Vídeo: TRUCO: Cómo crear una CONTRASEÑA SEGURA y FACIL de recordar ✅ (Setembre 2024)
En cadascun dels atacs recents a Evernote, Facebook, Twitter i altres, les empreses implicades es van mostrar ràpidament que les contrasenyes es mantenien segures. Però la informació de l’usuari té una vida pròpia i els efectes d’un atac a un individu es poden sentir molt després d’haver acabat l’atac.
Els atacs que hem vist
Normalment el que sentiu quan una empresa important s’ha vist compromesa és una cosa similar a la manera de mantenir la informació de pagament segura, les contrasenyes es van xifrar, però es podia accedir a una altra informació. Normalment, inclou nom d'usuari i correu electrònic.
Per a la majoria de nosaltres, això no pot semblar perillós. Al cap i a la fi, enviem els nostres propis correus electrònics tot el temps, fins i tot els publiquem en línia. Però hi ha riscos per als usuaris que tinguin exposada aquesta petita quantitat d'informació.
Derek Halliday, responsable de productes sènior de la seguretat mòbil de Lookout, va explicar a SecurityWatch com aquestes dades d'informació poden convertir els usuaris en objectius. "La informació del compte es pot utilitzar per habilitar la pesca submarina, ja que proporciona informació contextual única sobre les persones, una manera de contactar amb ells", va dir. "I el fet que en un moment donat s'hagin inscrit en un servei determinat".
És per això que els correus electrònics d’alerta legítims recorden freqüentment als usuaris que potser han exposat la seva informació que ningú mai demanarà la seva contrasenya. Si un pirata informàtic sap que utilitza Evernote (per exemple), és un treball breu per crear un missatge que sembla ser d'Evernote i enviar-lo a l'adreça de correu electrònic que utilitzeu per gestionar el vostre compte. Potser us demanarà que proporcioneu la vostra contrasenya o informació de pagament o, tal vegada, us faci clic en un enllaç maliciós.
"Hem vist ciberdelinqüents que estan disposats a involucrar-se en la relació llarga", va dir Mark Risher, cofundador i conseller delegat de Impermium. "Un atac de diversos passos que va més enllà de la projecció directa de dades sensibles."
"Quan els delinqüents entren en un compte de xarxa social, sovint poden trobar detalls personals que afegeixen legitimitat a una caça de caça", ha continuat Risher, que ha citat una associació d'alumnes com un detall personal. Va explicar que es podria utilitzar per desbloquejar la funció de "pregunta secreta", que de vegades pregunta quin era la mascota de la teva escola o el nom de la teva primera mascota en un altre lloc web.
El pitjor cas
Chester Wisniewski, assessor de seguretat superior de Sophos, va dir que tot i que Evernote i altres llocs web recentment compromesos van assegurar les seves contrasenyes amb hashes criptogràfiques i dades aleatòries "salades", no tots els usuaris podrien estar protegits. Va explicar que si els usuaris trien contrasenyes febles o comunes, "els criminals probablement la tinguin".
Amb la informació limitada disponible, es podran recuperar les contrasenyes més fàcils. "Els criminals es molestaran amb els fàcils, i potser no es molestaran amb la resta", va dir Wisniewski.
Per a alguns dels dolents, només cal accedir a comptes de xarxes socials com Facebook o Twitter. Alguns ho utilitzen com una oportunitat per guanyar diners, intentant difondre infeccions per programari maliciós. Més atacants emprenedors poden intentar utilitzar la contrasenya acumulada per desbloquejar un compte de correu web.
"Sovint busquen correu al banc de l'usuari; de vegades hi ha una funció de" m'he oblidat de la meva contrasenya "en aquest banc que només es basa en tenir accés al compte de correu electrònic", va dir Risher.
Continuant en el pitjor dels casos, és possible que els atacants no es facin un cop hagin accedit a la informació bancària en línia. "Molts d'aquests no van a involucrar directament en el robatori d'identitat, sinó que el vendran", va dir Wisniewski.
A continuació, va explicar que en el cas dels troians bancaris, els atacants utilitzaran el 10% més gran dels comptes –és a dir, els que tenen més fons disponibles– i vendran l’altre 90% de la informació. Això significa que la informació de l’usuari, un cop compromesa, es pot seguir utilitzant i reutilitzant fins que finalment el propietari recuperi el control.
Mantenir-se segur
"La bona notícia de totes les recents és que no es va fer res identificable personalment", va dir Wisniewski, que va subratllar diverses vegades que, almenys, les empreses afectades semblen haver fet bons passos per assegurar la informació dels usuaris.
Però, com hem vist, no sempre és suficient. Els usuaris han de tenir en compte les advertències per canviar contrasenyes quan els serveis piratejats ho sol·liciten. També haurien d’esforçar-se per seleccionar contrasenyes contundents i úniques per a cada servei en línia, potser utilitzant un gestor de contrasenyes per facilitar la tasca.
El que és important per entendre és que la informació de l’usuari és valuosa, i que encara pot ser útil per als atacants molt després d’haver assegurat un compte afectat. Internet proporciona nombroses maneres de divertir-se i treballar, però també ofereix tantes vies d’atac.
