Czy kiedykolwiek padłeś ofiarą kradzieży tożsamości? Byłeś kiedyś zhakowany? Oto pierwsze z serii krytycznych informacji, które pomogą Ci uzbroić się w zaskakująco przerażający świat hakerów, phisherów i cyberprzestępców.
Niektórzy z naszych czytelników-geeków będą już zaznajomieni z dużą ilością tego materiału – ale być może masz dziadka lub innego krewnego, który mógłby skorzystać na przekazaniu tego dalej. A jeśli masz własne metody ochrony przed hakerami i phisherami, możesz podzielić się nimi z innymi czytelnikami w komentarzach. W przeciwnym razie czytaj dalej – i bądź bezpieczny.
Dlaczego ktoś miałby chcieć mnie celować?
To jest powszechna postawa; Większości ludzi po prostu nie przychodzi do głowy, że haker lub cyberprzestępca pomyślałby, że mógłby ich zaatakować. Z tego powodu większość zwykłych użytkowników nawet nie myśli o bezpieczeństwie. Brzmi dziwnie i fantazyjnie… jak coś w filmie! Rzeczywistość jest dość przerażająca – większość przestępców chce cię namierzyć, ponieważ może i prawdopodobnie ujdzie im to na sucho. Nie musisz mieć milionów (a nawet tysięcy) dolarów, aby być celem. Niektórzy cyberprzestępcy atakują Cię, ponieważ jesteś podatny na ataki, a ci, którzy chcą Twoich pieniędzy, nie potrzebują ich szczególnie dużo (chociaż niektórzy wezmą każdy cent, jeśli im się uda).
Kim są ci źli faceci?
Zanim przyjrzymy się konkretom, ważne jest, aby zrozumieć, kto chce cię wykorzystać. Niektóre z zagrożeń internetowych mogą pochodzić od „script kiddies”; hakerzy bez prawdziwych umiejętności, piszący wirusy, korzystając ze wskazówek znalezionych w wyszukiwarkach Google lub używając narzędzi hakerskich do pobrania w celu uzyskania szczątkowych wyników. Częściej są nastolatkami lub studentami, którzy piszą złośliwy kod dla kopnięć. Chociaż ci ludzie mogą cię wykorzystać, nie stanowią największego zagrożenia w Internecie. Istnieją przestępcy zawodowi, którzy chcą cię okraść – i to są ci, o których naprawdę musisz wiedzieć.
Może to zabrzmieć jak przesada, ale można dość dokładnie pomyśleć o cyberprzestępcach jako internetowej wersji mafijnych rodzin przestępczych. Wielu zarabia na życie, żerując na kradzieży informacji, numerów kart kredytowych i pieniędzy od niczego niepodejrzewających ofiar. Wielu jest ekspertami nie tylko od kradzieży tych informacji, ale także od przyłapania na ich zabraniu. Niektóre operacje mogą być niewielkie — jeden lub dwóch facetów i kilka tanich maszyn do wysyłania wiadomości phishingowych lub rozpowszechniania oprogramowania do keyloggera. Inni mogą być zaskakująco dużymi firmami opartymi na sprzedaż czarnorynkowa nielegalnie uzyskanych numerów kart kredytowych.
Kim jest haker?
Jeśli wcześniej byłeś sceptyczny, miejmy nadzieję, że teraz jesteś przekonany, że warto chronić się przed mnóstwem ludzi, którzy chcą cię okraść w Internecie. Ale to prowadzi nas do naszego następnego pytania – po prostu co jest haker? Jeśli widziałeś jakiś film od czasu spopularyzowania Internetu… cóż, możesz pomyśleć, że wiesz, ale jeśli jesteś jak większość ludzi, jesteś w błędzie bardziej niż myślisz.
Pierwotne znaczenie „hakera” odnosiło się do sprytnych użytkowników komputerów i mogło zostać po raz pierwszy wymyślone przez inżynierów MIT, takich jak Richarda Stallmana. Ci hakerzy byli znani ze swojej ciekawości i umiejętności programowania, testując ograniczenia systemów swoich czasów. „Haker” stopniowo nabrał ciemniejszego znaczenia, na ogół kojarzonego z tzw Hakerzy „Czarny Kapelusz” znany z łamania zabezpieczeń dla zysku lub kradzieży poufnych informacji. Hakerzy „białych kapeluszy” mogą włamywać się do tych samych systemów i kraść te same dane, chociaż ich cele są tym, co ich wyróżnia. O tych „białych kapeluszach” można myśleć jako o ekspertach ds. bezpieczeństwa, szukających luk w oprogramowaniu zabezpieczającym, aby spróbować je ulepszyć lub po prostu wskazać wady.
