Jak napastnicy hakują konta i jak się przed nimi bronić
Przeglądając fora internetowe niejednokrotnie możemy spotkać się z narzekaniami osób na to, że ich dane lub konta do gier zostały wykradzione. Ludzie często mówią, że ich konta “shakowano”, ale czy tak naprawdę wiemy, w jaki sposób się to dzieje i czyja jest to wina?
Hakerzy, jeżeli takim mianem można określic zwykłych rabusiów kont, nie używają żadnych magicznych metod ani zaawansowanych narzędzi. Często niestety jest tak, że to my sami dajemy się nabrać na proste sztuczki napastników, w wyniku czego tracimy dostęp do kont lub danych. Przyjrzyjmy się najczęstszym scenariuszom, które towarzyszą “hakowaniu” kont i zastanówmy się nad tym, jak się przed nimi bronić.
Używanie tych samych haseł na wszystkich kontach
Zdecydowana większość osób używa tego samego hasła dla wszystkich (lub większości kont). Oznacza to, że jeżeli jedno konto zostanie złamane, to napastnik automatycznie uzyska dostęp do całej reszty. Sytuację dodatkowo pogarsza fakt, że czasem dochodzi do masowych wycieków list kont i haseł i nawet możemy nie wiedzieć o tym, że nasze dane znajdują się na jakieś liście.
Przede wszystkim należy upewnić się, że do każdego konta mamy inne hasło. Jeżeli ciężko nam zapamiętać skomplikowane hasła dla różnych kont, to warto skorzystać z menedżerów haseł, takich jak LastPass bądź KeePass, które przechowują nasze hasła w zaszyfrowanej formie i automatycznie uzupełniają pola w przeglądarce. Warto także sprawdzić, czy nasz adres e-mail nie jest narażony na niebezpieczeństwo i nie znajduje się na jakieś liście, która wyciekła. Można to sprawdzić za pomocą serwisu PwnedList.
Wchodzenie na podejrzane strony z niepewnych linków
Kolejną metodą na wykradanie danych jest tzw. phishing, czyli przygotowywanie przez hakera odpowiednio spreparowanych stron, które do złudzenia przypominają oryginalne odpowiedniki (np. strony logowania w banku czy strony logowania na poczcie), ale w rzeczywistości są podpuchą mającą na celu wykraść nasze dane. Korzystając z formularza logowania przesyłamy dane do napastnika, a nie do serwera, który powinien nas zalogować na konto.
Łatwo to jednak skontrować poprzez zwracanie uwagi na adres strony - jego nie da się podrobić i zazwyczaj różni się przynajmniej jedną literą od oryginalnego odpowiednika. Nie należy także klikać w żadne linki, które dostajemy w poczcie e-mail od nieznanych nadawców, ani tym bardziej logować się za ich pomocą do naszego banku czy do konta gry.
Uruchamianie niebezpiecznych plików i keyloggery
O keyloggerach pisaliśmy już w osobnym artykule. Jest to rodzaj szkodliwego oprogramowania, które instaluje się wraz z innymi programami, działa w tle i monitoruje naszą klawiaturę. Często rozprzestrzeniany jest za pomocą poczty e-mail. Keylogger zapisuje wszystkie znaki, które wklepiemy na klawiaturze, po czym wysyła zebrane dane do atakującego, który to wszystko analizuje i próbuje włamać się na nasze konto. Prosta, ale - niestety - skuteczna metoda.
Przede wszystkim pod żadnym pozorem nie należy otwierać plików EXE załączonych do wiadomości e-mail od nieznanych odbiorców. Należy również zabezpieczyć się w dobry program antywirusowy i zaporę sieciową. Jeśli szukacie dobrych pakietów zabezpieczających, to warto przyjrzeć się naszemu tekstowi o tym, jak za darmo samemu skompletować pakiet zabezpieczający.
W ekstremalnych przypadkach można także użyć klawiatury ekranowej do wpisywania hasła lub numerów karty kredytowej podczas płatności - uaktywniając wirtualną klawiaturę i wpisując dane przy użyciu kursora myszy ograniczamy działanie szkodnika monitorującego klawiaturę fizyczną. Taką opcję możemy w Windowsie włączyć poprzez udane się do menu Start i wpisanie w wyszukiwarce “Klawiatura ekranowa”.
Udostępnianie zbyt wielu informacji o sobie
Portale społecznościowe mogą być dobrym źródłem zbierania informacji o potencjalnym celu. Zakładając konto w jakimś serwisie często musimy podać odpowiedzi na pytania zabezpieczające. Pytania te - niestety - często się powtarzają i ograniczają do propozycji typu “Jakie jest imię mojego zwierzaka?”. Wystarczy, że ktoś zna odpowiedź na to pytanie i będzie w stanie uzyskać dostęp do naszego konta.
Przede wszystkim nie udostępniajmy zbyt wielu prywatnych informacji na portalach społecznościowych. Warto przejrzeć ustawienia prywatności na Facebooku i upewnić się, że dostęp do poszczególnych danych mają tylko najbliższe osoby. W profilu publicznym powinniśmy mieć udostępnioną minimalną ilość informacji. Z naszych postów, listy ulubionych filmów i piosenkarzy, a także opisu “o mnie” można wywnioskować więcej, niż nam się wydaje.
Nie należy także szczerze odpowiadać na pytania podczas zakładania kont. Powinny być one jedynie wyznacznikiem, który pomoże nam przypomnieć sobie hasło. Dlatego warto trochę poeksperymentować i np. na pytanie o imię przyjaciela z dzieciństwa podać odpowiedź w postaci imienia ulubionej postaci z książki lub gry. Niech to będzie informacja, która nie jest dostępna dla każdego.
Używanie przestarzałych wtyczek i oprogramowania zabezpieczającego
Często używamy przestarzałych wtyczek, dodatków oraz bibliotek w komputerze. Przykładem jest kontrowersyjna Java, która niedawno posiadała mnóstwo luk w zabezpieczeniach i mogła przyczynić się do zainstalowania w komputerze keyloggera. Podobnie sprawa ma się w przypadku antywirusów - przestarzała baza sygnatur wirusów nie pomoże w wykryciu zagrożenia.
Przede wszystkim należy zaktualizować Javę - wiele stron używa apletów korzystających z tej technologii i może zostać ona użyta do niecnych celów. Warto także upewnić się, że korzystamy z dobrego i na bieżąco aktualizowanego oprogramowania antywirusowego.
Podsumowanie
Jak widać hakerzy kont nie są nadludzkimi istotami o niebotycznych umiejętnościach - to po prostu bystre osoby wykorzystujące niewiedzę i naiwność innych użytkowników. W większości przypadków sami jesteśmy winni tego, że ktoś nam shakował konto - słabe i powtarzające się hasła, masowe ściąganie niepewnego oprogramowania, udostępnianie zbyt dużej ilości informacji o sobie, a także korzystanie z wątpliwych stron powoduje, że łatwo jest wykraść dane i przejąć czyjeś konto. Wystarczy jednak zastosować się do prostych zasad, a z pewnością nasze dane nie zostaną nikomu udostępnione.