7 modi hacker Rubare le password

In un modo o nell’altro, le password sono sempre nelle notizie. O vengono rubati in violazioni dei dati, o derisi per essere troppo semplici; derisi come inutili o lamentati per essere tecnologicamente arretrati. Non importa quale opinione ognuno di noi abbia sulle password, però, una cosa è indiscutibile: le useremo oggi, domani e per il prossimo futuro., A differenza delle tecnologie di riconoscimento tattile o facciale, le password vengono utilizzate ovunque perché sono economiche da implementare e semplici da usare. Per gli utenti finali, sono low-tech come tecnologia di sicurezza mai ottiene. Naturalmente, che l’ubiquità e la semplicità è proprio ciò che rende le password attraenti per i ladri. In questo post, diamo un’occhiata a come gli hacker rubano le nostre password e cosa possiamo fare per fermarli.

Credential Stuffing

Livello di rischio: Alto

Si stima che decine di milioni di account vengano testati quotidianamente dagli hacker utilizzando credential stuffing.,

Che cos’è?

Credential stuffing, noto anche come list cleaning e breach replay, è un mezzo per testare database o elenchi di credenziali rubate, ovvero password e nomi utente, contro più account per vedere se c’è una corrispondenza.

Come funziona?

I siti con scarsa sicurezza vengono violati regolarmente e i ladri prendono di mira attivamente il dumping delle credenziali degli utenti da tali siti in modo che possano venderle sui forum dark net o underground., Poiché molti utenti useranno la stessa password su siti diversi, i criminali hanno una probabilità statisticamente buona di scoprire che l’utente ha usato la stessa password su . Gli strumenti per automatizzare il test di un elenco di credenziali rubate su più siti consentono agli hacker di violare rapidamente nuovi account anche su siti che praticano una buona sicurezza e igiene delle password.

Come puoi stare al sicuro?

La chiave per non diventare vittima del credential stuffing è semplice: ogni password per ogni sito dovrebbe essere unica., Naturalmente, ciò non impedirà il furto della password per un account su un sito con scarsa sicurezza, ma significa che qualsiasi compromesso delle tue credenziali non ti influenzerà in qualsiasi altro luogo su Internet. Se stai ansimando al pensiero di creare e ricordare password univoche per ogni sito che usi, consulta la nostra sezione Suggerimenti vicino alla fine del post.

Phishing

Livello di rischio: Alto

Oltre il 70% di tutti i crimini informatici inizia con un attacco di phishing o spear-phishing., Gli hacker amano usare tecniche di phishing per rubare le credenziali degli utenti, sia per uso proprio, o più comunemente per vendere ai criminali sulla rete oscura.

Che cos’è?

Il phishing è un trucco di ingegneria sociale che tenta di ingannare gli utenti a fornire le proprie credenziali a quello che credono sia una vera e propria richiesta da un sito legittimo o fornitore.

Come funziona?

In genere, ma non sempre, il phishing avviene tramite e-mail che contengono link fraudolenti a siti Web clonati o un allegato dannoso., Da qualche parte lungo la catena di eventi che inizia con l’utente che abbocca, i truffatori presenteranno un modulo di accesso falso per rubare il nome di accesso e la password dell’utente. I truffatori utilizzeranno anche una qualche forma di intercettazione tra un utente e una pagina di accesso autentica, come un attacco man-in-the-middle per rubare le credenziali.

Come puoi stare al sicuro?

Utilizzare l’autenticazione a 2 fattori o a più fattori. Anche se i ricercatori hanno sviluppato trucchi per superare questi, nei casi selvatici sono ancora da segnalare. La cautela è la tua difesa numero uno contro il phishing., Ignora le richieste di accesso ai servizi dai link e-mail e vai sempre direttamente al sito del fornitore nel tuo browser. Controlla attentamente le e-mail che contengono allegati. La maggior parte delle email di phishing contiene errori di ortografia o altri errori che non sono difficili da trovare se si prende un momento per ispezionare attentamente il messaggio.

Password Spraying

Livello di rischio: Alto

Si stima che forse il 16% degli attacchi alle password provenga da attacchi di password spraying.

Che cos’è?,

Password spraying è una tecnica che tenta di utilizzare un elenco di password comunemente utilizzate contro un nome di account utente, ad esempio 123456, password123, 1qaz2wsx, letmein, batman e altri.

Come funziona?

Un po ‘ come credential stuffing, l’idea di base alla base della spruzzatura della password per prendere un elenco di account utente e testarli contro un elenco di password. La differenza è che con credential stuffing, le password sono tutte password conosciute per utenti particolari., La spruzzatura della password è più schietta. Il truffatore ha un elenco di nomi utente, ma nessuna idea della password effettiva. Invece, ogni nome utente viene testato contro un elenco delle password più comunemente utilizzate. Questo può essere il top 5, 10 o 100, a seconda di quanto tempo e risorse l’attaccante ha. La maggior parte dei siti rileverà ripetuti tentativi di password dallo stesso IP, quindi l’utente malintenzionato deve utilizzare più IP per estendere il numero di password che può provare prima di essere rilevato.

