Как киберпреступники обходят вопросы безопасности?
Безопасность

Как киберпреступники обходят вопросы безопасности?

Хакеры действительно находят способы ответить на ваши вопросы безопасности, чтобы получить доступ к вашим учетным записям. Но как? Наверняка они уникальны лично для вас?

Многие сайты и приложения задают вопросы безопасности, когда вы регистрируетесь в первый раз. Затем они используют предоставленные вами ответы для проверки вашей личности, когда вы просите изменить утерянный пароль. Но киберзлоумышленники часто находят способы обойти вопросы безопасности

Как они разгадывают ваши секретные ответы и получают доступ к вашей учетной записи? Как они обходят эти вопросы, чтобы взломать ваши профили?

1. Мошенничество в социальных сетях

Одним из негативных аспектов социальных сетей является то, что трудно определить, кто настоящий. Нетипично, что киберпреступники используют их для того, чтобы обманом заставить жертву раскрыть свои ответы на вопросы безопасности

Чаще всего хакеры добиваются этого, представляясь друзьями или последователями своих жертв в социальных сетях, таких как Facebook, LinkedIn, Instagram или Twitter. Используя формы психосоциального манипулирования, они обманом заставляют жертву доверять им. Это еще один уровень социальной инженерии

Как только кибератаку удается подружиться со своей жертвой в социальных сетях, он заводит с ней чат и сначала разглашает фальшивую информацию о себе, чтобы казаться заслуживающим доверия. В случаях, больше похожих на мошенничество с приложениями для знакомств, они вступают в разговоры об интересах и симпатиях жертвы

Иногда злоумышленник может притвориться, что у него те же интересы, хобби и симпатии, что и у жертвы, в результате чего она может неосознанно поделиться секретной информацией— которая, конечно же, может включать ответы на вопросы безопасности. Они могут варьироваться от тех, которые используются для доступа к ресурсам на рабочем месте, до тех, которые используются для покупок в Интернете или других конфиденциальных операций в Интернете

2. Фишинг

Фишинг и социальная инженерия идут рука об руку. Фишинг происходит, когда хакер выдает себя за другого человека, т.е.ложная личность. Например, злоумышленник может сказать вам в звонке, SMS или электронном письме, что он представляет компанию, которая владеет одним из ваших профилей

Они могут попросить вас ответить на некоторые вопросы в определенный срок, чтобы повысить вашу безопасность. Или они могут даже прислать вам ссылку на онлайн-форму— чаще всего это поддельная копия оригинального сайта, на котором вы зарегистрированы. Бывают даже случаи, когда хакеры просят своих жертв заполнить Google Forms или любую онлайн-анкету под предлогом проведения исследования

Хакеры часто используют эту технику для эксплуатации менее подкованных в вопросах безопасности людей. Конечно, как только они получают необходимую информацию, становится легко обойти вопросы безопасности и получить неограниченный контроль над учетной записью цели

3. Информация из ваших онлайн-профилей

Хотя вопросы безопасности должны быть приватными и известными только вам, вы, вероятно, оставили много подсказок к ответам на них по всему Интернету. Хакер может легко расшифровать ответы на ваши вопросы безопасности, если вы часто оставляете конфиденциальную информацию о себе на своих профилях в социальных сетях

Эта техника обычно предполагает, что хакер проводит интенсивное исследование ваших данных в Интернете. Для этого они ищут вас в поисковых системах, таких как Google, и проверяют ваши ручки в социальных сетях, включая LinkedIn, Facebook, Twitter, Instagram и другие, чтобы получить как можно больше подсказок

Когда вы ответили на шуточный вопрос в Facebook, объединив девичью фамилию матери с именем вашего первого домашнего животного? Это очень полезно для киберпреступников

На этом этапе злоумышленник возвращается к вопросам безопасности, чтобы ответить на них на основе информации, собранной им из ваших публичных профилей

