Hacks kỹ thuật xã hội và tài khoản liên kết: Làm thế nào để bảo vệ chống trộm cắp danh tính

Trong thời đại ngày nay, Internet có liên kết chặt chẽ với hầu hết các khía cạnh của cuộc sống và bản sắc của chúng ta. Hầu như mọi người đều có hồ sơ Facebook, cũng như tài khoản Twitter, trang LinkedIn, tài khoản kiểm tra trực tuyến, tài khoản với nhà bán lẻ trực tuyến và có thể có nhiều hồ sơ cũ trên các trang web khác chỉ thu thập bụi ảo. Hầu hết chúng ta đã tin tưởng Internet với thông tin của chúng tôi. Chúng tôi cảm thấy tự tin rằng các công ty toàn cầu, tinh vi như PayPal, Facebook, Amazon và tất cả các tên tuổi lớn khác sẽ không để thông tin của chúng tôi mở ra để hack. Nhưng trí tuệ tập thể của tin tặc trên toàn thế giới đang được đặt ra để tìm ra những cách thức mới và sáng tạo để vi phạm các hệ thống của các công ty đó.

Điều đó đã được nói trước đây, nhưng tôi sẽ nói lại: bảo mật chỉ mạnh như mối liên kết yếu nhất của bạn. Chuỗi dây dẫn đến thông tin cá nhân của bạn yếu thế nào? Có nhiều lỗ hổng để giải thích sự hiện diện trực tuyến của bạn: một số điều bạn có thể biết và những thứ khác mà bạn chưa bao giờ nghĩ tới. Bảo vệ và phòng ngừa là chìa khóa trong quy trình bảo mật trực tuyến của bạn - việc ngăn chặn hack dễ dàng hơn nhiều so với việc sửa chữa thiệt hại sau khi xảy ra sự cố.

Kỹ thuật xã hội là gì?

Trong bối cảnh này, kỹ thuật xã hội là một phương pháp được sử dụng để thao túng mọi người tiết lộ thông tin cá nhân. Một bài báo gần đây từ Wired của Mat Honan đã mô tả chi tiết cách anh ta là nạn nhân của một hack kỹ thuật xã hội làm cho cuộc sống số của anh ta sụp đổ. Các lỗ hổng trong Amazon và giao thức bảo mật của Apple cho phép một hacker truy cập vào một loạt tài khoản của nhà văn. Tin tặc đã có thể đột nhập vào tài khoản Amazon của anh, cung cấp địa chỉ thanh toán cũng như bốn số cuối của số thẻ tín dụng. Thông tin này là tất cả những gì cần thiết để thuyết phục Apple rằng hacker là Honan, và do đó cho phép anh ta thiết lập lại mật khẩu Apple ID. Từ đó, hacker đã có được quyền truy cập vào tài khoản email Apple của mình, sau đó dẫn đến tài khoản Gmail của anh, đó là trung tâm của nhiều thông tin trực tuyến hơn nữa. Đây là kỹ thuật xã hội tại nơi làm việc. Làm thế nào các tin tặc biết rằng ông Honan có một tài khoản Amazon không hoàn toàn rõ ràng, nhưng chuỗi các sự kiện đã khiến họ dễ bị tổn thương là đáng chú ý:

“Sau khi truy cập vào tài khoản [Twitter] của tôi, các tin tặc đã thực hiện một số nghiên cứu cơ bản. Tài khoản Twitter của tôi được liên kết với trang web cá nhân của tôi, nơi họ tìm thấy địa chỉ Gmail của tôi. Đoán rằng đây cũng là địa chỉ email tôi đã sử dụng cho Twitter, Phobia [hacker] đã truy cập trang khôi phục tài khoản của Google. Anh thậm chí không phải thực sự cố gắng hồi phục. Đây chỉ là một nhiệm vụ hòa giải. Bởi vì tôi không có xác thực hai yếu tố của Google được bật, khi Phobia nhập địa chỉ Gmail của tôi, anh ấy có thể xem e-mail thay thế mà tôi đã thiết lập để khôi phục tài khoản. Google che khuất một phần thông tin đó, gắn dấu sao nhiều ký tự, nhưng có đủ ký tự có sẵn, m••••[email protected]. Jackpot. ”

