Hacks วิศวกรรมทางสังคมและบัญชีที่เชื่อมโยง: วิธีการป้องกันการโจรกรรมข้อมูลประจำตัว

ในยุคและวันนี้อินเทอร์เน็ตมีส่วนเกี่ยวข้องกับชีวิตและอัตลักษณ์ของเรา แทบทุกคนมีโปรไฟล์ Facebook เช่นเดียวกับบัญชี Twitter, หน้า LinkedIn บัญชีตรวจสอบบัญชีออนไลน์กับผู้ค้าปลีกออนไลน์และอาจมีโปรไฟล์เก่าในไซต์อื่น ๆ ที่รวบรวมฝุ่นเสมือน พวกเราส่วนใหญ่เชื่อใจอินเทอร์เน็ตด้วยข้อมูลของเรา เรารู้สึกมั่นใจว่าทั่วโลก บริษัท ที่มีความซับซ้อนเช่น PayPal, Facebook, Amazon และชื่อใหญ่อื่น ๆ จะไม่ทำให้ข้อมูลของเราเปิดรับแฮ็ก แต่การรวบรวมกำลังสมานของแฮกเกอร์ทั่วโลกกำลังถูกนำไปหาวิธีการใหม่ ๆ และนวัตกรรมในการฝ่าฝืนระบบของ บริษัท เหล่านั้น

มีการกล่าวก่อนหน้านี้ แต่ฉันจะพูดอีกครั้ง: การรักษาความปลอดภัยมีความแข็งแกร่งพอ ๆ กับการเชื่อมโยงที่อ่อนแอที่สุดเท่านั้น โซ่อ่อนแอที่นำไปสู่ข้อมูลส่วนตัวของคุณเป็นอย่างไร? มีช่องโหว่จำนวนมากในการแสดงตนทางออนไลน์ของคุณ: บางอย่างที่คุณอาจได้รับรู้และอื่น ๆ ที่คุณไม่เคยนึกถึง การป้องกันและการป้องกันเป็นกุญแจสำคัญในกระบวนการรักษาความปลอดภัยออนไลน์ของคุณง่ายกว่ามากในการป้องกันการสับมากกว่าการซ่อมแซมความเสียหายหลังจากที่เกิดขึ้น

วิศวกรรมทางสังคมคืออะไร?

ในบริบทนี้วิศวกรรมทางสังคมเป็นวิธีที่ใช้ในการจัดการกับคนในการเปิดเผยข้อมูลส่วนบุคคล บทความล่าสุดจาก Wired's Mat Honan ระบุรายละเอียดว่าเขาเป็นเหยื่อของสแปมทางวิศวกรรมสังคมที่ทำให้ชีวิตดิจิทัลของเขาล้มลง ช่องโหว่ใน Amazon และโปรโตคอลรักษาความปลอดภัยของ Apple ช่วยให้แฮ็กเกอร์สามารถเข้าถึงบัญชีผู้ใช้หลายชุดได้ แฮ็กเกอร์สามารถเข้าสู่บัญชี Amazon ของเขาซึ่งระบุที่อยู่สำหรับการเรียกเก็บเงินและตัวเลขสี่หลักสุดท้ายของหมายเลขบัตรเครดิต ข้อมูลนี้เป็นข้อมูลทั้งหมดที่จำเป็นในการโน้มน้าวให้แฮ็กเกอร์ทราบว่าแฮ็กเกอร์เป็น Honan และอนุญาตให้ตั้งรหัสผ่าน Apple ID ได้ จากนั้นแฮกเกอร์ได้เข้าถึงบัญชีอีเมล Apple ของเขาซึ่งนำไปสู่บัญชี Gmail ซึ่งเป็นศูนย์กลางข้อมูลออนไลน์ที่มากยิ่งขึ้น นี่คือวิศวกรรมทางสังคมในที่ทำงาน แฮ็กเกอร์รู้ดีว่านาย Honan มีบัญชี Amazon ไม่ชัดเจน แต่ห่วงโซ่เหตุการณ์ที่ทำให้พวกเขาต้องเสี่ยงกับความเสี่ยงของตนเป็นสิ่งที่น่าสังเกต:

