Ο Brandyn Murtagh, ένας «white hat» χάκερ, εξηγεί πως οι πληροφορίες που αποκτώνται μέσω παραβιάσεων δεδομένων από ιστότοπους όπως το DropBox και το Tumblr και μέσω κυβερνοεπιθέσεων κυκλοφορούν στο διαδίκτυο αρκετό καιρό.

Οι χάκερς συλλέγουν κωδικούς πρόσβασης και πραγματοποιούν δοκιμές σε άλλες ιστοσελίδες – μια πρακτική που ονομάζεται credential stuffing – για να δουν αν μπορούν να εισβάλουν σε λογαριασμούς.

Σε ορισμένες περιπτώσεις, εκτός από τη χρήση ακριβώς των κωδικών πρόσβασης που αποκτήθηκαν, οι απατεώνες επιχειρούν να εισέλθουν με παραλλαγές των κλεμμένων κωδικών.

Έρευνα της Virgin Media O2 υποδεικνύει πως τέσσερις στους πέντε χρήστες χρησιμοποιούν τον ίδιο ή σχεδόν ίδιο κωδικό πρόσβασης σε πολλούς λογαριασμούς. Η χρήση παντοιοτρόπως μικρών τροποποιημένων κωδικών – όπως το "Guardian1" αντί για "Guardian" – αποτελεί σχεδόν ανοιχτή πόρτα για τους χάκερς, σύμφωνα με τον Murtagh.

Σε συνεργασία με τη Virgin Media O2, ο Murtagh έχει δείξει σε εθελοντές πόσο εύκολο είναι να εντοπιστεί ο κωδικός τους, μόνο με την παροχή της διεύθυνσης email, συχνά με αποτέλεσμα μέσα σε λίγα λεπτά.

Εκπρόσωπος της Virgin Media O2 σχολιάζει πως «η ανθρώπινη συμπεριφορά είναι αρκετά εύκολα προβλέψιμη. Οι εγκληματίες γνωρίζουν, για παράδειγμα, ότι κάποιος μπορεί να χρησιμοποιεί έναν κωδικό και να προσθέτει τελεία ή θαυμαστικό στο τέλος».

Πώς γίνεται το χακάρισμα
Οι εγκληματίες χρησιμοποιούν σκριπτς – αυτοματοποιημένες εντολές για τους υπολογιστές – για να δοκιμάσουν παραλλαγές κωδικών πρόσβασης με στόχο την πρόσβαση σε λογαριασμούς. Ο Murtagh τονίζει πως τέτοιες επιθέσεις γίνονται σε βιομηχανική κλίμακα.

Συχνά, δεν στοχοποιείται μεμονωμένα ο χρήστης αλλά προκαλούνται χιλιάδες επιθέσεις σε ευρείες ομάδες, με τις διαδικασίες αυτές να λειτουργούν όπως σε μια κανονική επιχείρηση.

Οι χρήστες μπορεί να ενημερωθούν μέσω μηνυμάτων που τους ειδοποιούν για προσπάθειες αλλαγής email ή άλλων στοιχείων σε λογαριασμό τους.

Πώς μπορείτε να προστατευτείτε
Συστήνεται να αλλάζονται όλοι οι κωδικοί που είναι παραλλαγές του ίδιου βασικού κωδικού – ξεκινώντας από τους πιο κρίσιμους λογαριασμούς, όπως τράπεζες, email, εργασίας και κινητού.

Η χρήση διαχειριστών κωδικών, που συχνά ενσωματώνονται στους web browsers, βοηθά σημαντικά. Για παράδειγμα, η Apple διαθέτει το iCloud Keychain, ενώ τα Android συστήματα χρησιμοποιούν τον Google Password Manager, οι οποίοι προτείνουν και αποθηκεύουν τους πολύπλοκους κωδικούς.

Επιπλέον, συνιστάται η ενεργοποίηση της διπλής ή πολλαπλής αυθεντικοποίησης (2FA ή MFA), που προσθέτει ένα δεύτερο βήμα κατά την είσοδο σε έναν ιστότοπο, αυξάνοντας σημαντικά την ασφάλεια.

