Szoci�lis Technikai Hackek �s Kapcsolt Sz�ml�k: Hogyan v�dekezhet az Identity Theft ellen?

Ebben a napban az internet szoros kapcsolatban �ll �let�nk �s identit�sunk legt�bb aspektus�val. Gyakorlatilag mindenkinek van Facebook profilja, esetleg egy Twitter fi�k, LinkedIn oldal, online sz�ml�k ellen�rz�se, sz�ml�k online kiskeresked�kkel �s val�sz�n�leg rengeteg r�gi profil m�s webhelyeken, amelyek csak �sszegy�jtik a virtu�lis porokat. Legt�bbj�k bizalmat b�zott az interneten az inform�ci�kkal. B�zunk benne, hogy a glob�lis, kifinomult c�gek, mint a PayPal, a Facebook, az Amazon �s az �sszes t�bbi nagy n�v nem hagyja nyitva az inform�ci�nkat a hackel�sre. De a hackerek kollekt�v szellemi ereje szerte a vil�gon arra ir�nyul, hogy �j �s innovat�v megold�sokat tal�ljanak a v�llalatok rendszereinek megs�rt�s�re.

M�r eml�tett�k, de �jra meg fogom mondani: a biztons�g csak annyira er�s, mint a leggyeng�bb link. Pontosan milyen gyenge a l�nc, amely szem�lyes adatait eredm�nyezi? Sz�mos s�r�l�kenys�get kell figyelembe venni az �n online jelenl�t�ben: olyanokat, amelyekr�l tudat�ban vagy m�soknak, amelyekr�l soha nem gondoltatok. A v�delem �s a megel�z�s kulcsfontoss�g� az online biztons�gi folyamatban - sokkal k�nnyebb megakad�lyozni a hacket, mint egy kijav�t�s ut�n.

Mi a szoci�lis tervez�s?

Ebben a kontextusban a szoci�ltechnika olyan m�dszer, amelyet az embereknek a szem�lyes adatok terjeszt�s�re val� manipul�l�s�ra haszn�lnak. A Wired Mat Honan egyik legut�bbi cikke arr�l sz�molt be, hogy �ldozata volt egy szoci�lis technikai csapkodnak, amely a digit�lis �let�t �sszeomlalta. Az Amazon �s az Apple biztons�gi protokolljai sebezhet�s�ge lehet�v� tette a hacker sz�m�ra, hogy hozz�f�rjen az �r� sz�ml�inak sor�hoz. A hacker k�pes volt bet�rni az Amazon fi�kj�ba, amely sz�ml�z�si c�met �s hitelk�rtyasz�m utols� n�gy sz�mjegy�t adott ki. Ez az inform�ci� mind�ssze annyit jelentett, hogy meggy�zze az Apple-t, hogy a hacker Honan volt, �s ez�rt megengedte neki, hogy �ll�tsa vissza az Apple ID jelszav�t. Innent�l kezdve a hacker hozz�f�r�st kapott az Apple e-mail fi�kj�hoz, ami a Gmail-fi�kj�hoz vezetett, ami m�g t�bb online inform�ci� k�zpontja volt. Ez a szoci�lis m�rn�ki munka. Hogy a hackerek tudt�k, hogy Mr. Honannak van egy Amazon-fi�kja, nem teljesen vil�gos, de �rdemes megeml�teni az esem�nyek l�ncolat�t, amelyek kiszolg�ltatj�k a sebezhet�s�g�ket:

"Miut�n felkerestem a [Twitter] fi�komat, a hackerek n�h�ny h�tt�rkutat�st v�geztek. A Twitter fi�kom kapcsol�dott a szem�lyes weboldalamhoz, ahol megtal�lta a Gmail-c�memet. Kital�lva, hogy ez volt a Twitteren haszn�lt e-mail c�m is, a Phobia [a hacker] elment a Google sz�mlavezet�si oldal�ra. M�g csak nem is kellett igyekeznie helyre�ll�t�st. Ez csak egy �jj�sz�let�s volt. Mivel nem volt bekapcsolva a Google k�t�tem� hiteles�t�i szolg�ltat�sa, amikor a Phobia be�rta a Gmail-c�memet, megtekinthette a fi�kok helyre�ll�t�s�hoz fel�ll�tott alternat�v e-maileket. A Google r�szben elhom�lyos�tja ezt az inform�ci�t, sz�mos karakterb�l �ll, de elegend� karakter �ll rendelkez�s�re, m / m / q @ eme.com. Jackpot „.

