Що спадає на думку, коли ви чуєте “порушення безпеки”? Зловмисний хакер, що сидить перед екранами, вкритими цифровим текстом у стилі матриці? Чи підліток, який живе в підвалі, який три тижні не бачив денного світла? Як щодо потужного суперкомп’ютера, який намагається зламати весь світ?
Злам полягає в одному: у вашому паролі. Якщо хтось може вгадати ваш пароль, йому не потрібні модні методи злому та суперкомп’ютери. Вони просто увійдуть у систему, діючи від вашого імені. Якщо пароль короткий і простий, гра закінчена.
Існує вісім поширених тактик, які хакери використовують для злому паролю.
Першим у посібнику із загальної тактики злому паролів є атака за словником. Чому це називається атакою за словником? Тому що він автоматично порівнює кожне слово із певного “словника” з паролем. Словник – це не зовсім той, яким ви користувалися у школі.
Ні. Цей словник є невеликим файлом, що містить комбінації паролів, що найчастіше використовуються, що дозволяє легко вгадати чийсь пароль. Сюди входять 123456, qwerty, password, iloveyou та класичний на всі часи hunter2.
У наведеній вище таблиці детально описано найбільшу кількість витоків паролів у 2016 році. У наведеній нижче таблиці докладно описано найбільшу кількість витоків паролів у 2020 році.
Зверніть увагу на схожість між ними – і переконайтеся, що ви не використовуєте ці неймовірно прості варіанти. Чи змінилося що-небудь через три роки, в 2023 році? Абсолютно ні.
Коротше кажучи, якщо ви не хочете, щоб хтось розгадав ваш пароль, ніколи не використовуйте жодного з них.
Далі слідує атака методом грубої сили, при якій зловмисник пробує всі можливі комбінації символів у спробі вгадати пароль. Використовувані паролі відповідатимуть специфікаціям правил складності, наприклад, включати один верхній регістр, один нижній регістр, десяткові дроби числа Пі, ваше замовлення піци тощо.
При атаці методом грубої сили також спочатку будуть випробувані найчастіше використовувані буквено-цифрові комбінації символів. До них відносяться раніше перелічені паролі, а також 1q2w3e4r5t, zxcvbnm та qwertyuiop. Для підбору пароля за допомогою цього методу може знадобитися багато часу, але це повністю залежить від складності пароля.
Що станеться, якщо людина, яка вкрала ваш пароль, вже знає деякі з них? Чи можуть вони використовувати фрагменти інформації, щоб спростити злам решти пароля?
Це саме те, що є атакою паролем по масці. Оскільки все ще потрібно пробувати безліч комбінацій паролів, атака маскою схожа на атаку методом перебору. Однак при атаці по масці викрадач паролів може знати кілька цінних символів з вашого пароля, що спрощує процес пошуку інших.
Строго кажучи, це не злом, але спроба стати жертвою фішингу зазвичай закінчується погано. Звичайні фішингові електронні листи мільярдами розсилаються всіляким користувачам Інтернету по всьому світу, і це один із найпопулярніших способів дізнатися про чийсь пароль.
Фішинговий лист зазвичай працює наступним чином:
Щоденний обсяг спаму, що надсилається по всьому світу, залишається високим, становлячи більше половини всіх електронних листів, що надсилаються по всьому світу. Крім того, обсяг шкідливих вкладень також високий: Касперський заблокував понад 166 мільйонів шкідливих вкладень у 2022 році, що на 18 мільйонів більше ніж у 2021 році. Але більш шокуючою цифрою є кількість заблокованих фішингових посилань, яка зросла з 253 мільйонів у 2021 році до 507 мільйонів у 2022 році. Пам’ятайте, це тільки для Kaspersky, тому реальне число набагато вище .
Ще у 2017 році найбільшою фішинговою принадою був фальшивий рахунок. Однак у 2020 році пандемія COVID-19 створила нову загрозу фішингу. У квітні 2020 року, невдовзі після того, як у багатьох країнах було введено карантин у зв’язку з пандемією, Google оголосила, що блокує понад 18 мільйонів шкідливих спам- та фішингових листів на тему COVID-19 на день. У величезній кількості цих електронних листів для легітимності використовується офіційний бренд уряду чи організації охорони здоров’я, що застає зненацька жертв.
Соціальна інженерія – це, по суті, фішинг у реальному світі, далеко від екрану.
Основною частиною будь-якого аудиту безпеки є оцінка того, що розуміють працівники. Наприклад, охоронна компанія зателефонує компанії, яку вони перевіряють. “Зловмисник” повідомляє людині телефоном, що він з нової служби технічної підтримки office і йому потрібен останній пароль для чогось конкретного.
Людина, яка нічого не підозрює, може передати ключі, не замислюючись.
