Social Engineering Hacks at Linked Accounts: Paano Protektahan Laban sa Identity Pagnanakaw

Sa araw at edad na ito, ang Internet ay may malapit na kaugnayan sa karamihan sa mga aspeto ng ating buhay at pagkakakilanlan. Halos lahat ay may isang profile sa Facebook, pati na rin ang isang Twitter account, LinkedIn pahina, online checking account, mga account sa mga online na tagatingi, at marahil ng maraming mga lumang mga profile sa iba pang mga site na lamang mangolekta ng virtual dust. Karamihan sa atin ay nagtitiwala sa Internet sa aming impormasyon. Tiwala kami na ang mga global, sopistikadong mga kumpanya tulad ng PayPal, Facebook, Amazon at lahat ng iba pang malalaking pangalan ay hindi iiwan ang aming impormasyon bukas sa pag-hack. Ngunit ang kolektibong brainpower ng mga hacker sa buong mundo ay inilalagay sa paghahanap ng mga bago at makabagong mga paraan upang labagin ang mga sistemang iyon ng mga kumpanya.

Ito ay sinabi bago, ngunit sasabihin ko ulit: seguridad ay lamang bilang malakas na bilang iyong pinakamahina na link. Eksakto kung gaano kahina ang kadena na humahantong sa iyong personal na impormasyon? Mayroong maraming mga kahinaan sa account para sa iyong online presence: ang ilang na maaaring magkaroon ng kamalayan at iba na hindi mo naisip. Ang proteksyon at pag-iwas ay susi sa iyong online na seguridad na proseso-mas madaling mapigilan ang isang pag-hack kaysa ito ay upang ayusin ang pinsala pagkatapos ng isang nangyari.

Ano ang social engineering?

Sa ganitong konteksto, ang sosyal na engineering ay isang paraan na ginagamit upang manipulahin ang mga tao sa paghahayag ng personal na impormasyon. Ang isang kamakailang artikulo mula sa Wired's Mat Honan ay nakadetalye kung paano siya naging biktima ng isang social engineering hack na ginawa ang kanyang digital na buhay na dumating crashing down. Ang mga kahinaan sa Amazon at protocol ng seguridad ng Apple ay nagpapahintulot sa isang hacker na makakuha ng access sa isang serye ng mga account ng manunulat. Ang taga-hack ay nakapag-break sa kanyang account sa Amazon, na nagbigay ng isang billing address pati na rin ang huling apat na numero ng isang numero ng credit card. Ang impormasyong ito ay ang lahat na kinakailangan upang kumbinsihin ang Apple na ang hacker ay Honan, at sa gayon ay pinahintulutan siyang i-reset ang password ng Apple ID. Mula roon, nakakuha ang hacker ng access sa kanyang email account sa Apple, na humantong sa kanyang Gmail account, na siyang sentro ng mas maraming online na impormasyon. Ito ay social engineering sa trabaho. Kung paano alam ng mga hacker na ang isang account ni Honan ay hindi lubos na malinaw, ngunit ang kadena ng mga pangyayari na nakuha sa kanila sa kanyang kahinaan ay napakahalaga:

"Matapos makarating sa aking [Twitter] account, ang mga hacker ay gumawa ng ilang pananaliksik sa background. Ang aking Twitter account ay naka-link sa aking personal na website, kung saan natagpuan nila ang aking Gmail address. Nagtalo na ito rin ang e-mail address na ginamit ko para sa Twitter, ang Phobia [ang hacker] ay pumunta sa pahina ng pagbawi ng Google account. Hindi na niya kailangang aktwal na sumubok ng pagbawi. Ito ay isang misyon lamang. Dahil wala akong dalawang-factor na pagpapatotoo ng Google na naka-on, nang pumasok si Phobia sa aking Gmail address, maaari niyang tingnan ang kahaliling e-mail na aking na-set up para sa pagbawi ng account. Ang Google ay bahagyang nakakubli sa impormasyong iyon, na nilalagay ang maraming mga character, ngunit may sapat na mga character na magagamit, m ••• [email protected]. Jackpot."

