Ko ustvarite račune v spletu, delite podrobnosti o svoji identiteti. Kako lahko zaščitite te podatke?
Račun ustvarite vsakič, ko se prijavite na spletno mesto, družbeno omrežje ali aplikacijo. Kot aktivni uporabnik interneta ste zagotovo ustvarili več računov, od katerih ste nekatere pozabili.
Številne platforme ne izbrišejo uporabniških računov. To pomeni, da so vaši osebni podatki še vedno na platformah, čeprav jih niste dolgo uporabljali. Ustvarjanje več računov na spletu kibernetskim kriminalcem omogoča pridobitev vaših osebnih podatkov z napadi na podlagi identitete. Kako natančno izvajajo te napade in kaj lahko storite, da jih ustavite?
Kaj so napadi na podlagi identitete?
Do napadov na podlagi identitete pride, ko kibernetski kriminalci ciljajo na vaš računalniški sistem, omrežje ali račun, da pridobijo vaše osebne podatke za nezakonite ali zlonamerne dejavnosti. Znani tudi kot napadi z lažnim predstavljanjem, akterji groženj jih izkoristijo za zbiranje občutljivih podatkov, krajo denarja in uničenje ugleda tarče.
5 vrst napadov na podlagi identitete in kako delujejo
Kibernetski kriminalci uporabljajo naslednje strategije za nadaljevanje napadov na podlagi identitete.
1. Lažno predstavljanje
Lažno predstavljanje je, ko vas vsiljivec kontaktira prek e-pošte, besedilnih sporočil ali neposrednih sporočil na družbenih omrežjih za dragocene informacije pod krinko zakonite osebe ali ustanove. Informacije, ki jih želijo, so lahko podatki o vaši bančni in kreditni kartici, gesla za račune in drugi osebni podatki.
Obstajajo običajne rdeče zastavice za prepoznavanje poskusov lažnega predstavljanja. Sporočilo ima običajno občutek nujnosti, da takoj pošljete informacije, vsebuje hiperpovezave, ki jih želite klikniti, ali vsebuje dokumente, priložene e-poštnemu sporočilu, ki ga želite odpreti. Obstaja tudi stari trik dajanja ponudb, ki so predobre, da bi bile resnične.
2. Polnjenje poverilnic
Polnjenje poverilnic je zbiranje podatkov z ene platforme in preizkušanje na drugi platformi da vidim, če bo veljavno. Napadalec na primer pridobi ali kupi nabor podatkov, vključno z veljavnimi uporabniškimi imeni in gesli na Facebooku, ter preizkusi poverilnice za prijavo na Twitterju. Uspešni bodo, če bodo žrtve uporabljale iste poverilnice za prijavo na obeh platformah.
Raziskave kažejo, da ima polnjenje poverilnic nizko stopnjo uspešnosti, vendar je odvisna od konteksta. Količina podatkov, ki jih napadalci pridobijo za polnjenje poverilnic, sega do milijonov in milijard uporabniških imen. Tudi z uspešnostjo 0,1 bodo zabeležili oprijemljiv uspeh. Vaš račun bi lahko bil med veljavnimi vnosi.
3. Man-in-the-Middle napadi
Prisluškovanje je učinkovit način pridobivanja osebnih podatkov ljudi brez njihove privolitve. To se zgodi z napadi Man-in-the-Middle. Kibernetski kriminalci se strateško umestijo med vaše komunikacijske kanale. Ko pošiljate osebne podatke iz ene aplikacije v drugo, jih te prestrežejo.
Man-in-the-Middle je učinkovit pri napadih na podlagi identitete, ker žrtev ne pozna naprave za prestrezanje. Akterji groženj lahko zamenjajo podatke med prenosom z zlonamernim sporočilom. Prejemnik prejme napadalčevo sporočilo in ukrepa na podlagi njega, pri čemer misli, da ga je poslal prvotni pošiljatelj.
4. Razprševanje gesel
Če pozabite geslo in nato večkrat vnesete več napačnih gesel, boste morda začasno blokirani na platformi. In to zato, ker sistem sumi napačno igro. Kibernetski kriminalci uporabljajo razprševanje gesel, da se izognejo blokadi, ko poskušajo vdreti v račune. Združijo skupno geslo z več uporabniškimi imeni v istem omrežju. Sistem ne bo zaznal nobene napake, ker bo videti, kot da ima več uporabnikov neuspešne poskuse prijave.
Akterji groženj zelo zaupajo razprševanju gesel, ker ljudje za svoja gesla uporabljajo običajne besede in besedne zveze. Med stotinami uporabniških imen ni presenetljivo, da ima nekaj ljudi za geslo skupno besedo.
5. Pass-the-Hash
Napad »pass-the-hash« je postopek, pri katerem napadalec ugrabi načrt vašega gesla. Ni jim treba poznati ali pridobiti golega besedila vašega gesla, ampak njegovo "zgoščeno" kopijo, ki je sestavljena iz naključnih znakov.
