Hur Attackers faktiskt Hack Accounts Online och hur man skyddar dig själv
Folk pratar om att deras onlinekonton är "hackade", men hur exakt händer det här? Verkligheten är att konton hackas på ganska enkla sätt - angripare använder inte svart magi.
Kunskap är makt. Att förstå hur konton faktiskt äventyras kan hjälpa dig att säkra dina konton och förhindra att dina lösenord blir "hackade" i första hand.
Återanvända lösenord, särskilt läckta
Många människor - kanske till och med de flesta - återanvänd lösenord för olika konton. Vissa människor kan till och med använda samma lösenord för varje konto de använder. Detta är extremt osäkert. Många webbplatser - även stora, kända som LinkedIn och eHarmony - har haft sina lösenordsdatabaser läckta de senaste åren. Databaser av läckta lösenord tillsammans med användarnamn och e-postadresser är lättillgängliga online. Attackers kan prova dessa kombinationer av e-postadresser, användarnamn och lösenord på andra webbplatser och få tillgång till många konton.
Om du använder ett lösenord för ditt e-postkonto blir du ännu mer utsatt eftersom ditt e-postkonto kan användas för att återställa alla dina andra lösenord om en angripare fått tillgång till det.
Men bra du är att säkra dina lösenord, du kan inte kontrollera hur väl de tjänster du använder skyddar dina lösenord. Om du återanvänder lösenord och ett företag glider upp är alla dina konton i fara. Du borde använda olika lösenord överallt - en lösenordshanterare kan hjälpa till med detta.
keyloggers
Keyloggers är skadliga programvaror som kan springa i bakgrunden och loggar varje tangentslag du gör. De brukar användas för att fånga känslig data som kreditkortsnummer, lösenord för onlinebanker och andra kontonuppgifter. De skickar sedan dessa data till en angripare via Internet.
Sådana skadliga program kan komma fram via exploits - till exempel om du använder en föråldrad version av Java, eftersom de flesta datorer på Internet är, kan du äventyras genom en Java-applet på en webbsida. Men de kan också komma fram dolda i annan mjukvara. Till exempel kan du hämta ett tredjepartsverktyg för ett onlinespel. Verktyget kan vara skadligt, fånga ditt spellösenord och skicka det till angriparen via Internet.
Använd ett anständigt antivirusprogram, behåll din programvara uppdaterad och undvik att ladda ner otillförlitlig programvara.
Samhällsteknik
Attackers använder också vanliga tricks för socialt bruk för att få tillgång till dina konton. Phishing är en allmänt känd form av socialteknik. I grunden attackerar angriparen någon och frågar efter ditt lösenord. Vissa användare lämnar sina lösenord snabbt. Här är några exempel på socialteknik:
- Du får ett e-postmeddelande som hävdar att du kommer från din bank och riktar dig till en falsk banks hemsida och ber dig fylla i ditt lösenord.
- Du får ett meddelande på Facebook eller någon annan social webbplats från en användare som hävdar att det är ett officiellt Facebook-konto och frågar dig att skicka ditt lösenord för att autentisera dig själv.
- Du besöker en webbplats som lovar att ge dig något värdefullt, till exempel gratis spel på Steam eller gratis guld i World of Warcraft. För att få denna falska belöning kräver webbplatsen ditt användarnamn och lösenord för tjänsten.
Var försiktig med vem du ger ditt lösenord till - klicka inte på länkar i e-postmeddelanden och gå till din banks hemsida, ge inte bort ditt lösenord till alla som kontaktar dig och begär det och ge inte dina kontouppgifter till otillförlitliga webbplatser, särskilt de som verkar för bra för att vara sanna.
Svara på säkerhetsfrågor
Lösenord kan ofta återställas genom att besvara säkerhetsfrågor. Säkerhetsfrågor är i allmänhet oerhört svaga - ofta saker som "Var föddes du?", "Vilken gymnasie gick du till?" Och "Vad var din mors flicknamn?". Det är ofta mycket lätt att hitta den här informationen på allmänt tillgängliga sociala nätverk, och de flesta vanliga människor skulle berätta vilken gymnasium de gick till om de blev tillfrågade. Med denna lättillgängliga information kan angripare ofta återställa lösenord och få tillgång till konton.
Helst bör du använda säkerhetsfrågor med svar som inte lätt upptäcks eller gissas. Webbplatser bör också hindra människor från att få tillgång till ett konto bara för att de känner till svaren på några säkerhetsfrågor, och vissa gör - men vissa gör fortfarande inte.
E-postkonto och lösenordsåterställningar
Om en angripare använder någon av ovanstående metoder för att få tillgång till dina e-postkonton har du större problem. Ditt e-postkonto fungerar i allmänhet som ditt huvudkonto online. Alla andra konton du använder är kopplade till den och alla som har tillgång till e-postkontot kan använda den för att återställa dina lösenord på vilket antal webbplatser du registrerade hos e-postadressen.
Av denna anledning bör du säkra ditt mailkonto så mycket som möjligt. Det är särskilt viktigt att använda ett unikt lösenord för det och skydda det försiktigt.
Vilket lösenord "Hacking" är inte
De flesta människor antar förmodligen att angripare försöker varje enskilt lösenord för att logga in på deras online-konto. Det här händer inte. Om du försökte logga in på någons onlinekonto och fortsatte gissa lösenord, skulle du sakta ner och förhindra att försöka mer än en handfull lösenord.
Om en angripare kunde komma in i ett onlinekonto bara genom att gissa lösenord, är det troligt att lösenordet var något uppenbart som kan gissas under de första försöken, till exempel "lösenord" eller namnet på personens husdjur.
Attackers kan bara använda sådana brutna kraftmetoder om de hade lokal åtkomst till dina data. Låt oss säga att du lagrade en krypterad fil i ditt Dropbox-konto och angriparna fick tillgång till det och hämtade den krypterade filen. De kan då försöka brute-force krypteringen, i huvudsak försöker varje enskild lösenordskombination tills en fungerar.
Människor som säger att deras konton har blivit "hackade" är troligen skyldiga att återanvända lösenord, installera en nyckellogg eller ge sina referenser till en angripare efter sociala manipulationstryck. De kan också ha äventyras till följd av lätt gissade säkerhetsfrågor.
Om du vidtar lämpliga säkerhetsåtgärder är det inte lätt att "hacka" dina konton. Att använda tvåfaktors autentisering kan också hjälpa till - en angripare behöver mer än bara ditt lösenord för att komma in.
Bildkredit: Robbert van der Steeg på Flickr, asenat på Flickr