社会工学のハッキングとリンクされたアカウント:アイデンティティ盗難からの守り方
ä¸è¦å²ç¬æåçæ§
目次:
この日、インターネットは、私たちの生活とアイデンティティのほとんどの側面と緊密に結びついています。事実上誰もFacebookのプロフィールだけでなく、おそらくTwitterアカウント、LinkedInのページ、オンラインの小切手アカウント、オンライン小売店のアカウント、そしておそらく仮想ダストを収集する他のサイトの古いプロファイルをたくさん持っています。私たちのほとんどは、私たちの情報でインターネットを信頼するようになってきました。私たちは、PayPal、Facebook、Amazonなどの世界的に洗練された企業が、私たちの情報をハッキングに開放させないと確信しています。しかし、世界中のハッカーの集団的な勢力は、これらの企業のシステムに違反する新しく革新的な方法を見つけることに向かっている。
以前は言われましたが、私はもう一度言います:セキュリティはあなたの弱いリンクと同じくらい強いです。あなたの個人情報につながる鎖はどれくらい弱いのですか?あなたのオンラインプレゼンスには、あなたが気付いているかもしれないものと、まったく考えていないものがあります。オンラインセキュリティプロセスでは、保護と予防が重要です。ハッキングを防止するのは、発生後の修復よりもはるかに簡単です。
ソーシャルエンジニアリングとは何ですか?
この文脈では、社会工学は、人々を操作して個人情報を漏らす方法です。 Wired's Mat Honanの最近の記事では、彼のデジタルライフを崩壊させたソーシャルエンジニアリングハックの被害者であることが詳しく説明されています。 AmazonとAppleのセキュリティプロトコルの脆弱性により、ハッカーは一連の作家のアカウントにアクセスすることができました。ハッカーは、請求先住所とクレジットカード番号の最後の4桁を提供するAmazonアカウントに侵入することができました。この情報は、ハッカーがホアンであることをAppleに確信させるために必要だったもので、Apple IDパスワードをリセットすることができました。そこから、ハッカーはアップルの電子メールアカウントにアクセスし、オンラインアカウントのオンラインアカウントのハブであった彼のGmailアカウントにアクセスしました。これは職場での社会工学です。ハナン氏がアマゾンのアカウントを持っていることをハッカーが知っていた方法は完全には分かっていませんが、彼の脆弱性に繋がった一連の出来事は注目に値します:
「私の[Twitter]アカウントを訪れた後、ハッカーたちは背景調査をしました。私のTwitterアカウントは私の個人的なウェブサイトにリンクしていて、私のGmailアドレスを見つけました。 Phobia [ハッカー]がGoogleのアカウント復旧ページに行ったのは、これがTwitter用に使用した電子メールアドレスであったと思います。彼は実際に回復を試みる必要もなかった。これは単なる偵察任務だった。私はGoogleの二要素認証を有効にしていなかったので、Phobiaが自分のGmailアドレスを入力すると、私はアカウント回復用に設定した別のメールを見ることができました。 Googleは、多くの文字を主題にしたその情報を部分的に隠しているが、十分な文字が利用可能である(m・en @ me.com)。ジャックポット。
リンクされたアカウントについて2回考える
あなたのデジタルライフストリングはどこかで始まり、終わります。簡単な脆弱性が発見されれば、それが悪用されます。 Amazonは、この種の不正利用がもはや不可能になるようにセキュリティ手順を変更したと主張して以来(ただし、Wiredの記事を読んだ後、私はAmazonからすべての情報を削除し、今から毎回手動で入力する。あまりにも慎重すぎることはありません)。一方、アップルはセキュリティ方針が変更されたとは言わず、アップルのセキュリティ対策は完全には行われていないという。ソーシャルエンジニアリングの戦術に敏感な他の多くの企業があり、あなたのリンクされたアカウントはどこから始めるべきかを教えてくれます。場合によっては、最も簡単な悪用方法があなたのFacebookアカウントになることがあります。
あなたのデジタル以外の生活につながるデジタルトレイル
あなたのFacebookプロフィールが公開されている、またはあなたが実際に知らない人からの友だちのリクエストを受け入れると仮定すると、プロフィールにあなたの完全な誕生日が含まれていますか?あなたの個人的なメールアドレス、自宅の住所と電話番号?あなたはあなたの名前を書いた古い家族のペットの写真を持っていますか?あなたのお母さんとお友達ですか、あなたはまだ彼女の旧姓を使用していますか?あなたの最初のガールフレンド、またはあなたのBFFと、学校の名前を表示する1年生からのあなたの写真がありますか?
