บ้าน Securitywatch รหัสผ่านที่ปลอดภัยชื่อผู้ใช้ที่เปิดเผย: ยังคงเป็นสูตรสำหรับภัยพิบัติ

รหัสผ่านที่ปลอดภัยชื่อผู้ใช้ที่เปิดเผย: ยังคงเป็นสูตรสำหรับภัยพิบัติ

วีดีโอ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (ธันวาคม 2024)

วีดีโอ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (ธันวาคม 2024)
Anonim

ในการโจมตี Evernote, Facebook, Twitter และอื่น ๆ เมื่อเร็ว ๆ นี้ บริษัท ที่เกี่ยวข้องทั้งหมดได้อย่างรวดเร็วเพื่อชี้ให้เห็นว่ารหัสผ่านยังคงปลอดภัย แต่ข้อมูลผู้ใช้มีชีวิตเป็นของตัวเองและผลกระทบของการโจมตีบุคคลนั้นสามารถรู้สึกได้นานหลังจากการโจมตีสิ้นสุดลง

การโจมตีที่เราเคยเห็น

โดยทั่วไปสิ่งที่คุณได้ยินเมื่อ บริษัท ยักษ์ใหญ่ถูกโจมตีคือบางสิ่งตามแนวทางของข้อมูลการชำระเงินที่ปลอดภัยรหัสผ่านถูกเข้ารหัส แต่สามารถเข้าถึงข้อมูลอื่นได้ โดยปกติจะรวมถึงชื่อผู้ใช้และอีเมล

สำหรับพวกเราส่วนใหญ่นั้นอาจไม่เป็นอันตราย ท้ายที่สุดเราให้อีเมลของเราเองตลอดเวลา - เรายังโพสต์ออนไลน์ แต่มีความเสี่ยงสำหรับผู้ใช้ที่ได้รับข้อมูลจำนวนเล็กน้อยนี้

ดีเร็กฮอลลิเดย์ผู้จัดการผลิตภัณฑ์อาวุโสของ Lookout Mobile Security อธิบายต่อ SecurityWatch ว่าบิตของข้อมูลเหล่านี้สามารถทำให้ผู้ใช้เป้าหมายได้อย่างไร "ข้อมูลบัญชีสามารถนำมาใช้เพื่อเปิดใช้งาน spearphishing เพราะให้ข้อมูลเชิงบริบทที่เป็นเอกลักษณ์เกี่ยวกับผู้คนซึ่งเป็นวิธีการติดต่อพวกเขา" เขากล่าว "และความจริงที่ว่าพวกเขามีอยู่ช่วงเวลาหนึ่งที่สมัครใช้บริการเฉพาะ"

นี่คือเหตุผลที่อีเมลแจ้งเตือนที่ถูกต้องมักเตือนผู้ใช้ที่อาจมีข้อมูลของตนเปิดเผยว่าจะไม่มีใครขอรหัสผ่าน หากแฮ็กเกอร์รู้ว่าคุณใช้ Evernote (ตัวอย่าง) มันเป็นงานสั้น ๆ ในการสร้างข้อความที่ดูเหมือนว่าจะมาจาก Evernote และส่งไปยังที่อยู่อีเมลที่คุณใช้เพื่อจัดการบัญชีของคุณ อาจเป็นการแจ้งให้คุณป้อนรหัสผ่านหรือข้อมูลการชำระเงินหรืออาจหลอกให้คุณคลิกลิงก์ที่เป็นอันตราย

"เราเคยเห็นอาชญากรไซเบอร์ที่เต็มใจเข้าร่วมใน 'การต่อต้านระยะยาว'" Mark Risher ผู้ร่วมก่อตั้งและซีอีโอของ Impermium กล่าว "การโจมตีแบบหลายขั้นตอนที่นอกเหนือไปจากการฉกฉวยข้อมูลที่ละเอียดอ่อน"

“ เมื่ออาชญากรเจาะเข้าสู่บัญชีเครือข่ายโซเชียลพวกเขามักจะสามารถหารายละเอียดส่วนบุคคลที่เพิ่มความถูกต้องตามกฎหมายให้กับการเป็นสเปียร์ฟิช” Risher กล่าวต่อซึ่งอ้างถึงสมาคมศิษย์เก่า เขาอธิบายว่าสามารถใช้เพื่อปลดล็อกคุณสมบัติ "คำถามลับ" ซึ่งบางครั้งถามว่ามาสค็อตโรงเรียนของคุณคืออะไรหรือชื่อสัตว์เลี้ยงตัวแรกของคุณบนเว็บไซต์อื่น