"หลังจากเจอบัญชี Twitter ของฉันแฮกเกอร์ได้ทำการวิจัยเบื้องหลัง บัญชี Twitter ของฉันเชื่อมโยงกับเว็บไซต์ส่วนตัวของฉันซึ่งพวกเขาพบที่อยู่ Gmail ของฉัน สงสัยว่านี่เป็นที่อยู่อีเมลที่ฉันใช้กับ Twitter ด้วย Phobia [แฮ็กเกอร์] ไปที่หน้าการกู้คืนบัญชีของ Google เขาไม่จำเป็นต้องพยายามกู้จริง นี่เป็นแค่ภารกิจการตรวจค้น เนื่องจากฉันไม่ได้เปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยของ Google เมื่อ Phobia ป้อนที่อยู่ Gmail ของฉันเขาจึงสามารถดูอีเมลอื่นที่ฉันได้ตั้งค่าไว้สำหรับการกู้คืนบัญชี Google ปกปิดข้อมูลดังกล่าวบางส่วนซึ่งนำแสดงโดยอักขระหลายตัว แต่มีอักขระเพียงพอที่สามารถใช้งานได้ m ™ 2 แจ๊คพ็อ.”

คิดสองครั้งเกี่ยวกับบัญชีที่เชื่อมโยง

ช่วงชีวิตดิจิทัลของคุณเริ่มต้นและสิ้นสุดที่อื่นและหากค้นพบช่องโหว่ที่ง่ายก็จะใช้ประโยชน์ได้ Amazon ได้อ้างว่าได้เปลี่ยนวิธีการรักษาความปลอดภัยแล้วเพื่อไม่ให้ใช้ประโยชน์จากประเภทนี้ได้อีกต่อไป (อย่างไรก็ตามหลังจากอ่านเรื่องสั้นแล้วฉันได้ลบข้อมูลทั้งหมดของฉันจาก Amazon แล้วและจะป้อนด้วยตนเองทุกครั้ง) ไม่มีสิ่งใดเช่นการระมัดระวังมากเกินไป) แอปเปิ้ลในมืออื่น ๆ ไม่ได้กล่าวว่ามันมีการเปลี่ยนแปลงนโยบายความปลอดภัยใด ๆ - แอปเปิ้ลกล่าวว่ามาตรการรักษาความปลอดภัยของมันไม่ได้ปฏิบัติตามอย่างสมบูรณ์ มี บริษัท อื่น ๆ อีกมากมายที่มีความอ่อนไหวต่อกลยุทธ์ทางสังคมศาสตร์และบัญชีที่เชื่อมโยงของคุณจะบอกว่าจะเริ่มต้นจากที่ใด บางครั้งการใช้ประโยชน์ที่ง่ายที่สุดอาจเป็นบัญชี Facebook ของคุณ

เส้นทางดิจิทัลที่นำไปสู่ชีวิตที่ไม่ใช่ดิจิทัลของคุณ

สมมติว่าโปรไฟล์ Facebook ของคุณเป็นแบบสาธารณะหรือคุณยอมรับคำขอเป็นเพื่อนจากคนที่คุณไม่รู้จักจริงๆโปรไฟล์ของคุณจะมีวันครบรอบวันเกิดของคุณหรือไม่ ที่อยู่อีเมลที่อยู่บ้านและหมายเลขโทรศัพท์ส่วนตัวของคุณหรือไม่? คุณมีภาพของสัตว์เลี้ยงของครอบครัวเก่าที่คุณตั้งชื่อพวกเขาหรือคุณเป็นเพื่อนกับคุณแม่ของคุณที่ยังคงใช้นามสกุลเดิมหรือไม่? มีภาพของคุณตั้งแต่ชั้นประถมศึกษาปีที่แสดงชื่อโรงเรียนคุณกับแฟนคนแรกของคุณหรือ BFF ของคุณหรือไม่?

