A kako se zaštititi? Ovo su najčešći načini na koji hakeri dolaze do vaše šifre
05.10.2020. | 13:37Korisničke šifre su među najčešćim metama hakerskih napada jer omogućavaju pristup vrijednim i osjetljivim podacima.
Ovo je pregled osam najčešćih metoda koje hakeri koriste kako bi hakovali vašu lozinku, kao i načine kako se možete zaštititi.
Rječničko hakovanje
Ovo je najjednostavniji napad kojim se hakeri mogu poslužiti. Naziv je dobio po tome što programi koje hakeri napišu automatski isprobavaju sve riječi iz ‘rječnika’ sve dok ne pogode lozinku.
‘Rječnik’ nije nužno onaj kakav bi koristili u školi ili fakultetu, već je u pitanju baza podataka s riječima najčešće korištenim pri izradi lozinki i njihovim kombinacijama. U to, recimo, spadaju lozinke kao što su 123456, qwerty, password, iloveyou, and all-time classic, hunter2 i tome slično.
Koristeći ovaj pristup hakeri mogu vrlo brzo otkriti loše osmišljene lozinke i upasti u slabo zaštićene korisničke račune. Ali, zaustaviće ih već nešto bolja lozinka.
Kako se zaštititi?
Koristite snažne lozinke, drukčiju za svaki korisnički račun. Ako vam je komplikovano sve to pamtiti, koristite aplikaciju za upravljanje lozinkama.
Gruba sila
Napad grubom silom je svaki napad tokom kojeg napadač koristi svaku postojeću kombinaciju slova, brojeva i drugih znakova. Većina će prvo probati najčešće korištene alfanumeričke kombinacije. Iako, teoretski gledano, ovaj pristup može probiti bilo koju lozinku, to može potrajati. Što je lozinka složenija, to će više vremena trebati.
Kako se zaštititi?
Koristite lozinke s kombinacijom znakova. Kad god je moguće ubacite i posebne znakove kao što su #, $,%…
Phishing
Phishing podrazumijeva slanje e-maila žrtvi, u kojem se napadač lažno predstavlja kao trgovina, banka ili druga institucija. Obično od žrtve traže žurnu akciju koja obuhvaća klikanje na poveznicu priloženu u poruci. Ali, ta poveznica u stvari vodi na lažno web odredište. Iako izgleda kao pravo, na njemu su hakeri priredili zamku kojom će pokupiti korisnička imena, lozinke i druge osjetljive podatke.
Iako mediji često upozoravaju na njih, hakerski napadi phishingom ne posustaju. U kompaniji za kompjutersku bezbjednost Kaspersky zabilježili su 92 miliona e-mailova sa zlonamjernim atačmentom od januara do juna ove godine. Stvarni broj je vjerovatno više puta veći. Google je u aprilu ove godine objavio kako dnevno blokiraju više od 18 miliona phishing e-mailova i zlonamjernog spama u vezi s virusom korona.
Kako se zaštititi?
Budite oprezni (pa i sumnjičavi) kad primite neočekivanu e-poštu. Postavite filtere za spam na najveći mogući nivo. Ako ste u mogućnosti, upogonite bijelu listu odobrenih pošiljaoca. Provjerite da li je poveznica u e-mailu legitimna prije nego što ju kliknete.
Socijalni inženjering
Socijalni inženjering je u stvari phishing primijenjen u stvarnom svijetu. Hakeri računaju na vašu lakovjernost i dobrohotnost kako bi iz vas izvukli osjetljive podatke poput lozinki, PIN-ova i tome slično.
Prisutan je vijekovima i puno češće upali nego što ljudi obično misle jer napadači često ne idu direktno za onim što traže, već se toga pokušavaju dokopati zaobilaznim putem.
Kako se zaštititi?
Obrazovanje, svijest o potrebi zaštite i budnost vaša su prva (i jedina) linija odbrane. Nemojte dijeliti osjetljive podatke preko telefona, niti ljudima koje ne poznajete.
