Сегодня каждый человек имеет примерно 100 аккаунтов в разных сервисах, для которых нужно запомнить данные для входа. Поэтому неудивительно, что часто пользователи пытаются упростить себе жизнь, используя на разных сайтах одинаковые комбинации для входа.
Однако именно пароли часто являются единственным, что стоит между киберпреступником и конфиденциальными данными жертв. Для препятствования доступа злоумышленников к аккаунтам необходимо приложить усилия и сделать собственные пароли сложными и надежными.
Как киберпреступники могут использовать похищенные пароли?
Пароли – это виртуальные ключи к онлайн-банкингу, электронной почте, социальным сетям, стриминговым платформам, службам такси и доставки, а также всей информации, размещенной в облачных хранилищах. Именно поэтому после их кражи киберпреступники могут:
- Получить личную информацию жертвы и продать ее другим злоумышленникам.
- Продать доступ к учетной записи. В даркнете (анонимной и неконтролируемой части Интернет-сети) такая информация пользуется большим спросом. Ведь покупатели похищенных паролей и логинов надеются получить большую выгоду, например, бесплатные поездки на такси, бесплатный просмотр фильмов, бесплатные путешествия за счет украденных бонусов.
- Получить доступ к другим аккаунтам, где используется такая же комбинация для входа.
Какие методы используются для похищения паролей?
1. Фишинг и социальная инженерия
По своей природе люди часто совершают ошибки и подвергаются внушению, особенно когда спешат. Именно поэтому киберпреступники пользуются этими особенностями во время атак в психологических трюках, также известных как социальная инженерия.
Пожалуй, наиболее известным примером таких приемов манипулирования является фишинг. В частности, киберпреступники присылают электронные письма якобы от известных организаций, друзей или коллег жертвы. Полученное электронное письмо может выглядеть правдоподобно и не вызывать подозрения, но содержать вредоносную ссылку или вложенный файл. После загрузки он может инфицировать устройство вредоносным программным обеспечением или открыть страницу, требующую заполнения личных данных.
Однако для получения другой личной информации жертвы мошенники могут совершать и телефонные звонки, выдавая себя за работников банка или технической поддержки. Этот метод мошенничества также называют «вишинг» (голосовой фишинг).
2. Вредоносное программное обеспечение
Еще один популярный способ кражи паролей — с помощью вредоносных программ. Чаще всего они распространяются с помощью фишинговых писем, но стать жертвой можно и после нажатия на вредоносную рекламу в Интернете или посещения опасного веб-сайта.
Существует много видов вредоносных программ для кражи паролей, но наиболее распространенные предназначены для считывания нажатий клавиатуры или создания скриншотов экрана жертвы и отправки их злоумышленникам.
3. Атаки методом подбора пароля
Количество комбинаций для входа, регулярно вводимых среднестатистическим пользователем, возросло примерно на 25% за 2020 год. Как следствие, люди все чаще создают наборы символов или фразы, которые легко запомнить, а также используют одинаковые данные на нескольких сайтах. Это делает аккаунты уязвимыми к атакам методом подбора пароля.
Распространенным видом таких атак является заполнение учетных данных – злоумышленники копируют большие объемы похищенных ранее комбинаций в специальные программы. Затем инструмент проверяет их на большом количестве сайтов в надежде найти соответствие. Таким образом, злоумышленники могут получить доступ к нескольким аккаунтам, имея только одну комбинацию. По оценкам исследователей, в прошлом году по всему миру было зафиксировано 193 миллиарда попыток подобных атак.
Еще один метод отгадывания данных для входа – «распыление» паролей, предусматривающий подбор для аккаунта комбинации из списка наиболее популярных с помощью автоматизированного ПО.
4. Угадывание
Хотя хакеры имеют в распоряжении автоматизированные инструменты для подбора, иногда они даже не нужны, ведь, например, наиболее распространенными комбинациями все еще остаются «123456», «123456789» и «password». Поэтому часто киберпреступникам для получения несанкционированного доступа к личной информации жертв достаточно и обычного угадывания.
Если вы, как и большинство пользователей, используете одинаковые наборы символов или их похожие варианты для нескольких аккаунтов, то рискуете стать жертвой похищения пароля или мошенничества.
5. Шпионаж
Техник шпионажа также существует много, но одной из наиболее распространенных является атака «человек посередине» (Man in the Middle), позволяющая злоумышленникам похищать пароли и другие данные с устройств, подключенных к той же общедоступной сети Wi-Fi. Поэтому при использовании таких сетей следует соблюдать рекомендации специалистов ESET, которые доступны по ссылке.
Как защититься от похищения паролей
- Создавайте надежные и уникальные данные для входа, а также избегайте их повторного использования на разных сайтах.
- Включите двухфакторную аутентификацию для всех аккаунтов, где это возможно.
- Установите менеджер паролей, который будет автоматически заполнять формы и генерировать надежные комбинации для входа.
- Если вам пришло письмо о подозрительной активности, или вы узнаете о утечке учетных данных — немедленно измените их.
- Переходите только на сайты, использующие HTTPS.
- Не нажимайте на ссылки и не открывайте вложения в письмах от незнакомых лиц и организаций.
- Загружайте приложения только из официальных магазинов.
- Установите надежное программное обеспечение для защиты на всех устройствах.
- Своевременно устанавливайте обновления операционной системы и приложений.
- Не входите в аккаунты при подключении к общедоступному Wi-Fi. Если такая необходимость все-таки возникнет, воспользуйтесь технологией VPN, которая защитит ваше Интернет-соединение и обеспечит конфиденциальность.