Mag-isip ng dalawang beses tungkol sa naka-link na mga account

Ang string ng iyong digital na buhay ay nagsisimula at nagtatapos sa isang lugar, at kung ang isang madaling kahinaan ay natagpuan, ito ay pinagsamantalahan. Sinabi ng Amazon na nagbago ang mga pamamaraan ng seguridad nito upang hindi na posible ang ganitong uri ng pagsasamantala (gayunpaman, matapos basahin ang Wired story, tinanggal ko na ang lahat ng aking impormasyon mula sa Amazon at ipapasok ito nang manu-mano sa bawat oras mula ngayon. Walang ganoong bagay na masyadong maingat). Hindi naman sinabi ng Apple na nagbago ito ng anumang mga patakaran sa seguridad-Sinabi lamang ng Apple na ang mga panukalang panseguridad nito ay hindi ganap na sinusunod. Mayroong maraming iba pang mga kumpanya na madaling kapitan sa mga taktika sa sosyal na engineering, at ang iyong mga naka-link na account ay nagsasabi sa kanila kung saan magsisimula. Minsan ang pinakamadaling gamitin ay maaaring maging iyong Facebook account.

Ang digital na trail na humantong pabalik sa iyong di-digital na buhay

Sa pag-aakala na ang iyong profile sa Facebook ay pampubliko, o tinatanggap mo ang mga kahilingan ng kaibigan mula sa mga taong hindi mo talaga alam, ang iyong profile ay kasama ang iyong buong kaarawan? Ang iyong personal na email address, address ng tirahan at numero ng telepono? Mayroon ka bang mga larawan ng isang lumang alagang hayop ng pamilya kung saan mo pangalanan sila, o kaibigan ka ba ng iyong ina, na gumagamit pa rin ng kanyang unang pangalan? Mayroon bang mga larawan mula sa unang grado na nagpapakita ng pangalan ng paaralan, kasama mo ang iyong unang kasintahan, o ang iyong BFF?

Oo, at bakit ko tinatanong ang lahat ng mga personal na tanong na ito? Well, ang iyong petsa ng kapanganakan at address ay maaaring magbigay sa akin ng sapat na impormasyon upang simulan ang pagpapanggap sa iyo sa iba pang mga kumpanya o online. Sa ilang mga kaso maaaring kailanganin ko ang huling apat na numero ng iyong social security number, ngunit hindi iyon ang stopgap sa tingin mo ito. Kung gayon, bakit dapat ang iyong unang alagang hayop ng pamilya, pangalan ng pagkababae ng iyong ina, ang iyong unang elementarya, unang kasintahan, o ang pangalan ng iyong pinakamatalik na kaibigan? Ang mga ito ay ang lahat ng mga sagot sa mga tanong sa seguridad para sa mga proseso ng pagbawi ng account. Kung-hindi alam sa iyo-Na-crack ko ang iyong email, ngunit ang aking tunay na target ay ang iyong bank account, mayroon na akong mga sagot sa iyong mga tanong sa seguridad at mababago ko ang password sa iyong bank account upang makakuha ng access.Para sa mahusay na panukala malamang na baguhin ko rin ang password sa iyong email, o kung tapos na ako sa paggamit nito, maaari kong tanggalin ang account nang buo. Siyempre, maraming mga kadahilanan upang gawing perpekto ang sitwasyong ito, at may iba pang mga paraan na maaaring magamit upang makuha ang iyong pagkakakilanlan.

Kung mayroon kang mahina na mga password tulad ng "bucketKid", bilang isang ganap na random na halimbawa, ang pag-atake ng malupit na puwersa sa iyong account ay kukuha ng tungkol sa walong araw upang i-crack ang iyong password (higit sa kung paano ko malalaman na sa seksyon ng Rekomendasyon). Ang pagdaragdag lamang ng isang numero upang gawin itong "bucketKid7" ay nagdaragdag ng anim na taon sa oras na aabutin ito ng isang hacker upang i-crack ito.

Posible rin na ang iyong impormasyon ay maaaring mailantad bilang collateral damage sa hack ng ibang kumpanya. Kung gagamitin mo ang parehong password sa maramihang mga site, kabilang dito ang iyong email, pagkatapos ay oras na para sa iyo na baguhin ang lahat ng iyong mga password at siyasatin kung gaano kalayo ang maaaring makapalya. Ngayon, na mayroon kang mga pangyayari sa pinakamasama sa iyong isip, lumipat tayo sa kung paano mo talaga maprotektahan ang iyong sarili.