คดีที่เลวร้ายที่สุด

Chester Wisniewski ที่ปรึกษาความปลอดภัยระดับสูงของ Sophos กล่าวว่าแม้ว่า Evernote และเว็บไซต์ที่ถูกบุกรุกเมื่อเร็ว ๆ นี้จะรักษาความปลอดภัยให้กับรหัสผ่านของพวกเขาด้วยการเข้ารหัสแฮชและข้อมูล "เกลือ" แบบสุ่มผู้ใช้บางคนอาจไม่ได้รับการปกป้อง เขาอธิบายว่าหากผู้ใช้เลือกรหัสผ่านที่อ่อนแอหรือทั่วไป "แล้วอาชญากรอาจมีรหัสดังกล่าว"

ด้วยข้อมูลที่มีอยู่ จำกัด รหัสผ่านที่ง่ายขึ้นอาจยังคงถูกเรียกคืน “ อาชญากรกำลังจะสับสิ่งที่ง่ายจริงๆและอาจไม่รบกวนคนอื่น ๆ ” วิสเนวิสกีกล่าว

สำหรับคนเลวบางคนเพียงแค่เข้าถึงบัญชีโซเชียลมีเดียเช่น Facebook หรือ Twitter ก็เพียงพอแล้ว บางคนใช้เป็นโอกาสในการทำเงินโดยพยายามแพร่กระจายการติดเชื้อมัลแวร์ ผู้โจมตีที่กล้าได้กล้าเสียอาจพยายามใช้รหัสผ่านที่ถูกขโมยเพื่อปลดล็อกบัญชีเว็บเมล

"พวกเขามักจะมองหาจดหมายจากธนาคารของผู้ใช้บ่อยครั้งที่มีคุณลักษณะ 'ฉันลืมรหัสผ่าน' ที่ธนาคารนั้นซึ่งอาศัยเพียงการเข้าถึงบัญชีอีเมลเท่านั้น" Risher กล่าว

ดำเนินการต่อในกรณีที่เลวร้ายที่สุดผู้โจมตีอาจไม่สามารถทำได้เมื่อพวกเขาได้รับการเข้าถึงข้อมูลธนาคารออนไลน์ “ คนส่วนใหญ่เหล่านี้ไม่ได้มีส่วนร่วมโดยตรงในการขโมยข้อมูลส่วนตัวพวกเขาจะขายมันออกไป” Wisniewski กล่าว

เขาอธิบายต่อไปว่าในกรณีของโทรจันธนาคารผู้โจมตีจะใช้บัญชี 10 เปอร์เซ็นต์แรกนั่นคือบัญชีที่มีเงินมากที่สุดและขายข้อมูลอีก 90 เปอร์เซ็นต์ ซึ่งหมายความว่าข้อมูลผู้ใช้เมื่อถูกโจมตีสามารถนำไปใช้และนำกลับมาใช้ใหม่ได้จนกว่าเจ้าของจะสามารถควบคุมได้ในที่สุด

ทำให้ตัวเองปลอดภัย

“ ข่าวดีในทุกเรื่องที่ผ่านมาก็คือไม่มีสิ่งใดที่สามารถบ่งชี้ตัวตนได้” วิสนีวิวสกีกล่าวย้ำอีกครั้งว่า บริษัท ที่ได้รับผลกระทบอย่างน้อยก็ดูเหมือนจะทำตามขั้นตอนที่ดีเพื่อรักษาความปลอดภัยข้อมูลผู้ใช้

แต่อย่างที่เราเห็นนั่นไม่เพียงพอเสมอไป ผู้ใช้จำเป็นต้องฟังคำเตือนเพื่อเปลี่ยนรหัสผ่านเมื่อได้รับแจ้งจากบริการที่ถูกแฮ็ก พวกเขาควรพยายามเลือกรหัสผ่านที่แข็งแกร่งและไม่ซ้ำใครสำหรับทุกบริการออนไลน์อาจใช้ตัวจัดการรหัสผ่านเพื่อทำให้งานง่ายขึ้น

สิ่งสำคัญที่ต้องเข้าใจคือข้อมูลผู้ใช้มีค่าและยังคงมีประโยชน์สำหรับผู้โจมตีหลังจากคุณได้รับความปลอดภัยหนึ่งบัญชี อินเทอร์เน็ตให้วิธีการมากมายที่จะสนุกสนานและทำงานได้ แต่มันก็มีช่องทางมากมายสำหรับการโจมตี

รหัสผ่านที่ปลอดภัยชื่อผู้ใช้ที่เปิดเผย: ยังคงเป็นสูตรสำหรับภัยพิบัติ