Video: मुझे User Id और Password कैसे मिलेगा ? (Nobyembre 2024)
Sa bawat isa sa mga kamakailang pag-atake sa Evernote, Facebook, Twitter at iba pa, ang mga kumpanya na kasangkot ay mabilis na itinuro na ang mga password ay nananatiling ligtas. Ngunit ang impormasyon ng gumagamit ay may sariling buhay, at ang mga epekto ng isang pag-atake sa isang indibidwal ay maaaring madama nang matagal matapos ang pag-atake.
Ang Mga Pag-atake na Nakita Natin
Karaniwan ang naririnig mo kapag ang isang pangunahing kumpanya ay nakompromiso ay isang bagay sa mga linya kung paano pa-secure ang impormasyon sa pagbabayad, naka-encrypt ang mga password, ngunit naa-access ang ibang impormasyon. Karaniwan, kabilang dito ang mga username at email.
Sa karamihan sa atin, maaaring hindi mapanganib iyon. Pagkatapos ng lahat, ibinibigay namin ang aming sariling mga email sa lahat ng oras - nai-post din namin ito sa online. Ngunit may mga panganib para sa mga gumagamit na mayroon kahit na ang maliit na halaga ng impormasyon na nakalantad.
Ipinaliwanag ni Derek Halliday, senior manager ng produkto sa Lookout mobile security sa SecurityWatch kung paano mai-target ng mga bits na ito ang mga target ng gumagamit. "Ang impormasyon ng account ay maaaring magamit upang potensyal na paganahin ang spearphishing dahil nagbibigay ito ng ilang natatanging impormasyon tungkol sa konteksto tungkol sa mga tao - isang paraan upang makipag-ugnay sa kanila, " aniya. "At ang katotohanan na mayroon silang isang oras sa oras na naka-sign up para sa isang partikular na serbisyo."
Ito ang dahilan kung bakit madalas na paalalahanan ng mga lehitimong alerto ng email ang mga gumagamit na maaaring nakalantad ang kanilang impormasyon na walang hihilingin sa kanilang password. Kung alam ng isang hacker na gumagamit ka ng Evernote (halimbawa), maikli ang gawain upang lumikha ng isang mensahe na tila nagmula sa Evernote at ipadala sa email address na ginagamit mo upang pamahalaan ang iyong account. Marahil ay i-prompt ka nitong ibigay ang iyong password, o impormasyon sa pagbabayad, o maaaring linlangin ka sa pag-click sa isang nakakahamak na link.
"Nakita namin ang mga kriminal na cyber na handang makisali sa 'mahabang con, '" sabi ni Mark Risher, ang co-founder at CEO ng Impermium. "Isang pag-atake ng maraming hakbang na lumalampas sa direktang paglalagay ng data ng sensitibong data."
"Kapag ang mga kriminal ay naghiwalay sa isang social network account, madalas silang makahanap ng mga personal na detalye na nagdaragdag ng pagiging lehitimo sa isang spearphishing, " patuloy ni Risher, na nagbanggit ng isang samahan ng alumni bilang isang personal na detalye. Ipinaliwanag niya na maaaring magamit upang mai-unlock ang tampok na "lihim na tanong" na kung minsan ay tinatanong kung ano ang iyong maskot sa paaralan, o ang pangalan ng iyong unang alagang hayop - sa ibang website.
Ang Pinakamasamang Kaso
Si Chester Wisniewski, tagapayo ng senior security sa Sophos, ay nagsabi na kahit na ang Evernote at iba pang mga kamakailan na nakompromiso sa mga website ay sinigurado ang kanilang mga password gamit ang mga cryptographic hashes at random na "asin" na data, hindi lahat ng mga gumagamit ay maaaring maprotektahan. Ipinaliwanag niya na kung ang mga gumagamit ay pumili ng mahina o karaniwang mga password, "kung gayon ang mga kriminal ay maaaring magkaroon nito."
Gamit ang limitadong impormasyon na magagamit, ang mas madaling mga password ay maaaring makuha pa. "Ang mga kriminal ay makakasama sa mga talagang madali, at maaaring hindi mag-abala sa iba, " sabi ni Wisniewski.
Para sa ilan sa mga masasamang tao, ang pagkakaroon lamang ng pag-access sa mga social media account tulad ng Facebook o Twitter ay sapat na. Ang ilan ay ginagamit ito bilang isang pagkakataon upang kumita ng pera, sa pamamagitan ng pagtatangka upang maikalat ang mga impeksyon sa malware. Marami pang mga nagsasalakay na pag-atake ay maaaring subukan na gamitin ang naka-pilak na password upang i-unlock ang isang account sa webmail.
"Kadalasan ay naghahanap sila ng mail mula sa bangko ng gumagamit; madalas na mayroong tampok na 'Nakalimutan ko ang aking password' sa bangko na umaasa lamang sa pagkakaroon ng access sa email account, " sabi ni Risher.
Ang pagpapatuloy sa pinakamasamang sitwasyon ng kaso, maaaring hindi magawa ang mga umaatake kapag nakakuha sila ng access sa impormasyon sa online banking. "Marami sa mga kalalakihan na ito ay hindi direktang makikipag-ugnay sa pagnanakaw ng pagkakakilanlan, ibebenta nila ito, " sabi ni Wisniewski.
Ipinagpaliwanag niya na sa kaso ng mga tropa ng pagbabangko, gagamitin ng mga umaatake ang nangungunang 10 porsiyento ng mga account - ibig sabihin, ang may pinakamaraming magagamit na pondo - at ibenta ang iba pang 90 porsyento ng impormasyon. Nangangahulugan ito na ang impormasyon ng gumagamit, sa sandaling nakompromiso, ay maaaring magpatuloy na magamit at magamit muli hanggang sa muling makuha ng may-ari.
Panatilihing Ligtas ang Iyong Sarili
"Ang mabuting balita sa lahat ng mga kamakailan lamang ay na walang personal na pagkilala na nakuha, " sabi ni Wisniewski, na binigyang-diin ng maraming beses na ang mga apektadong kumpanya ng hindi bababa sa lumitaw ay gumawa ng mga magagandang hakbang upang ma-secure ang impormasyon ng gumagamit.
Ngunit tulad ng nakita natin, hindi iyon palaging sapat. Kailangang makinig ng mga gumagamit ang mga babala upang mabago ang mga password kapag sinenyasan ng mga serbisyo na na-hack. Dapat din silang magsikap na pumili ng malakas at natatanging mga password para sa bawat online na serbisyo, marahil ay gumagamit ng isang tagapamahala ng password upang gawing mas madali ang gawain.
Ang mahalaga na maunawaan ay ang impormasyon ng gumagamit ay mahalaga, at maaari pa ring maging kapaki-pakinabang sa mga umaatake nang matagal matapos mong mai-secure ang isang apektadong account. Nagbibigay ang Internet ng maraming mga paraan upang magkaroon ng kasiyahan at trabaho, ngunit nagbibigay din ito ng maraming mga avenue para sa pag-atake.