Rekomendasyon ng aming site

Huwag kailanman gamitin ang parehong password nang dalawang beses! Alam ko na narinig mo na isang milyong beses bago, at maaari mong isipin na hindi praktikal na magkaroon ng dose-dosenang mga natatanging mga password sa maraming mga site. Buweno, may dalawang bagay na maaari mong gawin upang gawin itong praktikal:

Ang una ay maaari mong gamitin ang isang programa upang matulungan kang lumikha at mag-imbak ng mga natatanging password para sa lahat ng iyong mga site. 1Password ay isang tulad ng programa-kapag nag-log in sa isa sa iyong mga online na profile, maaari mong piliin lamang ang pag-login na kailangan mo at 1Password ay magbibigay ng password at bigyan ka ng access. Gayunpaman, maaaring hindi mo nais na ang lahat ng iyong mga password ay naka-imbak sa isang database-na isang wastong pag-aalala.

Ang susunod na pagpipilian ay upang lumikha ng isang serye ng mga kaugnay na mga password. Ang isang password ay maaaring "Treez4Eva" sa susunod na "Trees4eVer" at iba pa. Pag-alala kung aling site ang gumagamit ng bersyon na maaaring maging isang maliit na nakakalito, ngunit ito ay maaaring gawin at tiyak na sulit. Tandaan na maaari mong palaging mabawi ang mga password na nakalimutan mo. Iyon ay maaaring oras-ubos, ngunit huwag ipaalam forgetting mga password itigil mo mula sa paglikha ng mga natatanging, secure na mga.

Ngayon sa password mismo: maaari mong gamitin ang Paano Secure Is My Password bilang isang madaling gamitin na sanggunian upang masukat kung paano ligtas ka talaga. Laging gumamit ng mga kumbinasyon ng alphanumeric kasama ang mga upper case na titik at mga espesyal na character. Kung pinapayagan ito ng site, gumamit din ng mga puwang. "BucketKid" ay mas ligtas kapag ito ay "bu (k3t K! 4 15 r3a!" Ang password na iyon ay kukuha ng 3 quintillion taon upang i-crack, ayon sa How Secure Is My Password, na kung saan ay maraming taon ito tunog pekeng. sa tingin mo ay magdadala sa iyo ng maraming mga taon upang matandaan ang isang password tulad nito-ngunit isipin ang tungkol sa kung paano mo maaaring gamitin ang mga trick sa memorya upang gawing mas madali ang proseso. Ang halimbawa sa itaas ay mababasa: "bucket kid ay totoo", ang dapat mong tandaan lamang kung aling mga titik Kung nais mong gamitin ang parehong password sa maraming mga site, gamitin ang iyong strongest, tulad ng halimbawa sa itaas, para sa mga site na madalas mong ginagamit tulad ng email. Pagkatapos gumawa ng throwaway Ang mga password tulad ng "payong batang lalaki 15 pekeng" para sa iba pang mga site na hindi mo madalas ginagamit o pakiramdam ay hindi ligtas.

Laging gumamit ng dalawang-hakbang na pag-verify para sa anumang site na sumusuporta dito. Alalahanin ang ulat ng Wired writer kung paano siya na-hack dahil hindi siya gumagamit ng dalawang hakbang na pag-verify? Huwag gumawa ng parehong pagkakamali. Sinusuportahan ito ng Google, gaya ng Yahoo at Facebook. Ang dalawang-hakbang na pag-verify ay nangangahulugang kapag nag-log in ka sa iyong account mula sa isang hindi nakikilalang computer o IP address, sasabihan ka na ilagay sa isang code na ipinadala sa iyong telepono. Kung ano ang magaling tungkol sa ito ay din na ito rin ay gumagana bilang isang sistema ng alarma para sa iyong mga account. Kung sinubukan ng isang tao na ma-access ang iyong email, at biglang nakakakuha ka ng isang teksto na nagbibigay sa iyo ng isang code sa pag-login, alam mo na oras na upang mabura ang mga hatch.