ใช่แล้วทำไมฉันถึงถามคำถามส่วนตัวเหล่านี้ทั้งหมด? วันเดือนปีเกิดและที่อยู่ของคุณสามารถให้ข้อมูลที่เพียงพอแก่ฉันเพื่อเริ่มแอบอ้างเป็นคุณที่ บริษัท อื่นหรือออนไลน์ ในบางกรณีฉันอาจต้องใช้หมายเลขสี่หลักสุดท้ายของหมายเลขประกันสังคมของคุณ แต่นั่นไม่ใช่ข้อ จำกัด ที่คุณคิดว่าเป็น ดังนั้นทำไมควรเลี้ยงสัตว์ในครอบครัวของคุณชื่อแม่ของแม่ของคุณโรงเรียนประถมศึกษาของคุณเป็นครั้งแรกแฟนคนแรกหรือชื่อของเพื่อนที่ดีที่สุดของคุณ? ทั้งหมดนี้เป็นคำตอบสำหรับคำถามด้านความปลอดภัยสำหรับกระบวนการกู้คืนบัญชี ถ้าฉันไม่รู้จักอีเมลของคุณ แต่เป้าหมายที่แท้จริงของฉันคือบัญชีธนาคารของคุณตอนนี้ฉันมีคำตอบสำหรับคำถามด้านความปลอดภัยของคุณแล้วและฉันจะสามารถเปลี่ยนรหัสผ่านในบัญชีธนาคารของคุณเพื่อเข้าถึงได้สำหรับมาตรการที่ดีฉันอาจจะเปลี่ยนรหัสผ่านในอีเมลของคุณหรือถ้าฉันทำกับการใช้ประโยชน์จากมันฉันอาจลบบัญชีทั้งหมด แน่นอนว่ามีปัจจัยหลายประการที่จะทำให้สถานการณ์นี้เหมาะอย่างยิ่งและมีวิธีการอื่น ๆ ที่สามารถนำมาใช้กับตัวคุณได้

หากคุณมีรหัสผ่านที่อ่อนแอเช่น "bucketKid" ซึ่งเป็นตัวอย่างแบบสุ่มอย่างสมบูรณ์การโจมตีด้วยกำลังเดรัจฉานในบัญชีของคุณอาจใช้เวลาประมาณแปดวันในการกู้รหัสผ่านของคุณ (ขึ้นอยู่กับว่าฉันรู้ดีว่าในส่วนแนะนำ) เพียงเพิ่มหมายเลขเพื่อทำให้ "bucketKid7" เพิ่มเวลาหกปีไปกับเวลาที่แฮ็กเกอร์จะใช้แฮ็กเกอร์

อาจเป็นไปได้ว่าข้อมูลของคุณอาจถูกเปิดเผยเป็นความเสียหายหลักประกันในการสับของ บริษัท อื่น หากคุณใช้รหัสผ่านเดียวกันในหลายไซต์ซึ่งหนึ่งในนั้นมีอีเมลของคุณอยู่แล้วถึงเวลาที่คุณจะเปลี่ยนรหัสผ่านทั้งหมดและตรวจสอบความเสียหายที่อาจเกิดขึ้น ตอนนี้คุณมีสถานการณ์สมมติที่เลวร้ายที่สุดในใจของคุณแล้วเรามาดูว่าคุณสามารถป้องกันตัวเองได้อย่างไร

คำแนะนำไซต์ของเรา

อย่าใช้รหัสผ่านเดียวกันสองครั้ง! ฉันรู้ว่าคุณได้ยินมาว่าเป็นล้านครั้งก่อนหน้านี้และคุณอาจคิดว่ารหัสผ่านที่ไม่ซ้ำกันหลายสิบครั้งในหลาย ๆ ไซต์ไม่เป็นไปได้ในทางปฏิบัติ ดีมีสองสิ่งที่คุณสามารถทำได้เพื่อให้เป็นประโยชน์:

อันดับแรกคือคุณสามารถใช้โปรแกรมเพื่อช่วยในการสร้างและเก็บรหัสผ่านเฉพาะสำหรับเว็บไซต์ของคุณทั้งหมด 1Password เป็นหนึ่งในโปรแกรมดังกล่าวเมื่อลงชื่อเข้าใช้หนึ่งในโปรไฟล์ออนไลน์ของคุณคุณสามารถเลือกการเข้าสู่ระบบที่ต้องการได้และ 1Password จะจัดหารหัสผ่านและให้สิทธิ์การเข้าถึงแก่คุณ อย่างไรก็ตามบางทีคุณอาจไม่ต้องการให้รหัสผ่านของคุณเก็บไว้ในฐานข้อมูลเดียวกันซึ่งเป็นข้อกังวลที่ถูกต้อง

ตัวเลือกถัดไปคือการสร้างชุดรหัสผ่านที่เกี่ยวข้อง หนึ่งรหัสผ่านสามารถ "Treez4Eva" "Tree4eVer" ต่อไปและอื่น ๆ การจดจำว่าไซต์ใดใช้รุ่นใดที่อาจยุ่งยากเล็กน้อย แต่ก็คุ้มค่าและคุ้มค่ากับการใช้งาน โปรดทราบว่าคุณสามารถกู้คืนรหัสผ่านที่คุณลืมได้ตลอดเวลา ซึ่งอาจใช้เวลานาน แต่อย่าลืมลืมรหัสผ่านเพื่อหยุดคุณจากการสร้างที่ไม่ซ้ำใครที่ปลอดภัย

