Δείτε και αναγνωρίστε τις μεθόδους που χρησιμοποιούνται για την υποκλοπή των κωδικών πρόσβασης και πως να προστατευτείτε.
Ο κωδικός πρόσβασής παραμένει η πρώτη και ισχυρότερη λύση προστασίας και διασφάλισης των δεδομένων σας. Σχεδόν παντού χρησιμοποιούμε κωδικούς πρόσβασης, από την χρεωστική κάρτα μέχρι τον λογαριασμό μας στο Gmail.
Όμως υπάρχουν μέθοδοι όπου οι hackers μπορούν να υποκλέψουν τους κωδικούς σας και να παραβιάσουν τους λογαριασμούς σας.
Συνολικά υπάρχουν εννέα μέθοδοι παραβίασης των κωδικών πρόσβασης που έχουν να κάνουν με τον τρόπο επίθεσης. Θα ακούσετε για μεθόδους όπως brute force, phishing, κοινωνική μηχανική, και άλλους περίεργους όρους.
Ας προσπαθήσουμε να τους εξηγήσουμε και να σας δώσουμε οδηγίες για το πως να αμυνθείτε σε αυτές.
Λίστες συχνών κωδικών.
Με την ανάπτυξη του διαδικτύου, την χρησιμοποίηση κωδικών πρόσβασης από δισεκατομμύρια ανθρώπους αλλά και από τεράστιες λίστες με κλεμμένους κωδικούς, οι απατεώνες συνειδητοποίησαν ότι οι χρήστες αρέσκονται να χρησιμοποιούν ευκολομνημόνευτους κωδικούς. Τρανό παράδειγμα το 123456.
Έτσι έφτιαξαν διάφορες λίστες με τους πιο συχνά χρησιμοποιημένους κωδικούς και με αυτές τις λίστες προσπαθούν να αποκτήσουν πρόσβαση στους λογαριασμούς σας δοκιμάζοντας τους ένα προς ένα. Και οι λίστες αυτές είναι πραγματικά τεράστιες. Περιέχουν χιλιάδες κωδικούς.
Φυσικά δεν το κάνουν με το χέρι, αλλά αυτοματοποιημένα με ένα υπολογιστή που “χτυπάει” τυχαίους λογαριασμούς και προσπαθεί να μπει χρησιμοποιώντας κάθε λέξη από μία καθορισμένη λίστα.
Στις λίστες αυτές θα βρείτε κωδικούς που σίγουρα κάποια στιγμή έχετε χρησιμοποιήσει και εσείς, όπως 123456, qwerty, password, iloveyou, qwertyuiop, 123123, 111111 abc123, admin, 1q2w3e4r, 654321, qweasd και άλλα ευφάνταστα.
Φυσικά αν θέλετε να μην πέσετε θύμα μην χρησιμοποιείτε κωδικούς ευκολομνημόνευτους. Ότι είναι ευκολομνημόνευτο για εσάς είναι και εύκολα μαντέψιμο στον hacker.
Χρησιμοποιήστε έναν τεράστιο κωδικό πρόσβασης με γράμματα, αριθμούς και σύμβολα, θέτοντας ένα διαφορετικό κωδικό για κάθε λογαριασμό, και σε συνδυασμό με μια εφαρμογή διαχείρισης κωδικού πρόσβασης. Ο διαχειριστής κωδικών πρόσβασης σάς επιτρέπει να αποθηκεύετε τους άλλους κωδικούς πρόσβασης σε ένα χώρο αποθήκευσης.
Brute Force
H επίθεση brute force (επίθεση ωμής βίας) είναι η διαδικασία κατά την οποία ένας εισβολέας δοκιμάζει κάθε πιθανό συνδυασμό χαρακτήρων, σε μια προσπάθεια να μαντέψει τον κωδικό πρόσβασής σας.
Οι κωδικοί πρόσβασης που θα επιχειρήσουν να μαντέψουν θα ταιριάζουν με τους κανόνες πολυπλοκότητας, και θα έχουν για παράδειγμα ένα κεφαλαίο γράμμα, ένα πεζό, νούμερα, σύμβολα.
Μια επίθεση ωμής βίας θα δοκιμάσει επίσης πρώτα τους πιο συχνά χρησιμοποιούμενους συνδυασμούς αλφαριθμητικών χαρακτήρων. Αυτοί περιλαμβάνουν τους κωδικούς πρόσβασης που αναφέρονται προηγουμένως, καθώς και κάθε πιθανό συνδυασμό τους.