Come puoi stare al sicuro?

Assicurati che la tua password non sia nell’elenco delle 100 password più comunemente utilizzate.,

Registrazione

Livello di Rischio: Medio

Keylogging è spesso una tecnica utilizzata negli attacchi mirati, in cui l’hacker o conosce la vittima (coniuge, un collega, un parente) o è particolarmente interessato alla vittima (aziendale o di una nazione, di stato di spionaggio).

Che cos’è?

I keylogger registrano i tratti digitati sulla tastiera e possono essere un mezzo particolarmente efficace per ottenere credenziali per cose come conti bancari online, portafogli crittografici e altri accessi con moduli sicuri.,

Come funziona?

Keylogging è più difficile da tirare fuori di Credential Stuffing, Phishing e Password a spruzzo perché prima richiede l’accesso a, o compromesso di, macchina della vittima con keylogging malware. Detto questo, ci sono un sacco di kit post-sfruttamento pubblicamente disponibili che offrono aggressori keylogger off-the-shelf, così come strumenti spyware commerciali presumibilmente per il monitoraggio dei genitori o dei dipendenti.

Come puoi stare al sicuro?

È necessario eseguire una buona soluzione di sicurezza in grado di rilevare infezioni e attività di keylogging., Questo è uno dei pochi tipi di tecniche di furto di password in cui la forza o l’unicità della tua password non fa davvero differenza. Ciò che conta è quanto bene il vostro endpoint è protetto contro le infezioni, e se il software di sicurezza può anche rilevare attività dannose se il malware trova un modo oltre le sue caratteristiche di protezione.

Forza bruta

Livello di rischio: basso

Sorprendentemente non così diffuso come le persone tendono a pensare, forzare le password brute è difficile, richiede tempo e costoso per i criminali.

Che cos’è?,

È il genere di cose di cui i ricercatori di sicurezza amano scrivere, o che potresti vedere nei programmi TV: un hacker esegue un algoritmo contro una password crittografata e in 3 2 2 1 1 the l’algoritmo incrina la password e la rivela in testo normale.

Come funziona?

Ci sono molti strumenti come “Aircrack-ng”, “John The Ripper” e “DaveGrohl” che tentano di forzare le password. Ci sono generalmente due tipi di cracking disponibili. Il primo è una qualche forma di attacco” dizionario ” – così chiamato perché l’attaccante prova solo ogni parola nel dizionario come password., Programmi come quelli sopra menzionati possono eseguire e testare un intero dizionario in pochi secondi. L’altro tipo di tecnica viene utilizzata quando l’hacker ha (attraverso una violazione dei dati) acquisito l’hash della password in testo semplice. Dal momento che questi non possono essere invertiti, l’obiettivo è quello di hash quante più password di testo semplice possibile e cercare di trovare una corrispondenza. Esistono tabelle arcobaleno che elencano gli hash delle passphrase comuni per accelerare questo processo.,

Uno dei motivi per cui il cracking delle password non è una tecnica praticabile come alcuni degli altri che abbiamo menzionato è che le password crittografate in genere usano un sale. Si tratta di alcuni dati casuali utilizzati nel processo di crittografia che garantisce che non ci siano due password in testo normale che producano lo stesso hash. Tuttavia, gli errori commessi dagli amministratori del sito quando si utilizzano o si memorizzano sali e password possono rendere possibile la cracking di alcune password crittografate.

Come puoi stare al sicuro?

La chiave per rimanere al sicuro dagli attacchi di forza bruta è assicurarsi di utilizzare password di lunghezza sufficiente., Qualsiasi carattere 16 o superiore dovrebbe essere sufficiente data la tecnologia attuale, ma idealmente a prova di futuro utilizzando una passphrase che è lunga quanto il massimo consentito dal servizio a cui ti stai iscrivendo. Evitare di utilizzare qualsiasi servizio che non consente di creare una password più lunga di 8 o 10 caratteri. Preoccupato di come ti ricordi una password super lunga? Vedere la sezione Suggerimenti qui sotto.,

Local Discovery

Livello di rischio: Basso

Principalmente una tecnica che verrebbe utilizzata solo in un attacco mirato, da un conoscente noto, parente, collega o dalle forze dell’ordine.

Che cos’è?

La scoperta locale si verifica quando si scrive o si utilizza la password da qualche parte dove può essere vista in testo normale. L’attaccante trova la password e la usa, spesso senza che tu sappia che la password è stata trapelata.