Gondolj k�tszer a kapcsol�d� fi�kokr�l

A digit�lis �let sztringje valahol elindul �s v�get �r, �s ha k�nny� sebezhet�s�get tal�l, ki fogj�k haszn�lni. Az Amazon azt �ll�totta, hogy megv�ltoztatta a biztons�gi elj�r�sait, �gy ez a fajta kizs�km�nyol�s m�r nem lehets�ges (azonban a vezet�kes t�rt�net olvas�sa ut�n az�ta t�r�ltem minden adataimat az Amazon-b�l, �s mostant�l k�zzel fogom be�rni. Nincs olyan dolog, mint t�l �vatos). Az Apple azonban nem azt mondta, hogy megv�ltoztatta a biztons�gi politik�kat - az Apple csak azt mondta, hogy biztons�gi int�zked�seit nem k�vett�k teljesen. Sz�mos m�s v�llalat is �rz�keny a szoci�lis tervez�si taktik�ra, �s a kapcsolt fi�kok megmondj�k nekik, hogy hol kezdjenek. N�ha a legegyszer�bb kizs�km�nyol�s lehet a Facebook-fi�kod.

A digit�lis �t, amely nem digit�lis �lethez vezet

Felt�ve, hogy Facebook profilja nyilv�nos, vagy elfogadja az olyan ismer�s�kt�l sz�rmaz� ismer�s�ket, akiket t�nyleg nem tud, a profil tartalmazza a teljes sz�let�snapj�t? Az �n szem�lyes e-mail c�m�t, lakc�m�t �s telefonsz�m�t? Van olyan k�ped egy r�gi csal�di kis�llatr�l, ahol nevezed �ket, vagy bar�tod van any�ddal, aki m�g mindig a l�nykori nev�t haszn�lja? Van-e olyan k�ped az els� oszt�lyb�l, amely megjelen�ti az iskola nev�t, az els� bar�tn�ddel vagy a BFF-vel?

Igen, �s mi�rt k�rdezem ezeket a szem�lyes k�rd�seket? Nos, a sz�let�si d�tum �s a c�mem elegend� inform�ci�t tud adni ahhoz, hogy m�s c�gekn�l vagy az interneten kereszt�l megsz�laljon. Bizonyos esetekben sz�ks�gem lehet a t�rsadalombiztos�t�si sz�m utols� n�gy sz�mjegy�re, de ez nem az a pillanat, amire gondolsz. Sz�val, mi�rt kellene az els� csal�di kis�llat, az anyja le�nykora, az els� �ltal�nos iskola, az els� bar�tn�je vagy a legjobb bar�tod neve? Mindannyian v�laszok a sz�mlanyit�si folyamatok biztons�gi k�rd�seire. Ha-ismeretlen sz�modra - Megt�rtem az e-mailedet, de az igazi c�lom az �n banksz�ml�ja, most m�r v�laszt kapok a biztons�gi k�rd�sekre, �s megv�ltoztathatom a jelszav�t a banksz�ml�j�n, hogy hozz�f�rjenek hozz�.J� int�zked�s eset�n val�sz�n�leg megv�ltoztatom a jelszav�t az e-mailben is, vagy ha k�szen �llok annak kihaszn�l�s�ra, teljesen t�r�lhetem a fi�kot. Term�szetesen sok t�nyez� van ennek a helyzetnek az ide�lisv� t�tel�hez, �s vannak m�s m�dszerek is, amelyek seg�ts�g�vel felveheti szem�lyazonoss�g�t.

Ha gyenge jelsz�val rendelkezik, mint p�ld�ul a "bucketKid", mint teljesen v�letlenszer� p�lda, akkor egy brute force t�mad�s a sz�ml�j�ra kb. Nyolc napig tart, hogy felt�rje a jelszav�t (tov�bbi tudnival�k az Aj�nl�s szakaszban). Egyszer annyi sz�m hozz�ad�s�val, hogy a "bucketKid7" hat �vvel meghosszabbodik, am�g egy hacker meg fogja szak�tani.

Lehets�ges tov�bb�, hogy az �n inform�ci�i fedezetk�rosod�sk�nt jelenhetnek meg egy m�sik v�llalat csapkod�s�ban. Ha ugyanazt a jelsz�t haszn�lod t�bb webhelyen, amelyek k�z�l az egyik tartalmazza az e-mail c�m�t, akkor itt az ideje, hogy megv�ltoztassa az �sszes jelszav�t, �s vizsg�lja meg, hogy a k�r mennyis�ge kilyukadhat. Most, hogy a legrosszabb forgat�k�nyveid vannak a fejedben, menj�nk tov�bb, hogyan v�dhetj�k meg magunkat.

