Μοιράζεστε λεπτομέρειες σχετικά με την ταυτότητά σας κάθε φορά που δημιουργείτε λογαριασμούς στο διαδίκτυο. Πώς μπορείτε να προστατεύσετε αυτές τις πληροφορίες;
Δημιουργείτε έναν λογαριασμό κάθε φορά που εγγράφεστε σε έναν ιστότοπο, ένα κοινωνικό δίκτυο ή μια εφαρμογή. Ως ενεργός χρήστης του διαδικτύου, πρέπει να έχετε δημιουργήσει αρκετούς λογαριασμούς, κάποιους από τους οποίους έχετε ξεχάσει.
Πολλές πλατφόρμες δεν διαγράφουν λογαριασμούς χρηστών. Αυτό σημαίνει ότι τα προσωπικά σας στοιχεία εξακολουθούν να βρίσκονται σε πλατφόρμες, παρόλο που δεν τα έχετε χρησιμοποιήσει για πολύ. Η δημιουργία πολλαπλών λογαριασμών στο διαδίκτυο επιτρέπει στους εγκληματίες του κυβερνοχώρου να ανακτούν τις προσωπικές σας πληροφορίες μέσω επιθέσεων βάσει ταυτότητας. Πώς ακριβώς εκτελούν αυτές τις επιθέσεις και τι μπορείτε να κάνετε για να τις σταματήσετε;
Τι είναι οι επιθέσεις με βάση την ταυτότητα;
Οι επιθέσεις που βασίζονται στην ταυτότητα συμβαίνουν όταν οι εγκληματίες του κυβερνοχώρου στοχεύουν το σύστημα του υπολογιστή, το δίκτυο ή τον λογαριασμό σας για να ανακτήσουν τα προσωπικά σας στοιχεία για παράνομες ή κακόβουλες δραστηριότητες. Γνωστές και ως επιθέσεις πλαστοπροσωπίας, οι φορείς απειλών τις χρησιμοποιούν για να συλλέξουν ευαίσθητα δεδομένα, να κλέψουν χρήματα και να καταστρέψουν τη φήμη του στόχου.
5 Τύποι επιθέσεων που βασίζονται στην ταυτότητα και πώς λειτουργούν
Οι εγκληματίες του κυβερνοχώρου αναπτύσσουν τις ακόλουθες στρατηγικές για να διαιωνίσουν επιθέσεις βάσει ταυτότητας.
1. Phishing
Το ψάρεμα είναι όταν ένας εισβολέας επικοινωνεί μαζί σας μέσω email, μηνυμάτων κειμένου ή άμεσων μηνυμάτων στα μέσα κοινωνικής δικτύωσης για πολύτιμες πληροφορίες με το πρόσχημα ενός νόμιμου προσώπου ή ιδρύματος. Οι πληροφορίες που θέλουν μπορεί να είναι τα στοιχεία της τραπεζικής και της πιστωτικής σας κάρτας, οι κωδικοί πρόσβασης του λογαριασμού και άλλες προσωπικές πληροφορίες.
Υπάρχουν κοινές κόκκινες σημαίες για τον εντοπισμό προσπαθειών phishing. Τα μηνύματα συνήθως έχουν την αίσθηση του επείγοντος για να στείλετε τις πληροφορίες αμέσως, περιέχει υπερσυνδέσμους στους οποίους θέλουν να κάνετε κλικ ή έχει έγγραφα συνημμένα σε ένα email που θέλουν να ανοίξετε. Υπάρχει επίσης το παλιό κόλπο να κάνετε προσφορές που είναι πολύ καλές για να είναι αληθινές.
2. Γέμισμα διαπιστευτηρίων
Η γέμιση διαπιστευτηρίων είναι συλλογή δεδομένων από μια πλατφόρμα και δοκιμή σε άλλη πλατφόρμα για να δούμε αν θα ισχύει. Για παράδειγμα, ένας εισβολέας ανακτά ή αγοράζει ένα σύνολο δεδομένων, συμπεριλαμβανομένων έγκυρων ονομάτων χρήστη και κωδικών πρόσβασης στο Facebook και δοκιμάζει τα διαπιστευτήρια σύνδεσης στο Twitter. Θα είναι επιτυχείς εάν τα θύματα χρησιμοποιήσουν τα ίδια διαπιστευτήρια σύνδεσης και στις δύο πλατφόρμες.
