BLOG

2022 / 10 / 13

Sześć sposobów na kradzież twojego hasła

Wycieki danych logowania to jedno z największych zagrożeń współczesnego świata cyfrowego. Na pierwszy rzut oka może się wydawać, że nie ma problemu – co z tego, że ktoś wejdzie w posiadanie hasła do starego konta e-mail, którego tak na prawdę nikt już nie używa i nie ma na nim nic cennego?

Jednak chwilę później przypominasz sobie, że ten sam adres mailowy jest powiązany z twoimi kontami w mediach społecznościowych, a może nawet w serwisach bankowości online i innych aplikacjach. To wszystko jest teraz w rękach cyberprzestępców, którzy ukradli dane dostępowe. Poza ryzykiem kradzieży pieniędzy i danych, porwane konto e-mail może być sporym problemem dla twoich znajomych, współpracowników i rodziny – cyberprzestępcy mogą wykorzystać dostęp do wysyłania w twoim imieniu wiadomości phishingowych celem oszukiwania wszystkich osób, które znajdują się na twojej liście kontaktów.

W tym artykule omówimy, w jaki sposób twoje dane logowania mogą trafić w ręce cyberprzestępców i zastanowimy się, jak zredukować ryzyko.

1. Trojany kradnące hasła

Szkodniki tego typu instalują się na urządzeniu i zazwyczaj w żaden sposób nie demonstrują swojej aktywności. W końcu zależy im na tym, by jak najdłużej pozostać w systemie bez wykrycia. Im dłużej tak będzie, tym więcej danych uda im się wykraść i przesłać do kontrolujących je oszustów.

Trojan może się dostać na twój komputer lub telefon, gdy otworzysz złośliwy plik wysłany przez innego użytkownika, pobrany z internetu lub skopiowany z nośnika zewnętrznego. Pamiętaj – każdy plik wykonywalny pobrany z internetu jest potencjalną pułapką.

To jednak nie wszystko – należy także uważać na pliki, które z pozoru nie wyglądają na wykonywalne. Cyberprzestępcy dokładają wszelkich starań, by ukrywać złośliwe pliki np. pod postacią obrazków, filmów, archiwów, dokumentów itd. Na przykład, oszust może zmienić ikonę pliku lub skonstruować jego nazwę tak, by udawała bezpieczny format. Co więcej, z pozoru niewinny dokument pakietu biurowego także może być pułapką, gdy np. zaszyty w nim złośliwy skrypt wykorzysta lukę w zabezpieczeniach programu, w którym go otwierasz.

Aby skutecznie walczyć z tym kanałem wycieku haseł, zainstaluj na swoim urządzeniu solidne rozwiązanie bezpieczeństwa, które będzie wykrywać i blokować trojany kradnące dane.

2. Phishing

Phishingowe wiadomości e-mail mogą przybierać różne formy, jednak ich cel jest zawsze taki sam – zwabić cię na sfałszowaną stronę internetową i nakłonić do podania na niej swoich danych. Jaka może być treść takiej wiadomości? Ograniczeniem jest jedynie wyobraźnia atakujących. Kilka przykładów: bank zablokował dostęp do twojego konta, ktoś zalicytował w aukcji, którą wystawiłeś, otrzymałeś kod rabatowy na nowy produkt, kurier nie mógł dostarczyć twojej przesyłki itd. Wiadomość taka może być nawet wysłana przez twojego znajomego – jeżeli cyberprzestępcy porwali wcześnie jego konto mailowe.

Standardową poradą bezpieczeństwa w kontekście phishingu jest uważne przyglądanie się adresowi strony, na którą chce cię przekierować link w wiadomości. Niektóre fałszywe strony mają w adresie dodatkowe litery, literówki, podwójną domenę itd. Niestety nowocześni cyberprzestępcy coraz lepiej ukrywają swoje fałszywki. Na przykład, w ataku typu man-in-the-middle możesz zobaczyć sfałszowaną stronę, której adres nie wzbudza żadnych podejrzeń.

Dlatego poza zachowaniem ostrożności warto postawić na dobry produkt bezpieczeństwa, który potrafi wykrywać wiadomości phishingowe i adresy sfałszowanych stron internetowych.

3. Ataki z użyciem przeglądarki

Hasła są dość często wykradane w ramach ataków wykorzystujących luki w przeglądarkach lub złośliwe wtyczki. W pierwszym przypadku atakujący przygotowują na zhakowanej stronie specjalny skrypt, który po cichu instaluje na twoim urządzeniu narzędzie szpiegowskie. W drugim przypadku ty sam instalujesz niebezpieczny skrypt, który ukrywa się pod postacią przydatnego rozszerzenia przeglądarki. Następnie, gdy wchodzisz np. na stronę bankowości online, skrypt przekierowuje cały ruch do serwera kontrolowanego przez cyberprzestępców, którzy w ten sposób kradną dane dostępowe do kont online i inne informacje.