Suy nghĩ kỹ về tài khoản được liên kết

Chuỗi cuộc sống số của bạn bắt đầu và kết thúc ở đâu đó, và nếu dễ tìm thấy lỗ hổng bảo mật, nó sẽ bị khai thác. Amazon đã tuyên bố rằng nó đã thay đổi các quy trình bảo mật để loại khai thác này không thể thực hiện được nữa (tuy nhiên, sau khi đọc câu chuyện Wired, tôi đã xóa tất cả thông tin của mình khỏi Amazon và nhập nó theo cách thủ công mỗi lần từ bây giờ trở đi. Không có thứ gì quá cẩn thận). Apple, mặt khác, đã không nói rằng nó đã thay đổi bất kỳ chính sách bảo mật nào - Apple chỉ nói rằng các biện pháp an ninh của nó không được tuân thủ hoàn toàn. Có rất nhiều công ty khác dễ bị chiến thuật kỹ thuật xã hội và tài khoản được liên kết của bạn cho họ biết bắt đầu từ đâu. Đôi khi khai thác dễ dàng nhất có thể là tài khoản Facebook của bạn.

Đường mòn kỹ thuật số dẫn trở lại cuộc sống phi kỹ thuật số của bạn

Giả sử rằng hồ sơ Facebook của bạn là công khai hoặc bạn chấp nhận yêu cầu kết bạn từ những người bạn thực sự không biết, hồ sơ của bạn có bao gồm sinh nhật đầy đủ của bạn không? Địa chỉ email cá nhân, địa chỉ nhà riêng và số điện thoại của bạn? Bạn có hình ảnh của một vật nuôi gia đình cũ, nơi bạn đặt tên cho họ, hoặc là bạn bè với mẹ của bạn, những người vẫn còn sử dụng tên thời con gái của mình? Có hình ảnh của bạn từ lớp một hiển thị tên của trường, bạn với bạn gái đầu tiên của bạn, hoặc BFF của bạn?

Có, và tại sao tôi hỏi tất cả những câu hỏi cá nhân này? Vâng, ngày sinh và địa chỉ của bạn có thể cung cấp cho tôi đủ thông tin để bắt đầu mạo danh bạn tại các công ty khác hoặc trực tuyến. Trong một số trường hợp, tôi có thể cần bốn chữ số cuối của số an sinh xã hội của bạn, nhưng đó không phải là điểm dừng bạn nghĩ. Vì vậy, tại sao vật nuôi gia đình đầu tiên của bạn, tên thời con gái của mẹ bạn, trường tiểu học đầu tiên của bạn, bạn gái đầu tiên hoặc tên của vấn đề bạn thân nhất của bạn? Họ là tất cả câu trả lời cho câu hỏi bảo mật cho quy trình khôi phục tài khoản. Nếu bạn không biết - tôi đã bẻ email của bạn, nhưng mục tiêu thực sự của tôi là tài khoản ngân hàng của bạn, bây giờ tôi có câu trả lời cho câu hỏi bảo mật của bạn và tôi có thể thay đổi mật khẩu trên tài khoản ngân hàng của bạn để có quyền truy cập.Để có biện pháp tốt, tôi có thể cũng sẽ thay đổi mật khẩu trên email của bạn hoặc nếu tôi đã hoàn tất việc khai thác, tôi có thể xóa hoàn toàn tài khoản. Tất nhiên, có rất nhiều yếu tố để làm cho tình huống này trở nên lý tưởng, và có những phương pháp khác có thể được sử dụng để tiếp nhận danh tính của bạn.

Nếu bạn có mật khẩu yếu như “bucketKid”, như một ví dụ hoàn toàn ngẫu nhiên, một cuộc tấn công bạo lực trên tài khoản của bạn sẽ mất khoảng tám ngày để crack mật khẩu của bạn (nhiều hơn về cách tôi biết trong phần Đề xuất). Đơn giản chỉ cần thêm một số để làm cho nó "bucketKid7" thêm sáu năm để thời gian nó sẽ có một hacker để crack nó.

