Специалисты международного разработчика антивирусного программного обеспечения – компании ESET рассказали, какие методы используют киберпреступники для кражи паролей, и как пользователям максимально защититься, подобрав надежные комбинации.
"Пароли – это виртуальные ключи к онлайн-банкингу, электронной почте, социальным сетям, стриминговым платформам, службам такси и доставки, а также всей информации, размещенной в облачных хранилищах. Именно поэтому после их кражи киберпреступники могут: получить личную информацию жертвы и продать ее другим злоумышленникам, продать доступ к учетной записи, а также получить доступ к другим аккаунтам, где используется такая же комбинация для входа", - сообщили в компании ESET.
Согласно сообщению, для похищения паролей киберпреступники используют несколько методов.
Фишинг
Первый метод кражи паролей - фишинг и методы социальной инженерии. В частности, как сообщают в ESET, киберпреступники присылают жертвам электронные письма от якобы известных организаций, друзей или коллег. Полученное электронное письмо может выглядеть правдоподобно и не вызывать подозрения, но содержать вредоносную ссылку или вложенный файл. После загрузки он может инфицировать устройство вредоносным программным обеспечением или открыть страницу, требующую заполнения личных данных.
Однако для получения другой личной информации жертвы мошенники могут совершать и телефонные звонки, выдавая себя за работников банка или технической поддержки. Этот метод мошенничества также называют "вишинг" (голосовой фишинг).
Вредоносное программное обеспечение
Еще один популярный способ кражи паролей, как отмечают специалисты по кибербезопасности, — с помощью вредоносных программ. Чаще всего они распространяются с помощью фишинговых писем, но стать жертвой можно и после нажатия на вредоносную рекламу в интернете или посещения опасного веб-сайта.
Существует много видов вредоносных программ для кражи паролей, но наиболее распространенные предназначены для считывания нажатий клавиатуры или создания скриншотов экрана жертвы и отправки их злоумышленникам.
Атаки методом подбора пароля
Следующий метод кражи паролей – атаки методом их подбора. Согласно информации ESET, распространенным видом таких атак является заполнение учетных данных – злоумышленники копируют большие объемы похищенных ранее комбинаций в специальные программы. Затем инструмент проверяет их на большом количестве сайтов в надежде найти соответствие. Таким образом, злоумышленники могут получить доступ к нескольким аккаунтам, имея только одну комбинацию. По оценкам исследователей, в прошлом году по всему миру было зафиксировано 193 миллиарда попыток подобных атак.
Еще один метод отгадывания данных для входа – "распыление" паролей, который предусматривает подбор для аккаунта комбинации из списка наиболее популярных с помощью автоматизированного ПО.
Угадывание
Хотя хакеры имеют в распоряжении автоматизированные инструменты для подбора, иногда они даже не нужны, ведь, например, наиболее распространенными комбинациями все еще остаются "123456", "123456789" и "password" - добавляют в ESET. Поэтому часто киберпреступникам для получения несанкционированного доступа к личной информации жертв достаточно и обычного угадывания.
"Если вы, как и большинство пользователей, используете одинаковые наборы символов или их похожие варианты для нескольких аккаунтов, то рискуете стать жертвой похищения пароля или мошенничества", - сообщают в компании.
Шпионаж
Техник шпионажа также существует много, но одной из наиболее распространенных является атака "человек посередине" (Man in the Middle), позволяющая злоумышленникам похищать пароли и другие данные с устройств, подключенных к той же общедоступной сети Wi-Fi.
Как защититься от похищения паролей
Для того, чтобы защитить свои данные и не подвергать их риску того, что пароль будет украден хакерами, специалисты по кибербезопасности рекомендуют создавать надежные и уникальные данные для входа, а также избегать их повторного использования на разных сайтах.
Кроме того, важными советами являются использование двухфакторной аутентификации, установка менеджера паролей, который будет автоматически заполнять формы и генерировать надежные комбинации для входа, менять пароли при получении писем о подозрительной активности, переходить исключительно на сайты, использующие HTTPS, не нажимать на ссылки и вложения от незнакомых отправителей, загружать приложения только из официальных магазинов, использовать надежные решения по безопасности, своевременно устанавливать обновления и не входить в аккаунты при подключении к общедоступному Wi-Fi.
Как сообщал УНИАН, в Украине ежедневно фиксируется около 300 тыс. новых киберугроз для информационной безопасности. При этом найти хакеров-злоумышленников крайне сложно, компаниям остается лишь проводить ежеминутные мониторинги на предмет выявления киберугроз с целью их дальнейшей блокировки.
Компания ESET – ведущий разработчик решений в области компьютерной безопасности и эксперт в сфере ИТ-безопасности. Компания была основана в 1992 году в Словакии и на сегодня представлена более, чем в 180 странах мира.