Τι είναι οι «white hat» χάκερς
Είναι άτομα τα οποία χρησιμοποιούν την προγραμματιστική γνώση τους για να βοηθήσουν εταιρείες, οργανισμούς ακόμη και την αστυνομία και άλλες υπηρεσίες ασφαλείας. Τις περισσότερες φορές οι white hat hackers, εργάζονται ως ελεύθεροι επαγγελματίες με συμβόλαια ενώ σε κάποιες περιπτώσεις προσλαμβάνονται ως υπάλληλοι από διάφορες εταιρείες κυβερνοασφάλειας. Η δουλειά ενός white hat hacker είναι να πραγματοποιεί ελέγχους και να προσπαθεί να βρει “τρύπες” στην ασφάλεια μια εταιρείας που τον έχει προσλάβει και εν συνεχεία να τις κλείνει. Ουσιαστικά, κάνει σχεδόν την ίδια δουλειά με έναν κακόβουλο χάκερ, με την διαφορά ότι αυτός το κάνει νόμιμα και με σκοπό να βοηθήσει την εταιρεία και όχι να υποκλέψει τα αρχεία της.

Αλλά μετά θυμάστε ότι η συγκεκριμένη διεύθυνση e-mail συνδέεται με τους λογαριασμούς σας στα κοινωνικά δίκτυα, για να μην αναφέρουμε τις τραπεζικές ή άλλες εφαρμογές. Πλέον ο κωδικός βρίσκεται στα χέρια εγκληματιών του κυβερνοχώρου. Εκτός από την απειλή απώλειας χρημάτων και δεδομένων, μια τέτοια διαρροή μπορεί να προκαλέσει σοβαρά προβλήματα στους φίλους, την οικογένεια και τους συναδέλφους σας — σε τελική ανάλυση, ένας λογαριασμός που έχει παραβιαστεί μπορεί να χρησιμοποιηθεί για την αποστολή ενός συνδέσμου phishing ή ενός ψεύτικου e-mail σε όλες τις επαφές σας με τη χρήση του ονόματος σας.

H Kaspersky εξηγεί πώς μπορούν να κλαπούν τα διαπιστευτήριά σας και πώς να μειώσετε τον κίνδυνο διαρροής τους. Σίγουρα, η προσοχή και η επαγρύπνηση παίζουν τεράστιο ρόλο σε αυτό, αλλά υπάρχουν λύσεις υψηλής τεχνολογίας που έχουν σχεδιαστεί ειδικά για την πρόληψη διαρροών, οι οποίες συχνά χειρίζονται τις απειλές πολύ καλύτερα από το γυμνό μάτι.

Αυτοί οι κρυφοί κατάσκοποι, όταν βρίσκονται στη συσκευή σας, συνήθως δεν εμφανίζουν ορατά σημάδια δραστηριότητας. Εξάλλου, όσο περισσότερο παραμένουν απαρατήρητοι, τόσο περισσότερα από τα δεδομένα σας μπορούν να κλέψουν και να τα μεταβιβάσουν σε αυτούς που τα χειρίζονται, όπως κωδικούς πρόσβασης για τραπεζικές εφαρμογές ή υπηρεσίες gaming.

Ένα Trojan μπορεί να εισέλθει στον υπολογιστή ή το smartphone σας εάν ανοίξετε ένα κακόβουλο αρχείο που έχει σταλεί από άλλον χρήστη, που έχει ληφθεί από έναν ιστότοπο ή έχει αντιγραφεί από εξωτερικά μέσα. Θυμηθείτε ότι οποιοδήποτε εκτελέσιμο αρχείο από το διαδίκτυο είναι μια πιθανή παγίδα.

Αλλά ακόμη και εκείνα τα αρχεία που μοιάζουν με μη εκτελέσιμα πρέπει να αντιμετωπίζονται με προσοχή. Οι εγκληματίες του κυβερνοχώρου κάνουν ό,τι μπορούν για να ξεγελάσουν τα θύματα συγκαλύπτοντας κακόβουλα αρχεία σε εικόνες, βίντεο, αρχεία, έγγραφα ή οτιδήποτε άλλο, και συχνά τα καταφέρνουν. Για παράδειγμα, μπορεί να αλλάξουν το εικονίδιο ή να χρησιμοποιήσουν ένα «έξυπνο» όνομα αρχείου που μιμείται μια ασφαλή εκδοχή του γνήσιου. Επιπλέον, ακόμη και ένα συνηθισμένο έγγραφο του Office μπορεί να μετατραπεί σε παγίδα υπό ορισμένες συνθήκες: μια κακόβουλη εγκατάσταση στο έγγραφο μπορεί να εκμεταλλευτεί μια ευπάθεια στο πρόγραμμα που χρησιμοποιείτε για να το ανοίξετε.