Jak większość ludzi dzisiaj używa tego słowa„hakerzy” to złodzieje i przestępcy. Może nie warto poświęcać czasu na czytanie zawiłości cyberwojny lub tajników łamania zabezpieczeń. Większość hakerów stanowi zagrożenie dla każdego człowieka, kradnąc wrażliwe konta, takie jak poczta e-mail, lub takie, które zawierają informacje, takie jak numery kart kredytowych lub kont bankowych. i prawie wszystko tego rodzaju kradzieży kont pochodzi z łamania lub odgadywania haseł.
Siła hasła i łamanie zabezpieczeń: dlaczego powinieneś się bać
W pewnym momencie powinieneś wyszukać najczęstsze hasła do kont (link zawiera język NSFW) lub przeczytaj niesamowity artykuł o bezpieczeństwie „Jak zhakuję twoje słabe hasła” autorstwa Jana Pozadzidesa. Jeśli spojrzysz na łamanie haseł z perspektywy hakera, nieumyte masy to w zasadzie morze słabości i ignorancji, gotowe do kradzieży informacji. Słabe hasła odpowiadają za większość problemów, z jakimi spotykają się zwykli użytkownicy komputerów, po prostu dlatego, że hakerzy będą tam szukać słabości i atakować – nie ma sensu tracić czasu na łamanie bezpiecznych haseł, gdy jest ich tak wiele, które używają niezabezpieczonych haseł.
Chociaż toczy się poważna debata na temat najlepszych praktyk dotyczących haseł, fraz hasła itp., istnieją pewne ogólne zasady dotyczące tego, jak zapewnić sobie bezpieczeństwo za pomocą bezpiecznych haseł. Hakerzy używają programy „brute force” do łamania haseł. Programy te po prostu próbują jedno potencjalne hasło po drugim, aż uzyskają prawidłowe — chociaż istnieje pewien haczyk, który zwiększa prawdopodobieństwo ich sukcesu. Programy te najpierw wypróbowują popularne hasła, a także używają słów lub nazw słownikowych, które są znacznie częściej umieszczane w hasłach niż losowe ciągi znaków. A gdy jedno hasło zostanie złamane, pierwszą rzeczą, jaką robią hakerzy, jest sprawdzenie, czy… użył tego samego hasła w innych usługach.
Jeśli chcesz zachować bezpieczeństwo, obecną najlepszą praktyką jest używanie bezpiecznych haseł, tworzenie unikalnych haseł dla wszystkich kont i używanie bezpiecznego hasła, takiego jak KeePass lub LastPass. Oba są szyfrowanymi, chronionymi hasłem sejfami dla złożonych haseł i generują losowe ciągi tekstu alfanumerycznego, prawie niemożliwego do złamania metodami brute force.
Jaki jest tutaj wynik końcowy? Nie używaj haseł, takich jak „password1234”, „letmein”, „screen” lub „małpa”. Twoje hasła powinny wyglądać bardziej jak „stUWajex62ev” aby uniemożliwić hakerom dostęp do twoich kont. Wygeneruj własne bezpieczne hasła za pomocą ta strona internetowalub pobierając by LastPass lub KeePass.
Czy powinienem się bać hakerów w wiadomościach?
W zeszłym roku w wiadomościach było dużo hullabaloo o hakerach i ogólnie rzecz biorąc, te grupy nie są zainteresowane tobą ani twoimi. Chociaż ich osiągnięcia mogą wydawać się nieco przerażające, wiele głośnych przypadków hakerstwa z 2011 roku miało na celu zaszkodzenie reputacji dużych firm, którymi hakerzy byli zirytowani. Ci hakerzy robią dużo hałasu i wyrządzają szkody firmom i rządom na tyle nieostrożnie, że nie mogą się odpowiednio chronić – a to tylko dlatego, że są tak głośni, że nie masz się ich czego obawiać. Cisi, sprytni hakerzy-kryminaliści są zawsze tymi, na których należy zwracać uwagę — podczas gdy świat może bacznie przyglądać się LulzSec lub Anonimowi, wielu cyberprzestępców po cichu ucieka z mnóstwem gotówki.
Co to jest phishing?
