Συνολικά υπάρχουν 500 εκατομμύρια λογαριασμοί Zoom προς πώληση στο dark web χάρη στο «γεμίσματα διαπιστευτηρίων». Είναι ένας συνηθισμένος τρόπος για τους εγκληματίες να εισβάλλουν σε λογαριασμούς στο διαδίκτυο. Δείτε τι σημαίνει στην πραγματικότητα αυτός ο όρος και πώς μπορείτε να προστατεύσετε τον εαυτό σας.
Πίνακας περιεχομένων
Ξεκινά με βάσεις δεδομένων κωδικών πρόσβασης που έχουν διαρρεύσει
Οι επιθέσεις κατά των διαδικτυακών υπηρεσιών είναι συχνές. Οι εγκληματίες συχνά εκμεταλλεύονται ελαττώματα ασφαλείας στα συστήματα για να αποκτήσουν βάσεις δεδομένων με ονόματα χρήστη και κωδικούς πρόσβασης. Οι βάσεις δεδομένων των κλεμμένων διαπιστευτηρίων σύνδεσης πωλούνται συχνά στο διαδίκτυο στον σκοτεινό ιστό, με τους εγκληματίες να πληρώνουν σε Bitcoin για το προνόμιο πρόσβασης στη βάση δεδομένων.
Ας υποθέσουμε ότι είχατε έναν λογαριασμό στο φόρουμ της Avast, που ήταν παραβιάστηκε το 2014. Αυτός ο λογαριασμός παραβιάστηκε και οι εγκληματίες μπορεί να έχουν το όνομα χρήστη και τον κωδικό πρόσβασής σας στο φόρουμ του Avast. Η Avast επικοινώνησε μαζί σας και σας ζήτησε να αλλάξετε τον κωδικό πρόσβασής σας στο φόρουμ, οπότε ποιο είναι το πρόβλημα;
Δυστυχώς, το πρόβλημα είναι ότι πολλοί άνθρωποι επαναχρησιμοποιούν τους ίδιους κωδικούς πρόσβασης σε διαφορετικούς ιστότοπους. Ας υποθέσουμε ότι τα στοιχεία σύνδεσής σας στο φόρουμ Avast ήταν “[email protected]” και “AmazingPassword.” Εάν έχετε συνδεθεί σε άλλους ιστότοπους με το ίδιο όνομα χρήστη (τη διεύθυνση email σας) και τον κωδικό πρόσβασης, οποιοσδήποτε εγκληματίας αποκτά τους κωδικούς πρόσβασής σας που διέρρευσαν μπορεί να αποκτήσει πρόσβαση σε αυτούς τους άλλους λογαριασμούς.
Διαπιστευτήρια Γέμισμα σε Δράση
Το «γεμίσματα διαπιστευτηρίων» περιλαμβάνει τη χρήση αυτών των βάσεων δεδομένων με στοιχεία σύνδεσης που διέρρευσαν και την προσπάθεια σύνδεσης με αυτές σε άλλες διαδικτυακές υπηρεσίες.
Οι εγκληματίες παίρνουν μεγάλες βάσεις δεδομένων με συνδυασμούς ονομάτων χρήστη και κωδικών πρόσβασης που διέρρευσαν —συχνά εκατομμύρια διαπιστευτήρια σύνδεσης— και προσπαθούν να συνδεθούν με αυτές σε άλλους ιστότοπους. Μερικοί άνθρωποι επαναχρησιμοποιούν τον ίδιο κωδικό πρόσβασης σε πολλούς ιστότοπους, επομένως κάποιοι θα ταιριάζουν. Αυτό μπορεί γενικά να αυτοματοποιηθεί με λογισμικό, δοκιμάζοντας γρήγορα πολλούς συνδυασμούς σύνδεσης.
Για κάτι τόσο επικίνδυνο που ακούγεται τόσο τεχνικό, αυτό είναι το μόνο – να δοκιμάσετε τα διαπιστευτήρια που έχουν ήδη διαρρεύσει σε άλλες υπηρεσίες και να δείτε τι λειτουργεί. Με άλλα λόγια, οι «χάκερ» τοποθετούν όλα αυτά τα διαπιστευτήρια σύνδεσης στη φόρμα σύνδεσης και βλέπουν τι συμβαίνει. Μερικά από αυτά είναι σίγουρο ότι θα λειτουργήσουν.
Αυτός είναι ένας από τους πιο συνηθισμένους τρόπους με τους οποίους οι εισβολείς «χακάρουν» διαδικτυακούς λογαριασμούς αυτές τις μέρες. Μόνο το 2018, το δίκτυο παράδοσης περιεχομένου Akamai κατέγραψε σχεδόν 30 δισεκατομμύρια επιθέσεις πλήρωσης διαπιστευτηρίων.
Πώς να προστατεύσετε τον εαυτό σας
Η προστασία από το γέμισμα διαπιστευτηρίων είναι αρκετά απλή και περιλαμβάνει την τήρηση των ίδιων πρακτικών ασφαλείας κωδικών πρόσβασης που οι ειδικοί ασφαλείας συνιστούν εδώ και χρόνια. Δεν υπάρχει μαγική λύση—μόνο καλή υγιεινή του κωδικού πρόσβασης. Ορίστε η συμβουλή:
Αποφύγετε την επαναχρησιμοποίηση κωδικών πρόσβασης: Χρησιμοποιήστε έναν μοναδικό κωδικό πρόσβασης για κάθε λογαριασμό που χρησιμοποιείτε στο διαδίκτυο. Με αυτόν τον τρόπο, ακόμη και αν διαρρεύσει ο κωδικός πρόσβασής σας, δεν μπορεί να χρησιμοποιηθεί για είσοδο σε άλλους ιστότοπους. Οι εισβολείς μπορούν να προσπαθήσουν να βάλουν τα διαπιστευτήριά σας σε άλλες φόρμες σύνδεσης, αλλά δεν θα λειτουργήσουν.
