אתה משתף פרטים על הזהות שלך בכל פעם שאתה יוצר חשבונות באינטרנט. איך אתה יכול להגן על המידע הזה?

אתה יוצר חשבון בכל פעם שאתה נרשם לאתר, רשת חברתית או אפליקציה. כמשתמש אינטרנט פעיל, עליך ליצור מספר חשבונות, חלקם שכחת.

פלטפורמות רבות אינן מוחקות חשבונות משתמש. המשמעות היא שהמידע האישי שלך עדיין נמצא בפלטפורמות למרות שלא השתמשת בהם זמן רב. יצירת מספר חשבונות מקוון מאפשרת לפושעי סייבר לאחזר את המידע האישי שלך באמצעות התקפות מבוססות זהות. איך בדיוק הם מבצעים את ההתקפות האלה, ומה אתה יכול לעשות כדי לעצור אותן?

מהן התקפות המבוססות על זהות?

התקפות מבוססות זהות מתרחשות כאשר פושעי סייבר ממקדים את מערכת המחשב, הרשת או החשבון שלך כדי לאחזר את המידע האישי שלך עבור פעילויות לא חוקיות או זדוניות. ידועים גם בתור התקפות התחזות, גורמי איומים ממנפים אותם כדי לאסוף נתונים רגישים, לגנוב כסף ולהרוס את המוניטין של המטרה.

5 סוגי התקפות מבוססות זהות וכיצד הן פועלות

פושעי סייבר פורסים את האסטרטגיות הבאות כדי להנציח התקפות מבוססות זהות.

1. פישינג

פישינג הוא כאשר פולש יוצר איתך קשר באמצעות דואר אלקטרוני, הודעות טקסט או הודעות מיידיות במדיה חברתית לקבלת מידע בעל ערך במסווה של אדם או מוסד לגיטימיים. המידע שהם רוצים יכול להיות פרטי הבנק וכרטיס האשראי שלך, סיסמאות לחשבון ומידע אישי מזהה אחר.

instagram viewer

ישנם דגלים אדומים נפוצים לזיהוי ניסיונות דיוג. להודעות יש בדרך כלל תחושה של דחיפות שתשלח את המידע באופן מיידי, מכיל היפר-קישורים שהם רוצים שתלחץ עליהם, או שיש לו מסמכים מצורפים למייל שהם רוצים שתפתח. יש גם את הטריק הישן של להציע הצעות טובות מכדי להיות אמיתיות.

2. מלית אישורים

מלית אישורים היא איסוף נתונים מפלטפורמה אחת וניסיון בפלטפורמה אחרת כדי לראות אם זה יהיה תקף. לדוגמה, תוקף מאחזר או קונה סט נתונים כולל שמות משתמש וסיסמאות חוקיים בפייסבוק ומנסה את אישורי הכניסה בטוויטר. הם יצליחו אם הקורבנות ישתמשו באותם אישורי התחברות בשתי הפלטפורמות.

מחקרים מראים שלמילוי אישורים יש שיעור הצלחה נמוך, אבל זה תלוי בהקשר. נפח הנתונים שמקבלים תוקפי נתונים עבור מילוי אישורים מגיע למיליוני ומיליארדים של שמות משתמש. אפילו עם שיעור הצלחה של 0.1, הם ירשמו הצלחה מוחשית. החשבון שלך יכול להיות בין הערכים החוקיים.

3. התקפות אדם-באמצע

האזנת סתר היא דרך יעילה לקבל מידע אישי של אנשים ללא הסכמתם. זה מה שקורה עם התקפות Man-in-the-Middle. פושעי סייבר ממקמים את עצמם אסטרטגית בין ערוצי התקשורת שלך. כאשר אתה שולח נתונים אישיים מאפליקציה אחת לאחרת, הם מיירטים אותם.

Man-in-the-Middle יעיל להתקפות המבוססות על זהות עקב בורותו של הקורבן לגבי מכשיר היירוט. גורמי האיום יכולים להחליף את הנתונים במעבר במסר זדוני. המקבל מקבל את ההודעה של התוקף ופועל לפיה, חושב שזה מהשולח המקורי.

4. ריסוס סיסמאות

אם תשכח את הסיסמה שלך ואז תזין מספר סיסמאות שגויות מספר פעמים, אתה עלול להיחסם באופן זמני בפלטפורמה. וזה בגלל שהמערכת חושדת במשחק עבירה. פושעי סייבר משתמשים בריסוס סיסמאות כדי למנוע חסימה בעת ניסיון לפרוץ חשבונות. הם מצמידים סיסמה משותפת למספר שמות משתמש באותה רשת. המערכת לא תחשוד בעבירה כלשהי מכיוון שזה ייראה כאילו מספר משתמשים מבצעים ניסיונות כניסה כושלים.

לשחקני איומים יש אמון גבוה בריסוס סיסמאות מכיוון שאנשים משתמשים במילים וביטויים נפוצים כסיסמאות שלהם. מתוך מאות שמות משתמש, אין זה מפתיע שלכמה אנשים תהיה מילה נפוצה כסיסמה שלהם.

5. העבר-האש

מתקפת העבר את ה-hash היא תהליך שבו תוקף חוטף את תוכנית הסיסמה שלך. הם לא צריכים לדעת או להשיג את הטקסט הפשוט של הסיסמה שלך, אלא את העותק ה"מגיבוב" שלה המורכב מתווים אקראיים.