Jedno z najpotężniejszych narzędzi dostępnych dla tych cyberprzestępców na całym świecie, „phishing” jest rodzajem Inżynieria społeczna, i może być uważany za rodzaj oszustwa lub griftu. Aby uzyskać informacje, nie trzeba skomplikowanego oprogramowania, wirusów ani włamań, jeśli łatwo można nakłonić użytkowników do ich udostępnienia. Wielu korzysta z narzędzia, które jest łatwo dostępne dla prawie każdego, kto ma połączenie z Internetem — poczty elektronicznej. Zaskakująco łatwo jest zdobyć kilkaset kont e-mail i nakłonić ludzi do rozdawania pieniędzy lub informacji.
Phisherzy zwykle udają kogoś, kim nie są, i często żerują na starszych osobach. Wielu udaje, że jest bankiem lub stroną internetową, taką jak Facebook lub PayPal, i prosi o podanie haseł lub innych informacji w celu rozwiązania potencjalnego problemu. Inni mogą udawać osoby, które znasz (czasem przez przechwycone adresy e-mail) lub próbować polować na Twoją rodzinę, korzystając z informacji o Tobie dostępnych publicznie w sieciach społecznościowych, takich jak LinkedIn, Facebook czy Google+.
Nie ma lekarstwa programowego na phishing. Musisz po prostu zachować ostrożność i uważnie czytać e-maile przed kliknięciem w linki lub podaniem informacji. Oto kilka krótkich wskazówek, jak chronić się przed phisherami.
- Nie otwieraj e-maili z podejrzanych adresów lub osób, których nie znasz. E-mail nie jest tak naprawdę bezpiecznym miejscem do poznawania nowych ludzi!
- Możesz mieć znajomych, których adresy e-mail zostały przejęte i możesz otrzymywać od nich wiadomości phishingowe. Jeśli wyślą ci coś dziwnego lub nie zachowują się jak oni, możesz zapytać ich (osobiście), czy zostali zhakowani.
- Nie klikaj linków w e-mailach, jeśli jesteś podejrzany. Kiedykolwiek.
- Jeśli trafisz na stronę internetową, możesz ogólnie stwierdzić, kto to jest, sprawdzając certyfikat lub patrząc na adres URL. (Powyżej PayPal jest autentyczny. IRS, na czele tej sekcji, jest oszukańczy).
- Spójrz na ten adres URL. Wydaje się mało prawdopodobne, aby IRS parkował stronę internetową pod takim adresem URL.
- Autentyczna witryna internetowa może zawierać certyfikat bezpieczeństwa, tak jak robi to PayPal.com. IRS nie, ale amerykańskie strony rządowe prawie zawsze mają domenę najwyższego poziomu .GOV zamiast .COM lub .ORG. Jest bardzo mało prawdopodobne, że phisherzy będą mogli kupić domenę .GOV.
- Jeśli uważasz, że Twój bank lub inna bezpieczna usługa może potrzebować od Ciebie informacji lub musisz zaktualizować swoje konto, nie klikaj linków w wiadomościach e-mail. Zamiast tego wpisz adres URL i normalnie odwiedź daną witrynę. Gwarantuje to, że nie zostaniesz przekierowany na niebezpieczną, oszukańczą stronę internetową i możesz sprawdzić, czy masz takie samo powiadomienie podczas logowania.
- Nigdy, przenigdy nie podawaj danych osobowych, takich jak numery kart kredytowych lub debetowych, adresy e-mail, numery telefonów, nazwiska, adresy lub numery ubezpieczenia społecznego, chyba że masz absolutną pewność, że ufasz tej osobie na tyle, aby udostępnić te informacje.
To oczywiście dopiero początek. W przyszłości w tej serii omówimy znacznie więcej kwestii dotyczących bezpieczeństwa w sieci, zabezpieczeń i wskazówek, jak zachować bezpieczeństwo. Zostaw nam swoje przemyślenia w komentarzach lub porozmawiaj o swoich doświadczeniach z hakerami lub phisherami, porwanymi kontami lub skradzionymi tożsamościami.
Kredyty obrazkowe: Broken Locks przez Bc. Jana Kalába, dostępne na licencji Creative Commons. Straszna Norma autorstwa Normy Desmond, dostępna na licencji Creative Commons. Bez tytułu DavidR, dostępne na licencji Creative Commons. Phishing IRS autorstwa Matta Haugheya, dostępny na licencji Creative Commons. Klucz do hasła? autorstwa Dev.Arka, dostępne na licencji Creative Commons. RMS at pitt autorstwa Victora Powella, dostępne na licencji Creative Commons. Listwa XKCD używana bez pozwolenia, zakładana dozwolony użytek. Prawa autorskie do wizerunku sopranów HBO, założono dozwolony użytek. Prawa autorskie do zdjęć „Hakerzy” United Artists, zakładają dozwolony użytek.