Για παράδειγμα αν σας λένε Δημήτρη, θα ξεκινήσουν και θα δοκιμάζουν τα εξής dimitris, 1dimitris, d1imitris, di1mitris, dim1tris και ούτω καθ'εξής.
Μπορεί να χρειαστεί πολύς χρόνος για να βρουν τον κωδικό σας χρησιμοποιώντας αυτήν τη μέθοδο, και αυτό εξαρτάται αποκλειστικά από την πολυπλοκότητα του κωδικού πρόσβασης.
Αν θέλετε να είστε ασφαλής από την μέθοδο brute force στους κωδικούς βάλτε σε τυχαίες θέσεις και μερικά σύμβολα, όπως $, &, {, ], * κλπ. και επεκτείνετε τον κωδικό πρόσβασής σας στους 16 χαρακτήρες (τουλάχιστον!).
Με τον τρόπο αυτό πολλαπλασιάζετε τους συνδυασμούς και η εξεύρεση του κωδικού πρόσβασης γίνεται εξαιρετικά δύσκολη.
Mask Attack
Τι συμβαίνει εάν το άτομο που προσπαθεί να σας κλέψει τον κωδικό πρόσβασής σας γνωρίζει ήδη μερικά στοιχεία από αυτό; Μπορεί να γνωρίζει κάποια γράμματα και αυτό θα τον διευκολύνει στο σπάσιμο του υπόλοιπου κωδικού πρόσβασης
Αυτό ακριβώς είναι το Mask Attack. Καθώς εξακολουθεί να περιλαμβάνει τη δοκιμή πολλών συνδυασμών κωδικών πρόσβασης, ένα Mask Attack είναι παρόμοια με μια επίθεση brute-force.
Ωστόσο, σε ένα Mask Attack, αν ο κλέφτης γνωρίζει ήδη μερικούς πολύτιμους χαρακτήρες από τον κωδικό πρόσβασής σας, και αυτό θα του κάνει τη διαδικασία εύρεσης των υπολοίπων ευκολότερη.
Για να προστατευτείτε χρησιμοποιείτε πάντα έναν μακρύ, μοναδικό κωδικό πρόσβασης με μεγάλη ποικιλία χαρακτήρων και φροντίστε να το κρατάτε κρυφό από αδιάκριτα μάτια. Κατά καιρούς να τον αλλάζετε με ένα καινούργιο.
Phiishing
Το Phishing ή αλλιώς ψάρεμα δεν είναι ακριβώς hacking, αλλά αν πέσετε θύματα μιας απόπειρας phishing συνήθως θα έχει άσχημο τέλος.
Η σύνηθες τακτική είναι τα μηνύματα ηλεκτρονικού ψαρέματος που αποστέλλονται κατά δισεκατομμύρια σε όλους τους χρήστες του διαδικτύου σε όλο τον κόσμο, με σκοπό κάποιοι να “τσιμπήσουν” και να παραδώσουν στον επιτιθέμενο τον κωδικό πρόσβασης τους.
Ένα ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος θα μοιάζει σαν να προέρχεται από έναν σημαντικό οργανισμό ή επιχείρηση και θα σας προτρέπει να κάνετε μία κίνηση που θα προδώσει τον κωδικό σας.
Τα διαπιστευτήρια του χρήστη κλέβονται και είτε πωλούνται, είτε χρησιμοποιούνται με κακόβουλο τρόπο, είτε και τα δύο. Φανταστείτε ότι ο ημερήσιος όγκος ανεπιθύμητων μηνυμάτων που αποστέλλονται παγκοσμίως παραμένει υψηλός, αντιπροσωπεύοντας πάνω από το ήμισυ όλων των μηνυμάτων ηλεκτρονικού ταχυδρομείου που αποστέλλονται παγκοσμίως.
Αν θέλετε να μην πέσετε θύματα phishing να είστε πάντα δύσπιστοι ως προς τα μηνύματα ηλεκτρονικού ταχυδρομείου, να ρυθμίσετε το φίλτρο ανεπιθύμητης αλληλογραφίας στην υψηλότερη βαθμίδα ή, ακόμα καλύτερα, χρησιμοποιήστε μια προληπτική λίστα επιτρεπόμενων αποστολέων.
Χρησιμοποιήστε έναν έλεγχο συνδέσμου για να βεβαιωθείτε εάν ένας σύνδεσμος email είναι νόμιμος πριν κάνετε κλικ.
Κοινωνική Μηχανική
Η κοινωνική μηχανική (Social Engineering) είναι ουσιαστικά phishing στον πραγματικό κόσμο.
