Как киберпрестъпниците заобикалят въпросите за сигурност?

Много уебсайтове и приложения задават въпроси за сигурност, когато се регистрирате за първи път. След това те използват отговорите, които предоставяте, за да потвърдят вашата самоличност всеки път, когато поискате промяна на изгубена парола. Но кибератакуващите често намират начини да заобиколят въпросите за сигурността.

Как те разгръщат вашите тайни отговори и влизат в акаунта ви? Как те заобикалят тези въпроси, за да хакнат профилите ви?

Един негативен аспект на социалните медии е, че е трудно да се каже кой е истински. Не е нетипично за киберпрестъпниците да го използват, за да измамят жертвите да разкрият отговорите си на въпроси за сигурност.

Често срещан начин, по който хакерите постигат това е, че се показват като приятели или последователи на своите жертви в платформи за социални медии като Facebook, LinkedIn, Instagram или Twitter. Използвайки форми на психосоциална манипулация, те подмамват жертвата да й се довери. Това е друго ниво на социално инженерство.

След като кибератакът се сприятелява с целта си в социалните медии, те започват чатове с жертвата и първо разкриват фалшива информация за себе си, за да изглеждат надеждни. В това, което повече прилича на едно от тях

измами с приложения за запознанства, те участват в разговори за интересите и харесванията на жертвата.

Понякога нападателят може да се преструва, че споделя едни и същи интереси, хобита и харесвания с жертва, която може в крайна сметка споделяте секретна информация несъзнателно - което, разбира се, вероятно ще включва отговори за сигурността въпроси. Това може да варира от тези, които използват за достъп до ресурси на работното място, до тези, използвани за онлайн пазаруване или други чувствителни онлайн транзакции.

2. фишинг

Фишингът и социалното инженерство вървят ръка за ръка. Фишингът се случва, когато хакерът се представя като някой различен, тоест фалшива личност. Например, нападател може да ви каже в обаждане, SMS или имейл, че представлява компанията, която държи един от вашите профили.

Те може да ви помолят да отговорите на някои въпроси в рамките на определен период от време, за да увеличат вашата сигурност. Или дори може да ви изпратят връзка към онлайн формуляр – най-вече фалшива реплика на оригиналния уебсайт, с който имате профил. Има дори случаи, когато хакери молят жертвите си да попълнят Google Forms или какъвто и да е онлайн въпросник, като се преструват, че провеждат проучване.

Хакерите често използват тази техника, за да използват по-малко разбиращи в сигурността хора. Разбира се, след като получат необходимата информация, става лесно да заобиколят въпросите за сигурност и да получат неограничен контрол върху акаунта на целта.

3. Информация от вашите онлайн профили

Въпреки че се предполага, че въпросите за сигурност трябва да са частни и известни само на вас, вероятно сте оставили много улики за техните отговори в целия интернет. Хакер може лесно да дешифрира отговорите на вашите въпроси за сигурност, ако често оставяте чувствителна информация за себе си в профилите си в социалните медии.

Тази техника обикновено включва хакера, който провежда интензивно проучване на вашите данни онлайн. За да постигнат това, те ви търсят в търсачки като Google и проверяват вашите социални медии, включително LinkedIn, Facebook, Twitter, Instagram и други, за толкова съвети, колкото могат да хванат.

По това време отговорихте на шегов въпрос във Facebook, свързвайки моминското име на майка си с името на първия ви домашен любимец? Това е наистина полезно за киберпрестъпниците.

В този момент нападателят се връща към въпросите за сигурност, за да отговори на тях въз основа на информацията, която събира от обществените ви профили.

4. Грубо форсиране

Въпреки че хакерите обикновено използвайте атаки с груба сила за разбиване на пароли, малко им пречи да направят същото с въпросите за сигурност. Докато ръчното грубо налагане изисква време и търпение за постигане, съвременните алгоритми за грубо налагане опростяват процеса.

Освен това, докато пробива въпроси за сигурност, кибератакът трябва да се съсредоточи само върху комбинациите от думи, а не върху манипулирането на знаци, както се прави с паролите. Това прави въпросите за сигурност по-малко трудни за разбиване, тъй като е лесно да се правят смислени записи чрез комбиниране на различни думи.

Освен това, след като хакерът знае какви въпроси задава даден уебсайт, всичко, което трябва да направи, е да накара всички възможни отговори, специфични за жертвата. Може да си помислите, че това е по-трудно за хакера, ако уебсайтът позволява на потребителите само да генерират своите въпроси. За съжаление, това е далеч от истината, тъй като генерираните от потребителите въпроси често са по-малко сигурни. Следователно отговорите вероятно са по-лесни за отгатване.

Как да останете в безопасност

И така, видяхте как кибератакуващите могат да заобиколят вашите въпроси за сигурност и да получат достъп до вашия акаунт. Но как можете да останете в безопасност онлайн? Ето няколко точки, които могат да помогнат.

1. Използвайте двуфакторна автентификация

Въпреки че хакерите могат да заобиколят двуфакторната автентификация, често е по-техническо да се разбие, отколкото въпросите за сигурност. Освен това, комбинирането му с въпроси за сигурност допълнително укрепва акаунта ви. Такова сливане на протоколи за сигурност оставя нападателят с по-сложни пъзели за решаване. В такива случаи те са склонни да се откажат не след дълго.

Имате късмет, ако вашият доставчик на услуги поддържа и двата метода. Но ако не, има много трети страни доставчици на двуфакторно удостоверяване там навън.

2. Избягвайте използването на общи въпроси и отговори

Много въпроси за сигурност са лесни за отгатване, защото жертвите често дават общи отговори. Става по-лошо, когато уебсайт или приложение позволява на потребителите да генерират свои собствени въпроси за сигурност.

Отговорите на въпроси като вашето хоби, любим цвят, домашен любимец, филм, музика или храна са сравнително лесни за отгатване. Така че може да искате да ги избягвате. А за по-конкретни въпроси като моминското име на майка ви и така нататък можете също да опитате да предоставите по-уникални отговори; например, те дори не трябва да са правилните, а вместо това нещо, с което ги свързвате.

Ако е вероятно да забравите какви отговори сте предоставили за конкретен въпрос, тъй като е уникален, можете да ги очертаете в криптирано приложение за бележки да ги търсите винаги, когато имате нужда от тях.

3. Премахнете чувствителна информация от вашите профили

Личната информация във вашите социални медии и други онлайн профили може да даде улики за вашите отговори за сигурност. Често е най-добре да премахнете такива важни детайли от профилите си, за да проверите пробив на защитен въпрос. В крайна сметка каква полза идва от отговарянето на кръговите шеги във Facebook, Twitter и други подобни?

Защитете вашата информация онлайн

Подобно на двуфакторното удостоверяване, въпросите за сигурност добавят още един слой защита към вашите профили онлайн. Някои услуги изискват въпроси за сигурност, преди да предоставят връзка за нулиране на паролата. А за някои те го правят, след като нулирате паролата си. Всичко това има за цел допълнително да защити вашите акаунти.

Какъвто и да е случаят, щитовете от втория слой като въпроси за сигурност са това, с което хакерите често се сблъскват, докато се опитват да осъществят достъп до вашия акаунт. Освен това начинът, по който използваме интернет, влияе върху силата на въпросите за сигурност.

10 лесни начина да намалите отпечатъка си онлайн с няколко щраквания

Прочетете Следващото

За автора