Cũng có thể thông tin của bạn có thể bị phơi nhiễm dưới dạng thiệt hại tài sản thế chấp trong quá trình hack của một công ty khác. Nếu bạn sử dụng cùng một mật khẩu trên nhiều trang web, một trong số đó bao gồm email của bạn, thì đã đến lúc bạn thay đổi tất cả mật khẩu của mình và điều tra mức độ thiệt hại có thể nhỏ giọt đến mức nào. Bây giờ, bạn có những trường hợp xấu nhất trong đầu, hãy chuyển sang cách bạn thực sự có thể tự bảo vệ mình.

Đề xuất trang web của chúng tôi

Không bao giờ sử dụng cùng một mật khẩu hai lần! Tôi biết bạn đã nghe nói rằng hàng triệu lần trước đó và bạn có thể nghĩ rằng không thực tế khi có hàng tá mật khẩu duy nhất trên nhiều trang web. Vâng, có hai điều bạn có thể làm để làm cho nó thực tế:

Đầu tiên là bạn có thể sử dụng một chương trình để giúp bạn tạo và lưu trữ mật khẩu duy nhất cho tất cả các trang web của bạn. 1Password là một chương trình như vậy - khi đăng nhập vào một trong các hồ sơ trực tuyến của bạn, bạn có thể chỉ cần chọn thông tin đăng nhập bạn cần và 1Password sẽ cung cấp mật khẩu và cấp cho bạn quyền truy cập. Tuy nhiên, có thể bạn không muốn tất cả mật khẩu của mình được lưu trữ trong một cơ sở dữ liệu - đó là một mối quan tâm hợp lệ.

Tùy chọn tiếp theo là tạo một loạt các mật khẩu liên quan. Một mật khẩu có thể là "Treez4Eva" tiếp theo "Trees4eVer" và vân vân. Việc nhớ trang web nào sử dụng phiên bản nào có thể hơi phức tạp một chút, nhưng có thể thực hiện được và chắc chắn là đáng thử. Hãy nhớ rằng bạn luôn có thể khôi phục mật khẩu mà bạn quên. Điều đó có thể mất nhiều thời gian, nhưng đừng để quên mật khẩu khiến bạn không thể tạo ra những thứ độc đáo, an toàn.

Bây giờ trên mật khẩu chính nó: bạn có thể sử dụng như thế nào an toàn là mật khẩu của tôi như là một tài liệu tham khảo hữu ích để đánh giá mức độ an toàn bạn thực sự là. Luôn sử dụng kết hợp chữ và số cùng với chữ hoa và ký tự đặc biệt. Nếu trang web cho phép, hãy sử dụng dấu cách. "BucketKid" là an toàn hơn nhiều khi nó "bu (k3t K! 4 15 r3a!" Mật khẩu đó sẽ mất 3 nghìn năm để crack, theo như thế nào bảo mật là mật khẩu của tôi, mà là rất nhiều năm nó âm thanh giả mạo. nghĩ rằng bạn sẽ mất nhiều năm để nhớ mật khẩu như vậy - nhưng hãy nghĩ về cách bạn có thể sử dụng các thủ thuật bộ nhớ để làm cho quá trình dễ dàng hơn. Ví dụ trên đọc: “xô trẻ là thật”, tất cả những gì bạn phải nhớ là các chữ cái nào Nếu bạn vẫn muốn sử dụng cùng một mật khẩu trên nhiều trang web, hãy sử dụng mật khẩu mạnh nhất, như ví dụ trên, cho các trang web bạn sử dụng thường xuyên như email. mật khẩu như “ô 15 cậu bé giả” cho các trang web khác mà bạn không sử dụng thường xuyên hoặc cảm thấy không an toàn.

Luôn sử dụng xác minh hai bước cho bất kỳ trang web nào hỗ trợ nó. Hãy nhớ tài khoản của Nhà văn có dây về cách anh ta bị tấn công vì anh ấy không sử dụng xác minh hai bước? Đừng phạm sai lầm tương tự. Google hỗ trợ nó, cũng như Yahoo và Facebook. Xác minh hai bước có nghĩa là khi bạn đăng nhập vào tài khoản của mình từ một máy tính hoặc địa chỉ IP không được công nhận, bạn sẽ được nhắc nhập mã được gửi đến điện thoại của bạn. Điều tuyệt vời về điều này là nó cũng hoạt động như một hệ thống báo động cho tài khoản của bạn. Nếu ai đó cố gắng truy cập email của bạn và bạn đột nhiên nhận được văn bản cung cấp cho bạn mã đăng nhập, bạn biết đã đến lúc phải bẻ khóa các hầm.