Webhely�nk aj�nl�sai

Soha ne haszn�lja ugyanazt a jelsz�t k�tszer! Tudom, hogy hallott�tok m�r milli�szor azel�tt, �s �gy gondolja, nem praktikus t�bb tucatnyi egyedi jelsz�t t�bb webhelyen. Nos, k�t dolgot tehet�nk, hogy praktikusabb� tegy�k:

Az els� olyan programot haszn�lhat, amely seg�t l�trehozni �s t�rolni az �sszes webhelyen tal�lhat� egyedi jelszavakat. 1Password egy ilyen program - amikor bejelentkezik az egyik online profilj�ba, egyszer�en kiv�laszthatja a sz�ks�ges bejelentkez�st, �s az 1Password megadja a jelsz�t �s megadja a hozz�f�r�st. Azonban tal�n nem szeretn�, ha az �sszes adatb�zisban t�rolt jelszavakat - ez egy �rv�nyes aggodalom.

A k�vetkez� lehet�s�g egy sor kapcsol�d� jelsz� l�trehoz�sa. Egy jelsz� lehet "Treez4Eva" a k�vetkez� "Trees4eVer" �s �gy tov�bb. Eml�kezz arra, hogy melyik oldalon haszn�lj�k a verzi�t, lehet, hogy kicsit tr�kk�s, de megval�s�that� �s felt�tlen�l meg�ri pr�b�lni. Ne feledje, hogy mindig elfelejtheti a jelszavakat. Ez id�ig�nyes lehet, de ne hagyja, hogy a jelszavak elfelejt�se megakad�lyozza az egyedi, biztons�gos l�trehoz�s�t.

Most mag�ra a jelsz�ra: haszn�lhatja a Hogyan biztons�gos a jelsz�, mint hasznos hivatkoz�s annak felm�r�s�re, hogy mennyire biztons�gos vagy val�j�ban. Mindig alfanumerikus kombin�ci�kat haszn�ljon nagybet�kkel �s k�l�nleges karakterekkel egy�tt. Ha az oldal enged�lyezi, haszn�lja a sz�k�z�ket is. A "bucketKid" sokkal biztons�gosabb, ha "bu (k3t K! 4 15 r3a!") Ez a jelsz� 3 quintillion �vig megt�rni, a How Secure Is My Password szerint sok �ven �t hamisnak t�nik. �gy gondolja, hogy olyan sok �vet vesz ig�nybe, hogy eml�kezzen egy ilyen jelsz�ra -, de gondoljon arra, hogyan haszn�lhatja a mem�ria tr�kk�ket, hogy k�nnyebb� tegye a folyamatot. A fenti p�lda azt mondja: "a v�d�r gyerek val�ban", mind�ssze meg kell eml�kezni, hogy melyik bet�ket Ha bet�lt�tte a bet�ket sz�mokkal vagy k�l�nleges karakterekkel Ha tov�bbra is ugyanazt a jelsz�t k�v�nja haszn�lni t�bb webhelyen, haszn�lja a leger�sebbet, p�ld�ul a fenti p�ld�ban, a gyakran haszn�lt webhelyeket, p�ld�ul az e-maileket. olyan jelszavakat, mint az "eserny� fi� 15 hamis" m�s webhelyekhez, amelyeket gyakran nem haszn�l, vagy �gy �rzi, hogy nem olyan biztons�gos.

Mindig haszn�lja a k�tl�pcs�s azonos�t�st minden olyan webhelyen, amely t�mogatja. Ne feledje, hogy a vezet�kes �r� besz�mol�ja arr�l, hogyan csap�dott le, mert nem haszn�lta a k�tl�pcs�s azonos�t�st? Ne tegyen ugyanazt a hib�t. A Google t�mogatja, ahogyan a Yahoo �s a Facebook is. A k�tl�pcs�s azonos�t�s azt jelenti, hogy amikor felismeretlen sz�m�t�g�pre vagy IP-c�mre jelentkezik be a fi�kba, akkor a rendszer felk�ri a telefonra k�ld�tt k�d be�r�s�t. Ami szint�n nagyszer� ez, az is, hogy riaszt�si rendszerk�nt is m�k�dik a fi�kjai sz�m�ra. Ha valaki megpr�b�l hozz�f�rni az �n e-mailj�hez, �s hirtelen egy be�rt k�ddal ell�tott sz�veget kapsz, akkor tudod, hogy elj�tt az ideje, hogy leh�zzon a ny�l�sokr�l.

