Video: Kid Bean | Funny Episodes | Mr Bean Cartoon World (Oktober 2024)
I hvert af de nylige angreb på Evernote, Facebook, Twitter og andre var de involverede virksomheder hurtige til at påpege, at adgangskoder forblev sikre. Men brugerinformation har sin egen levetid, og virkningerne af et angreb på et individ kan mærkes længe efter, at angrebet er forbi.
De angreb, vi har set
Det, du hører, når et større firma er blevet kompromitteret, er typisk noget i retning af, hvordan betalingsoplysninger stadig er sikre, adgangskoder blev krypteret, men andre oplysninger var tilgængelige. Normalt inkluderer dette brugernavne og e-mails.
For de fleste af os kan det måske ikke virke farligt. Vi giver trods alt vores egne e-mails hele tiden - vi sender dem endda online. Men der er risici for brugere, der selv har udsat for denne lille mængde information.
Derek Halliday, senior produktchef hos Lookout mobilsikkerhed forklarede til SecurityWatch, hvordan disse informationsbits kan gøre brugernes mål. "Kontooplysninger kan bruges til potentielt at aktivere spearphishing, fordi det giver nogle unikke kontekstuelle oplysninger om mennesker - en måde at kontakte dem på, " sagde han. "Og det faktum, at de på et tidspunkt har tilmeldt sig en bestemt service."
Dette er grunden til, at legitime alarmemails ofte minder brugerne, der muligvis har fået deres oplysninger udsat, at ingen nogensinde vil bede om deres adgangskode. Hvis en hacker ved, at du bruger Evernote (for eksempel), er det kort arbejde at oprette en meddelelse, der ser ud til at være fra Evernote og sende til den e-mail-adresse, du bruger til at administrere din konto. Måske vil det bede dig om at angive din adgangskode eller betalingsoplysninger eller måske narre dig til at klikke på et ondsindet link.
"Vi har set cyberkriminelle, der er villige til at engagere sig i 'long con', " sagde Mark Risher, medstifter og administrerende direktør for Impermium. "Et flertrinsangreb, der går ud over den direkte udnyttelse af følsomme data."
"Når kriminelle bryder ind på en konto på det sociale netværk, kan de ofte finde personlige detaljer, der tilføjer legitimitet til en spearphishing, " fortsatte Risher, der nævnte en alumniforening som en sådan personlig detalje. Han forklarede, at det kunne bruges til at låse funktionen "hemmeligt spørgsmål" - som undertiden spørger, hvad din skolemaskot var eller navnet på dit første kæledyr - på et andet websted.
Den værste sag
Chester Wisniewski, senior sikkerhedsrådgiver hos Sophos, sagde, at selvom Evernote og andre for nylig kompromitterede websteder sikrede deres adgangskoder med kryptografiske hascher og tilfældige "salt" -data, er ikke alle brugere muligvis beskyttet. Han forklarede, at hvis brugerne vælger svage eller almindelige adgangskoder, "så har de kriminelle sandsynligvis det."
Med de begrænsede tilgængelige oplysninger kan de lettere adgangskoder muligvis stadig hentes. "Kriminelle vil hash de virkelig lette, og måske ikke gider med resten, " sagde Wisniewski.
For nogle af de slemme fyre er det bare at få adgang til sociale mediekonti som Facebook eller Twitter. Nogle bruger dem som en mulighed for at tjene penge ved at forsøge at sprede malware-infektioner. Flere initiativrige angribere kan forsøge at bruge den vedhæftede adgangskode til at låse op en webmail-konto.
"De kigger ofte efter e-mail fra brugerens bank; ofte er der en 'jeg har glemt min adgangskode' -funktion i den bank, der kun er afhængig af at have adgang til e-mail-kontoen, " sagde Risher.
Fortsætter i værste fald, er angriberen muligvis ikke færdig, når de har fået adgang til online bankoplysninger. "Mange af disse fyre vil ikke direkte engagere sig i identitetstyveri, de vil sælge det ud, " sagde Wisniewski.
Han fortsatte med at forklare, at angående bank-trojanere, vil angribere bruge de øverste 10 procent af konti - det vil sige dem med de mest tilgængelige midler - og sælge de øvrige 90 procent af informationen. Dette betyder, at brugeroplysninger, når de er kompromitteret, kan fortsætte med at blive brugt og genbrugt, indtil ejeren endelig får kontrol igen.
Hold dig sikker
"Den gode nyhed i alle de nyere er, at der ikke blev taget noget personligt identificerbart, " sagde Wisniewski, der flere gange understregede, at de berørte virksomheder i det mindste syntes at have taget gode skridt for at sikre brugerinformation.
Men som vi har set, er det ikke altid nok. Brugere skal overholde advarsler for at ændre adgangskoder, når de bliver bedt om af hackede tjenester. De bør også bestræbe sig på at vælge stærke og unikke adgangskoder til enhver online tjeneste, måske ved hjælp af en passwordadministrator for at gøre opgaven lettere.
Det, der er vigtigt at forstå, er, at brugeroplysninger er værdifulde og stadig kan være nyttige for angribere længe efter at du har sikret en berørt konto. Internettet giver mange måder at have det sjovt og arbejde på, men det giver også lige så mange muligheder for angreb.