Ένα βασικό μέρος οποιουδήποτε ελέγχου ασφάλειας είναι η εκτίμηση του τι κατανοεί το εργατικό δυναμικό. Για παράδειγμα, μια εταιρεία ασφαλείας θα τηλεφωνήσει στην επιχείρηση που ελέγχει, κάνοντας την δουλειά που θα έκανε ένας κακόβουλος απατεώνας.
Ο «επιτιθέμενος» λέει στο άτομο στο τηλέφωνο ότι είναι η νέα ομάδα τεχνικής υποστήριξης γραφείου και χρειάζεται τον πιο πρόσφατο κωδικό πρόσβασης για κάτι συγκεκριμένο. Ένα ανυποψίαστο άτομο πιθανά να παραδώσει τα κλειδιά χωρίς μια δεύτερη σκέψη.
Το τρομακτικό είναι πόσο συχνά λειτουργεί αυτό. Η κοινωνική μηχανική υπάρχει εδώ και αιώνες. Το να είσαι διττός για να αποκτήσεις είσοδο σε μια ασφαλή περιοχή είναι μια συνηθισμένη μέθοδος επίθεσης και μια μέθοδος που προφυλάσσεται μόνο με εκπαίδευση.
Αυτό συμβαίνει επειδή η επίθεση δεν θα ζητά πάντα απευθείας κωδικό πρόσβασης. Θα μπορούσε να είναι ένας ψεύτικος υδραυλικός ή ηλεκτρολόγος που ζητά την είσοδο σε ένα ασφαλές κτίριο γιατί υπάρχει διαρροή, και ούτω καθεξής. Όταν κάποιος λέει ότι εξαπατήθηκε για να αποκαλύψει τον κωδικό πρόσβασής του, είναι συχνά αποτέλεσμα κοινωνικής μηχανικής.
Οι ειδικευμένοι απατεώνες στην κοινωνική μηχανική μπορούν να εξάγουν πληροφορίες υψηλής αξίας από μια σειρά στόχων. Μπορεί να αναπτυχθεί εναντίον σχεδόν οποιουδήποτε, οπουδήποτε.
Μια επιτυχημένη επίθεση κοινωνικής μηχανικής θα ολοκληρωθεί πριν συνειδητοποιήσετε ότι κάτι δεν πάει καλά. Η ευαισθητοποίηση για την εκπαίδευση και την ασφάλεια είναι μια βασική τακτική αποφυγής. Αποφύγετε τη δημοσίευση προσωπικών στοιχείων που θα μπορούσαν αργότερα να χρησιμοποιηθούν εναντίον σας.
Rainbow Table
Ένας πίνακας rainbow (πίνακας ουράνιου τόξου) είναι συνήθως μια επίθεση με κωδικό πρόσβασης εκτός σύνδεσης. Για παράδειγμα, ένας εισβολέας έχει αποκτήσει μια λίστα με ονόματα χρηστών και κωδικούς πρόσβασης, αλλά είναι κρυπτογραφημένα. Ο κρυπτογραφημένος κωδικός πρόσβασης έχει κατακερματιστεί. Αυτό σημαίνει ότι φαίνονται εντελώς διαφορετικά από τους αρχικούς κωδικούς πρόσβασης.
Για παράδειγμα, ο κωδικός πρόσβασής σας είναι (ελπίζουμε όχι!) 123456. Ο κατακερματισμός με MD5 για αυτόν τον κωδικό πρόσβασης είναι “e10adc3949ba59abbe56e057f20f883e”.
Αλλά σε ορισμένες περιπτώσεις, ο εισβολέας θα κρυπτογραφήσει πρώτα στις υποδομές του μια τεράστια λίστα με κωδικούς πρόσβασης απλού κειμένου μέσω ενός αλγόριθμου κατακερματισμού, και θα συγκρίνει τα αποτελέσματα με τον ήδη κρυπτογραφημένο κωδικό σας πρόσβασης.
Έτσι το Rainbow table είναι ένα τεράστιο σύνολο προυπολογισμένων τιμών κατακερματισμού για συγκεκριμένους αλγόριθμους και και συγκεκριμένους κωδικούς πρόσβασης. Η χρήση ενός πίνακα ουράνιου τόξου μειώνει δραστικά τον χρόνο που χρειάζεται για να σπάσει ένας κατακερματισμένος κωδικός πρόσβασης, αλλά δεν είναι τέλειος.
