Como os atacantes realmente “cortam contas” on-line e como se proteger
As pessoas falam sobre suas contas on-line sendo “hackeadas”, mas como exatamente esse hacking acontece? A realidade é que as contas são hackeadas de maneiras bem simples - os invasores não usam magia negra.
Conhecimento é poder. Entender como as contas são realmente comprometidas pode ajudá-lo a proteger suas contas e impedir que suas senhas sejam “hackeadas”..
Reutilizando senhas, especialmente vazadas
Muitas pessoas - talvez até a maioria das pessoas - reutilizam senhas para contas diferentes. Algumas pessoas podem até usar a mesma senha para todas as contas que usam. Isso é extremamente inseguro. Muitos sites - até mesmo grandes e conhecidos como LinkedIn e eHarmony - tiveram seus bancos de dados de senhas vazados nos últimos anos. Bancos de dados de senhas vazadas, juntamente com nomes de usuários e endereços de e-mail, estão prontamente acessíveis on-line. Os invasores podem tentar essas combinações de endereço de e-mail, nome de usuário e senhas em outros sites e obter acesso a muitas contas.
A reutilização de uma senha para sua conta de e-mail coloca você ainda mais em risco, já que sua conta de e-mail pode ser usada para redefinir todas as outras senhas se um invasor obtiver acesso a ela.
Por melhor que você seja em proteger suas senhas, você não pode controlar quão bem os serviços que você usa protegem suas senhas. Se você reutilizar senhas e uma empresa desistir, todas as suas contas estarão em risco. Você deve usar senhas diferentes em todos os lugares - um gerenciador de senhas pode ajudar com isso.
Keyloggers
Os keyloggers são softwares maliciosos que podem ser executados em segundo plano, registrando todos os toques que você faz. Eles costumam ser usados para capturar dados confidenciais, como números de cartão de crédito, senhas bancárias on-line e outras credenciais da conta. Em seguida, eles enviam esses dados para um invasor pela Internet..
Esse malware pode chegar por meio de explorações - por exemplo, se você estiver usando uma versão desatualizada do Java, como a maioria dos computadores na Internet, você pode ficar comprometido por meio de um applet Java em uma página da Web. No entanto, eles também podem chegar disfarçados em outro software. Por exemplo, você pode baixar uma ferramenta de terceiros para um jogo on-line. A ferramenta pode ser mal-intencionada, capturando a senha do seu jogo e enviando-a ao atacante pela Internet..
Use um programa antivírus decente, mantenha seu software atualizado e evite baixar software não confiável.
Engenharia social
Os invasores também costumam usar truques de engenharia social para acessar suas contas. Phishing é uma forma comumente conhecida de engenharia social - essencialmente, o invasor se faz passar por alguém e solicita sua senha. Alguns usuários entregam suas senhas prontamente. Aqui estão alguns exemplos de engenharia social:
- Você recebe um e-mail que afirma ser do seu banco, direcionando você para um site de banco falso e solicitando que você preencha sua senha.
- Você recebe uma mensagem no Facebook ou em qualquer outro site social de um usuário que afirma ser uma conta oficial do Facebook, solicitando que você envie sua senha para autenticar-se.
- Você visita um site que promete dar a você algo valioso, como jogos gratuitos no Steam ou ouro grátis no World of Warcraft. Para obter essa recompensa falsa, o site requer seu nome de usuário e senha para o serviço.
Tenha cuidado com quem você dá a sua senha - não clique em links em e-mails e vá até o site do seu banco, não dê sua senha a quem entrar em contato com você e a solicite, e não forneça credenciais à sua conta indigna de confiança sites, especialmente aqueles que parecem bons demais para ser verdade.
Respondendo a perguntas de segurança
As senhas geralmente podem ser redefinidas respondendo a perguntas de segurança. As perguntas de segurança são geralmente incrivelmente fracas - geralmente coisas como “Onde você nasceu?”, “Em que escola você foi?” E “Qual era o nome de solteira de sua mãe?”. Geralmente, é muito fácil encontrar essas informações em sites de redes sociais acessíveis ao público, e a maioria das pessoas normais diria a você o ensino médio que frequentariam se fossem solicitadas. Com essas informações fáceis de obter, os invasores geralmente podem redefinir senhas e obter acesso a contas.
Idealmente, você deve usar perguntas de segurança com respostas que não são facilmente descobertas ou adivinhadas. Os sites também devem impedir que as pessoas tenham acesso a uma conta só porque conhecem as respostas a algumas questões de segurança, e outras o fazem - mas algumas ainda não.
Conta de email e redefinição de senha
Se um invasor usar qualquer um dos métodos acima para obter acesso às suas contas de e-mail, você terá maiores problemas. Sua conta de e-mail geralmente funciona como sua conta principal on-line. Todas as outras contas que você usa estão vinculadas a ela, e qualquer pessoa com acesso à conta de e-mail pode usá-la para redefinir suas senhas em qualquer número de sites em que você se registrou com o endereço de e-mail.
Por esse motivo, você deve proteger sua conta de email o máximo possível. É especialmente importante usar uma senha exclusiva para ela e guardá-la cuidadosamente.
Qual senha "Hacking" não é
A maioria das pessoas provavelmente imagina que invasores tentam cada senha possível para acessar sua conta on-line. Isso não está acontecendo. Se você tentasse entrar na conta online de alguém e continuar adivinhando senhas, seria mais lento e impedido de tentar mais do que um punhado de senhas..
Se um invasor era capaz de entrar em uma conta online apenas adivinhando senhas, é provável que a senha fosse algo óbvio que poderia ser adivinhado nas primeiras tentativas, como “senha” ou o nome do animal de estimação da pessoa..
Os atacantes só poderiam usar esses métodos de força bruta se tivessem acesso local aos seus dados - por exemplo, digamos que você estivesse armazenando um arquivo criptografado na sua conta do Dropbox e os invasores tivessem acesso a ele e fizessem o download do arquivo criptografado. Eles poderiam, então, tentar forçar a criptografia, essencialmente tentando cada combinação de senha até que uma funcionasse..
As pessoas que dizem que suas contas foram "hackeadas" provavelmente são culpadas de reutilizar senhas, instalar um registrador de chaves ou dar suas credenciais a um invasor após truques de engenharia social. Eles também podem ter sido comprometidos como resultado de questões de segurança facilmente adivinhadas..
Se você tomar as devidas precauções de segurança, não será fácil "hackear" suas contas. Usar a autenticação de dois fatores também pode ajudar - um invasor precisará de mais do que apenas sua senha para entrar.
Crédito de imagem: Robbert van der Steeg no Flickr, asenat no Flickr