Η έρευνα δείχνει ότι η γέμιση διαπιστευτηρίων έχει χαμηλό ποσοστό επιτυχίας, αλλά εξαρτάται από το πλαίσιο. Ο όγκος των δεδομένων που αποκτούν οι εισβολείς για το γέμισμα διαπιστευτηρίων ανέρχεται σε εκατομμύρια και δισεκατομμύρια ονόματα χρηστών. Ακόμη και με ποσοστό επιτυχίας 0,1, θα σημειώσουν απτή επιτυχία. Ο λογαριασμός σας θα μπορούσε να είναι μεταξύ των έγκυρων καταχωρίσεων.
3. Man-in-the-Middle Attacks
Η υποκλοπή είναι ένας αποτελεσματικός τρόπος για να λαμβάνετε τα προσωπικά στοιχεία των ανθρώπων χωρίς τη συγκατάθεσή τους. Αυτό συμβαίνει με τις επιθέσεις Man-in-the-Middle. Οι κυβερνοεγκληματίες τοποθετούνται στρατηγικά μεταξύ των καναλιών επικοινωνίας σας. Καθώς στέλνετε προσωπικά δεδομένα από τη μια εφαρμογή στην άλλη, τα υποκλοπούν.
Το Man-in-the-Middle είναι αποτελεσματικό για επιθέσεις που βασίζονται στην ταυτότητα λόγω της άγνοιας του θύματος για τη συσκευή αναχαίτισης. Οι φορείς απειλής μπορούν να αντικαταστήσουν τα δεδομένα που διαβιβάζονται με ένα κακόβουλο μήνυμα. Ο παραλήπτης λαμβάνει το μήνυμα του εισβολέα και ενεργεί σύμφωνα με αυτό, νομίζοντας ότι ήταν από τον αρχικό αποστολέα.
4. Ψεκασμός κωδικού πρόσβασης
Εάν ξεχάσετε τον κωδικό πρόσβασής σας και στη συνέχεια εισαγάγετε πολλούς λανθασμένους κωδικούς πρόσβασης πολλές φορές, ενδέχεται να αποκλειστείτε προσωρινά στην πλατφόρμα. Και αυτό συμβαίνει επειδή το σύστημα υποπτεύεται φάουλ. Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν ψεκασμό κωδικών πρόσβασης για να αποφύγουν τον αποκλεισμό όταν προσπαθούν να χακάρουν λογαριασμούς. Συνδυάζουν έναν κοινό κωδικό πρόσβασης με πολλά ονόματα χρήστη στο ίδιο δίκτυο. Το σύστημα δεν θα υποψιαστεί κανένα σφάλμα επειδή θα φαίνεται ότι πολλοί χρήστες έχουν αποτυχημένες προσπάθειες σύνδεσης.
Οι φορείς απειλών έχουν μεγάλη εμπιστοσύνη στον ψεκασμό κωδικών πρόσβασης επειδή οι άνθρωποι χρησιμοποιούν κοινές λέξεις και φράσεις ως κωδικούς πρόσβασης. Από τα εκατοντάδες ονόματα χρήστη, δεν προκαλεί έκπληξη το γεγονός ότι μερικά άτομα θα έχουν μια κοινή λέξη ως κωδικό πρόσβασης.
5. Pass-the-Hash
Μια επίθεση pass-the-hash είναι μια διαδικασία κατά την οποία ένας εισβολέας πειράζει το σχέδιο του κωδικού πρόσβασής σας. Δεν χρειάζεται να γνωρίζουν ή να λάβουν το απλό κείμενο του κωδικού πρόσβασής σας, αλλά το «κατακερματισμένο» αντίγραφό του που αποτελείται από τυχαίους χαρακτήρες.
