כ' כסלו התשפ"ה
21.12.2024
123456

מה האקר יכול לעשות עם הסיסמה שלנו

כיצד האקרים מגלים את הסיסמאות שלנו · איך נרכיב סיסמה חזקה יותר · איזו הגנה אנחנו צריכים כדי להגן על הסיסמאות שלנו |  המדריך להגנה על הסיסמה והמידע שלנו מפני הרעים

מה האקר יכול לעשות עם הסיסמה שלנו
אילוסטרציה צילום: unsplash

למרות העובדה שיותר ויותר אנשים מבינים היום שהמידע שלהם ברשת נמצא בסיכון בעקבות פושעי סייבר והאקרים שמנסים לעשות הכל כדי לשים עליו יד, עדיין חלק משמעותי מזניח את אבטחת הסיסמאות אשר מגינות על החשבונות השונים שלהם.

למשתמש הממוצע יש יותר מ-100 סיסמאות כאשר הסיסמאות הנפוצות ביותר הן גם הכי פשוטות לניחוש, קל לזכור אותן ובטח שגם להקליד אותן. לדוגמה, סיסמאות כמו 123456, qwerty ו-password נמצאות בראש רשימות הסיסמאות שבהן האקרים משתמשים כדי לפרוץ לחשבונות.

מה האקר יכול לעשות עם הסיסמה שלי?

סיסמאות משמשות כמפתחות וירטואליים לעולם הדיגיטלי – הן מאפשרות גישה לשירותי הבנקאות המקוונת, הדוא״ל, המדיה החברתית, לנטפליקס ולכל הנתונים בענן שלנו. אם האקר משיג סיסמה שלנו, הוא יכול באמצעותה:

· לגנוב את פרטי הזהות האישיים שלכם ולמכור אותם לפושעי סייבר אחרים

· למכור את הגישה לחשבון עצמו. אתרים של פושעי סייבר בדארקנט (הרשת האפלה) יציעו גישה לחשבונות כאלה לכל המרבה במחיר. הרוכשים יוכלו להשתמש בגישה כדי להשיג מגוון רחב של דברים – החל מנסיעות חינם במונית ושימוש חינמי בשירות סטרימינג ועד לטיסות במחיר מופחת באמצעות נקודות הנוסע המתמיד בחשבון שנפרץ.

· להשתמש בסיסמאות כדי לפרוץ לחשבונות נוספים בהם אתם משתמשים באותה הסיסמה.

בחברת אבטחת המידע ESET מסבירים כי להאקרים יש דרכים שונות כדי לגלות לנו את הסיסמאות ולגרום לנו לנזק:

פישינג והנדסה חברתית: ללא ספק מדובר בדרך הכי פופולארית באמצעותה מנסים לגנוב לנו הפרטים אישיים ובהם גם הסיסמאות. פושעי הסייבר מתחזים לגורמים לגיטימיים ואמינים כמו למשל הבנק, חברת האשראי, ספקי תקשורת ואפילו החברים והמשפחה שלנו במטרה לשכנע את המשתמשים להקליק על קישורים או לפתוח קבצים מצורפים למייל. הקלקה על קישור או הורדת קובץ תוביל את המשתמשים לאתרים מזויפים בהם יתבקשו להזין פרטים אישיים כמו פרטי ההתחברות שלהם, שם וסיסמה או אפילו להוריד נוזקה ישירות למחשב.

נוזקות: פושעי סייבר משתמשים גם בנוזקות כדי להשיג סיסמאות. הודעות פישינג בדוא״ל הן אמנם הדרך הפופולארית ביותר לתקיפה מסוג זה, אך ייתכן שתסבלו ממתקפה כזאת גם אם תלחצו על פרסומת זדונית ברשת או אפילו באמצעות כניסה לאתר שנפרץ. נוזקות רבות מסתתרות גם באפליקציות שנראות לגיטימיות, אותן אפשר למצוא בחנויות אפליקציות לא-רשמיות. ישנם סוגים רבים של נוזקות לגניבת מידע, כאשר הנפוצות ביותר מתוכנתות לתעד את לחיצות המקלדת שלכם או לקחת צילומי מסך של המכשיר ולשלוח אותם חזרה לתוקפים.

פריצה בכח: רבים מאיתנו משתמשים בסיסמאות שיהיה לנו קל לזכור (ולכן גם לאחרים לנחש) ומגדירים את אותן הסיסמאות למספר אתרים ושירותים. זה יכול לפתוח את הדלת לטכניקות ״הפריצה בכוח״.

