Sosyal Mühendislik Hackleri ve Bağlantılı Hesaplar: Kimlik Hırsızlığına Karşı Nasıl Korunur?

Bu gün ve yaşta, İnternet yaşamımızın ve kimliğimizin çoğu yönü ile yakın bir bağa sahiptir. Hemen hemen herkesin bir Facebook profili, muhtemelen bir Twitter hesabı, LinkedIn sayfası, çevrimiçi kontrol hesapları, çevrimiçi perakendecilere sahip hesaplar ve muhtemelen sadece sanal tozları toplayan diğer sitelerdeki pek çok eski profili var. Çoğumuz internete bilgilerimize güvenmeye geldik. PayPal, Facebook, Amazon ve diğer tüm büyük isimler gibi küresel, sofistike şirketlerin bilgimizi korsanlığa açık bırakmayacağından eminiz. Fakat dünyadaki bilgisayar korsanlarının toplu beyin gücü, bu şirketlerin sistemlerini ihlal etmek için yeni ve yenilikçi yollar bulmak için kullanılıyor.

Daha önce söylendi, ama tekrar söyleyeceğim: Güvenlik sadece en zayıf bağlantınız kadar güçlü. Kişisel bilgilerinize yol açan zincir ne kadar zayıf? Çevrimiçi varlığınızda hesaba katılacak çok sayıda güvenlik açığı bulunmaktadır: farkında olabileceğiniz bazı kişiler ve hiç düşünmediğiniz diğer kişiler. Çevrimiçi güvenlik işleminizde koruma ve önleme önemlidir - bir saldırıyı meydana geldikten sonra hasarı onarmaktan çok daha kolaydır.

Sosyal mühendislik nedir?

Bu bağlamda, sosyal mühendislik insanları kişisel bilgileri ifşa etmek için manipüle etmek için kullanılan bir yöntemdir. Wired'den Mat Honan'ın yeni bir makalesi, dijital hayatının çökmesine neden olan bir sosyal mühendislik hackinin kurbanı olduğunu anlattı. Amazon ve Apple’ın güvenlik protokollerindeki güvenlik açıkları, bir hacker’ın bir dizi yazarın hesaplarına erişmesine izin verdi. Hacker, bir fatura adresi ve kredi kartı numarasının son dört hanesi olan Amazon hesabına girebildi. Bu bilgi Apple'a hacker'ın Honan olduğunu ve Apple ID şifresini sıfırlamasına izin vermesi için gerekli olan her şeydi. Oradan, bilgisayar korsanı, Apple e-posta hesabına erişim sağladı. Bu, daha fazla çevrimiçi bilginin merkezi olan Gmail hesabına yöneldi. Bu işte sosyal mühendislik. Hacker'lar, Bay Honan'ın bir Amazon hesabının tamamen açık olmadığını biliyorlardı, ancak onları savunmasızlığına teslim eden olaylar zinciri dikkat çekiciydi:

“[Twitter] hesabımın karşısına geçtikten sonra, bilgisayar korsanları arka plan araştırması yaptılar. Twitter hesabım, Gmail adresimi bulduğum kişisel web siteme bağlandı. Bunun da Twitter için kullandığım e-posta adresi olduğunu tahmin eden Phobia [hacker], Google'ın hesap kurtarma sayfasına gitti. Aslında bir kurtarma girişimine bile gerek yoktu. Bu sadece bir keşif göreviydi. Google'ın iki faktörlü kimlik doğrulamasının etkinleştirilmediğinden, Phobia Gmail adresimi girdiğinde hesap kurtarma için oluşturduğum alternatif e-postayı görüntüleyebilir. Google, birçok karakteri oynadığı, ancak yeterli sayıda karakterin mevcut olduğu bilgisini kısmen gizler, m•••• [email protected]. Büyük ikramiye.”

Bağlı hesaplar hakkında iki kez düşünün

Dijital hayatınızın dizesi bir yerde başlar ve biter. Kolay bir güvenlik açığı bulunursa, bu durumdan yararlanılacaktır. Amazon o zamandan beri güvenlik prosedürlerini değiştirdiğini iddia etti, böylece bu tür bir istismar artık mümkün değil (ancak, Kablolu hikayeyi okuduktan sonra, tüm bilgilerimi Amazon'dan sildim ve bundan sonra her seferinde manuel olarak gireceğim. Çok dikkatli olmak gibi bir şey yok. Diğer yandan Apple, herhangi bir güvenlik politikasını değiştirdiğini söylemedi; Apple’ın yalnızca güvenlik önlemleri tamamen takip edilmediğini söyledi. Sosyal mühendislik taktiklerine duyarlı birçok şirket var ve bağlantılı hesaplarınız onlara nerede başlayacağını anlatıyor. Bazen en kolay istismar Facebook hesabınız olabilir.