4. Грубое принуждение

Хотя хакеры обычно используют перебор для взлома паролей, мало что мешает им сделать то же самое с вопросами безопасности. В то время как ручной перебор требует времени и терпения, современные алгоритмы перебора упрощают этот процесс

Более того, при взломе вопросов безопасности кибератаке необходимо сосредоточиться на комбинациях слов, а не на манипуляциях с символами, как в случае с паролями. Это делает вопросы безопасности менее сложными для взлома, поскольку легко составить осмысленные записи, комбинируя различные слова

Кроме того, как только хакер узнает, какие вопросы задает сайт, ему остается только перебрать все возможные ответы, характерные для жертвы. Вы можете подумать, что это будет сложнее для хакера, если сайт позволяет пользователям генерировать свои вопросы. К сожалению, это далеко не так, поскольку генерируемые пользователями вопросы часто менее безопасны. Следовательно, ответы, скорее всего, легче угадать

Как оставаться в безопасности

Итак, вы видели, как киберзлоумышленники могут обойти ваши вопросы безопасности и получить доступ к вашему счету. Но как вы можете оставаться в безопасности в Интернете? Вот несколько пунктов, которые могут помочь

1. Используйте двухфакторную аутентификацию

Хотя хакеры могут обойти двухфакторную аутентификацию, ее зачастую сложнее взломать, чем вопросы безопасности. Более того, сочетание ее с вопросами безопасности еще больше укрепляет вашу учетную запись. Такое объединение протоколов безопасности оставляет злоумышленникам более сложные головоломки для решения. В таких случаях они, как правило, быстро сдаются

Вам повезло, если ваш поставщик услуг поддерживает оба метода. Но если нет, существует множество сторонних провайдеров двухфакторной аутентификации

2. Избегайте использования общих вопросов и ответов

Многие вопросы безопасности легко угадать, потому что жертвы часто дают типовые ответы. Ситуация ухудшается, когда веб-сайт или приложение позволяют пользователям генерировать собственные вопросы безопасности

Ответы на такие вопросы, как ваше хобби, любимый цвет, домашнее животное, фильм, музыка или еда, сравнительно легко угадать. Поэтому лучше их избегать. А на более конкретные вопросы, такие как девичья фамилия вашей матери и так далее, вы можете попытаться дать более уникальные ответы; например, это могут быть даже не правильные ответы, а что-то, с чем они у вас ассоциируются

Если вы, скорее всего, забудете, какие ответы вы дали на конкретный вопрос, поскольку они уникальны, вы можете записать их в зашифрованном приложении для заметок, чтобы искать их, когда они вам понадобятся

3. Удалите конфиденциальную информацию из своих профилей

Личная информация в социальных сетях и других онлайн-профилях может дать ключ к разгадке ваших ответов на вопросы безопасности. Часто лучше удалить такие важные детали из своих профилей, чтобы проверить нарушение вопросов безопасности. В конце концов, что хорошего в ответах на шуточные вопросы в Facebook, Twitter и т.п.?

Защитите свою информацию в Интернете

Подобно двухфакторной аутентификации, секретные вопросы добавляют еще один уровень защиты к вашим профилям в Интернете. Некоторые службы требуют задать секретные вопросы, прежде чем предоставить ссылку для сброса пароля. А некоторые – уже после того, как вы сбросили пароль. Все это направлено на дополнительную защиту ваших учетных записей

Как бы то ни было, второй уровень защиты, такой как защитные вопросы, – это то, с чем часто сталкиваются хакеры при попытке получить доступ к вашей учетной записи. Кроме того, то, как мы используем Интернет, влияет на силу защитных вопросов

Об авторе

Алексей Белоусов

Привет, меня зовут Филипп. Я фрилансер энтузиаст . В свободное время занимаюсь переводом статей и пишу о потребительских технологиях для широкого круга изданий , не переставая питать большую страсть ко всему мобильному =)

Комментировать

Оставить комментарий