- Сравнение
- Учебники
- За взломом: как взломали технических журналистов (под именем расследования)
Исследовательская группа CyberNews.com недавно провела хакерский эксперимент с тремя журналистами-добровольцами из Великобритании, чтобы показать, насколько легко преступникам использовать личные данные. Вот как они это сделали и как предотвратить подобное с вами. Хотя большинство людей знают, что киберпреступность растет, многие из нас по-прежнему остаются уязвимыми для атак. Недавний анализ показывает, что утечка данных обходится организациям в среднем почти в 4 миллиона евро, при этом более 17,000 XNUMX евро теряются каждую минуту во всем мире только из-за фишинговых атак. Частично проблема заключается в том, что многие люди считают, что они уже защищают свои личные данные и что вред приносят только атаки, использующие сложные методы высокого уровня. Об авторе Эдвардас Микалаускас — писатель и старший научный сотрудник CyberNews.com. Это неправильно: на самом деле мы все уязвимы для основных форм атак и могли бы сделать больше для защиты наших данных. Чтобы доказать это, мы недавно потратили шесть недель, пытаясь взломать трех репортеров Daily Mail – с их разрешения, конечно. Они были опытными журналистами, но мы смогли продемонстрировать, что использовать их общедоступные данные было относительно легко. Наиболее полезным источником данных для преступников является личная информация, которую можно использовать для кражи вашей личности в Интернете или расшифровки учетных данных для входа. Люди часто предоставляют эти данные бесплатно через учетные записи в социальных сетях, общедоступные профили и даже прошлые страницы по сбору средств. Почти все мы виновны в чрезмерном разглашении информации. В дополнение к этому хакеры также могут воспользоваться предыдущими утечками данных онлайн-сервисов, чтобы найти нужные им данные. По нашему опыту, мы быстро находим номера телефонов, данные учетной записи электронной почты, домашние адреса, даты рождения, полные имена членов семьи, имена домашних животных и старые пароли. . Некоторые данные, например номера мобильных телефонов, можно собрать путем сброса паролей для разных учетных записей. Например, сброс Facebook дал нам последние две цифры прикрепленного номера телефона, PayPal предоставил всего шесть цифр и так далее. Этих данных было более чем достаточно, чтобы начать атаку на журналистов. Используя совместные усилия фишинговых атак, грубого сброса паролей, кампаний вишинга и замены SIM-карт, наша следственная группа попыталась взломать онлайн-безопасность трех журналистов с помощью методов «белой шляпы».
Как эти методы выглядят на практике?
Фишинг — это метод, который использует наше доверие к таким организациям, как HMRC или банк. Злоумышленники пытаются обманным путем получить личную информацию, выдавая себя за эти доверенные источники, используя онлайн-коммуникации, такие как электронная почта и сообщения. Этот метод часто направляет пользователей на мошеннические веб-сайты, требуя ввести данные для входа и другую личную информацию, которую затем крадут хакеры. Сброс пароля методом грубой силы предполагает угадывание пароля путем перебора возможных комбинаций символов. Хотя это довольно медленный метод, поскольку злоумышленнику необходимо знать параметры пароля (например, символы верхнего и нижнего регистра, специальные символы, длину пароля) для уточнения поиска, c ' по-прежнему является жизнеспособным способом взлома учетных записей. Одним из особенно тревожных методов является вишинг, то есть голосовой фишинг, при котором хакер выдает себя за доверенного источника во время прямого телефонного разговора с целью. Мошенники, скорее всего, будут использовать подмену идентификатора вызывающего абонента или автоматизированную систему, чтобы номер выглядел надежным, что затрудняет его отслеживание. Целью сообщения является получение личной информации с целью кражи личности или денег. Подмена SIM-карты — это тип мошенничества и захвата учетных записей, целью которого является уязвимость двухфакторной аутентификации (2FA). В этом типе мошенничества злоумышленники эксплуатируют поставщиков услуг мобильной связи и используют ранее полученные персональные данные, чтобы выдать себя за жертву. Как только будут приняты меры безопасности, хакеры потребуют отправить им дополнительную SIM-карту, которая поможет им обойти аутентификацию учетных записей в социальных сетях, банковских операциях и электронной почте.
Как мы взламываем журналистов?
Используя полученный для цели номер мобильного телефона, наша вишинг-кампания привела к прямому телефонному разговору между одним из журналистов и одним из наших исследователей, представившимся представителем PayPal: попытка получить доступ к их учетной записи. В последний момент у журналиста возникли подозрения, и эта лазейка была наконец раскрыта непосредственно перед тем, как были раскрыты данные его личного счета. В ходе замены SIM-карты наша команда притворилась двумя репортерами и обратилась к своему оператору мобильной связи, чтобы заказать дополнительную SIM-карту и запросить доставку на наш адрес. Для защиты этого метода нам потребовалось более 20 попыток, поскольку у нас не было всех личных данных, необходимых для проверки безопасности. Наконец мы нашли сотрудника службы поддержки, который нам поверил и согласился выслать сим-карту. Получив и используя эту SIM-карту, наша команда смогла обойти аутентификацию телефона, восстановить соединения с несколькими учетными записями и быстро получить к ним доступ. На данный момент наш статус этических хакеров не позволяет нам использовать другие методы, предпочитаемые преступниками. Мы не сомневаемся, что обычные преступные методы, такие как проверка анкетных данных и шантаж, быстро позволили бы получить еще больше информации и позволили бы относительно легко обмануть таких людей. Так как же можно снизить риск атаки, в результате которой будут использованы ваши собственные данные?
Как лучше защитить себя
Самым важным действием является включение двухфакторной аутентификации (2FA) для всех ваших учетных записей, что требует двух отдельных этапов утверждения при доступе к вашим учетным записям. Это можно сделать для ваших социальных учетных записей в Instagram, Facebook и Twitter, платформ обмена сообщениями, таких как WhatsApp, а также для ваших личных банковских учетных записей, учетных записей управления файлами и игровых учетных записей. Любая учетная запись, в которой хранятся личные данные, должна иметь 2FA. Если вы не можете запомнить длинные, индивидуальные и уникальные пароли для каждой из ваших учетных записей, использование надежного менеджера паролей является обязательным для обеспечения безопасности. Менеджеры паролей помогают пользователям создавать уникальные пароли и надежно хранить их для максимальной эффективности и конфиденциальности. Наконец, простой, но эффективный шаг для защиты вашей информации: держите свои профили в социальных сетях конфиденциальными. Как мы отметили во время этого опыта взлома, чем больше личных данных находится в свободном доступе, тем легче хакерам будет их использовать. Свободно публикуя личную информацию, какой бы невинной она ни казалась на тот момент, вы увеличиваете количество кусочков головоломки о вашей жизни, которую могут собрать хакеры.