Dijital olmayan hayatınıza giden dijital iz

Facebook profilinizin herkese açık olduğunu veya aslında bilmediğiniz kişilerin arkadaşlık isteklerini kabul ettiğinizi varsayarsanız, profiliniz doğum gününüzün tamamını içerir mi? Kişisel e-posta adresiniz, ev adresiniz ve telefon numaranız? Adını verdiğiniz eski bir aile hayvanına ait resimleriniz var mı, yoksa hala kızlık adını kullanan annenizle arkadaş mısınız? İlk sınıftan okulun adını gösteren ilk fotoğraflarınız var mı, ilk sevgilinizle mi, yoksa BFF ile mi?

Evet, neden tüm bu kişisel soruları soruyorum? Peki, doğum tarihiniz ve adresiniz sizi başka şirketlere veya internete taklit etmeye başlamak için yeterince bilgi verebilir. Bazı durumlarda, sosyal güvenlik numaranızın son dört hanesine ihtiyacım olabilir, ancak düşündüğünüz durma bu değil. Peki, neden ilk aile evcil hayvanınız, annenizin kızlık soyadı, ilk ilkokulunuz, ilk kız arkadaşınız veya en iyi arkadaşınızın adı niçin? Hesap kurtarma işlemleri için tüm güvenlik sorularının yanıtlarıdır. Bilinmiyorsa, e-postanızı kırdım, ancak gerçek hedefim banka hesabınız, şimdi güvenlik sorularınızın yanıtlarını aldım ve erişim kazanmak için banka hesabınızdaki şifreyi değiştirebiliyorum.İyi bir önlem için muhtemelen e-postanızdaki şifreyi de değiştireceğim ya da bunu istismar ederek yaparsam hesabı tamamen silebilirim. Elbette, bu durumu ideal kılacak birçok faktör var ve kimliğinizi üstlenmek için kullanılabilecek başka yöntemler de var.

Tamamen rastgele bir örnek olarak “bucketKid” gibi zayıf şifreleriniz varsa, hesabınıza yapılan kaba kuvvet saldırısı, parolanızı kırmak için yaklaşık sekiz gün sürebilir (daha çok Öneri bölümünde bunu biliyorum). Sadece “bucketKid7” yapmak için bir numara eklemek, bir bilgisayar korsanının onu kırması için gereken süreye altı yıl ekler.

Ayrıca, bilgilerinizin başka bir şirketin kesmesine zarar verebileceği de olasıdır. Aynı şifreyi birden fazla sitede kullanıyorsanız, bir tanesi e-postanızı içerirse, tüm şifrelerinizi değiştirip hasarın ne kadar zamanda dışarı çıkabileceğini araştırmanızın zamanı gelmiştir. Şimdi, aklınızdaki en kötü senaryolara sahip olduğunuza göre, aslında kendinizi nasıl koruyabileceğinize geçelim.

Sitemiz Tavsiyesi

Asla aynı şifreyi iki kez kullanmayın! Bunu milyonlarca kez daha önce duyduğunuzu biliyorum ve sayısız siteye göre onlarca benzersiz şifreye sahip olmanın pratik olmadığını düşünebilirsiniz. Peki, pratik yapmak için yapabileceğiniz iki şey var:

Birincisi, tüm siteleriniz için benzersiz şifreler oluşturmanıza ve depolamanıza yardımcı olacak bir program kullanabilirsiniz. 1Password böyle bir programdır; çevrimiçi profillerinizden birine giriş yaparken, sadece ihtiyacınız olan girişi seçebilir ve 1Password, şifreyi girerek size erişim sağlar. Ancak, tüm şifrelerinizin tek bir veritabanında saklanmasını istemezsiniz - bu geçerli bir sorundur.

Bir sonraki seçenek, bir dizi ilgili şifre oluşturmaktır. Bir şifre “Treez4Eva” ve bir sonraki “Trees4eVer” olabilir. Hangi sitenin hangi sürümü kullandığını hatırlamak biraz zor olabilir, ancak yapılabilir ve kesinlikle denemeye değer. Unuttuğunuz şifreleri her zaman kurtaracağınızı unutmayın. Bu zaman alıcı olabilir, ancak şifrelerin unutmadan benzersiz ve güvenli olanları oluşturmanızı engellemesine izin vermeyin.

Şimdi şifrenin kendisinde: Güvenliğimi Ne Kadar Güvende Olduğunu, ne kadar güvende olduğunuzu ölçmek için kullanışlı bir başvuru olarak kullanabilirsiniz. Her zaman büyük harfler ve özel karakterler ile birlikte alfasayısal birleşimleri kullanın. Site buna izin veriyorsa, boşlukları da kullanın. “BucketKid”, “bu (k3t K! 4 15 r3a!”) Olduğunda çok daha güvenlidir. Bu şifrelerin, yıllarca sahte olduğu halde, Güvenli Olduğum Şifre'ye göre, bu şifrenin kırılması için 3 quintillion yıl geçmesi gerekir. Böyle bir şifreyi hatırlamanız uzun yıllar alacağınızı düşünün - ancak süreci kolaylaştırmak için bellek hilelerini nasıl kullanabileceğinizi düşünün.Örnek şu ifadeyi okur: “kova çocuğu gerçek”, hatırlamanız gereken tek şey şu harflerdir: Büyük harfle yazdınız ve sayıları veya özel karakterleri olan harfleri nasıl değiştirdiniz.Aynı şifreyi çok sayıda site üzerinde kullanmak istiyorsanız, e-posta gibi sık kullandığınız siteler için yukarıdaki örnekte olduğu gibi en güçlü ifadenizi kullanın. sık kullanmadığınız ya da güvenli olmadığını düşündüğünüz diğer siteler için “şemsiye çocuk 15 sahte” gibi şifreler.

