giver din adgangskode til - klik ikke på links i e-mails og gå til din banks hjemmeside, giv ikke din adgangskode væk til alle, der kontakter dig og anmoder om det, og giv ikke dine kontooplysninger til usikkerhed websteder, især dem der synes for gode til at være sande.
Besvarelse af sikkerhedsspørgsmål
Adgangskoder kan ofte nulstilles ved at besvare sikkerhedsspørgsmål. Sikkerhedsspørgsmål er generelt utroligt svage - ofte ting som "Hvor er du født?", "Hvilken gymnasie gik du til?" Og "Hvad var din mors pigenavn?". Det er ofte meget nemt at finde disse oplysninger på offentligt tilgængelige sociale netværkssider, og de fleste normale mennesker vil fortælle dig, hvilken gymnasium de gik til, hvis de blev spurgt. Med denne let tilgængelige information kan angriberne ofte nulstille adgangskoder og få adgang til konti.
Ideelt set bør du bruge sikkerhedsspørgsmål med svar, der ikke let opdages eller gættes. Websites bør også forhindre folk i at få adgang til en konto, bare fordi de kender svarene på nogle få sikkerhedsspørgsmål, og nogle gør - men nogle gør stadig ikke.
E-mail-konto og adgangskode nulstilles
Hvis en angriber bruger en af de ovennævnte metoder til at få adgang til dine e-mail-konti, er du i større problemer. Din e-mail-konto fungerer generelt som din hovedkonto online. Alle andre konti, du bruger, er knyttet til det, og alle, der har adgang til e-mail-kontoen, kunne bruge den til at nulstille dine adgangskoder på et hvilket som helst antal websteder, du registrerede hos e-mail-adressen.
Af denne grund bør du sikre din e-mail-konto så meget som muligt. Det er især vigtigt at bruge et unikt kodeord til det og bevare det omhyggeligt.
Hvilket kodeord "Hacking" er ikke
De fleste tror sandsynligvis, at angribere prøver hver eneste mulig adgangskode til at logge ind på deres online-konto. Dette sker ikke. Hvis du forsøgte at logge ind på en persons online konto og fortsatte gætte adgangskoder, ville du blive bremset og forhindret i at prøve mere end en håndfuld adgangskoder.
Hvis en angriber var i stand til at komme ind på en online-konto bare ved at gætte adgangskoder, er det sandsynligt, at adgangskoden var noget indlysende, der kunne gættes ved de første forsøg, som f.eks. "Adgangskode" eller navnet på personens kæledyr.
Attackere kunne kun bruge sådanne brute-force metoder, hvis de havde lokal adgang til dine data - for eksempel lad os sige, at du lagrede en krypteret fil i din Dropbox-konto, og angriberne fik adgang til det og hentede den krypterede fil. De kan så forsøge at ødelægge krypteringen, idet man i det væsentlige prøver hver enkelt adgangskombination, indtil man arbejder.
Mennesker, der siger, at deres konti er blevet "hacket", er sandsynligvis skyldige i at genbruge adgangskoder, installere en nøglelogger eller give deres legitimationsoplysninger til en angriber efter sociale tekniske tricks. De kan også være blevet kompromitteret som følge af let gættede sikkerhedsspørgsmål.
Hvis du tager de nødvendige sikkerhedsforanstaltninger, bliver det ikke nemt at "hakke" dine konti. Brug af tofaktorautentificering kan også hjælpe - en angriber har brug for mere end bare dit kodeord for at komme ind.
Billedkredit: Robbert van der Steeg på Flickr, asenat på Flickr