Jeśli chodzi o ochronę tożsamości cyfrowej, może być trudno wiedzieć, przed czym się bronisz. Cele, ofiary i techniki atakujących są bardzo zróżnicowane, a ta niepewność tylko wzrosła, ponieważ złośliwi aktorzy wykorzystują chaos związany z COVID-19 do kradzieży wszelkich informacji, które wpadną im w ręce. To powiedziawszy, jedyną pewną rzeczą, jaką wiemy, jest to, że kradzież i niewłaściwe użycie danych uwierzytelniających online jest związane z prawie 81% naruszeń związanych z hakerami, co czyni je jednym z najczęstszych ataków. najczęściej na świecie. O autorze Nic Sarginson jest starszym inżynierem rozwiązań dla UKI i RSA w Yubico
Klucze do zamku
Gdy cyberprzestępca zdobędzie czyjeś dane uwierzytelniające, dysponuje narzędziami do odblokowania pełnej tożsamości cyfrowej ofiary. Więc jeśli potencjalne szkody są tak duże, dlaczego te dane uwierzytelniające są tak łatwe do kradzieży? słabe hasłaAtakujący wypróbowują popularne hasła z określonymi lub powszechnymi nazwami użytkowników i mogą odnieść zaskakujący sukces. Niestety większość ludzi ma trudności z tworzeniem lub zapamiętywaniem silnych haseł. W rezultacie ludzie często wybierają słabe hasła i rzadko je zmieniają. W rzeczywistości ostatnie badania wykazały, że jedno na 142 haseł to „123456”, a 23,5 miliona zhakowanych kont używało hasła „123456”. Nadużycie ponownego użycia hasła (upychanie danych uwierzytelniających)
Atakujący regularnie biorą dane uwierzytelniające skradzione z jednej witryny i wypróbowują je w innej, ponieważ bardzo często ludzie używają tej samej nazwy użytkownika i hasła lub jego wariantu w wielu witrynach. . W rzeczywistości ponad 44 miliony posiadaczy kont Microsoft używa haseł pochodzących z recyklingu! Problem ten jest potęgowany przez ogromną liczbę skradzionych danych uwierzytelniających dostępnych na sprzedaż w ciemnej sieci. Ataki typu „man-in-the-middle” (MitM).
Czasami osoby atakujące uzyskują dostęp do ścieżki sieciowej między komputerem ofiary a witryną, do której mają dostęp. Może to pozwolić atakującemu zobaczyć, do jakich witryn ktoś uzyskuje dostęp, i wykraść jego dane, jeśli połączenie nie jest szyfrowane lub jeśli ofiara uważa, że złośliwa witryna lub system jest legalny. Oszustwo tożsamości
Phishing zazwyczaj wykorzystuje pretekst, aby przekonać kogoś do bezpośredniego ujawnienia swoich danych uwierzytelniających lub odwiedzenia witryny, która robi to samo. Atakujący robią to, weryfikując przez SMS, e-mail, telefon, komunikator, media społecznościowe, serwisy randkowe, pocztę tradycyjną lub za pomocą innych dostępnych środków. Operacja odzyskiwania konta
Niestety procesy odzyskiwania konta mogą być znacznie słabsze niż główny kanał uwierzytelniania. Na przykład firmy często wdrażają rozwiązania silnego uwierzytelniania dwuskładnikowego (2FA) jako podstawową metodę pozostawiania wiadomości SMS jako kopii zapasowej. Alternatywnie firmy mogą po prostu pozwolić personelowi pomocy technicznej na zresetowanie danych uwierzytelniających lub ustawienie tymczasowych kodów obejścia za pomocą prostej rozmowy telefonicznej i bez konieczności weryfikacji tożsamości.
