Social Engineering-Hacks und verknüpfte Konten: Schutz vor Identitätsdiebstahl

In der heutigen Zeit hat das Internet eine enge Verbindung zu den meisten Aspekten unseres Lebens und unserer Identität. Praktisch jeder hat ein Facebook-Profil sowie möglicherweise ein Twitter-Konto, eine LinkedIn-Seite, Online-Girokonten, Konten bei Online-Händlern und wahrscheinlich viele alte Profile auf anderen Websites, die nur virtuellen Staub sammeln. Die meisten von uns vertrauen mit unseren Informationen auf das Internet. Wir sind zuversichtlich, dass globale, hoch entwickelte Unternehmen wie PayPal, Facebook, Amazon und alle anderen großen Namen unsere Informationen nicht für Hacking offen lassen. Das kollektive Gehirn von Hackern auf der ganzen Welt wird jedoch auf die Suche nach neuen und innovativen Wegen ausgerichtet, um die Systeme dieser Unternehmen zu durchbrechen.

Es wurde schon gesagt, aber ich sage es noch einmal: Sicherheit ist nur so stark wie Ihr schwächstes Glied. Wie genau ist die Kette, die zu Ihren persönlichen Informationen führt? In Ihrer Online-Präsenz gibt es zahlreiche Schwachstellen, von denen Sie ausgehen können: Einige, die Sie möglicherweise kennen, und andere, an die Sie nie gedacht haben. Schutz und Vorbeugung sind für Ihren Online-Sicherheitsprozess von zentraler Bedeutung. Es ist viel einfacher, einen Hack zu verhindern als den Schaden zu reparieren, nachdem ein solcher aufgetreten ist.

Was ist Social Engineering?

Social Engineering ist in diesem Zusammenhang eine Methode, mit der Personen manipuliert werden, um persönliche Informationen preiszugeben. In einem kürzlich erschienenen Artikel von Wireds Mat Honan wurde detailliert beschrieben, wie er Opfer eines Social-Engineering-Hacks wurde, durch den sein digitales Leben zum Erliegen gebracht wurde. Sicherheitslücken im Amazon- und Apples Sicherheitsprotokoll ermöglichten einem Hacker den Zugriff auf eine Reihe von Konten des Verfassers. Der Hacker konnte in sein Amazon-Konto einsteigen, das eine Rechnungsadresse sowie die letzten vier Ziffern einer Kreditkartennummer enthielt. Diese Informationen waren alles, was erforderlich war, um Apple davon zu überzeugen, dass der Hacker Honan war. Daher konnte er das Apple-ID-Kennwort zurücksetzen. Von dort aus erhielt der Hacker Zugriff auf sein Apple-E-Mail-Konto, das dann zu seinem Google Mail-Konto führte, das als Drehscheibe für noch mehr Online-Informationen diente. Dies ist Social Engineering bei der Arbeit. Wie die Hacker wussten, dass Mr. Honan ein Amazon-Konto hatte, ist nicht ganz klar, aber die Kette der Ereignisse, die sie zu seiner Verwundbarkeit veranlasst haben, ist erwähnenswert:

„Nachdem sie mein Konto bei Twitter entdeckt hatten, recherchierten die Hacker einige Hintergrundinformationen. Mein Twitter-Konto ist mit meiner persönlichen Website verlinkt, auf der meine Google Mail-Adresse gefunden wurde. In der Annahme, dass dies auch die E-Mail-Adresse war, die ich für Twitter verwendet habe, ging Phobia [der Hacker] zur Wiederherstellungsseite von Google. Er musste nicht einmal versuchen, sich zu erholen. Dies war nur eine Aufklärungsmission. Da die Zwei-Faktor-Authentifizierung von Google nicht aktiviert war, konnte Phobia bei der Eingabe meiner Google Mail-Adresse die alternative E-Mail-Adresse anzeigen, die ich für die Kontowiederherstellung eingerichtet hatte. Google verdeckt diese Informationen teilweise, wobei viele Zeichen hervorgehoben werden. Es stehen jedoch genügend Zeichen zur Verfügung (m••••[email protected]. Jackpot."