Cuối cùng, nếu bạn có bất kỳ mối lo ngại nào về an toàn trực tuyến của mình, hãy kiểm tra Tôi có nên thay đổi mật khẩu của mình không. Trang web này cho phép bạn nhập địa chỉ email của mình và xem địa chỉ đó có hiển thị trên bất kỳ danh sách nào mà tin tặc đã biên soạn sau khi bẻ khóa một trang web hay không. Họ vừa thêm một tính năng mới, nơi bạn có thể lưu trữ địa chỉ email của mình với họ và họ sẽ tham chiếu chéo nó với bất kỳ cuộc tấn công nào trong tương lai.

Tất cả điều này có vẻ giống như đi sâu vào cuối và quá hoang tưởng với bạn, nhưng bị hoang tưởng trên Internet đôi khi có thể giữ cho bạn an toàn. Có nhiều biện pháp khác bạn cần thực hiện để bảo vệ bản thân, chẳng hạn như: mã hóa ổ đĩa cứng, tạo địa chỉ email dùng một lần và tên cho các trang web bạn không tin tưởng hoặc cảm thấy thiếu bảo mật và thay đổi mật khẩu vài tháng một lần. Hướng dẫn này nên được thực hiện như một điểm nhảy để làm cho bạn an toàn hơn và nếu tất cả những gì bạn làm là tạo một mật khẩu mạnh và đăng ký email của bạn với cơ sở dữ liệu Mật khẩu của tôi nên tôi có ít nhất là bước đầu tiên để bảo vệ chính bạn từ trộm danh tính trên Internet.

Đề xuất của chuyên gia

Ryan Disraeli, VP của Dịch vụ gian lận tại TeleSign:

“Người bình thường rất đáng sợ, nhưng thực tế là tin tặc sẽ xem xét để tấn công mục tiêu dễ dàng nhất. Điều này không giống với ngoại tuyến. Liệu tên trộm có cướp một ngôi nhà có nhân viên bảo vệ 24/7 hay một ngôi nhà luôn mở cửa trước không? Thực tế là một tên trộm giỏi vẫn có thể cướp một ngôi nhà với an ninh tuyệt vời nhưng sẽ thích đi theo một nạn nhân dễ dàng hơn.Cũng giống như bạn sẽ thực hiện các biện pháp phòng ngừa để bảo vệ tài sản cá nhân của bạn, các cá nhân nên xem xét thêm một vài lớp phòng ngừa để bảo mật danh tính trực tuyến của họ."

Dodi Glenn, Quản lý sản phẩm VIPRE Antivirus của GFI Software:

“Hãy đối xử với điện thoại thông minh của bạn như một chiếc máy tính. Nếu bạn thực hiện bất kỳ loại giao dịch tài chính nào trên điện thoại của mình, cùng một "phương pháp hay nhất" về bảo mật sẽ áp dụng như với máy tính."

Shuman Ghosemajumder, Phó chủ tịch chiến lược về an ninh hình dạng:

“Chú ý đến cách bạn truy cập các trang web. Một phần của việc đảm bảo bạn tin tưởng một trang web đang xác minh rằng tổ chức phía sau trang web có uy tín. Một phần khác là đảm bảo bạn tin tưởng kết nối của mình vào trang web đó. Bạn nên đảm bảo rằng URL chính xác, bạn đã điều hướng trực tiếp đến URL đó và không nhấp vào liên kết từ email, IM hoặc cửa sổ bật lên không mong muốn. Nếu bạn có thể, chỉ sử dụng thiết bị và kết nối của riêng bạn. Bạn nên tránh các kết nối WiFi công cộng và các máy tính công cộng được chia sẻ nếu có thể, vì những kẻ tấn công dễ dàng đánh cắp lưu lượng truy cập mạng hoặc cài đặt các keylogger để nắm bắt mật khẩu. Nếu bạn phải sử dụng kết nối WiFi công cộng, hãy đảm bảo rằng bạn không gửi bất kỳ thông tin đăng nhập hoặc thông tin cá nhân nào cho trang web không sử dụng kết nối HTTPS."