Social Engineering Hacks og Linked Accounts: Sådan beskytter du mod identitetstyveri

På denne dag og alder har internettet et tæt link med de fleste aspekter af vores liv og identitet. Næsten alle har en Facebook-profil, samt muligvis en Twitter-konto, LinkedIn-side, online checkkonti, konti hos online-forhandlere og sandsynligvis masser af gamle profiler på andre websteder, der bare samler virtuel støv. De fleste af os er kommet til at stole på internettet med vores oplysninger. Vi er overbeviste om, at globale, sofistikerede virksomheder som PayPal, Facebook, Amazon og alle de andre store navne ikke vil give vores information adgang til hacking. Men den kollektive hjernekraft af hackere over hele verden bliver sat til at finde nye og innovative måder at bryde disse virksomheders systemer på.

Det er blevet sagt før, men jeg siger det igen: Sikkerheden er kun så stærk som din svageste link. Præcis hvor svag er kæden, der fører til dine personlige oplysninger? Der er mange sårbarheder, der skal tages hensyn til i din online-tilstedeværelse: nogle, som du måske er opmærksomme på og andre, som du aldrig har tænkt på. Beskyttelse og forebyggelse er nøglen i din online sikkerhedsproces. Det er meget lettere at forhindre et hack, end det er at reparere skaden, når der er sket en skade.

Hvad er social engineering?

I denne sammenhæng er social engineering en metode, der bruges til at manipulere folk til at videregive personlige oplysninger. En nylig artikel fra Wired's Mat Honan detaljerede hvordan han var offer for en social engineering hack, der gjorde hans digitale liv komme ned. Sårbarheder i Amazon og Apples sikkerhedsprotokol tillod en hacker at få adgang til en serie af forfatterens konti. Hackeren kunne bryde ind på sin Amazon-konto, som indeholdt en faktureringsadresse samt de sidste fire cifre i et kreditkortnummer. Disse oplysninger var alt, hvad der var nødvendigt for at overbevise Apple om, at hackeren var Honan, og fik derfor ham til at nulstille Apple ID-adgangskoden. Derefter har hackeren fået adgang til sin e-mail-e-mail-konto, som førte til hans Gmail-konto, som var centrum for endnu mere online-information. Dette er social engineering på arbejde. Hvordan hackerne vidste, at Mr. Honan havde en Amazon-konto, er ikke helt klar, men kæden af ​​begivenheder, der slog dem væk til hans sårbarhed, er værd at bemærke:

"Efter at have været på tværs af min [Twitter] konto, gjorde hackerne lidt baggrundsforskning. Min Twitter-konto knyttet til min personlige hjemmeside, hvor de fandt min Gmail-adresse. Gætte at dette også var den e-mail-adresse, jeg brugte til Twitter, Fobi [hackeren] gik til Googles kontoåbningsside. Han var ikke engang nødt til at forsøge et opsving. Dette var bare en rekordmission. Fordi jeg ikke havde Googles tofaktorautentificering aktiveret, da Phobia trådte ind i min Gmail-adresse, kunne han se den alternative e-mail, jeg havde oprettet til kontoegenvinding. Google obskyrer delvist denne information, der udspiller mange tegn, men der var nok tegn til rådighed, m••••[email protected]. Jackpot.”

Tænk to gange om tilknyttede konti

Strengen i dit digitale liv starter og slutter et sted, og hvis en let sårbarhed er fundet, vil den blive udnyttet. Amazon har siden hævdet, at det har ændret sine sikkerhedsprocedurer, så denne type udnyttelse ikke længere er muligt (men efter at have læst Wired-historien har jeg siden slettet alle mine oplysninger fra Amazon og vil indlæse det manuelt hver gang fra nu af. Der er ikke sådan noget som at være for forsigtig). Apple har derimod ikke sagt, at det har ændret nogen sikkerhedspolitikker - Apple sagde kun, at dets sikkerhedsforanstaltninger ikke blev fulgt helt. Der er mange andre virksomheder, der er modtagelige for social engineering taktik, og dine tilknyttede konti fortæller dem, hvor de skal starte. Nogle gange kan den nemmeste udnyttelse være din Facebook-konto.