Τα phising e-mails εντοπίζονται σε διάφορες παραλλαγές, αλλά ο στόχος είναι πάντα να σας παρασύρουν σε έναν ψεύτικο ιστότοπο και να σας κάνουν να εισαγάγετε τα διαπιστευτήριά σας. Μπορεί να είναι ένα μήνυμα που λέει ότι ο τραπεζικός σας λογαριασμός έχει αποκλειστεί ή μια early-bird προσφορά για να εγγραφείτε σε κάποια συνδρομητική πλατφόρμα. Ή μπορεί να είναι ένας σύνδεσμος phishing από έναν ελκυστικό άγνωστο στο Tinder, έναν πιθανό αγοραστή του προϊόντος σας στο Amazon ή ακόμα και έναν στενό φίλο (αν το e-mail του παραβιάστηκε από απατεώνες).

Η τυπική συμβουλή σε αυτήν την περίπτωση είναι να κοιτάζετε πάντα με προσοχή τη διεύθυνση URL: ορισμένοι ψεύτικοι ιστότοποι έχουν ένα επιπλέον γράμμα στη διεύθυνση, ένα διπλό domain name κ.λπ. Ωστόσο, αυτό δεν βοηθά πάντα, καθώς οι σύγχρονοι εγκληματίες του κυβερνοχώρου έχουν μάθει πώς να συγκαλύπτουν την απάτη. Για παράδειγμα, σε περίπτωση browser-in-the-browser επίθεσης, ενδέχεται να δείτε έναν phising ιστότοπο με γνήσια διεύθυνση.

Επιθέσεις browser

Συχνά, οι κωδικοί πρόσβασης αποσπώνται μέσω τρωτών σημείων ή επεκτάσεων του προγράμματος περιήγησης. Στην πρώτη περίπτωση, ο ειδικά δημιουργημένος κώδικας σε μια ιστοσελίδα εγκαθιστά spyware στη συσκευή σας. Στο δεύτερο, εγκαθιστάτε μόνοι σας ένα κακόβουλο πρόγραμμα που έχει μεταμφιεστεί σε μια εύχρηστη επέκταση ενός προγράμματος περιήγησης. Μετά από αυτό, όταν πηγαίνετε, για παράδειγμα, σε έναν ιστότοπο τράπεζας, αυτό το πρόγραμμα ανακατευθύνει όλο το traffic μέσω ενός διακομιστή μεσολάβησης χάκερ, διαχέοντας εντωμεταξύ τους κωδικούς σας.

Δημόσιο Wi-Fi

Οι εισβολείς μπορούν επίσης να υποκλέψουν δεδομένα (συμπεριλαμβανομένων των κωδικών πρόσβασης) που αποστέλλονται μέσω του δικτύου εάν χρησιμοποιείτε μη κρυπτογραφημένο ή παλιό Wi-Fi με προστασία WEP. Μια άλλη παραλλαγή είναι όταν ένας χάκερ δημιουργεί ένα δημόσιο σημείο πρόσβασης Wi-Fi με όνομα παρόμοιο με ένα υπάρχον δίκτυο (που συνήθως ανήκει σε ένα κοντινό καφέ, ξενοδοχείο ή επιχειρηματικό κέντρο). Ο απρόσεκτος χρήστης συνδέεται στο ψεύτικο hotspot και όλο του το traffic μεταβιβάζεται απευθείας στους εγκληματίες του κυβερνοχώρου.