はい、私はこれらの個人的な質問すべてを求めていますか?あなたの生年月日と住所は、他の企業やオンラインであなたを偽装するのに十分な情報を私に与えることができます。場合によっては、あなたの社会保障番号の最後の4桁が必要な場合もありますが、それはあなたが思うところではありません。だから、なぜあなたの最初の家族ペット、あなたのお母さんの旧姓、最初の小学校、最初のガールフレンド、または親友の名前が関係する必要がありますか?アカウント復旧プロセスのセキュリティに関する質問にはすべて回答しています。未知の場合はメールをクラックしましたが、実際のターゲットはお客様の銀行口座ですので、セキュリティに関する質問に回答しましたので、銀行口座のパスワードを変更してアクセスできるようになります。良い尺度のために、私はおそらくあなたの電子メールのパスワードを変更するか、それを悪用すれば、アカウントを完全に削除するかもしれません。もちろん、この状況を理想的にするための多くの要素があります。また、あなたの身元を引き継ぐために使用できる他の方法もあります。
「bucketKid」のような弱いパスワードがある場合は、完全にランダムな例として、あなたのアカウントのブルートフォース攻撃には、パスワードをクラックさせるのに約8日間かかります。単に「bucketKid7」にするために番号を追加するだけで、ハッカーがそれを解読するまでに6年もかかります。
あなたの情報は、別の会社のハックで付随的な損害として公開される可能性もあります。複数のサイトで同じパスワードを使用している場合、そのうちの1つに電子メールが含まれている場合は、パスワードをすべて変更して損害の程度を調べる必要があります。さて、あなたの心には最悪のシナリオがあります。あなたが実際に自分を守る方法に移りましょう。
私たちのサイト推奨
同じパスワードを2度使用しないでください!何百万回も聞いたことがあることは知っていますが、数多くのユニークなパスワードを数多くのサイトに持たせるのは現実的ではないと思われるかもしれません。実用化するためにできることは2つあります。
まず、プログラムを使用して、すべてのサイトの一意のパスワードを作成して保存することができます。 1Passwordはそのようなプログラムの1つです。オンラインプロファイルの1つにログインすると、必要なログイン情報を選択するだけで、1Passwordがパスワードを入力してアクセス権を与えます。しかし、1つのデータベースにすべてのパスワードを保存することを望まない場合もあります。
次のオプションは、一連の関連するパスワードを作成することです。 1つのパスワードは、次の「Trees4eVer」などの「Treez4Eva」などにすることができます。どちらのサイトがどのバージョンを使用しているかを覚えておくのはちょっと難しいかもしれませんが、実行可能であり、試してみる価値があります。忘れてしまったパスワードはいつでも回復できます。それは時間がかかるかもしれませんが、パスワードを忘れることはあなたが独特の安全なものを作成するのを止めさせません。
今度はパスワードそのものについて説明しましょう。本当にどれほど安全であるかを測る便利なリファレンスとして「How Secure Is My Password」を使うことができます。常に大文字と特殊文字とともに英数字の組み合わせを使用してください。サイトで許可されている場合は、スペースも使用してください。 "bucketKid"は、 "bu(k3t K!4 15 r3a!)"の方がはるかに安全です。パスワードが偽装されてしまった、How Secure Is My Passwordによると、このパスワードは3兆5千年かかるでしょう。そのようなパスワードを覚えておくと何年もかかるだろうと思うが、メモリトリックを使ってプロセスを簡単にする方法について考えてみると、上の例では「bucket kid is real」と書かれているあなたは大文字にして、文字を数字や特殊文字で置き換えた方法もあります。多数のサイトで同じパスワードを使用したい場合は、電子メールなど頻繁に使用するサイトで、上記の例のような強力なパスワードを使用してください。あなたが頻繁に使用しない、または安全ではないと感じる他のサイトのための "傘の男の子15偽"のようなパスワード