Det digitale spor, der fører tilbage til dit ikke-digitale liv

Hvis du antager, at din Facebook-profil er offentlig, eller at du accepterer venneforespørgsler fra personer, du ikke rent faktisk ved, indbefatter din profil din fulde fødselsdag? Din personlige email adresse, hjemmeadresse og telefonnummer? Har du billeder af et gammelt familiedyr, hvor du navngiver dem, eller er du venner med din mor, der stadig bruger hendes pigenavn? Er der billeder fra dig fra første klasse, der viser navnet på skolen, dig med din første kæreste eller din BFF?

Ja, og hvorfor spørger jeg alle disse personlige spørgsmål? Nå, din fødselsdato og adresse kan give mig nok information til at begynde at udgive dig hos andre virksomheder eller online. I nogle tilfælde kan jeg have brug for de sidste fire cifre i dit personnummer, men det er ikke det stopgap, du tror det er. Så hvorfor skal din første familie kæledyr, din mors pigenavn, din første grundskole, første kæreste eller navnet på din bedste ven spørgsmål? De er alle svar på sikkerhedsspørgsmål til kontogendannelsesprocesser. Hvis du er ubekendt - Jeg har slået din email, men mit rigtige mål er din bankkonto. Jeg har nu svar på dine sikkerhedsspørgsmål, og jeg kan ændre adgangskoden på din bankkonto for at få adgang.For et godt mål vil jeg sandsynligvis også ændre adgangskoden på din email, eller hvis jeg er færdig med at udnytte den, kan jeg slette kontoen helt. Selvfølgelig er der mange faktorer, der gør denne situation ideel, og der findes andre metoder, der kan bruges til at overtage din identitet.

Hvis du har svage adgangskoder som "bucketKid", som et helt tilfældigt eksempel, ville et brutalt kraftangreb på din konto tage omkring otte dage at knække dit kodeord (mere om, hvordan jeg ved det i henstillingen). Du skal blot tilføje et nummer for at gøre det "bucketKid7" tilføjer seks år til det tidspunkt, det ville tage en hacker at knække den.

Det er også muligt, at dine oplysninger kan blive udsat som sikkerhedsskade i et andet selskabs hack. Hvis du bruger den samme adgangskode på flere websteder, hvoraf den ene indeholder din e-mail, er det på tide, at du ændrer alle dine adgangskoder og undersøger, hvor langt skadet kan udlede. Nu, at du har de værst tænkelige scenarier i dit sind, lad os gå videre til, hvordan du faktisk kan beskytte dig selv.

Vores websted Anbefaling

Brug aldrig den samme adgangskode to gange! Jeg ved, at du har hørt det en million gange før, og du tror måske, at det ikke er praktisk at have snesevis af unikke adgangskoder på mange websteder. Nå, der er to ting du kan gøre for at gøre det praktisk:

Den første er, at du kan bruge et program til at hjælpe dig med at oprette og gemme unikke adgangskoder til alle dine websteder. 1Password er et sådant program - når du logger ind på en af ​​dine online profiler, kan du blot vælge det login, du har brug for, og 1Password vil give adgangskoden og give dig adgang. Men måske vil du ikke have alle dine adgangskoder gemt i en database - det er en gyldig bekymring.

Den næste mulighed er at oprette en række relaterede adgangskoder. En adgangskode kan være "Treez4Eva" den næste "Trees4eVer" og så videre. At huske hvilket websted bruger hvilken version kan være lidt vanskelig, men det er gennemførligt og absolut værd at prøve. Husk at du altid kan gendanne adgangskoder, som du glemmer. Det kan være tidskrævende, men lad ikke glemme, at adgangskoder forhindrer dig i at skabe unikke, sikre dem.

Nu på selve adgangskoden: Du kan bruge How Secure er mit kodeord som en praktisk reference til at måle, hvor sikker du virkelig er. Brug altid alfanumeriske kombinationer sammen med store bogstaver og specialtegn. Hvis webstedet tillader det, skal du også bruge mellemrum. "BucketKid" er meget mere sikker, når det er "bu (k3t K! 4 15 r3a!" At adgangskoden ville tage 3 quintillion år at knække, ifølge How Secure er mit kodeord, hvilket er så mange år, det lyder falsk. tror det ville tage dig så mange år at huske et kodeord sådan - men tænk på, hvordan du kan bruge hukommelsestrikker for at gøre processen nemmere. Eksemplet ovenfor lyder: "bucket kid is real", alt du skal huske er, hvilke bogstaver du har kapitaliseret og hvordan du erstattede bogstaver med tal eller specialtegn. Hvis du stadig vil bruge samme adgangskode på mange websteder, skal du bruge din stærkeste, som eksemplet ovenfor, til websteder, du bruger ofte, som e-mail. adgangskoder som "paraply boy 15 fake" for andre websteder, som du ikke bruger ofte eller føler er ikke så sikre.