Überlegen Sie sich zweimal, welche Konten verknüpft sind

Die Zeichenfolge Ihres digitalen Lebens beginnt und endet irgendwo, und wenn eine leichte Schwachstelle gefunden wird, wird sie ausgenutzt. Amazon hat seitdem behauptet, dass es seine Sicherheitsverfahren so geändert hat, dass diese Art von Exploit nicht mehr möglich ist (allerdings habe ich nach dem Lesen der Wired-Story alle meine Informationen bei Amazon gelöscht und werde sie von nun an jedes Mal manuell eingeben.) Es ist nicht zu vorsichtig. Auf der anderen Seite hat Apple nicht gesagt, dass es die Sicherheitsrichtlinien geändert hat, sondern nur, dass die Sicherheitsmaßnahmen nicht vollständig befolgt wurden. Es gibt zahlreiche andere Unternehmen, die anfällig für Social Engineering-Taktiken sind, und Ihre verknüpften Konten sagen ihnen, wo sie anfangen sollen. Der einfachste Vorteil kann manchmal Ihr Facebook-Konto sein.

Der digitale Weg, der zurück zu Ihrem nicht-digitalen Leben führt

Wenn Sie davon ausgehen, dass Ihr Facebook-Profil öffentlich ist oder dass Sie Freundschaftsanfragen von Personen annehmen, die Sie nicht wirklich kennen, umfasst Ihr Profil Ihren vollständigen Geburtstag? Ihre persönliche E-Mail-Adresse, Heimatadresse und Telefonnummer? Haben Sie Bilder von einem alten Familienhaustier, bei dem Sie sie benennen, oder sind Sie mit Ihrer Mutter befreundet, die immer noch ihren Mädchennamen verwendet? Gibt es Bilder von Ihnen aus der ersten Klasse, die den Namen der Schule, Sie mit Ihrer ersten Freundin oder Ihre BFF zeigen?

Ja, und warum stelle ich all diese persönlichen Fragen? Nun, Ihr Geburtsdatum und Ihre Geburtsadresse können mir genug Informationen geben, um Sie bei anderen Unternehmen oder online zu verkörpern. In einigen Fällen benötige ich vielleicht die letzten vier Ziffern Ihrer Sozialversicherungsnummer, aber das ist nicht die Überbrückungsgrenze, die Sie glauben. Also, warum sollte Ihr erstes Familienhaustier, der Mädchenname Ihrer Mutter, Ihre erste Grundschule, Ihre erste Freundin oder der Name Ihrer besten Freundin eine Rolle spielen? Sie sind alle Antworten auf Sicherheitsfragen für Kontenwiederherstellungsprozesse. Wenn - Ihnen unbekannt - Ihre E-Mail geknackt wurde, aber mein eigentliches Ziel ist Ihr Bankkonto, habe ich nun die Antworten auf Ihre Sicherheitsfragen und ich kann das Kennwort für Ihr Bankkonto ändern, um Zugriff zu erhalten.Aus gutem Grund werde ich wahrscheinlich auch das Passwort in Ihrer E-Mail ändern, oder wenn ich mit der Ausnutzung fertig bin, lösche ich das Konto möglicherweise vollständig. Natürlich gibt es viele Faktoren, die diese Situation ideal machen, und es gibt andere Methoden, um Ihre Identität zu übernehmen.

Wenn Sie über schwache Passwörter wie "bucketKid" verfügen, kann ein Brute-Force-Angriff auf Ihr Konto etwa acht Tage dauern, bis Sie Ihr Passwort geknackt haben (mehr dazu im Abschnitt Empfehlung). Wenn Sie einfach eine Zahl hinzufügen, um "bucketKid7" zu erhalten, verlängert sich die Zeit, die ein Hacker brauchen würde, um sie zu knacken.