האקרים יכולים לאחזר את הסיסמה הגובבת על ידי מניפולציה של פרוטוקול New Technology LAN Manager (NTLM). הגיבוב של הסיסמה טוב כמו הסיסמה עצמה. אלא אם כן תשנה את הסיסמה, ה-hash יישאר זהה. תוקף יכול להשתמש בו כדי לגשת למערכת שלך ולאחזר את המידע האישי שלך בהתקפה מבוססת זהות.

כיצד ניתן למנוע התקפות מבוססות זהות?

מניעת התקפות מבוססות זהות עוסקת בשמירה על המידע האישי שלך הרחק מהפולשים המחפשים אותם. הנה כמה דרכים לעשות זאת.

1. השבת חשבונות רדומים

זה לא נוהג נפוץ לעקוב אחר כל המערכות המקוונות בהן אתה נרשם. זה אופייני להמשיך הלאה כשאינך צריך יותר את החשבונות מבלי למחוק אותם. אבל לא ידוע לך, חשבונות נטושים הם אפיקים של וקטורי איומים לגשת לנתונים שלך. מחיקת החשבונות הלא פעילים שלך עוזרת לך למזער את החשיפה לנתונים אישיים.

יצירת גיליון אלקטרוני של כל החשבונות שלך היא דרך טובה לעקוב אחריהם. אתה יכול לבדוק את מנהל הסיסמאות של ספק הדוא"ל שלך כדי להציג את כל החשבונות שלך והסיסמאות שלהם. השבת את החשבונות שלא השתמשת בהם במשך שנים.

2. אמצו אימות רב-גורמי

אימות מרובה גורמים לוקח משתמשים שמנסים לגשת למערכת שלך דרך מספר אימותים. זה אומר שהאקר שישיג את שם המשתמש והסיסמה התקינים שלך לא מספיקים כדי לגשת לחשבון שלך. הם יצטרכו לאמת את זהותם באמצעות כתובת הדוא"ל, מספר הטלפון או המכשיר שלך.

אימות רב-גורמי הוא הגנה חזקה מפני התקפות מבוססות זהות מכיוון שלפורץ צריך להיות גישה למספר חשבונות או מכשירים שלך כדי לעבור את האימות. למרות שיש כאלה פגיעויות של אימות רב-גורמי שהאקרים יכולים לנצל, זה בדרך כלל בטוח וקשה לנצח אותו.

3. יישם את בקרת הגישה הקטנה ביותר

שימוש במערכות אימות כדי לאמת משתמשים בנקודת הכניסה לא אומר שכל מי שעבר את הבדיקה אינו מזיק. הרשאות הקטנות ביותר הן עקרון בקרת גישה המאפשר לך להתייחס לכל התעבורה והמשתמשים לרשת שלך כחשודים. במקום לפתוח את כל התחומים רק לכל אחד, מגביל את הגישה שלו למה שמעסיק אותו.

שמור את הנתונים האישיים שלך מחוץ לתחום למשתמשים אחרים, כולל אנשי אבטחת סייבר המבצעים תחזוקה ותיקונים של המערכת. אם אתה חייב להעניק להם גישה, עקוב אחר הפעילויות שלהם ותשאף אותם באחריות לכל התנהגויות חשודות.

4. שפר את תרבות הסיסמאות

התקפות רבות המבוססות על זהות מסתמכות במידה רבה על סיסמאות כדי להצליח. אם אתה יכול לאבטח את הסיסמאות שלך, אתה מחוץ לרדאר של המנציחים. הסיסמאות שלך יכולות להיות הכל מלבד קלות לניחוש. הימנע ממילים ומספרים נפוצים הקשורים אליך.

כדי להיות בצד הבטוח יותר, בחר ביטויים על פני מילים בתור הסיסמאות שלך. חשוב מכך, אל תשתמש בסיסמה אחת ליותר מחשבון אחד. יצירת סיסמאות ייחודיות לחשבונות מרובים יכולה להיות מאתגרת לזכור. אתה יכול לדלג על המשוכה הזו באמצעות מנהל סיסמאות מאובטח.

5. לטפח מודעות לאבטחת סייבר

אחת ההגנות הגדולות ביותר בתחום אבטחת הסייבר שאתה יכול לבנות היא השגת הבנה ומומחיות. גם אם תטמיע את כלי האבטחה המתוחכמים ביותר, לא תפיק מהם את המרב מבלי לדעת כיצד להשתמש בהם.

הכירו את טכניקות התקפות סייבר, כיצד הן פועלות וכיצד למנוע אותן. לדוגמה, אם אתה מכיר דיוג, תחשוב פעמיים לפני שתלחץ או תפתח קישורים וקבצים מצורפים מוזרים. אי שימוש באותה סיסמה במספר חשבונות חוסך ממך גם מילוי אישורים.

התקפות מבוססות זהות מתחילות בך. שחקני איומים לא יכולים למקד אותך בדרך זו אם אין להם את המידע האישי שלך. יש להם מינוף עליך ברגע שהם מקבלים אחיזה במידע האישי שלך.

תשומת לב לטביעת הרגל הדיגיטלית שלך עוזרת לך לשלוט למה הם יכולים לגשת לגביך. הם לא יכולים לאחזר את מה שלא זמין.