Panghuli, kung mayroon kang anumang mga alalahanin tungkol sa iyong online na kaligtasan, suriin ang Dapat Kong Palitan ang Aking Password. Hinahayaan ka ng site na ito na ipasok mo ang iyong email address at makita kung ito ay ipinapakita sa anumang mga listahan na pinagsama ng mga hack pagkatapos mag-crack sa isang site. Nagdagdag lang sila ng isang bagong tampok kung saan maaari mong iimbak ang iyong email address sa kanila at makikita nila ang pagsangguni nito sa anumang pag-atake sa hinaharap.

Ang lahat ng ito ay maaaring mukhang tulad ng pagpunta off ang malalim na dulo at pagiging masyadong paranoid sa iyo, ngunit ang paranoyd sa Internet ay maaaring minsan panatilihin kang ligtas. Mayroong maraming iba pang mga hakbang na dapat mong gawin upang protektahan ang iyong sarili, tulad ng: pag-encrypt ng iyong hard drive, paglikha ng mga hindi kinakailangan na email address at mga pangalan para sa mga site na hindi mo pinagkakatiwalaan o pakiramdam ay kulang sa seguridad at pagbabago ng mga password tuwing ilang buwan. Ang gabay na ito ay dapat na kinuha bilang isang jumping off point sa paggawa sa iyo ng mas ligtas, at kung ang lahat ng gagawin mo ay lumikha ng isang malakas na password at irehistro ang iyong email sa Dapat Baguhin ang Aking Password database pagkatapos na hindi bababa sa isang magandang unang hakbang upang maprotektahan ang iyong sarili mula sa pagnanakaw ng pagkakakilanlan sa Internet.

Mga Rekomendasyon sa Eksperto

Ryan Disraeli, VP of Fraud Services sa TeleSign:

"Ang average na tao ay shockingly napaka hackable, ngunit ang katotohanan ay na ang mga hackers ay tumingin sa atake ang pinakamadaling target. Hindi ito magkakatulad sa offline. Magnanakaw ba ang isang magnanakaw ng isang bahay na may 24/7 na guwardya ng seguridad o isang bahay na laging nag-iiwan ng naka-unlock na pinto sa harap? Ang katotohanan ay na ang isang mahusay na magnanakaw ay maaari pa ring magnanakaw ng isang bahay na may napakahusay na seguridad ngunit ay mas gusto upang sumunod sa isang mas madaling biktima.Tulad ng gagawin mong pag-iingat upang pangalagaan ang iyong personal na ari-arian, ang mga indibidwal ay dapat tumingin upang magdagdag ng ilang mga layer ng pag-iwas upang ma-secure ang kanilang pagkakakilanlan sa online."

Dodi Glenn, Manager ng produkto ng VIPRE Antivirus ng GFI:

"Tratuhin ang iyong smart phone tulad ng isang computer. Kung gumanap ka ng anumang uri ng mga transaksyon sa pananalapi sa iyong telepono, ang parehong "pinakamahusay na kasanayan" ng seguridad ay ilalapat gaya ng isang computer."

Shuman Ghosemajumder, VP of Strategy sa Shape Security:

"Magbayad ng pansin sa kung paano mo ma-access ang mga web site. Bahagi ng pagtiyak na pinagkakatiwalaan mo ang isang site ay nagpapatunay na ang organisasyon sa likod ng web site ay kagalang-galang. Ang isa pang bahagi ay tinitiyak na pinagkakatiwalaan mo ang iyong koneksyon sa web site na iyon. Dapat mong tiyakin na tama ang URL, direktang naka-navigate ka dito, at hindi nag-click sa isang link mula sa isang hindi hinihinging email, IM, o pop-up. Kung magagawa mo, gamitin lamang ang iyong sariling mga device at koneksyon. Dapat mong iwasan ang mga pampublikong koneksyon sa WiFi at ibinahaging mga pampublikong computer kung maaari mong, yamang madali para sa mga sumalakay na i-sniff ang trapiko ng network o i-install ang mga keylogger upang makuha ang mga password. Kung dapat mong gamitin ang isang pampublikong koneksyon sa WiFi, siguraduhin na hindi ka magsumite ng anumang pag-login o personal na impormasyon sa isang site na hindi gumagamit ng koneksyon sa HTTPS."