ตอนนี้ใช้รหัสผ่าน: คุณสามารถใช้วิธีการรักษาความปลอดภัยเป็นรหัสผ่านของฉันเป็นข้อมูลอ้างอิงที่มีประโยชน์ในการวัดว่าคุณมีความปลอดภัยจริงๆ ใช้ตัวอักษรผสมตัวเลขและตัวพิมพ์ใหญ่เสมอ หากเว็บไซต์อนุญาตให้ใช้ช่องว่างเช่นกัน "bucketKid" มีความปลอดภัยมากขึ้นเมื่อ "bu (k3t K! 4 15 r3a!" รหัสผ่านดังกล่าวจะใช้เวลา 3 quintillion ปีในการ crack ตามการรักษาความปลอดภัยเป็นรหัสผ่านของฉันซึ่งเป็นเวลาหลายปีมันเสียงปลอมคุณอาจ คิดว่าจะใช้เวลาหลายปีในการจำรหัสผ่านเช่นนี้ แต่ลองนึกถึงวิธีที่คุณสามารถใช้เทคนิคหน่วยความจำเพื่อให้กระบวนการนี้ง่ายขึ้นตัวอย่างข้างต้นอ่านว่า "เด็กในถังเป็นของจริง" สิ่งที่คุณต้องจำก็คือตัวอักษรใด คุณใช้อักษรตัวใหญ่และวิธีแทนที่ตัวอักษรด้วยตัวเลขหรืออักขระพิเศษหากคุณยังต้องการใช้รหัสผ่านเดียวกันกับไซต์จำนวนมากให้ใช้ URL ที่มีขนาดใหญ่ที่สุดเช่นตัวอย่างข้างต้นสำหรับไซต์ที่คุณใช้บ่อยๆเช่นอีเมลจากนั้นสร้างใบปลิว รหัสผ่านเช่น "เด็กชายร่ม 15 ปลอม" สำหรับไซต์อื่น ๆ ที่คุณไม่ได้ใช้บ่อยๆหรือรู้สึกไม่ปลอดภัย

ใช้การยืนยันแบบสองขั้นตอนเสมอสำหรับไซต์ใด ๆ ที่สนับสนุนไซต์นี้ โปรดจดจำบัญชีผู้เขียนแบบมีสายเกี่ยวกับวิธีที่เขาถูกแฮ็กเพราะเขาไม่ได้ใช้การยืนยันแบบสองขั้นตอน อย่าทำผิดพลาดเหมือนกัน Google สนับสนุนเช่นเดียวกับ Yahoo และ Facebook การยืนยันแบบสองขั้นตอนหมายความว่าเมื่อคุณลงชื่อเข้าใช้บัญชีจากคอมพิวเตอร์หรือที่อยู่ IP ที่ไม่รู้จักคุณจะได้รับแจ้งให้ใส่รหัสที่ส่งถึงโทรศัพท์ของคุณ สิ่งที่ยอดเยี่ยมเกี่ยวกับเรื่องนี้ก็คือการทำงานเป็นระบบเตือนภัยสำหรับบัญชีของคุณ ถ้ามีคนพยายามเข้าถึงอีเมลของคุณและคุณได้รับข้อความที่ส่งรหัสเข้าสู่ระบบโดยทันทีคุณรู้ว่าถึงเวลาแล้วที่จะเบียดกับฟัก

สุดท้ายหากคุณมีข้อกังวลใด ๆ เกี่ยวกับความปลอดภัยออนไลน์ของคุณโปรดตรวจสอบว่าฉันควรเปลี่ยนรหัสผ่านของฉันหรือไม่ ไซต์นี้อนุญาตให้คุณป้อนที่อยู่อีเมลของคุณและดูว่ารายการนี้ปรากฏในรายการใด ๆ ที่แฮกเกอร์ได้รวบรวมไว้หลังจากทำการแตกไซต์แล้วหรือไม่ พวกเขาเพิ่งเพิ่มคุณลักษณะใหม่ที่คุณสามารถจัดเก็บที่อยู่อีเมลของคุณไว้กับพวกเขาและจะมีการอ้างอิงถึงการโจมตีในอนาคตอีกด้วย