Brug altid to-trins verifikation til ethvert websted, der understøtter det. Husk den Wired forfatters redegørelse for, hvordan han blev hacket fordi han ikke brugte to-trins verifikation? Gør ikke den samme fejl. Google støtter det, ligesom Yahoo og Facebook. To-trinsbekræftelse betyder, at når du logger ind på din konto fra en ukendt computer eller IP-adresse, bliver du bedt om at indsætte en kode, der blev sendt til din telefon. Det er også godt, at det også fungerer som et alarmsystem til dine konti. Hvis nogen forsøger at få adgang til din e-mail, og du pludselig får en tekst, der forsyner dig med en login kode, ved du, det er på tide at batte ned lukkerne.

Endelig, hvis du har nogen bekymringer over din online sikkerhed, skal du kontrollere, om jeg ændrer mit kodeord. På dette websted kan du indtaste din e-mail-adresse og se, om det er vist på nogen lister, som hackere har lavet sammen efter at have revnet et websted. De har netop tilføjet en ny funktion, hvor du kan gemme din e-mail-adresse med dem, og de vil krydse referencen med eventuelle fremtidige angreb.

Alt dette kan virke som at gå ud i den dybe ende og være for paranoid for dig, men at være paranoid på internettet kan nogle gange holde dig sikker. Der er mange andre foranstaltninger, du bør tage for at beskytte dig selv, såsom: kryptering af din harddisk, oprettelse af engangs e-mail-adresser og navne for websteder, du ikke har tillid til eller føler, mangler i sikkerhed og skift adgangskoder hvert par måneder. Denne vejledning skal tages som et hoppepunkt for at gøre dig mere sikker, og hvis alt du gør er at oprette en stærk adgangskode og registrere din email med Skal jeg ændre min adgangskode database, så er det mindst et godt første skridt for at beskytte dig selv fra identitetstyveri på internettet.

Ekspert anbefalinger

Ryan Disraeli, VP for svigstjenester hos TeleSign:

"Den gennemsnitlige person er chokerende meget hackable, men virkeligheden er, at hackere vil se på at angribe det nemmeste mål. Dette er ikke forskelligt fra offline. Vil en tyv rane et hjem med 24/7 sikkerhedsvagter eller et hjem der altid forlader frontdøren ulåst? Virkeligheden er, at en god tyv stadig kan røve et hjem med fantastisk sikkerhed, men vil helst gå efter et lettere offer.Ligesom du ville tage forholdsregler for at beskytte din personlige ejendom, bør enkeltpersoner søge at tilføje et par lag forebyggelse for at sikre deres online identitet."

Dodi Glenn, GFI Software's VIPRE Antivirus produktchef:

"Behandl din smarte telefon som en computer. Hvis du udfører nogen form for finansielle transaktioner på din telefon, gælder samme sikkerhed "bedste praksis" som med en computer."

Shuman Ghosemajumder, VP for Strategi ved Shape Security:

"Vær opmærksom på, hvordan du får adgang til websteder. En del af at sikre, at du har tillid til et websted, bekræfter, at organisationen bag hjemmesiden er velrenommeret. En anden del er at sikre, at du stoler på din forbindelse til det pågældende websted. Du skal sikre dig, at webadressen er korrekt, at du navigerede direkte til den og ikke klikede på et link fra en uopfordret email, chat eller pop-up. Hvis du kan, skal du kun bruge dine egne enheder og forbindelser. Du bør undgå offentlige WiFi-forbindelser og fælles offentlige computere, hvis du kan, da det er let for angriberne at snyde netværkstrafik eller installere keyloggers for at indfange adgangskoder. Hvis du skal bruge en offentlig WiFi-forbindelse, skal du sørge for, at du ikke sender login eller personlige oplysninger til et websted, der ikke bruger en HTTPS-forbindelse."