השיטה הנפוצה ביותר לבצע זאת היא העמסת סיסמאות (Credential Stuffing) במתקפה מסוג זה, התוקפים מכניסים כמויות גדולות של קומבינציות שם משתמש וסיסמה לאתרים מסוימים באמצעות תוכנה אוטומטית, בתקווה למצוא התאמה באחת הקומבינציות האלה. על פי אחת ההערכות, בשנה האחרונה היו יותר מ-139 מיליארד ניסיונות כאלה. טכניקה אחרת לפריצה בכוח נקראת "ריסוס סיסמאות", בטכניקה הזאת, ההאקרים משתמשים בתוכנה אוטומטית כדי להצליב בין שם המשתמש של החשבון שלכם ובין רשימה של סיסמאות נפוצות.

הצצה מעבר לכתף: דרך פשוטה למדי באמצעותה אדם אמיתי שעומד ממש מאחוריכם מציץ לכם מעבר לכתף ורואה את הפרטים האישיים שאתם מקבלים, שולחים או מזינים למכשיר שלכם. למשל – ביקשתם קוד אימות כדי להתחבר לחשבון כלשהו, והוא ממש הרגע הגיע ומוצג על גבי המכשיר בתצוגה המקדימה של ההודעות. הדרך להתגונן כאן היא פשוטה וכוללת ביטול של התצוגה המקדימה של ההודעות במכשיר הסלולר למשל.

ניחוש: אם אתם משתמשים בסיסמה מרשימת הסיסמאות הנפוצות בעולם, כמו אלו שנתנו בתחילת המאמר כדוגמה, כנראה לא תתפלאו לגלות שלא כל כך מסובך לנחש אותה. בשנת 2020 הסיסמה הפופולרית ביותר היתה 123456. אם אתם משתמשים בסיסמה כזו, ועוד ביותר משירות אחד, אתם הופכים את עבודת התוקפים לפשוטה מאוד, ואת עצמכם אתם שמים בסיכון גבוה לגניבת זהות והונאות שונות.

מה אפשר לעשות? השתמשו בביטוי כסיסמה:

ב-ESET מסבירים כי אם תשלבו קבוצת מילים שתהיה ביטוי הגיוני למשתמש, יהיה קל יותר לזכור והרבה יותר קשה לנחש.

כך תוכלו ליצור את הסיסמה הטובה ביותר עבורכם:

· השתמשו בארבע עד שמונה מילים שיוצרות עבורכם משמעות כמו למשל: אני רץ כל יום.

· הוסיפו רווחים בין המילים, אפשר גם בתוך: אני ר ץ כל יום.

· אם הסיסמה שלכם באנגלית, תוכלו להשתמש גם באותיות גדולות בחלק מהמילים.

· השתמשו בסימני פיסוק ותווים מיוחדים אני ר ץ כל יום 5^

· שימו בספרות במקום חלק מהאותיות: אני ר ץ כל יו0 5^

אם יהיה לכם סיפור אישי או זיכרון מסוים, ניתן להשתמש במילים שקשורות אליו כך שלכם יהיה קל לזכור אבל אחרים אפילו לא יבינו.

על מנת להגן על עצמכם בעוד דרכים, שימו לב להקפיד על אבטחת מידע וסיסמאות:

1. השתמשו בסיסמאות חזקות שונות עבור שירותים שונים. במידה והסיסמה שלכם דלפה או שמישהו איכשהו הצליח להשיג אותה, לא יוכלו לעשות בה שימוש לטובת כניסה לשירותים נוספים.

2. הקפידו לרענן אחת לתקופה את הסיסמאות, כך גם אם מישהו משתמש במידע שלכם באמצעות הסיסמה, הוא לא יוכל להמשיך לעשות זאת.

3. כדי לזכור את כל הסיסמאות, תוכלו להשתמש בתוכנות לניהול סיסמאות אשר מאפשרות לייצר סיסמאות ייחודיות ודורשת לזכור רק סיסמה אחת בכניסה לתוכנת הניהול.

4. שימוש באימות דו-שלבי יאלץ לספק בנוסף לסיסמה גם קוד שנשלח באמצעות SMS, כך גם אם לתוקף יש את שם המשתמש והסיסמה שלך, ללא הקוד, לא ניתן יהיה להיכנס לחשבון שלך.

5. אל תקליקו על קישורים ואל תפתחו קבצים בהודעות מייל מכתובות שאינכם מכירים.

6. הורידו אפליקציות רק מחנויות רשמיות

7. אם אתם גולשים ברשת ציבורית השתדלו שלא להתחבר לחשבונות אישיים שלכם ואם אתם מוכרחים, השתמשו ב-VPN.

ESET סיסמה

art

'בחדרי' גם ברשתות החברתיות - הצטרפו!

הוספת תגובה

לכתבה זו טרם התפרסמו תגובות

תגובות

הוסיפו תגובה
{{ comment.number }}.
{{ comment.date_parsed }}
הגב לתגובה זו
{{ reply.date_parsed }}