תהיתם איך להאקר יש את הסיסמה שלכם?

למאמר הבא
ESET

"אנחנו יודעים את הסיסמה שלך" – ההאקרים מצרפים למייל הסחיטה את הסיסמאות האמיתיות של המותקפים ומאיימים – איך זה קורה מה צריך לעשות?

בימים האחרונים אזרחי ישראל מדווחים על הודעות סחיטה מינית (בשפה המקצועית: Sextortion) אשר מצאו דרכן אל תיבות המייל של ישראלים רבים. בפועל, מדובר בשיטת מצליח שלמרבה הצער עובדת, המכשיר לא באמת נפרץ ואין לאף אחד סרטון שמתעד אתכם.

"יש לי את הסיסמה שלך" – הודעת סחיטה מינית

"אבל אוי ואבוי הוא יודע את הסיסמה שלי!"

כאשר מותקף מקבל מייל ובו מנסים לסחוט אותו, זה עלול להיות מאוד מבהיל. אבל מה קורה כאשר בראש המייל הוא גם רואה שהתוקף צירף גם סיסמה אמיתית שלו בה הוא משתמש בחשבון אחד או יותר? זה עלול להיות מאוד מלחיץ.

איך זה קורה ומה זה Credential Stuffing:

פושעים מנצלים חולשות אבטחה במערכות ושירותים בכדי להשיג גישה למאגרי נתונים כמו שמות משתמש וסיסמאות. מאגרי מידע גנובים אלו, לרב נסחרים ב-dark web ומגיעים לידיים נוספות. זה לא אומר שפרצו למותקף את החשבון, אלא שפרטי ההתחברות שלו דלפו באחת מהדליפות הרבות שמתרחשות בתדירות הולכת וגוברת בשנים האחרונות.

באמצעות המידע שהשיגו, תוקפים יכולים לעשות מספר דברים:

1. ממש לנסות להיכנס עם הפרטים שהשיגו לשירותים אחרים, כמו שדווח בשבוע שעבר שקרה לכ-500,000 משתמשים בתוכנת זום לשיחות ועידה מרובות משתתפים. במידה והצליחו, השיגו גישה לתוכן נוסף והעלו את פוטנציאל הפגיעה.

2. להשתמש בנתונים בשיטת מצליח, ולהפיץ הודעת איום בסחיטה מינית לכמה שיותר אנשים, כאשר הם משתמשים בסיסמה בגוף המייל על מנת לזרוע חשש ואימה גדולים יותר אצל המותקף.

אנו מציעים מספר דרכים להתגוננות:

דרך ההתגוננות היא פשוטה ודורשת הקפדה בסיסית על אבטחת המידע והסיסמאות:

1. ראשית יש להשתמש בסיסמאות שונות עבור שירותים שונים. במידה והסיסמה דלפה, לא יוכלו לעשות בה שימוש לטובת כניסה לשירותים נוספים.
2. ניתן להשתמש בתוכנות לניהול סיסמאות שמאפשרות לייצר סיסמאות ייחודיות ודורשת מהמשתמש לזכור רק סיסמה אחת בכניסה לתוכנת הניהול.
3. באמצעות שימוש באימות דו-שלבי יש צורך לספק בנוסף לסיסמה גם קוד שנשלח באמצעות SMS, כך גם אם לתוקף יש את שם המשתמש והסיסמה שלך, ללא הקוד, לא ניתן יהיה להיכנס לחשבון שלך.
4. האתר haveibeenpwned.com מרכז רשימת דליפות מידע, ובו ניתן לבדוק האם פרטי ההתחברות שלכם לאתר מסוים דלפו. יש להזין את כתובת המייל בשדה החיפוש ואז תקבלו פירוט במידה ומידע שלכם דלף. במידה וכן, אין צורך להילחץ, מומלץ לשנות את הסיסמה באתרים שדלפו.