Οι χάκερ μπορούν να ανακτήσουν τον κατακερματισμένο κωδικό πρόσβασης χειραγωγώντας το πρωτόκολλο New Technology LAN Manager (NTLM). Ο κατακερματισμός του κωδικού πρόσβασης είναι τόσο καλός όσο και ο ίδιος ο κωδικός πρόσβασης. Αν δεν αλλάξετε τον κωδικό πρόσβασης, ο κατακερματισμός παραμένει ο ίδιος. Ένας εισβολέας μπορεί να το χρησιμοποιήσει για να αποκτήσει πρόσβαση στο σύστημά σας και να ανακτήσει τα προσωπικά σας στοιχεία σε μια επίθεση που βασίζεται σε ταυτότητα.
Πώς μπορείτε να αποτρέψετε τις επιθέσεις που βασίζονται στην ταυτότητα;
Η πρόληψη επιθέσεων που βασίζονται στην ταυτότητα είναι να κρατάτε τα προσωπικά σας στοιχεία μακριά από τους εισβολείς που τα αναζητούν. Εδώ είναι μερικοί τρόποι για να το κάνετε αυτό.
1. Απενεργοποιήστε τους αδρανείς λογαριασμούς
Δεν είναι κοινή πρακτική να διατηρείτε μια καρτέλα με όλα τα διαδικτυακά συστήματα στα οποία εγγράφεστε. Είναι χαρακτηριστικό να προχωρήσετε όταν δεν χρειάζεστε πλέον τους λογαριασμούς χωρίς να τους διαγράψετε. Όμως, άγνωστοι σε εσάς, οι εγκαταλειμμένοι λογαριασμοί είναι λεωφόροι για τους φορείς απειλής για πρόσβαση στα δεδομένα σας. Η διαγραφή των ανενεργών λογαριασμών σας σάς βοηθά να ελαχιστοποιήσετε την έκθεση προσωπικών δεδομένων.
Η δημιουργία ενός υπολογιστικού φύλλου για όλους τους λογαριασμούς σας είναι ένας καλός τρόπος για να τους παρακολουθείτε. Μπορείτε να ελέγξετε τη διαχείριση κωδικών πρόσβασης του παρόχου email σας για να δείτε όλους τους λογαριασμούς σας και τους κωδικούς πρόσβασής τους. Απενεργοποιήστε τους λογαριασμούς που δεν έχετε χρησιμοποιήσει εδώ και χρόνια.
2. Υιοθετήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων
Ο έλεγχος ταυτότητας πολλαπλών παραγόντων οδηγεί τους χρήστες που προσπαθούν να αποκτήσουν πρόσβαση στο σύστημά σας μέσω πολλών επαληθεύσεων. Σημαίνει ότι ένας χάκερ που αποκτά το έγκυρο όνομα χρήστη και τον κωδικό πρόσβασής σας δεν αρκεί για να αποκτήσει πρόσβαση στον λογαριασμό σας. Θα πρέπει να επαληθεύσουν την ταυτότητά τους μέσω της διεύθυνσης email, του αριθμού τηλεφώνου ή της συσκευής σας.
Ο έλεγχος ταυτότητας πολλαπλών παραγόντων είναι μια ισχυρή άμυνα έναντι επιθέσεων βάσει ταυτότητας, επειδή ένας εισβολέας πρέπει να έχει πρόσβαση σε πολλούς λογαριασμούς ή συσκευές σας για να περάσει τις επαληθεύσεις. Αν και υπάρχουν μερικά ευπάθειες ελέγχου ταυτότητας πολλαπλών παραγόντων που μπορούν να εκμεταλλευτούν οι χάκερ, είναι γενικά ασφαλές και δύσκολο να νικηθεί.