ทั้งหมดนี้อาจดูเหมือนออกไปลึกและหวาดระแวงเกินไปสำหรับคุณ แต่การหวาดระแวงบนอินเทอร์เน็ตบางครั้งอาจทำให้คุณปลอดภัย มีมาตรการอื่น ๆ อีกมากมายที่คุณควรใช้เพื่อป้องกันตัวเองเช่นการเข้ารหัสฮาร์ดดิสก์ของคุณการสร้างที่อยู่อีเมลและชื่อที่ใช้แล้วทิ้งสำหรับไซต์ที่คุณไม่เชื่อถือหรือรู้สึกขาดการรักษาความปลอดภัยและเปลี่ยนรหัสผ่านทุกๆสองสามเดือน คำแนะนำนี้ควรใช้เป็นจุดกระโดดเพื่อทำให้คุณมีความปลอดภัยมากขึ้นและถ้าสิ่งที่คุณทำคือการสร้างรหัสผ่านที่รัดกุมและลงทะเบียนอีเมลของคุณด้วยฐานข้อมูล Should I Change My Password ซึ่งเป็นขั้นตอนแรกที่ดีในการปกป้องตัวคุณเอง จากการขโมยข้อมูลประจำตัวบนอินเทอร์เน็ต

คำแนะนำจากผู้เชี่ยวชาญ

Ryan Disraeliรองประธานฝ่ายบริการการฉ้อโกงที่ TeleSign:

"คนทั่วไปตกเป็นเหยื่อ hackable มาก แต่ในความเป็นจริงก็คือแฮกเกอร์จะมีลักษณะการโจมตีเป้าหมายที่ง่ายที่สุด นี่ไม่ใช่แบบออฟไลน์ โจรปล้นบ้านพร้อมเจ้าหน้าที่รักษาความปลอดภัยตลอด 24 ชั่วโมงหรือบ้านที่ออกจากประตูหน้าเสมอหรือไม่? ความจริงก็คือขโมยที่ดีสามารถปล้นบ้านได้ด้วยความปลอดภัยที่ยอดเยี่ยม แต่จะชอบที่จะไปหาเหยื่อที่ง่ายกว่าเช่นเดียวกับที่คุณจะใช้ความระมัดระวังในการปกป้องทรัพย์สินส่วนบุคคลของคุณบุคคลควรมองหาเพื่อเพิ่มการป้องกันไม่กี่ชั้นเพื่อรักษาความปลอดภัยเอกลักษณ์ออนไลน์ของพวกเขา.

Dodi Glenn, ผู้จัดการผลิตภัณฑ์ VIPRE Antivirus ของ GFI Software:

"รักษาสมาร์ทโฟนของคุณเช่นเดียวกับคอมพิวเตอร์ หากคุณทำธุรกรรมทางการเงินประเภทใดก็ตามในโทรศัพท์ของคุณการรักษาความปลอดภัยเดียวกันจะใช้กับ "การปฏิบัติที่ดีที่สุด" เช่นเดียวกับคอมพิวเตอร์

Shuman Ghosemajumderรองประธานฝ่ายยุทธศาสตร์ Shape Security:

"ใส่ใจกับวิธีที่คุณเข้าถึงเว็บไซต์ ส่วนหนึ่งของการทำให้มั่นใจว่าไซต์ของคุณเชื่อถือได้ยืนยันว่าองค์กรที่อยู่เบื้องหลังเว็บไซต์มีชื่อเสียง อีกส่วนหนึ่งคือการทำให้แน่ใจว่าคุณเชื่อถือการเชื่อมต่อของคุณไปยังเว็บไซต์นั้น คุณควรตรวจสอบให้แน่ใจว่า URL ถูกต้องซึ่งคุณได้เข้าไปที่เว็บไซต์โดยตรงและไม่ได้คลิกลิงค์จากอีเมลที่ไม่พึงประสงค์ IM หรือป๊อปอัป ถ้าทำได้ให้ใช้เฉพาะอุปกรณ์และการเชื่อมต่อของคุณเท่านั้น คุณควรหลีกเลี่ยงการเชื่อมต่อ WiFi สาธารณะและแชร์คอมพิวเตอร์สาธารณะถ้าสามารถเนื่องจากผู้โจมตีสามารถดักจับข้อมูลเครือข่ายหรือติดตั้ง keylogger เพื่อจับรหัสผ่าน ถ้าคุณต้องใช้การเชื่อมต่อ WiFi สาธารณะตรวจสอบให้แน่ใจว่าคุณไม่ได้ส่งข้อมูลการเข้าสู่ระบบหรือข้อมูลส่วนบุคคลไปยังไซต์ที่ไม่ได้ใช้การเชื่อมต่อ HTTPS"