Aby uniknąć zagrożenia, na bieżąco uaktualniaj swoją przeglądarkę i nie instaluj żadnych wtyczek z nieoficjalnych źródeł.

4. Publiczne sieci Wi-Fi

Atakujący mogą przechwytywać dane (łącznie z hasłami) wysyłane poprzez niezaszyfrowaną sieć Wi-Fi (lub sieć wykorzystującą przestarzałe zabezpieczenia, takie jak WEP). Przestępcy mogą także uruchomić własną sieć, której nazwa będzie do złudzenia przypominać nazwę istniejącego hotspotu, np. należącego do pobliskiej kawiarni, hotelu czy lotniska. Gdy nieuważny użytkownik połączy się z taką siecią, atakujący będą mieli dostęp wszystkich przesyłanych danych.

Jeżeli chcesz zwiększyć swoje bezpieczeństwo, dokładnie sprawdzaj nazwy hotspotów, z którymi się łączysz, a ponadto wyłącz w urządzeniu automatyczne łączenie się z dostępnymi sieciami.

Ogólnie, najlepiej co do zasady unikać otwartych, publicznych sieci, szczególnie jeżeli zamierzasz logować się do kont online. Zdecydowanie bezpieczniejsze będzie korzystanie z internetu komórkowego. A jeżeli nie masz wyjścia i musisz korzystać z publicznych sieci Wi-Fi, zadbaj o to, by cały twój ruch sieciowy był zaszyfrowany przy użyciu rozwiązania VPN.

5. Hasła na widoku

Z pewnością słyszałeś o ludziach, którzy zapisują swoje hasła na karteczkach i przyklejają je do monitora, by zawsze były pod ręką. Nie bądź jak oni. Nie zapisuj także swoich haseł w niezaszyfrowanych plikach przechowywanych na komputerze lub smartfonie i nie korzystaj do ich przechowywania z funkcji autouzupełniania wbudowanej w przeglądarkę internetową.

Co zatem należy robić? Eksperci ds. bezpieczeństwa do znudzenia powtarzają porady o silnych hasłach, których nie da się złamać, oraz o tym, by nigdy nie używać tych samych haseł w różnych serwisach. Na szczęście nie musisz zapamiętywać dziesiątek skomplikowanych, unikatowych ciągów znaków – łatwiejszą opcją jest skorzystanie menedżera haseł, który zrobi to za ciebie.

6. Wycieki danych z serwisów online

Wszystkie wymienione wcześniej scenariusze mają jedną cechę wspólną – bezpieczeństwo w ich przypadku jest w twoich rękach. Często jednak zdarza się, że przestępcy kradną dane dostępowe z serwisów online, na co nie masz żadnego wpływu. Mogą to być sklepy online, portale społecznościowe i wszelkie inne serwisy, do których użytkownicy się logują. Włamując się do takich usług, atakujący uzyskują dostęp do ogromnych baz danych użytkowników, łącznie z danymi dotyczących haseł oraz informacjami osobowymi.

Co więcej, właściciele takich serwisów nie zawsze informują opinię publiczną o tym, że padli ofiarą ataku. W tym czasie wykradzione dane krążą na podziemnym rynku cyberprzestępczym i trafiają z rąk do rąk. Wprawdzie eksperci ds. bezpieczeństwa monitorują wycieki danych i ostrzegają użytkowników, jednak tutaj także należy zachować ostrożność. Tacy „eksperci” mogą się okazać oszustami, którzy wysyłają wiadomość o rzekomym wycieku i proszą o kliknięcie odnośnika oraz podanie danych logowania w celu „sprawdzenia, czy znajdują się one w bazie, która wyciekła”. W przypadku otrzymania takiej wiadomości najlepiej na własną rękę zweryfikować, czy dany wyciek rzeczywiście miał miejsce. Informacji na ten temat najlepiej szukać w serwisach online specjalizujących się w publikowaniu artykułów na temat bezpieczeństwa IT.

Niektóre produkty bezpieczeństwa – np. rozwiązania firmy F-Secure – są wyposażone w rozbudowany monitoring wycieków danych. Dzięki takiej funkcji otrzymasz wiarygodną informację, gdy twoje dane logowania trafią w niepowołane ręce.

Czy to jedyne zagrożenia?

Niestety nie. Cyberprzestępcy dysponują całym arsenałem metod, które mogą zagrozić twojej tożsamości cyfrowej: spyware, ransomware, fałszywe strony internetowe, złośliwe koparki kryptowalut itd.

Na szczęście producenci dobrych rozwiązań bezpieczeństwa trzymają rękę na pulsie i na bieżąco dodają technologie ochrony do swoich produktów. Dlatego wybierając dostawcę ochrony, zwróć uwagę na jakość jego produktów, np. przeglądając wyniki niezależnych testów.

Źródło: ITXON

Polub Systemy Informatyczne ITXON na Facebooku