Επιπλέον οι χάκερ μπορούν να αγοράσουν προσυμπληρωμένους πίνακες ουράνιου τόξου με εκατομμύρια πιθανούς συνδυασμούς.
Αν θέλετε να μείνετε ασφαλείς αποφύγετε τυχόν ιστότοπους που χρησιμοποιούν SHA1 ή MD5 ως αλγόριθμο κατακερματισμού κωδικού πρόσβασης. Αποφύγετε τυχόν ιστότοπους που σας περιορίζουν σε σύντομους κωδικούς πρόσβασης ή περιορίζουν τους χαρακτήρες που μπορείτε να χρησιμοποιήσετε. Να χρησιμοποιείτε πάντα ένα σύνθετο κωδικό πρόσβασης.
Κακόβουλο λογισμικό / Keylogger
Ένας άλλος σίγουρος τρόπος για να χάσετε τα διαπιστευτήρια σύνδεσής σας είναι να πέσετε σε κακόβουλο λογισμικό. Το κακόβουλο λογισμικό είναι παντού, με τη δυνατότητα να προκαλέσει τεράστια ζημιά. Εάν το κακόβουλο λογισμικό που θα εισέλθει στον υπολογιστή σας διαθέτει keylogger, γρήγορα θα διαπιστώσετε ότι όλοι οι λογαριασμοί σας έχουν παραβιαστεί.
Εναλλακτικά, το κακόβουλο λογισμικό θα μπορούσε να στοχεύσει συγκεκριμένα προσωπικά δεδομένα ή να εισαγάγει ένα Trojan απομακρυσμένης πρόσβασης για να κλέψει τα διαπιστευτήριά σας.
Μια άλλη επιλογή των απατεώνων είναι η ανάλυση του δικτύου για να κλέψουν τυχόν κωδικούς πρόσβασης που αποστέλλονται ως απλό κείμενο αντί για κρυπτογραφημένο κείμενο (σε μια επίθεση man-in-the-middle).
Η χρήση κακόβουλου λογισμικού επεκτείνεται στην κλοπή του κωδικού πρόσβασής σας και από το smartphone σας. Εάν κάνετε λήψη κακόβουλου λογισμικού ή keylogger στο smartphone ή το tablet σας, είναι το ίδιο πρόβλημα με τον επιτραπέζιο ή φορητό υπολογιστή σας.
Το smartphone σας είναι πιθανό να φιλοξενεί αμέτρητες εφαρμογές και συνήθως χρειάζεστε έναν κωδικό πρόσβασης για κάθε μία και το κακόβουλο λογισμικό smartphone θα κλέψει ευχαρίστως τα τραπεζικά σας μέσα, τα μέσα κοινωνικής δικτύωσης και άλλα διαπιστευτήρια.
Η λύση φυσικά είναι να μην κολλήσετε κάποιο ιό. Εγκαταστήστε και ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς και κακόβουλο λογισμικό. Εξετάστε προσεκτικά τις πηγές λήψης. Μην κάνετε κλικ στα πακέτα εγκατάστασης που περιέχουν bundleware και άλλα. Απομακρυνθείτε από επικίνδυνους ή κακόβουλους ιστότοπους. Χρησιμοποιήστε εργαλεία αποκλεισμού σεναρίων (scripts) για να σταματήσετε κακόβουλα σενάρια.
Spidering
Όταν ένας χάκερ στοχεύει ένα συγκεκριμένο ίδρυμα ή επιχείρηση, μπορεί να δοκιμάσει μια σειρά κωδικών πρόσβασης που σχετίζονται με την ίδια την επιχείρηση. Ο χάκερ θα διαβάσει και θα συγκεντρώσει μια σειρά σχετικών λέξεων και όρων που σχετίζονται με την εταιρεία ή να χρησιμοποιήσει μια αράχνη αναζήτησης (spidering) για να κάνει τη δουλειά για αυτόν.
Την διαδικασία αυτή μπορεί να την έχετε ακούσει και σαν “Web Crawler” ή στα Ελληνικά “Ανιχνευτής Ιστού“. πρόκειται για μία τεχνική παρόμοια με τα bots που υπάρχουν στο διαδίκτυο ευρετηριάζοντας περιεχόμενο για τις μηχανές αναζήτησης. Στη συνέχεια, η προσαρμοσμένη λίστα λέξεων χρησιμοποιείται σε λογαριασμούς χρηστών με την ελπίδα να βρεθεί μια αντιστοιχία.