Es ist auch möglich, dass Ihre Informationen im Hack eines anderen Unternehmens als Kollateralschaden ausgesetzt sind. Wenn Sie dasselbe Passwort für mehrere Websites verwenden, von denen eine Ihre E-Mail-Adresse enthält, müssen Sie alle Ihre Passwörter ändern und untersuchen, inwieweit der Schaden eintreten könnte. Nun, da Sie die Worst-Case-Szenarien im Kopf haben, gehen wir weiter zu der Frage, wie Sie sich tatsächlich schützen können.

Unsere Website Empfehlung

Verwenden Sie niemals dasselbe Passwort zweimal! Ich weiß, dass Sie das schon eine Million Mal gehört haben, und Sie denken vielleicht, dass es nicht praktikabel ist, Dutzende von einzigartigen Passwörtern auf zahlreichen Websites zu haben. Nun, es gibt zwei Dinge, die Sie tun können, um es praktisch zu machen:

Die erste ist, dass Sie ein Programm verwenden können, um Sie bei der Erstellung und Speicherung eindeutiger Kennwörter für alle Ihre Websites zu unterstützen. 1Password ist ein solches Programm. Wenn Sie sich bei einem Ihrer Online-Profile anmelden, können Sie einfach das Login auswählen, das Sie benötigen. 1Password gibt das Passwort ein und gewährt Ihnen Zugriff. Möglicherweise möchten Sie jedoch nicht, dass alle Passwörter in einer Datenbank gespeichert werden. Dies ist ein gültiges Problem.

Die nächste Option ist das Erstellen einer Reihe von zugehörigen Passwörtern. Ein Passwort kann "Treez4Eva" sein, das nächste "Trees4eVer" und so weiter. Wenn Sie wissen, welche Site welche Version verwendet, kann dies etwas schwierig sein, aber es ist machbar und auf jeden Fall einen Versuch wert. Denken Sie daran, dass Sie Kennwörter, die Sie vergessen, immer wiederherstellen können. Das kann zeitaufwändig sein, aber vergessen Sie nicht, Kennwörter zu vergessen, um eindeutige, sichere Kennwörter zu erstellen.

Nun zum Passwort selbst: Sie können How Secure Is My Password als praktische Referenz verwenden, um festzustellen, wie sicher Sie wirklich sind. Verwenden Sie immer alphanumerische Kombinationen mit Großbuchstaben und Sonderzeichen. Wenn die Site dies zulässt, verwenden Sie auch Leerzeichen. "BucketKid" ist viel sicherer, wenn es "bu (k3t K! 4 15 r3a!)" Ist. Dieses Passwort würde drei Hundertstel Jahre dauern, um zu knacken, laut How Secure Is My Password, was so viele Jahre ist, als sei es falsch Ich denke, es würde so viele Jahre dauern, bis Sie sich an ein solches Passwort erinnern - denken Sie jedoch darüber nach, wie Sie mit Memory-Tricks den Prozess vereinfachen können Sie haben die Groß- und Kleinschreibung verwendet und wie Sie Buchstaben durch Zahlen oder Sonderzeichen ersetzen. Wenn Sie dasselbe Kennwort für zahlreiche Websites verwenden möchten, verwenden Sie das stärkste wie in dem obigen Beispiel für häufig verwendete Websites, z Passwörter wie „Umbrella Boy 15 Fake“ für andere Websites, die Sie nicht häufig verwenden oder sich nicht so fühlen, sind nicht so sicher.

Verwenden Sie immer eine Bestätigung in zwei Schritten für jede Website, die dies unterstützt. Erinnern Sie sich an den Bericht des Wired-Writers, wie er gehackt wurde, weil er keine Bestätigung in zwei Schritten verwendet hat? Machen Sie nicht denselben Fehler. Google unterstützt es ebenso wie Yahoo und Facebook. Bestätigung in zwei Schritten: Wenn Sie sich von einem nicht erkannten Computer oder einer IP-Adresse bei Ihrem Konto anmelden, werden Sie aufgefordert, einen Code einzugeben, der an Ihr Telefon gesendet wurde. Das Tolle daran ist auch, dass es auch als Alarmsystem für Ihre Konten fungiert. Wenn jemand versucht, auf Ihre E-Mail zuzugreifen und Sie plötzlich einen Text erhalten, der einen Anmeldecode enthält, wissen Sie, dass es an der Zeit ist, die Schraffuren zu verkleinern.