Χρησιμοποιήστε έναν Διαχειριστή κωδικών πρόσβασης: Η απομνημόνευση ισχυρών μοναδικών κωδικών πρόσβασης είναι σχεδόν αδύνατη, εάν έχετε λογαριασμούς σε αρκετούς ιστότοπους, και σχεδόν όλοι το κάνουν. Συνιστούμε να χρησιμοποιήσετε έναν διαχειριστή κωδικών πρόσβασης όπως 1 Κωδικός πρόσβασης (πληρωμένο) ή Bitwarden (δωρεάν και ανοιχτού κώδικα) για να θυμάστε τους κωδικούς πρόσβασής σας για εσάς. Μπορεί ακόμη και να δημιουργήσει αυτούς τους ισχυρούς κωδικούς πρόσβασης από την αρχή.
Ενεργοποίηση ελέγχου ταυτότητας δύο παραγόντων: Με τον έλεγχο ταυτότητας δύο βημάτων, πρέπει να παρέχετε κάτι άλλο—όπως έναν κωδικό που δημιουργείται από μια εφαρμογή ή σας αποστέλλεται μέσω SMS—κάθε φορά που συνδέεστε σε έναν ιστότοπο. Ακόμα κι αν ένας εισβολέας έχει το όνομα χρήστη και τον κωδικό πρόσβασής σας, δεν θα μπορεί να συνδεθεί στον λογαριασμό σας εάν δεν έχει αυτόν τον κωδικό.
Λάβετε ειδοποιήσεις κωδικού πρόσβασης που έχουν διαρρεύσει: Με μια υπηρεσία όπως Με έχουν κλέψει;, μπορείτε να λάβετε μια ειδοποίηση όταν τα διαπιστευτήριά σας εμφανίζονται σε διαρροή.
Πώς οι Υπηρεσίες μπορούν να προστατέψουν από το γέμισμα διαπιστευτηρίων
Ενώ τα άτομα πρέπει να αναλάβουν την ευθύνη για την ασφάλεια των λογαριασμών τους, υπάρχουν πολλοί τρόποι για τις διαδικτυακές υπηρεσίες να προστατεύονται από επιθέσεις πλήρωσης διαπιστευτηρίων.
Σάρωση βάσεων δεδομένων που διέρρευσαν για κωδικούς πρόσβασης χρηστών: Facebook και Netflix έχουν σαρώσει διέρρευσαν βάσεις δεδομένων για κωδικούς πρόσβασης, διασταυρώνοντάς τους με τα διαπιστευτήρια σύνδεσης στις δικές τους υπηρεσίες. Εάν υπάρχει αντιστοιχία, το Facebook ή το Netflix μπορούν να ζητήσουν από τον δικό τους χρήστη να αλλάξει τον κωδικό πρόσβασής του. Αυτός είναι ένας τρόπος για να νικήσετε τους διαπιστευματοδόχους στη γροθιά.
Προσφορά ελέγχου ταυτότητας δύο παραγόντων: Οι χρήστες θα πρέπει να μπορούν να ενεργοποιούν τον έλεγχο ταυτότητας δύο παραγόντων για να προστατεύουν τους διαδικτυακούς τους λογαριασμούς. Ιδιαίτερα ευαίσθητες υπηρεσίες μπορούν να το καταστήσουν υποχρεωτικό. Μπορούν επίσης να ζητήσουν από έναν χρήστη να κάνει κλικ σε έναν σύνδεσμο επαλήθευσης σύνδεσης σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου για να επιβεβαιώσει το αίτημα σύνδεσης.
Απαίτηση CAPTCHA: Εάν μια προσπάθεια σύνδεσης φαίνεται περίεργη, μια υπηρεσία μπορεί να απαιτήσει την εισαγωγή ενός κωδικού CAPTCHA που εμφανίζεται σε μια εικόνα ή κάνοντας κλικ σε μια άλλη φόρμα για να επαληθεύσετε ότι ένας άνθρωπος —και όχι ένα bot— προσπαθεί να συνδεθεί.
Περιορισμός επαναλαμβανόμενων προσπαθειών σύνδεσης: Οι υπηρεσίες θα πρέπει να προσπαθήσουν να αποκλείσουν τα ρομπότ από το να επιχειρήσουν μεγάλο αριθμό προσπαθειών σύνδεσης σε σύντομο χρονικό διάστημα. Τα σύγχρονα εξελιγμένα ρομπότ ενδέχεται να επιχειρήσουν να εισέλθουν από πολλές διευθύνσεις IP ταυτόχρονα για να συγκαλύψουν τις προσπάθειές τους για γέμιση διαπιστευτηρίων.
Οι κακές πρακτικές κωδικών πρόσβασης —και, για να είμαστε δίκαιοι, τα κακώς ασφαλή διαδικτυακά συστήματα που συχνά είναι πολύ εύκολο να παραβιαστούν— καθιστούν το γέμισμα διαπιστευτηρίων σοβαρό κίνδυνο για την ασφάλεια των διαδικτυακών λογαριασμών. Δεν είναι περίεργο που πολλές εταιρείες στον κλάδο της τεχνολογίας θέλουν να οικοδομήσουν έναν πιο ασφαλή κόσμο χωρίς κωδικούς πρόσβασης.