Dugina tablica
Ovo je takođe obično napad kojege izvodi offline. Recimo kako je napadač došao u posjed popisa korisničkih imena i lozinki, ali je taj popis enkriptovan, a enkriptovana lozinka je pod hash zaštitom, što znači da izgleda potpuno drukčije od izvorne lozinke.
Na primjer, za lozinku logmein poznati MD5 hash je 8f4047e3233b39e4444e1aef240e80aa. Vama i nama to ne znači puno. Ali, u pojedinim slučajevima haker može provući popis lozinki u formatu običnog teksta kroz algoritam za hashing pa usporediti rezultate s popisom enkriptiranih lozinki.
U drugim slučajevima enkripcijski algoritam je ranjiv, a većina lozinki je već probijena. Tu u priču ulazi dugina tablica. Umjesto obrade na stotine hiljada potencijalnih lozinki i upoređivanja njihovih hasheva s već poznatima, dugina tablica je ogroman set već izračunatih vrijednosti hasheva specifičnih za pojedini algoritam. Pomoću te tablice moguće je drastično skratiti vrijeme potrebno za probijanje hasha lozinke. Hakeri mogu kupiti takve tablice već popunjene milionima potencijalnih kombinacija. Ali, te tablice su ogromne – ponekad se njihova veličina mjeri u terabajtima.
Kako se zaštititi?
Izbjegavajte web odredišta koja koriste SHA1 ili MD5 kao algoritam za hashing lozinki, kao i ona koja vas prisiljavaju na korištenje kratkih lozinki ili ograničavaju koje znakove smijete koristiti. I uvijek koristite složenu lozinku.
Zlonamjerni softver/Keylogger
Propustite li ga u svoj kompjuterski sistem, zlonamjerni softver može napraviti ogromnu štetu. Ako je u njemu i keylogger, softver koji bilježi što tipkate, svi vaši korisnički računi su izloženi riziku. Brojne inačice zlonamjernog softvera moguće je mijenjati i prilagoditi različitim namjenama. Dobar dio njih može se prikriti i potiho mjesecima bilježiti i krasti podatke s vašeg računara a da toga niste ni svjesni. Postoje jednostavne metode kako ih upogoniti i poslati na ogroman broj adresa, računajući kako će se sigurno negdje neko upecati.
Kako se zaštititi?
Instalirajte i redovno nadograđujte antivirusni i antimalware softver. Pazite šta preuzimate i odakle. Držite se dalje od sumnjivih web odredišta i ponuda, bez obzira kako primamljivo izgledala. Koristite alate koji blokiraju automatsko izvršenje skripti, prenosi “tportal“.
Spidering
Spidering koristi već opisani rječnički napad, ali uz dodatak. Haker bi pri napadu na određenu instituciju ili kompaniju mogao isprobati niz lozinki povezanih uz cilj napada. U tome bi im mogao pomoći pauk pretraživač, softverski robot koji čita i upoređuje nizove povezanih izraza. Slični roboti se koriste za, na primjer, indeksiranje web stranica za pretraživače. Tako prikupljeni izrazi mogli bi se potom koristiti pri pkušaju upada u korisničke račune, ne bi li se našlo podudaranje.
Kako se zaštititi?
Najbolja zaštita su jedinstvene, snažne, nasumične lozinke koje ne sadržavaju ništa što bi se moglo povezati s vama lično, firmom ili organizacijom za koju radite i tome slično.
Gledanje preko ramena
Za kraj, evo još jedne jednostavne metode. Ako ste dovoljno neoprezni, haker može doći do vaše lozinke gledajući preko vašeg ramena dok tipkate ili ako lozinku neoprezno ostavite negdje gdje može doći do nje (recimo, zalijepljenu za monitor računara).
Kako se zaštititi?
Budite oprezni pri unosu lozinke, naročito na javnim mjestima. Pazite da vas niko ne vidi, pokrijte tastaturu dok to činite ako je moguće.