Come funziona?,

Hai visto quei film in cui i poliziotti passano attraverso la spazzatura del cattivo per indizi su ciò che ha fatto? Sì, dumpster diving è un modo valido per ottenere una password attraverso la scoperta locale. Avete una nota Post-It sul monitor, o un diario nel cassetto della scrivania con le credenziali Paypal? Ci sono mezzi più nascosti di scoperta locale però, tra cui sniffing comunicazioni bluetooth o trovare password di testo in chiaro nei registri o URL. Anche il surf a spalla non è sconosciuto., Che può essere qualsiasi cosa, da un collega surrettiziamente in giro dietro la scrivania quando si effettua il login, a CCTV in caffetterie e altre aree pubbliche che potrebbero catturare video degli utenti mentre digitano le loro credenziali di accesso in un sito web sui loro computer portatili.

Come puoi stare al sicuro?

Non c’è bisogno di essere paranoici, ma esercitare la giusta quantità di cautela. Mentre il rischio è basso in generale, se ti fai il frutto a bassa attaccatura lasciando facilmente rilevabili record della tua password in giro, non stupitevi se qualcuno ne approfitta.,

Estorsione

Livello di rischio: basso

Probabilmente più basso sulla scala di rischio, ma non inaudito.

Che cos’è?

Qualcuno ti chiede di dare loro le tue credenziali. Nessun subtefuge coinvolto. L’accordo è che rinunci alla tua password o fanno qualcosa che non ti piacerà.

Come funziona?

Tecnica di ricatto semplice che dipende dalla natura della relazione tra l’attaccante e il bersaglio., Qualcuno potrebbe richiedere la tua password se ha i mezzi per danneggiarti o metterti in imbarazzo se non ti conformi, come rivelare informazioni sensibili, immagini o video su di te o minacciare la sicurezza fisica di te stesso o dei tuoi cari. RAT malware che consente agli hacker di spiare su di voi attraverso un web o video cam può esporre a questo tipo di estorsione.

Come puoi stare al sicuro?

Poiché le vittime di ransomware stanno scoprendo quasi quotidianamente, non esiste un regolamento su come affrontare le richieste di estorsione., È un compromesso tra il valore di ciò che vogliono e il valore del danno che potrebbero fare. Essere consapevoli del fatto che in alcune giurisdizioni e in determinate circostanze, cedere a una richiesta di estorsione potrebbe renderti perseguibile secondo la legge.

Le password contano?

Alcuni non pensano, ma sì lo fanno. Le password complesse proteggeranno il tuo da tecniche come la spruzzatura delle password e gli attacchi di forza bruta, mentre le password uniche proteggeranno il tuo da credential stuffing, assicurando che i danni causati da una perdita su un sito non avranno un impatto negativo altrove.,

Suggerimenti per la creazione di password forti e univoche

Uno dei motivi principali per cui Credential Stuffing e Password Spraying hanno così successo è perché alle persone non piace creare e ricordare password complesse. La buona notizia-che in realtà non dovrebbe essere una notizia come è stato vero per un bel po ‘ di tempo – è che i gestori di password vi farà risparmiare lo sforzo. Questi sono prontamente disponibili e alcuni browser hanno anche suggerimenti di password integrati. Certo, è vero che questi non sono infallibili., In genere si basano su una password principale che, se compromessa, espone tutte le uova nel tuo singolo cestino. Tuttavia, le probabilità di essere vittima di furto di password se si utilizza un gestore di password sono significativamente inferiori rispetto a se non lo fai. Suggeriamo che i vantaggi dei gestori di password superino enormemente i rischi e li raccomandiamo vivamente come pratica base di sicurezza 101.

Conclusione

Le password non andranno via presto, e ci sono anche buoni argomenti per suggerire che non dovrebbero., Mentre i dati biometrici, la scansione del viso e delle impronte digitali hanno tutti un ruolo nell’aiutare l’accesso sicuro ai servizi, la bellezza di una password è che è “qualcosa che conosci” e non “qualcosa che hai”. Quest’ultimo può essere portato via da te, in alcuni casi legalmente, ma il primo non può, purché tu ti assicuri che sia sufficientemente complesso, unico e segreto. Combinalo con l’autenticazione a due fattori o a più fattori e le tue possibilità di subire la perdita di dati attraverso l’hacking delle password sono estremamente basse e, soprattutto, altamente limitate., Se un sito insicuro perde le tue credenziali, puoi essere sicuro che non ti interesserà oltre quel particolare servizio.

Ti piace questo articolo? Seguici su LinkedIn, Twitter, YouTube o Facebook per vedere i contenuti che pubblichiamo.

Per saperne di più sulla sicurezza informatica

  • Che cos’è OSINT? (E come viene utilizzato?)
  • Addetti alla sicurezza! 5 Modi per rendere il vostro capo sentire le vostre esigenze
  • 11 Cattive abitudini che distruggono i vostri sforzi di sicurezza informatica
  • Che cosa è la caccia alle minacce? (Ed è davvero necessario?)
  • Nascondere il codice all’interno delle immagini: come il malware utilizza la steganografia

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *