Bagaimana Attackers Sebenarnya Akaun Hack Online dan Bagaimana Melindungi Diri Anda
Orang bercakap tentang akaun dalam talian mereka yang "digodam," tetapi bagaimana tepatnya peretasan ini berlaku? Realitinya ialah akaun digodam dalam cara yang agak mudah - penyerang tidak menggunakan sihir hitam.
Pengetahuan adalah kuasa. Memahami bagaimana akaun sebenarnya dikompromikan dapat membantu anda melindungi akaun anda dan mencegah kata laluan anda daripada "digodam" di tempat pertama.
Memasang semula Kata Laluan, Terutama Terlepas
Ramai orang - mungkin kebanyakan orang - mengguna semula kata laluan untuk akaun yang berbeza. Sesetengah orang mungkin menggunakan kata laluan yang sama untuk setiap akaun yang mereka gunakan. Ini sangat tidak selamat. Banyak laman web - walaupun besar, yang terkenal seperti LinkedIn dan eHarmony - mempunyai pangkalan data kata laluan mereka bocor sejak beberapa tahun yang lalu. Pangkalan data kata laluan bocor bersama-sama dengan nama pengguna dan alamat e-mel mudah diakses dalam talian. Penyerang boleh mencuba alamat e-mel, nama pengguna dan kombinasi kata laluan di laman web lain dan mendapat akses ke banyak akaun.
Menggunakan semula kata laluan untuk akaun e-mel anda membuat anda lebih berisiko, kerana akaun e-mel anda boleh digunakan untuk menetapkan semula semua kata laluan anda yang lain jika penyerang mendapat akses kepadanya.
Bagaimanapun, baik anda memperoleh kata laluan anda, anda tidak dapat mengawal seberapa baik perkhidmatan yang anda gunakan untuk mengamankan kata laluan anda. Sekiranya anda menggunakan kata laluan dan satu lagi syarikat, semua akaun anda akan berisiko. Anda harus menggunakan kata laluan yang berlainan di mana-mana - pengurus kata laluan boleh membantu dengan ini.
Keyloggers
Keyloggers adalah perisian perosak yang boleh berjalan di latar belakang, membakar setiap strok utama yang anda buat. Mereka sering digunakan untuk menangkap data sensitif seperti nombor kad kredit, kata laluan perbankan dalam talian, dan kelayakan akaun lain. Mereka kemudian menghantar data ini kepada penyerang melalui Internet.
Malware seperti itu boleh tiba melalui eksploitasi - contohnya, jika anda menggunakan versi Java yang ketinggalan zaman, kerana kebanyakan komputer di Internet, anda boleh dikompromikan melalui applet Java pada halaman web. Walau bagaimanapun, mereka juga boleh menyamar dalam perisian lain. Sebagai contoh, anda boleh memuat turun alat pihak ketiga untuk permainan dalam talian. Alat ini mungkin berniat jahat, menangkap kata laluan permainan anda dan menghantarnya ke penyerang melalui Internet.
Gunakan program antivirus yang baik, pastikan perisian anda dikemas kini, dan elakkan muat turun perisian yang tidak boleh dipercayai.
Kejuruteraan sosial
Penyerang juga biasanya menggunakan teknik kejuruteraan sosial untuk mengakses akaun anda. Phishing adalah bentuk kejuruteraan sosial yang biasa dikenali - pada asasnya, penyerang menyamar sebagai seseorang dan meminta kata laluan anda. Sesetengah pengguna menyerahkan kata laluan mereka dengan mudah. Berikut adalah beberapa contoh kejuruteraan sosial:
- Anda menerima e-mel yang mengaku berasal dari bank anda, mengarahkan anda ke laman web bank palsu dan meminta anda mengisi kata laluan anda.
- Anda menerima mesej di Facebook atau laman web sosial lain dari pengguna yang mendakwa sebagai akaun Facebook rasmi, meminta anda untuk menghantar kata laluan anda untuk mengesahkan diri anda.
- Anda melawat laman web yang menjanjikan memberi anda sesuatu yang berharga, seperti permainan percuma di Steam atau emas percuma di World of Warcraft. Untuk mendapatkan ganjaran palsu ini, laman web ini memerlukan nama pengguna dan kata laluan anda untuk perkhidmatan tersebut.
Hati-hati tentang siapa yang anda berikan kata laluan anda - jangan klik pautan dalam e-mel dan pergi ke laman web bank anda, jangan berikan kata laluan anda kepada sesiapa yang menghubungi anda dan memintanya, dan jangan memberikan bukti kelayakan akaun anda kepada yang tidak boleh dipercayai laman web, terutama yang kelihatan terlalu baik untuk menjadi kenyataan.
Menjawab Soalan Keselamatan
Kata laluan sering boleh ditetapkan semula dengan menjawab soalan keselamatan. Soalan-soalan keselamatan pada umumnya sangat lemah - selalunya seperti "Di manakah anda dilahirkan?", "Sekolah menengah apakah yang anda pergi?" Dan "Apakah nama ibu anda?". Selalunya sangat mudah untuk mencari maklumat ini di laman rangkaian sosial yang boleh diakses awam, dan kebanyakan orang biasa akan memberitahu anda sekolah menengah yang mereka pergi jika mereka ditanya. Dengan maklumat yang mudah diperoleh ini, penyerang sering boleh menetapkan semula kata laluan dan mendapat akses ke akaun.
Idealnya, anda harus menggunakan soalan keselamatan dengan jawapan yang tidak mudah ditemui atau ditebak. Laman web juga harus menghalang orang daripada mendapatkan akses ke akaun hanya kerana mereka tahu jawapan kepada beberapa soalan keselamatan, dan ada yang dilakukan - tetapi ada yang masih tidak.
Akaun E-mel dan Kata Laluan Mengeset semula
Jika penyerang menggunakan mana-mana kaedah di atas untuk mendapatkan akses ke akaun e-mel anda, anda menghadapi masalah yang lebih besar. Akaun e-mel anda biasanya berfungsi sebagai akaun utama anda dalam talian. Semua akaun lain yang anda gunakan dikaitkan kepadanya, dan sesiapa sahaja yang mempunyai akses ke akaun e-mel boleh menggunakannya untuk menetapkan semula kata laluan anda pada sejumlah laman web yang anda berdaftar dengan alamat e-mel.
Atas sebab ini, anda perlu mengamankan akaun e-mel anda sebanyak mungkin. Sangat penting untuk menggunakan kata laluan yang unik untuknya dan menjaga dengan berhati-hati.
Kata Laluan "Penggodaman" Tidak
Kebanyakan orang mungkin membayangkan penyerang cuba setiap kata laluan yang mungkin untuk log masuk ke dalam akaun dalam talian mereka. Ini tidak berlaku. Jika anda cuba log masuk ke dalam akaun dalam talian seseorang dan terus meneka kata laluan, anda akan diperlahankan dan dihalang daripada mencuba lebih dari beberapa kata laluan.
Jika penyerang mampu masuk ke dalam akaun dalam talian hanya dengan meneka kata laluan, kemungkinan kata laluan itu sesuatu yang jelas yang dapat ditebak pada beberapa percubaan pertama, seperti "kata laluan" atau nama haiwan kesayangan orang itu.
Penyerang hanya boleh menggunakan kaedah kekerasan seperti ini jika mereka mempunyai akses tempatan ke data anda - sebagai contoh, katakan anda menyimpan fail yang disulitkan dalam akaun Dropbox anda dan penyerang mendapat akses kepadanya dan memuat turun fail yang disulitkan. Mereka kemudiannya boleh mencuba menyebarkan enkripsi, pada asasnya mencuba setiap kombinasi kata laluan sehingga satu berfungsi.
Orang yang mengatakan akaun mereka telah "digodam" kemungkinan bersalah menggunakan semula kata laluan, memasang logger utama, atau memberikan bukti kelayakan mereka kepada penyerang selepas teknik kejuruteraan sosial. Mereka juga mungkin telah dikompromi sebagai akibat dari mudah meneka soalan keselamatan.
Jika anda mengambil langkah berjaga-jaga keselamatan yang betul, tidak mudah untuk "menggodam" akaun anda. Menggunakan pengesahan dua faktor juga boleh membantu - penyerang memerlukan lebih daripada sekadar kata laluan anda untuk masuk.
Kredit Imej: Robbert van der Steeg di Flickr, asenat pada Flickr