Chroń swoją domenę
Po rozpoznaniu tych metod kradzieży poświadczeń możesz zacząć identyfikować, w jaki sposób przestępcy mogą łatwo uzyskać dostęp do Twojej cyfrowej tożsamości. Oto kilka prostych kroków, które możesz zacząć podejmować już dziś, aby powstrzymać te metody kradzieży danych uwierzytelniających: Prawidłowo zarządzaj hasłamiTworzenie najsilniejszych haseł i bezpieczne zarządzanie nimi jest bardzo ważne. W idealnej sytuacji silne hasła powinny być generowane losowo. Przynajmniej unikaj wykorzystywania informacji o sobie lub swoich przyjaciołach i rodzinie, takich jak urodziny, drużyny sportowe, nazwy zwierząt itp. Nigdy nie używaj ponownie haseł między witrynami. Tak, oznacza to, że będziesz potrzebować innego hasła do każdego posiadanego konta. Najlepszym rozwiązaniem jest używanie menedżera haseł do bezpiecznego generowania i przechowywania haseł. Użyj uwierzytelniania dwuskładnikowego (2FA)
Nawet najbezpieczniejsze nazwy użytkownika i hasła mogą zostać naruszone. Aby tego uniknąć, zawsze włączaj 2FA, gdy tylko jest to możliwe, aby upewnić się, że do uzyskania dostępu do konta wymagana jest inna forma tożsamości, poza nazwą użytkownika i hasłem. Cokolwiek robisz, nie aktywuj kodów SMS jako drugiej formy uwierzytelnienia. Niedawno Narodowy Instytut Standardów i Technologii (NIST) uczynił je bardzo nieskutecznymi. Podczas gdy niektóre usługi wymagają użycia SMS-ów do początkowego skonfigurowania 2FA, możesz wyłączyć SMS-y po skonfigurowaniu innych czynników, takich jak klucze bezpieczeństwa. Sprawdź zanim klikniesz
Aby zabezpieczyć się przed phishingiem e-mailowym, upewnij się, że wiadomość e-mail jest wiarygodna, zadając sobie pytanie: Czy rozpoznajesz adres e-mail? Czy w wiadomości e-mail są błędy ortograficzne? Czy więź lub przywiązanie ma sens? Jeśli chodzi o strony internetowe i linki, sprawdź zabezpieczenia HTTPS, które wskazują, że strona internetowa, na której się znajdujesz, jest bezpieczna i można jej zaufać przed wprowadzeniem jakichkolwiek poufnych informacji. HTTPS pojawi się w adresie URL, a na pasku pojawi się również mała kłódka z napisem „bezpieczne” obok niej. Ponadto Twój bank nie wyśle Ci e-maila z linkiem do resetowania hasła, zawsze korzystaj z oficjalnej aplikacji bankowości mobilnej lub upewnij się, że przechodzisz bezpośrednio na stronę internetową banku. Uważaj na sieci
Publiczna sieć Wi-Fi nie kwalifikuje się jako bezpieczna sieć i dlatego daje hakerom większą przewagę w kradzieży informacji lub przeprowadzaniu złośliwych ataków. Jeśli musisz korzystać z publicznej sieci Wi-Fi, trzymaj się stron, które nie obsługują poufnych informacji. Jeśli to możliwe, zawsze unikaj publicznych sieci Wi-Fi i korzystaj z innych rozwiązań, takich jak bezpieczny osobisty hotspot lub rozwiązanie VPN. VPN utrudni stronom trzecim ustalenie Twojej tożsamości lub lokalizacji. Jednak w miarę jak świat dostosowuje się do pracy z domu, rekordowa liczba osób korzysta z VPN w celu uzyskania dostępu do sieci korporacyjnej, co wystawia ich na próbę. Możesz także zabezpieczyć dostęp VPN za pomocą MFA, aby upewnić się, że Twoje dane osobowe i biznesowe są chronione. Nie ujawniaj poufnych informacji Każda informacja może ułatwić pracę hakera. Może się to wydawać oczywiste, ale w dobie mediów społecznościowych nie umieszczaj na swoich publicznych profilach żadnych informacji, których nie przekazałbyś obcej osobie. Ponieważ COVID-19 oznacza, że więcej osób pracuje z domu, istnieje większa pokusa, aby wypełnić ten post na kanale na Facebooku, który zawiera ujawnienie miejsca urodzenia i pierwszego zwierzaka. W rzeczywistości Narodowe Centrum Cyberbezpieczeństwa niedawno uruchomiło nową kampanię mającą na celu ochronę przed takimi zagrożeniami.