Hekerji lahko pridobijo zgoščeno geslo z manipulacijo protokola New Technology LAN Manager (NTLM). Zgoščena vrednost gesla je tako dobra kot geslo samo. Če ne spremenite gesla, zgoščena vrednost ostane enaka. Napadalec ga lahko uporabi za dostop do vašega sistema in pridobitev vaših osebnih podatkov v napadu na podlagi identitete.
Kako lahko preprečite napade na podlagi identitete?
Preprečevanje napadov na podlagi identitete pomeni ohranjanje vaših osebnih podatkov daleč od vsiljivcev, ki jih iščejo. Tukaj je nekaj načinov za to.
1. Deaktivirajte mirujoče račune
Vodenje zavihkov vseh spletnih sistemov, v katere se prijavite, ni običajna praksa. Običajno je, da nadaljujete, ko računov ne potrebujete več, ne da bi jih izbrisali. Toda, kar vam ni znano, so zapuščeni računi poti za vektorje groženj za dostop do vaših podatkov. Brisanje vaših neaktivnih računov vam pomaga zmanjšati izpostavljenost osebnih podatkov.
Ustvarjanje preglednice vseh vaših računov je dober način za njihovo sledenje. Preverite lahko upravitelja gesel svojega ponudnika e-pošte, da si ogledate vse svoje račune in njihova gesla. Deaktivirajte račune, ki jih niste uporabljali leta.
2. Sprejmite večfaktorsko avtentikacijo
Večfaktorsko preverjanje pristnosti zahteva, da uporabniki, ki poskušajo dostopati do vašega sistema, opravijo več preverjanj. To pomeni, da heker, ki pridobi vaše veljavno uporabniško ime in geslo, ni dovolj za dostop do vašega računa. Morali bi potrditi svojo identiteto prek vašega e-poštnega naslova, telefonske številke ali naprave.
Večfaktorsko preverjanje pristnosti je močna obramba pred napadi, ki temeljijo na identiteti, saj mora imeti vsiljivec dostop do več vaših računov ali naprav, da opravi preverjanja. Čeprav jih je nekaj ranljivosti večfaktorske avtentikacije, ki jih hekerji lahko izkoristijo, je na splošno varen in ga je težko premagati.
3. Izvedite nadzor dostopa z najmanjšimi pravicami
Uporaba sistemov za preverjanje pristnosti za preverjanje uporabnikov na vstopni točki ne pomeni, da so vsi, ki so opravili preverjanje, neškodljivi. Najmanjši privilegij je načelo nadzora dostopa, ki vam omogoča, da ves promet in uporabnike vašega omrežja obravnavate kot osumljence. Namesto da bi vsa področja odprli vsem, jim omejite dostop do tistega, kar jih zadeva.
Vaši osebni podatki naj bodo izključeni za druge uporabnike, vključno z osebjem za kibernetsko varnost, ki izvaja vzdrževanje in popravila sistema. Če jim morate omogočiti dostop, spremljajte njihove dejavnosti in jih pokličite na odgovornost za kakršno koli sumljivo vedenje.
4. Izboljšajte kulturo gesel
Številni napadi, ki temeljijo na identiteti, so za uspeh močno odvisni od gesel. Če bi lahko zaščitili svoja gesla, ste izven radarja ohranjalcev. Vaša gesla je lahko vse prej kot enostavno uganiti. Izogibajte se pogostim besedam in številkam, ki so povezane z vami.
Če želite biti varnejši, za gesla izberite fraze namesto besed. Še pomembneje je, da ne uporabite enega gesla za več kot en račun. Ustvarjanje edinstvenih gesel za več računov si je lahko težko zapomniti. To oviro lahko preskočite z uporabo varnega upravitelja gesel.
5. Gojite ozaveščenost o kibernetski varnosti
Ena največjih obramb kibernetske varnosti, ki jo lahko zgradite, je pridobivanje razumevanja in strokovnega znanja. Tudi če uporabljate najbolj izpopolnjena varnostna orodja, jih ne boste najbolje izkoristili, ne da bi jih znali uporabljati.
Seznanite se s tehnikami kibernetskih napadov, kako delujejo in kako jih preprečiti. Na primer, če ste seznanjeni z lažnim predstavljanjem, boste dvakrat premislili, preden kliknete ali odprete nenavadne povezave in priloge. Neuporaba istega gesla za več računov vas tudi prihrani pred nalaganjem poverilnic.
Napadi na podlagi identitete se začnejo pri vas. Akterji groženj vas ne morejo ciljati na ta način, če nimajo vaših osebnih podatkov. Imajo vzvod nad vami v trenutku, ko se dokopajo do vaših osebnih podatkov.
Pozornost na vaš digitalni odtis vam pomaga nadzorovati, do česa o vas lahko dostopajo. Ne morejo pridobiti tistega, kar ni na voljo.