Ο συνδυασμός αυτός και η απροσεξία ενός χρήστη μπορεί ενδεχομένως να ξεκλειδώσει λογαριασμούς σε έναν οργανισμό. Αν θέλετε να μείνετε ασφαλείς χρησιμοποιήστε μόνο ισχυρούς κωδικούς πρόσβασης μιας χρήσης που αποτελούνται από τυχαίες συμβολοσειρές. Τίποτα που να συνδέεται με την προσωπικότητα, την επιχείρηση, τον οργανισμό σας και ούτω καθεξής.
Υποκλοπή
Οι Αμερικάνοι το λένε Shoulder Surfing. Πρόκειται για το κρυφό κοίταγμα του κωδικού σας από κάποιον διπλανό σας πάνω από το ώμο σας, ενώ πληκτρολογείτε τον κωδικό πρόσβασής σας.
Μοιάζει παλιομοδίτικο αλλά συμβαίνει. Αν εργάζεστε σε ένα πολυσύχναστο καφέ στο κέντρο της πόλης και δεν δίνετε προσοχή στο περιβάλλον σας, κάποιος θα μπορούσε να πλησιάσει αρκετά για να σημειώσει τον κωδικό πρόσβασής σας καθώς πληκτρολογείτε.
Παλιότερα, στα Internet cafe ήταν πιο διαδεδομένο. Σήμερα θα μπορούσαν κάλλιστα να δουν και να βιντεοσκοπήσουν ότι πληκτρολογείτε στο κινητό σας τηλέφωνο από το διπλανό τραπέζι της καφετέριας ή του fast food.
Όταν λοιπόν είστε σε δημόσιο χώρο παραμείνετε προσεκτικοί με τους γύρω σας όταν πληκτρολογείτε τον κωδικό πρόσβασής σας. Καλύψτε τα πλήκτρα σας κατά την εισαγωγή. Αν το κάνετε στα ATM γιατί να μην το κάνετε και στις καφετέριες;
Γενικές οδηγίες και αντίμετρα
Για να εμποδίσετε έναν χάκερ να κλέψει τον κωδικό πρόσβασής σας θα πρέπει να έχετε υπόψη σας τα εξής:
Μοναδικός κωδικός πρόσβασης: Η χρήση ενός ισχυρού, μοναδικού κωδικού πρόσβασης μίας χρήσης είναι σημαντική. Εάν οι κωδικοί πρόσβασής σας παραβιαστούν, ο μοναδικός κωδικός πρόσβασης θα παρέχει πρόσβαση μόνο σε μία υπηρεσία.
Πολυπλοκότητα: Φροντίστε οι κωδικοί σας θα είναι πολύπλοκοι, έχοντας μέσα τους κάθε είδους χαρακτήρα. Δηλαδή μικρά και κεφαλαία γράμματα, αριθμούς και σύμβολα. Και να είναι τουλάχιστον 16 χαρακτήρες σε μήκος ή μεγαλύτεροι
Antivirus/antimalware: Βεβαιωθείτε ότι χρησιμοποιείτε ένα αξιοπρεπές εργαλείο ασφαλείας το οποίο το έχετε συνεχώς ανανεωμένο.
Ενημέρωση λογισμικού: Η ενημέρωση του λογισμικού σας και του λειτουργικού σας είναι απαραίτητο εφόδιο. Τα απαρχαιωμένα λογισμικά αφήνουν γνωστές κερκόπορτες και τρωτά σημεία ασφαλείας που μπορεί να οδηγήσουν σε δυσάρεστες καταστάσεις.
Συνημμένα: Μην ανοίγετε συνημμένα εάν δεν γνωρίζετε τον αποστολέα. Χρησιμοποιήστε ένα εργαλείο προστασίας από ιούς για να σαρώσετε τυχόν συνημμένα πριν τα ανοίξετε και εάν δεν μπορείτε να επαληθεύσετε ή δεν είστε σίγουροι, μην τα ανοίξετε.
Διαχείριση κωδικών πρόσβασης: Εξετάστε το ενδεχόμενο να εγκαταστήσετε έναν διαχειριστή κωδικών πρόσβασης για να παρακολουθείτε τους κωδικούς πρόσβασής σας. Μπορούν να βοηθήσουν στην προστασία των λογαριασμών σας στο διαδίκτυο.
Προσοχή στο περιβάλλον: Αν θέλετε να κάνετε μία τραπεζική συναλλαγή και είστε σε εξωτερικό χώρο φροντίστε να κάνετε ότι και σε ένα ΑΤΜ. Να προσέχετε να μην δουν τον κωδικό σας αδιάκριτα μάτια.