Wenn Sie Bedenken hinsichtlich Ihrer Online-Sicherheit haben, aktivieren Sie das Kontrollkästchen Soll ich mein Passwort ändern. Auf dieser Website können Sie Ihre E-Mail-Adresse eingeben und nachsehen, ob sie in Listen angezeigt wird, die Hacker nach dem Aufbrechen einer Website erstellt haben. Sie haben soeben eine neue Funktion hinzugefügt, mit der Sie Ihre E-Mail-Adresse zusammen mit ihnen speichern können und bei zukünftigen Angriffen darauf verweisen.

All dies mag Ihnen den Anschein erwecken, als würden Sie aus dem tiefen Bereich gehen und zu paranoid sein, aber im Internet paranoid zu sein, kann Sie manchmal schützen. Es gibt zahlreiche andere Maßnahmen, die Sie ergreifen sollten, um sich selbst zu schützen, z. B.: Verschlüsseln Ihrer Festplatte, Erstellen von E-Mail-Adressen und Namen für Websites, denen Sie nicht vertrauen oder deren Sicherheit fehlt, und alle paar Monate die Kennwörter ändern. Dieser Leitfaden sollte als Anstoß genommen werden, um Sie sicherer zu machen. Wenn Sie lediglich ein sicheres Kennwort erstellen und Ihre E-Mail in der Datenbank "Soll ich ändern" angeben, ist dies zumindest ein guter erster Schritt, um sich selbst zu schützen durch Identitätsdiebstahl im Internet.

Expertenempfehlungen

Ryan Disraeli, Vizepräsident von Fraud Services bei TeleSign:

„Die durchschnittliche Person ist schockierend sehr hackbar, aber die Realität sieht so aus, dass Hacker das leichteste Ziel angreifen werden. Dies unterscheidet sich nicht von Offline. Raubt ein Dieb ein Haus mit Sicherheitsdienst rund um die Uhr oder ein Haus, das die Haustür immer unverschlossen lässt? Die Realität ist, dass ein guter Dieb immer noch ein Haus mit hervorragender Sicherheit ausrauben kann, aber lieber einem leichteren Opfer nachgeht.So wie Sie Vorkehrungen treffen würden, um Ihr persönliches Eigentum zu schützen, sollten Einzelpersonen ein paar Präventionsstufen hinzufügen, um ihre Online-Identität zu sichern. “

Dodi Glenn, VIPRE Antivirus-Produktmanager von GFI Software:

„Behandle dein Smartphone wie einen Computer. Wenn Sie auf Ihrem Telefon Finanztransaktionen durchführen, gelten dieselben "bewährten Vorgehensweisen" wie für einen Computer."

Shuman Ghosemajumder, VP der Strategie bei Shape Security:

„Achten Sie darauf, wie Sie auf Websites zugreifen. Um sicherzustellen, dass Sie einer Website vertrauen, wird zum Beispiel sichergestellt, dass die Organisation hinter der Website seriös ist. Ein anderer Teil stellt sicher, dass Sie Ihrer Verbindung zu dieser Website vertrauen. Sie sollten sicherstellen, dass die URL korrekt ist, dass Sie direkt zu ihr navigiert haben und nicht auf einen Link in einer unerwünschten E-Mail, IM oder einem Popup geklickt haben. Verwenden Sie nach Möglichkeit nur Ihre eigenen Geräte und Verbindungen. Sie sollten öffentliche WLAN-Verbindungen und gemeinsam genutzte öffentliche Computer möglichst vermeiden, da Angreifer den Netzwerkverkehr leicht erkennen und Keylogger installieren können, um Kennwörter zu erfassen. Wenn Sie eine öffentliche WLAN-Verbindung verwenden müssen, stellen Sie sicher, dass Sie keine Anmeldedaten oder persönlichen Informationen an eine Website übermitteln, die keine HTTPS-Verbindung verwendet."