V�g�l, ha egy�ltal�n aggodalomra ad okot online biztons�ga, akkor ellen�rizd, hogy m�dos�tani kell-e a jelszavamat. Ez az oldal lehet�v� teszi, hogy be�rja az e-mail c�m�t, �s n�zze meg, hogy megjelenik-e azokon a list�kon, amelyekre a hackerek �ssze�rt�k a webhely megreped�se ut�n. Egy �j funkci�t adtak hozz�, ahol t�rolhatja az e-mail c�m�t, �s �tker�lnek a j�v�beli t�mad�sokra.

Mindez �gy t�nhet, mintha elm�lik a m�ly v�ge, �s t�ls�gosan paranoid neked, de az interneten val� paranoi�s n�ha biztons�gban lehet. Sz�mos egy�b int�zked�st kell megtennie, hogy megv�dje mag�t, p�ld�ul: a merevlemez titkos�t�sa, az eldobhat� e-mail c�mek �s nevek l�trehoz�sa olyan webhelyek sz�m�ra, amelyekben nem b�zik vagy �gy �rzi, hogy hi�nyzik a biztons�g �s a jelszavak cser�je n�h�ny h�napon kereszt�l. Ezt az �tmutat�t �gy kell tekinteni, mint egy ugr�pontot, hogy biztons�gosabb� tegye, �s ha mind�ssze egy er�s jelsz�t hoz l�tre �s regisztr�lja az e-mailt a Jelsz� m�dos�t�sa adatb�zisban, akkor ez legal�bb egy j� els� l�p�s a v�delemhez a szem�lyazonoss�g-lop�sr�l az interneten.

Szak�rt�i aj�nl�sok

Ryan Disraeli, A Fraud Services VP a TeleSignn�l:

"Az �tlagember sokkol�an nagyon hackelhetõ, de a val�s�g az, hogy a hackerek a legegyszerûbb c�lt t�madj�k. Ez nem k�l�nb�zik az offline m�dszert�l. A tolvaj ellopna-e otthon 24/7 biztons�gi �r�kkel, vagy olyan otthon, amely mindig nyitva hagyja az ajt�t? A val�s�g az, hogy egy j� tolvaj m�g mindig elrabolhatja az otthont, kiv�l� biztons�ggal, de ink�bb egy k�nnyebb �ldozatot k�vet.Ahogy �vint�zked�seket tesznek a szem�lyes tulajdon v�delme �rdek�ben, az egy�neknek arra kell t�rekedni�k, hogy n�h�ny r�teg megel�z�st biztos�tsanak az online identit�suk biztos�t�sa �rdek�ben."

Dodi Glenn, A GFI Software VIPRE Antivirus term�kmenedzsere:

"Kezelje az okos telefonj�t, mint egy sz�m�t�g�p. Ha valamilyen p�nz�gyi tranzakci�t hajt v�gre a telefonj�n, akkor ugyanazok a biztons�gi "bev�lt gyakorlatok" is �rv�nyesek, mint a sz�m�t�g�pen."

Shuman Ghosemajumder, A strat�gia aleln�ke a Forma Biztons�gban:

"�gyeljen arra, hogy hogyan f�r hozz� a weboldalakhoz. R�sze annak, hogy megbizonyosodjon arr�l, hogy megb�zik a webhelyen, hogy ellen�rizze, hogy a webhely m�g�tt �ll� szervezet j� h�rn�vnek �rvend. A m�sik r�sz annak biztos�t�sa, hogy megb�zik a kapcsolata az adott webhelyen. Biztos�tania kell, hogy az URL helyes legyen, k�zvetlen�l navig�ljon, �s nem kattintott a nem k�v�nt e-mailr�l, IM-b�l vagy felbukkan�b�l sz�rmaz� linkre. Ha csak tudja, csak saj�t eszk�zeit �s kapcsolatait haszn�lja. Ker�lje el a nyilv�nos WiFi-kapcsolatokat �s a megosztott nyilv�nos sz�m�t�g�peket, ha tud, mivel k�nny� a t�mad�k sz�m�ra, hogy szippantj�k a h�l�zati forgalmat, vagy telep�tsenek keyloggereket a jelszavak r�gz�t�s�re. Ha nyilv�nos WiFi kapcsolatot kell haszn�lnia, gy�z�dj�n meg r�la, hogy nem k�ld bejelentkez�si vagy szem�lyes adatokat olyan webhelyre, amely nem haszn�l HTTPS-kapcsolatot."