Hacks de engenharia social e contas vinculadas: como se proteger contra roubo de identidade

Hoje em dia, a Internet tem um vínculo estreito com a maioria dos aspectos de nossas vidas e identidade. Praticamente todo mundo tem um perfil no Facebook, bem como possivelmente uma conta no Twitter, página do LinkedIn, contas correntes on-line, contas com varejistas on-line e, provavelmente, muitos perfis antigos em outros sites que apenas coletam poeira virtual. A maioria de nós chegou a confiar na Internet com nossas informações. Nós nos sentimos confiantes de que empresas globais e sofisticadas como PayPal, Facebook, Amazon e todos os outros grandes nomes não deixarão nossas informações abertas a hackers. Mas a inteligência coletiva de hackers em todo o mundo está sendo usada para encontrar maneiras novas e inovadoras de violar os sistemas dessas empresas.

Já foi dito antes, mas vou repetir: a segurança é tão forte quanto o seu elo mais fraco. Exatamente quão fraca é a cadeia que leva às suas informações pessoais? Existem inúmeras vulnerabilidades a serem consideradas em sua presença on-line: algumas das quais você pode estar ciente e outras que você nunca imaginou. A proteção e a prevenção são fundamentais em seu processo de segurança on-line. É muito mais fácil impedir um hack do que reparar o dano depois que ele ocorre.

O que é engenharia social?

Neste contexto, a engenharia social é um método usado para manipular as pessoas para divulgar informações pessoais. Um artigo recente de Mat Honan, da Wired, detalhou como ele foi vítima de um hack de engenharia social que fez sua vida digital desmoronar. Vulnerabilidades na Amazon e no protocolo de segurança da Apple permitiram que um hacker tivesse acesso a uma série de contas do autor. O hacker conseguiu invadir sua conta na Amazon, que forneceu um endereço de faturamento, bem como os últimos quatro dígitos de um número de cartão de crédito. Esta informação era tudo o que era necessário para convencer a Apple de que o hacker era Honan e, portanto, permitia que ele redefinisse a senha da Apple ID. A partir daí, o hacker ganhou acesso à sua conta de e-mail da Apple, que levou à sua conta do Gmail, que era o centro de mais informações on-line. Isso é engenharia social no trabalho. Como os hackers sabiam que Honan tinha uma conta na Amazon não está totalmente claro, mas vale a pena notar a cadeia de eventos que indicou sua vulnerabilidade:

“Depois de encontrar minha conta [no Twitter], os hackers fizeram uma pesquisa de fundo. Minha conta do Twitter foi vinculada ao meu site pessoal, onde eles encontraram meu endereço do Gmail. Adivinhando que esse também era o endereço de e-mail que eu usei no Twitter, Phobia [o hacker] acessou a página de recuperação de conta do Google. Ele nem mesmo teve que tentar uma recuperação. Esta foi apenas uma missão de reconhecimento. Como eu não tinha a autenticação de dois fatores do Google ativada, quando a Phobia digitou meu endereço do Gmail, ele pôde visualizar o e-mail alternativo que eu configurei para a recuperação da conta. O Google obscurece parcialmente essa informação, estrelando muitos personagens, mas havia caracteres suficientes disponíveis, m@[email protected]. Jackpot.

Pense duas vezes sobre contas vinculadas

A cadeia de sua vida digital começa e termina em algum lugar, e se uma vulnerabilidade fácil for encontrada, ela será explorada. Desde então, a Amazon afirmou que alterou seus procedimentos de segurança para que esse tipo de exploração não seja mais possível (no entanto, depois de ler a história da Wired, excluí todas as informações da Amazon e as inserirei manualmente a partir de agora. Não há tal coisa como ser muito cuidadoso). A Apple, por outro lado, não disse que mudou as políticas de segurança - a Apple apenas disse que as medidas de segurança não foram seguidas completamente. Existem várias outras empresas suscetíveis a táticas de engenharia social e suas contas vinculadas informam onde começar. Às vezes, a exploração mais fácil pode ser sua conta do Facebook.

