Hvordan fik nogen min adgangskode?

Har du nogensinde modtaget en 'sextortion' e-mail, der fortæller dig, at din computer er blevet hacket og advarede dig om, at hvis du ikke betaler op, frigiver de videoer af en intim karakter til hele din kontaktliste? Indeholdt e-mailen din gamle adgangskode som 'bevis' for, at deres påstande var sande? Spekulerede du på, hvordan de fik din adgangskode?

Hvad er phishing?

Statistisk set var dette sandsynligvis fra en phishing-mail. I 2018 begyndte 93% af alle overtrædelser globalt med et phishing- eller påskudsangreb.

Phishing-e-mails er ekstremt almindelige og yderst effektive. De bruger følelser som frygt og skam (i sextortion-e-mails eller 'mandlige forbedringsannoncer'), haster (min chef har brug for dette nu!) Eller grådighed (jeg vandt en ny bil ??).

De kan også sendes via sms (SMiShing), stemme (vishing), e-mail (phishing) og phishing på sociale medier.

Jo flere mennesker tilpasser sig, jo mere skifter hackere som svar - deres taktik udvikler sig konstant.  

Normalt indeholder phishing-e-mails et link eller en vedhæftet fil. Når du klikker på linket eller åbner vedhæftet fil, kan de installere malware på din enhed eller narre dig til at indtaste dine legitimationsoplysninger på et falsk sted (som ligner det rigtige sted). Malwaren kontrollerer for at se, om den kan udnytte upatchede sårbarheder for at installere mere malware på dit system (som derefter kan stjæle adgangskoder, installere keyloggers for at registrere alle dine tastetryk - og derfor dine adgangskoder! - og så videre).

Når hackeren har stjålet dine legitimationsoplysninger, kan de gøre ting som at exfiltrere dine personlige økonomiske data eller kontooplysninger eller dine kunders, hvis dette sker på din virksomheds enhed.

Phishing fortjener helt sin egen artikel, så hvis du er interesseret i at lære at phish, skal du tjekke denne artikel.

Hvordan kan du stoppe phishing fra at påvirke dig?

Det er også svært at forsvare sig mod phishing. Som person er det bedste, du kan gøre, at være forsigtig, når du åbner e-mails - vær forsigtig med e-mails, der spiller på dine følelser, beder dig om at træffe hurtige beslutninger eller synes for godt til at være sandt.

Hold øje med usædvanlige afsendere (genkender du den person, der sender e-mail til dig? Er dette den samme e-mail-adresse, som de har brugt før?), Eller uventede links eller vedhæftede filer. Hvis du er usikker på, om en e-mail er legitim, skal du bekræfte, at den er hos afsenderen via en anden kommunikationsmetode.

Du bør også bruge antivirus- og slutpunktsbeskyttelsessoftware. Den betalte version er bedre end den gratis version, da den opdateres, når ny malware identificeres. Men den gratis version er normalt bedre end ingenting. Jeg kan godt lide Malwarebytes til bærbare computere.

Sikkerhedsteams vil bruge et utal af værktøjer:

  • mekanismer til e-mail-filtrering, der forsøger at reducere phishing- og spam-e-mails, der når ud til brugerens indbakker,
  • foranstaltninger som SPF, DKIM og DMARC, som kan hjælpe med at give godkendelse af, at en e-mail fortæller sandheden om, hvor den kom fra,
  • træning i brugerbevidsthed
  • og slutpunktsbeskyttelsesmekanismer.

Slutpunktsbeskyttelsesmekanismer kan variere fra simpel antivirus til agenter installeret på hver enhed. Disse vil forsøge at forhindre kendt malware i at køre, identificere usædvanlig opførsel og forhindre, at ondsindede processer kører ved at advare et sikkerhedsoperatørsteam eller tvinge programmet til at afslutte.

På denne måde, selvom e-mailen kommer igennem filtrene, og brugeren ikke bemærker noget galt, vil slutpunktsbeskyttelsen forhindre malware i at gøre skade på maskinen.

Hvordan kunne nogen ellers have fået min adgangskode?

Ofte når en hacker overtræder et firma, sælger de de brugernavne og adgangskoder, de har fået på det mørke web.

Surface Web: Hvad du kan finde på Google eller andre populære søgemaskiner. Dette er sandsynligvis det meste af, hvad du tænker på som internettet. Sammenlignet med det dybe web er dette en meget lille del af informationen, der er 'online'. Deep Web: Oplysninger, der er online, men som ikke er indekseret (søgbar) af Google og andre populære browsere. Dette er information som den, der findes i regerings- eller universitetsdatabaser. Ofte er disse oplysninger skjult bag en betalingsvæg eller anden begrænsningsmekanisme. Mørkt web:Det mørke web kræver visse browsere, såsom en 'TOR-browser' for at få adgang. Nogle, men ikke alle, af dette indhold er ulovligt. Dette er ofte et sted, hvor kriminelle mødes for at tale på fora, sælge ulovlige tjenester og varer, og undertiden samles aktivister, der lever under undertrykkende regimer for at kommunikere.