Her zaman destekleyen herhangi bir site için iki adımlı doğrulama kullanın. İki adımlı doğrulama kullanmadığı için Kablolu yazarın nasıl saldırıya uğradığını açıklıyor mu? Aynı hatayı yapma. Google, Yahoo ve Facebook’u olduğu gibi destekliyor. İki adımlı doğrulama, hesabınıza tanınmayan bir bilgisayardan veya IP adresinden giriş yaptığınızda, telefonunuza gönderilen bir kodu girmeniz istenir. Bu konuda harika olan şey, hesaplarınız için bir alarm sistemi olarak da çalışmasıdır. Birisi e-postanıza erişmeye çalışırsa ve sizden bir giriş koduyla size bir metin atarsanız, kapakların üstünü açma vakti geldiğini bilirsiniz.

Son olarak, çevrimiçi güvenliğiniz hakkında herhangi bir endişeniz varsa, Parolamı Değiştirmem Gerekir seçeneğini işaretleyin. Bu site, e-posta adresinizi girmenizi ve bir siteyi kırdıktan sonra bilgisayar korsanlarının derlediği listelerde gösterilip gösterilmediğini görmenizi sağlar. E-posta adresinizi kendileriyle saklayabileceğiniz yeni bir özellik eklediler ve gelecekteki saldırılarla ilgili olarak başvuruda bulunacaklar.

Bu her şey derin sona gitmek ve size çok paranoyak olmak gibi görünebilir, ancak internette paranoyak olmak bazen sizi güvende tutabilir. Kendinizi korumak için almanız gereken başka önlemler vardır: sabit sürücünüzü şifrelemek, güvenmediğiniz ya da güvenmediğiniz siteler için tek kullanımlık e-posta adresleri ve adlar oluşturmak ve birkaç ayda bir şifre değiştirmek. Bu kılavuz, sizi daha güvenli hale getirmek için bir atlama noktası olarak alınmalıdır ve tek yapmanız gereken güçlü bir parola oluşturmak ve Parolamı Değiştirin veritabanıyla e-postanızı kaydettirmekse, en azından kendinizi korumak için en iyi ilk adımdır. İnternette kimlik hırsızlığından.

Uzman Önerileri

Ryan DisraeliTeleSign'ta Sahtekarlık Hizmetleri Başkan Yardımcısı:

“Sıradan bir insan şok edici bir şekilde hacklenebilir, ancak gerçek şu ki hackerlar en kolay hedefe saldırmaya çalışacaklar. Bu, çevrimdışı olmaya benzemiyor. Hırsız, 7/24 güvenlik muhafızları olan bir ev ya da her zaman ön kapının kilidini açan bir ev kuracak mı? Gerçek şu ki, iyi bir hırsız hala mükemmel bir güvenlikle bir evi sorabilir, ancak daha kolay bir kurbandan sonra gitmeyi tercih eder.Kişisel mülkünüzü korumak için önlemler almanız gibi, bireyler de çevrimiçi kimliklerini güvenceye almak için birkaç katman önleme katmak isterler. ”

Dodi Glenn, GFI Software’in VIPRE Antivirus ürün yöneticisi:

“Akıllı telefonunuzu bir bilgisayar gibi davranın. Telefonunuzda herhangi bir finansal işlem gerçekleştirirseniz, aynı güvenlik “en iyi uygulamalar” bilgisayarla olduğu gibi geçerli olacaktır. ”

Shuman Ghosemajumder, Şekil Güvenlik Stratejisi Başkan Yardımcısı:

“Web sitelerine nasıl eriştiğinize dikkat edin. Bir siteye güvendiğinizden emin olmanın bir parçası, web sitesinin arkasındaki kuruluşun saygın olduğunu doğrulamaktır. Başka bir bölüm, o web sitesine olan bağlantınıza güvenmenizden emin olmaktır. URL'nin doğru olduğundan, doğrudan yönlendirdiğinizden ve istenmeyen bir e-posta, anlık ileti veya açılır pencereden bir bağlantıyı tıklamadığından emin olmalısınız. Yapabiliyorsanız, sadece kendi cihazlarınızı ve bağlantılarınızı kullanın. Saldırganların ağ trafiğini yakalaması veya şifreleri yakalamak için keylogger'ları takması kolay olduğundan, ortak WiFi bağlantılarını ve paylaşılan ortak bilgisayarlardan uzak durmalısınız. Genel bir WiFi bağlantısı kullanmanız gerekiyorsa, HTTPS bağlantısı kullanmayan bir siteye hiçbir giriş veya kişisel bilgi göndermediğinizden emin olun. ”