A trilha digital que leva de volta à sua vida não digital

Supondo que seu perfil do Facebook é público ou que você aceita solicitações de amizade de pessoas que você não conhece, seu perfil inclui seu aniversário completo? Seu endereço de e-mail pessoal, endereço residencial e número de telefone? Você tem fotos de um antigo animal de estimação da família onde você as nomeou, ou você é amigo de sua mãe, que ainda usa seu nome de solteira? Há fotos de vocês da primeira série que mostram o nome da escola, você com sua primeira namorada ou sua melhor amiga?

Sim, e por que estou fazendo todas essas perguntas pessoais? Bem, sua data de nascimento e endereço podem me dar informações suficientes para começar a se passar por você em outras empresas ou on-line. Em alguns casos, posso precisar dos últimos quatro dígitos do seu número de segurança social, mas isso não é o substituto que você pensa que é. Então, por que seu primeiro animal de família, o nome de solteira de sua mãe, sua primeira escola primária, primeira namorada ou o nome da sua melhor amiga são importantes? Todas elas são respostas a perguntas de segurança para processos de recuperação de conta. Se você desconhece seu e-mail, mas minha meta real é sua conta bancária, agora tenho as respostas para suas perguntas de segurança e poderei alterar a senha da sua conta bancária para obter acesso.Para uma boa medida, provavelmente também alterarei a senha em seu e-mail ou, se acabar de explorá-la, poderei excluir a conta completamente. Naturalmente, há muitos fatores para tornar essa situação ideal, e há outros métodos que podem ser usados ​​para assumir sua identidade.

Se você tem senhas fracas como “bucketKid”, como um exemplo completamente aleatório, um ataque de força bruta na sua conta levaria cerca de oito dias para decifrar sua senha (mais sobre como eu sei disso na seção Recomendação). Simplesmente adicionar um número para torná-lo “bucketKid7” adiciona seis anos ao tempo que um hacker levaria para quebrá-lo.

Também é possível que suas informações sejam expostas como danos colaterais no hack de outra empresa. Se você usa a mesma senha em vários sites, um deles inclui seu e-mail, então é hora de você alterar todas as suas senhas e investigar até onde os danos podem vazar. Agora que você tem os piores cenários em sua mente, vamos ver como você pode realmente se proteger.

Nosso site Recomendação

Nunca use a mesma senha duas vezes! Eu sei que você já ouviu isso um milhão de vezes antes, e você pode pensar que não é prático ter dezenas de senhas exclusivas em vários sites. Bem, existem duas coisas que você pode fazer para torná-lo prático:

A primeira é que você pode usar um programa para ajudá-lo a criar e armazenar senhas exclusivas para todos os seus sites. O 1Password é um desses programas - ao fazer login em um de seus perfis on-line, basta selecionar o login que você precisa e 1Password fornecerá a senha e concederá acesso. No entanto, talvez você não queira que todas as suas senhas sejam armazenadas em um banco de dados. Essa é uma preocupação válida.

A próxima opção é criar uma série de senhas relacionadas. Uma senha pode ser "Treez4Eva" o próximo "Trees4eVer" e assim por diante. Lembrar qual site usa qual versão pode ser um pouco complicada, mas é possível e definitivamente vale a pena tentar. Lembre-se de que você sempre pode recuperar senhas esquecidas. Isso pode consumir muito tempo, mas não se esqueça de que as senhas impedem que você crie senhas únicas e seguras.

Agora, para a senha em si: você pode usar o How Secure Is My Password como uma referência útil para avaliar a segurança que você realmente é. Sempre use combinações alfanuméricas junto com letras maiúsculas e caracteres especiais. Se o site permitir, use espaços também. “BucketKid” é muito mais seguro quando é “bu (k3t K! 4 15 r3a!”. Essa senha levaria 3 quintilhões de anos para ser quebrada, segundo How Secure Is My Password, que é tantos anos que parece falso.) Acho que você levaria tantos anos para lembrar uma senha como essa - mas pense em como você pode usar truques de memória para tornar o processo mais fácil.O exemplo acima diz: "balde garoto é real", tudo que você tem que lembrar é quais letras Se você ainda deseja usar a mesma senha em vários sites, use o mais forte, como o exemplo acima, para sites que você usa com freqüência, como e-mail. senhas como “guarda-chuva menino 15 falso” para outros sites que você não usa com freqüência ou que não são tão seguras.