Hvis du genbruger adgangskoder og brugernavne mellem forskellige websteder (især da din e-mail sandsynligvis bruges som dit brugernavn for mange websteder), kan en hacker muligvis allerede have dit brugernavn og din adgangskode.

Hacker vil derefter udføre noget kaldet 'legitimationsopfyldning'. Credential stuffing er, når en hacker tager disse brugernavne og adgangskoder og tilslutter dem til en automatiseret 'kontokontrol', som dybest set prøver brugernavnet / adgangskodekombinationen på tværs af mange, mange forskellige websteder over internettet, fra login til sociale medier til bankkonti. Hvis adgangskoden fungerer, har hacker nu adgang til kontoen og kan tømme en konto, sælge data osv.

For en bedre beskrivelse, se XKCDs tegneserie nedenfor.

Hvordan forsvarer du mod legitimationsopfyldning?

Genbrug ikke dine adgangskoder. Brug en adgangskodeadministrator som 1Password eller LastPass. KeePass er (efter min mening) mindre brugervenlig, men det er gratis!

Adgangskodeadministratorer kan gemme dine adgangskoder sikkert og ofte have browserudvidelser og apps, så de automatisk kan udfylde dine adgangskoder på tværs af mange konti. Plus, du skal kun huske en hovedadgangskode på denne måde. Men din hovedadgangskode giver nu adgang til alle dine andre adgangskoder, så sørg for at den er meget stærk!

De kan også hjælpe dig med at generere meget stærke adgangskoder, og nogle har endda hvælvinger, så du kan gemme andre følsomme oplysninger (bankkontooplysninger, forsikringsoplysninger osv.).

Jeg bruger personligt 1Password, fordi jeg kan lide indstillingen til familiekontoen - hvis nogen i din familie nogensinde bliver låst ude, kan en anden nulstille deres adgangskode til kontoen (men har ikke adgang til din individuelle hvælving).

Du kan også oprette gratis advarsler med Have I Been Pwned. Dette websted samler information fra databrud og giver forbrugerne mulighed for at bruge disse oplysninger til at beskytte sig selv. Du kan navigere til fanen 'Underret mig' øverst og indtaste din e-mail-adresse.

Når du har bekræftet den e-mail-adresse, du har indtastet (hvor den vil give din aktuelle eksponering), sender webstedet dig en e-mail når som helst din e-mail er involveret i et databrud. Det vil sige, enhver overtrædelse, som webstedet advares om - deres dækning er meget god, men ingen enkelt kilde vil indeholde alle utæthedsbrud. På denne måde kan du bare ændre den påvirkede adgangskode og behøver ikke bekymre dig om, at det påvirker nogen af ​​dine andre konti.

Hvis du arbejder på sikkerhed for en stor organisation, er software til adgangskodeadministration til virksomheder (de samme virksomheder, der er anført ovenfor, leverer disse tjenester) en god idé såvel som stærke adgangskodepolitikker (der kræver, at dine medarbejdere bruger tilstrækkeligt stærke adgangskoder). Have I Been Pwned har også en tjeneste, der giver domæneejeren mulighed for at overvåge for overtrædelser, der involverer enhver e-mail på domænet (og det er gratis!).

Hvordan får hackere ellers adgangskoder?

Der er et par andre muligheder - surfing på skulderen eller dybest set at se, hvordan du skriver din adgangskode - selvom det er usandsynligt, da personen skal være fysisk opmærksom på dig.

Så er der tyveri af adgangskoder, der er blevet skrevet ned, eller bare billeder af nedskrevne adgangskoder, der er synlige på fotos. Igen er dette meget mindre sandsynligt end nogen af ​​ovenstående muligheder, da det typisk kommer fra et målrettet angreb (hvilket i sagens natur er mindre almindeligt end mulighedsforbrydelser).

At undgå disse to er ret simpelt - tillad ikke nogen at se dig indtaste din adgangskode, og skriv ikke din adgangskode ned. Brug en adgangskodeadministrator i stedet! Hvis du simpelthen skal skrive det ned, skal du gemme det et sted, som det usandsynligt er, at nogen søger igennem eller finder ved et uheld. Jeg vil foreslå bunden af ​​en æske tamponer. Meget mere sikker end en klæbrig note på din skærm.

Det virker virkelig let at blive hacket. Skal jeg være bekymret?

Det vigtigste at huske på hacking er, at ingen ønsker at udføre mere arbejde, end de skal gøre. For eksempel er det meget sværere at bryde ind i dit hus for at stjæle din adgangskodebogbog end at sende phishing-e-mails fra den anden side af verden. Hvis der er en nemmere måde at få dit kodeord på, er det sandsynligvis, hvad en ondskabsfuld skuespiller prøver først.

Det betyder, at muliggør grundlæggende bedste praksis for cybersikkerhed sandsynligvis er den nemmeste måde at forhindre at blive hacket på. Faktisk rapporterede Microsoft for nylig, at bare at aktivere tofaktorautentificering ender med at blokere 99,9% af automatiserede angreb.  

Så aktiver 2FA, brug en adgangskodeadministrator til at generere lange, komplekse, unikke adgangskoder til hver konto, og tænk, før du klikker! Undgå at klikke på skitserede eller uventede links og vedhæftede filer, og vær opmærksom.