Укупно 500 милиона Зоом налога је за продају на мрачном вебу захваљујући „пуњењу акредитива“. То је уобичајен начин на који криминалци проваљују рачуне на мрежи. Ево шта тај израз заправо значи и како се можете заштитити.
Преглед садржаја
Почиње са процурелим базама лозинки
Напади на онлајн услуге су чести. Криминалци често користе безбедносне пропусте у системима да би стекли базе података корисничких имена и лозинки. Базе података украдених акредитива за пријаву се често продају на мрежи на мрачном вебу, а криминалци плаћају биткоинима за привилегију приступа бази података.
Рецимо да сте имали налог на Аваст форуму, што је било прекршен још 2014. Тај налог је проваљен и криминалци могу имати ваше корисничко име и лозинку на Аваст форуму. Аваст вас је контактирао и затражио да промените лозинку за форум, па у чему је проблем?
Нажалост, проблем је што многи људи поново користе исте лозинке на различитим веб локацијама. Рецимо да су ваши детаљи за пријаву на Аваст форум били „[email protected]“ и „Невероватна лозинка“. Ако сте се пријавили на друге веб локације са истим корисничким именом (ваша адреса е-поште) и лозинком, сваки криминалац који добије ваше лозинке које су процуреле може добити приступ тим другим налозима.
Попуњавање акредитива у акцији
„Попуњавање акредитива“ подразумева коришћење ових база података са процурелим детаљима за пријаву и покушај да се пријавите са њима на другим онлајн услугама.
Криминалци узимају велике базе података комбинација корисничких имена и лозинки које су процуриле – често милионе акредитива за пријаву – и покушавају да се пријаве са њима на другим веб локацијама. Неки људи поново користе исту лозинку на више веб локација, тако да ће се неки подударати. Ово се генерално може аутоматизовати помоћу софтвера, брзо испробавајући многе комбинације за пријаву.
За нешто тако опасно што звучи тако технички, то је све – покушајте већ процурелих акредитива на другим услугама и видите шта функционише. Другим речима, „хакери“ стављају све те акредитиве за пријаву у формулар за пријаву и виде шта се дешава. Неки од њих ће сигурно радити.
Ово је један од најчешћих начина на који нападачи ових дана „хакују“ онлајн налоге. Само у 2018. мрежа за испоруку садржаја Акамаи забележио скоро 30 милијарди напада на пуњење акредитива.
Како се заштитити
Заштита од пуњења акредитива је прилично једноставна и укључује праћење истих безбедносних пракси које стручњаци за безбедност препоручују годинама. Не постоји магично решење – само добра хигијена лозинке. Ево савета:
Избегавајте поновну употребу лозинки: Користите јединствену лозинку за сваки налог који користите на мрежи. На тај начин, чак и ако ваша лозинка процури, не може се користити за пријаву на друге веб локације. Нападачи могу покушати да убаце ваше акредитиве у друге обрасце за пријаву, али неће успети.
Користите Менаџер лозинки: Запамтите јаке јединствене лозинке је скоро немогућ задатак ако имате налоге на доста веб локација, а скоро сви имају. Препоручујемо коришћење менаџера лозинки као што је 1Пассворд (плаћено) или Битварден (бесплатно и отвореног кода) да памти ваше лозинке уместо вас. Може чак и да генерише те јаке лозинке од нуле.
Омогућите аутентификацију у два корака: Са аутентификацијом у два корака, морате да наведете нешто друго — као што је код који генерише апликација или вам се шаље путем СМС-а — сваки пут када се пријавите на веб локацију. Чак и ако нападач има ваше корисничко име и лозинку, неће моћи да се пријави на ваш налог ако нема тај код.
Добијте обавештења о лозинки која је процурила: уз услугу као што је Да ли сам избачен?, можете добити обавештење када се ваши акредитиви појаве у цурењу.
Како услуге могу да заштите од пуњења акредитива
Иако појединци морају да преузму одговорност за обезбеђивање својих налога, постоји много начина на које онлајн услуге могу да се заштите од напада кршењем акредитива.
Скенирајте процуреле базе података за корисничке лозинке: Фацебоок и Нетфлик су скенирали процуриле базе података за лозинке, упоредивши их са акредитивима за пријаву на сопствене услуге. Ако постоји подударање, Фацебоок или Нетфлик могу затражити од свог корисника да промени лозинку. Ово је начин да се потуче акредитива.
Понудите аутентификацију са два фактора: Корисници би требало да буду у могућности да омогуће двофакторну аутентификацију да би заштитили своје налоге на мрежи. Посебно осетљиве услуге то могу учинити обавезним. Такође могу да натерају корисника да кликне на везу за верификацију пријаве у е-поруци да потврди захтев за пријаву.
Захтевајте ЦАПТЦХА: Ако покушај пријављивања изгледа чудно, услуга може да захтева уношење ЦАПТЦХА кода приказаног на слици или кликом на други образац да би се потврдило да човек — а не бот — покушава да се пријави.
Ограничите поновљене покушаје пријављивања: Услуге би требало да покушају да блокирају ботове у покушају великог броја покушаја пријављивања у кратком временском периоду. Модерни софистицирани ботови могу покушати да се пријаве са више ИП адреса одједном како би прикрили своје покушаје пуњења акредитива.
Лоше праксе лозинки — и, да будемо поштени, лоше обезбеђени онлајн системи које је често превише лако компромитовати — чине пуњење акредитива озбиљном опасношћу по безбедност налога на мрежи. Није ни чудо што многе компаније у технолошкој индустрији желе да изграде безбеднији свет без лозинки.