それをサポートするサイトでは必ず2段階認証プロセスを使用してください。 2段階認証プロセスを使用しなかったために、どのようにハッキングされたかに関するWiredライターの記述を覚えていますか?同じ間違いをしないでください。 YahooとFacebookのように、Googleがそれをサポートしています。 2段階認証とは、認識されていないコンピュータやIPアドレスからアカウントにログインすると、携帯電話に送信されたコードを入力するように求められます。これについても素晴らしいことは、あなたのアカウントの警報システムとしても機能することです。誰かがあなたの電子メールにアクセスしようとしたときに、突然あなたにログインコードを提供するテキストが届くと、ハッチを打ち倒す時が来たことがわかります。
最後に、オンライン上の安全性について懸念がある場合は、パスワードを変更する必要がありますかを確認してください。このサイトでは、あなたのメールアドレスを入力して、ハッカーがサイトを解読した後にコンパイルしたリストにそのメールアドレスが表示されているかどうかを確認できます。彼らはあなたの電子メールアドレスを保存することができる新しい機能を追加しました。将来の攻撃と相互参照する予定です。
これはすべて、深い終わりから離れすぎて、あなたにはあまりにも妄想的であるように見えるかもしれませんが、インターネット上の編集的なことが時々あなたを安全に保つことができます。あなたのハードドライブの暗号化、使い捨ての電子メールアドレスと、信用できないサイトやセキュリティに欠けていると思われるサイトの名前を作成したり、パスワードを数ヶ月ごとに変更するなど、あなた自身を守るために必要なその他の対策は数多くあります。このガイドは、より安全なものにするための重要なポイントです。強力なパスワードを作成し、自分のパスワードデータベースを変更する必要がある場合は、少なくとも自分を守るための最初のステップですインターネット上の個人情報の盗難から。
エキスパートのおすすめ
ライアン・ディズレーリ、TeleSignの不正サービスのVP:
「平均的な人物は驚異的に非常にハッキング可能ですが、実際にはハッカーは最も簡単な標的を攻撃しようとします。これはオフラインと似ているわけではありません。泥棒は24時間365日の警備員がいる家を奪うか、常に玄関のドアを開けたまま家を盗んでしまいますか?現実には、良い泥棒はまだ優れた安全保障で家を奪うことができますが、より簡単な被害者を追いかけることを好むでしょう。あなたの個人的な財産を守るための予防措置を取るように、個人は、オンラインアイデンティティを確保するために、予防のいくつかの層を追加することを検討すべきです。
ドディ・グレン, GFIソフトウェアのVIPREアンチウイルス製品マネージャ:
"スマートフォンをコンピュータのように扱う。あなたの電話で何らかの金融取引を行う場合、コンピュータと同じセキュリティ "ベストプラクティス"が適用されます。
シャーマンゴシマヤムダー、シェイプセキュリティの戦略VP:
"ウェブサイトへのアクセス方法に注意を払う。サイトを信頼することを確認することの一部は、ウェブサイトの背後にある組織が評判が良いことを確認することです。別の部分は、あなたがそのWebサイトへの接続を信頼していることを確認しています。 URLが正しいこと、直接ナビゲートしたこと、迷惑メール、IM、またはポップアップからのリンクをクリックしていないことを確認する必要があります。できる場合は、自分のデバイスと接続だけを使用してください。可能であれば、パブリックWiFi接続やパブリックコンピュータを共有することは避けてください。攻撃者がネットワークトラフィックを盗聴したり、キーロガーをインストールしてパスワードを取得したりするのは簡単です。パブリックWiFi接続を使用する必要がある場合は、HTTPS接続を使用しないサイトにログイン情報や個人情報を送信しないようにしてください。