Sempre use a verificação em duas etapas para qualquer site que ofereça suporte a ela. Lembre-se da conta do escritor Wired de como ele foi hackeado porque ele não usou a verificação em duas etapas? Não cometa o mesmo erro. O Google o suporta, assim como o Yahoo e o Facebook. A verificação em duas etapas significa que, ao fazer login na sua conta a partir de um computador ou endereço IP não reconhecido, você será solicitado a inserir um código que foi enviado ao seu telefone. O que é ótimo sobre isso também é que ele também funciona como um sistema de alarme para suas contas. Se alguém tentar acessar seu e-mail e, de repente, você receber um texto com um código de login, saberá que é hora de fechar as escotilhas.

Por último, se você tiver alguma dúvida sobre sua segurança on-line, marque Devo alterar minha senha. Este site permite que você insira seu endereço de e-mail e veja se ele é exibido em qualquer lista que os hackers tenham compilado após invadir um site. Eles acabaram de adicionar um novo recurso, no qual você pode armazenar seu endereço de e-mail e fazer referência cruzada a qualquer ataque futuro.

Isso tudo pode parecer como sair do fundo do poço e ser paranóico demais para você, mas ser paranóico na Internet às vezes pode mantê-lo seguro. Há várias outras medidas que você deve tomar para se proteger, como: criptografar seu disco rígido, criar endereços de e-mail descartáveis ​​e nomes de sites nos quais você não confia ou sentir falta de segurança e alterar senhas a cada poucos meses. Este guia deve ser tomado como um ponto de partida para torná-lo mais seguro, e se tudo o que você fizer for criar uma senha forte e registrar seu e-mail com o banco de dados Devo alterar minha senha, então é pelo menos um bom primeiro passo para se proteger de roubo de identidade na Internet.

Recomendações de Especialistas

Ryan DisraeliVice-Presidente de Serviços de Fraude da TeleSign:

“A pessoa comum é chocantemente muito hackável, mas a realidade é que os hackers vão procurar atacar o alvo mais fácil. Isto não é diferente de offline. Um ladrão roubará uma casa com seguranças 24 horas por dia, 7 dias por semana ou uma casa que sempre deixa a porta da frente destrancada? A realidade é que um bom ladrão ainda pode roubar uma casa com excelente segurança, mas prefere ir atrás de uma vítima mais fácil.Assim como você tomaria precauções para proteger sua propriedade pessoal, os indivíduos devem procurar adicionar algumas camadas de prevenção para garantir sua identidade on-line ”.

Dodi Glenn, Gestor de produtos antivírus VIPFI da GFI Software:

“Trate seu smartphone como um computador. Se você realizar qualquer tipo de transação financeira em seu telefone, as mesmas “práticas recomendadas” de segurança serão aplicadas como em um computador. ”

Shuman Ghosemajumder, Vice-presidente de estratégia na Shape Security:

“Preste atenção em como você acessa os sites. Parte de garantir que você confie em um site é verificar se a organização por trás do site é confiável. Outra parte é garantir que você confie em sua conexão com esse site. Você deve garantir que a URL esteja correta, que você tenha navegado diretamente para ela e que não tenha clicado em um link de um email, mensagem instantânea ou pop-up não solicitado. Se você puder, use apenas seus próprios dispositivos e conexões. Você deve evitar as conexões WiFi públicas e os computadores públicos compartilhados, se puder, pois é fácil para os invasores farejar o tráfego de rede ou instalar keyloggers para capturar senhas. Se você precisar usar uma conexão Wi-Fi pública, não envie nenhum login ou informações pessoais a um site que não use uma conexão HTTPS. ”