Μπορείτε να αποφύγετε τέτοιες διαρροές ελέγχοντας προσεκτικά τα ονόματα των δικτύων, αποφεύγοντας ύποπτα σημεία πρόσβασης και απενεργοποιώντας την αυτόματη σύνδεση στο Wi-Fi. Ακόμα καλύτερα, βεβαιωθείτε ότι όλη η επισκεψιμότητά σας είναι κρυπτογραφημένη και, στη συνέχεια, ακόμα κι αν συνδεθείτε σε λάθος σημείο πρόσβασης, οι εγκληματίες δεν θα γνωρίζουν τι στέλνετε ή πού.

Κωδικοί παντού

Στη συνέχεια, φυσικά, υπάρχουν άνθρωποι που σημειώνουν τους κωδικούς πρόσβασης σε αυτοκόλλητες σημειώσεις και κομμάτια χαρτιού τα οποία αφήνουν σε κοινή θέα. Μην λειτουργείτε έτσι. Είναι επίσης επικίνδυνο να γράφετε κωδικούς πρόσβασης σε μη ασφαλή αρχεία κειμένου στον υπολογιστή ή το smartphone σας ή να αποθηκεύετε κωδικούς πρόσβασης στο πρόγραμμα περιήγησης για αυτόματη συμπλήρωση.

Τι να κάνετε λοιπόν; Σε τελική ανάλυση, οι ειδικοί δεν σταματούν να επισημαίνουν την ανάγκη για ισχυρούς κωδικούς πρόσβασης που είναι αδύνατον να πέσουν θύμα brute force. Επίσης, προτρέπουν τους χρήστες να μην χρησιμοποιούν τον ίδιο κωδικό πρόσβασης περισσότερες από μία φορές, γιατί εάν ο συγκεκριμένος κωδικός κλαπεί, οι εισβολείς θα μπορέσουν να αποσπάσουν πολλά πράγματα. Είναι η λύση, λοιπόν, να δημιουργήσουμε ένα memory palace γεμάτο μεγάλους, πολύπλοκους κωδικούς πρόσβασης; Σχεδόν κανείς δεν έχει τόσο προικισμένο μυαλό.

Μια ευκολότερη επιλογή είναι να χρησιμοποιήσετε έναν διαχειριστή κωδικών πρόσβασης που προστατεύεται από ισχυρή κρυπτογράφηση.

Στην εφαρμογή Kaspersky, αυτός ο ασφαλές χώρος παρέχεται από το Password Manager. Ό,τι κι αν κάνετε, μην γράφετε τον κύριο κωδικό σας σε μια αυτοκόλλητη σημείωση συνδεδεμένη στην οθόνη!

Όλα τα παραπάνω σχετίζονται με τη διατήρηση των κωδικών πρόσβασης στον υπολογιστή σας, αλλά συχνά διαρροές πραγματοποιούνται και στις απομακρυσμένες υπηρεσίες Διαδικτύου: ηλεκτρονικά καταστήματα, κοινωνικά δίκτυα, crypto exchanges ή οποιοσδήποτε άλλος τόπος που απαιτεί έλεγχο ταυτότητας σύνδεσης. Επιπλέον, οι ιδιοκτήτες τέτοιων ιστότοπων δεν είναι πάντα πρόθυμοι να αναφέρουν τέτοιες εισβολές. Εν τω μεταξύ, τα δεδομένα σας διαβιβάζονται ή διατίθενται προς πώληση στο dark web. Οι ειδικοί της Infosec παρακολουθούν τη δημοσίευση τέτοιων βάσεων δεδομένων και προειδοποιούν τους χρήστες.

Η εφαρμογή Kaspersky σας παρέχει μια υπηρεσία για τον έλεγχο του εάν συνέβη πραγματικά μια διαρροή ή όχι. Ονομάζεται Data Leak Checker, βρίσκεται στην καρτέλα Privacy. Σας επιτρέπει να ελέγχετε εάν το e-mail σας εντοπίστηκε κάπου σε μια κλεμμένη βάση δεδομένων. Εάν ναι, θα λάβετε μια λίστα με ιστοτόπους που διαρρέουν, τον τύπο των δεδομένων που δημοσιοποιούνται (προσωπικά, τραπεζικά, ιστορικό διαδικτυακών δραστηριοτήτων και ούτω καθεξής), καθώς και συστάσεις για το τι πρέπει να κάνετε για αυτό.