Video: Zo maak je veilige wachtwoorden, zonder veel gedoe - RTL NIEUWS (November 2024)
Bij elk van de recente aanvallen op Evernote, Facebook, Twitter en anderen wezen de betrokken bedrijven er snel op dat wachtwoorden veilig bleven. Maar gebruikersinformatie heeft een eigen leven en de gevolgen van een aanval op een persoon kunnen worden gevoeld lang nadat de aanval voorbij is.
De aanvallen die we hebben gezien
Wat u meestal hoort wanneer een groot bedrijf is gecompromitteerd, is iets dat lijkt op hoe betalingsinformatie nog steeds veilig is, wachtwoorden werden gecodeerd, maar andere informatie was toegankelijk. Meestal omvat dit gebruikersnamen en e-mails.
Voor de meesten van ons lijkt dat misschien niet gevaarlijk. We geven tenslotte altijd onze eigen e-mails - we plaatsen ze zelfs online. Maar er zijn risico's voor gebruikers die zelfs deze kleine hoeveelheid informatie hebben blootgelegd.
Derek Halliday, senior productmanager bij Lookout mobiele beveiliging, legde aan SecurityWatch uit hoe deze stukjes informatie gebruikers tot doelwitten kunnen maken. "Accountinformatie kan worden gebruikt om spearphishing mogelijk te maken, omdat het unieke contextuele informatie over mensen biedt - een manier om contact met hen op te nemen, " zei hij. "En het feit dat ze zich op een bepaald moment hebben aangemeld voor een bepaalde service."
Dit is de reden waarom legitieme waarschuwings-e-mails gebruikers er vaak aan herinneren dat hun informatie is blootgesteld dat niemand ooit om hun wachtwoord zal vragen. Als een hacker weet dat u Evernote gebruikt (bijvoorbeeld), is het korte werk om een bericht te maken dat afkomstig lijkt te zijn van Evernote en te verzenden naar het e-mailadres dat u gebruikt om uw account te beheren. Misschien wordt u gevraagd om uw wachtwoord of betalingsinformatie op te geven of kunt u ervoor zorgen dat u op een kwaadaardige link klikt.
"We hebben cybercriminelen gezien die bereid zijn deel te nemen aan de 'long con', " zei Mark Risher, de mede-oprichter en CEO van Impermium. "Een aanval in meerdere stappen die verder gaat dan het rechtstreeks besturen van gevoelige gegevens."
"Wanneer criminelen inbreken op een sociaal netwerkaccount, kunnen ze vaak persoonlijke gegevens vinden die legitimiteit toevoegen aan een spearphishing, " vervolgde Risher, die een alumnivereniging noemde als een dergelijk persoonlijk detail. Hij legde uit dat kan worden gebruikt om de functie "geheime vraag" te openen - die soms vraagt wat uw schoolmascotte was, of de naam van uw eerste huisdier - op een andere website.
Het slechtste geval
Chester Wisniewski, senior beveiligingsadviseur bij Sophos, zei dat hoewel Evernote en andere recent gecompromitteerde websites hun wachtwoorden beveiligden met cryptografische hashes en willekeurige "zoute" gegevens, mogelijk niet alle gebruikers worden beschermd. Hij legde uit dat als gebruikers zwakke of algemene wachtwoorden kiezen, "de criminelen het waarschijnlijk hebben."
Met de beperkte informatie die beschikbaar is, kunnen de gemakkelijkere wachtwoorden nog steeds worden opgehaald. "Criminelen gaan de echt gemakkelijke hasj hashen, en zullen zich misschien niet druk maken om de rest, " zei Wisniewski.
Voor sommige slechteriken is het eenvoudig genoeg om toegang te krijgen tot sociale media-accounts zoals Facebook of Twitter. Sommigen gebruiken het als een kans om geld te verdienen, door te proberen malware-infecties te verspreiden. Meer ondernemende aanvallers kunnen proberen het gestuurde wachtwoord te gebruiken om een webmailaccount te ontgrendelen.
"Ze zoeken vaak naar e-mail van de bank van de gebruiker; vaak is er een functie" Ik ben mijn wachtwoord vergeten "bij die bank die uitsluitend afhankelijk is van toegang tot het e-mailaccount, " zei Risher.
Doorgaan in het slechtste geval, de aanvallers zijn misschien niet klaar als ze eenmaal toegang hebben gekregen tot online bankgegevens. "Veel van deze jongens gaan zich niet direct bezighouden met identiteitsdiefstal, ze zullen het verkopen", zei Wisniewski.
Hij legde verder uit dat in het geval van banktrojans, aanvallers de top 10 procent van de rekeningen zullen gebruiken - dat wil zeggen, degenen met de meest beschikbare middelen - en de andere 90 procent van de informatie zullen verkopen. Dit betekent dat gebruikersinformatie, eenmaal gecompromitteerd, kan worden gebruikt en hergebruikt totdat de eigenaar eindelijk weer controle heeft.
Houd uzelf veilig
"Het goede nieuws in alle recente is dat er niets persoonlijk identificeerbaar is genomen, " zei Wisniewski, die verschillende keren benadrukte dat de getroffen bedrijven op zijn minst goede stappen leken te hebben genomen om gebruikersinformatie te beveiligen.
Maar zoals we hebben gezien, is dat niet altijd genoeg. Gebruikers moeten acht slaan op waarschuwingen om wachtwoorden te wijzigen wanneer daarom wordt gevraagd door gehackte services. Ze moeten er ook naar streven om sterke en unieke wachtwoorden te selecteren voor elke online service, misschien met behulp van een wachtwoordbeheerder om de taak gemakkelijker te maken.
Wat belangrijk is om te begrijpen, is dat gebruikersinformatie waardevol is en nog steeds nuttig kan zijn voor aanvallers lang nadat u een betrokken account hebt beveiligd. Internet biedt talloze manieren om plezier en werk te hebben, maar het biedt ook net zoveel mogelijkheden voor aanvallen.