3. Εφαρμόστε τον έλεγχο πρόσβασης ελάχιστων προνομίων
Η χρήση συστημάτων ελέγχου ταυτότητας για την επικύρωση των χρηστών στο σημείο εισόδου δεν σημαίνει ότι όλοι όσοι πέρασαν τον έλεγχο είναι αβλαβείς. Το ελάχιστο προνόμιο είναι μια αρχή ελέγχου πρόσβασης που σας δίνει τη δυνατότητα να αντιμετωπίζετε όλη την επισκεψιμότητα και τους χρήστες του δικτύου σας ως ύποπτους. Αντί να ανοίγει όλες τις περιοχές σε οποιονδήποτε, περιορίζει την πρόσβασή τους σε ό, τι τους αφορά.
Διατηρήστε τα προσωπικά σας δεδομένα εκτός ορίων για άλλους χρήστες, συμπεριλαμβανομένου του προσωπικού ασφάλειας στον κυβερνοχώρο που εκτελεί συντήρηση και επισκευές συστήματος. Εάν πρέπει να τους παραχωρήσετε πρόσβαση, παρακολουθήστε τις δραστηριότητές τους και θεωρήστε τους υπεύθυνους για τυχόν ύποπτες συμπεριφορές.
4. Βελτιώστε την κουλτούρα κωδικών πρόσβασης
Πολλές επιθέσεις που βασίζονται σε ταυτότητα βασίζονται σε μεγάλο βαθμό στους κωδικούς πρόσβασης για να είναι επιτυχείς. Εάν μπορούσατε να προστατεύσετε τους κωδικούς πρόσβασής σας, είστε εκτός του ραντάρ των διαιωνιστών. Οι κωδικοί πρόσβασής σας κάθε άλλο παρά εύκολο είναι να μαντέψετε. Αποφύγετε κοινές λέξεις και αριθμούς που σχετίζονται με εσάς.
Για να είστε πιο ασφαλείς, επιλέξτε φράσεις αντί λέξεων ως κωδικούς πρόσβασης. Το πιο σημαντικό, μην χρησιμοποιείτε έναν μόνο κωδικό πρόσβασης σε περισσότερους από έναν λογαριασμούς. Η δημιουργία μοναδικών κωδικών πρόσβασης για πολλούς λογαριασμούς μπορεί να είναι δύσκολο να θυμάστε. Μπορείτε να πηδήξετε αυτό το εμπόδιο χρησιμοποιώντας έναν ασφαλή διαχειριστή κωδικών πρόσβασης.
5. Καλλιεργήστε την ευαισθητοποίηση για την κυβερνοασφάλεια
Μία από τις μεγαλύτερες άμυνες κυβερνοασφάλειας που μπορείτε να δημιουργήσετε είναι να αποκτήσετε κατανόηση και εξειδίκευση.. Ακόμα κι αν εφαρμόσετε τα πιο εξελιγμένα εργαλεία ασφαλείας, δεν θα αξιοποιήσετε στο έπακρο χωρίς να γνωρίζετε πώς να τα χρησιμοποιήσετε.
Εξοικειωθείτε με τις τεχνικές κυβερνοεπιθέσεων, πώς λειτουργούν και πώς να τις αποτρέψετε. Για παράδειγμα, εάν είστε εξοικειωμένοι με το phishing, θα σκεφτείτε δύο φορές πριν κάνετε κλικ ή ανοίξετε περίεργους συνδέσμους και συνημμένα. Η μη χρήση του ίδιου κωδικού πρόσβασης σε πολλούς λογαριασμούς σας εξοικονομεί επίσης από το γέμισμα διαπιστευτηρίων.
Οι επιθέσεις που βασίζονται στην ταυτότητα ξεκινούν από εσάς. Οι φορείς απειλών δεν μπορούν να σας στοχοποιήσουν με αυτόν τον τρόπο εάν δεν έχουν τα προσωπικά σας στοιχεία. Έχουν μόχλευση πάνω σας τη στιγμή που αποκτούν τα προσωπικά σας στοιχεία.
Το να προσέχετε το ψηφιακό σας αποτύπωμα σάς βοηθά να ελέγχετε τι μπορούν να έχουν πρόσβαση για εσάς. Δεν μπορούν να ανακτήσουν ό, τι δεν είναι διαθέσιμο.