Лякає те, як це часто спрацьовує. Соціальна інженерія існує століттями. Двовічність для проникнення в захищену зону – найпоширеніший метод атаки, від якого можна захиститися лише за допомогою освіти. Це з тим, що атака який завжди запитує пароль напряму. Це може бути підроблений сантехнік або електрик, який просить дозволу на вхід в будівлю, що охороняється, і так далі. Коли хтось каже, що його обманом змусили розкрити свій пароль, це часто результат соціальної інженерії.
Райдужна таблиця зазвичай є автономною парольною атакою. Наприклад, зловмисник отримав список імен користувачів та паролів, але вони зашифровані. Зашифрований пароль хешується. Це означає, що він виглядає зовсім інакше, ніж оригінальний пароль.
Наприклад, ваш пароль (сподіваюся, що ні!) logmein. Відомий MD5-хеш для цього пароля – “8f4047e3233b39e4444e1aef240e80aa”.
Тарабарщина для вас та мене. Але у певних випадках зловмисник запустить список паролів у відкритому вигляді за допомогою алгоритму хешування, порівнюючи результати із зашифрованим файлом паролів. В інших випадках алгоритм шифрування вразливий, і більшість паролів вже зламана, наприклад MD5 (звідси ми знаємо конкретний хеш для “logmein”).
Тут райдужна таблиця входить у свої права. Замість обробки сотень тисяч потенційних паролів і зіставлення їх результуючого хеша райдужна таблиця є величезним набором попередньо обчислених хеш-значень, специфічних для конкретного алгоритму. Використання райдужної таблиці значно скорочує час, необхідний злому хешованого пароля, але це ідеально. Хакери можуть придбати попередньо заповнені райдужні таблиці, заповнені мільйонами потенційних комбінацій.
Ще один вірний спосіб втратити свої облікові дані для входу – це зараження шкідливим ПЗ. Шкідливе ПЗ є всюди і може завдати величезної шкоди. Якщо шкідлива програма оснащена кейлоггером, ви можете виявити, що всі ваші облікові записи скомпрометовані.
Крім того, шкідлива програма може бути спеціально орієнтована на особисті дані або впровадити троянець віддаленого доступу для крадіжки ваших облікових даних. Інший варіант – проаналізувати мережу щодо крадіжки будь-яких паролів, відправлених як відкритого тексту замість зашифрованого шифротекста. Якщо компанія відправляє паролі куди завгодно з використанням відкритого тексту (це звичайний текст, зрозумілий людині), існує більша ймовірність крадіжки пароля.
Використання павуків пов’язане з атакою за словником. Якщо хакер націлений на конкретну установу або бізнес, він може спробувати використати серію паролів, що належать до самого бізнесу. Хакер може прочитати і зіставити ряд пов’язаних термінів або використовувати пошуковий павук, щоб виконати всю роботу за них.
Можливо, ви вже чули термін “павук” раніше. Ці пошукові роботи надзвичайно схожі на ті, що повзають Інтернетом, індексуючи контент для пошукових систем. Потім список слів використовується проти облікових записів користувачів в надії знайти збіг.
Останній варіант – один із найпростіших. Що якщо хтось просто подивиться вам через плече, поки ви вводите свій пароль?
Серфінг із плеча звучить трохи безглуздо, але це трапляється. Це схоже на один з тих трюків хакерів, які, як ви думаєте, ніколи не спрацюють. Але якщо ви працюєте в жвавому кафе в центрі міста і не звертаєте уваги на те, що вас оточує, хтось може виявитися досить близько, щоб помітити пароль при введенні, але, ймовірно, це не найпростіший спосіб дізнатися чийсь пароль .
Отже, як ви можете перешкодити хакеру вкрасти пароль? Дійсно коротка відповідь полягає в тому, що ви не можете бути дійсно в безпеці на 100 відсотків . Інструменти, які хакери використовують для крадіжки ваших даних, постійно змінюються, і існує безліч відеороликів і посібників з підбору паролів або навчання тому, як зламати пароль, або навіть просто як обчислити чийсь пароль.
Одне можна сказати, напевно: використання надійного, унікального, одноразового пароля нікому не зашкодить.
Авторитетний інсайдер Еван Бласс опублікував на своїй сторінці в соцмережі X (раніше Twitter) рендери смартфонів…
Функція управління камерою в iPhone 16 спочатку отримала неоднозначні відгуки. Однак з виходом iOS 18.2…
Інсайдер під ніком smashx_60 опублікував у соцмережі X докладний звіт про неанонсований смартфон HMD під…
Незважаючи на високу ціну в 700 доларів, PlayStation 5 Pro демонструє успішний старт продажів. У…
Компанія Elevation Lab анонсувала запуск TimeCapsule, унікального і простого рішення для продовження часу роботи Apple…
77-дюймовий прозорий телевізор Signature OLED T від LG, представлений на виставці CES 2024, надійшов у…